Vue dʼensemble des VPN pour le déploiement dʼappareils Apple
L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iOS, iPadOS, macOS, tvOS, watchOS et visionOS via des protocoles de réseau privé virtuel (VPN) standard bien établis.
Protocoles pris en charge
iOS, iPadOS, macOS, tvOS, watchOS et visionOS prennent en charge les protocoles et méthodes d’authentification suivants :
IKEv2 : Prise en charge des protocoles IPv4 et IPv6, ainsi que des éléments suivants :
Méthodes d’authentification : Secret partagé, certificats, EAP-TLS et EAP-MSCHAPv2
Chiffrement Suite B : Certificats ECDSA (Elliptic Curve Digital Signature Algorithm), chiffrement ESP (Encapsulating Security Payload) avec les groupes GCM (Galois/Counter Mode) et ECP (Encryption Control Protocol) pour le groupe Diffie-Hellman
Fonctionnalités supplémentaires : MOBIKE (Mobility and Multihoming Protocol), fragmentation IKE (Internet Key Exchange), redirection côté serveur, split tunnel
iOS, iPadOS, macOS et visionOS prennent également en charge les protocoles et méthodes d’authentification suivants :
L2TP sur IPsec : Authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs, certificat et authentification des appareils par secret partagé ou certificat
macOS peut également utiliser l’authentification des machines Kerberos par secret partagé ou par certificat avec le protocole L2TP sur IPsec.
IPsec : Authentification des utilisateurs par mot de passe, jeton à deux facteurs et authentification des appareils par secret partagé et certificat
Si votre établissement utilise déjà ces protocoles, aucune autre configuration réseau ni aucune app tierce ne sont nécessaires pour connecter les appareils Apple à votre réseau privé virtuel.
La prise en charge inclut des technologies telles que les serveurs proxys IPv6 et les tunnels scindés. Le tunnel scindé offre une expérience VPN flexible lorsque vous vous connectez aux réseaux de lʼorganisation.
En outre, la cadre dʼapplication Network Extension permet aux développeurs de tierce partie de créer une solution VPN personnalisée pour iOS, iPadOS, macOS, tvOS et visionOS. Plusieurs fournisseurs de solutions VPN ont créé des apps qui simplifient la configuration des appareils Apple en vue d’une utilisation avec leur solution. Pour configurer un appareil en vue d’une utilisation avec une solution en particulier, installez l’app d’accompagnement et, le cas échéant, fournissez un profil de configuration incluant les réglages nécessaires.
VPN sur demande
In iOS, iPadOS, macOS, tvOS et VPN sur demande permettent aux appareils Apple d’établir automatiquement une connexion en fonction des besoins. Cette fonctionnalité requiert une méthode d’authentification qui n’impliqua pas d’interaction de la part de l’utilisateur, par exemple, une authentification par certificat. Le VPN sur demande est configuré à l’aide de la clé OnDemandRules dans les données utiles VPN d’un profil de configuration. Les règles s’appliquent en deux étapes :
Étape de détection du réseau : Définit les exigences VPN s’appliquant en cas de changement de la connexion réseau principale de l’appareil.
Étape d’évaluation de la connexion : Définit les exigences VPN pour les demandes de connexion auprès de noms de domaine en fonction des besoins.
Les règles peuvent être utilisées pour effectuer des actions comme :
Déterminer qu’un appareil Apple est connecté à un réseau interne et que la connexion VPN n’est pas nécessaire
Déterminer qu’un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est nécessaire
Démarrer le VPN en cas d’échec d’une demande de nom de domaine spécifique auprès du serveur DNS
VPN via l’app
Avec iOS, iPadOS, macOS, watchOS et visionOS 1.1, les connexions VPN peuvent être établies app par app, ce qui permet de déterminer plus précisément quelles données transitent ou non par le VPN. Cette capacité à discriminer le trafic au niveau des apps permet de séparer les données personnelles de celles de lʼorganisation. Cela permet d’assurer des connexions réseau sécurisées pour les apps à usage interne, tout en préservant la confidentialité des activités personnelles.
