1. Möchtest Du unser Team im Android OS-Bereich unterstützen? Details dazu findest du hier!
  2. Nimm jetzt an unserem Uhans - 3. ADVENT - Gewinnspiel teil - Alle Informationen findest Du hier!

Smartphone im geschützen Netzwerk?

Dieses Thema im Forum "Android Allgemein" wurde erstellt von ottosykora, 22.04.2012.

  1. ottosykora, 22.04.2012 #1
    ottosykora

    ottosykora Threadstarter Gast

    Bei unserer Firma gab es eine Diskussion ob man Smartphones mit dem Firmennetzwerk verbinden soll oder nicht.

    Es ging darum , dass einige Leute ihre Terminkalender und ähnliches mit dem Smartphone sychen wollten.

    Klar, die IT Abteilung sagt strickt nein. Die haben einige Firmen Blackberry und diese dürfen es, alles andere nicht.

    Wenn man es genau betrachtet, muss man js den IT Leuten Recht geben, weder Android noch Apple scheinen irgendwelche richtige Authentisierung zu haben damit es sich an einem , leider eben Windowsnetzwerk, anmelden kann.

    Wie sind die Erfahrungen bei euch so mit Firmen Netzen und ist da im Bereich Android etwas in der Vorbereitung was die üblichen Sicherheitsmechanismen akzeptiert?

    - Gerät muss sich selber authentisieren
    - User muss sich authentisieren
    - sämtliche Traffic muss nur mit dem Firmennetz passieren, andere Verbindungen müssen unterbunden werden so lange das Gerät mit dem Netzwerk verbunden ist


    Ist so was mit Android denkbar?
     
  2. GalaxyS_User, 22.04.2012 #2
    GalaxyS_User

    GalaxyS_User Android-Experte

    Beiträge:
    869
    Erhaltene Danke:
    96
    Registriert seit:
    15.08.2010
    Phone:
    Samsung Galaxy S4
    Tablet:
    Nexus 7 (2013)
    WAP2-E mit Active Directory Authentifizierung gibt's seit Android 2.0

    Aber wozu soll jemand für Kalender und Mails Zugang zum internen Firmennetz brauchen?!

    Und ich gehe schon davon aus, dass hier nicht angedacht ist private eventuell gerootete und mit Fremdsoftware verseuchte Geräte in's interen Netz zu lassen.
     
  3. ottosykora, 22.04.2012 #3
    ottosykora

    ottosykora Threadstarter Gast

    >WAP2-E mit Active Directory Authentifizierung gibt's seit Android 2.0<

    ja gut, damit lässt sich schon mal die Verbindung alleine authetisieren.

    >Aber wozu soll jemand für Kalender und Mails Zugang zum internen Firmennetz brauchen?!<
    also ich weiss es nicht, ich brauche es nicht, aber es gibt da einige Kollegen die wohl das Bedürfnis haben alles irgednwie zu synchen, wozu auch immer.

    Das Netz ist ziemlich abgeschlossen, die Kunden unserer Firma tragen merkwürdige grüne Kleider.....
    Also sind die IT Typen wohl angewiesen worden alles zu isollieren was nur geht.

    >Und ich gehe schon davon aus, dass hier nicht angedacht ist private eventuell gerootete und mit Fremdsoftware verseuchte Geräte in's interen Netz zu lassen.<

    nein es ging dabei um einige Apple und Androids.

    Die PC sind als Hardware vom Netz identifiziert und die User dann nochmals separat, für windows werden Profile zentral gelagert.
    Also wenn ich einen privaten usb Stick in eines der PC stecke, gibt es bei der IT Abteilung offenbar Alarm und mein Chef bekommt eine Mail zu diesem Thema. Der von der Firma abgegebene Stick macht kein Alarm. Das nur um zu illustrieren was für ein Netz es ist.

    Wir haben neuerdings zwar ein WLAN auch auf diesem Netz, aber es kann nur die bezeichnete Hardware ran.

    Die IT Leute sagen, sie brauchen keine Brücke zu google oder iTunes im Netz.
     
