Resumen de VPN para la implementación de dispositivos Apple
Los sistemas operativos iOS, iPadOS, macOS, tvOS, watchOS y visionOS ofrecen acceso seguro a redes corporativas privadas mediante protocolos de red privada virtual (VPN) estándar.
Protocolos compatibles
iOS, iPadOS, macOS, tvOS, watchOS y visionOS son compatibles con los siguientes protocolos y métodos de autenticación:
IKEv2: compatibilidad con IPv4 y IPv6, así como con:
Métodos de autenticación: secreto compartido, certificados, EAP-TLS y EAP-MSCHAPv2.
Criptografía Suite B: certificados ECDSA, encriptación ESP con grupos GCM y ECP para el grupo Diffie-Hellman.
Funciones adicionales: MOBIKE, fragmentación IKE, redirección de servidor, túnel dividido.
iOS, iPadOS, macOS y visionOS también son compatibles con los protocolos y métodos de autenticación siguientes:
L2TP sobre IPsec: autenticación del usuario por contraseña MS-CHAP 2, identificador de doble factor, certificado y autenticación por máquina mediante secreto compartido o certificado.
macOS también puede utilizar la autenticación por máquina de Kerberos por certificado o secreto compartido con L2TP sobre IPsec.
IPsec: autenticación del usuario por contraseña, identificador de doble factor y autenticación por máquina mediante secreto compartido y certificados.
Si tu organización admite estos protocolos, no es necesario ningún tipo de configuración adicional ni apps de terceros para conectar dispositivos Apple a la red privada virtual.
La compatibilidad incluye tecnologías como el protocolo IPv6, los servidores proxy y los túneles divididos. El uso de túneles divididos proporciona una experiencia de VPN flexible al conectarse a las redes de una organización.
Además, el marco Extensión de red permite a los desarrolladores de terceros crear una solución de VPN personalizada para iOS, iPadOS, macOS, tvOS y visionOS. Varios proveedores de VPN han creado apps que facilitan la configuración de los dispositivos Apple para que usen sus soluciones. Si quieres configurar un dispositivo para que use una solución específica, instala la app correspondiente del proveedor y, opcionalmente, proporciona un perfil de configuración con la configuración necesaria.
VPN por solicitud
En iOS, iPadOS, macOS y tvOS, la VPN por solicitud permite a los dispositivos Apple establecer una conexión automáticamente según sea necesario. La VPN por solicitud requiere un método de autenticación que no involucra la interacción del usuario; por ejemplo, la autenticación mediante certificado. Se configura usando la clave OnDemandRules en una carga VPN de un perfil de configuración. Las reglas se aplican en dos fases:
Fase de detección de red: define requisitos de la VPN que se aplican cuando cambia la conexión de red principal del dispositivo.
Fase de evaluación de conexión: define requisitos de VPN para solicitudes de conexión a nombres de dominio cuando es necesario.
Se pueden utilizar reglas para realizar operaciones como las siguientes:
Identificar cuándo está conectado un dispositivo Apple a una red interna y es innecesaria la conexión VPN.
Identificar cuándo se está usando una red Wi‑Fi desconocida y se necesita una conexión VPN
Iniciar la conexión VPN cuando falla la solicitud DNS de un nombre de dominio específico
VPN individual por app
En iOS, iPadOS, macOS, watchOS y visionOS 1.1 se pueden establecer conexiones VPN para cada app, lo que permite tener una mayor control sobre qué datos viajan por la VPN. Esta capacidad de segregar el tráfico a nivel de app permite separar los datos personales de los de la organización, lo que da lugar a una red segura para las apps de uso interno, al tiempo que se preserva la privacidad de la actividad personal del dispositivo.
La VPN individual por app permite que cada app administrada mediante una solución de administración de dispositivos móviles (MDM) se comunique con la red privada mediante un túnel seguro, cosa que las apps no administradas no pueden hacer. Las Apps administradas se pueden configurar con distintas conexiones VPN para reforzar la protección de los datos. Por ejemplo, una app de elaboración de presupuestos de ventas puede usar un centro de datos completamente distinto del que usa una app de facturación y administración de pagos.
Tras crear la VPN individual por app para cualquier configuración de VPN, es necesario asociar esa conexión con las apps que la utilizarán para garantizar el tráfico de red para dichas apps. Para hacerlo, se debe usar la carga útil de asignación de VPN individual por app (macOS) o especificar la configuración VPN dentro del comando de instalación de la app (iOS, iPadOS, macOS, visionOS 1.1).
La VPN individual por app puede configurarse para que funcione con el cliente VPN IKEv2 integrado en iOS, iPadOS, watchOS y visionOS 1.1. Para obtener información acerca de la compatibilidad de la VPN individual por app en soluciones de VPN personalizadas, ponte en contacto con tus proveedores de VPN.
Nota: Para usar la VPN individual por app en iOS, iPadOS, watchOS 10 y visionOS 1.1, la app debe ser administrada por una MDM.
VPN siempre activa
La función VPN siempre activa, disponible para IKEv2, ofrece a tu organización un control total del tráfico en iOS y iPadOS enviando todo el tráfico IP de vuelta a la organización a través de un túnel. Ahora, tu organización puede supervisar y filtrar tanto el tráfico que llega a los dispositivos como el que sale de ellos, proteger los datos que hay en la red y restringir el acceso de los dispositivos a Internet.
La activación de la VPN siempre activa requiere la supervisión de los dispositivos. Después de instalar en un dispositivo el perfil de VPN siempre activa, la función VPN siempre activa se activa automáticamente sin que el usuario tenga que intervenir y permanece activa (incluso cuando se reinician los dispositivos) hasta que se desinstala el perfil de VPN siempre activa.
Cuando la VPN siempre activa está habilitada en el dispositivo, la activación e interrupción del túnel VPN se vincula al estado de la IP de la interfaz. Cuando la interfaz tiene acceso a la red IP, intenta establecer el túnel. Cuando la IP de la interfaz pasa a estar desactivada, el túnel se interrumpe.
La VPN siempre activa también es compatible con túneles por cada interfaz. En el caso de dispositivos con conexión a redes celulares, hay un túnel por cada interfaz de IP activa (un túnel para la interfaz de la red celular y un túnel para la interfaz de la red Wi-Fi). Mientras los túneles VPN estén activos, todo el tráfico IP pasará por ellos. Esto incluye el tráfico IP enrutado y el tráfico IP dirigido (el tráfico de apps de Apple como FaceTime y Mensajes). Si los túneles no están activados, todo el tráfico IP se interrumpirá.
Todo el tráfico que se envíe por un túnel desde un dispositivo llegará a un servidor VPN. Si quieres, puedes filtrar y supervisar el tráfico antes de enviarlo a su destino, tanto si está en la red de la organización como en Internet. Asimismo, el tráfico hacia el dispositivo pasará antes por el servidor VPN de tu organización, donde puede que se filtre y supervise antes de reenviarse al dispositivo.
Nota: el enlace con el Apple Watch no es compatible con VPN siempre activa.
Proxy transparente
Los proxies transparentes son un tipo de VPN especial en macOS y se pueden usar en varias formas para monitorear y transformar el tráfico de red. Los casos de uso comunes son soluciones de filtro de contenido y agentes para acceder a servicios en la red. Debido a la variedad de usos, es una buena idea definir el orden en el que estos proxies pueden ver y manejar el tráfico. Por ejemplo, quieres invocar al proxy para que filtre el tráfico de la red antes de invocar al proxy que encripta el tráfico. Para hacerlo, debes definir el orden de la carga útil VPN.