Le VPN via l’app permet à chaque app gérée par une solution de gestion des appareils mobiles (MDM) de communiquer avec le réseau privé via un tunnel sécurisé et empêche les apps non gérées d’utiliser ce même réseau. Pour préserver plus encore les données, les apps gérées peuvent être configurées avec des connexions VPN différentes. Par exemple, une app de création de devis peut utiliser un centre de données totalement différent de celui dʼune app de comptabilité.
Une fois que vous avez créé le VPN via l’app pour une quelconque configuration de VPN, vous devez associer cette connexion aux apps qui l’utilisent afin de sécuriser le trafic réseau pour ces apps. Cette opération nécessite dʼutiliser les données utiles de mappage VPN via l’app (macOS) ou dʼindiquer la configuration du VPN dans la commande dʼinstallation de lʼapp (iOS, iPadOS, macOS, visionOS 1.1).
La fonctionnalité VPN via l’app peut être configurée pour fonctionner avec le client VPN IKEv2 intégré à iOS, iPadOS, watchOS et visionOS 1.1. Pour en savoir plus sur la prise en charge de VPN via l’app au sein de solutions VPN personnalisées, contactez vos fournisseurs VPN.
Remarque : pour utiliser le VPN via l’app sous iOS, iPadOS, watchOS 10 et visionOS 1.1, une app doit être gérée par une solution MDM.
VPN permanent
La fonction VPN permanent disponible pour IKEv2 offre à votre organisation un contrôle complet sur le trafic des appareils dotés dʼiOS et iPadOS en créant un tunnel pour rediriger tout le trafic IP vers l’organisation. Votre établissement peut maintenant contrôler et filtrer le trafic entrant et sortant de ses appareils, sécuriser les données au sein du réseau et restreindre l’accès à Internet des appareils.
Pour activer le VPN permanent, les appareils doivent être supervisés. Une fois le profil VPN permanent installé sur un appareil, cette fonctionnalité est automatiquement activée sans intervention de l’utilisateur et le reste (même si l’appareil est redémarré) jusqu’à ce que le profil VPN permanent soit désinstallé.
Si la fonctionnalité VPN permanent est activée sur un appareil, l’utilisation ou non du tunnel VPN est liée à l’état du protocole IP de l’interface. Lorsque l’interface accède au réseau IP, elle tente d’utiliser un tunnel. Lorsque l’état du protocole IP de l’interface se dégrade, le tunnel est désactivé.
VPN permanent prend également en charge les tunnels par interface. Pour les appareils dotés de connexions cellulaires, il y a un tunnel par interface IP active (un tunnel pour l’interface cellulaire et un tunnel pour l’interface Wi-Fi). Tant que les tunnels VPN sont actifs, tout le trafic IP est acheminé dans le tunnel. Le trafic comprend tout le trafic IP acheminé et ciblé (le trafic provenant d’apps Apple telles que FaceTime et Messages). Si les tunnels ne sont pas actifs, tout le trafic IP est arrêté.
Tout le trafic acheminé à partir d’un appareil atteint un serveur VPN. Vous pouvez appliquer des traitements de filtrage et de contrôle facultatifs avant de transférer le trafic vers sa destination au sein du réseau de votre établissement ou sur Internet. De la même manière, le trafic arrivant sur l’appareil est acheminé vers le serveur VPN de votre établissement, où des processus de filtrage et de contrôle peuvent être appliqués avant que le trafic ne soit transféré vers l’appareil.
Remarque : le jumelage de lʼApple Watch nʼest pas pris en charge avec le VPN permanent.
Proxy transparent
Les proxy transparents sont un type de VPN spécial sur macOS qui peuvent être utilisés de diverses façons pour surveiller et transformer le trafic du réseau. Ils sont souvent utilisés pour filtrer du contenu et par les courtiers en bourse pour accéder aux services sur le cloud. En raison du grand nombre dʼutilisations possibles, il est recommandé de définir lʼordre dans lequel ces proxy peuvent consulter et gérer le trafic. Par exemple, il est recommandé dʼinvoquer le trafic de filtrage du proxy avant dʼinvoquer un proxy qui chiffre le trafic. Vous pouvez le faire en définissant lʼordre dans les données utiles VPN.