Jump to content

SSL - Proxy / Traffic für RDP-Verbindungen analysieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen,

 

Ich suche nach einer Möglichkeit den Traffic einer RDP-App für iOS zu analysieren, also ähnlich wie das Fiddler unter Windows kann. Ich nutze eine Sophos UTM, aber deren Reverse-Proxy protokolliert nicht ausführlich genug.

Verbindung: RDP-Verbindung App => Sophos => RDP-Gateway => RDSH

Irgendwo zwischendrin würde ich mir gerne den unverschlüsselten Traffic anschauen.

Ich habe ein Problem mit der Authentifizierung, das Sophos Log sagt aber lapidar Fehler: AH0195. Die MS-App geht, aber diverse andere aus dem App-Store gehen nicht. Somit muss es einen Unterschied zwischen funktioniert und funktioniert nicht geben. Die IIS-Logs helfen nicht weiter

 

Burp Proxy, mitmproxy währen evtl. eine Lösung. Mich würde interessieren welche Tools Ihr da evtl. schon verwendet habt.

 

Ich stelle mir das so vor:

iOS App =>> Analyse Proxy (als SSL-Endpunkt, Zertifikat installiert) Traffic geht unverändert weiter =>> Sophos UTM =>> RDP-Gateway =>> RDSH

 

Vielen Dank

Link zu diesem Kommentar
vor 10 Minuten schrieb mwiederkehr:

Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler

Er hat das Problem auf einem Iphone...

 

Edit: Hier ist eine Anleitung, um den Fiddler als Proxy zu nutzen:

 

https://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios

 

Ob das so noch funktioniert: K.A.

bearbeitet von zahni
Link zu diesem Kommentar
vor 1 Stunde schrieb Nobbyaushb:

Losgelöst - hilft der Sophos Support da nicht weiter?

Eine UTM ohne Service geht meines Wissens nicht...

Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie :frown:. Man kann wohl irgendwie Partner und alles mögliche sein ohne sich wirklich auszukennen. Wobei ich den Presales-Support von Sophos direkt ausdrücklich loben muss.

vor einer Stunde schrieb zahni:

Hat die öffentliche Verbindung (=Reverse Proxy) ein Zertifikat einer public Trusted CA? Ansonsten müsstest Du, vermutlich per MDM, dem Iphone euer Root-Zertifikat beibringen.

Ja, ich verwende ein Zertifikat einer public CA (Digicert).

vor 38 Minuten schrieb mwiederkehr:

 

vor 31 Minuten schrieb zahni:

Danke für die Links. Das muss ich mir mal anschauen. Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Aber wenn es so geht, ist das natürlich auch gut.

Link zu diesem Kommentar
Gerade eben schrieb wznutzer:

Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie :frown:.

Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen.
Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut...

Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt

Link zu diesem Kommentar
vor 42 Minuten schrieb Nobbyaushb:

Wäre für mich ein Grund, das mal weiter zu eskalieren - oder was anderes anschaffen.
Habe leider schon oft von mangelhaftem Supprt von Sophos gehört, dabei sind die UTM eigentlich gut...

Wir haben SecurePoint (primär...) die sitzen in Lüneburg und der Support ist super, zudem habe ich einen Händler/Pertner vor Ort der sich richtig gut auskennt

Ja, ich habe schon mehrfach über Fortigate nachgedacht. SecurePoint stand damals auf der Liste und hat mir gefallen. Aber ab einen Punkt waren denen meine Fragen beim Presales-Support wohl lästig und ich wurde einfach ignoriert, bekam keine Antworten mehr. Sophos war da bemühter. Bei etwas elementarem wie Sicherheit oder Backup lese ich zuvor die komplette Doku und versuche meine Konfiguration "durchzudenken". Manchen ist das lästig.

Link zu diesem Kommentar
vor 49 Minuten schrieb zahni:

Wieso nicht? Fiddler verwendet die Zertifikate von Windows. Und es gibt noch die Option ungültige Zertifikate zu ignorieren (oder so ähnlich).

Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite.

Link zu diesem Kommentar
vor 32 Minuten schrieb mwiederkehr:

Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite.

Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss. Da kommt während der Einrichtung eine entsprechende Frage (Wollen Zertifikat installieren...). Das kein Anderes als jenes oben in der IOS-Anleitung. Für dieses Root-Zertifikat generiert Fiddler dann ein passendes Server-Zertifikat. Ob das mit Self Signed klappt, keine Ahnung. Mit allem Anderen aber schon. Man kann sogar User-Zertifikate unterschieben. Ist aber etwas tricky.

 

Link zu diesem Kommentar
vor 32 Minuten schrieb zahni:

Also eigentlich erstellt Fiddler ein eigenes Root-Zertifikat, dass man auch in die Trusted-Root-Zertifikate installiert werden muss.

Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen.

Link zu diesem Kommentar
vor 38 Minuten schrieb mwiederkehr:

Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen.

Das wird auch nicht funktionieren. Willst Du ein eigenes Root-Zertifikat verwenden, braucht Du den Private-Key dieser CA. Wie soll Fiddler sonst neue Server-Zertifikate nebst den notwendigen Private-key der Serverzertifikate ausstellen?

Du machst hier einen Man-in-the-middle-Angriff auf SSL. Dazu  muss Fiddler als Proxy neue Zertifikate erzeugen. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...