Il traffico iPad SSL / TLS può essere ispezionato durante l'iscrizione DEP?

Naviga le tue risposte
1

Sto pianificando centinaia di dispositivi iPad che dovrebbero iscriversi a MDM utilizzando un'impostazione di certificato DEP, ma la rete in uso ispeziona il traffico SSL / TLS utilizzando la tecnica man in the middle per decidere se il traffico in uscita è consentito o meno.

Questa ispezione impedirà la registrazione?

    
posta Eloy Roldán Paredes 23.12.2015 - 19:59
fonte

1 risposta

2

Il programma DEP così come la progettazione della sicurezza iOS pronta per l'uso probabilmente ostacolerà i tentativi di registrazione di un dispositivo tramite reti in cui è necessario installare CA / certificati personalizzati.

  1. iOS non automatizza l'installazione invisibile dei certificati di affidabilità senza essere iscritto a MDM o supervisionato. Ti impedirebbe questa iscrizione iniziale a meno che tu non abbia quello che equivale a un certificato illegale che rende i server MITM come posseduti e gestiti da Apple. Dico illegali nel senso che comodo, symantec e altri sono in acqua calda da Apple, Google e altri fornitori di sistemi operativi per emettere certificati per entità che non sono ciò che dice il certificato.
  2. Una volta inseriti i dispositivi nel tuo MDM, puoi spingere i profili wifi e i certificati CA e quindi unirti alle reti in cui stai "ispezionando" SSL / TLS e altro traffico crittografato tra iOS e Apple o almeno tentare di decrittografare / ricodificare / ispezionare quel traffico.
  3. DEP viene eseguito in un punto dell'impostazione del sistema operativo in modo che gli utenti non possano nemmeno accettare un certificato personalizzato, che viene eseguito prima che la schermata iniziale venga presentata agli utenti come parte dello script di installazione / esperienza precedente.

Questo è documentato all'indirizzo link e collegamento e vorrei contattare il tuo contatto Apple che ha stabilito il tuo account" venduto a "per assistenza in questo.

Non vorrei sorprendere Apple con quello che stai facendo e rischiare che chiudano il tuo DEP. Inoltre hanno ingegneri che possono guidarti se altri grandi clienti hanno le stesse esigenze di "ispezione" che fai e ci sono modi non documentati per aggirare il progetto o altrimenti solo cancellare il traffico iniziale ad Apple e poi ispezionare le cose una volta che i dispositivi sono iscritto.

Avrai accordi legali dettagliati con Apple quando ti iscrivi a DEP, quindi ti consigliamo di leggerli anche da quando le organizzazioni di Apple controllano abbastanza bene, puoi probabilmente ottenere un aiuto eccellente direttamente da Apple se hai già In primo luogo, ha superato tutti gli ostacoli per essere qualificato per DEP.

    
risposta data 24.12.2015 - 17:40
fonte

Leggi altre domande sui tag

Potrebbe aver accidentalmente cambiato utente amministratore in utente standard Come impostare OS X Server su cui non si può accedere tramite localhost, ma un altro host diverso?