Протокол передачи данных iphone

Особенности Wi-Fi в Apple iOS и последствия для сетей организаций

Безо всяких вступлений скажу, что устройства на Apple iOS в корпоративных сетях присутствуют в немалом количестве, и в будущем их меньше, похоже, не станет (особенно со столь массовой популяризацией идеологии BYOD). И не важно, используются ли они как непосредственно бизнес-устройства или просто как персональные гаджеты сотрудников и начальства. Поэтому, с ними надо мириться и как-то уживаться. В этой заметке собраны под одной крышей особенности функционирования Wi-Fi в Apple iOS и приведены ссылки на материалы для дальнейшего изучения. Давайте по порядку рассмотрим, что есть и чего нет в iOS, и как с этим жить.

Вначале хорошее.

Но не тут-то было.

Пойдем в обратном порядке.

• 802.11k и 802.11r (если верить вышеупомянутой бумаге) поддерживаются только на iPhone 4S, iPhone/iTouch 5 и новом iPad – так что на них пока что рассчитывать особо тоже не приходится.
• 5ГГц поддерживаются только на iPhone/Touch 5, iPad (1-4, mini) и Apple TV. Однако, большого энтузиазма по поводу iPhone 5 не видно, iTouch 5 вообще не понятно кому нужен (почти за те же деньги можно брать Mini), а iPhone 4/4S еще вполне неплохо себя чувствует. Поэтому, рассчитывать только на 5GHz для «тотальной» поддержки i-гаджетов не получится – придется работать в 2.4GHz со всеми вытекающими последствиями (3 канала, помехи, кучи соседей и т.д.).
• Дружественный суппликант 802.1X позволяет спокойно принять чужой непроверенный сертификат.
  • Очень удобно для лаб и демонстраций, не очень приятно, если кто-то попадется на подставную точку доступа (далее спокойно вскрывается MSCHAP – а именно его использует подавляющее большинство из-за распространенности Active Directory – и добываются имя/пароль пользователя).
  • Данная фича отключается через Configuration Manager, но для этого нужно или сдать телефон IT-шнику, или прислать профиль пользователю удаленно и убедиться, что он его таки применил.
• За компанию добавим про “сверхскорости” 802.11n и MIMO в смартфонах и планшетах. Без комментариев (авторства Amazon)

Но, как любит говаривать автор нескольких популярных финансовых пирамид, это всё присказка была.
Статья на сайте поддержки Apple “рекомендации по настройке WiFi для iOS-устройств” раскрывает интересные подробности

• iOS не любит скрытые имена сетей. Мой iTouch 4G на IOS5 вполне спокойно работает со скрытой сетью, но от других жалобы слышал.
• Не поддерживаются широкие каналы (40MHz).
  • С одной стороны – ну и правильно, нечего в 2.4GHz соваться с широкими каналами. Их туда влазит ровно один, помех от этого в большинстве случаев больше чем толку. Но почему не поддерживаются 40MHz в 5GHz? Ответ на картинке выше – 20MHz и так за глаза хватает.
  • А что делать остальным устройствам в корпоративной сети где включены широкие каналы (если вы таки используете, скажем, iPad’ы в 5GHz, как делают некоторые ритейлеры модной одежды)? Ответ один – страдать. Параллельно с HT Protection в 802.11n есть режим совместимости 40MHz с 20MHz, который тоже понижает производительность сети аналогичными способами (предварительные фреймы и т.д.). Насколько – зависит от множества параметров, в основном, от того, как часто iPad будет требовать эфир – точно предсказать нельзя.

• При подключении к Wi-Fi сети устройство проверяет наличие связи с Интернет пытаясь соединиться с сервером Apple и стащить оттуда определенную веб-страницу. Если эта страница недоступна, предполагается, что мы сидим на хотспоте и выскакивает окошко браузера с запросом на логин, при этом система больше не пытается лезть в сеть. Удобно. Как показал недавний инцидент с IOS6, при отсутствии доступа к данной странице – отсутствует доступ к сети.

