Skip to main content

Использование функций сетевой безопасности Apple.

Устройства Apple используют множество распространенных стандартов интернет-безопасности. Вот что делает каждый из них и как их использовать на вашем оборудовании Apple.

В сетевом мире, в котором мы живем, подключение к Интернету является повсеместным.

Обеспечение безопасности сетевых коммуникаций является одним из важнейших аспектов интернет-технологий. За десятилетия было разработано несколько различных стандартов для обеспечения безопасности сетей и устройств.

В этой статье мы рассмотрим некоторые из этих стандартов и то, как они соотносятся с устройствами Apple.

IPsec, IKEv2, L2TP

Для безопасных подключений и VPN используются три основные технологии: IPsec, IKEv2 и L2TP.

IPSec — это стандарт безопасности, который появился в результате ранних исследований DARPA ARPANET. Позднее он был формализован MIT, Motorola и NIST.

IPSec в основном используется VPN, обеспечивая безопасную аутентификацию, обмен ключами, шифрование и функции целостности данных. Если вы когда-либо устанавливали программное обеспечение VPN на одном из устройств Apple, вы использовали IPSec.

Он считается протоколом «уровня 3», который располагается поверх протоколов уровня 2, которые мы рассмотрим чуть позже.

IKEv2 — это протокол обмена ключами в Интернете. Существует три версии этого протокола: IKE, IKEv1 и IKEv2.

Он используется в IPSec и DNS для создания и обмена защищенными парами ключей во время соединений. Общие ключи являются частью инфраструктуры открытых ключей (PKI), которая устраняет необходимость в паролях.

IKE основан на двух более ранних протоколах: протоколе Oakley и ISAKMP. Эти протоколы появились в результате усилий конца 1990-х годов по защите интернет-соединений, когда стало ясно, что ранние интернет-коммуникации во многих случаях были небезопасны.

Протокол Oakley использует ныне известный алгоритм обмена ключами Диффи-Хелмана для безопасного обмена ключами для шифрования.

Серверная комната.

Серверная комната сетевой безопасности

ISAKMP — это фреймворк обмена ключами, который обеспечивает ассоциацию безопасности и ключи для использования протоколами обмена ключами, такими как IKE. Cisco приняла протоколы Oakley и ISAKMP для использования в большинстве своих продуктов VPN и маршрутизаторов.

Существуют и другие протоколы обмена ключами, такие как Kerberized Internet Negotiation of Keys (KINK) и SKEME.

L2TP или протокол туннелирования уровня 2 — это протокол туннелирования, используемый для управляющих сообщений во время сетевой коммуникации. L2TP не защищает и не шифрует данные или контент, он только шифрует управляющие сигналы, используемые в соединениях.

Этот протокол был формализован в 1999 году в спецификации RFC 2661, которая была сформирована в результате протокола L2F компании Cisco и протокола PPTP компании Microsoft. Он также использует протокол пользовательских датаграмм (UDP) во время передачи пакетов.

Главное преимущество UDP заключается в том, что это протокол широковещательной передачи без подтверждений, при котором слушатели ждут информации на определенном порту, не отвечая отправителю.

L2TP появился как потребность в безопасности для PPP (Point-To-Point Protocol), когда dial-up модемы все еще были широко распространены. Пакеты данных могут передаваться по туннелю уровня 2 с использованием одного из других дополнительных зашифрованных протоколов.

Безопасное туннелирование гарантирует, что любые данные, проходящие по туннелю, зашифрованы и контролируются только между двумя точками. Это затрудняет атакующим выполнение атак типа «повтор» и «человек посередине».

Защитите свою сеть.

Поскольку Интернет охватывает весь мир, безопасность имеет важное значение.

L2TP в основном используется в корпоративных VPN для безопасного доступа.

Многие приложения VPN доступны для устройств Apple через App Store. Большинство операционных систем Apple также предоставляют встроенные функции для простого добавления профилей VPN на устройства.

IPsec, IKEv2 и L2TP работают в основном «за кулисами», и если только вам не нужно изменить какие-то особые настройки, вам, как правило, никогда не придется беспокоиться об этом.

Сертификаты TLS, SSL и X.509

Когда в конце 1990-х годов Интернет впервые стал мейнстримом, быстро стало очевидно, что все веб-коммуникации должны быть зашифрованы. Все для того, чтобы данные нельзя было перехватить и прослушать между браузерами и серверами.

