Overzicht van VPN voor geïmplementeerde Apple apparaten
Vanaf apparaten met iOS, iPadOS, macOS, tvOS, watchOS en visionOS kunnen afgeschermde bedrijfsnetwerken via de gebruikelijke VPN-protocollen veilig worden benaderd.
Ondersteunde protocollen
iOS, iPadOS, macOS, tvOS, watchOS en visionOS ondersteunen de volgende protocollen en authenticatiemethoden:
IKEv2: Ondersteuning voor zowel IPv4 als IPv6, alsook:
Authenticatiemethoden: Gedeeld geheim, certificaten, EAP-TLS en EAP-MSCHAPv2
Suite B-cryptografie: ECDSA-certificaten, ESP-encryptie met GCM en ECP-groepen voor Diffie-Hellman-groep
Aanvullende functies: MOBIKE, IKE-fragmentatie, serveromleiding, split tunnel
iOS, iPadOS, macOS en visionOS ondersteunen ook de volgende protocollen en authenticatiemethoden:
L2TP over IPsec: Authenticatie van gebruikers aan de hand van een MS-CHAP v2-wachtwoord, een twee-factor-token en een certificaat; machinale authenticatie op basis van een gedeeld geheim of certificaat
macOS kan ook gebruikmaken van machinale authenticatie via Kerberos op basis van een gedeeld geheim of certificaat met L2TP over IPsec.
IPsec: Authenticatie van gebruikers aan de hand van een wachtwoord en een twee-factor-token; machinale authenticatie aan de hand van een gedeeld geheim en certificaten
Als je organisatie die protocollen ondersteunt, hoef je je netwerk verder niet te configureren en heb je geen apps van andere leveranciers nodig om je Apple apparaten te verbinden met je Virtual Private Network (VPN).
Ook technologieën zoals IPv6, proxyservers en split tunneling worden ondersteund. Split tunneling biedt flexibel gebruik van VPN wanneer verbinding wordt gemaakt met de netwerken van een organisatie.
Daarnaast kunnen andere ontwikkelaars met het Network Extension-framework aangepaste VPN-oplossingen voor iOS, iPadOS, macOS, tvOS en visionOS aanmaken. Verschillende VPN-aanbieders hebben apps ontwikkeld om Apple apparaten te configureren voor gebruik met hun oplossingen. Als je een apparaat wilt configureren voor gebruik met een specifieke oplossing, installeer je de bijbehorende app van de aanbieder en zorg je desgewenst voor een configuratieprofiel met de benodigde instellingen.
VPN op aanvraag
Met VPN op aanvraag in iOS, iPadOS, macOS en tvOS kunnen Apple apparaten automatisch verbinding maken als daar behoefte aan is. Hiervoor is een authenticatiemethode vereist waarvoor geen interactie met de gebruiker nodig is, zoals authenticatie op basis van certificaten. VPN op aanvraag wordt geconfigureerd met behulp van de sleutel OnDemandRules
in de VPN-payload van een configuratieprofiel. De regels worden in twee fasen toegepast:
Netwerkdetectie: In deze fase worden de VPN-vereisten bepaald die worden toegepast wanneer de primaire netwerkverbinding van het apparaat verandert.
Verbindingsevaluatie: In deze fase worden de VPN-vereisten bepaald voor verbindingsaanvragen bij domeinnamen op het moment waarop dat nodig is.
Regels kunnen bijvoorbeeld worden gebruikt om:
Vast te stellen wanneer een Apple apparaat verbonden is met een intern netwerk en er geen VPN-verbinding nodig is
Vast te stellen wanneer een onbekend wifinetwerk wordt gebruikt en een VPN-verbinding nodig is
Het VPN te starten wanneer een DNS-aanvraag voor een opgegeven domeinnaam mislukt
App-gebonden VPN
In iOS, iPadOS, macOS, watchOS en visionOS 1.1 is het mogelijk om per app een VPN-verbinding op te zetten. Hierdoor kan meer specifiek worden bepaald welke gegevens er via het VPN lopen. Door deze mogelijkheid om het verkeer op appniveau te scheiden, kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven. Hierdoor ontstaan veilige netwerkmogelijkheden voor apps die voor intern gebruik bestemd zijn, terwijl de privacy van persoonlijke activiteiten op het apparaat beschermd blijft.