Интересная заметка с подборкой впечатлений Cisco TAC от поддержки iOS

• Поддержка OKC особо никого не волнует, если вы не используете софт-фоны или у вас устройства на iOS6 (802.11r успешно заменит OKC).
• При отсутствии доступа к Интернет более 20 мин устройство старается переподключиться или найти другую сеть (может, там повезет).
• TAC добавляет еще один мазок к картине со скрытыми SSID – при наличии двух и более SSID, устройство всегда будет подключаться к открытым сетям, даже если намеренно выбрать профиль со скрытым SSID.
• Устройства (особенно iPad) обладают значительной мощностью на передачу, но худшей чувствительностью на прием (сказывается домашняя специфика).
• Возможны разнообразные косяки при отключении скорости 11Mbps (что требует, по-сути, включения поддержки 802.11b). Я не наблюдал таких проблем на своем устройстве с IOS4/5, скорее всего – это пережитки более старых версий. Однако, некоторые партнеры Motorola подтвердили, что сталкивались с такой проблемой у заказчиков.
• Статья датирована Июлем 2012, возможно с выходом iOS6 часть проблем ушла. К сожалению, Applе не очень щедра на подробности.

Протокол Bonjour (анонс сервисов, передача видео AirPlay и т.д.) не маршрутизируется. Т.е. устройства должны быть в одной VLAN (что нормально в домашних условиях). Однако в корпоративной среде шансы подключения проводного AppleTV и беспроводного iPhone в одну VLAN минимальны (если у вас правильный дизайн сети).

• Тем не менее, популярность AppleTV привела к тому, что многие вендоры внедрили т.н. Bonjour Gateway – по сути аналог DHCP Relay, но для Bonjour, и теперь даже меряются его работоспособностью, показывая диаметральнопротивоположные (это две разные ссылки) результаты :). Данная функция поддерживается Cisco, Aruba, Aerohive. Motorola не поддерживает Bonjour Gateway в «чистом» виде – предлагаются другие варианты проброса L2 по L3 – от проприетарного MiNT до L2TPv2/3 и PBR.
• Есть еще мелочи (поддерживается только 1 WEP-ключ и т.д., устройства не подключаются к сетям с отключенной поддержкой WMM), но они на самом деле не должны никого волновать, т.к. не подобные конфигурации не должны использоваться в корпоративных сетях.

Итого.

Считаете ли вы iOS пригодной для корпоративной среды или не считаете — но жить с ней как-то придется. Давайте просуммируем все в виде рекомендаций для поддержки iOS в корпоративной беспроводной сети
В идеале, мы хотим дать людям доступ в Интернет и не более. Если необходима почта и проч – гораздо проще (с точки зрения Wi-Fi) заставить все эти устройства заходить в корпоративную сеть через VPN, чем сеять хаос и разрушение менять что-либо в отлаженной Wi-Fi сети.

• В таком случае достаточно создать гостевую сеть, завести на ней https-хотспот с RADIUS-авторизацией, привязанной к корпоративной базе пользователей (AD или другой). О причинах обязательной аутентификации на хотспотах я уже писал здесь.
• Сеть достаточно развернуть в 2.4GHz в режиме тотального гостевого доступа для всего подряд: поддержка b/g/n-скоростей (конечно-же, по возможности отключите низкие скорости 1,2,5.5Mbps), каналы 20MHz, нескрытые SSID и т.д.
• Обязательным условием включения доступа i-устройству должно быть применение профиля безопасности, который блокирует возможность принятия чужих сертификатов (защита от фишинга и раскрытия корпоративных учетных данных).

Если же планируется поддержка корпоративных приложений в корпоративной сети – следует задуматься

• Передаем ли мы синхронный трафик (голос, видео)? Многие школы в США сейчас используют iPad’ы для передачи учебных видеороликов, например.
• Если нет – следуем рекомендациям прошлого параграфа, но вместо хотспота настраиваем 802.1X, благо, вариантов море. Поскольку среднестатистический юзер пугается слова «RADIUS» — гораздо проще убедить его применить профиль безопасности, отдав его в комплекте с настройсками сети («ткни сюда и все настроится само»).
  • Возможно, придется немного поиграться с настойками скоростей в сети (если проводились оптимизации) и включить некоторые рейты.
  • Убедитесь, что страница www.apple.com/library/test/success.html доступа из вашей сети, или настройте редирект на свой веб-сервер, который будет убеждать айфоны в том, что все в порядке. 🙂

