Bir iOS VPN uygulamasındaki sertifika tabanlı proxy kimlik doğrulaması, sertifikaların iOS aygıtında güvenli bir şekilde dağıtılmasını ve yönetilmesini sağlarken, VPN ve Proxy ayarlarını uygun şekilde yapılandırmaya odaklanan çeşitli teknik adımları içerir. Bu yöntem, istemciyi VPN sunucusuna ve proxy'ye doğrulamak için dijital sertifikalar kullanarak güvenliği artırarak kullanıcı tarafından girilen kimlik bilgilerine olan ihtiyacı ortadan kaldırır veya azaltır.
VPN Proxy yapılandırması iOS'ta
İOS'ta VPN Proxy yapılandırması, VPN bağlantısı için Proxy ayarları belirtilerek yapılabilir. Bu yapılandırma manuel veya otomatik olarak yönetilebilir:
- Manuel proxy kurulumu, proxy'nin adresini, bağlantı noktasını ve gerekli kimlik doğrulamasını belirtmeyi gerektirir.
-Otomatik proxy yapılandırması, Proxy Otomatik Konfigürasyon (PAC) dosyaları kullanılarak veya Web Proxy Otomatik Keşif Protokolü (WPAD) kullanılarak ayarlanabilir. Örneğin, PAC dosyaları HTTPS üzerinden barındırılabilir ve cihaza bir URL aracılığıyla sağlanabilir.
Bir VPN Proxy yapılandırması, VPN varsayılan yolu sağlarsa, VPN'nin DNS arama alanlarındaki VPN'nin DNS arama alanları içindeki ana bilgisayarlar için tüm ağ bağlantılarına uygulanmasını sağlar. Bu kurulum, VPN tünelinin bir parçası olarak trafiği proxy aracılığıyla yönlendirmek için çok önemlidir.
Sertifika Kurulumu ve Doğrulama
Sertifika tabanlı kimlik doğrulamasının uygulanması aşağıdaki anahtar sertifika hususlarını gerektirir:
- VPN sunucusu, sunucunun istemci aygıtına özgünlüğünü doğrulamak için konu alternatif adını (SubjectalTName) alanında DNS adını veya IP adresini içeren bir kimlik sertifikası sunmalıdır.
- Bu sertifika, istemci cihazı tarafından güvenilen bir Sertifika Otoritesi (CA) tarafından imzalanmalıdır.
- İstemci aygıtının sunucu sertifikasına güvenmek için CA sertifikası yüklü olması gerekir.
- VPN sunucusunun istemci sertifikalarını kabul etmek ve doğrulamak için yapılandırılması gerekir. Bu sertifikalar güvenilir bir CA tarafından verilmeli ve sunucu kullanıcı gruplarını veya rolleri tanımlamak için istemci sertifikasındaki alanları kullanabilir.
- Sertifikalar geçerli, güvenilir ve süresi dolmamalıdır. Bazı protokollerden farklı olarak, iOS VPN kurulumlarındaki sunucu tüm sertifika güven zincirini göndermez, bu nedenle cihaz zaten tam güven zincirinin yüklü olması gerekir.
iOS cihazlarında sertifikaların dağıtılması
iOS cihazları, sertifikalar düzgün bir şekilde dağıtıldığında, genellikle Microsoft Intune gibi Mobil Aygıt Yönetimi (MDM) sistemleri aracılığıyla sertifika tabanlı kimlik doğrulamasını etkin bir şekilde kullanabilir. Dağıtım için temel adımlar şunları içerir:
1. VPN sunucusunun kök CA sertifikasını aygıttaki içe aktarma ve güvenme. Bu genellikle cihaza güvenilir bir sertifika profili yüklemeyi içerir.
2. İstemci Kimlik Doğrulama Sertifikalarını yapılandırma ve dağıtma. Bunlar, Basit Sertifika Kayıt Protokolü (SCEP) veya genel anahtar şifreleme standartları (PKCS) sertifikalarını destekleyen profillerden itilebilir.
3. Sertifika kimlik doğrulamasını bağlama yöntemi olarak belirten VPN profillerinin atanması.
4. Sertifikaların temel kullanım alanlarındaki müşteri kimlik doğrulaması için uygun şekilde işaretlenmesini sağlamak.
MDM araçları, bu sertifikaların yönetilmesine, güvenlik politikalarına uygunluğun sağlanmasına ve güvenli dağıtımı otomatikleştirerek maruz kalan özel anahtarların riskini azaltmaya yardımcı olur. Bir MDM kullanmadan, sistem VPN istemci uygulamalarının manuel olarak yüklü sertifikalara serbestçe erişmesini kısıtladığı için, iOS cihazlarına manuel olarak yükleme genellikle sertifika tabanlı VPN kimlik doğrulaması için başarısız olur.
Uygulama başına VPN ve Sertifika Kimlik Doğrulaması
Apple, VPN bağlantısının sistem çapında değil, tek tek uygulamalara kapsamlanmasına izin veren uygulama başına VPN yapılandırmalarını destekler. Sertifika kimlik doğrulamasıyla uygulama başına VPN'yi ayarlarken:
- Güvenilir bir kök sertifika profili oluşturulmalı ve cihaza itilmelidir.
