Jump to content

SSL - Proxy / Traffic für RDP-Verbindungen analysieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen,

 

Ich suche nach einer Möglichkeit den Traffic einer RDP-App für iOS zu analysieren, also ähnlich wie das Fiddler unter Windows kann. Ich nutze eine Sophos UTM, aber deren Reverse-Proxy protokolliert nicht ausführlich genug.

Verbindung: RDP-Verbindung App => Sophos => RDP-Gateway => RDSH

Irgendwo zwischendrin würde ich mir gerne den unverschlüsselten Traffic anschauen.

Ich habe ein Problem mit der Authentifizierung, das Sophos Log sagt aber lapidar Fehler: AH0195. Die MS-App geht, aber diverse andere aus dem App-Store gehen nicht. Somit muss es einen Unterschied zwischen funktioniert und funktioniert nicht geben. Die IIS-Logs helfen nicht weiter

 

Burp Proxy, mitmproxy währen evtl. eine Lösung. Mich würde interessieren welche Tools Ihr da evtl. schon verwendet habt.

 

Ich stelle mir das so vor:

iOS App =>> Analyse Proxy (als SSL-Endpunkt, Zertifikat installiert) Traffic geht unverändert weiter =>> Sophos UTM =>> RDP-Gateway =>> RDSH

 

Vielen Dank

Link to post

Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen.

Link to post
vor 10 Minuten schrieb mwiederkehr:

Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler

Er hat das Problem auf einem Iphone...

 

Edit: Hier ist eine Anleitung, um den Fiddler als Proxy zu nutzen:

 

https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios

 

Ob das so noch funktioniert: K.A.

Edited by zahni
Link to post
vor 1 Stunde schrieb Nobbyaushb:

Losgelöst - hilft der Sophos Support da nicht weiter?

Eine UTM ohne Service geht meines Wissens nicht...

Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie :frown:. Man kann wohl irgendwie Partner und alles mögliche sein ohne sich wirklich auszukennen. Wobei ich den Presales-Support von Sophos direkt ausdrücklich loben muss.

vor einer Stunde schrieb zahni:

Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen.

Ja, ich verwende ein Zertifikat einer public CA (Digicert).

vor 38 Minuten schrieb mwiederkehr:

 

vor 31 Minuten schrieb zahni:

Danke für die Links. Das muss ich mir mal anschauen. Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Aber wenn es so geht, ist das natürlich auch gut.

Link to post
Gerade eben schrieb wznutzer:

Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie :frown:.

Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen.
Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut...

Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt

Link to post
vor 18 Minuten schrieb wznutzer:

Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet.

Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten. :smile2:

Link to post
vor 42 Minuten schrieb Nobbyaushb:

Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen.
Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut...

Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt

Ja, ich habe schon mehrfach über Fortigate nachgedacht. SecurePoint stand damals auf der Liste und hat mir gefallen. Aber ab einen Punkt waren denen meine Fragen beim Presales-Support wohl lästig und ich wurde einfach ignoriert, bekam keine Antworten mehr. Sophos war da bemühter. Bei etwas elementarem wie Sicherheit oder Backup lese ich zuvor die komplette Doku und versuche meine Konfiguration "durchzudenken". Manchen ist das lästig.

Link to post
vor einer Stunde schrieb mwiederkehr:

Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten. :smile2:

Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich).

Link to post
vor 49 Minuten schrieb zahni:

Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich).

Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite.

Link to post
vor 32 Minuten schrieb mwiederkehr:

Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite.

Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss. Da kommt während der Einrichtung eine entsprechende Frage (Wollen Zertifikat installieren...). Das kein Anderes als jenes oben in der IOS-Anleitung. Für dieses Root-Zertifikat generiert Fiddler dann ein passendes Server-Zertifikat. Ob das mit Self Signed klappt, keine Ahnung. Mit allem Anderen aber schon. Man kann sogar User-Zertifikate unterschieben. Ist aber etwas tricky.

 

Link to post
vor 32 Minuten schrieb zahni:

Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss.

Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen.

Link to post
vor 38 Minuten schrieb mwiederkehr:

Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen.

Das wird auch nicht funktionieren. Willst Du ein eigenes Root-Zertifikat verwenden, braucht Du den Private-Key dieser CA. Wie soll Fiddler sonst neue Server-Zertifikate nebst den notwendigen Private-key der Serverzertifikate ausstellen?

Du machst hier einen Man-in-the-middle-Angriff auf SSL. Dazu  muss Fiddler als Proxy neue Zertifikate erzeugen. 

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...