Προετοιμάστε το δίκτυό σας για αυστηρότερες απαιτήσεις ασφαλείας

Τα λειτουργικά συστήματα της Apple θα απαιτούν αυστηρότερη ασφάλεια δικτύου για τις διαδικασίες συστήματος. Ελέγξτε αν οι συνδέσεις του διακομιστή σας πληρούν τις νέες απαιτήσεις.

Το άρθρο αυτό απευθύνεται σε διαχειριστές IT και προγραμματιστές υπηρεσιών διαχείρισης συσκευών.

Από την έκδοση λογισμικού 27.0 και μετά, τα λειτουργικά συστήματα της Apple (iOS, iPadOS, macOS, watchOS, tvOS και visionOS) ενδέχεται να αρνηθούν τις συνδέσεις σε διακομιστές με παρωχημένες ή μη συμμορφούμενες ρυθμίσεις TLS λόγω επιπλέον απαιτήσεων ασφάλειας δικτύου.

Θα πρέπει να ελέγξετε το περιβάλλον σας για να εντοπίσετε διακομιστές που δεν πληρούν αυτές τις απαιτήσεις. Η ενημέρωση των ρυθμίσεων των διακομιστών ώστε να πληρούν τις απαιτήσεις αυτές ενδέχεται να απαιτεί σημαντικό χρόνο, ειδικά για διακομιστές που διαχειρίζονται εξωτερικοί προμηθευτές.

Επηρεαζόμενες συνδέσεις και απαιτήσεις διαμόρφωσης

Οι νέες απαιτήσεις ισχύουν για συνδέσεις δικτύου που εμπλέκονται άμεσα στις ακόλουθες δραστηριότητες:

  • Διαχείριση Φορητών Συσκευών (MDM)

  • Δηλωτική Διαχείριση Συσκευών (DDM)

  • Αυτοματοποιημένη Εγγραφή Συσκευών

  • Εγκατάσταση προφίλ ρυθμίσεων

  • Εγκατάσταση εφαρμογών, συμπεριλαμβανομένης της διανομής επιχειρησιακών εφαρμογών

  • Ενημερώσεις λογισμικού

Εξαιρέσεις: Οι συνδέσεις δικτύου σε διακομιστή SCEP (κατά την εγκατάσταση προφίλ διαμόρφωσης ή την επίλυση στοιχείου DDM) και οι διακομιστές προσωρινής αποθήκευσης περιεχομένου (ακόμα και όταν ζητούνται στοιχεία που σχετίζονται με την εγκατάσταση εφαρμογών ή ενημερώσεις λογισμικού) δεν επηρεάζονται.

Απαιτήσεις: Οι διακομιστές πρέπει να υποστηρίζουν TLS 1.2 ή νεότερη έκδοση, να χρησιμοποιούν κρυπτογραφικές σουίτες συμβατές με ATS και να παρουσιάζουν έγκυρα πιστοποιητικά που πληρούν τα πρότυπα ATS. Για πλήρεις απαιτήσεις ασφάλειας δικτύου, ανατρέξτε στη βιβλιογραφία προγραμματιστών:

Ελέγξτε το περιβάλλον σας για μη συμμορφούμενες συνδέσεις

Χρησιμοποιήστε συσκευές δοκιμής για να εντοπίσετε τις συνδέσεις διακομιστών στο περιβάλλον σας που δεν πληρούν τις νέες απαιτήσεις TLS.

Σχεδιάστε την κάλυψη των δοκιμών σας

Διαφορετικές ρυθμίσεις συσκευών μπορεί να συνδέονται με διαφορετικούς διακομιστές. Για να βεβαιωθείτε ότι ο έλεγχός σας έχει πλήρη κάλυψη, δοκιμάστε όλες τις ρυθμίσεις που ισχύουν για το περιβάλλον σας.

