Vorbereitung Ihres Netzwerks oder Webservers auf iCloud Privat Relay
iCloud Privat Relay ist ein neuer Internet-Datenschutzdienst, der als Teil eines Abonnements für iCloud+ angeboten wird. Er ermöglicht, dass sich Benutzer:innen von iOS 15, iPadOS 15 und macOS Monterey privater und sicherer mit dem Internet verbinden und darin surfen können. Privat Relay schützt Benutzer:innen bei der Internetnutzung in Safari, bei DNS-Auflösungsabfragen und unsicherem HTTP-App-Traffic. Internetverbindungen, die über Privat Relay eingerichtet werden, verwenden anonyme IP-Adressen, die der Region der Benutzer:innen zugeordnet sind, ohne dass der genaue Standort oder die Identität der Benutzer:innen preisgegeben wird. Erfahren Sie, wie Sie Benutzer:innen von Privat Relay in Ihrem Netzwerk das bestmögliche Erlebnis bieten können.
Überblick
Der iCloud Privat Relay-Dienst verwendet eine innovative Multi-Hop-Architektur, bei der Benutzeranfragen über zwei getrennte Internetrelais gesendet werden, die von unterschiedlichen Entitäten betrieben werden. So kann kein einzelner Anbieter – auch Apple nicht – detaillierte Daten zu den Internetaktivitäten der Benutzer:innen sehen oder sammeln. Privat Relay verifiziert, dass es sich bei dem Client, der die Verbindung herstellt, um ein iPhone, iPad oder einen Mac handelt, sodass Sie sicher sein können, dass die Verbindungen von einem Apple-Gerät stammen. Privat Relay ersetzt die ursprüngliche IP-Adresse der Benutzer:innen durch eine, die ihnen aus dem vom Dienst verwendeten IP-Adressbereich zugewiesen wird. Die zugewiesene Relay-IP-Adresse wird möglicherweise von mehreren Privat Relay-Benutzer:innen in derselben Region verwendet. Die für Netzwerke und Webserver sichtbare Relay-IP-Adresse zeigt normalerweise auch den groben, etwa auf die Stadt genauen Standort des Clients. Ihr Netzwerk empfängt somit relevante Standortinformationen, wenn Sie versuchen, geobasierte Einschränkungen auf Basis der IP-Adresse durchzusetzen.
Erfahren Sie, wie Privat Relay Nutzerdaten im Internet schützt (Englisch)
Netzwerkbetreiber
Optimierung für Privat Relay-Verbindungen
iCloud Privat Relay verwendet QUIC, ein neues Standard-Transportprotokoll auf Grundlage von UDP. QUIC-Verbindungen in Privat Relay werden über Port 443 und TLS 1.3 eingerichtet. Stellen Sie also sicher, dass Ihr Netzwerk und Ihr Server bereit sind, diese Verbindungen zu verarbeiten.
Erfahren Sie, wie Sie QUIC-Verbindungen in Ihrem Netzwerk verwalten können (Englisch)
Berücksichtigung von Netzwerkdatenverkehrsprüfungen
In einigen Unternehmens- oder Schulnetzwerken kann es aufgrund individueller Richtlinien erforderlich sein, den gesamten Netzwerkverkehr zu überprüfen. In diesen Fällen kann Ihr Netzwerk den Zugriff auf Privat Relay blockieren. Die Benutzer:innen werden darauf hingewiesen, dass sie entweder Privat Relay für Ihr Netzwerk deaktivieren oder ein anderes Netzwerk wählen müssen.
Der schnellste und zuverlässigste Weg, Benutzer:innen zu warnen, ist die Erteilung einer Antwort des Typs „No error no answer“ (Kein Fehler, keine Antwort) oder einer NXDOMAIN-Antwort durch den DNS-Resolver Ihres Netzwerks. Das verhindert die DNS-Auflösung für die nachfolgenden Hostnamen, die vom Privat Relay-Datenverkehr verwendet werden. Vermeiden Sie es, Zeitüberschreitungen bei der DNS-Auflösung zu verursachen oder an den Privat Relay-Server gesendete IP-Pakete stillschweigend zu verwerfen, da dies zu Verzögerungen auf Client-Geräten führen kann.
mask.icloud.com
mask-h2.icloud.comWebserver
Zugriff auf IP-Geolocation-Feeds
Wenn Sie einen Webserver betreiben, können Sie basierend auf der Region eines Clients Ihre Inhalte lokalisieren oder den Zugriff einschränken. Bitte wenden Sie sich an Ihren Geo-IP-Datenbankanbieter, um Ihre Feeds mit den neuesten Mappings zu aktualisieren. Viele Geo-IP-Datenbankanbieter kennzeichnen diese Adressen zusätzlich mit „iCloud Private Relay“ (iCloud Privat Relay), sodass diese leicht für Sie auf ihren Servern zu erkennen sind.
Privat Relay bewahrt die Region, in der sich die Benutzer:innen befinden. Ihr Server kann also darauf vertrauen, dass die der sichtbaren IP-Adresse zugewiesene Region korrekt ist. Standardmäßig sind die Verbindungen zudem mit der Stadt verknüpft, die dem Client am nächsten liegt, sodass Ihre Inhalte auch weiterhin relevant bleiben. Sie können auch auf unseren aktuellen Bestand an IP-Adressen und Standorten zugreifen.
Zugriff auf IP-Geolocation-Feeds (Englisch)
Vertrauen Sie Privat Relay-Verbindungen
Sämtliche Verbindungen über Privat Relay verifizieren, dass es sich bei dem Client um ein iPhone, iPad oder einen Mac handelt und die Kund:innen über ein gültiges Abonnement für iCloud+ verfügen. Privat Relay verwendet verschiedene Techniken gegen Missbrauch und Betrug, unter anderem einmalige Authentifizierungstoken und Durchsatzbegrenzungen. Dadurch wird sichergestellt, dass nur berechtigte Apple-Geräte sowie Accounts mit einwandfreiem Ruf Privat Relay verwenden dürfen. Außerdem bleibt die Relay-IP-Adresse während der gesamten Browsersitzung eines Gerätes konstant. So wird gewährleistet, dass die für Sie sichtbare Adresse gleich bleibt, solange die Benutzer:innen mit Ihrer Website interagieren.
Traditionelle Methoden der Betrugserfassung, die sich nur auf IP-Adressen verlassen, müssen möglicherweise aktualisiert werden, um sicherzustellen, dass legitime Benutzer:innen nicht beeinträchtigt werden. Ziehen Sie in Erwägung, diese Adressen eher wie ein Carrier-Grade-NAT oder wie Unternehmens-IP-Adressen zu behandeln, um dieser Art von Traffic gerecht zu werden, da viele Privat Relay-Nutzer:innen einer einzelnen Relay-IP-Adresse zugewiesen werden können.