Jump to content

WhatsApp, WeChat im Firmen-WLAN

monstermania

Von monstermania
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

monstermania Mentor

monstermania   53

Geschrieben
Geschrieben

Moin,

hat ja nichts direkt mit Windows zu tun. Trotzdem denke ich mal, das wahrscheinlich einige von Euch auch schon mit dem Thema konfrontiert wurden.

 

Im letzten Jahr sind wir von Blackberry auf iPhone umgestiegen. Die Geräte werden mit einer MDM-Lösung verwaltet. Unser Netzwerk wir mit einer UTM mit Proxy und Content-Filter geschützt. In der Firewall ist nur das freigegeben, was nötig ist.

Wir haben ein firmeninternes WLAN das von unseren Mitarbeitern mit Ihren iPhones genutzt wird, so Bald Sie hier im Unternehmen sind.

 

Das Problem ist nun, dass in letzter Zeit immer mehr auch WhatsApp oder WeChat für die Kommunikation mit z.B. Lieferanten/Außendienst genutzt wird. So Bald die iPhones jetzt aber per WLAN im Firmennetz sind funktionieren WhatsApp oder WeChat natürlich nicht.

Daher taucht jetzt die Überlegung auf den Zugriff auf diese Dienste in der Firewall freizuschalten.

Ich sehe das natürlich aus sicherheitstechnischer Sicht etwas kritisch einfach so die notwendigen Ports in der Firewall für das komplette Netz zu öffnen.

 

Ich habe jetzt folgende Lösungsansätze:

1. Nutzung von WhatsApp, WeChat, etc. komplett verbieten.

2. Die iPhones über die MAC-Adresse in einer eigenen Netzwerkgruppe zusammenfassen und nur für diese Gruppe entsprechende Firewall-Regeln einrichten, die die Kommunikation per WhatsApp, Wechat erlauben.

3. Ein separates WLAN nur für die iPhones einrichten.

 

Lösung 1. Scheidet mit ziemlicher Sicherheit aus, da wenn Chef sagt soll gemacht werden es natürlich auch gemacht werden muss!

Lösung 2. Im Augenblick mein Favorit, da die Anzahl der iPhones überschaubar und auch der Wechsel der Geräte planbar ist. Der Aufwand hält sich daher in Grenzen.

Lösung 3. Würde in er Fa. nur schwer umsetzbar sein, da komplette neue Infrastruktur eingerichtet werden müsste. Das wird wohl allein schon an den Kosten scheitern.

 

Wie habt Ihr eine solche Anforderung bei Euch umgesetzt? Oder stehe ich damit Allein da?

 

Gruß

Dirk

 

Link zu diesem Kommentar
NeMiX Mentor

NeMiX   76

Geschrieben
Geschrieben

Was setzt Ihr den als Hardware für euer Wlan ein?

Bei einem managed Wlan mit passendem Controller würde ich eine neue SSID aufziehen, ggf. SSID Broadcast abstellen und das Wlan per MDM an die iPhones verteilen.

Generell würde ich das Wlan immer vom Produktiven Lan abtrennen, das Passwort ist schnell weitergegeben und dann hängen die Leute alles mögliche ins Wlan.

Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben

Generell würde ich das Wlan immer vom Produktiven Lan abtrennen, das Passwort ist schnell weitergegeben und dann hängen die Leute alles mögliche ins Wlan.

 

Wenn Du für das WLAN keinen statischen Schlüssel, sondern 802.1x nutzt, dann hast Du das Problem auch nicht mehr. Würde ich in jeder Firma machen, weil es viel einfacher den Zugang zum WLAN auf Benutzer und/oder Maschinenbasis regeln läßt.

SSID Broadcast ausschalten dagegen ist so sinnvoll wie MAC-Adressen zu filtern ;-)

 

Have fun!

Daniel

Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
  • Autor
Geschrieben

Moin,

um nochmal auf den Kern zurückzukommen...

Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können.

Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Leider haben wir diverse Unterverteilungen auf dem Firmengelände die keine managed Switche enthalten so dass wir hier nicht per VLAN arbeiten können. Diese Lösung werde ich daher kaum genehmigt bekommen.