• Если таки планируется передача голоса и видео – все становится сложнее.
  • Традиционно, такие сети строятся в 5GHz, т.к. обеспечить QoS в «загрязненном» 2.4 весьма проблематично. Лучшим выходом будет заявить прямо, что работа потоковых приложений для iPhone4S и ниже не гарантируется и не поддерживается, после чего перевести iPad’ы и другие новые устройства в 5GHz.
  • При этом следует учесть широкие каналы, если они используются в 5GHz. Оценить падение производительности, вызванное появлением iPad’ов в такой сети, поможет тестирование.
  • Для быстрого роуминга (если он требуется) имеет смысл обновить пользователей до iOS6 (есть подозрение что 802.11k/r – это фишка ОС, а не чипсетов, все же) и настроить их в своей беспроводной инфраструктуре. Иначе – хотя бы включить PMK Caching.
  • Если планируется использование Bonjour – анализируем потоки трафика и делаем форвардинг L2 поверх L3 (или включаем и настраиваем Bonjour Gateway). Очень хорошо, если можно делать выборочный форвардинг по ACL, дабы не слать весь трафик, но это зависит от возможностей имеющегося сетевого оборудования.
  • Тщательно тестируем поведение устройств разных поколений и разных прошивок на разных скоростях. Обычно в высокопроизводительных WLAN отключают рейты 18Mbps и ниже. В данном случае, придется тестировать, какие скорости можно отключить – а какие оставить. Возможно, вкупе с особыми требованиями по мощности сигнала, это повлечет изменения в радиопланировании, к чему нужно быть готовым.

По безопасности есть замечательный документ NSA. Думаю, им можно верить (если это не намеренная дезинформация вероятного противника).

В заключение, отмечу, что Apple в плане Wi-Fi совершила значительный рывок. Если первые прошивки для iPhone были настолько кривыми, что косили намертво сети Cisco, то сейчас все гораздо лучше. Назвать iOS-устройства «корпоративными» я по-прежнему не могу, но, в целом, поддерживать iOS в корпоративной сети уже можно. Если быть осторожным в своих аппетитах и обещаниях. (Это не касаясь управления парком устройств и BYOD в целом!)
Делитесь мнениями. Особенно интересен опыт людей, поддерживающих 50+ устройств.

Источник

Использование передачи данных по сотовой сети на iPhone или iPad

В этой статье описывается, как определить объем входящего и исходящего трафика, передаваемого по сотовой сети, а также как разрешить и запретить такой способ передачи данных для всех или некоторых приложений.

Включение или отключение функции передачи данных по сотовой сети

Чтобы включить или отключить функцию передачи данных по сотовой сети, перейдите в меню «Настройки» и выберите пункт «Сотовая связь» или Mobile Data (Мобильные данные). На устройстве iPad это меню называется «Настройки» > «Сотовые данные». Если используется модель iPhone с поддержкой двух SIM-карт, необходимо один из номеров настроить в качестве основного номера для передачи данных, чтобы просмотреть использованный объем трафика в сотовой сети передачи данных.

Раздел «Параметры сотовых данных» может включать в себя дополнительные настройки, зависящие от оператора связи и устройства.

• Активация LTE, 4G или 3G. Можно выбрать, какой тип сетевого подключения будет использоваться для передачи голоса и данных. Дополнительные сведения см. в этой статье.
• Включение или отключение функции «Голосовой роуминг». В сетях CDMA можно отключать функцию «Голосовой роуминг», чтобы с вашего счета не списывались средства за использование сетей других операторов связи.
• Включение или отключение функции «Роуминг данных». Во время поездок за рубеж можно отключать функцию «Роуминг данных», чтобы с вашего счета не списывались средства за передачу данных в роуминге. При использовании международного тарифного плана передачи данных не рекомендуется отключать эту функцию. Узнайте больше о зарубежных поездках с iPhone или iPad.

У некоторых операторов связи роуминг данных может активироваться и при поездках по стране. Для получения дополнительных сведений о правилах роуминга данных или других настройках передачи данных по сотовой сети обращайтесь к своему оператору связи. Отключив функцию передачи данных по сотовой сети, вы запретите приложениям и службам подключение к Интернету через сотовую сеть. Если такой способ передачи данных будет разрешен, при отсутствии доступа к сети Wi-Fi приложения и службы будут использовать подключение по сотовой сети. В этом случае за использование некоторых функций и услуг в сотовой сети может взиматься плата. Для получения дополнительных сведений о таких платежах обращайтесь к своему оператору связи.

Просмотр объема трафика

Чтобы просмотреть использованный объем трафика в сотовой сети передачи данных, перейдите в меню «Настройки» > «Сотовые данные» или «Настройки» > «Мобильные данные». На устройстве iPad это меню называется «Настройки» > «Сотовые данные».