- İstemci sertifikasını tedarik eden bir sertifika profili (SCEP veya PKCS) yapılandırılır ve atanır.
- İstemci sertifikasını kimlik doğrulama yöntemi olarak belirleyen bir VPN profili oluşturulur.
- VPN, uygulama başına VPN yetkisini etkinleştirmek için cihaz gruplarına atanır.
Bu, yöneticilerin VPN kullanımını özellikle kurumsal ortamlarda yararlı olan belirli kurumsal uygulamalarla sınırlamasına izin verirken sertifika tabanlı kimlik doğrulama güvenliğini korur.
Özel iOS VPN Uygulamalarında Teknik Uygulama
Sertifika tabanlı proxy kimlik doğrulaması kullanan özel bir iOS VPN uygulaması oluşturan geliştiriciler için, aşağıdaki bileşenler ve API'lar önemlidir:
- VPN bağlantılarını yapılandırmak ve yönetmek için Networkextension Framework'ü kullanın.
- NEVPNManager veya NetunnelProvider'ı VPN bağlantı parametrelerini belirleyecek şekilde yapılandırın.
- İstemci sertifikalarını uygulamanın anahtarlıklarına güvenli bir şekilde yükleyin. Bu sertifikalara VPN bağlantı profili tarafından erişilebilir olmalıdır.
- İstemci sertifikasını referans alarak ve sunucu sertifikasını doğrulayarak hem VPN tüneli hem de herhangi bir proxy iletişimi için TLS kimlik doğrulamasını ayarlayın.
- Proxy ayarlarını programlı olarak kullanın, Proxy sunucu adresini ve bağlantı noktasını VPN yapılandırmasının bir parçası olarak belirleyerek PAC dosyalarını potansiyel olarak destekleyin.
- Sertifikaların geçerli olduğundan emin olmak ve beklenen kimliklerle eşleşmesini sağlamak için VPN bağlantı yaşam döngüsünün bir parçası olarak sertifika doğrulama mantığını uygulayın.
- Sertifikaların süresi dolduğunda SCEP gibi güvenli bir protokol kullanarak sertifika yenileme veya yeniden kayıt için mekanizmalar sağlayın.
Geliştiriciler ayrıca Apple'ın iOS'ta sertifika erişimi ve VPN yapılandırması konusundaki gereksinimlerini ve kısıtlamalarını da dikkate almalıdır. Örneğin, uygulamanın uygun yetkileri olmalı ve kullanıcıların MDM aracılığıyla yönetilmedikçe profillerin veya sertifikaların manuel olarak yüklenmesini kabul etmesi gerekebilir.
Zorluklar ve düşünceler
- IOS, VPN uygulamalarının MDM aracılığıyla yönetilen profillerin dışında istemci sertifikalarını kullanmasını kısıtlar ve kurumsal dağıtım stratejileri gerektirir.
- İstemci sertifikalarının manuel olarak yüklenmesi genellikle iOS sanalboxing ve sertifika erişim kısıtlamaları nedeniyle bağlantı sorunlarına yol açar.
- VPN sunucusu, istemci sertifikası doğrulamasını işleyecek ve sertifika özniteliklerinin kullanıcı izinleriyle eşleştirilmesini sağlayacak şekilde yapılandırılmalıdır.
- VPN üzerindeki proxy konfigürasyonu, VPN'nin tünelleme ve yönlendirme mekanizmaları ile uyumlu olmalıdır; Bölünmüş tünelleme ek proxy konfigürasyonu gerektirebilir.
- Genel güvenlik, ihraç, yenileme ve iptal dahil olmak üzere dikkatli sertifika yaşam döngüsü yönetimine bağlıdır.
Özet
Bir iOS VPN uygulamasında sertifika tabanlı proxy kimlik doğrulamasının uygulanması, VPN'yi Proxy ayarlarını (manuel veya PAC tabanlı) kullanacak şekilde yapılandırmayı, MDM çözümleri aracılığıyla güvenilir CA ve istemci sertifikalarının dağıtılmasını ve VPN profillerinde sertifika kimlik doğrulamasını belirtmeyi içerir. Geliştirme, anahtarlıkta güvenli bir şekilde depolanan sertifikaları kullanarak VPN bağlantılarını yapılandırmak için Apple'ın ağ bağlantılarından yararlanmasını gerektirir ve hem VPN hem de proxy düzeylerinde TLS kimlik doğrulamasını sağlar. İOS sistem kısıtlamaları nedeniyle, sertifika dağıtım ve yönetimi genellikle kesintisiz ve güvenli kimlik doğrulama deneyimlerini sağlamak için kurumsal MDM araçları aracılığıyla ele alınır.
Bu mimari, sertifikalar kullanarak güçlü kimlik doğrulaması sağlar, şifre bağımlılıklarını kaldırarak güvenliği artırır ve hepsi iOS güvenlik ve yönetim çerçevelerine uygun uygulama başına VPN yapılandırmaları gibi kurumsal senaryoları destekler.