Apple aygıt dağıtımı için VPN hakkında genel bilgi
iOS’te, iPadOS’te, macOS’te, tvOS’te, watchOS’te ve visionOS’te iyi tanınan endüstri standardı sanal özel ağ (VPN) protokolleri kullanılarak özel kurumsal ağlara güvenli bir şekilde erişilebilir.
Desteklenen protokoller
iOS, iPadOS, macOS, tvOS, watchOS ve visionOS, aşağıdaki protokolleri ve kimlik doğrulama yöntemlerini destekler:
IKEv2: IPv4 ve IPv6 ile aşağıdakilere yönelik destek:
Kimlik doğrulama yöntemleri: Paylaşılan sır, sertifikalar, EAP-TLS ve EAP-MSCHAPv2
Suite B kriptografisi: ECDSA sertifikaları, Diffie-Hellman Grubu için GCM ve ECP gruplarıyla ESP şifrelemesi
Ek özellikler: MOBIKE, IKE fragmantasyonu, sunucu yönlendirmesi, bölünmüş tünel
iOS, iPadOS, macOS ve visionOS, aşağıdaki protokolleri ve kimlik doğrulama yöntemlerini de destekler:
IPsec üzerinden L2TP: MS-CHAP v2 parolası, iki aşamalı jeton ve sertifika ile kullanıcı kimlik doğrulaması; paylaşılan sır veya sertifika ile makine kimlik doğrulaması
macOS, paylaşılan sır veya sertifika ile Kerberos makine kimlik doğrulamasını IPsec üzerinden L2TP ile de kullanabilir.
IPsec: Parola ve iki aşamalı jeton ile kullanıcı kimlik doğrulaması; paylaşılan sır ve sertifikalar ile makine kimlik doğrulaması
Kuruluşunuz bu protokolleri destekliyorsa Apple aygıtlarını sanal özel ağınıza bağlamak için başka bir ağ konfigürasyonu veya üçüncü parti bir uygulama gerekmez.
Bu desteğe IPv6, proxy sunucuları ve bölünmüş tünelleme gibi teknolojiler de dahildir. Bölünmüş tünelleme, bir kuruluşun ağlarına bağlanırken esnek bir VPN deneyimi sunar.
Ayrıca Network Extension (ağ genişletmesi) framework’ü, üçüncü parti geliştiricilerin iOS, iPadOS, macOS, tvOS ve visionOS için özel VPN çözümü yaratmasına olanak tanır. Birçok VPN sağlayıcısı, Apple aygıtlarını kendi çözümleriyle birlikte kullanım için ayarlamaya yardımcı olacak uygulamalar yaratmıştır. Bir aygıtı belirli bir çözüme yönelik ayarlamak için sağlayıcının eşlik eden uygulamasını yükleyin ve isteğe bağlı olarak, gerekli ayarları içeren bir konfigürasyon profili sağlayın.
İstendiğinde VPN
iOS’te, iPadOS’te, macOS’te ve tvOS’te İstendiğinde VPN, Apple aygıtlarının gerektiğinde otomatik bağlantı kurmasını sağlar. Kullanıcı etkileşimi içermeyen bir kimlik doğrulama yöntemi (örneğin sertifika tabanlı kimlik doğrulama) gerektirir. İstendiğinde VPN, konfigürasyon profilinin VPN verisinde OnDemandRules anahtarı kullanılarak ayarlanır. Kurallar iki aşamada uygulanır:
Ağ algılama aşaması: Aygıtın birincil ağ bağlantısı değiştiğinde uygulanacak VPN koşullarını tanımlar.
Bağlantı değerlendirme aşaması: Alan adlarına bağlantı istekleri için VPN koşullarını gerektiğinde ilkesine göre tanımlar.
Kurallar, aşağıdaki türden işlemler için kullanılabilir:
Bir Apple aygıtının dahili bir ağa bağlandığını ve VPN’in gerekli olmadığını algılama
Bilinmeyen bir Wi-Fi ağı kullanıldığını algılama ve VPN gerektirme
Belirtilen alan adı için DNS isteği başarısız olduğunda VPN’i başlatma
Her uygulama için VPN
iOS’te, iPadOS’te, macOS’te, watchOS’te ve visionOS 1.1’de VPN bağlantıları uygulama bazında kurulabilir, böylece VPN’den geçen veriler üzerinde daha ayrıntılı denetim sağlanır. Bu uygulama düzeyinde trafiği ayırma yeteneği, kişisel verilerin kuruluş verilerinden ayrılmasına izin verir; sonuç olarak kişisel aygıt etkinliğinin gizliliğini korurken aynı anda dahili kullanım uygulamaları için güvenli ağ sağlar.
