wznutzer 36 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Guten Morgen, Ich suche nach einer Möglichkeit den Traffic einer RDP-App für iOS zu analysieren, also ähnlich wie das Fiddler unter Windows kann. Ich nutze eine Sophos UTM, aber deren Reverse-Proxy protokolliert nicht ausführlich genug. Verbindung: RDP-Verbindung App => Sophos => RDP-Gateway => RDSH Irgendwo zwischendrin würde ich mir gerne den unverschlüsselten Traffic anschauen. Ich habe ein Problem mit der Authentifizierung, das Sophos Log sagt aber lapidar Fehler: AH0195. Die MS-App geht, aber diverse andere aus dem App-Store gehen nicht. Somit muss es einen Unterschied zwischen funktioniert und funktioniert nicht geben. Die IIS-Logs helfen nicht weiter Burp Proxy, mitmproxy währen evtl. eine Lösung. Mich würde interessieren welche Tools Ihr da evtl. schon verwendet habt. Ich stelle mir das so vor: iOS App =>> Analyse Proxy (als SSL-Endpunkt, Zertifikat installiert) Traffic geht unverändert weiter =>> Sophos UTM =>> RDP-Gateway =>> RDSH Vielen Dank Zitieren
Nobbyaushb 1.552 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Losgelöst - hilft der Sophos Support da nicht weiter? Eine UTM ohne Service geht meines Wissens nicht... Zitieren
zahni 579 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen. Zitieren
mwiederkehr 392 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler Zitieren
zahni 579 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 (bearbeitet) Am 13.4.2021 um 08:52 schrieb mwiederkehr: Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler Mehr Er hat das Problem auf einem Iphone... Edit: Hier ist eine Anleitung, um den Fiddler als Proxy zu nutzen: https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios Ob das so noch funktioniert: K.A. bearbeitet 13. April 2021 von zahni Zitieren
wznutzer 36 Geschrieben 13. April 2021 Autor Melden Geschrieben 13. April 2021 Am 13.4.2021 um 07:38 schrieb Nobbyaushb: Losgelöst - hilft der Sophos Support da nicht weiter? Eine UTM ohne Service geht meines Wissens nicht... Mehr Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie . Man kann wohl irgendwie Partner und alles mögliche sein ohne sich wirklich auszukennen. Wobei ich den Presales-Support von Sophos direkt ausdrücklich loben muss. Am 13.4.2021 um 08:13 schrieb zahni: Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen. Mehr Ja, ich verwende ein Zertifikat einer public CA (Digicert). Am 13.4.2021 um 08:52 schrieb mwiederkehr: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler Mehr Am 13.4.2021 um 08:58 schrieb zahni: https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios Mehr Danke für die Links. Das muss ich mir mal anschauen. Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Aber wenn es so geht, ist das natürlich auch gut. Zitieren
Nobbyaushb 1.552 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 09:39 schrieb wznutzer: Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie . Mehr Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen. Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut... Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt Zitieren
mwiederkehr 392 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 09:39 schrieb wznutzer: Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Mehr Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten. Zitieren
wznutzer 36 Geschrieben 13. April 2021 Autor Melden Geschrieben 13. April 2021 Am 13.4.2021 um 09:44 schrieb Nobbyaushb: Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen. Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut... Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt Mehr Ja, ich habe schon mehrfach über Fortigate nachgedacht. SecurePoint stand damals auf der Liste und hat mir gefallen. Aber ab einen Punkt waren denen meine Fragen beim Presales-Support wohl lästig und ich wurde einfach ignoriert, bekam keine Antworten mehr. Sophos war da bemühter. Bei etwas elementarem wie Sicherheit oder Backup lese ich zuvor die komplette Doku und versuche meine Konfiguration "durchzudenken". Manchen ist das lästig. Zitieren
zahni 579 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 10:01 schrieb mwiederkehr: Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten. Mehr Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich). Zitieren
mwiederkehr 392 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 11:08 schrieb zahni: Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich). Mehr Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite. Zitieren
zahni 579 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 12:00 schrieb mwiederkehr: Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite. Mehr Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss. Da kommt während der Einrichtung eine entsprechende Frage (Wollen Zertifikat installieren...). Das kein Anderes als jenes oben in der IOS-Anleitung. Für dieses Root-Zertifikat generiert Fiddler dann ein passendes Server-Zertifikat. Ob das mit Self Signed klappt, keine Ahnung. Mit allem Anderen aber schon. Man kann sogar User-Zertifikate unterschieben. Ist aber etwas tricky. Zitieren
mwiederkehr 392 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 12:37 schrieb zahni: Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss. Mehr Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen. Zitieren
zahni 579 Geschrieben 13. April 2021 Melden Geschrieben 13. April 2021 Am 13.4.2021 um 13:11 schrieb mwiederkehr: Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen. Mehr Das wird auch nicht funktionieren. Willst Du ein eigenes Root-Zertifikat verwenden, braucht Du den Private-Key dieser CA. Wie soll Fiddler sonst neue Server-Zertifikate nebst den notwendigen Private-key der Serverzertifikate ausstellen? Du machst hier einen Man-in-the-middle-Angriff auf SSL. Dazu muss Fiddler als Proxy neue Zertifikate erzeugen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.