monstermania 53 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Moin, hat ja nichts direkt mit Windows zu tun. Trotzdem denke ich mal, das wahrscheinlich einige von Euch auch schon mit dem Thema konfrontiert wurden. Im letzten Jahr sind wir von Blackberry auf iPhone umgestiegen. Die Geräte werden mit einer MDM-Lösung verwaltet. Unser Netzwerk wir mit einer UTM mit Proxy und Content-Filter geschützt. In der Firewall ist nur das freigegeben, was nötig ist. Wir haben ein firmeninternes WLAN das von unseren Mitarbeitern mit Ihren iPhones genutzt wird, so Bald Sie hier im Unternehmen sind. Das Problem ist nun, dass in letzter Zeit immer mehr auch WhatsApp oder WeChat für die Kommunikation mit z.B. Lieferanten/Außendienst genutzt wird. So Bald die iPhones jetzt aber per WLAN im Firmennetz sind funktionieren WhatsApp oder WeChat natürlich nicht. Daher taucht jetzt die Überlegung auf den Zugriff auf diese Dienste in der Firewall freizuschalten. Ich sehe das natürlich aus sicherheitstechnischer Sicht etwas kritisch einfach so die notwendigen Ports in der Firewall für das komplette Netz zu öffnen. Ich habe jetzt folgende Lösungsansätze: 1. Nutzung von WhatsApp, WeChat, etc. komplett verbieten. 2. Die iPhones über die MAC-Adresse in einer eigenen Netzwerkgruppe zusammenfassen und nur für diese Gruppe entsprechende Firewall-Regeln einrichten, die die Kommunikation per WhatsApp, Wechat erlauben. 3. Ein separates WLAN nur für die iPhones einrichten. Lösung 1. Scheidet mit ziemlicher Sicherheit aus, da wenn Chef sagt soll gemacht werden es natürlich auch gemacht werden muss! Lösung 2. Im Augenblick mein Favorit, da die Anzahl der iPhones überschaubar und auch der Wechsel der Geräte planbar ist. Der Aufwand hält sich daher in Grenzen. Lösung 3. Würde in er Fa. nur schwer umsetzbar sein, da komplette neue Infrastruktur eingerichtet werden müsste. Das wird wohl allein schon an den Kosten scheitern. Wie habt Ihr eine solche Anforderung bei Euch umgesetzt? Oder stehe ich damit Allein da? Gruß Dirk Zitieren Link zu diesem Kommentar
Pigu 10 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Moin, ich habe Lösung 3, alleine schon für Gäste die online gehen müssen. In der Firewall ist das Wlan von den anderen Netzen getrennt (eigenes Interface). Es ist kein Zugriff auf das eigentliche Firmennetz nötig. Gruß Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Was setzt Ihr den als Hardware für euer Wlan ein? Bei einem managed Wlan mit passendem Controller würde ich eine neue SSID aufziehen, ggf. SSID Broadcast abstellen und das Wlan per MDM an die iPhones verteilen. Generell würde ich das Wlan immer vom Produktiven Lan abtrennen, das Passwort ist schnell weitergegeben und dann hängen die Leute alles mögliche ins Wlan. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Wozu willst du den den SSID Broadcast abstellen? Das ist genauso sinnfrei wie das Abschalten der administrativen Freigaben auf einem Windows. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Generell würde ich das Wlan immer vom Produktiven Lan abtrennen, das Passwort ist schnell weitergegeben und dann hängen die Leute alles mögliche ins Wlan. Wenn Du für das WLAN keinen statischen Schlüssel, sondern 802.1x nutzt, dann hast Du das Problem auch nicht mehr. Würde ich in jeder Firma machen, weil es viel einfacher den Zugang zum WLAN auf Benutzer und/oder Maschinenbasis regeln läßt. SSID Broadcast ausschalten dagegen ist so sinnvoll wie MAC-Adressen zu filtern ;-) Have fun! Daniel Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 4. September 2014 Autor Melden Teilen Geschrieben 4. September 2014 Moin, um nochmal auf den Kern zurückzukommen... Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können. Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Leider haben wir diverse Unterverteilungen auf dem Firmengelände die keine managed Switche enthalten so dass wir hier nicht per VLAN arbeiten können. Diese Lösung werde ich daher kaum genehmigt bekommen. Ein eigenes WLAN für Fremdfirmen / Dienstleister im Bürobereich ist bereits fest geplant (eigene DMZ). Da wird wohl nur die Lösung 2 bleiben. Also Zusammenfassung der iPhones per MAC in einer Gruppe und Zuweisung eines speziellen Regelsets in der FW für die Gruppe. Gruß Dirk Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Hallo, Das Problem ist nun, dass in letzter Zeit immer mehr auch WhatsApp oder WeChat für die Kommunikation mit z.B. Lieferanten/Außendienst genutzt wird. wie dokumentiert Ihr denn diese Kommunikation / die Anfragen / Aufträge ? Bei E-Mails kommen mir Archive in den Sinn. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können. Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Genau das brauchst Du nicht zwingend. Welche APs setzt ihr denn genau ein? Mit oder ohne zentralen Controller? Viele APs können auch mehrere SSIDs zur Verfügung stellen. Dann musst Du Dir nur Gedanken machen, wie Du die unterschiedlichen Netze transportiert bekommst. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Moin, Moin, um nochmal auf den Kern zurückzukommen... Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können. Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Leider haben wir diverse Unterverteilungen auf dem Firmengelände die keine managed Switche enthalten so dass wir hier nicht per VLAN arbeiten können. Diese Lösung werde ich daher kaum genehmigt bekommen. Ein eigenes WLAN für Fremdfirmen / Dienstleister im Bürobereich ist bereits fest geplant (eigene DMZ). Da wird wohl nur die Lösung 2 bleiben. Also Zusammenfassung der iPhones per MAC in einer Gruppe und Zuweisung eines speziellen Regelsets in der FW für die Gruppe. Gruß Dirk wie kommst Du auf doppelte AP usw.? Wenn ihr schon eine UTM im Einatz habt, wären die zugehörigen APs vielleicht eine Variante. http://www.sophos.com/de-de/products/secure-wifi.aspx MAC Filter, PSK und hidden SSID gibt es nicht einmal bei mir zuhause. Alles außer 802.1x oder open WLAN + Captive ist mMn für die Tonne. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Moin, wie kommst Du auf doppelte AP usw.? Wenn ihr schon eine UTM im Einatz habt, wären die zugehörigen APs vielleicht eine Variante. http://www.sophos.com/de-de/products/secure-wifi.aspx Wenn Du Dir einen Gefallen tun willst - FINGER WEG von der Wlan Lösung von Astaro / Sophos. Aus diversen Projekterfahrungen kann ich von dem Produkt nur abraten. Nebenbei was die Kosten angeht, ich meine wovon Reden wir da. 200€ ein billiger L3 Switch, 1000€ für einen anständigen WLAN Controller und dann APs um die 150€/Stück - das sind keine 2000€. Grüße subby Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Mal ganz davon abgesehen würde ich firmeninternes nicht mit Whatsapp behandeln. Da kannst Du auch gleich ein Plakat aufhängen... Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Wenn Du für das WLAN keinen statischen Schlüssel, sondern 802.1x nutzt, dann hast Du das Problem auch nicht mehr. Würde ich in jeder Firma machen, weil es viel einfacher den Zugang zum WLAN auf Benutzer und/oder Maschinenbasis regeln läßt. SSID Broadcast ausschalten dagegen ist so sinnvoll wie MAC-Adressen zu filtern ;-) Have fun! Daniel Problem ist dann aber wieder das ausrollen auf die iPhones oder wenn der GF "mal eben" sein iPad ins Netz hängen will. 802.1x bei Laptops sehe ich mittlerweile auch als must-have an in größeren Umgebungen. Und das ausschalten der SSID hält viele davon ab sich mit dem Wlan zu verbinden, wenn man kein 802.1x einsetzt. Dann ist evtl. das Passwort bekannt, aber 08/15 User "findet" das Wlan nicht und kommt nicht weiter. Mal ganz davon abgesehen würde ich firmeninternes nicht mit Whatsapp behandeln. Da kannst Du auch gleich ein Plakat aufhängen... Also genau dasselbe wie bei Office365 ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. September 2014 Melden Teilen Geschrieben 4. September 2014 Naja so vergleichbar ist das rein technisch nicht. Bei Office 365 kennt Microsoft nicht automatisch mein Telefonbuch bloß weil ich Outlook installiert hab. Ein recht stark hinkender Vergleich wie ich finde. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 5. September 2014 Autor Melden Teilen Geschrieben 5. September 2014 Moin, vielen Dank für die rege Beteiligung. :) Über das für und wieder einer (Firmen)Kommunikation per WhatsApp und Konsorten brauchen wir keine großen Worte zu verlieren. Die Sicherheitsbedenken habe ich auch. Allerdings bin ich nur das letzte Glied in der Kette und wenn die Abteilungsleiter die GF davon überzeugen, dass das ja ach sooo wichtig ist muss ich mir eben darum Gedanken machen wie man das zumindest einigermaßen sicher umsetzt. Und klar, kosten soll das Alles möglichst auch nichts! Offizielle Aussage ist eben, dass man per WhatsApp, WeChat eben einen extrem direkten Draht zu den Leuten hat. "Schnell mal das Handy raus und ein Foto von einem defekten Teil schicken" Am liebsten wäre mich auch WA und Konsorten komplett per MDM zu verbieten! Aber, wenn ich nur an den Aufschrei denke, als wir eine PIN-Pflichteingabe auf den iPhones aktiviert haben... :suspect: Unsere AP können schon mal keine 2 SSID's zur Verfügung stellen. Gruß Dirk Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. September 2014 Melden Teilen Geschrieben 5. September 2014 Problem ist dann aber wieder das ausrollen auf die iPhones oder wenn der GF "mal eben" sein iPad ins Netz hängen will. Dann nutze doch 802.1x mit PEAP-MS-CHAP v2. Ob es einfacher ist, dass der GF eine kryptische, 64 Zeichen lange WPA2-Passphrase eingeben muss oder seinen Benutzernamen und Kennwort, musst Du mir erklären. Denn Du nutzt ja bestimmt ein hochkomplexes WPA2-Kennwort, richtig? :-) Und das ausschalten der SSID hält viele davon ab sich mit dem Wlan zu verbinden, wenn man kein 802.1x einsetzt. Dann ist evtl. das Passwort bekannt, aber 08/15 User "findet" das Wlan nicht und kommt nicht weiter. Wer die Passphrase kennt, der kennt auch meist den Netzwerknamen. Mit dem Verstecken machst Du Dir daher eher mehr Probleme im täglichen Alltag. Deine WLAN-Geräte posaunen die SSID, die sie suchen, eh an jeder Stelle dann raus. Daher wird das schon seit Jahren empfohlen, SSIDs nicht zu verbergen. Also genau dasselbe wie bei Office365 ;) Du kennst den Satz: "Wenn Du nicht dafür bezahlst, bist Du nicht der Kunde. Dann bist Du das Produkt, das verkauft wird."? Bei Office 365 setzen wir uns umfangreich mit dem Thema Datenschutz auseinander. Du kannst eine Auftragsdatenverarbeitungsvereinbarung zeichnen, wir erfüllen deutsche und europäische Datenschutzgesetze, etc. Bei WhatsApp ist nichts davon vorhanden. Über das für und wieder einer (Firmen)Kommunikation per WhatsApp und Konsorten brauchen wir keine großen Worte zu verlieren. Die Sicherheitsbedenken habe ich auch. Allerdings bin ich nur das letzte Glied in der Kette und wenn die Abteilungsleiter die GF davon überzeugen, dass das ja ach sooo wichtig ist muss ich mir eben darum Gedanken machen wie man das zumindest einigermaßen sicher umsetzt. Und klar, kosten soll das Alles möglichst auch nichts! Lies mal https://www.datenschutzbeauftragter-info.de/whatsapp-und-datenschutz-antworten-auf-die-wichtigsten-fragen/ Vor allem die Updates bis ganz nach unten. "WhatsApp lässt sich von seinen Nutzern bei der Installation weitreichende Befugnisse einräumen. So hat Whats App Zugriff auf Mikrofon, die Fotos und Standortdaten..." Unsere AP können schon mal keine 2 SSID's zur Verfügung stellen. Vielleicht nach einem Firmware-Update? Welches Modell ist es denn genau? Have fun! Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.