Jump to content
Sign in to follow this  
monstermania

WhatsApp, WeChat im Firmen-WLAN

Recommended Posts

Moin,

hat ja nichts direkt mit Windows zu tun. Trotzdem denke ich mal, das wahrscheinlich einige von Euch auch schon mit dem Thema konfrontiert wurden.

 

Im letzten Jahr sind wir von Blackberry auf iPhone umgestiegen. Die Geräte werden mit einer MDM-Lösung verwaltet. Unser Netzwerk wir mit einer UTM mit Proxy und Content-Filter geschützt. In der Firewall ist nur das freigegeben, was nötig ist.

Wir haben ein firmeninternes WLAN das von unseren Mitarbeitern mit Ihren iPhones genutzt wird, so Bald Sie hier im Unternehmen sind.

 

Das Problem ist nun, dass in letzter Zeit immer mehr auch WhatsApp oder WeChat für die Kommunikation mit z.B. Lieferanten/Außendienst genutzt wird. So Bald die iPhones jetzt aber per WLAN im Firmennetz sind funktionieren WhatsApp oder WeChat natürlich nicht.

Daher taucht jetzt die Überlegung auf den Zugriff auf diese Dienste in der Firewall freizuschalten.

Ich sehe das natürlich aus sicherheitstechnischer Sicht etwas kritisch einfach so die notwendigen Ports in der Firewall für das komplette Netz zu öffnen.

 

Ich habe jetzt folgende Lösungsansätze:

1. Nutzung von WhatsApp, WeChat, etc. komplett verbieten.

2. Die iPhones über die MAC-Adresse in einer eigenen Netzwerkgruppe zusammenfassen und nur für diese Gruppe entsprechende Firewall-Regeln einrichten, die die Kommunikation per WhatsApp, Wechat erlauben.

3. Ein separates WLAN nur für die iPhones einrichten.

 

Lösung 1. Scheidet mit ziemlicher Sicherheit aus, da wenn Chef sagt soll gemacht werden es natürlich auch gemacht werden muss!

Lösung 2. Im Augenblick mein Favorit, da die Anzahl der iPhones überschaubar und auch der Wechsel der Geräte planbar ist. Der Aufwand hält sich daher in Grenzen.

Lösung 3. Würde in er Fa. nur schwer umsetzbar sein, da komplette neue Infrastruktur eingerichtet werden müsste. Das wird wohl allein schon an den Kosten scheitern.

 

Wie habt Ihr eine solche Anforderung bei Euch umgesetzt? Oder stehe ich damit Allein da?

 

Gruß

Dirk

 

Share this post


Link to post
Share on other sites

Moin,

 

ich habe Lösung 3, alleine schon für Gäste die online gehen müssen. In der Firewall ist das Wlan von den anderen Netzen getrennt (eigenes Interface). Es ist kein Zugriff auf das eigentliche Firmennetz nötig.

 

Gruß

Share this post


Link to post
Share on other sites

Was setzt Ihr den als Hardware für euer Wlan ein?

Bei einem managed Wlan mit passendem Controller würde ich eine neue SSID aufziehen, ggf. SSID Broadcast abstellen und das Wlan per MDM an die iPhones verteilen.

Generell würde ich das Wlan immer vom Produktiven Lan abtrennen, das Passwort ist schnell weitergegeben und dann hängen die Leute alles mögliche ins Wlan.

Share this post


Link to post
Share on other sites

Wozu willst du den den SSID Broadcast abstellen? Das ist genauso sinnfrei wie das Abschalten der administrativen Freigaben auf einem Windows. ;)

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Generell würde ich das Wlan immer vom Produktiven Lan abtrennen, das Passwort ist schnell weitergegeben und dann hängen die Leute alles mögliche ins Wlan.

 

Wenn Du für das WLAN keinen statischen Schlüssel, sondern 802.1x nutzt, dann hast Du das Problem auch nicht mehr. Würde ich in jeder Firma machen, weil es viel einfacher den Zugang zum WLAN auf Benutzer und/oder Maschinenbasis regeln läßt.

SSID Broadcast ausschalten dagegen ist so sinnvoll wie MAC-Adressen zu filtern ;-)

 

Have fun!

Daniel

Share this post


Link to post
Share on other sites

Moin,

um nochmal auf den Kern zurückzukommen...

Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können.

Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Leider haben wir diverse Unterverteilungen auf dem Firmengelände die keine managed Switche enthalten so dass wir hier nicht per VLAN arbeiten können. Diese Lösung werde ich daher kaum genehmigt bekommen.

