Apple डिवाइस डिप्लॉयमेंट के लिए VPN ओवरव्यू
iOS, iPadOS, macOS, tvOS, watchOS और visionOS में प्राइवेट कॉर्पोरेट नेटवर्क को स्थापित इंडस्ट्री-स्टैंडर्ड वर्चुअल प्राइवेट नेटवर्क (VPN) प्रोटोकॉल के उपयोग द्वारा सुरक्षित ऐक्सेस उपलब्ध है।
समर्थित प्रोटोकोल
iOS, iPadOS, macOS, tvOS, watchOS और visionOS निम्नलिखित प्रोटोकॉल और प्रमाणीकरण विधियों का समर्थन करते हैं :
IKEv2: IPv4 और IPv6 दोनों के लिए और निम्नलिखित के लिए समर्थन :
ऑथेंटिकेशन विधियाँ : शेयर किए गए सीक्रेट, सर्टिफ़िकेट, EAP–TLS और EAP–MSCHAPv2
Suite B क्रिप्टोग्राफ़ी: ECDSA सर्टिफ़िकेट, GCM के साथ ESP एंक्रिप्शन और Diffie–Hellman समूह के लिए ECP समूह
अतिरिक्त विशेषताएँ: MOBIKE, IKE फ़्रैग्मेंटेशन, सर्वर रीडायरेक्ट, स्प्लिट टनल
iOS, iPadOS, macOS और visionOS ये प्रोटोकॉल और प्रमाणन विधियों का समर्थन करते हैं :
L2TP ओवर IPsec: MS–CHAP v2 पासवर्ड, टू-फ़ैक्टर टोकन, सर्टिफ़िकेट द्वारा यूज़र प्रमाणन, शेयर्ड सीक्रेट या सर्टिफ़िकेट द्वारा मशीन प्रमाणन
macOS शेयर्ड सीक्रेट या L2TP over IPsec के साथ सर्टिफ़िकेट द्वारा Kerberos मशीन प्रमाणन का भी उपयोग कर सकता है।
IPsec: पासवर्ड, टू-फ़ैक्टर टोकन द्वारा यूज़र प्रमाणन और शेयर्ड सीक्रेट या सर्टिफ़िकेट द्वारा मशीन प्रमाणन
यदि आपका संगठन उन प्रोटोकॉल का समर्थन करता है, तो Apple डिवाइस को अपने वर्चुअल प्राइवेट नेटवर्क से कनेक्ट करने के लिए किसी अतिरिक्त नेटवर्क कॉन्फ़िगरेशन या तृतीय-पक्ष ऐप्स की ज़रूरत नहीं है।
समर्थन में IPv6, प्रॉक्सी सर्वर और स्प्लिट टनलिंग जैसी तकनीकें शामिल हैं। संगठन के नेटवर्क से कनेक्ट होते समय स्प्लिट टनलिंग एक लचीला VPN अनुभव प्रदान करता है।
इसके अलावा, नेटवर्क एक्सटेंशन फ़्रेमवर्क तीसरे पक्ष के डेवलपर्स को iOS, iPadOS, macOS, tvOS और visionOS के लिए कस्टम VPN समाधान बनाने की अनुमति देता है। अनेक VPN प्रोवाइडर के पास निर्मित ऐप्स होते हैं जिनसे उनके समाधानों के साथ उपयोग के लिए Apple डिवाइस को कॉन्फ़िगर करने में मदद मिलती है। किसी विशिष्ट समाधान हेतु किसी डिवाइस को कॉन्फ़िगर करने के लिए, कम्पेनियन ऐप इंस्टॉल करें और वैकल्पिक रूप से आवश्यक सेटिंग्ज़ के साथ एक कॉन्फ़िगरेशन प्रोफ़ाइल प्रदान करें।
VPN ऑन-डिमांड
iOS, iPadOS, macOS और tvOS में VPN ऑन डिमांड Apple डिवाइस को आवश्यकता के आधार पर कनेक्शन ऑटोमैटिकली स्थापित करने देता है। इसके लिए प्रमाणन विधियों की ज़रूरत होती है जिनमें यूज़र इंटरऐक्शन शामिल नहीं होता है, जैसे सर्टिफ़िकेट आधारित प्रमाणन। VPN ऑन डिमांड को किसी कॉन्फ़िगरेशन प्रोफ़ाइल के VPN पेलोड में OnDemandRules ‘की' के इस्तेमाल से कॉन्फ़िगर किया जाता है। दो चरणों में नियम लागू होते हैं :
