Implementare iPhone e iPad Network Privati Virtuali (VPN)

Implementare iPhone e iPad
Network Privati Virtuali (VPN)
I protocolli VPN standard di settore consentono l’accesso sicuro alle reti aziendali dagli
iPhone e iPad. Gli utenti possono connettersi facilmente ai sistemi aziendali con il client
VPN integrato in iOS o tramite applicazioni di Juniper, Cisco e F5 Networks.
iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione
supporta uno di questi protocolli, non servono altre configurazioni di rete o applicazioni
aggiuntive di terze parti per collegare iPhone e iPad alla VPN.
iOS supporta inoltre VPN SSL, che consente di accedere ai server VPN SSL Juniper serie SA,
Cisco ASA e F5 BIG-IP Edge Gateway. Gli utenti devono semplicemente scaricare dall’App
Store un’applicazione client VPN sviluppata da Juniper, Cisco o F5. Come altri protocolli VPN
supportati da iOS, anche VPN SSL può essere configurato manualmente sul dispositivo o
tramite un profilo di configurazione.
iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split
tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il collegamento alle
reti aziendali. Inoltre iOS è compatibile con un’ampia gamma di metodi di autenticazione,
tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento
negli ambienti dove viene utilizzata l’autenticazione basata su certificati, iOS include
la funzione “VPN su richiesta”, che avvia dinamicamente una sessione VPN quando ci si
collega a domini specificati.
Protocolli e metodi di autenticazione supportati
SSL VPN
Supporta l’autenticazione utente tramite password, token a due fattori e certificati.
Cisco IPSec
Supporta l’autenticazione utente tramite password, token a due fattori e autenticazione
automatica mediante segreto condiviso e certificati.
L2TP over IPSec
Supporta l’autenticazione utente tramite password MS-CHAP v2, token a due fattori e
autenticazione automatica mediante segreto condiviso.
PPTP
Supporta l’autenticazione utente mediante password MS-CHAP v2 e token a due fattori.
2
VPN su richiesta
Per l’autenticazione basata su certificati, iOS offre la funzione “VPN su richiesta”, che
stabilisce automaticamente una connessione quando si accede a domini predefiniti
fornendo un’immediata connettività VPN.
Questa funzione di iOS non richiede impostazioni particolari sul server. Il setup di “VPN
su richiesta” viene effettuato tramite un profilo di configurazione oppure manualmente
sul dispositivo.
“VPN su richiesta” offre le seguenti opzioni.
Sempre
Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio
specificato.
Mai
Non viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio
specificato, ma se la funzione VPN è già attiva verrà utilizzata.
Stabilisci se necessario
Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio
specificato solo dopo che si è verificato un errore di ricerca DNS.
Configurazione VPN
• iOS si integra con la maggior parte delle reti VPN esistenti, quindi dovrebbe bastare
una configurazione minima per abilitare l’accesso alla tua rete. Il modo migliore per
prepararsi all’implementazione consiste nel verificare che iOS supporti i protocolli VPN
e i metodi di autenticazione in uso nella tua azienda.
• È consigliabile rivedere il percorso di autenticazione al tuo server di autenticazione
per verificare che gli standard supportati da iOS siano abilitati all’interno della tua
implementazione.
• Se prevedi di utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura
per le chiavi pubbliche sia configurata in modo da supportare i certificati in base
utente e in base dispositivo con il relativo processo di distribuzione delle chiavi.
• Se desideri configurare il proxy con impostazioni specifiche per determinati URL, metti
un file PAC su un server web al quale si possa accedere con le normali impostazioni
VPN, assicurandoti che sia del tipo MIME application/x-ns-proxy-autoconfig.
Configurazione proxy
Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare
un solo proxy per tutte le connessioni, utilizza l’impostazione manuale e, se necessario,
fornisci i dati relativi a indirizzo, porta e autenticazione. Per dotare il dispositivo di
un file di configurazione proxy automatico mediante PAC o WPAD, puoi utilizzare
l’impostazione automatica. Per PAC, indica l’URL del file corrispondente. Per WPAD,
iPhone e iPad ottengono le necessarie impostazioni dai server DHCP e DNS.
3
Scenario di implementazione
L’esempio illustra una distribuzione tipica con un server/concentratore VPN oltre a un server di autenticazione che controlla l’accesso
ai servizi di rete aziendali.
Firewall
Firewall
3a
3b
Autenticazione
Certificato o token
Server di autenticazione VPN
Generazione token o autenticazione certificato
Servizio
di directory
2
1
4
Server/Concentratore VPN
Rete privata
5
Internet pubblico
Server proxy
1
iPhone e iPad richiedono l’accesso a servizi di rete.
2
Il server/concentratore VPN riceve la richiesta e la passa in seguito al server di autenticazione.
3
In un ambiente con token a due fattori, il server di autenticazione gestisce la generazione di una chiave con token sincronizzato temporalmente
insieme al key server. Se viene utilizzato un metodo di autenticazione con certificati, è necessario distribuire un certificato di identità prima
dell’autenticazione. Se viene utilizzato un metodo con password, il processo di autenticazione procede con la convalida dell’utente.
4
Dopo che l’utente è stato autenticato, il server di autenticazione convalida i criteri degli utenti e dei gruppi.
5
Dopo che i criteri degli utenti e dei gruppi sono stati validati, il server VPN fornisce accesso criptato e via tunnel ai servizi di rete.
6
Se viene utilizzato un server proxy, iPhone e iPad accedono alle informazioni al di fuori del firewall collegandosi tramite il server proxy.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Tutti gli
altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a
puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419828B