Autentifikácia proxy založeného na certifikáte v aplikácii iOS VPN zahŕňa niekoľko technických krokov zameraných na konfiguráciu nastavení VPN a proxy primerane primerane a zároveň zaisťuje, že certifikáty sú nasadené a bezpečne spravované na zariadení iOS. Táto metóda vylepšuje bezpečnosť pomocou digitálnych certifikátov na overenie klienta na server VPN a proxy, eliminuje alebo zníži potrebu zadaných poverení zadaných používateľom.
VPN Proxy Configuration na iOS
V iOS je možné vykonať konfiguráciu proxy VPN zadaním nastavení proxy pre pripojenie VPN. Túto konfiguráciu je možné spravovať manuálne alebo automaticky:
- Manuálne nastavenie proxy vyžaduje zadanie adresy proxy, port a akékoľvek potrebné overovanie.
-Automatická konfigurácia proxy je možné nastaviť pomocou súborov Proxy Auto-Configuration (PAC) alebo pomocou protokolu Web Proxy Auto-Discovery Protocol (WPAD). Napríklad súbory PAC môžu byť hostované cez HTTPS a poskytnuté zariadeniu prostredníctvom adresy URL.
Použitím konfigurácie proxy VPN zaisťuje, že proxy sa aplikuje buď na všetky sieťové pripojenia, ak VPN poskytuje predvolenú cestu alebo selektívne pre hostiteľov v vyhľadávacích doménach VPN, ak VPN pracuje v režime Split Tunnel. Toto nastavenie je rozhodujúce pre riadenie overovania prenosu prostredníctvom proxy ako súčasť tunela VPN.
Nastavenie a overenie certifikátu
Implementácia autentifikácie založenej na certifikáte vyžaduje nasledujúce kľúčové úvahy o certifikáte:
- Server VPN musí predložiť certifikát identity, ktorý obsahuje jeho názov DNS alebo IP adresu v poli alternatívny názov subjektu (subjekty), aby sa klientske zariadenie overilo autenticitu servera.
- Tento certifikát musí podpísať certifikačný orgán (CA), ktorý dôveruje klientskemu zariadeniu.
- Klientske zariadenie musí mať nainštalovaný certifikát CA, aby dôveroval certifikátu servera.
- Server VPN musí byť nakonfigurovaný na prijímanie a overenie klientskych certifikátov. Tieto certifikáty by mali byť vydané dôveryhodnou CA a server môže použiť polia v klientskom certifikáte na identifikáciu skupín alebo rolí používateľov.
- Certifikáty musia byť platné, dôveryhodné a neplatnosť. Na rozdiel od niektorých protokolov server v nastaveniach iOS VPN neodosiela celý trustový reťazec certifikátov, takže zariadenie už musí mať nainštalovaný úplný reťazec dôveryhodného reťazca.
Nasadenie certifikátov na zariadeniach iOS
Zariadenia iOS môžu efektívne využívať autentifikáciu založené na certifikáte, keď sú certifikáty správne nasadené, často prostredníctvom systémov mobilných zariadení (MDM), ako je Microsoft Intune. Kľúčové kroky na nasadenie zahŕňajú:
1. Importovať a dôverovať certifikátu koreňového CA servera VPN v zariadení. To zvyčajne zahŕňa inštaláciu dôveryhodného profilu certifikátu do zariadenia.
2. Konfigurácia a nasadenie certifikátov overovania klienta. Môžu byť presadzované prostredníctvom profilov, ktoré podporujú certifikáty SIMPLIFÁCIE PROTOKOLA SIMPLIFIKÁCIE PROTOKOLY CERTIFIKÁTNEHO ZÁVEREJNÉHO PROTOKOLY ALEBO PUBLITÁLNEHO KLYPOGRATION CRANDARDS (PKCS).
3. Priradenie profilov VPN, ktoré určujú autentifikáciu certifikátu ako metódu pripojenia.
4. Zabezpečenie primeraného označenia certifikátov pre autentifikáciu klienta v ich kľúčových poliach používania.
Nástroje MDM pomáhajú spravovať tieto certifikáty, zabezpečujú dodržiavanie bezpečnostných politík a znižujú riziko exponovaných súkromných kľúčov automatizáciou bezpečného nasadenia. Bez použitia MDM ručne inštalácia certifikátov na zariadeniach iOS často zlyháva pre autentifikáciu VPN založených na certifikáte, pretože systém obmedzuje klientske aplikácie VPN v prístupe k manuálne nainštalovaným certifikátom voľne.
