Smartphone im geschützen Netzwerk?

O

ottosykora

Gast
Bei unserer Firma gab es eine Diskussion ob man Smartphones mit dem Firmennetzwerk verbinden soll oder nicht.

Es ging darum , dass einige Leute ihre Terminkalender und ähnliches mit dem Smartphone sychen wollten.

Klar, die IT Abteilung sagt strickt nein. Die haben einige Firmen Blackberry und diese dürfen es, alles andere nicht.

Wenn man es genau betrachtet, muss man js den IT Leuten Recht geben, weder Android noch Apple scheinen irgendwelche richtige Authentisierung zu haben damit es sich an einem , leider eben Windowsnetzwerk, anmelden kann.

Wie sind die Erfahrungen bei euch so mit Firmen Netzen und ist da im Bereich Android etwas in der Vorbereitung was die üblichen Sicherheitsmechanismen akzeptiert?

- Gerät muss sich selber authentisieren
- User muss sich authentisieren
- sämtliche Traffic muss nur mit dem Firmennetz passieren, andere Verbindungen müssen unterbunden werden so lange das Gerät mit dem Netzwerk verbunden ist


Ist so was mit Android denkbar?
 
WAP2-E mit Active Directory Authentifizierung gibt's seit Android 2.0

Aber wozu soll jemand für Kalender und Mails Zugang zum internen Firmennetz brauchen?!

Und ich gehe schon davon aus, dass hier nicht angedacht ist private eventuell gerootete und mit Fremdsoftware verseuchte Geräte in's interen Netz zu lassen.
 
>WAP2-E mit Active Directory Authentifizierung gibt's seit Android 2.0<

ja gut, damit lässt sich schon mal die Verbindung alleine authetisieren.

>Aber wozu soll jemand für Kalender und Mails Zugang zum internen Firmennetz brauchen?!<
also ich weiss es nicht, ich brauche es nicht, aber es gibt da einige Kollegen die wohl das Bedürfnis haben alles irgednwie zu synchen, wozu auch immer.

Das Netz ist ziemlich abgeschlossen, die Kunden unserer Firma tragen merkwürdige grüne Kleider.....
Also sind die IT Typen wohl angewiesen worden alles zu isollieren was nur geht.

>Und ich gehe schon davon aus, dass hier nicht angedacht ist private eventuell gerootete und mit Fremdsoftware verseuchte Geräte in's interen Netz zu lassen.<

nein es ging dabei um einige Apple und Androids.

Die PC sind als Hardware vom Netz identifiziert und die User dann nochmals separat, für windows werden Profile zentral gelagert.
Also wenn ich einen privaten usb Stick in eines der PC stecke, gibt es bei der IT Abteilung offenbar Alarm und mein Chef bekommt eine Mail zu diesem Thema. Der von der Firma abgegebene Stick macht kein Alarm. Das nur um zu illustrieren was für ein Netz es ist.

Wir haben neuerdings zwar ein WLAN auch auf diesem Netz, aber es kann nur die bezeichnete Hardware ran.

Die IT Leute sagen, sie brauchen keine Brücke zu google oder iTunes im Netz.
 
Was soll die ominöse Brücke sein?
So etwas existiert ncht.

Wenn die per MDM eingerichteten Security Featues für Blackberry genügen müssen sie auch für andere Handymarken reichen.

Und nein damit ist der User authentifiziert. Er muss ja schließlich sein Passwort eingeben. Die Verbindung wird per Zertifikat authentifiziert.

Dass überhaupt USB Sticks überhaupt funktionieren finde ich schon bedenklich. USB Massenspeicher sollten generell nicht zugelassen. Das ist Standard in Firmen/Unternehmen mit sensiblen Daten.

>nein es ging dabei um einige Apple und Androids.
D.h. vond er Firma ausgesuchte und per MDM gemanagte Geräte.
 
Diese "Brücke" wäre ein nicht seitens der IT kontrollierter und damit eventuell ungeschützter Zugang zum Internet.

