Menyiapkan lingkungan jaringan Anda untuk persyaratan keamanan yang lebih ketat

Sistem operasi Apple akan menerapkan persyaratan keamanan jaringan yang lebih ketat untuk proses sistem. Periksa apakah koneksi server Anda memenuhi persyaratan baru tersebut.

Artikel ini ditujukan untuk administrator TI dan pengembang layanan manajemen perangkat.

Sejak rilis perangkat lunak utama berikutnya, sistem operasi Apple (iOS, iPadOS, macOS, watchOS, tvOS, dan visionOS) mungkin akan menolak koneksi ke server dengan konfigurasi TLS yang usang atau tidak memenuhi standar karena persyaratan keamanan jaringan tambahan.

Anda harus melakukan audit lingkungan Anda untuk mengidentifikasi server yang tidak memenuhi persyaratan ini. Memperbarui konfigurasi server agar memenuhi persyaratan ini mungkin memerlukan waktu yang signifikan, terutama untuk server yang dikelola oleh vendor eksternal.

Koneksi yang terpengaruh dan persyaratan konfigurasi

Persyaratan baru ini berlaku untuk koneksi jaringan yang secara langsung terlibat dalam aktivitas berikut:

  • Manajemen perangkat Bergerak (MDM)

  • Manajemen Perangkat Deklaratif (DDM)

  • Pendaftaran Perangkat Terautomasi

  • Penginstalan profil konfigurasi

  • Penginstalan app, termasuk distribusi app perusahaan

  • Pembaruan perangkat lunak

Pengecualian: Koneksi jaringan ke server SCEP (selama menginstal profil konfigurasi atau menyelesaikan aset DDM) dan cache konten server (bahkan saat meminta aset terkait penginstalan app atau pembaruan perangkat lunak) tidak terpengaruh.

Persyaratan: Server harus mendukung TLS 1.2 atau versi lebih baru, menggunakan ciphersuite yang sesuai dengan ATS, dan menyajikan sertifikat valid yang memenuhi standar ATS. Untuk persyaratan keamanan jaringan lengkap, lihat dokumentasi pengembang:

Mengaudit lingkungan Anda untuk koneksi yang tidak memenuhi standar

Gunakan perangkat uji untuk mengidentifikasi koneksi server di lingkungan Anda yang tidak memenuhi persyaratan TLS baru.

Rencanakan cakupan pengujian

Konfigurasi perangkat yang berbeda mungkin terhubung ke server yang berbeda. Untuk memastikan audit Anda mencakup seluruh aspek, uji semua konfigurasi yang berlaku untuk lingkungan Anda.

  • Lingkungan: Produksi, staging, pengujian

  • Tipe perangkat: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro

  • Peran: Grup pengguna (penjualan, teknik, akuntansi), perangkat kios, perangkat bersama

  • Tipe pendaftaran: Pendaftaran Perangkat Otomatis, pendaftaran berbasis akun, pendaftaran Perangkat berbasis profil, iPad Bersama

Ulangi langkah-langkah audit berikut untuk setiap konfigurasi yang terhubung ke server yang berbeda.

Menginstal Profil Pencatatan Diagnostik Jaringan

Unduh dan instal Profil Pencatatan Diagnostik Jaringan pada perangkat pengujian yang menjalankan iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4, atau visionOS 26.4, atau versi lebih baru, untuk mengaktifkan pencatatan. Setelah menginstal profil, mulai ulang perangkat pengujian.

Untuk memastikan bahwa peristiwa pencatatan berisi detail yang diperlukan untuk mengidentifikasi koneksi yang tidak memenuhi standar, profil ini harus diinstal sebelum Anda melakukan pengujian apa pun. Jika Anda menguji Pendaftaran Perangkat Terautomasi di iPhone atau iPad, gunakan Apple Configurator untuk Mac untuk menginstal profil sebelum perangkat mencapai panel Manajemen Perangkat di Asisten Pengaturan.

Menjalankan alur kerja normal

Gunakan perangkat pengujian seperti yang biasa Anda lakukan di lingkungan Anda. Daftarkan perangkat tersebut dalam manajemen perangkat, instal app dan profil, serta lakukan alur kerja lainnya yang terhubung ke server organisasi Anda.

Tujuannya adalah untuk menghasilkan lalu lintas jaringan ke semua server yang mungkin terpengaruh oleh persyaratan TLS baru.

Mengumpulkan sysdiagnose

Setelah menjalankan alur kerja Anda, kumpulkan sysdiagnose dari perangkat pengujian. Arsip diagnostik ini berisi peristiwa log yang Anda perlukan untuk mengidentifikasi koneksi yang tidak memenuhi standar.

Instruksi khusus perangkat untuk mengumpulkan sysdiagnose

Meninjau log

Transfer sysdiagnose ke Mac dan ekstrak file .tar.gz. Menggunakan Terminal, navigasikan ke direktori tingkat atas di dalam file sysdiagnose yang telah diekstrak dan filter peristiwa log yang relevan dengan perintah ini:

log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"

Setiap peristiwa log mencakup tiga detail penting:

  • Domain: Domain server untuk peristiwa koneksi ini.