Her uygulama için VPN, bir mobil aygıt yönetimi (MDM) çözümüyle yönetilen her uygulamanın özel ağla güvenli bir tünel kullanarak iletişim kurmasını sağlarken yönetilmeyen uygulamaları özel ağ kullanımı dışında bırakır. Verileri daha fazla korumak için Yönetilen Uygulamalar farklı VPN bağlantılarıyla ayarlanabilir. Örneğin, bir satış teklifi uygulaması bir ticari borç uygulamasından tümüyle farklı bir veri merkezi kullanabilir.
Herhangi bir VPN konfigürasyonunda her uygulama için VPN yaratıldıktan sonra, bu bağlantıyı, kendilerinin ağ trafiğini güvenli hâle getirmek için kullanan uygulamalarla ilişkilendirmeniz gerekir. Bunu her uygulama için VPN eşleme verisi ile (macOS) ya da uygulama yükleme komutu içinde VPN konfigürasyonunu belirterek (iOS, iPadOS, macOS, visionOS 1.1) yapabilirsiniz.
Her uygulama için VPN; iOS’teki, iPadOS’teki, watchOS’teki ve visionOS 1.1’deki yerleşik IKEv2 VPN istemcisiyle çalışacak şekilde ayarlanabilir. Özel VPN çözümlerinde her uygulama için VPN desteği hakkında bilgi almak istiyorsanız VPN satıcılarınıza danışın.
Not: iOS’te, iPadOS’te, watchOS 10’da ve visionOS 1.1’de her uygulama için VPN kullanılmak isteniyorsa uygulamanın MDM tarafından yönetilmesi gerekir.
Always On VPN
IKEv2 için kullanılabilecek Her Zaman Açık VPN, tüm IP trafiğini tünel kullanımı yoluyla yeniden kuruluşa yönlendirerek iOS ve iPadOS trafiği konusunda kuruluşunuza tam denetim verir. Kuruluşunuz artık aygıtlara gelen ve aygıtlardan giden trafiği izleyip filtreleyebilir, ağınızdaki verileri güvenlik altına alabilir ve İnternet’e aygıt erişimini sınırlayabilir.
Her Zaman Açık VPN’i etkinleştirmek için aygıtın denetlenip yönetiliyor olması gerekir. Her Zaman Açık VPN profili aygıta yüklendikten sonra, Her Zaman Açık VPN kullanıcı etkileşimi olmaksızın otomatik olarak etkinleştirilir ve Her Zaman Açık VPN profili kaldırılana kadar hep etkin kalır (yeniden başlatmalar dahil).
Aygıtta Her Zaman Açık VPN etkinleştirildikten sonra VPN tüneli oluşturma ve kesme, arabirimin IP durumuna bağlıdır. Arabirim IP ağı erişilebilirliği kazandığında, tünel oluşturmaya çalışır. Arabirim IP durumu çalışmamaya başladığında, tünel kesilir.
Her Zaman Açık VPN, arabirim bazında tünelleri de destekler. Hücresel bağlantılara sahip aygıtlarda, her bir etkin IP arabirimi için bir tünel vardır (bir başka deyişle hücresel arabirim için bir tünel ve Wi-Fi arabirimi için bir tünel). VPN tünelleri çalıştığı sürece tüm IP trafiği tünelden geçer. Trafiğe, yönlendirilen tüm IP trafiği ve IP kapsamındaki tüm trafik (FaceTime ve Mesajlar gibi birinci parti uygulamalardan gelen trafik) dahildir. Tüneller çalışmıyorsa, tüm IP trafiği kesilir.
Bir aygıttan tünel yoluyla gelen tüm trafik VPN sunucuya ulaşır. Trafiği kuruluş ağınızın içindeki hedefine veya İnternet’e iletmeden önce isteğe bağlı filtreleme ve izleme işlemleri uygulayabilirsiniz. Benzer şekilde, aygıtınıza gelen trafik, aygıtınıza iletilmeden önce filtreleme ve izleme işlemlerinin uygulanabileceği kuruluşunuzun VPN sunucusuna yönlendirilir.
Not: Apple Watch eşleme, Her Zaman Açık VPN ile desteklenmez.
Şeffaf proxy
Şeffaf proxy’ler macOS’te özel bir VPN türüdür ve ağ trafiğini izleyip dönüştürmek için farklı şekillerde kullanılabilir. Yaygın kullanım senaryoları arasında içerik filtresi çözümleri ve bulut servislerine erişme aracıları sayılabilir. Kullanım alanı çeşitliliği nedeniyle, bu proxy’lerin trafiği görebilecekleri ve işleyebilecekleri sırayı tanımlamanız önerilir. Örneğin trafiği şifreleyen bir proxy’yi başlatmadan önce ağ trafiğini filtreleyen proxy’yi başlatmak isteyebilirsiniz. Bunu, VPN verisinde sıralamayı tanımlayarak yaparsınız.