  4. GalaxyS_User, 22.04.2012 #4
    GalaxyS_User

    GalaxyS_User Android-Experte

    Beiträge:
    869
    Erhaltene Danke:
    96
    Registriert seit:
    15.08.2010
    Phone:
    Samsung Galaxy S4
    Tablet:
    Nexus 7 (2013)
    Was soll die ominöse Brücke sein?
    So etwas existiert ncht.

    Wenn die per MDM eingerichteten Security Featues für Blackberry genügen müssen sie auch für andere Handymarken reichen.

    Und nein damit ist der User authentifiziert. Er muss ja schließlich sein Passwort eingeben. Die Verbindung wird per Zertifikat authentifiziert.

    Dass überhaupt USB Sticks überhaupt funktionieren finde ich schon bedenklich. USB Massenspeicher sollten generell nicht zugelassen. Das ist Standard in Firmen/Unternehmen mit sensiblen Daten.

    >nein es ging dabei um einige Apple und Androids.
    D.h. vond er Firma ausgesuchte und per MDM gemanagte Geräte.
     
  5. jna, 22.04.2012 #5
    jna

    jna Ehrenmitglied

    Beiträge:
    7,398
    Erhaltene Danke:
    1,299
    Registriert seit:
    28.01.2011
    Diese "Brücke" wäre ein nicht seitens der IT kontrollierter und damit eventuell ungeschützter Zugang zum Internet.

    Die ITler machen's richtig - Blackberry mit BES und fertig.
     
  6. ottosykora, 22.04.2012 #6
    ottosykora

    ottosykora Threadstarter Gast


    ganau das ist es.

    Damit wird überhaupt zum Bsp etwas in einem Internet Shop bestellen können, haben wir im Hause einen mit der Firma nicht verbundenen Netz, mit wlan dazu.

    Unser Direktor setzte seinen Firmen Laptop in die Firmen Dockingstation und dabei liess er die Verbindung zu unserem 'Dreck-Wlan' eingeschaltet. Also eine Bridge!
    Da waren die Jungs von IT ziemlich sauer.

    Die befürchten wenn dann so ein Smartphone mit dem Netzwerk verbunden ist, es könnte auch gleichzeitig mit was auch immer sonst verbunden sein. Und so was mögen sie gar nicht.
     
  7. Schnello, 22.04.2012 #7
    Schnello

    Schnello Android-Guru

    Beiträge:
    3,816
    Erhaltene Danke:
    618
    Registriert seit:
    03.09.2010
    Phone:
    Samsung Galaxy S5 (G900)
    Und die gibt es für Android wie es Blackberry anbietet?
     
  8. TheDarkRose, 22.04.2012 #8
    TheDarkRose

    TheDarkRose Gewerbliches Mitglied

    Beiträge:
    1,292
    Erhaltene Danke:
    136
    Registriert seit:
    20.08.2010
    Nur weil zwei Netzwerke auf einen Rechner aktiv sind, ist noch keine Bridge vorhanden.
     
  9. ottosykora, 22.04.2012 #9
    ottosykora

    ottosykora Threadstarter Gast

    also ich weiss es nicht, aber die Blackberry sind von den IT Leuten vorher so bearbeitet worden, dass sie ihre Anforderungen wohl erfüllen und sie haben zumindest das Gefühl sie unter Kontrolle zu haben. Genau weiss ich es nicht.

    Kann also Android die Authetisierung mit dem Schlüssel/Cert machen?


    Wie verhält sich das sonst so üblich in den Firmen Netzen?

    Wie wird so was allgemein gehandhabt heute? Oder was treffen die Admins für Massnahmen wenn Smartphones im Netz erlaubt?

    Ist da von Android her etwas vorgesehen was zum Bsp eben eine Netz Brücke verhindern könnte?

