wznutzer 35 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 Guten Morgen, Ich suche nach einer Möglichkeit den Traffic einer RDP-App für iOS zu analysieren, also ähnlich wie das Fiddler unter Windows kann. Ich nutze eine Sophos UTM, aber deren Reverse-Proxy protokolliert nicht ausführlich genug. Verbindung: RDP-Verbindung App => Sophos => RDP-Gateway => RDSH Irgendwo zwischendrin würde ich mir gerne den unverschlüsselten Traffic anschauen. Ich habe ein Problem mit der Authentifizierung, das Sophos Log sagt aber lapidar Fehler: AH0195. Die MS-App geht, aber diverse andere aus dem App-Store gehen nicht. Somit muss es einen Unterschied zwischen funktioniert und funktioniert nicht geben. Die IIS-Logs helfen nicht weiter Burp Proxy, mitmproxy währen evtl. eine Lösung. Mich würde interessieren welche Tools Ihr da evtl. schon verwendet habt. Ich stelle mir das so vor: iOS App =>> Analyse Proxy (als SSL-Endpunkt, Zertifikat installiert) Traffic geht unverändert weiter =>> Sophos UTM =>> RDP-Gateway =>> RDSH Vielen Dank Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 Losgelöst - hilft der Sophos Support da nicht weiter? Eine UTM ohne Service geht meines Wissens nicht... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 (bearbeitet) vor 10 Minuten schrieb mwiederkehr: Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler Er hat das Problem auf einem Iphone... Edit: Hier ist eine Anleitung, um den Fiddler als Proxy zu nutzen: https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios Ob das so noch funktioniert: K.A. bearbeitet 13. April 2021 von zahni Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 13. April 2021 Autor Melden Teilen Geschrieben 13. April 2021 vor 1 Stunde schrieb Nobbyaushb: Losgelöst - hilft der Sophos Support da nicht weiter? Eine UTM ohne Service geht meines Wissens nicht... Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie . Man kann wohl irgendwie Partner und alles mögliche sein ohne sich wirklich auszukennen. Wobei ich den Presales-Support von Sophos direkt ausdrücklich loben muss. vor einer Stunde schrieb zahni: Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen. Ja, ich verwende ein Zertifikat einer public CA (Digicert). vor 38 Minuten schrieb mwiederkehr: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler vor 31 Minuten schrieb zahni: https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios Danke für die Links. Das muss ich mir mal anschauen. Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Aber wenn es so geht, ist das natürlich auch gut. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 Gerade eben schrieb wznutzer: Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie . Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen. Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut... Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 vor 18 Minuten schrieb wznutzer: Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten. Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 13. April 2021 Autor Melden Teilen Geschrieben 13. April 2021 vor 42 Minuten schrieb Nobbyaushb: Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen. Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut... Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt Ja, ich habe schon mehrfach über Fortigate nachgedacht. SecurePoint stand damals auf der Liste und hat mir gefallen. Aber ab einen Punkt waren denen meine Fragen beim Presales-Support wohl lästig und ich wurde einfach ignoriert, bekam keine Antworten mehr. Sophos war da bemühter. Bei etwas elementarem wie Sicherheit oder Backup lese ich zuvor die komplette Doku und versuche meine Konfiguration "durchzudenken". Manchen ist das lästig. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 vor einer Stunde schrieb mwiederkehr: Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten. Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich). Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 vor 49 Minuten schrieb zahni: Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich). Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 vor 32 Minuten schrieb mwiederkehr: Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite. Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss. Da kommt während der Einrichtung eine entsprechende Frage (Wollen Zertifikat installieren...). Das kein Anderes als jenes oben in der IOS-Anleitung. Für dieses Root-Zertifikat generiert Fiddler dann ein passendes Server-Zertifikat. Ob das mit Self Signed klappt, keine Ahnung. Mit allem Anderen aber schon. Man kann sogar User-Zertifikate unterschieben. Ist aber etwas tricky. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 vor 32 Minuten schrieb zahni: Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss. Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. April 2021 Melden Teilen Geschrieben 13. April 2021 vor 38 Minuten schrieb mwiederkehr: Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen. Das wird auch nicht funktionieren. Willst Du ein eigenes Root-Zertifikat verwenden, braucht Du den Private-Key dieser CA. Wie soll Fiddler sonst neue Server-Zertifikate nebst den notwendigen Private-key der Serverzertifikate ausstellen? Du machst hier einen Man-in-the-middle-Angriff auf SSL. Dazu muss Fiddler als Proxy neue Zertifikate erzeugen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.