Proxy preverjanje pristnosti v aplikaciji iOS VPN vključuje več tehničnih korakov, osredotočenih na ustrezno konfiguriranje nastavitev VPN in proxy, hkrati pa zagotavlja, da so potrdila nameščena in varno upravljanje v napravi iOS. Ta metoda izboljšuje varnost z uporabo digitalnih potrdil za overjanje odjemalca na strežniku VPN in proxy, kar odpravi ali zmanjša potrebo po uporabniških poverilnicah.
VPN Proxy konfiguracija na iOS
V iOS je konfiguracija VPN proxy mogoče izvesti tako, da določite nastavitve proxy za povezavo VPN. To konfiguracijo lahko upravljate ročno ali samodejno:
- Nastavitev ročne proxy zahteva določitev naslova, pristanišča proxyja in potrebne pristnosti.
-Samodejna konfiguracija proxy lahko nastavite s pomočjo datotek Proxy Auto-Configuration (PAC) ali z uporabo protokola za samodejno odkrivanje (WPAD) Web Proxy. Na primer, datoteke PAC lahko gostite prek HTTPS in napravo zagotovite prek URL -ja.
Uporaba konfiguracije proxy VPN zagotavlja, da se proxy uporablja bodisi za vse omrežne povezave, če VPN zagotavlja privzeto pot ali selektivno za gostitelje znotraj iskalnih domen VPN DNS, če VPN deluje v načinu razdeljenega tunela. Ta nastavitev je ključnega pomena za usmerjanje pristnosti prometa skozi proxy kot del tunela VPN.
Nastavitev in preverjanje potrdila
Izvajanje preverjanja overjanja, ki temelji na potrdila, zahteva naslednje ključne potrdila:
- Strežnik VPN mora v polju PREDSEDNIKA ALTERNACIJA (PUMENTALTNAME) predložiti potrdilo o identiteti, ki vsebuje ime DNS ali IP naslov, da potrdi verodostojnost strežnika za odjemalsko napravo.
- To potrdilo mora podpisati organ za certifikat (CA), ki mu zaupa odjemalska naprava.
- Naprava za odjemalce mora imeti nameščeno potrdilo CA, da zaupa certifikatu o strežniku.
- VPN strežnik je treba konfigurirati tako, da sprejme in potrdi potrdila o odjemalcih. Ta potrdila mora izdati zaupanja vreden CA, strežnik pa lahko uporabi polja v potrdila o odjemalcu za identifikacijo uporabniških skupin ali vlog.
- Potrdila morajo biti veljavna, zaupanja vredna in ne potečejo. Za razliko od nekaterih protokolov strežnik v iOS VPN Setups ne pošlje celotne verige zaupanja, zato mora naprava že namestiti celotno verigo zaupanja.
Uvajanje potrdil na naprave iOS
Naprave iOS lahko učinkovito uporabljajo preverjanje pristnosti, ki temelji na certifikatih, ko se potrdila pravilno namestijo, pogosto prek sistemov za upravljanje mobilnih naprav (MDM), kot je Microsoft Intune. Ključni koraki za uvajanje vključujejo:
1. uvoz in zaupanje root CA certifikata VPN strežnika v napravi. To običajno vključuje namestitev zaupanja vrednega potrdila na napravo.
2. Konfiguriranje in uvajanje potrdil o preverjanju preverjanja odjemalcev. Te lahko potisnemo skozi profile, ki podpirajo preprost protokol za vpis potrdila (SCEP) ali potrdila o javnih ključnih kriptografijah (PKCS).
3. Dodelitev profilov VPN, ki določajo preverjanje pristnosti potrdila kot metodo za povezovanje.
4. Zagotavljanje, da so potrdila ustrezno označena za preverjanje pristnosti strank v svojih ključnih poljih.
Orodja MDM pomagajo pri upravljanju teh potrdil, zagotavljajo skladnost z varnostnimi politikami in zmanjšajo tveganje izpostavljenih zasebnih ključev z avtomatizacijo varne uvajanja. Brez uporabe MDM ročno namestitev potrdil na naprave iOS pogosto ne uspe za preverjanje pristnosti VPN, ki temelji na certifikatih, saj sistem omejuje aplikacije odjemalcev VPN pri dostopu do ročno nameščenih potrdil.
