DEP kaydı sırasında iPad SSL / TLS trafiği denetlenebilir mi?

Bir DEP sertifikası ayarını kullanarak MDM'ye kaydolması gereken yüzlerce iPad cihazı için planlama yapıyorum, ancak kullanılan ağ, giden trafiğe izin verilip verilmediğine karar vermek için orta teknikteki adamı kullanan SSL / TLS trafiğini denetliyor.

Bu muayene kayıt yapılmasını önleyecek mi?

ipad mobile-device-management device-enrollment-program

— Eloy Roldán Paredes
kaynak

Farklı sormaya hoş geldiniz. Ortadaki vekil / kırılmadaki adam nedeniyle kaydolamayan bir iPad ile ilgili sorunları gidermek mi istiyorsunuz? Yoksa trafiği takip etmek mi istiyorsun, böylece tersine mi çevirebilirsin?

— bmike

@bmike Yalnızca bir ağa denetlenebiliyorsa (ortadaki adam) trafiğe Apple'a izin verilecek bir ağa yüzlerce iPad kaydettireceğim ve sorunları görselleştirmeye çalışıyorum. Bu yüzden hala hiçbir şeyi gidermeye çalışmıyorum, ancak sorunlardan kaçınmaya çalışıyorum.

— Eloy Roldán Paredes,

Tamam - bunu düzenlemeye çalıştım, bu yüzden daha açık bir soru - bu işe yarar mı. Bir test kaydının sonuçlarını bildirmek ve nasıl çalışacağını sormak istiyorsanız, SSL / MITM denetiminin nasıl çalıştığı hakkında daha fazla şey bilmemiz gerekir. Denetim, gerçek trafiği değiştirmez - benim tahminim, kurulumunuzun aslında trafik uç noktalarına müdahale ettiği ve sadece "denetim" olmadığı, ancak

— MITM'in

Ortadaki adam gerçekleştirirken a) bağlantıyı başlatan bitiş noktası uyarılır ve devam etmeyi kabul etmesi gerekir veya b) bağlantıyı başlatan bitiş noktasında sahte sertifika üreten kök CA yüklenir. Benim durumumda kök CA'yı iPad'lere kurmak istiyorum ancak bunun mümkün olup olmadığını veya bu kök CA'nın otomatik olarak yüklenip yüklenmediğini bilmiyorum (benim durumumdaki yüzlerce cihazı unutmayın). Otomatik bir işlem olarak, kök CA yüklenmemişse kullanıcının uyarılıp uyarılmayacağını da bilmiyorum ...

— Eloy Roldán Paredes

Evet - işe yaramayacak. DEP, cihazı “MDM” içine kaydetmektir, böylece bu "sahte" cerraları kullanıcı etkileşimi olmadan zorlayabilirsiniz. MITM'inizin nasıl kurulduğunu anlıyorsam, sepetiniz atınızın önünde.

— bmike

Kutudan çıkan iOS güvenlik tasarımının yanı sıra DEP programı, özel CA / sertifika yüklemeniz gereken ağları kullanarak bir cihazı kaydetme girişimlerinizi büyük olasılıkla azaltacaktır.

iOS, güven sertifikalarının sessiz kurulumunu MDM'ye kaydolmadan veya denetlenmeden otomatikleştirmez. MITM sunucularınızın Apple'ın sahip olduğu ve işlettiği gibi görünmesini sağlayan yasadışı bir sertifikaya ne kadar miktarda sahip değilseniz, bu ilk kaydı engelliyor olacaksınız. Comodo, symantec ve diğerlerinin Apple’ın, Google’ın ve diğer işletim sistemi satıcılarının, sertifikaların söylemediği şeylere sertifika vermeleri için sıcak suda bulunduğunu yasadışı olarak söylüyorum.
Aygıtları MDM'nize girdikten sonra, wifi profillerini ve CA sertifikalarınızı zorlayabilir ve ardından SSL / TLS ve iOS ile Apple arasındaki diğer şifreli trafiği "inceleyen" ağlara katılabilirsiniz ya da en azından şifresini / şifresini çözmeyi deneyebilirsiniz. -encrypy / bu trafiği inceleyin.
DEP, işletim sistemi kurulumunda kullanıcıların özel bir sertifika bile kabul edemeyecekleri bir noktada çalışır - bu, ana ekran başlangıçta kullanıcılara kurulum komut dosyasının / kutu dışı deneyiminin bir parçası olarak sunulmadan önce çalışır.

Bu, https://www.apple.com/business/dep/ ve https://ssl.apple.com/business/docs/DEP_Guide.pdf adresinde belgelenmiştir ve sizin "sattığınızı" sağlayan Apple bağlantınıza ulaşacağım. "bu konuda yardım için.

https://help.apple.com/deployment/programs/#/

Apple'a yaptıklarını şaşırtmak istemem ve DEP'ini kapatma riskini göze almak istemem Ayrıca, diğer büyük müşterilerin sizin yaptığınız aynı "denetim" gereksinimlerine sahip olması durumunda size rehberlik edebilecek mühendisleri var ve tasarıma göz atmanın ya da yalnızca Apple'a gelen ilk trafiği temizlemenin ve ardından aygıtları kontrol ettiklerinde denetlemenin belgesiz yolları var kaydoldu.

DEP'ye kaydolduğunuzda Apple ile ayrıntılı yasal anlaşmalar yapacaksınız, bu nedenle Apple'ı oldukça ayrıntılı bir şekilde inceleyen kuruluşlar oldukça iyice okuduğu için bunları okumak isteyeceksiniz. ilk etapta DEP için nitelikli olması gereken çemberler.

— bmike
kaynak