  • Περιβάλλον: Παραγωγή, δοκιμαστικά, τεστ

  • Τύπος συσκευής: iPhone, iPad, Mac, Apple TV, Apple Vision Pro

  • Ρόλος: Ομάδα χρηστών (πωλήσεις, μηχανικοί, λογιστήριο), συσκευή κιόσκι, κοινόχρηστη συσκευή

  • Τύπος εγγραφής: Αυτοματοποιημένη Εγγραφή Συσκευής, εγγραφή με λογαριασμό, εγγραφή συσκευής με προφίλ, Κοινόχρηστο iPad

Οι δοκιμαστικές συσκευές σας πρέπει να έχουν την έκδοση 26.4 ή νεότερη των iOS, iPadOS, macOS, tvOS ή visionOS. Αν οι δοκιμαστικές συσκευές σας έχουν την έκδοση 27 ή νεότερη και αντιμετωπίζετε σφάλματα σύνδεσης, εξετάστε το ενδεχόμενο να δοκιμάσετε ξανά σε μια συσκευή με έκδοση 26.4 ή νεότερη, αλλά παλαιότερη από την 27, για να εντοπίσετε όλους τους επηρεαζόμενους διακομιστές. Οι μη συμβατές συνδέσεις αποκλείονται και αυτές οι αποτυχημένες συνδέσεις ενδέχεται να εμποδίσουν τη δοκιμή των επόμενων συνδέσεων στη ροή εργασίας.

Επαναλάβετε τα παρακάτω βήματα ελέγχου για κάθε ρύθμιση που συνδέεται με διαφορετικούς διακομιστές.

Στο watchOS, τα περισσότερα δικτυακά αιτήματα εκτελούνται εκτός διεργασίας και η εντολή log δεν θα λειτουργήσει. Οι δοκιμές στο iOS πιθανότατα παρέχουν επαρκή κάλυψη για συνδέσεις με το Apple Watch.

Εγκαταστήστε το Προφίλ Καταγραφής Διαγνωστικών Δικτύου

Κατεβάστε και εγκαταστήστε το Προφίλ Καταγραφής Διαγνωστικών Δικτύου στις αντιπροσωπευτικές συσκευές δοκιμών σας για να ενεργοποιήσετε την καταγραφή. Μετά την εγκατάσταση του προφίλ, επανεκκινήστε τη συσκευή δοκιμής σας.

Για να βεβαιωθείτε ότι τα αρχεία καταγραφής περιέχουν τις απαραίτητες λεπτομέρειες για τον εντοπισμό μη συμμορφούμενων συνδέσεων, αυτό το προφίλ πρέπει να εγκατασταθεί πριν από οποιαδήποτε δοκιμή. Αν δοκιμάζετε την Αυτοματοποιημένη Εγγραφή Συσκευής σε iPhone ή iPad, χρησιμοποιήστε το Apple Configurator για Mac για να εγκαταστήσετε το προφίλ πριν η συσκευή φτάσει στην καρτέλα Διαχείριση Συσκευής στον Βοηθό Διαμόρφωσης.

Εκτελέστε την κανονική ροή εργασιών σας

Χρησιμοποιήστε τη συσκευή δοκιμής όπως θα κάνατε κανονικά στο περιβάλλον σας. Εγγράψτε τη στη διαχείριση συσκευών, εγκαταστήστε εφαρμογές και προφίλ και εκτελέστε οποιαδήποτε άλλη ροή εργασίας που συνδέεται με τους διακομιστές του οργανισμού σας.

Ο στόχος είναι να δημιουργήσετε δικτυακή κίνηση προς όλους τους διακομιστές που μπορεί να επηρεαστούν από τις νέες απαιτήσεις TLS.

Συλλέξτε ένα sysdiagnose

Μετά την εκτέλεση της ροής εργασιών σας, συλλέξτε ένα sysdiagnose από τη συσκευή δοκιμής. Αυτό το αρχείο διαγνωστικών περιέχει τα αρχεία καταγραφής που χρειάζεστε για να εντοπίσετε μη συμμορφούμενες συνδέσεις.

Οδηγίες ανά συσκευή για τη συλλογή sysdiagnose

Εξετάστε τα αρχεία καταγραφής

Μεταφέρετε το sysdiagnose σε Mac και αποσυμπιέστε το αρχείο .tar.gz. Χρησιμοποιώντας το Terminal, μεταβείτε στον κορυφαίο κατάλογο μέσα στο αποσυμπιεσμένο sysdiagnose και φιλτράρετε τα σχετικά συμβάντα καταγραφής με την ακόλουθη εντολή:

log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"

Κάθε συμβάν καταγραφής περιλαμβάνει τρεις βασικές λεπτομέρειες:

  • Τομέας: Ο τομέας του διακομιστή για αυτό το συμβάν σύνδεσης.

  • Διαδικασία: Η διαδικασία που έκανε τη σύνδεση, η οποία σας βοηθά στον προσδιορισμό του σκοπού της σύνδεσης δικτύου σε αυτόν τον τομέα.