 

Ein eigenes WLAN für Fremdfirmen / Dienstleister im Bürobereich ist bereits fest geplant (eigene DMZ).

 

Da wird wohl nur die Lösung 2 bleiben. Also Zusammenfassung der iPhones  per MAC in einer Gruppe und Zuweisung eines speziellen Regelsets in der FW für die Gruppe.

 

Gruß

Dirk

Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben

Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können.

Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten.

 

Genau das brauchst Du nicht zwingend. Welche APs setzt ihr denn genau ein? Mit oder ohne zentralen Controller? Viele APs können auch mehrere SSIDs zur Verfügung stellen. Dann musst Du Dir nur Gedanken machen, wie Du die unterschiedlichen Netze transportiert bekommst.

Link zu diesem Kommentar
Dunkelmann Veteran

Dunkelmann   96

Geschrieben
Geschrieben

Moin,

 

Moin,

um nochmal auf den Kern zurückzukommen...

Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können.

Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Leider haben wir diverse Unterverteilungen auf dem Firmengelände die keine managed Switche enthalten so dass wir hier nicht per VLAN arbeiten können. Diese Lösung werde ich daher kaum genehmigt bekommen.

 

Ein eigenes WLAN für Fremdfirmen / Dienstleister im Bürobereich ist bereits fest geplant (eigene DMZ).

 

Da wird wohl nur die Lösung 2 bleiben. Also Zusammenfassung der iPhones  per MAC in einer Gruppe und Zuweisung eines speziellen Regelsets in der FW für die Gruppe.

 

Gruß

Dirk

wie kommst Du auf doppelte AP usw.?

Wenn ihr schon eine UTM im Einatz habt, wären die zugehörigen APs vielleicht eine Variante.

http://www.sophos.com/de-de/products/secure-wifi.aspx

 

MAC Filter, PSK und hidden SSID gibt es nicht einmal bei mir zuhause. Alles außer 802.1x oder open WLAN + Captive ist mMn für die Tonne.

Link zu diesem Kommentar
substyle Veteran

substyle   20

Geschrieben
Geschrieben

Moin,

 

wie kommst Du auf doppelte AP usw.?

Wenn ihr schon eine UTM im Einatz habt, wären die zugehörigen APs vielleicht eine Variante.

http://www.sophos.com/de-de/products/secure-wifi.aspx

 

Wenn Du Dir einen Gefallen tun willst - FINGER WEG von der Wlan Lösung von Astaro / Sophos.

Aus diversen Projekterfahrungen kann ich von dem Produkt nur abraten.

 

Nebenbei was die Kosten angeht, ich meine wovon Reden wir da.

200€ ein billiger L3 Switch, 1000€ für einen anständigen WLAN Controller und dann APs um die 150€/Stück - das sind keine 2000€.

 

Grüße

subby

Link zu diesem Kommentar
NeMiX Mentor

NeMiX   76

Geschrieben
Geschrieben

Wenn Du für das WLAN keinen statischen Schlüssel, sondern 802.1x nutzt, dann hast Du das Problem auch nicht mehr. Würde ich in jeder Firma machen, weil es viel einfacher den Zugang zum WLAN auf Benutzer und/oder Maschinenbasis regeln läßt.

SSID Broadcast ausschalten dagegen ist so sinnvoll wie MAC-Adressen zu filtern ;-)

 

Have fun!

Daniel

 

Problem ist dann aber wieder das ausrollen auf die iPhones oder wenn der GF "mal eben" sein iPad ins Netz hängen will. 802.1x bei Laptops sehe ich mittlerweile auch als must-have an in größeren Umgebungen.

Und das ausschalten der SSID hält viele davon ab sich mit dem Wlan zu verbinden, wenn man kein 802.1x einsetzt. Dann ist evtl. das Passwort bekannt, aber 08/15 User "findet" das Wlan nicht und kommt nicht weiter.

 

 

Mal ganz davon abgesehen würde ich firmeninternes nicht mit Whatsapp behandeln. Da kannst Du auch gleich ein Plakat aufhängen...