• Прокрутите вниз, чтобы найти приложения, использующие сотовую сеть для передачи данных. Если вы не хотите, чтобы какое-либо приложение передавало данные по сотовой сети, можете отключить передачу данных для него. Когда передача данных по сотовой сети отключена, приложения передают данные только по сети Wi-Fi.
• Чтобы просмотреть объем сотового трафика, потребляемого отдельными системными службами, перейдите в меню «Настройки» > «Сотовые данные» или «Настройки» > «Мобильные данные». Прокрутите экран вниз до конца и выберите «Системные службы». Отключить или включить функцию передачи данных по сотовой сети для той или иной системной службы отдельно нельзя.
• Можно просмотреть статистику использования приложением сотовой сети передачи данных за текущий период или статистику для приложений, которые использовали сотовую сеть передачи данных в роуминге. Чтобы сбросить эту статистику, перейдите в меню «Настройки» > «Сотовые данные» или «Настройки» > «Мобильные данные» и нажмите «Сбросить статистику».
  Чтобы получить наиболее точные сведения об использовании сотовых данных за текущий период, обратитесь к своему оператору связи.

Источник

Безопасность протоколов

Безопасный доступ к беспроводным сетям

Все платформы Apple поддерживают стандартные протоколы аутентификации и шифрования Wi-Fi для обеспечения аутентификации и конфиденциальности при подключении к защищенным беспроводным сетям, перечисленным далее.

Корпоративный WPA3 со 192-битным ключом

WPA2 и WPA3 выполняют аутентификацию каждого подключения и обеспечивают 128-битное шифрование AES, чтобы способствовать конфиденциальной передаче данных по беспроводной сети. Это гарантирует высочайший уровень защиты при отправке или получении пользовательских данных по сети Wi-Fi .

Поддержка WPA3

WPA3 поддерживается в следующих устройствах Apple:

iPhone 7 или новее;

iPad 5-го поколения и новее;

Apple TV 4K и новее;

Apple Watch Series 3 и новее;

компьютеры Mac (выпущенные в конце 2013 г. и позже, с 802.11ac и новее).

Более новые устройства поддерживают аутентификацию по протоколу «Корпоративный WPA3 со 192-битным ключом», включая 256-битное шифрование AES при подключении к совместимым точкам беспроводного доступа. Это обеспечивает еще более надежную защиту конфиденциальности при передаче трафика по беспроводной сети. Корпоративный WPA3 со 192-битным ключом поддерживается на iPhone 11 , iPhone 11 Pro , iPhone 11 Pro Max и более новых устройствах iOS и iPadOS.

Поддержка PMF

В дополнение к защите данных, передаваемых по беспроводной сети, платформы Apple распространяют средства защиты WPA2 и WPA3 на одноадресные и многоадресные кадры управления, используя для этого службу защищенных кадров управления (PMF), описанную в стандарте 802.11w. Поддержка PMF доступна в следующих устройствах Apple:

iPhone 6 и новее

iPad Air 2 и новее;

Apple TV HD или новее;

Apple Watch Series 3 и новее;

компьютеры Mac (выпущенные в конце 2013 г. и позже, с 802.11ac и новее).

Благодаря поддержке 802.1X устройства Apple можно интегрировать в широкий набор сред, где используется аутентификация RADIUS. Поддерживаемые методы аутентификации в беспроводных сетях 802.1X включают EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0 и PEAPv1.

Средства защиты платформы

Операционные системы Apple обеспечивают защиту устройства от уязвимостей в прошивке сетевого процессора. Это означает, что сетевым контроллерам с Wi-Fi предоставляется ограниченный доступ к памяти процессора приложений.

Когда для соединения с сетевым процессором используется USB или SDIO (безопасный цифровой ввод-вывод), сетевой процессор не может инициировать транзакции прямого доступа к памяти процессора приложений.

Когда используется PCIe, каждый из сетевых процессоров подключен к собственной изолированной шине PCIe. Модуль управления памятью ввода-вывода (IOMMU) на каждой шине PCIe дополнительно ограничивает прямой доступ сетевого процессора, предоставляя его только к блокам памяти и ресурсам, содержащим его сетевые пакеты или управляющие структуры.

Устаревшие протоколы

Продукты Apple поддерживают следующие устаревшие протоколы аутентификации и шифрования Wi-Fi :

открытый WEP с 40-битными и 104-битными ключами;

WEP общего доступа с 40-битными и 104-битными ключами;

протокол целостности временного ключа (TKIP);

Эти протоколы больше не считаются безопасными. Их использование крайне не рекомендовано из соображений совместимости, надежности, производительности и безопасности. Они поддерживаются только для обеспечения обратной совместимости и могут быть исключены из будущих версий программного обеспечения.

Все сети Wi-Fi настоятельно рекомендуется перевести на Личный WPA3 или Корпоративный WPA3, чтобы обеспечить максимальную надежность, безопасность и совместимость подключений Wi-Fi .

Источник