    Wie reagieren sonst die Firmen Admins heute auf die Verwendung von Smartphones in ihrem Netz? Also ich meine falls das mitbringen auf das Firmengelände überhaupt erlaubt ist? (bei uns seit 1 Jahr ist das mitbringen erlaubt, bei anderen Niederlassungen der Firma ist es teilweise noch nicht erlaubt)


    also ja keine Bridge in Router Sinn, aber es sind zwei Netzwerke komplett zusammen Verbunden auch wenn vielleicht kein Traffic fliesst. Also das gleiche wie eine Bridge nur schlimmer, es sortiert die Traffic noch nicht einmal nach irgendwelcher Regel. Wenn man will könnte man damit anstellen was auch immer.
     
    Zuletzt von einem Moderator bearbeitet: 22.04.2012
  10. TheDarkRose, 22.04.2012 #10
    TheDarkRose

    TheDarkRose Gewerbliches Mitglied

    Beiträge:
    1,292
    Erhaltene Danke:
    136
    Registriert seit:
    20.08.2010
    Nein, es geht kein Traffic vom WLAN ins LAN oder umgekehrt. Es ist nicht automatisch eine Bridge vorhanden!
     
  11. ottosykora, 22.04.2012 #11
    ottosykora

    ottosykora Threadstarter Gast


    gut das ist ein anders Problem ob automatisch oder nicht, aber das Gerät ist mit Internet verbunden und wäre es sonst nicht. Nun ist also auch das Firmennetz mit Internet verbunden und das ohne Firewall etc. Das ist ein volle Verbindung, nur eben viel schlimmer weil es hier gar keine Regeln gibt dies noch kontrollieren können. Ob dies nun eine User Interaktion braucht oder es durch eine Software automatisch passiert ist vom Netzwerk Sicherheitskonzept nicht relevant. Die beiden Netze sind nun miteinander verbunden. Und Daten können zwischen den Netzen ausgetauscht werden.
    Das alleine ist relevant aus der Sicht des Admin.

    Der User braucht nicht einmal was zu merken.

    Der IT Mann merkt es relativ schnell, der managed Switch an dem der interne Anschluss hängt gibt Alarm dass etwas nicht klar ist mit dem Anschluss. Wäre da ein wirkliches Bridge Protokol im Spiel, dann würde der Switch den Anschluss in Sekunden abschalten. Bsp wenn jemand ein Vermittlungsfähiges Gerät wie Router oder wlan AP oder so was einstecken würde. Bei einem Laptop sieht es der Switch nicht so deutlich und damit ist es aus der Sicht des Admin eben noch schlimmer.
     
  12. TheDarkRose, 22.04.2012 #12
    TheDarkRose

    TheDarkRose Gewerbliches Mitglied

    Beiträge:
    1,292
    Erhaltene Danke:
    136
    Registriert seit:
    20.08.2010
    Nein, das interne Netz ist nicht mit dem Internet verbunden, nur weil ein Rechner eine Internetverbindung hat! Und die beiden Netze sind auch nicht untereinander verbunden!
     
  13. Schnello, 22.04.2012 #13
    Schnello

    Schnello Android-Guru

    Beiträge:
    3,816
    Erhaltene Danke:
    618
    Registriert seit:
    03.09.2010
    Phone:
    Samsung Galaxy S5 (G900)
    Aber eine App / SW könnte das ausnutzen. Ergo... Sicherheitsrisiko.
     
    jna bedankt sich.
  14. ottosykora, 22.04.2012 #14
    ottosykora

    ottosykora Threadstarter Gast

    Nun ob es automatisch ist oder nicht ist ein anderes Thema.
    Es sind jedoch zwei Netze zusammen verbunden und ob es eine Interaktion des User braucht oder ob es eine Software macht ist aus der Sicht der Netzwerksicherheit nicht relevant.

    Wenn es eine echte Vermittlungseinrichtung wäre, dann merkt es der managed Switch sofort anhand des Bridge Protokols und schaltet den Anschluss ab.

    Das merkt der Switch bei einem Laptop nicht so genau und gibt nur einen Alarm an den Admin dass etwas nicht stimmt.

    Aus der Sicht des Admins ist so was also viel schlimmer, er hat keine direkte sofortige Kontrolle über den Datenfluss zwischen den beiden Netzen.

    Er hat nicht nur Internet dran , sondern auch unseren 'Dreck Netz'. Er könnte also zum Bsp auf meinen Werkstatt Drucker was drucken. Ein Albtraum für unseren Admin, Druckaufträge gehen via VPN an einen 100km entfernten Server, dort werden sie geloggt und man muss an dem Drucker eine Legic Karte halten, erst dann kann der Druckauftrag aus dem Server via VPN abgerufen werden.

    Oder der User kann ohne besondere Restriktionen im Internet browsen, alles wird jedoch automatisch dann im internen Netzwerk gespeichert.
    Das ist auch Datenverkehr. Manuell, aber es ist da. Und darf nicht sein.
     
    Zuletzt von einem Moderator bearbeitet: 22.04.2012
    jna bedankt sich.
  15. GalaxyS_User, 22.04.2012 #15
    GalaxyS_User

    GalaxyS_User Android-Experte

    Beiträge:
    869
    Erhaltene Danke:
    96
    Registriert seit:
    15.08.2010
    Phone:
    Samsung Galaxy S4
    Tablet:
    Nexus 7 (2013)
    Die auf einem gemanagten Phone aber nicht installiert werden kann.

    Daraum braucht man ja eine MDM Lösung.

    Gibt's inziwschen auch für Android Handys. z.b. die Lösungen von Samsung SAMSUNG | Mobile in Business

    Zusammen mit VPN Zwang und Rootdetection ist das ganze auf Blackberry Niveau.

    Und ohne Root ist kein WLAN und Mobiledatenverkehr gleichzeitig möglich.
     
  16. TheDarkRose, 22.04.2012 #16
    TheDarkRose

    TheDarkRose Gewerbliches Mitglied

    Beiträge:
    1,292
    Erhaltene Danke:
    136
    Registriert seit:
    20.08.2010
    Es gibt kein Bridge Protokoll was du da schwaffelst.
     
  17. jna

    jna Ehrenmitglied

    Beiträge:
    7,398
    Erhaltene Danke:
    1,299
    Registriert seit:
    28.01.2011
    Lass mal die Luft raus, was ist das denn für ein Ton?

    Außerdem nennt sich das "Routing".
     
  18. ottosykora, 22.04.2012 #18
    ottosykora

    ottosykora Threadstarter Gast


    Was? Hmmm, BPDU = Bridge Protokol Data Unit, das ist ganz normale Payload im IP.

    Spanning Tree Protocol
     
  19. ottosykora, 22.04.2012 #19
    ottosykora

    ottosykora Threadstarter Gast


    aha, also doch, jedmand macht sich da doch die Arbeit so was zu organisieren.
    Das habe ich nicht gewusst, darum frage ich ob es da zumindest Ideen zu Lösungen des Problems gibt.


    Das ist wirklich gute und Info, danke. Ich nehmen an bei den Apfeln hat sich auch jemand etwas bemüht und vielleicht haben die auch schon so was am Lager.
     
    Zuletzt von einem Moderator bearbeitet: 22.04.2012
  20. TheDarkRose, 22.04.2012 #20
    TheDarkRose

    TheDarkRose Gewerbliches Mitglied

    Beiträge:
    1,292
    Erhaltene Danke:
    136
    Registriert seit:
    20.08.2010
    STP ist keine Payload von IP, sondern auf Layer 2, also auf der selben Ebene von MAC. und auf Layer 2 läuft auch Bridging. Ein normaler Rechner kann sich in zwei Netzwerken befinden, aber diese Netzwerke sind dadurch immer noch isoliert voneinander. Es existiert dann noch immer keine Bridge und es wird auch auf dieser Ebene keine Protokoll versendet. Nicht mal ein Router oder AP macht das. Der verwendet vielleicht RIP um seine Routingtabellen zu organisieren, das ist dann wieder Layer 3 und nennt sich Routing. Nur um das endgültig klar zu stellen.

    Ihr solltet eher eure Rechner mit einer Software überwachen lassen, die nur eine aktive Netzwerkschnittstelle erlauben, sonst kommt eine Bildschirmfüllende Warnung und man kann nicht weiterarbeiten bis eine Schnittstelle nicht mehr aktiv ist.
     

Diese Seite empfehlen