 

Ein eigenes WLAN für Fremdfirmen / Dienstleister im Bürobereich ist bereits fest geplant (eigene DMZ).

 

Da wird wohl nur die Lösung 2 bleiben. Also Zusammenfassung der iPhones  per MAC in einer Gruppe und Zuweisung eines speziellen Regelsets in der FW für die Gruppe.

 

Gruß

Dirk

Share this post


Link to post
Share on other sites

Hallo,

 

Das Problem ist nun, dass in letzter Zeit immer mehr auch WhatsApp oder WeChat für die Kommunikation mit z.B. Lieferanten/Außendienst genutzt wird.

 

wie dokumentiert Ihr denn diese Kommunikation / die Anfragen / Aufträge ? Bei E-Mails kommen mir Archive in den Sinn.

Share this post


Link to post
Share on other sites

Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können.

Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten.

 

Genau das brauchst Du nicht zwingend. Welche APs setzt ihr denn genau ein? Mit oder ohne zentralen Controller? Viele APs können auch mehrere SSIDs zur Verfügung stellen. Dann musst Du Dir nur Gedanken machen, wie Du die unterschiedlichen Netze transportiert bekommst.

Share this post


Link to post
Share on other sites

Moin,

 

Moin,

um nochmal auf den Kern zurückzukommen...

Wir haben mehrere AP um alle Bereiche des Firmengeländes mit WLAN abdecken zu können.

Ein separates WLAN in einer eigenen DMZ scheidet aus Kostengründen eigentlich aus, da wir dann sowohl doppelte AP als auch die notwendige NW Infrastruktur im Unternehmen für die DMZ bräuchten. Leider haben wir diverse Unterverteilungen auf dem Firmengelände die keine managed Switche enthalten so dass wir hier nicht per VLAN arbeiten können. Diese Lösung werde ich daher kaum genehmigt bekommen.

 

Ein eigenes WLAN für Fremdfirmen / Dienstleister im Bürobereich ist bereits fest geplant (eigene DMZ).

 

Da wird wohl nur die Lösung 2 bleiben. Also Zusammenfassung der iPhones  per MAC in einer Gruppe und Zuweisung eines speziellen Regelsets in der FW für die Gruppe.

 

Gruß

Dirk

wie kommst Du auf doppelte AP usw.?

Wenn ihr schon eine UTM im Einatz habt, wären die zugehörigen APs vielleicht eine Variante.

http://www.sophos.com/de-de/products/secure-wifi.aspx

 

MAC Filter, PSK und hidden SSID gibt es nicht einmal bei mir zuhause. Alles außer 802.1x oder open WLAN + Captive ist mMn für die Tonne.

Share this post


Link to post
Share on other sites

Moin,

 

wie kommst Du auf doppelte AP usw.?

Wenn ihr schon eine UTM im Einatz habt, wären die zugehörigen APs vielleicht eine Variante.

http://www.sophos.com/de-de/products/secure-wifi.aspx

 

Wenn Du Dir einen Gefallen tun willst - FINGER WEG von der Wlan Lösung von Astaro / Sophos.

Aus diversen Projekterfahrungen kann ich von dem Produkt nur abraten.

 

Nebenbei was die Kosten angeht, ich meine wovon Reden wir da.

200€ ein billiger L3 Switch, 1000€ für einen anständigen WLAN Controller und dann APs um die 150€/Stück - das sind keine 2000€.

 

Grüße

subby

Share this post


Link to post
Share on other sites

Mal ganz davon abgesehen würde ich firmeninternes nicht mit Whatsapp behandeln. Da kannst Du auch gleich ein Plakat aufhängen...

Share this post


Link to post
Share on other sites

Wenn Du für das WLAN keinen statischen Schlüssel, sondern 802.1x nutzt, dann hast Du das Problem auch nicht mehr. Würde ich in jeder Firma machen, weil es viel einfacher den Zugang zum WLAN auf Benutzer und/oder Maschinenbasis regeln läßt.

SSID Broadcast ausschalten dagegen ist so sinnvoll wie MAC-Adressen zu filtern ;-)

 

Have fun!

Daniel

 

Problem ist dann aber wieder das ausrollen auf die iPhones oder wenn der GF "mal eben" sein iPad ins Netz hängen will. 802.1x bei Laptops sehe ich mittlerweile auch als must-have an in größeren Umgebungen.

Und das ausschalten der SSID hält viele davon ab sich mit dem Wlan zu verbinden, wenn man kein 802.1x einsetzt. Dann ist evtl. das Passwort bekannt, aber 08/15 User "findet" das Wlan nicht und kommt nicht weiter.

