最近更新时间
Apple 设备使用许多常见的互联网安全标准。以下是它们各自的作用,以及如何在 Mac、iPhone 或 iPad 上使用它们。
在我们生活的网络世界中,互联网连接无处不在。
保持网络通信安全是互联网技术最重要的方面之一。几十年来,已经发展了几种不同的标准来确保网络和设备的安全。
在本文中,我们将了解其中的几个标准,以及它们与 Apple 设备的关系。
IPsec、IKEv2、L2TP
安全连接和 VPN 使用三种关键技术:IPsec、IKEv2 和 L2TP。
IPSec 是一项安全标准,诞生于早期 DARPA ARPANET 研究。后来它被麻省理工学院、摩托罗拉和 NIST 正式确定。
IPSec 主要由 VPN 使用,提供安全身份验证、密钥交换、加密和数据完整性功能。如果您曾经在一台 Apple 设备上安装过 VPN 软件,那么您就已经使用过 IPSec。
它被认为是位于第 2 层协议之上的“第 3 层”协议,我们稍后会看到。
有许多关于 IPSec 的优秀书籍,包括 IPSec VPN 设计
来自 Cisco 和 IPSec:Carlton Davis 的《保护 VPN》。
IKEv2 是互联网密钥交换协议。该协议共有三个版本:IKE、IKEv1 和 IKEv2。
它在 IPSec 和 DNS 中用于在连接期间创建和交换安全密钥对。共享密钥是公钥基础设施 (PKI) 的一部分,无需密码。
IKE 基于两个早期协议:Oakley 协议和 ISAKMP。这些协议源于 20 世纪 90 年代末为保护互联网连接而做出的努力,当时人们发现早期的互联网通信在许多情况下都是不安全的。
Oakley 协议使用现在著名的 Diffie-Helman 密钥交换算法来安全地交换密钥以进行加密。
网络安全服务器机房
ISAKMP 是一个密钥交换框架,它提供安全关联和可供 IKE 等密钥交换协议使用的密钥。 Cisco 在其大多数 VPN 和路由器产品中都采用了 Oakley 和 ISAKMP 协议。
还有其他密钥交换协议,例如 Kerberized Internet Negotiation of Keys (KINK) 和 SKEME。
L2TP(即第 2 层隧道协议)是一种用于网络通信期间控制消息的隧道协议。 L2TP 本身并不保护或加密数据或内容,它仅加密连接中使用的控制信号。
该协议于 1999 年在 RFC 2661 规范中正式确定,该规范是 Cisco 的 L2F 协议和 Microsoft 的 PPTP 协议的结果。它还在数据包传输过程中使用用户数据报协议(UDP)。
UDP 的主要优点是它是一种无需确认的广播协议,侦听器在某个端口上等待信息而无需回复发送者。
当拨号调制解调器仍在广泛使用时,L2TP 的出现是为了满足 PPP(点对点协议)的安全性需求。数据包可以使用其他附加加密协议之一通过第 2 层隧道传输。
安全隧道可确保隧道中传输的任何数据仅在两点之间进行加密和控制。这使得攻击者难以执行重放和中间人攻击。
由于互联网遍布全球,因此安全性非常重要。
L2TP 主要用于企业 VPN 中以实现安全访问。
许多 VPN 应用程序可通过 App Store 适用于 Apple 设备。大多数 Apple 操作系统还提供内置功能,可轻松将 VPN 配置文件添加到设备。
IPsec、IKEv2 和 L2TP 主要在幕后运行,除非您需要更改某些特定设置,否则您通常不需要为它们烦恼。
TLS、SSL 和 X.509 证书
当网络在 20 世纪 90 年代末首次成为主流时,人们很快就意识到所有网络通信都需要加密。所有这些都是为了使浏览器和服务器之间的数据无法被拦截和监听。
因此,安全套接字层(SSL)应运而生。该协议现在称为传输层安全性,对 Web 浏览器和服务器之间的大部分流量进行加密。
“https”中的“s”代表“安全” – 表示您正在通过安全连接浏览网站。
SSL/TLS 还可用于某些安全电子邮件通信。 TLS 也是在 1999 年提出的,经历了 3 次修订,目前的版本是 TLS 1.3。