В результате был разработан протокол Secure Sockets Layer (SSL). Теперь он называется Transport Layer Security и шифрует большую часть трафика между веб-браузерами и серверами.

Буква «s» в «https» означает «безопасный» и указывает на то, что вы просматриваете веб-сайт через защищенное соединение.

SSL/TLS также может использоваться в некоторых безопасных электронных сообщениях. TLS также был предложен в 1999 году и претерпел три изменения, текущей версией которого является TLS 1.3.

SSL был изначально разработан в 1994 году для первых версий браузера Netscape Navigator, который сегодня трансформировался в Mozilla Firefox. Существует также протокол Datagram Transport Layer Security (DTLS).

TLS использует сертификаты X.509 для обмена информацией с использованием шифрования и зашифрованных рукопожатий. После завершения рукопожатия сервер обычно предоставляет клиентскому приложению сертификат, чтобы серверу можно было доверять.

Сертификаты X.509 позволяют клиентскому приложению проверять подлинность сервера, так что атаки с подменой имени не могут работать. Стандарт X.509 определен в RFC 5280 Международным союзом электросвязи (МСЭ).

Главное преимущество TLS в том, что он не позволяет никому, кто может прослушивать обмен данными, прочитать данные в открытом виде. Все из-за того, что они зашифрованы.

В большинстве случаев современные устройства Apple и большинство программного обеспечения, работающего на устройствах Apple, автоматически знают, как использовать TLS, поэтому вам не нужно беспокоиться об этом. Пока вы используете соединение «https» при просмотре веб-страниц, TLS работает автоматически.

Некоторые приложения-клиенты электронной почты, такие как Mozilla Thunderbird, позволяют указать TLS/SSL в качестве стандарта безопасности связи:

Настройки безопасности почты Thunderbird.

Интерфейс настройки безопасности TLS в Mozilla Thunderbird.

WPA/WPA2/WPA3 Enterprise и 802.1X

Когда в конце прошлого века впервые появились сети Wi-Fi, был разработан новый стандарт безопасности WEP (Wired Equivalency Privacy), позволяющий беспроводным сетям безопасно подключаться к другим устройствам.

WEP имел серьезные недостатки в безопасности, и в ответ был создан Wi-Fi Protected Access (WPA). Этот протокол претерпел три ревизии с начала 2000-х годов, а текущей версией является WPA3.

Большинство современных устройств WiFi, включая устройства Apple, поддерживают протокол WEP3 для соединений.

Устройства Apple WiFi и Ethernet также обеспечивают соединения, использующие другой протокол безопасности, называемый 802.1X. Этот протокол является частью сетевого стандарта 802, определенного IEEE, который охватывает как проводные сети WiFi, так и Ethernet.

802.1X предотвращает тип сетевой атаки, известный как Hardware Addition, когда вредоносное устройство используется для подключения к сети и выполнения хакерских действий. Например, небольшой компьютер, такой как Raspberry Pi, подключенный к свободному сетевому порту.

Благодаря использованию сервера аутентификации 802.1X обычно может предотвратить такие атаки, аутентифицируя пользователя через WiFi, LAN или WAN.

В современном мире, где устройства встречаются повсеместно, атаки с добавлением оборудования стали гораздо более распространенными, чем раньше.

WPA больше не поддерживается модемными версиями операционных систем Apple, поэтому в большинстве случаев вам придется использовать WPA2, WPA3 или какой-либо их вариант.

Режим окна входа (LWM) — это способ подключения к защищенной сети из окна входа в систему Mac, если сеть поддерживает службы каталогов.

Для использования LWM вам необходимо подключение к серверу Active Directory или Open Directory. Вам также понадобится установленный профиль конфигурации сети Mac, который включает LWM для сети, к которой вы пытаетесь подключиться.

После настройки в окне входа в Mac выберите Other из списка пользователей, затем введите имя пользователя и пароль Directory Services. Во всплывающем меню выберите сетевой интерфейс, к которому вы хотите подключиться (WiFi или Ethernet).

Active Directory и Open Directory — это технологии, которые позволяют хранить пользовательскую информацию и учетные данные на центральном сервере для аутентификации. Мы рассмотрим Open Directory в статье в ближайшем будущем.

В большинстве случаев Apple сделала сетевую безопасность бесшовной, так что вам обычно не придется беспокоиться об этом. Вышеуказанные технологии в основном являются частью веб-стандартов или стандартов Интернета, и в большинстве программ их использование происходит автоматически.