Per-App VPN in preverjanje pristnosti potrdila
Apple podpira konfiguracije VPN na APP, ki omogočajo, da se povezljivost VPN širi na posamezne aplikacije in ne na celotni sistem. Pri nastavitvi VPN na App z preverjanjem potrdila:
- Profil zaupanja vrednega korenskega potrdila je treba ustvariti in potisniti na napravo.
- Profil potrdila (SCEP ali PKCS), ki dobavlja odjemalsko potrdilo, je konfiguriran in dodeljen.
- Ustvarjen je profil VPN, ki določa odjemalsko potrdilo kot metodo overjanja.
- VPN je dodeljen skupinam naprav, da omogoči pooblastilo za VPN na aplikacijo.
To ohranja varnost pristnosti, ki temelji na certifikatih, hkrati pa omogoča skrbnikom, da omejijo uporabo VPN na posebne aplikacije za podjetja, kar je še posebej uporabno v podjetniških okoljih.
Tehnična izvedba v aplikacijah za iOS VPN po meri
Za razvijalce, ki gradijo aplikacijo IOS VPN, ki uporablja potrdila o pristnosti proxy, so bistvene naslednje komponente in API-ji:
- Za konfiguracijo in upravljanje povezav VPN uporabite okvir Networkextension.
- Konfigurirajte NevpnManager ali Netunnelprovider, da določite parametre povezave VPN.
- Naložite potrdila o odjemalcu v ključ aplikacije varno. Ta potrdila morajo biti dostopna s profilom povezave VPN.
- Nastavite preverjanje pristnosti TLS tako za predor VPN kot za kakršno koli proxy komunikacijo tako, da se sklicujete na potrdilo o odjemalcu in potrdite certifikat strežnika.
- Programsko ravnajte s proxy nastavitvami in določite naslov proxy strežnika in vrata kot del konfiguracije VPN, kar potencialno podpira datoteke PAC.
- Izvedite logiko preverjanja potrdila kot del življenjskega cikla povezave VPN, da zagotovite, da so potrdila trenutna in ustreza pričakovani identiteti.
- Zagotovite mehanizme za podaljšanje ali ponovno vpisa certifikatov s pomočjo varnega protokola, kot je SCEP, ko poteče potrdila.
Razvijalci morajo razmisliti tudi o Apple -ovih zahtevah in omejitvah za dostop do potrdila in konfiguracijo VPN na iOS. Na primer, aplikacija mora imeti ustrezne pravice, uporabniki pa bodo morda morali sprejeti namestitev profilov ali potrdil ročno, razen če se upravlja prek MDM.
Izzivi in premisleki
- IOS omejuje aplikacije VPN pri uporabi certifikatov odjemalcev zunaj profilov, ki jih upravljajo prek MDM, in zahtevajo strategije uvajanja podjetij.
- Priročna namestitev odjemalskih potrdil pogosto vodi do težav s povezljivostjo zaradi iOS -ovega peska in omejitev dostopa do potrdila.
- VPN strežnik mora biti pravilno konfiguriran, da obravnava preverjanje potrdila in zagotoviti ujemanje atributov potrdila uporabnikom.
- konfiguracija proxy nad VPN mora biti združljiva z VPN -jevimi mehanizmi za tuneliranje in usmerjanje; Razcepni tuneliranje lahko zahteva dodatno konfiguracijo proxy.
- Splošna varnost je odvisna od skrbnega upravljanja življenjskega cikla certifikatov, vključno z izdajo, obnovitvijo in preklicem.
Povzetek
Izvajanje potrdila o preverjanju preverjanja pristnosti v aplikaciji iOS VPN vključuje konfiguriranje VPN za uporabo nastavitev proxy (bodisi ročno ali na PAC), uvajanje zaupanja vrednih CA in potrdil o odjemalcih prek rešitev MDM in določitev preverjanja potrdila o preverjanju potrdila v profilih VPN. Razvoj zahteva, da Apple -ov okvir Networkextension konfigurirate povezave VPN s pomočjo potrdil, ki so varno shranjene v ključni verigi, pri čemer zagotovite preverjanje pristnosti TLS tako na ravni VPN kot na proxy. Zaradi omejitev sistema iOS se uvedba in upravljanje certifikatov običajno obravnava prek podjetniških orodij MDM, da se omogočijo brezhibne in varne izkušnje overjanja.
Ta arhitektura zagotavlja močno preverjanje pristnosti s potrdili, izboljšuje varnost z odstranjevanjem odvisnosti od gesla in podpira scenarije podjetij, kot so konfiguracije VPN, ki so v skladu z varnostnimi in upravljavskimi okviri iOS.