Implementare iPhone e iPad Network Privati Virtuali (VPN)
Transcript
Implementare iPhone e iPad Network Privati Virtuali (VPN)
Implementare iPhone e iPad Network Privati Virtuali (VPN) I protocolli VPN standard di settore consentono l’accesso sicuro alle reti aziendali dagli iPhone e iPad. Gli utenti possono connettersi facilmente ai sistemi aziendali con il client VPN integrato in iOS o tramite applicazioni di Juniper, Cisco e F5 Networks. iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione supporta uno di questi protocolli, non servono altre configurazioni di rete o applicazioni aggiuntive di terze parti per collegare iPhone e iPad alla VPN. iOS supporta inoltre VPN SSL, che consente di accedere ai server VPN SSL Juniper serie SA, Cisco ASA e F5 BIG-IP Edge Gateway. Gli utenti devono semplicemente scaricare dall’App Store un’applicazione client VPN sviluppata da Juniper, Cisco o F5. Come altri protocolli VPN supportati da iOS, anche VPN SSL può essere configurato manualmente sul dispositivo o tramite un profilo di configurazione. iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il collegamento alle reti aziendali. Inoltre iOS è compatibile con un’ampia gamma di metodi di autenticazione, tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento negli ambienti dove viene utilizzata l’autenticazione basata su certificati, iOS include la funzione “VPN su richiesta”, che avvia dinamicamente una sessione VPN quando ci si collega a domini specificati. Protocolli e metodi di autenticazione supportati SSL VPN Supporta l’autenticazione utente tramite password, token a due fattori e certificati. Cisco IPSec Supporta l’autenticazione utente tramite password, token a due fattori e autenticazione automatica mediante segreto condiviso e certificati. L2TP over IPSec Supporta l’autenticazione utente tramite password MS-CHAP v2, token a due fattori e autenticazione automatica mediante segreto condiviso. PPTP Supporta l’autenticazione utente mediante password MS-CHAP v2 e token a due fattori. 2 VPN su richiesta Per l’autenticazione basata su certificati, iOS offre la funzione “VPN su richiesta”, che stabilisce automaticamente una connessione quando si accede a domini predefiniti fornendo un’immediata connettività VPN. Questa funzione di iOS non richiede impostazioni particolari sul server. Il setup di “VPN su richiesta” viene effettuato tramite un profilo di configurazione oppure manualmente sul dispositivo. “VPN su richiesta” offre le seguenti opzioni. Sempre Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato. Mai Non viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato, ma se la funzione VPN è già attiva verrà utilizzata. Stabilisci se necessario Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato solo dopo che si è verificato un errore di ricerca DNS. Configurazione VPN • iOS si integra con la maggior parte delle reti VPN esistenti, quindi dovrebbe bastare una configurazione minima per abilitare l’accesso alla tua rete. Il modo migliore per prepararsi all’implementazione consiste nel verificare che iOS supporti i protocolli VPN e i metodi di autenticazione in uso nella tua azienda. • È consigliabile rivedere il percorso di autenticazione al tuo server di autenticazione per verificare che gli standard supportati da iOS siano abilitati all’interno della tua implementazione. • Se prevedi di utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura per le chiavi pubbliche sia configurata in modo da supportare i certificati in base utente e in base dispositivo con il relativo processo di distribuzione delle chiavi. • Se desideri configurare il proxy con impostazioni specifiche per determinati URL, metti un file PAC su un server web al quale si possa accedere con le normali impostazioni VPN, assicurandoti che sia del tipo MIME application/x-ns-proxy-autoconfig. Configurazione proxy Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare un solo proxy per tutte le connessioni, utilizza l’impostazione manuale e, se necessario, fornisci i dati relativi a indirizzo, porta e autenticazione. Per dotare il dispositivo di un file di configurazione proxy automatico mediante PAC o WPAD, puoi utilizzare l’impostazione automatica. Per PAC, indica l’URL del file corrispondente. Per WPAD, iPhone e iPad ottengono le necessarie impostazioni dai server DHCP e DNS. 3 Scenario di implementazione L’esempio illustra una distribuzione tipica con un server/concentratore VPN oltre a un server di autenticazione che controlla l’accesso ai servizi di rete aziendali. Firewall Firewall 3a 3b Autenticazione Certificato o token Server di autenticazione VPN Generazione token o autenticazione certificato Servizio di directory 2 1 4 Server/Concentratore VPN Rete privata 5 Internet pubblico Server proxy 1 iPhone e iPad richiedono l’accesso a servizi di rete. 2 Il server/concentratore VPN riceve la richiesta e la passa in seguito al server di autenticazione. 3 In un ambiente con token a due fattori, il server di autenticazione gestisce la generazione di una chiave con token sincronizzato temporalmente insieme al key server. Se viene utilizzato un metodo di autenticazione con certificati, è necessario distribuire un certificato di identità prima dell’autenticazione. Se viene utilizzato un metodo con password, il processo di autenticazione procede con la convalida dell’utente. 4 Dopo che l’utente è stato autenticato, il server di autenticazione convalida i criteri degli utenti e dei gruppi. 5 Dopo che i criteri degli utenti e dei gruppi sono stati validati, il server VPN fornisce accesso criptato e via tunnel ai servizi di rete. 6 Se viene utilizzato un server proxy, iPhone e iPad accedono alle informazioni al di fuori del firewall collegandosi tramite il server proxy. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419828B