¿Se puede inspeccionar el tráfico SSL / TLS del iPad durante la inscripción en DEP?

Navega tus respuestas
1

Estoy planeando cientos de dispositivos iPad que deberían inscribirse en MDM usando una configuración de certificado DEP, pero la red en uso inspecciona el tráfico SSL / TLS usando la técnica de man in the middle para decidir si se permite o no el tráfico saliente.

¿Esta inspección evitará la inscripción?

    
pregunta Eloy Roldán Paredes 23.12.2015 - 19:59

1 respuesta

2

El programa de DEP, así como el diseño de seguridad de iOS listo para usar, frustrarán sus intentos de inscribir un dispositivo utilizando redes en las que necesite instalar certificados / CA personalizados.

  1. iOS no automatiza la instalación silenciosa de certificados de confianza sin estar inscrito en MDM o supervisado. Estaría impidiendo esta inscripción inicial a menos que tenga lo que equivale a un certificado ilegal que hace que sus servidores MITM parezcan propiedad de Apple y operados. Digo ilegal en el sentido de que Comodo, Symantec y otros están en manos de Apple, Google y otros proveedores de sistemas operativos para emitir certificados a entidades que no son lo que dice el certificado.
  2. Una vez que haya ingresado los dispositivos en su MDM, puede enviar los perfiles de wifi y sus certificados de CA y luego unirse a las redes donde está "inspeccionando" SSL / TLS y otro tráfico cifrado entre iOS y Apple o al menos intentar descifrar / volver a cifrar / inspeccionar ese tráfico.
  3. DEP se ejecuta en un punto de la configuración del sistema operativo en el que los usuarios ni siquiera pueden aceptar un certificado personalizado; esto se ejecuta antes de que la pantalla de inicio se presente inicialmente a los usuarios como parte de la experiencia de instalación / secuencia de comandos de configuración.

Esto se documenta en enlace y enlace y me pondré en contacto con su contacto de Apple que estableció su cuenta de" vendido a "para obtener ayuda con esto.

No me gustaría sorprender a Apple con lo que estás haciendo y arriesgarme a que cierren tu DEP. También tienen ingenieros que pueden guiarlo si otros grandes clientes tienen las mismas necesidades de "inspección" que usted y hay formas indocumentadas de sortear el diseño o de otra manera eliminar solo el tráfico inicial a Apple y luego inspeccionar las cosas una vez que los dispositivos están inscrito.

Tendrá acuerdos legales detallados con Apple cuando se registre en DEP, por lo que también querrá leerlos, ya que Apple revisa a fondo las organizaciones, es probable que pueda obtener una excelente ayuda directamente de Apple si ya lo hizo. saltó a través de todos los aros para calificar para DEP en primer lugar.

    
respondido por el bmike 24.12.2015 - 17:40

Lea otras preguntas en las etiquetas

iPhone 6S Plus - La carga USB de la Macbook Pro no alcanza 2.1A ¿Cómo configurar el servidor OS X para que no se pueda acceder a través de localhost, sino de otro host diferente?