 

Also genau dasselbe wie bei Office365 ;)

Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
  • Autor
Geschrieben

Moin,

vielen Dank für die rege Beteiligung. :)

 

Über das für und wieder einer (Firmen)Kommunikation per WhatsApp und Konsorten brauchen wir keine großen Worte zu verlieren. Die Sicherheitsbedenken habe ich auch. Allerdings bin ich nur das letzte Glied in der Kette und wenn die Abteilungsleiter die GF davon überzeugen, dass das ja ach sooo wichtig ist muss ich mir eben darum Gedanken machen wie man das zumindest einigermaßen sicher umsetzt. Und klar, kosten soll das Alles möglichst auch nichts!

Offizielle Aussage ist eben, dass man per WhatsApp, WeChat eben einen extrem direkten Draht zu den Leuten hat. "Schnell mal das Handy raus und ein Foto von einem defekten Teil schicken" 

 

Am liebsten wäre mich auch WA und Konsorten komplett per MDM zu verbieten! Aber, wenn ich nur an den Aufschrei denke, als wir eine PIN-Pflichteingabe auf den iPhones aktiviert haben... :suspect:

Unsere AP können schon mal keine 2 SSID's zur Verfügung stellen.

 

Gruß

Dirk

Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben

Problem ist dann aber wieder das ausrollen auf die iPhones oder wenn der GF "mal eben" sein iPad ins Netz hängen will.

 

Dann nutze doch 802.1x mit PEAP-MS-CHAP v2. Ob es einfacher ist, dass der GF eine kryptische, 64 Zeichen lange WPA2-Passphrase eingeben muss oder seinen Benutzernamen und Kennwort, musst Du mir erklären. Denn Du nutzt ja bestimmt ein hochkomplexes WPA2-Kennwort, richtig? :-)

 

Und das ausschalten der SSID hält viele davon ab sich mit dem Wlan zu verbinden, wenn man kein 802.1x einsetzt. Dann ist evtl. das Passwort bekannt, aber 08/15 User "findet" das Wlan nicht und kommt nicht weiter.

 

Wer die Passphrase kennt, der kennt auch meist den Netzwerknamen. Mit dem Verstecken machst Du Dir daher eher mehr Probleme im täglichen Alltag. Deine WLAN-Geräte posaunen die SSID, die sie suchen, eh an jeder Stelle dann raus. Daher wird das schon seit Jahren empfohlen, SSIDs nicht zu verbergen.

 

Also genau dasselbe wie bei Office365 ;)

 

Du kennst den Satz: "Wenn Du nicht dafür bezahlst, bist Du nicht der Kunde. Dann bist Du das Produkt, das verkauft wird."? Bei Office 365 setzen wir uns umfangreich mit dem Thema Datenschutz auseinander. Du kannst eine Auftragsdatenverarbeitungsvereinbarung zeichnen, wir erfüllen deutsche und europäische Datenschutzgesetze, etc. Bei WhatsApp ist nichts davon vorhanden.

 

Über das für und wieder einer (Firmen)Kommunikation per WhatsApp und Konsorten brauchen wir keine großen Worte zu verlieren. Die Sicherheitsbedenken habe ich auch. Allerdings bin ich nur das letzte Glied in der Kette und wenn die Abteilungsleiter die GF davon überzeugen, dass das ja ach sooo wichtig ist muss ich mir eben darum Gedanken machen wie man das zumindest einigermaßen sicher umsetzt. Und klar, kosten soll das Alles möglichst auch nichts!

 

Lies mal https://www.datenschutzbeauftragter-info.de/whatsapp-und-datenschutz-antworten-auf-die-wichtigsten-fragen/ Vor allem die Updates bis ganz nach unten. "WhatsApp lässt sich von seinen Nutzern bei der Installation weitreichende Befugnisse einräumen. So hat Whats App Zugriff auf Mikrofon, die Fotos und Standortdaten..."

 

Unsere AP können schon mal keine 2 SSID's zur Verfügung stellen.

 

Vielleicht nach einem Firmware-Update? Welches Modell ist es denn genau?

 

Have fun!

Daniel

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...