Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 5218 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ausnahme bei WebFilter für viele IPs von WhatsApp

ckruesi

Guten Tag. Wir filtern auch SSL verschlüsselte Verbindungen. Daher muss auf allen Geräten das CA Zertifikat der Sophos UTM installiert werden. Nun kam der Wunsch auf, WhatsApp zuzulassen. Leider verlässt sich die WhatsApp App nicht auf die Zertifikate, die auf dem Gerät installiert sind und funktioniert daher nicht, wenn nicht das originale Zertifikat verwendet wird. Die Idee war nun, eine Ausnahme hinzufügen, damit einfach bei Verbindungen zu WhatsApp Servern auf SSL Scanning verzichtet wird. Leider kommuniziert die App neben den DNS Namen whatsapp.com und whatsapp.net auch noch mit vielen verschiedenen IPs. Durch eine Anfrage an den Support konnte ich zumindest eine Liste der IP's erhalten. Diese beinhaltet aber mehrere tausend IPs. Das ganze habe ich in diesem Blogbeitrag genauer ausgeführt.

Nun meine Frage: Wenn ich die Exception List öffne, dauert es etwa 40 Sekunden, während steht "Please be Patient, "Target Domains"-list is being generated!". Ist das nur ein Problem beim User Interface oder braucht eine so lange Liste auch sonst extrem viel Ressourcen? Bis jetzt konnte ich noch keinen Performanceeinbruch feststellen. Gibt es allenfalls eine viel bessere Lösung für das Problem? Vielen Dank.



This thread was automatically locked due to age.
  • 0

    Hallo ckruesi,

    Whatsapp ist das beste Beispiel dafür das sich Entwickler keine Gedanken über Unternehmenssicherheit machen. Eine so große Liste macht eigentlich keinen Sinn. Wer garantiert denn das die IPs sich nicht ändern oder weitere dazu kommen? Grudsätzlich wird im Hintergrund ein entsprechendes Regelwerk aufgebaut. Das öffnen der Liste dauert einfach, hat aber nichts mit der eigentlichen Performance zu tun. Wenn die Hardware darunter groß genug ausgelegt ist merkt man das auch nicht unbedingt.

    Ich würde hier versuchen eine Ausnahme anhand des whats app user agents zu machen. Dafür müsste aber wahrscheinlich auf allen Geräten ein Standardproxy konfiguriert werden.

    Ich kann aber eigentlich nur davon abraten whatsapp innerhab des Unternehmens zu verwenden. Whatsapp verwendet ein properitäres Verschlüsselungsverfahren. Deswegen funktioniert das nur mit einer entsprechenden Ausnahme. Das bedeutet aber letztendlich, das hier die Firewall durchtunnelt wird. Über Whatsapp können dann Trojaner und andere Schadsoftware ins Unternehmen übertragen werden.

    vg

    mod

  • 0 in reply to mod2402

    Hallo mod

    Vielen Dank für die ausführliche Antwort. Ich bin froh, wenn das mit der eigentlichen Performance nichts zu tun hat. In dem Fall lasse ich das mal so laufen.

    Nach Möglichkeit sollen die Benutzer mit ihren privaten Geräten keinen Proxy konfigurieren müssen. Da WhatsApp ausschliesslich mit Smartphones kommuniziert (ausser jemand benutzt WhatsApp Web) ist die Gefahr von Schadsoftware für uns überschaubar. Die privaten Geräte unserer Schüler/-innen und Lehrpersonen sind in einem von den verwalteten Geräten getrennten Netzwerk. Es geht bei uns also nicht so sehr um die Abwendung von Malware, sondern um den von den Behörden verlangten Schutz der Schüler/-innen vor ungeeigneten Inhalten. Da wir versuchen, die privaten Geräte der Schüler/-innen vermehrt auch in der Schule einzusetzen, können wir natürlich auch in diesem Netz nicht auf die Contentfilterung verzichten.