नेटवर्क डिटेक्शन स्टेज : VPN अपेक्षाओं को परिभाषित करता है जो तब लागू होते हैं जब डिवाइस का प्राथमिक नेटवर्क कनेक्शन बदलता है।
कनेक्शन इवैल्युएशन स्टेज : आवश्यकता के आधार पर डोमेन नाम हेतु कनेक्शन अनुरोध के लिए VPN अावश्यकताओं को परिभाषित करता है।
इन चीजों को करने के लिए नियमों का उपयोग किया जा सकता है जैसे :
पहचान करना कि कब Apple डिवाइस आंतरिक नेटवर्क से कनेक्ट होता है और VPN आवश्यक नहीं है
पहचान करना कि कब किसी अज्ञात वाई-फ़ाई नेटवर्क का उपयोग हो रहा है और VPN आवश्यक है
VPN शुरू करें, जब विशेष डोमेन नाम के लिए DNS अनुरोध विफल होता है
Per App VPN
iOS, iPadOS, macOS, watchOS और visionOS 1.1 के साथ, VPN कनेक्शन को प्रति-ऐप के आधार पर स्थापित किया जा सकता है, जो इस बात पर बारीक नियंत्रण प्रदान करता है कि कौन-सा डेटा VPN से होकर जाए। ऐप स्तर पर ट्रैफ़िक को अलग करने की इस क्षमता के कारण व्यक्तिगत डेटा को संगठन के डेटा से अलग करने की अनुमति मिलती है, जिसके परिणामस्वरूप व्यक्तिगत डिवाइस ऐक्टिविटी की गोपनीयता बनी रहते हुए आंतरिक-उपयोग के ऐप्स के लिए नेटवर्किंग सुरक्षित बनता है।
प्रति-ऐप VPN मोबाइल डिवाइस प्रबंधन (MDM) समाधान द्वारा प्रबंधित प्रत्येक ऐप को एक सुरक्षित टनल की मदद से निजी नेटवर्क के साथ संचार स्थापित करने देता है, जबकि अप्रबंधित ऐप्स को निजी नेटवर्क का उपयोग करने से रोकता है। डेटा को अतिरिक्त सुरक्षा प्रदान करने के लिए प्रबंधित ऐप्स को विभिन्न VPN कनेक्शन की मदद से कॉन्फ़िगर किया जा सकता है। उदाहरण के लिए, सेल्स कोट ऐप अकाउंट्स पेएबल ऐप की तुलना में पूरी तरह से भिन्न डेटा सेंटर का उपयोग कर सकता है।
किसी भी VPN कॉन्फ़िगरेशन के लिए हर ऐप के लिए VPN बनाने के बाद, उन ऐप्स के लिए नेटवर्क ट्रैफ़िक को सुरक्षित करने के लिए आपको इसके उपयोग से ऐप्स के साथ उस कनेक्शन को संबद्ध करना होगा। आप प्रति ऐप VPN मैपिंग पेलोड (macOS) या ऐप इंस्टॉलेशन कमांड (iOS, iPadOS, macOS, visionOS 1.1) के भीतर ही VPN कॉन्फ़िगरेशन को निर्दिष्ट करते हुए यह कर सकते हैं।
प्रति ऐप VPN को iOS, iPadOS, watchOS और visionOS 1.1 में बिल्ट-इन IKEv2 VPN क्लाइंट के साथ काम करने के लिए कॉन्फ़िगर किया जा सकता है। कस्टम VPN समाधान में प्रति ऐप VPN समर्थन के बारे में जानकारी के लिए, अपने VPN वेंडर से संपर्क करें।
नोट : watchOS 10 और visionOS 1.1 में प्रति ऐप VPN का उपयोग करने के लिए, एक ऐप को MDM द्वारा प्रबंधित किया जाना चाहिए।
VPN हमेशा चालू