SSL 最初是在 1994 年为 Netscape 的 Navigator 浏览器的第一个版本开发的,如今该浏览器已演变成 Mozilla Firefox。还有数据报传输层安全(DTLS)协议。
TLS 使用 X.509 证书通过加密和加密握手来交换信息。握手完成后,服务器通常会向客户端应用程序提供证书,以便服务器可以被信任。
X.509 证书允许客户端应用程序验证服务器的真实性,从而防止模拟攻击发生。 X.509 标准是由国际电信联盟 (ITU) 在 RFC 5280 中定义的。
TLS 的主要好处是它可以防止任何可能监听数据交换的人读取明文数据。这一切都是因为它被加密了。
在大多数情况下,现代 Apple 设备和 Apple 设备上运行的大多数软件都会自动知道如何使用 TLS,因此您无需担心。只要您在浏览网页时使用“https”连接,TLS 就会自动生效。
某些电子邮件客户端应用程序(例如 Mozilla Thunderbird)允许您指定 TLS/SSL 作为通信安全标准:
Mozilla Thunderbird 的 TLS 安全设置界面。
WPA/WPA2/WPA3 企业版和 802.1X
当WiFi网络在上世纪末首次出现时,一种新的安全标准WEP(有线等效保密)被开发出来,以允许无线网络安全地连接到其他设备。
WEP 存在严重的安全缺陷,为此,Wi-Fi 保护访问(WPA)应运而生。该协议自 2000 年代初以来经历了 3 次修订,当前版本为 WPA3。
大多数现代 WiFi 设备(包括 Apple 设备)都提供 WEP3 进行连接。
Apple 的 WiFi 和以太网设备还提供使用另一种安全协议(称为 802.1X)的连接。该协议是 IEEE 定义的 802 网络标准的一部分,涵盖 WiFi 和以太网有线网络。
802.1X 可防止一种称为“硬件添加”的网络攻击,即使用恶意设备连接到网络并执行黑客活动。例如,像 Raspberry Pi 这样的小型计算机插入备用网络端口。
通过使用身份验证服务器,802.1X 通常可以通过 WiFi、LAN 或 WAN 对用户进行身份验证来阻止此类攻击。
在当今设备无处不在的世界中,硬件添加攻击比以前更加常见。
Apple 在 Apple 平台部署指南中提供了有关 802.1X 连接的页面,以及有关安全访问无线网络的说明。
Apple 操作系统的调制解调器版本不再支持 WPA,因此在大多数情况下,您需要使用 WPA2、WPA3 或其某些变体。
还有另一篇技术说明 (102001),标题为使用登录窗口模式对网络进行 802.1X 身份验证,其中详细介绍了如何在 Mac 上使用登录窗口模式安全登录到受 802.1X 保护的网络。
登录窗口模式 (LWM) 是一种从 Mac 登录窗口连接到安全网络(如果网络支持目录服务)的方法。
为了使用 LWM,您需要连接到 Active Directory 或 Open Directory 服务器。您还需要安装 Mac 网络配置文件,以便为您尝试连接的网络启用 LWM。
配置完成后,在 Mac 登录窗口中,从用户列表中选择“其他” ,然后输入您的目录服务用户名和密码。从弹出菜单中,选择您要连接的网络接口(WiFi 或以太网)。
Active Directory 和 Open Directory 是允许将用户信息和凭据存储在中央服务器上以进行身份验证的技术。
Apple 有一个完整的页面,标题为“为 Apple 设备使用内置网络安全功能”,其中涵盖了上面提到的大部分主题,从那里您可以找到许多相关其他主题的链接。
在大多数情况下,Apple 已经实现了无缝的网络安全,因此您通常无需担心。上述技术大多都是网络或互联网标准的一部分,并且在大多数软件中它们的使用是自动的。
在 Google 新闻上关注我们
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)