Kann der iPad-SSL/TLS-Datenverkehr während der DEP-Registrierung überprüft werden?

Ich plane Hunderte von iPad-Geräten, die sich mit einer DEP-Zertifikatseinstellung bei MDM registrieren sollten, aber das verwendete Netzwerk überprüft den SSL/TLS-Datenverkehr mithilfe der Man-in-the-Middle-Technik, um zu entscheiden, ob ausgehender Datenverkehr zulässig ist oder nicht.

Verhindert diese Prüfung die Immatrikulation?

Willkommen bei Ask Different. Möchten Sie Probleme mit einem iPad beheben, das sich aufgrund von Man-in-the-Middle-Proxy/Bruch nicht registrieren lässt? Oder möchten Sie den Datenverkehr ausspionieren, um ihn zurückzuentwickeln?
@bmike Ich werde Hunderte von iPads in einem Netzwerk registrieren, in dem der Datenverkehr nur dann an Apple zugelassen wird, wenn dieser Datenverkehr überprüft werden kann (Mann in der Mitte), und ich versuche, Probleme zu visualisieren. Ich versuche also immer noch nicht, Fehler zu beheben, sondern versuche, Probleme zu vermeiden.
OK - ich habe versucht, dies zu bearbeiten, damit es eine klarere Frage ist - wird das funktionieren. Wenn Sie die Ergebnisse einer Testregistrierung melden und fragen möchten, wie es funktioniert, müssten wir mehr darüber wissen, wie die SSL/MITM-Inspektion funktioniert. Die Inspektion ändert den tatsächlichen Datenverkehr nicht - ich vermute, Ihr Setup manipuliert tatsächlich die Endpunkte des Datenverkehrs und ist nicht nur eine "Inspektion", sondern die Details des MITM werden dies bewirken / brechen ...
Bei der Ausführung von Man-in-the-Middle a) wird der Endpunkt, der die Verbindung initiiert, benachrichtigt und muss akzeptieren, dass er fortfahren kann, oder b) auf dem Endpunkt, der die Verbindung initiiert, wird die Stammzertifizierungsstelle installiert, die das gefälschte Zertifikat generiert. In meinem Fall möchte ich die Root-CA in den iPads installieren, aber ich weiß nicht, ob dies möglich ist oder ob diese Root-CA automatisch installiert werden kann (denken Sie daran, Hunderte von Geräten in meinem Fall). Da es sich um einen automatischen Prozess handelt, weiß ich auch nicht, ob der Benutzer gewarnt wird oder nicht, wenn die Root-CA nicht installiert ist ...
Ja - das wird nicht funktionieren. DEP soll das Gerät bei MDM registrieren, damit Sie diese "gefälschten" Zertifikate ohne Benutzerinteraktion übertragen können. Ihr Wagen ist vor Ihrem Pferd, wenn ich verstehe, wie Ihr MITM aufgebaut ist.

Antworten (1)

Das DEP-Programm sowie das standardmäßige iOS-Sicherheitsdesign werden wahrscheinlich Ihre Versuche vereiteln, ein Gerät über Netzwerke zu registrieren, in denen Sie benutzerdefinierte CAs/Zertifikate installieren müssen.

  1. iOS automatisiert die unbeaufsichtigte Installation von Vertrauenszertifikaten nicht, ohne bei MDM registriert oder beaufsichtigt zu sein. Sie würden diese anfängliche Registrierung verhindern, es sei denn, Sie haben ein illegales Zertifikat, das Ihre MITM-Server so aussehen lässt, als wären sie Eigentum von Apple und würden von Apple betrieben. Ich sage illegal in dem Sinne, dass Comodo, Symantec und andere in heißem Wasser von Apple, Google und anderen Betriebssystemanbietern stehen, weil sie Zertifikate an Entitäten ausstellen, die nicht das sind, was das Zertifikat sagt.
  2. Sobald Sie die Geräte in Ihr MDM eingegeben haben, können Sie WLAN-Profile und Ihre CA-Zertifikate übertragen und sich dann den Netzwerken anschließen, in denen Sie SSL/TLS und anderen verschlüsselten Datenverkehr zwischen iOS und Apple „untersuchen“ oder zumindest versuchen, ihn zu entschlüsseln/neu zu entschlüsseln -verschlüsseln/überprüfen Sie diesen Datenverkehr.
  3. DEP wird an einem Punkt im Betriebssystem-Setup ausgeführt, an dem Benutzer nicht einmal ein benutzerdefiniertes Zertifikat akzeptieren können – dies wird ausgeführt, bevor der Startbildschirm den Benutzern als Teil des Setup-Skripts / der Out-of-Box-Erfahrung erstmals angezeigt wird.

Dies ist unter https://www.apple.com/business/dep/ und https://ssl.apple.com/business/docs/DEP_Guide.pdf dokumentiert , und ich würde mich an Ihren Apple-Ansprechpartner wenden, der Ihre „verkauft um" für die Unterstützung dabei zu sorgen.

Ich möchte Apple mit dem, was Sie tun, nicht überraschen und riskieren, dass sie Ihr DEP abschalten. Sie haben auch Ingenieure, die Sie anleiten können, wenn andere große Kunden die gleichen "Inspektions" -Anforderungen haben wie Sie, und es gibt entweder undokumentierte Möglichkeiten, das Design zu umgehen, oder auf andere Weise nur den anfänglichen Datenverkehr zu Apple zu löschen und dann die Dinge zu inspizieren, sobald die Geräte vorhanden sind eingeschrieben.

Sie werden detaillierte rechtliche Vereinbarungen mit Apple haben, wenn Sie sich für DEP anmelden, also sollten Sie diese auch durchlesen, da Apple Organisationen ziemlich gründlich überprüft, Sie können wahrscheinlich ausgezeichnete Hilfe direkt von Apple erhalten, wenn Sie bereits alle durchgesprungen sind die Körbe, um sich überhaupt für DEP zu qualifizieren.

Kann der iPad-SSL/TLS-Datenverkehr während der DEP-Registrierung überprüft werden?
AntwortenHierDatenschutz-Bestimmungen1y, 0v