Met 'App-gebonden VPN' kan elke app die via een MDM-oplossing wordt beheerd via een beveiligde tunnel communiceren met het privénetwerk, terwijl onbeheerde apps geen toegang tot het netwerk hebben. Beheerde apps kunnen met verschillende VPN-verbindingen worden geconfigureerd om gegevens verder te beveiligen. Zo zou een app voor het maken van offertes gebruik kunnen maken van een ander datacenter dan een crediteurenapp.
Nadat een app-gebonden VPN is aangemaakt voor een VPN-configuratie, moet je die verbinding koppelen aan de apps die deze verbinding gebruiken om het netwerkverkeer voor deze apps te beveiligen. Dit doe je met een payload waarmee apps worden gekoppeld aan app-gebonden VPN (macOS) of door de VPN-configuratie op te geven in het installatiecommando van de app (iOS, iPadOS, macOS, visionOS 1.1).
App-gebonden VPN kan worden geconfigureerd voor de ingebouwde IKEv2 VPN-client van iOS, iPadOS, watchOS en visionOS 1.1. Als je meer wilt weten over de ondersteuning voor app-gebonden VPN in aangepaste VPN-oplossingen, neem je contact op met je VPN-leverancier.
Opmerking: Om app-gebonden VPN in iOS, iPadOS, watchOS 10 en visionOS 1.1 te kunnen gebruiken, moet een app worden beheerd met een MDM-oplossing.
Altijd actieve VPN
Met Altijd actieve VPN voor IKEv2 heeft je organisatie het gegevensverkeer in iOS en iPadOS volledig in de hand door al het IP-verkeer via een tunnel terug te leiden naar de organisatie. Je organisatie kan nu het gegevensverkeer naar en van apparaten bewaken, de gegevens binnen het netwerk beveiligen en de toegang tot het internet beperken.
Activering van Altijd actieve VPN is alleen mogelijk voor apparaten die onder toezicht staan. Nadat het profiel voor Altijd actieve VPN is geïnstalleerd op een apparaat, wordt Altijd actieve VPN automatisch geactiveerd, dus zonder tussenkomst van de gebruiker. Altijd actieve VPN blijft geactiveerd (ook na opnieuw opstarten) totdat het profiel voor Altijd actieve VPN wordt verwijderd.
Als Altijd actieve VPN op het apparaat is geactiveerd, is het opzetten en weghalen van de VPN-tunnel gekoppeld aan de IP-status van de interface. Als de interface het IP-netwerk kan bereiken, wordt er geprobeerd een tunnel op te zetten. Op het moment dat de IP-status van de interface wegvalt, wordt de tunnel verwijderd.
Altijd actieve VPN biedt ook ondersteuning voor interface-specifieke tunnels. Bij apparaten met een mobiele verbinding gaat het om één tunnel voor elke actieve IP-interface (dus één tunnel voor de mobiele interface en één tunnel voor de wifi-interface). Als de VPN-tunnels beschikbaar zijn, wordt al het IP-verkeer door deze tunnels geleid. Het betreft gegevensverkeer dat via IP wordt gerouteerd en verkeer dat afkomstig is van of is bestemd voor bepaalde IP-bereiken (verkeer van apps van Apple, zoals FaceTime en Berichten). Als er geen tunnels beschikbaar zijn, wordt al het IP-verkeer verwijderd.
Alle gegevens van een apparaat die via een tunnel worden verstuurd, komen aan bij een VPN-server. Je kunt hier eventueel nog filters en controles toepassen voordat het verkeer wordt doorgestuurd naar de eindbestemming binnen het netwerk van je organisatie of naar het internet. Hetzelfde geldt voor verkeer dat voor het apparaat is bestemd. Deze gegevens komen aan op de VPN-server van je organisatie, waar ze eventueel nog worden gefilterd en gecontroleerd voordat ze worden doorgestuurd naar het apparaat.
Opmerking: Koppelen van een Apple Watch wordt niet ondersteund met Altijd actieve VPN.
Transparante proxy
Een transparante proxy is een speciaal type VPN in macOS dat op verschillende manieren kan worden gebruikt om netwerkverkeer te bewaken en om te zetten. Transparante proxy's worden vaak gebruikt voor het filteren van materiaal en het verlenen van toegang tot cloudvoorzieningen. Vanwege de vele gebruiksmogelijkheden is het een goed idee om de volgorde te definiëren waarin die proxy's netwerkverkeer kunnen zien en verwerken. Het is bijvoorbeeld verstandig om een proxy voor het filteren van netwerkverkeer aan te roepen voordat je een proxy voor het versleutelen van het verkeer aanroept. Je kunt deze volgorde opgeven in de VPN-payload.