IKEv2 के लिए उपलब्ध हमेशा चालू VPN सभी IP ट्रैफ़िक को वापस संगठन में टनल करके आपके संगठन को iOS और iPadOS पर पूरा नियंत्रण प्रदान करता है। आपका संगठन अब डिवाइस से और डिवाइस में होने वाले ट्रैफ़िक की निगरानी और फ़िल्टर कर सकता है, अपने नेटवर्क में डेटा को सुरक्षित कर सकता है और इंटरनेट के लिए डिवाइस ऐक्सेस को प्रतिबंधित कर सकता है।
हमेशा चालू VPN के ऐक्टिवेशन के लिए डिवाइस पर्यवेक्षण की आवश्यकता होती है। किसी डिवाइस पर हमेशा चालू VPN प्रोफ़ाइल इंस्टॉल होने के बाद हमेशा चालू VPN ऑटोमैटिकली बिना किसी यूज़र इंटरऐक्शन के साथ सक्रिय हो जाता है और यह तब तक सक्रिय (रीस्टार्ट सहित) बना रहता है जब तक कि हमेशा चालू VPN प्रोफ़ाइल को अनइंस्टॉल न किया जाए।
डिवाइस पर हमेशा चालू VPN सक्रिय होने पर VPN टनल चालू हो जाता है और टीयरडाउन इंटरफ़ेस IP स्थिति से बँध जाता है। जब इंटरफ़ेस IP नेटवर्क पहुँच प्राप्त करता है, तब यह टनल स्थापित करने की कोशिश करता है। जब इंटरफ़ेस IP स्टेट बिगड़ जाता है, तो टनल खंडित हो जाता है।
हमेशा चालू VPN प्रति-इंटरफ़ेस टनल का भी समर्थन करता है। मोबाइल कनेक्शन वाले डिवाइस के लिए, प्रत्येक ऐक्टिव IP इंटरफ़ेस के लिए एक टनल होता है (एक टनल मोबाइल इंटरफ़ेस के लिए और एक टनल वाई-फ़ाई इंटरफ़ेस के लिए)। जितने समय तक VPN टनल चालू रहता है, सभी ट्रैफ़िक टनल में रहते हैं। ट्रैफ़िक में सभी IP-रूटेड ट्रैफ़िक और सभी IP-स्कोप्ड ट्रैफ़िक (फर्स्ट-पार्टी ऐप्स का ट्रैफ़िक जैसे FaceTime और Messages) शामिल हैं। यदि टनल चालू नहीं हैं, तो सभी IP ट्रैफ़िक रुक जाते हैं।
सभी ट्रैफ़िक टनल से गुजरते हैं और VPN सर्वर तक पहुंचते हैं। ट्रैफ़िक को संगठन के नेटवर्क के अंदर या इंटरनेट पर अपने गंतव्य तक भेजने से पहले आप वैकल्पिक फ़िल्टरिंग और निगरानी प्रबंध कर सकते हैं। इसी प्रकार, डिवाइस में आने वाला ट्रैफ़िक आपके संगठन के VPN सर्वर में भेजा जाता है, जहाँ डिवाइस में फॉरवार्ड करने से पहले फ़िल्टरिंग और निगरानी की प्रक्रिया लागू की जा सकती है।
नोट : Apple Watch पेयरिंग हमेशा चालू VPN के साथ समर्थित नहीं है।
पारदर्शी प्रॉक्सी
ट्रांसपैरेंट प्रॉक्सी macOS पर एक विशेष VPN प्रकार है और इसका उपयोग नेटवर्क ट्रैफ़िक की निगरानी और बदलाव के लिए विभिन्न तरीक़ों से किया जा सकता है। सामान्य उपयोग के मामले कॉन्टेंट फ़िल्टर समाधान और क्लाउड सेवाओं के ऐक्सेस के लिए ब्रोकर हैं। उपयोगों की विविधता के कारण, उस क्रम को परिभाषित करना एक अच्छा विचार है जिसमें उन प्रॉक्सी को ट्रैफ़िक देखने और हैंडल करने का मौका मिलता है। उदाहरण के लिए, आप ट्रैफ़िक को एन्क्रिप्ट करने वाली प्रॉक्सी को लागू करने से पहले प्रॉक्सी फ़िल्टरिंग नेटवर्क ट्रैफ़िक को लागू करना चाहते हैं। आप VPN पेलोड में ऑर्डर को परिभाषित करके ऐसा करते हैं।