Per-App VPN a autentifikácia certifikátu
Spoločnosť Apple podporuje konfigurácie VPN vpn na APP, ktoré umožňujú pripojenie VPN pripojenia skôr k jednotlivým aplikáciám ako k systémovým systémom. Pri nastavovaní VPN na App s overením certifikátu:
- Musí sa vytvoriť a posunúť do zariadenia, musí sa vytvoriť a posunúť dôveryhodný profil koreňového certifikátu.
- Profil certifikátu (SCEP alebo PKCS), ktorý poskytuje klientsky certifikát, je nakonfigurovaný a priradený.
- Vytvorí sa profil VPN, ktorý je určujúci klientsky certifikát ako metódu autentifikácie.
- VPN je priradený skupinám zariadení na povolenie autorizácie VPN na APP.
Tým sa zachováva zaistenie autentifikácie založenej na certifikáte a zároveň umožňuje správcom obmedziť využitie VPN na konkrétne podnikové aplikácie, ktoré sú obzvlášť užitočné v podnikových prostrediach.
Technická implementácia vo vlastných aplikáciách iOS VPN
Pre vývojárov, ktorí vytvárajú vlastnú aplikáciu pre iOS VPN, ktorá používa autentifikáciu proxy založené na certifikáte, sú nevyhnutné nasledujúce komponenty a API:
- Na konfiguráciu a správu pripojení VPN použite rámca NetworkExtension Framework.
- Nakonfigurujte NevpnManager alebo NetUnnelProvider na zadanie parametrov pripojenia VPN.
- Bezpečne načítajte klientske certifikáty do kľúča aplikácie. Tieto certifikáty musia byť prístupné profilom pripojenia VPN.
- Nastavte autentifikáciu TLS pre tunel VPN aj pre akúkoľvek proxy komunikáciu odkazom na klientsky certifikát a overovaním certifikátu servera.
- Programovo spracovať nastavenia proxy a zadajte adresu servera Proxy Server a port ako súčasť konfigurácie VPN, ktorá potenciálne podporuje súbory PAC.
- Implementovať logiku overenia certifikátu ako súčasť životného cyklu pripojenia VPN, aby ste zaistili, že certifikáty sú aktuálne a zodpovedajú očakávaným totožám.
- Poskytnite mechanizmy na obnovenie certifikátu alebo opätovné prijatie pomocou zabezpečeného protokolu, ako je SCEP, keď platnosť certifikátov vyprší.
Vývojári musia tiež zvážiť požiadavky a obmedzenia spoločnosti Apple o prístupu certifikátu a konfigurácie VPN na iOS. Napríklad aplikácia musí mať správne nároky a používatelia môžu potrebovať ručne prijať inštaláciu profilov alebo certifikátov, pokiaľ nie sú spravované prostredníctvom MDM.
Výzvy a úvahy
- IOS obmedzuje aplikácie VPN z používania klientskych certifikátov mimo profilov spravovaných prostredníctvom MDM, čo si vyžaduje stratégie podnikového nasadenia.
- Manuálna inštalácia klientskych certifikátov často vedie k problémom s pripojením v dôsledku obmedzení pre pieskovisko iOS a obmedzenia prístupu certifikátu.
- Server VPN musí byť správne nakonfigurovaný tak, aby spracoval validáciu certifikátu klienta a zabezpečil zodpovednosť atribútov certifikátu k povoleniam používateľov.
- Konfigurácia proxy nad VPN musí byť kompatibilná s mechanizmami tunelovania a smerovania VPN; Split Tunneling môže vyžadovať ďalšiu konfiguráciu proxy.
- Celková bezpečnosť závisí od starostlivého riadenia životného cyklu osvedčenia vrátane vydávania, obnovy a zrušenia.
Zhrnutie
Implementácia autentifikácie proxy založeného na certifikáte v aplikácii IOS VPN zahŕňa konfiguráciu VPN na používanie nastavení proxy (manuálne alebo založené na PAC), nasadenie dôveryhodných CA a klientskych certifikátov prostredníctvom riešení MDM a špecifikáciu autentifikácie certifikátov v profiloch VPN. Vývoj vyžaduje využitie rámca sietí spoločnosti Apple na konfiguráciu pripojení VPN pomocou certifikátov uložených bezpečne v Keychain, čím sa zabezpečí autentifikácia TLS na úrovniach VPN aj proxy. Vzhľadom na obmedzenia systému iOS sa zavádzanie certifikátov a správa zvyčajne zaobchádza prostredníctvom nástrojov Enterprise MDM, aby sa umožnili plynulé a bezpečné zážitky z overovania.
Táto architektúra zaisťuje silné autentifikáciu pomocou certifikátov, zlepšuje bezpečnosť odstránením závislostí od hesla a podporuje podnikové scenáre, ako sú konfigurácie VPN na APP, všetky zhodujú s rámcami bezpečnosti a správy iOS.