Implementare iPhone e iPad Network Privati Virtuali (VPN)

I protocolli VPN standard di settore consentono laccesso sicuro alle reti aziendali dagli iPhone e iPad. Gli utenti possono connettersi facilmente ai sistemi aziendali con il client VPN integrato in iOS o tramite applicazioni di Juniper, Cisco e F5 Networks. iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione supporta uno di questi protocolli, non servono altre configurazioni di rete o applicazioni aggiuntive di terze parti per collegare iPhone e iPad alla VPN. iOS supporta inoltre VPN SSL, che consente di accedere ai server VPN SSL Juniper serie SA, Cisco ASA e F5 BIG-IP Edge Gateway. Gli utenti devono semplicemente scaricare dallApp Store unapplicazione client VPN sviluppata da Juniper, Cisco o F5. Come altri protocolli VPN supportati da iOS, anche VPN SSL pu essere configurato manualmente sul dispositivo o tramite un profilo di configurazione. iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split tunneling, assicurando la disponibilit di tutte le funzioni VPN durante il collegamento alle reti aziendali. Inoltre iOS compatibile con unampia gamma di metodi di autenticazione, tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento negli ambienti dove viene utilizzata lautenticazione basata su certificati, iOS include la funzione VPN su richiesta , che avvia dinamicamente una sessione VPN quando ci si collega a domini specificati.

Protocolli e metodi di autenticazione supportati

SSL VPN Supporta lautenticazione utente tramite password, token a due fattori e certificati. Cisco IPSec Supporta lautenticazione utente tramite password, token a due fattori e autenticazione automatica mediante segreto condiviso e certificati. L2TP over IPSec Supporta lautenticazione utente tramite password MS-CHAP v2, token a due fattori e autenticazione automatica mediante segreto condiviso. PPTP Supporta lautenticazione utente mediante password MS-CHAP v2 e token a due fattori.

VPN su richiesta
Per lautenticazione basata su certificati, iOS offre la funzione VPN su richiesta , che stabilisce automaticamente una connessione quando si accede a domini predefiniti fornendo unimmediata connettivit VPN. Questa funzione di iOS non richiede impostazioni particolari sul server. Il setup di VPN su richiesta viene effettuato tramite un profilo di configurazione oppure manualmente sul dispositivo. VPN su richiesta offre le seguenti opzioni. Sempre Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato. Mai Non viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato, ma se la funzione VPN gi attiva verr utilizzata. Stabilisci se necessario Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato solo dopo che si verificato un errore di ricerca DNS.

Configurazione VPN
iOS si integra con la maggior parte delle reti VPN esistenti, quindi dovrebbe bastare una configurazione minima per abilitare laccesso alla tua rete. Il modo migliore per prepararsi allimplementazione consiste nel verificare che iOS supporti i protocolli VPN e i metodi di autenticazione in uso nella tua azienda. consigliabile rivedere il percorso di autenticazione al tuo server di autenticazione per verificare che gli standard supportati da iOS siano abilitati allinterno della tua implementazione. Se prevedi di utilizzare lautenticazione con certificati, assicurati che la tua infrastruttura per le chiavi pubbliche sia configurata in modo da supportare i certificati in base utente e in base dispositivo con il relativo processo di distribuzione delle chiavi. Se desideri configurare il proxy con impostazioni specifiche per determinati URL, metti un file PAC su un server web al quale si possa accedere con le normali impostazioni VPN, assicurandoti che sia del tipo MIME application/x-ns-proxy-autoconfig.

Configurazione proxy
Per tutte le configurazioni anche possibile specificare un proxy VPN. Per configurare un solo proxy per tutte le connessioni, utilizza limpostazione manuale e, se necessario, fornisci i dati relativi a indirizzo, porta e autenticazione. Per dotare il dispositivo di un file di configurazione proxy automatico mediante PAC o WPAD, puoi utilizzare limpostazione automatica. Per PAC, indica lURL del file corrispondente. Per WPAD, iPhone e iPad ottengono le necessarie impostazioni dai server DHCP e DNS.

Scenario di implementazione
Lesempio illustra una distribuzione tipica con un server/concentratore VPN oltre a un server di autenticazione che controlla laccesso ai servizi di rete aziendali.
Firewall 3a Autenticazione Certificato o token Server di autenticazione VPN Generazione token o autenticazione certificato Firewall 3b Servizio di directory

1 Server/Concentratore VPN

4 Rete privata

5 Internet pubblico Server proxy

1 2 3

iPhone e iPad richiedono laccesso a servizi di rete. Il server/concentratore VPN riceve la richiesta e la passa in seguito al server di autenticazione. In un ambiente con token a due fattori, il server di autenticazione gestisce la generazione di una chiave con token sincronizzato temporalmente insieme al key server. Se viene utilizzato un metodo di autenticazione con certificati, necessario distribuire un certificato di identit prima dellautenticazione. Se viene utilizzato un metodo con password, il processo di autenticazione procede con la convalida dellutente. Dopo che lutente stato autenticato, il server di autenticazione convalida i criteri degli utenti e dei gruppi. Dopo che i criteri degli utenti e dei gruppi sono stati validati, il server VPN fornisce accesso criptato e via tunnel ai servizi di rete. Se viene utilizzato un server proxy, iPhone e iPad accedono alle informazioni al di fuori del firewall collegandosi tramite il server proxy.

4 5 6

2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. App Store un marchio di servizio di Apple Inc. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale fornito a puro titolo informativo; Apple non si assume alcuna responsabilit in merito al suo utilizzo. Ottobre 2011 L419828B