 

 

Mal ganz davon abgesehen würde ich firmeninternes nicht mit Whatsapp behandeln. Da kannst Du auch gleich ein Plakat aufhängen...

 

Also genau dasselbe wie bei Office365 ;)

Share this post


Link to post
Share on other sites

Naja so vergleichbar ist das rein technisch nicht. Bei Office 365 kennt Microsoft nicht automatisch mein Telefonbuch bloß weil ich Outlook installiert hab. Ein recht stark hinkender Vergleich wie ich finde.

Share this post


Link to post
Share on other sites

Moin,

vielen Dank für die rege Beteiligung. :)

 

Über das für und wieder einer (Firmen)Kommunikation per WhatsApp und Konsorten brauchen wir keine großen Worte zu verlieren. Die Sicherheitsbedenken habe ich auch. Allerdings bin ich nur das letzte Glied in der Kette und wenn die Abteilungsleiter die GF davon überzeugen, dass das ja ach sooo wichtig ist muss ich mir eben darum Gedanken machen wie man das zumindest einigermaßen sicher umsetzt. Und klar, kosten soll das Alles möglichst auch nichts!

Offizielle Aussage ist eben, dass man per WhatsApp, WeChat eben einen extrem direkten Draht zu den Leuten hat. "Schnell mal das Handy raus und ein Foto von einem defekten Teil schicken" 

 

Am liebsten wäre mich auch WA und Konsorten komplett per MDM zu verbieten! Aber, wenn ich nur an den Aufschrei denke, als wir eine PIN-Pflichteingabe auf den iPhones aktiviert haben... :suspect:

Unsere AP können schon mal keine 2 SSID's zur Verfügung stellen.

 

Gruß

Dirk

Share this post


Link to post
Share on other sites

Problem ist dann aber wieder das ausrollen auf die iPhones oder wenn der GF "mal eben" sein iPad ins Netz hängen will.

 

Dann nutze doch 802.1x mit PEAP-MS-CHAP v2. Ob es einfacher ist, dass der GF eine kryptische, 64 Zeichen lange WPA2-Passphrase eingeben muss oder seinen Benutzernamen und Kennwort, musst Du mir erklären. Denn Du nutzt ja bestimmt ein hochkomplexes WPA2-Kennwort, richtig? :-)

 

Und das ausschalten der SSID hält viele davon ab sich mit dem Wlan zu verbinden, wenn man kein 802.1x einsetzt. Dann ist evtl. das Passwort bekannt, aber 08/15 User "findet" das Wlan nicht und kommt nicht weiter.

 

Wer die Passphrase kennt, der kennt auch meist den Netzwerknamen. Mit dem Verstecken machst Du Dir daher eher mehr Probleme im täglichen Alltag. Deine WLAN-Geräte posaunen die SSID, die sie suchen, eh an jeder Stelle dann raus. Daher wird das schon seit Jahren empfohlen, SSIDs nicht zu verbergen.

 

Also genau dasselbe wie bei Office365 ;)

 

Du kennst den Satz: "Wenn Du nicht dafür bezahlst, bist Du nicht der Kunde. Dann bist Du das Produkt, das verkauft wird."? Bei Office 365 setzen wir uns umfangreich mit dem Thema Datenschutz auseinander. Du kannst eine Auftragsdatenverarbeitungsvereinbarung zeichnen, wir erfüllen deutsche und europäische Datenschutzgesetze, etc. Bei WhatsApp ist nichts davon vorhanden.

 

Über das für und wieder einer (Firmen)Kommunikation per WhatsApp und Konsorten brauchen wir keine großen Worte zu verlieren. Die Sicherheitsbedenken habe ich auch. Allerdings bin ich nur das letzte Glied in der Kette und wenn die Abteilungsleiter die GF davon überzeugen, dass das ja ach sooo wichtig ist muss ich mir eben darum Gedanken machen wie man das zumindest einigermaßen sicher umsetzt. Und klar, kosten soll das Alles möglichst auch nichts!

 

Lies mal https://www.datenschutzbeauftragter-info.de/whatsapp-und-datenschutz-antworten-auf-die-wichtigsten-fragen/ Vor allem die Updates bis ganz nach unten. "WhatsApp lässt sich von seinen Nutzern bei der Installation weitreichende Befugnisse einräumen. So hat Whats App Zugriff auf Mikrofon, die Fotos und Standortdaten..."

 

Unsere AP können schon mal keine 2 SSID's zur Verfügung stellen.

 

Vielleicht nach einem Firmware-Update? Welches Modell ist es denn genau?

 

Have fun!

Daniel

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...