Главная » Блоги Экспертов И ИТ-Компаний » Как Apple защищает iOS. Часть 2
Статус не указан

Как Apple защищает iOS. Часть 2

Как Apple защищает iOS. Часть 2

К выпуску нового iPhone вышла первая часть статьи о функциях безопасности в экосистеме Apple iOS. Во второй части эксперты группы компаний Angara рассмотрели функции сетевой защиты. 

Функции защиты включают стандартные механизмы: VPN, защиту Wi-Fi и Bluetooth. В части реализации VPN, Apple iOS поддерживает следующие протоколы и алгоритмы: 

  • IKEv2/IPSec с аутентификацией по shared secret, RSA Certificates, ECDSA Certificates, EAP-MSCHAPv2, EAP-TLS;

  • SSL-VPN с использованием приложения-клиента из App Store;

  • Cisco IPSec с аутентификацией пользователя или устройства по паролю (shared secret или certificates);

  • L2TP/IPSec с аутентификацией пользователя по MS-CHAPV2 password или устройства по паролю (shared secret).

 В системе поддерживаются методы инициализации соединения: 

  • VPN по запросу — для доступа к определенному сетевому сегменту или домену необходима виртуальная частная сеть. Используется VPN configuration profile.

  • Подключение VPN по приложению — для работы конкретного корпоративного приложения требуется VPN соединение, или политика MDM диктует использование VPN в рамках работы определенного приложения, например, для специфичных доменов в Safari.

  • Всегда включенный VPN, сконфигурированный политикой MDM, или аналогичной политикой (Apple Configurator 2, Apple School Manager, Apple Business Manager). Обязывает пользователя использовать VPN при соединении с Wi-fi или сотовой связью. По умолчанию используется двухфазная IKEv2 - шифруются и направляются в туннель все соединения, за счет чего можно полностью контролировать и фильтровать от нежелательного контента весь трафик.

В части защиты Wi-Fi реализована поддержка всех индустриальных стандартов: WPA2, 802.1x и RADIUS аутентификацию EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1, LEAP. В дополнение к WPA2 начиная с iPhone 6 и iPad Air 2 в устройствах реализован механизм Protected Management Frame (PMF). PMF или стандарт 802.11w обеспечивает защиту юникаст и мультикаст кадров управления при общении с точкой доступа. Например, защита от несанкционированного сброса подключения к точке доступа злоумышленником с целью прослушки ключевой информации.

При сканировании Wi-Fi сетей устройство использует случайный (рандомный) MAC адрес. До тех пор, пока устройство не ассоциировало себя с конкретной сетью, оно использует случайный MAC адрес: при геолокации, поиске Wi-Fi сети, выполнении процедуры Preferred Network Offload (ePNO – сканирование сетей, связанное с геопозицией устройства). Если же подключение идет к конкретной известной устройству сети – используется его настоящий MAC. Таким образом, нельзя отследить устройство по MAC-адресу пока оно не подключено к преднастроенной  Wi-Fi сети.

Для защиты памяти устройства при сетевых взломах, доступ сетевых интерфейсов к ячейкам памяти ограничен. Сетевой интерфейс USB или SDIO не может получить прямой доступ к транзакциям памяти - Direct Memory Access (DMA) transactions. Интерфейс через шину PCIe получает свою изолированную часть шины и только выделенные страницы памяти.

Интерфейс Bluetooth используется в составе следующих профилей устройств: 

  • Hands-Free Profile (HFP)

  • Phone Book Access Profile (PBAP)

  • Message Access Profile (MAP)

  • Advanced Audio Distribution Profile (A2DP)

  • Audio/Video Remote Control Profile (AVRCP)

  • Personal Area Network Profile (PAN)

  • Human Interface Device Profile (HID)

Для защиты Bluetooth поддерживаются протоколы и алгоритмы Encryption Mode 3, Security Mode 4 и Service Level 1. Реализация протокола Bluetooth в iOS ограничена указанными профилями и не имеет доступа к персональным данным пользователя. 

В следующей статье рассмотрим  безопасность операций с платежами — Apple Pay. 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
angaratech.ru, Менеджер
8 (495) 269-26-06
Информационные технологии

Группа компаний ANGARA, представленная головной организацией Angara Technologies Group и сервис-провайдером Angara Professional Assistance, предоставляет полный спектр услуг по информационной безопасности, начиная с поставки и внедрения оборудования и ПО, заканчивая комплексом мероприятий по сопровождению ИТ- и ИБ-систем клиентов.

⭐ ТОП-10 самых быстрорастущих ИТ-компаний России (7 место, CNews); ⭐ ТОП-20 крупнейших компаний информационной безопасности (13 место, TAdviser); ⭐ ТОП-20 крупнейших поставщиков для банков (19 место, TAdviser); ⭐ ТОП-100 крупнейших ИТ-компаний России по версии CNews  и TAdviser.

Angara Technologies Group была основана в 2015 году группой из 10 единомышленников. Сегодня компания имеет развитую партнерскую сеть из более чем 100 российских и зарубежных производителей в области информационной безопасности, включая Гарда Технологии, Код Безопасности, Kaspersky, R-Vision, Krontech, Palo Alto, Positive Technologies, Trend Micro и других.

В штате Angara Technologies Group более 140 сотрудников высокого уровня квалификации. На счету компании более 70-ти реализованных проектов.

Angara Professional Assistance — это высокотехнологичный сервис-провайдер, предоставляющий сервисы по модели Security as a service, по аутсорсингу информационной безопасности, услуги по сопровождению и поддержке работоспособности ИТ- и ИБ-систем клиентов, повышению эффективности их работы и обеспечению непрерывности выполняемых функций.

Нам доверяют крупнейшие компании из банковской и промышленной  сфер, телеком-компании и государственные структуры.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>