Die ITler machen's richtig - Blackberry mit BES und fertig.
 
jna schrieb:
Diese "Brücke" wäre ein nicht seitens der IT kontrollierter und damit eventuell ungeschützter Zugang zum Internet.

Die ITler machen's richtig - Blackberry mit BES und fertig.
Zum Vergrößern anklicken....


ganau das ist es.

Damit wird überhaupt zum Bsp etwas in einem Internet Shop bestellen können, haben wir im Hause einen mit der Firma nicht verbundenen Netz, mit wlan dazu.

Unser Direktor setzte seinen Firmen Laptop in die Firmen Dockingstation und dabei liess er die Verbindung zu unserem 'Dreck-Wlan' eingeschaltet. Also eine Bridge!
Da waren die Jungs von IT ziemlich sauer.

Die befürchten wenn dann so ein Smartphone mit dem Netzwerk verbunden ist, es könnte auch gleichzeitig mit was auch immer sonst verbunden sein. Und so was mögen sie gar nicht.
 
GalaxyS_User schrieb:
Wenn die per MDM eingerichteten Security Featues für Blackberry genügen müssen sie auch für andere Handymarken reichen.
Zum Vergrößern anklicken....

Und die gibt es für Android wie es Blackberry anbietet?
 
ottosykora schrieb:
Unser Direktor setzte seinen Firmen Laptop in die Firmen Dockingstation und dabei liess er die Verbindung zu unserem 'Dreck-Wlan' eingeschaltet. Also eine Bridge!
Da waren die Jungs von IT ziemlich sauer.
Zum Vergrößern anklicken....

Nur weil zwei Netzwerke auf einen Rechner aktiv sind, ist noch keine Bridge vorhanden.
 
Schnello schrieb:
Und die gibt es für Android wie es Blackberry anbietet?
Zum Vergrößern anklicken....

also ich weiss es nicht, aber die Blackberry sind von den IT Leuten vorher so bearbeitet worden, dass sie ihre Anforderungen wohl erfüllen und sie haben zumindest das Gefühl sie unter Kontrolle zu haben. Genau weiss ich es nicht.

Kann also Android die Authetisierung mit dem Schlüssel/Cert machen?


Wie verhält sich das sonst so üblich in den Firmen Netzen?

Wie wird so was allgemein gehandhabt heute? Oder was treffen die Admins für Massnahmen wenn Smartphones im Netz erlaubt?

Ist da von Android her etwas vorgesehen was zum Bsp eben eine Netz Brücke verhindern könnte?

Wie reagieren sonst die Firmen Admins heute auf die Verwendung von Smartphones in ihrem Netz? Also ich meine falls das mitbringen auf das Firmengelände überhaupt erlaubt ist? (bei uns seit 1 Jahr ist das mitbringen erlaubt, bei anderen Niederlassungen der Firma ist es teilweise noch nicht erlaubt)

TheDarkRose schrieb:
Nur weil zwei Netzwerke auf einen Rechner aktiv sind, ist noch keine Bridge vorhanden.
Zum Vergrößern anklicken....


also ja keine Bridge in Router Sinn, aber es sind zwei Netzwerke komplett zusammen Verbunden auch wenn vielleicht kein Traffic fliesst. Also das gleiche wie eine Bridge nur schlimmer, es sortiert die Traffic noch nicht einmal nach irgendwelcher Regel. Wenn man will könnte man damit anstellen was auch immer.
 
Zuletzt bearbeitet von einem Moderator:
ottosykora schrieb:
also ja keine Bridge in Router Sinn, aber es sind zwei Netzwerke komplett zusammen Verbunden auch wenn vielleicht kein Traffic fliesst. Also das gleiche wie eine Bridge nur schlimmer, es sortiert die Traffic noch nicht einmal nach irgendwelcher Regel. Wenn man will könnte man damit anstellen was auch immer.
Zum Vergrößern anklicken....

Nein, es geht kein Traffic vom WLAN ins LAN oder umgekehrt. Es ist nicht automatisch eine Bridge vorhanden!
 
TheDarkRose schrieb:
Nein, es geht kein Traffic vom WLAN ins LAN oder umgekehrt. Es ist nicht automatisch eine Bridge vorhanden!
Zum Vergrößern anklicken....


gut das ist ein anders Problem ob automatisch oder nicht, aber das Gerät ist mit Internet verbunden und wäre es sonst nicht. Nun ist also auch das Firmennetz mit Internet verbunden und das ohne Firewall etc. Das ist ein volle Verbindung, nur eben viel schlimmer weil es hier gar keine Regeln gibt dies noch kontrollieren können. Ob dies nun eine User Interaktion braucht oder es durch eine Software automatisch passiert ist vom Netzwerk Sicherheitskonzept nicht relevant. Die beiden Netze sind nun miteinander verbunden. Und Daten können zwischen den Netzen ausgetauscht werden.
Das alleine ist relevant aus der Sicht des Admin.

Der User braucht nicht einmal was zu merken.

Der IT Mann merkt es relativ schnell, der managed Switch an dem der interne Anschluss hängt gibt Alarm dass etwas nicht klar ist mit dem Anschluss. Wäre da ein wirkliches Bridge Protokol im Spiel, dann würde der Switch den Anschluss in Sekunden abschalten. Bsp wenn jemand ein Vermittlungsfähiges Gerät wie Router oder wlan AP oder so was einstecken würde. Bei einem Laptop sieht es der Switch nicht so deutlich und damit ist es aus der Sicht des Admin eben noch schlimmer.
 
ottosykora schrieb:
gut das ist ein anders Problem ob automatisch oder nicht, aber das Gerät ist mit Internet verbunden und wäre es sonst nicht. Nun ist also auch das Firmennetz mit Internet verbunden und das ohne Firewall etc. Das ist ein volle Verbindung, nur eben viel schlimmer weil es hier gar keine Regeln gibt dies noch kontrollieren können. Ob dies nun eine User Interaktion braucht oder es durch eine Software automatisch passiert ist vom Netzwerk Sicherheitskonzept nicht relevant. Die beiden Netze sind nun miteinander verbunden. Und Daten können zwischen den Netzen ausgetauscht werden.
Das alleine ist relevant aus der Sicht des Admin.
Zum Vergrößern anklicken....

Nein, das interne Netz ist nicht mit dem Internet verbunden, nur weil ein Rechner eine Internetverbindung hat! Und die beiden Netze sind auch nicht untereinander verbunden!
 
TheDarkRose schrieb:
Nein, das interne Netz ist nicht mit dem Internet verbunden, nur weil ein Rechner eine Internetverbindung hat! Und die beiden Netze sind auch nicht untereinander verbunden!
Zum Vergrößern anklicken....

Aber eine App / SW könnte das ausnutzen. Ergo... Sicherheitsrisiko.
 
  • Danke
Reaktionen: jna
TheDarkRose schrieb:
Nein, es geht kein Traffic vom WLAN ins LAN oder umgekehrt. Es ist nicht automatisch eine Bridge vorhanden!
Zum Vergrößern anklicken....

Nun ob es automatisch ist oder nicht ist ein anderes Thema.
Es sind jedoch zwei Netze zusammen verbunden und ob es eine Interaktion des User braucht oder ob es eine Software macht ist aus der Sicht der Netzwerksicherheit nicht relevant.

Wenn es eine echte Vermittlungseinrichtung wäre, dann merkt es der managed Switch sofort anhand des Bridge Protokols und schaltet den Anschluss ab.

Das merkt der Switch bei einem Laptop nicht so genau und gibt nur einen Alarm an den Admin dass etwas nicht stimmt.

Aus der Sicht des Admins ist so was also viel schlimmer, er hat keine direkte sofortige Kontrolle über den Datenfluss zwischen den beiden Netzen.

Er hat nicht nur Internet dran , sondern auch unseren 'Dreck Netz'. Er könnte also zum Bsp auf meinen Werkstatt Drucker was drucken. Ein Albtraum für unseren Admin, Druckaufträge gehen via VPN an einen 100km entfernten Server, dort werden sie geloggt und man muss an dem Drucker eine Legic Karte halten, erst dann kann der Druckauftrag aus dem Server via VPN abgerufen werden.

Oder der User kann ohne besondere Restriktionen im Internet browsen, alles wird jedoch automatisch dann im internen Netzwerk gespeichert.
Das ist auch Datenverkehr. Manuell, aber es ist da. Und darf nicht sein.
 
Zuletzt bearbeitet von einem Moderator:
  • Danke
Reaktionen: jna
Schnello schrieb:
Aber eine App / SW könnte das ausnutzen. Ergo... Sicherheitsrisiko.
Zum Vergrößern anklicken....

Die auf einem gemanagten Phone aber nicht installiert werden kann.

Daraum braucht man ja eine MDM Lösung.

Gibt's inziwschen auch für Android Handys. z.b. die Lösungen von Samsung SAMSUNG | Mobile in Business

Zusammen mit VPN Zwang und Rootdetection ist das ganze auf Blackberry Niveau.

Und ohne Root ist kein WLAN und Mobiledatenverkehr gleichzeitig möglich.
 
Es gibt kein Bridge Protokoll was du da schwaffelst.
 
TheDarkRose schrieb:
Es gibt kein Bridge Protokoll was du da schwaffelst.
Zum Vergrößern anklicken....

Lass mal die Luft raus, was ist das denn für ein Ton?

Außerdem nennt sich das "Routing".
 
GalaxyS_User schrieb:
Die auf einem gemanagten Phone aber nicht installiert werden kann.

Daraum braucht man ja eine MDM Lösung.

Gibt's inziwschen auch für Android Handys. z.b. die Lösungen von Samsung SAMSUNG | Mobile in Business

Zusammen mit VPN Zwang und Rootdetection ist das ganze auf Blackberry Niveau.

Und ohne Root ist kein WLAN und Mobiledatenverkehr gleichzeitig möglich.
Zum Vergrößern anklicken....


aha, also doch, jedmand macht sich da doch die Arbeit so was zu organisieren.
Das habe ich nicht gewusst, darum frage ich ob es da zumindest Ideen zu Lösungen des Problems gibt.


Das ist wirklich gute und Info, danke. Ich nehmen an bei den Apfeln hat sich auch jemand etwas bemüht und vielleicht haben die auch schon so was am Lager.
 
Zuletzt bearbeitet von einem Moderator:
STP ist keine Payload von IP, sondern auf Layer 2, also auf der selben Ebene von MAC. und auf Layer 2 läuft auch Bridging. Ein normaler Rechner kann sich in zwei Netzwerken befinden, aber diese Netzwerke sind dadurch immer noch isoliert voneinander. Es existiert dann noch immer keine Bridge und es wird auch auf dieser Ebene keine Protokoll versendet. Nicht mal ein Router oder AP macht das. Der verwendet vielleicht RIP um seine Routingtabellen zu organisieren, das ist dann wieder Layer 3 und nennt sich Routing. Nur um das endgültig klar zu stellen.

Ihr solltet eher eure Rechner mit einer Software überwachen lassen, die nur eine aktive Netzwerkschnittstelle erlauben, sonst kommt eine Bildschirmfüllende Warnung und man kann nicht weiterarbeiten bis eine Schnittstelle nicht mehr aktiv ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Steve
Wie lauten die Smartphone Begriffe?
  • Steve
Antworten
7
Aufrufe
392
swa00
swa00
japanworm
Datenrettung bei totem Smartphone (Android, Pixel)
  • japanworm
2
Antworten
20
Aufrufe
579
Muki007
M
djwiese
App kann nicht installiert werden da sie nicht mit diesem Smartphone kompatibel ist.
  • djwiese
Antworten
2
Aufrufe
141
djwiese
djwiese
Zurück
Oben Unten