  • Προειδοποίηση: Ο περιορισμός που παραβιάστηκε από τη σύνδεση και πώς ο διακομιστής δεν συμμορφώνεται (μία σύνδεση μπορεί να παράγει πολλαπλές προειδοποιήσεις αν ο διακομιστής δεν πληροί πολλαπλές απαιτήσεις).

Ερμηνεία αρχείων καταγραφής προειδοποιήσεων

Τα ακόλουθα μηνύματα καταγραφής υποδεικνύουν διακομιστές που δεν πληρούν τις νέες απαιτήσεις TLS. Οι παραβάσεις επισημαίνονται είτε ως γενικές παραβάσεις πολιτικής ATS ("Προειδοποίηση [Παράβαση ATS]") είτε ως συγκεκριμένες παραβάσεις προτύπου FCP v2.1 ("Προειδοποίηση [Παράβαση ATS FCPv2.1]").

Αν αυτά τα αρχεία καταγραφής προέρχονται από μια διαδικασία που συνδέεται με διακομιστή συγκεκριμένο για την επιχείρησή σας, τότε αυτοί οι διακομιστές πρέπει να ενημερωθούν για να πληρούν τις νέες απαιτήσεις.

Στην έκδοση 27 ή μεταγενέστερη: Οι μη συμβατές συνδέσεις αποκλείονται και τα μηνύματα καταγραφής εμφανίζονται ως σφάλματα αντί για προειδοποιήσεις.

Μήνυμα καταγραφής

Σημασία

Αντιμετώπιση

Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com*

Ο διακομιστής διαπραγματεύτηκε ένα μη-PFS ciphersuite που δεν προσφέρεται όταν ο πελάτης επιβάλλει το ATS.

Οι διακομιστές πρέπει να υποστηρίζουν PFS ciphersuites (οποιοδήποτε TLS 1.3 ciphersuite και TLS 1.2 ciphersuite με ECDHE).

Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com*

Ο διακομιστής διαπραγματεύτηκε μια έκδοση TLS παλαιότερη από την TLS 1.2.

Οι TLS 1.0/1.1 έχουν καταργηθεί και δεν προσφέρονται πλέον από προεπιλογή.

Ενημερώστε τους διακομιστές να διαπραγματεύονται TLS 1.3 όπου είναι δυνατόν (τουλάχιστον TLS 1.2).

Warning [ATS violation]: ATS certificate trust requirement not satisfied for server: www.example.com

Το πιστοποιητικό του διακομιστή δεν πέρασε την προεπιλεγμένη αξιολόγηση αξιοπιστίας διακομιστή επειδή δεν πληρούσε τις ελάχιστες απαιτήσεις που περιγράφονται στο εδώ.

Ενημερώστε το πιστοποιητικό του διακομιστή για να πληροί αυτές τις απαιτήσεις.

Εάν το πιστοποιητικό βρίσκεται στα πιστοποιητικά εμπιστοσύνης (anchor certificates) του προφίλ αυτόματης εγγραφής, τότε δεν απαιτείται διόρθωση.

Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com

Το πιστοποιητικό του διακομιστή υπογράφηκε με κλειδί RSA μικρότερο από 2048 bits.

Ενημερώστε το πιστοποιητικό του διακομιστή για να πληροί αυτές τις απαιτήσεις.

Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com

Το πιστοποιητικό του διακομιστή υπογράφηκε με κλειδί ECDSA μικρότερο από 256 bits.

Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com

Το πιστοποιητικό του διακομιστή δεν χρησιμοποίησε Secure Hash Algorithm 2 (SHA-2) με μήκος κατακερματισμού τουλάχιστον 256 bits.

Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com*

Χρησιμοποιήθηκε απλό HTTP αντί για HTTPS.

Ενημερώστε τον διακομιστή για να υποστηρίζει HTTPS.

Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com*

Ο διακομιστής επέλεξε τον rsa_pkcs15_sha1 ως signature_algorithm.

Ενημερώστε τη ρύθμιση για να προτιμάτε σύγχρονους αλγόριθμους υπογραφής.

Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com

Το πιστοποιητικό του διακομιστή υπογράφηκε με αλγόριθμο υπογραφής που δεν διαφημίστηκε στο ClientHello.

Ενημερώστε το πιστοποιητικό του διακομιστή ώστε να υπογράφεται με αλγόριθμο υπογραφής που έχει κωδικό TLS και δεν είναι rsa_pkcs15_sha1.

Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com

Ο διακομιστής διαπραγματεύτηκε TLS 1.2 και δεν διαπραγματεύτηκε την επέκταση Extended Master Secret (EMS).

Ενημερώστε τους διακομιστές να χρησιμοποιούν TLS 1.3 ή, τουλάχιστον, ενημερώστε τη ρύθμιση TLS 1.2 ώστε να διαπραγματεύεται το EMS.

*Αυτές οι προειδοποιήσεις δεν έχουν αντίστοιχα μηνύματα σφάλματος άμεσης αντιστοιχίας στην έκδοση 27 ή νεότερη.

  • Για σφάλματα σχετικά με τις ciphersuites, την έκδοση TLS και τους αλγόριθμους υπογραφής: το ακριβές σφάλμα από την πλευρά του πελάτη ενδέχεται να εξαρτάται από τον τρόπο με τον οποίο ο διακομιστής χειρίζεται αυτή την κατάσταση.

  • Για σφάλματα σχετικά με συνδέσεις HTTP απλού κειμένου: όταν μια σύνδεση HTTP (από μια http:// URL ή από ανακατεύθυνση σε αυτήν) αποκλείεται, καταγράφεται ως σφάλμα παρόμοιο με το εξής:

Task . finished with error [-1022] Error Domain=NSURLErrorDomain Code=-1022 "The resource could not be loaded because the App Transport Security policy requires the use of a secure connection."

Επικυρώστε μεμονωμένους διακομιστές

Αφού εντοπίσετε μη συμμορφούμενους διακομιστές στον έλεγχο, μπορείτε να τους δοκιμάσετε ξεχωριστά για να επαληθεύσετε συγκεκριμένες παραβιάσεις ή να επιβεβαιώσετε ότι η διόρθωση ήταν επιτυχής.

Εκτελέστε την ακόλουθη εντολή, αντικαθιστώντας το "https://example.com:8000" με τον διακομιστή ή το τερματικό σας.

nscurl --ats-diagnostics https://example.com:8000/

Η εντολή αυτή ελέγχει αν ο διακομιστής πληροί τις απαιτήσεις για διάφορους συνδυασμούς πολιτικών ATS. Αναζητήστε το αποτέλεσμα του ελέγχου χρησιμοποιώντας το ATS με ενεργοποιημένη τη λειτουργία FCP_v2.1:

  • Configuring NIAP TLS package version requirements

  • ---

  • FCP_v2.1

  • Result : PASS

  • ---

Αν το αποτέλεσμα είναι «PASS», ο διακομιστής πληροί όλες τις απαιτήσεις.

Μάθετε περισσότερα για την αναγνώριση της πηγής των αποκλεισμένων συνδέσεων

Αντιμετώπιση

Συνεργαστείτε με τους ιδιοκτήτες των επηρεαζόμενων διακομιστών για να ενημερώσετε τις ρυθμίσεις τους TLS. Οι ιδιοκτήτες των διακομιστών μπορεί να είναι εσωτερικοί, η υπηρεσία διαχείρισης συσκευών σας ή ένας τρίτος προμηθευτής.

Όταν επικοινωνείτε με τον κάτοχο διακομιστή για την αντιμετώπιση, μοιραστείτε το άρθρο αυτό και τα συγκεκριμένα προειδοποιητικά μηνύματα που παρατηρήσατε.

Η αντιμετώπιση ενδέχεται να περιλαμβάνει τα εξής:

  • Ενημερώστε τους διακομιστές ώστε να υποστηρίζουν TLS 1.2 ή νεότερο (συνιστάται το TLS 1.3)

  • Για διακομιστές που υποστηρίζουν μόνο TLS 1.2, πρέπει τουλάχιστον να υποστηρίζουν αλγορίθμους ανταλλαγής κλειδιών που παρέχουν Perfect Forward Secrecy (ECDHE), AEAD ciphersuites βασισμένα σε AES-GCM με SHA-256, SHA-384 ή SHA-512, και την επέκταση Master Secret Extension (RFC 7627).

  • Ενημερώστε τα πιστοποιητικά ώστε να πληρούν τις απαιτήσεις ATS για το μέγεθος κλειδιού, τον αλγόριθμο υπογραφής και την εγκυρότητα.

Πρόσθετοι πόροι

Ημερομηνία δημοσίευσης: