Proxy - Positiv-Liste für Whatsapp
Hallo zusammen,
ich beschäftige mich gerade mit Firewalls, Proxys usw.
Whatsapp braucht etlche freie Ports. Soweit so gut.
Trotzdem funktioniert es hakelig. "Du könntest neue Nachrichten haben", "Überprüfe auf neue Nachrichten" sind einige der meldungen. Videoanrufe gehen gar nicht.
Nach etwas Recherche und probieren ist der Proxy der ausgemachte Übeltäter. Setze ich das Handy auf die Positiv-Liste, geht alles wie gewünscht, aber das wll ich nicht.
Ich müsste es anders herum lösen und en Server auf die Positiv-Liste setzen.
Unter https://developers.facebook.com/docs/whatsapp/guides/network-requirement ...
habe ich die Ips der Server gefunden und die Hostnamen. Nur die Ips sind gut 200 und selbst die Hostnamen sind ein gutes Dutzend mit *, *.* usw.
Ist das der richtige Weg? Weil dann müsste ich ja gut 200 bzw. 12 Einträge anlegen:
media-.*.cdn.whatsapp.net
media..*.fna.whatsapp.net
...
Gibt es sowas wie einen Alias? Also WhatsappServerList -> Server 1, Server 2, Server 3...
Normalerweise stehen hinter einer IP/Hostnamen doch auch mehrere Server, aber ein Name. Was weiß ich audi.de wird auch nicht auf einem Server laufen..
mfG
tsunami
ich beschäftige mich gerade mit Firewalls, Proxys usw.
Whatsapp braucht etlche freie Ports. Soweit so gut.
Trotzdem funktioniert es hakelig. "Du könntest neue Nachrichten haben", "Überprüfe auf neue Nachrichten" sind einige der meldungen. Videoanrufe gehen gar nicht.
Nach etwas Recherche und probieren ist der Proxy der ausgemachte Übeltäter. Setze ich das Handy auf die Positiv-Liste, geht alles wie gewünscht, aber das wll ich nicht.
Ich müsste es anders herum lösen und en Server auf die Positiv-Liste setzen.
Unter https://developers.facebook.com/docs/whatsapp/guides/network-requirement ...
habe ich die Ips der Server gefunden und die Hostnamen. Nur die Ips sind gut 200 und selbst die Hostnamen sind ein gutes Dutzend mit *, *.* usw.
Ist das der richtige Weg? Weil dann müsste ich ja gut 200 bzw. 12 Einträge anlegen:
media-.*.cdn.whatsapp.net
media..*.fna.whatsapp.net
...
Gibt es sowas wie einen Alias? Also WhatsappServerList -> Server 1, Server 2, Server 3...
Normalerweise stehen hinter einer IP/Hostnamen doch auch mehrere Server, aber ein Name. Was weiß ich audi.de wird auch nicht auf einem Server laufen..
mfG
tsunami
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4465542411
Url: https://administrator.de/forum/proxy-positiv-liste-fuer-whatsapp-4465542411.html
Ausgedruckt am: 26.12.2024 um 00:12 Uhr
11 Kommentare
Neuester Kommentar
Moin, wir haben so einen ähnlichen Fall mit den Adressen von Microsoft/Office365
In unserem Fall haben wir einen kleinen Dienst in Go programmiert der die Adressen abholt und normalisiert über HTTP zur Verfügung stellt. Unsere Palo Alto Firewall holt diese Adressen dann ab und verwenden die in den Regeln.
So was in der Art könntest du dir auch zusammenbasteln, ansonsten erkennen viele Firewalls WhatsApp als Anwendung die man in Regeln benutzen könnte.
In unserem Fall haben wir einen kleinen Dienst in Go programmiert der die Adressen abholt und normalisiert über HTTP zur Verfügung stellt. Unsere Palo Alto Firewall holt diese Adressen dann ab und verwenden die in den Regeln.
So was in der Art könntest du dir auch zusammenbasteln, ansonsten erkennen viele Firewalls WhatsApp als Anwendung die man in Regeln benutzen könnte.
Da du nicht verraten hast welche Firewall oder Proxy Losung du einsetzt ist es schwierig hierzu eine
praktikable Aussage zu treffen.
Wir haben bei uns ZScaler als Proxy im Einsatz und da habe ich mich in den Anfangszeiten mal hingesetzt und alles eingetippt ( copy & paste ). >Glaube aber mittlerweile gibts bei denen eine Option.
Hat die Firewall keine Application Controll Einstelllung ? Eventuell könntest du das darüber lösen.
Unsere ASA´s haben das soweit ich weis nicht. Aber die leiten alles was HTTP/s ist über GRE nach ZScaler und da findet dann die Filterung statt.
Zuhause habe ich das mit der Sophos über Application Control gelöst wenn ich mich recht erinner ?!
kann mich aber auch irren ist sehr sehr lange her war aber damals aber auch ein Kampf mit der FW.
Edit.
Das Dokument was du gepostet hast ist für die Whatsapp Busissnes API bzw. die WA Business on Prem API.
Ich weis nicht in wie weit das ganze passt bzw. was da noch dazu muss oder was ggf. nicht oder ob was fehlt.
praktikable Aussage zu treffen.
Wir haben bei uns ZScaler als Proxy im Einsatz und da habe ich mich in den Anfangszeiten mal hingesetzt und alles eingetippt ( copy & paste ). >Glaube aber mittlerweile gibts bei denen eine Option.
Hat die Firewall keine Application Controll Einstelllung ? Eventuell könntest du das darüber lösen.
Unsere ASA´s haben das soweit ich weis nicht. Aber die leiten alles was HTTP/s ist über GRE nach ZScaler und da findet dann die Filterung statt.
Zuhause habe ich das mit der Sophos über Application Control gelöst wenn ich mich recht erinner ?!
kann mich aber auch irren ist sehr sehr lange her war aber damals aber auch ein Kampf mit der FW.
Edit.
Das Dokument was du gepostet hast ist für die Whatsapp Busissnes API bzw. die WA Business on Prem API.
Ich weis nicht in wie weit das ganze passt bzw. was da noch dazu muss oder was ggf. nicht oder ob was fehlt.
Ja, vermutlich wirst du die Liste anlegen müssen, das ist aktuell leider oft der Fall.
Dank Zertifikat Pinning kannst du immer weniger HTTPS Traffic scannen, einige Firewalls bieten selber Ausnahmelisten dafür an.
Dann kennst du die EDL Hosting Services von PaloAlto nicht?
https://docs.paloaltonetworks.com/resources/edl-hosting-service
Dank Zertifikat Pinning kannst du immer weniger HTTPS Traffic scannen, einige Firewalls bieten selber Ausnahmelisten dafür an.
Zitat von @canlot:
In unserem Fall haben wir einen kleinen Dienst in Go programmiert der die Adressen abholt und normalisiert über HTTP zur Verfügung stellt. Unsere Palo Alto Firewall holt diese Adressen dann ab und verwenden die in den Regeln.
In unserem Fall haben wir einen kleinen Dienst in Go programmiert der die Adressen abholt und normalisiert über HTTP zur Verfügung stellt. Unsere Palo Alto Firewall holt diese Adressen dann ab und verwenden die in den Regeln.
Dann kennst du die EDL Hosting Services von PaloAlto nicht?
https://docs.paloaltonetworks.com/resources/edl-hosting-service
Was ich dir bezüglich Securepoint ans Herz legen kann ist das du dich mal an den Support wendest.
Die sind super hilfsbereit und kompetent ( hab ich zumindest in Erinnerung was die Firewall angeht / Antivirus Team ist eher sparsam mit Hilfreichen Aussagen bzw. Taten. ( alles meine Meinung aus Erfahrungen gemacht ))
Wir haben vor Jahren eine kleine Softwarebude aufgekauft die hatten eine im Einsatz und auch den Securepoint AV.
Kann mich erinnern das da keiner von Uns ( inkl. Mir ) ran wollte weil das alles so übersichtlich war.
Aber gut wenn man X kennt und Jahrelang gemacht hat dann bleibt man eben bei X Aber mit dem Super Support
gings dann doch ganz gut. Ist halt einiges versteckt. GRE Tunnel war damals ein sehr langwieriges unterfangen....
Die sind super hilfsbereit und kompetent ( hab ich zumindest in Erinnerung was die Firewall angeht / Antivirus Team ist eher sparsam mit Hilfreichen Aussagen bzw. Taten. ( alles meine Meinung aus Erfahrungen gemacht ))
Wir haben vor Jahren eine kleine Softwarebude aufgekauft die hatten eine im Einsatz und auch den Securepoint AV.
Kann mich erinnern das da keiner von Uns ( inkl. Mir ) ran wollte weil das alles so übersichtlich war.
Aber gut wenn man X kennt und Jahrelang gemacht hat dann bleibt man eben bei X Aber mit dem Super Support
gings dann doch ganz gut. Ist halt einiges versteckt. GRE Tunnel war damals ein sehr langwieriges unterfangen....
Okay das mit WA Business hattest du oben nicht geschrieben aber seis drum.
Was den Support von Securepoint angeht so kann ich dir sagen das du da dann warscheinlich an einen MA gekommen bist der da keinen wirklichen Bock hat bzw. es sich einfach machen wollte. Das kenn ich von deren Support. Es gibt aber auch fähige Leute bei denen ( wobei ich hier anmerken will das ich den bei Sec.Point angestellten MA Ihre Kompetenz od. Fähigkeiten nicht absprechen will aber es ist wie so oft. Menschen sind verschieden ) die bei der Sache mit einem Elan ran gehen der mich das eine oder andere mal hat staunen lassen
Bezüglich der vielen Adressen, tja das leider bei Diensten so die ein gewisses eigenes CDN anbieten bzw. den Service eben weltweit zur Verfügung stellen. Es kann durchaus sein das du nicht alle Hostnamen brauchst. Der Vorteil bei mehreren Hostnamen ( Domains / IP´s ) ist halt das dadurch immer eine gewisse Georedundanz erreicht wird. Ist der Server unter DEU.wa.fb.net nicht erreichbar so versucht die APP eben FRA.wa.fb.net etc. Teilweise haben die auch Ihre Endpunkte ( Erreichbarkeit der Dienste wie API´s und Co ) entsprechend skaliert bzw. erreichbar gemacht. I.d.R läuft das ganze eh über ein CDN und von daher ist das ganze an deren CDN angepasst.
Was dein Beispiel von Audi angeht so ist es hier "nur" eine Webseite und das ganze wird ggf. über DNS Loadbalancing und da es nur eine Webseite ist kann man das machen. Bei Whatsapp ist das nunmal da hier diverse Services benötigt werden etwas anders.
Das mit den IP´s ist nunmal so etwas womit wir leben müssen bzw. die Firewall Hersteller müssen eben nach und nach ihre Produkte entsprechend anpassen da es u.U. für Firmen wichtig ist in den Social Media präsent zu sein.
ZScaler hat da glaube ich bereits reagiert was die Konfig Ihres Proxy´s angeht
Ich hoffe ich konnte dir weiterhelfen.
Was den Support von Securepoint angeht so kann ich dir sagen das du da dann warscheinlich an einen MA gekommen bist der da keinen wirklichen Bock hat bzw. es sich einfach machen wollte. Das kenn ich von deren Support. Es gibt aber auch fähige Leute bei denen ( wobei ich hier anmerken will das ich den bei Sec.Point angestellten MA Ihre Kompetenz od. Fähigkeiten nicht absprechen will aber es ist wie so oft. Menschen sind verschieden ) die bei der Sache mit einem Elan ran gehen der mich das eine oder andere mal hat staunen lassen
Bezüglich der vielen Adressen, tja das leider bei Diensten so die ein gewisses eigenes CDN anbieten bzw. den Service eben weltweit zur Verfügung stellen. Es kann durchaus sein das du nicht alle Hostnamen brauchst. Der Vorteil bei mehreren Hostnamen ( Domains / IP´s ) ist halt das dadurch immer eine gewisse Georedundanz erreicht wird. Ist der Server unter DEU.wa.fb.net nicht erreichbar so versucht die APP eben FRA.wa.fb.net etc. Teilweise haben die auch Ihre Endpunkte ( Erreichbarkeit der Dienste wie API´s und Co ) entsprechend skaliert bzw. erreichbar gemacht. I.d.R läuft das ganze eh über ein CDN und von daher ist das ganze an deren CDN angepasst.
Was dein Beispiel von Audi angeht so ist es hier "nur" eine Webseite und das ganze wird ggf. über DNS Loadbalancing und da es nur eine Webseite ist kann man das machen. Bei Whatsapp ist das nunmal da hier diverse Services benötigt werden etwas anders.
Das mit den IP´s ist nunmal so etwas womit wir leben müssen bzw. die Firewall Hersteller müssen eben nach und nach ihre Produkte entsprechend anpassen da es u.U. für Firmen wichtig ist in den Social Media präsent zu sein.
ZScaler hat da glaube ich bereits reagiert was die Konfig Ihres Proxy´s angeht
Ich hoffe ich konnte dir weiterhelfen.
Zwangsproxy über MDM ausrollen.
Oder über MDM einen Tunnel für VPN über MDM ausrollen
und allen Traffic durch den Tunnel schicken.
Nun der Proxy hat je nach dem wie man ihn baut und betreibt unterschiedliche
Funktionen. Ich will ja u.U. in einer Firma bestimmte Webseiten oder Kategorien
von Webseiten sperren oder nur unter Bedingungen erreichbar machen. Tue ich
das nur in der Firma dann betrifft das nur Geräte welche über den Proxy gehen.
Das was die meisten Mitarbeiter dann machen wenn das Handy im Firmen WLAN ist:
WLAN AUS und dann über LTE/5G in Netzwerk und los geht´s.
Wenn du das verhindern willst dann musst du einen Permanenten Tunnel
auf dem Handy konfigurieren ( MDM mact möglich ). Dann geht jeglicher
Traffic über das VPN und dann ggf. je nach Kofig über den Proxy und der Admin
kann dann auf dem Proxy eben festlegen was ok ist und was nicht. Bedeutet aber auch
das wenn die Mobile Internetverbindung nicht die dollste ist dann gibts bei einem Always
On VPN ein Problem und du bekommst die Seiten nicht angezeigt weil die Verbindung so schlecht
ist.
Die Meisten Firmen welche ein MDM für die Konfiguration ihrer Smartphones verwenden
benutzen meistens immer einen Active Sync Proxy für den Zugriff auf den Exchange Server.
Aber deine Aussage ist teilweise richtig aber die meisten Netzwerke für Mobiltelefone
sind so aufgebaut das sie über eine Firewall gehen.
Proxy und MDM usw. ist immer als GANZES zu verstehen und nicht ala ich mach mal Proxy
für die Handys und dann ist alles sicher.
Da gehört ein ganzer Maßnahmenkatalog mit dazu wie MDM / Firewall / VPN / PROXY / IDS
Konfigurationsprofile auf dem Smartphone / Cloudanbindungen / Getrennte Netzwerke usw.....
Oder über MDM einen Tunnel für VPN über MDM ausrollen
und allen Traffic durch den Tunnel schicken.
Nun der Proxy hat je nach dem wie man ihn baut und betreibt unterschiedliche
Funktionen. Ich will ja u.U. in einer Firma bestimmte Webseiten oder Kategorien
von Webseiten sperren oder nur unter Bedingungen erreichbar machen. Tue ich
das nur in der Firma dann betrifft das nur Geräte welche über den Proxy gehen.
Das was die meisten Mitarbeiter dann machen wenn das Handy im Firmen WLAN ist:
WLAN AUS und dann über LTE/5G in Netzwerk und los geht´s.
Wenn du das verhindern willst dann musst du einen Permanenten Tunnel
auf dem Handy konfigurieren ( MDM mact möglich ). Dann geht jeglicher
Traffic über das VPN und dann ggf. je nach Kofig über den Proxy und der Admin
kann dann auf dem Proxy eben festlegen was ok ist und was nicht. Bedeutet aber auch
das wenn die Mobile Internetverbindung nicht die dollste ist dann gibts bei einem Always
On VPN ein Problem und du bekommst die Seiten nicht angezeigt weil die Verbindung so schlecht
ist.
Die Meisten Firmen welche ein MDM für die Konfiguration ihrer Smartphones verwenden
benutzen meistens immer einen Active Sync Proxy für den Zugriff auf den Exchange Server.
Aber deine Aussage ist teilweise richtig aber die meisten Netzwerke für Mobiltelefone
sind so aufgebaut das sie über eine Firewall gehen.
Proxy und MDM usw. ist immer als GANZES zu verstehen und nicht ala ich mach mal Proxy
für die Handys und dann ist alles sicher.
Da gehört ein ganzer Maßnahmenkatalog mit dazu wie MDM / Firewall / VPN / PROXY / IDS
Konfigurationsprofile auf dem Smartphone / Cloudanbindungen / Getrennte Netzwerke usw.....
Serie: Netzwerk Whatsapp
Proxy - Positiv-Liste für Whatsapp11