  • Proses: Proses yang menghasilkan koneksi, yang membantu Anda menentukan tujuan koneksi jaringan ke domain tersebut.

  • Peringatan: Batasan yang dilanggar oleh koneksi dan bagaimana server tidak memenuhi standar (satu koneksi dapat menampilkan beberapa peringatan jika server tidak memenuhi beberapa persyaratan).

Menafsirkan log peringatan

Pesan log berikut menunjukkan server yang tidak memenuhi persyaratan TLS baru. Pelanggaran ditandai sebagai pelanggaran kebijakan ATS umum ("Warning [ATS Violation]") atau pelanggaran standar FCP v2.1 tertentu ("Warning [ATS FCPv2.1 violation]").

Jika log ini dihasilkan oleh proses yang terhubung ke server khusus perusahaan Anda, maka server tersebut harus diperbarui untuk memenuhi persyaratan baru.

Pesan log

Arti

Remediasi

Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com

Server menegosiasikan ciphersuite non-PFS yang tidak ditawarkan saat klien menerapkan ATS.

Server wajib mendukung ciphersuite PFS (semua ciphersuite TLS 1.3 dan ciphersuite TLS 1.2 yang menggunakan ECDHE).

Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com

Server melakukan negosiasi versi TLS yang lebih lama dari TLS 1.2.

TLS 1.0/1.1 sudah usang dan tidak lagi ditawarkan secara default.

Perbarui server untuk melakukan negosiasi TLS 1.3 jika memungkinkan (minimal TLS 1.2).

Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com

Sertifikat server tidak lulus evaluasi kepercayaan server default karena tidak memenuhi persyaratan minimum yang diuraikan di sini.

Perbarui sertifikat server agar memenuhi persyaratan ini.

Jika sertifikat berada di sertifikat jangkar profil pendaftaran otomatis, remediasi tidak diperlukan.

Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com

Sertifikat server ditandatangani dengan kunci RSA yang lebih kecil dari 2048 bit.

Perbarui sertifikat server agar memenuhi persyaratan ini.

Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com

Sertifikat server ditandatangani oleh kunci ECDSA yang lebih kecil dari 256 bit

Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com

Sertifikat server tidak menggunakan Algoritma Hash Aman 2 (SHA-2) dengan panjang digest minimal 256 bit.

Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com

HTTP teks biasa digunakan sebagai pengganti HTTPS.

Perbarui server agar mendukung HTTPS.

Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com

Server memilih rsa_pkcs15_sha1 sebagai signature_algorithm.

Perbarui konfigurasi untuk memprioritaskan algoritma tanda tangan modern.

Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com

Sertifikat server ditandatangani menggunakan algoritma tanda tangan yang tidak diiklankan dalam ClientHello.

Perbarui sertifikat server agar ditandatangani menggunakan algoritma tanda tangan yang memiliki codepoint TLS dan bukan rsa_pkcs15_sha1.

Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com

Server melakukan negosiasi TLS 1.2 dan tidak melakukan negosiasi ekstensi extended master secret (EMS).

Perbarui server agar menggunakan TLS 1.3 atau, setidaknya, perbarui konfigurasi TLS 1.2 agar dapat melakukan negosiasi EMS.

Memvalidasi server secara individual

Setelah mengidentifikasi server yang tidak memenuhi standar dalam audit, Anda dapat mengujinya satu per satu untuk memverifikasi pelanggaran spesifik atau memastikan bahwa remediasi berhasil.

Jalankan perintah berikut, ganti "https://example.com:8000" dengan server atau titik akhir Anda.

nscurl --ats-diagnostics https://example.com:8000/

Perintah ini menguji apakah server memenuhi persyaratan untuk berbagai kombinasi kebijakan ATS. Cari hasil pengujian menggunakan ATS dengan mode FCP_v2.1 diaktifkan:

  • Mengonfigurasi persyaratan versi paket NIAP TLS

  • ---

  • FCP_v2.1

  • Hasil : PASS

  • ---

Jika hasilnya “PASS”, berarti server memenuhi semua persyaratan.

Pelajari lebih lanjut tentang mengidentifikasi sumber koneksi yang diblokir

Remediasi

Bekerja samalah dengan pemilik server yang terpengaruh untuk memperbarui konfigurasi TLS mereka. Pemilik server mungkin merupakan pihak internal, layanan manajemen perangkat Anda, atau vendor pihak ketiga.

Saat menghubungi pemilik server untuk remediasi, bagikan artikel ini dan pesan peringatan spesifik yang Anda amati.

Remediasi ini mungkin meliputi hal berikut:

  • Perbarui server agar mendukung TLS 1.2 atau yang lebih baru (TLS 1.3 direkomendasikan)

  • Untuk server yang hanya mendukung TLS 1.2, server tersebut minimal harus mendukung algoritma pertukaran kunci yang menyediakan Perfect Forward Secrecy (ECDHE), ciphersuite AEAD berbasis AES-GCM dengan SHA-256, SHA-384, atau SHA-512, dan ekstensi extended master secret (RFC 7627).

  • Perbarui sertifikat agar memenuhi persyaratan ATS terkait ukuran kunci, algoritma tanda tangan, dan validitas.

Sumber Daya Tambahan

Tanggal Dipublikasikan: