הכנת סביבת הרשת לדרישות אבטחה מחמירות יותר
מערכות ההפעלה של Apple יחייבו אבטחת רשת מחמירה יותר לתהליכי מערכת. לפיכך, עליכם לבדוק אם חיבורי השרתים שלכם עומדים בדרישות החדשות.
מאמר זה מיועד למנהלי מערכות מידע ולמפתחי שירותים של ניהול מכשירים.
החל מהמהדורה המרכזית הבאה של התוכנה, ייתכן שמערכות ההפעלה של Apple (iOS, iPadOS, macOS, watchOS, tvOS ו-visionOS) ידחו חיבורים לשרתים עם תצורות TLS מיושנות או כאלה שאינן תואמות עקב דרישות נוספות של אבטחת רשת.
מומלץ לערוך ביקורת מעמיקה בסביבה שלכם כדי לאתר שרתים שאינם עומדים בדרישות אלה. עדכון תצורות השרתים כדי לעמוד בדרישות אלה עשוי להצריך זמן לא מבוטל, במיוחד ביחס לשרתים המנוהלים על ידי ספקים חיצוניים.
החיבורים שיושפעו ודרישות התצורה
הדרישות החדשות יחולו על חיבורי רשת המשמשים באופן ישיר בפעילויות הבאות:
ניהול מכשירים ניידים (MDM)
ניהול מכשירים הצהרתי (DDM)
רישום מכשירים אוטומטי
התקנת פרופיל תצורה
התקנת יישומים, כולל הפצת יישומים ארגוניים
עדכוני תוכנה
חריגים: אין לכך השפעה על חיבורי רשת לשרת SCEP (בעת התקנת פרופיל תצורה או פענוח נכס DDM) ועל שרתי אחסון תוכן במטמון (גם כאשר מבקשים נכסים הקשורים להתקנת יישומים או עדכוני תוכנה).
דרישות: השרתים חייבים לתמוך ב-TLS 1.2 ואילך, להשתמש בחבילות Ciphersuite התואמות ל-ATS ולהציג אישורים חוקיים העומדים בתקני ATS. לדרישות המלאות של אבטחת רשת, עיינו בתיעוד של המפתח:
ביצוע ביקורת מעמיקה בסביבה שלכם לאיתור חיבורים שאינם תואמים
השתמשו במכשירי בדיקה כדי לזהות חיבורי שרתים בסביבה שלכם שאינם עומדים בדרישות החדשות של פרוטוקול TLS.
תכנון היקף הבדיקות
תצורות מכשירים שונות עשויות להתחבר לשרתים שונים. כדי להבטיח כיסוי מלא של הביקורת המעמיקה, יש לבדוק את כל התצורות הרלוונטיות לסביבה שלכם.
סביבה: ייצור, הצבה, בדיקה
סוג מכשיר: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
תפקיד: קבוצת משתמשים (מכירות, הנדסה, חשבונאות), מכשיר בעמדה ציבורית, מכשיר משותף
סוג רישום: רישום מכשירים אוטומטי, רישום מבוסס חשבון, רישום מכשירים מבוסס פרופיל, iPad משותף
חזרו על שלבי הביקורת הבאים עבור כל תצורה שמתחברת לשרתים שונים.
התקנת פרופיל הרישום לאבחון רשת
הורידו והתקינו את פרופיל הרישום לאבחון רשת במכשיר בדיקה מייצג המצויד ב-iOS 26.4, ב-iPadOS 26.4, ב-macOS 26.4, ב-watchOS 26.4, ב-tvOS 26.4 או ב-visionOS 26.4 ואילך, כדי לאפשר רישום. לאחר התקנת הפרופיל, הפעילו מחדש את מכשיר הבדיקה.
כדי לוודא שהאירועים ביומן הרישום מכילים את הפרטים הדרושים לזיהוי חיבורים לא תואמים, יש להתקין פרופיל זה לפני ביצוע בדיקות כלשהן. אם אתם בודקים 'רישום מכשירים אוטומטי' ב-iPhone או ב-iPad, השתמשו ב-Apple Configurator ל-Mac, כדי להתקין את הפרופיל לפני שהמכשיר יגיע לחלונית 'ניהול מכשירים' ב'מדריך ההגדרות'.
הפעלת תהליכי העבודה הרגילים
השתמשו במכשיר הבדיקה כפי שהייתם משתמשים במכשיר כרגיל בסביבה שלכם. רשמו את מכשיר הבדיקה במערכת ניהול המכשירים, התקינו בו יישומים ופרופילים, ובצעו כל תהליך אחר שבו מתבצע חיבור לשרתי הארגון.
המטרה היא לייצר תעבורת רשת לכל השרתים שעשויים להיות מושפעים מהדרישות החדשות של פרוטוקול TLS.
איסוף של אבחון מערכת
לאחר ביצוע תהליכי העבודה, אספו אבחון מערכת ממכשיר הבדיקה. ארכיון האבחון הזה מכיל את אירועי יומן הרישום הדרושים לצורך זיהוי חיבורים לא תואמים.
הוראות ספציפיות למכשיר לגבי איסוף של אבחון מערכת
סקירת יומני הרישום
העבירו את אבחון המערכת ל-Mac ופרסו את הקובץ .tar.gz. בעזרת המאפיין 'מסוף', נווטו לספריה ברמה העליונה בתוך אבחון המערכת שנפרס, ובצעו סינון לקבלת אירועים רלוונטיים ביומן הרישום בעזרת הפקודה הבאה:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
כל אירוע ביומן הרישום כולל שלושה פרטים עיקריים:
דומיין: הדומיין של השרת עבור אירוע החיבור הזה.
תהליך: התהליך שביצע את החיבור. פרט זה יסייע לכם לקבוע את מטרת החיבור לרשת לאותו דומיין.
אזהרה: איזו הגבלה הופרה על ידי החיבור והאופן שבו השרת אינו עומד בדרישות (אם השרת אינו עומד במספר דרישות, ייתכן שחיבור אחד יפיק מספר אזהרות).
איך לפרש רישומי אזהרה
הודעות הרישום הבאות מציינות שרתים שאינם עומדים בדרישות החדשות של פרוטוקול TLS. ההפרות מסומנות כהפרות כלליות של מדיניות ATS ("Warning [ATS Violation]") או כהפרות ספציפיות של תקן FCP v2.1 ("Warning [ATS FCPv2.1 violation]").
אם רישומי יומן אלה נשלחים בעקבות תהליך שמתחבר לשרת שהוא ספציפי לארגון שלכם, יש לעדכן את השרתים הללו כדי שיעמדו בדרישות החדשות.
הודעת יומן רישום | משמעות | פעולת תיקון |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | השרת ניהל משא ומתן על חבילת Ciphersuite שאינה PFS, אשר אינה מוצעת כאשר הלקוח מחייב ATS. | שרתים חייבים לתמוך בחבילות Ciphersuite מסוג PFS (כל חבילת Ciphersuite של TLS 1.3 וחבילות Ciphersuite של TLS 1.2 עם ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | השרת ניהל משא ומתן על גרסה של TLS שקודמת ל-TLS 1.2. TLS 1.0/1.1 הוכרזו כמיושנות וכבר אינן מוצעות כברירת מחדל. | עדכנו את השרתים כך שינהלו משא ומתן על TLS 1.3 בכל פעם שניתן (לפחות TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | אישור השרת לא עבר את הערכת האמון המוגדרת כברירת מחדל לשרת משום שהוא לא עמד בדרישות המינימליות המובאות כאן. | עדכנו את אישור השרת כך שיעמוד בדרישות אלה. אם האישור כלול באישורי העוגן של פרופיל הרישום האוטומטי, אין צורך בפעולת תיקון. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | אישור השרת נחתם באמצעות מפתח RSA שגודלו קטן מ-2,048 סיביות. | עדכנו את אישור השרת כך שיעמוד בדרישות אלה. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | אישור השרת נחתם באמצעות מפתח ECDSA שגודלו קטן מ-256 סיביות | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | אישור השרת לא השתמש ב-Secure Hash Algorithm 2 (SHA-2) עם אורך תקציר של 256 סיביות לפחות. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | נעשה שימוש ב-HTTP פשוט במקום ב-HTTPS. | עדכנו את השרת כך שיתמוך ב-HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | השרת בחר ב-rsa_pkcs15_sha1 בתור signature_algorithm. | עדכנו את התצורה כך שיועדפו אלגוריתמי חתימה מודרניים. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | אישור השרת נחתם באמצעות אלגוריתם חתימה שלא פורסם ב-ClientHello. | עדכנו את אישור השרת כך שייחתם באמצעות אלגוריתם חתימה עם מיקום תו (codepoint) ב-TLS ושאינו rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | השרת ניהל משא ומתן על TLS 1.2 ולא ניהל משא ומתן על ההרחבה Extended Master Secret (EMS). | עדכנו את השרתים כך שישתמשו ב-TLS 1.3, או לפחות עדכנו את הגדרת התצורה שלהם ל-TLS 1.2 כך שיתבצע משא ומתן על הרחבת EMS. |
אימות שרתים בנפרד
לאחר זיהוי שרתים שאינם עומדים בדרישות במהלך הביקורת, תוכלו לבדוק אותם באופן פרטני, כדי לאמת הפרות ספציפיות או לאשר שפעולת התיקון הצליחה.
הריצו את הפקודה הבאה, והחליפו את "https://example.com:8000" בשרת או בנקודת הקצה שלכם.
nscurl --ats-diagnostics https://example.com:8000/
פקודה זו בודקת אם השרת עומד בדרישות עבור צירופים שונים של כללי מדיניות ATS. אתרו את תוצאת הבדיקה באמצעות ATS כאשר מצב FCP_v2.1 מופעל:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
אם התוצאה היא PASS, השרת עומד בכל הדרישות.
מידע נוסף על זיהוי המקור לחיבורים חסומים
פעולת תיקון
עבדו עם בעלי השרתים המושפעים כדי לעדכן את תצורות ה-TLS שלהם. בעלי השרתים עשויים להיות גורם פנימי, שירות ניהול המכשירים שלכם או ספק המהווה צד שלישי.
בפנייה לבעלי השרתים לצורך פעולת תיקון, העבירו להם את המאמר הזה ואת הודעות האזהרה הספציפיות שזיהיתם.
התיקון עשוי לכלול את הפעולות הבאות:
שדרוג השרתים לתמיכה ב-TLS 1.2 ואילך (מומלץ TLS 1.3)
עבור שרתים התומכים אך ורק ב-TLS 1.2, עליהם לתמוך לפחות באלגוריתמים של החלפת מפתחות המספקים "סודיות מושלמת קדימה" (Perfect Forward Secrecy) (ECDHE), בחבילות Ciphersuite מסוג AEAD המבוססות על AES-GCM עם SHA-256, SHA-384 או SHA-512, ובהרחבה מסוג Extended Master Secret (RFC 7627).
עדכנו אישורים כך שיעמדו בדרישות ATS לגבי גודל המפתח, אלגוריתם החתימה ותקופת התוקף.
משאבים נוספים
מידע על מניעת חיבורי רשת לא מאובטחים ו-App Transport Security
לסיוע נוסף, תוכלו לפנות למנהל/ת הצלחת לקוחות שהקצו לכם או לתמיכה של AppleCare בארגונים.