tsunami
Goto Top

Proxy - Positiv-Liste für Whatsapp

Hallo zusammen,
ich beschäftige mich gerade mit Firewalls, Proxys usw.
Whatsapp braucht etlche freie Ports. Soweit so gut.
Trotzdem funktioniert es hakelig. "Du könntest neue Nachrichten haben", "Überprüfe auf neue Nachrichten" sind einige der meldungen. Videoanrufe gehen gar nicht.
Nach etwas Recherche und probieren ist der Proxy der ausgemachte Übeltäter. Setze ich das Handy auf die Positiv-Liste, geht alles wie gewünscht, aber das wll ich nicht.
Ich müsste es anders herum lösen und en Server auf die Positiv-Liste setzen.

Unter https://developers.facebook.com/docs/whatsapp/guides/network-requirement ...
habe ich die Ips der Server gefunden und die Hostnamen. Nur die Ips sind gut 200 und selbst die Hostnamen sind ein gutes Dutzend mit *, *.* usw.

Ist das der richtige Weg? Weil dann müsste ich ja gut 200 bzw. 12 Einträge anlegen:
media-.*.cdn.whatsapp.net
media..*.fna.whatsapp.net
...
Gibt es sowas wie einen Alias? Also WhatsappServerList -> Server 1, Server 2, Server 3...
Normalerweise stehen hinter einer IP/Hostnamen doch auch mehrere Server, aber ein Name. Was weiß ich audi.de wird auch nicht auf einem Server laufen..
mfG
tsunami

Content-ID: 4465542411

Url: https://administrator.de/forum/proxy-positiv-liste-fuer-whatsapp-4465542411.html

Ausgedruckt am: 26.12.2024 um 00:12 Uhr

canlot
canlot 31.10.2022 um 10:52:21 Uhr
Goto Top
Moin, wir haben so einen ähnlichen Fall mit den Adressen von Microsoft/Office365

In unserem Fall haben wir einen kleinen Dienst in Go programmiert der die Adressen abholt und normalisiert über HTTP zur Verfügung stellt. Unsere Palo Alto Firewall holt diese Adressen dann ab und verwenden die in den Regeln.

So was in der Art könntest du dir auch zusammenbasteln, ansonsten erkennen viele Firewalls WhatsApp als Anwendung die man in Regeln benutzen könnte.
tsunami
tsunami 31.10.2022 um 11:08:45 Uhr
Goto Top
Hallo
vielen Dank. Die Regeln stehen. Nur der Proxy macht Probleme. Aus , alles geht. Es müsste ein Exclude eingerichtet werden, nur daür brauche ich den Servernamen.
Und da müsste ich dann 12x Eclude Regeln machen?
RegelWA1:...
RegelWA2:...
RegelWA3:...
?
Mr-Gustav
Mr-Gustav 31.10.2022 aktualisiert um 11:24:43 Uhr
Goto Top
Da du nicht verraten hast welche Firewall oder Proxy Losung du einsetzt ist es schwierig hierzu eine
praktikable Aussage zu treffen.

Wir haben bei uns ZScaler als Proxy im Einsatz und da habe ich mich in den Anfangszeiten mal hingesetzt und alles eingetippt ( copy & paste ). >Glaube aber mittlerweile gibts bei denen eine Option.

Hat die Firewall keine Application Controll Einstelllung ? Eventuell könntest du das darüber lösen.
Unsere ASA´s haben das soweit ich weis nicht. Aber die leiten alles was HTTP/s ist über GRE nach ZScaler und da findet dann die Filterung statt.

Zuhause habe ich das mit der Sophos über Application Control gelöst wenn ich mich recht erinner ?!
kann mich aber auch irren ist sehr sehr lange her war aber damals aber auch ein Kampf mit der FW.

Edit.
Das Dokument was du gepostet hast ist für die Whatsapp Busissnes API bzw. die WA Business on Prem API.
Ich weis nicht in wie weit das ganze passt bzw. was da noch dazu muss oder was ggf. nicht oder ob was fehlt.
Deepsys
Deepsys 31.10.2022 um 11:34:11 Uhr
Goto Top
Ja, vermutlich wirst du die Liste anlegen müssen, das ist aktuell leider oft der Fall.
Dank Zertifikat Pinning kannst du immer weniger HTTPS Traffic scannen, einige Firewalls bieten selber Ausnahmelisten dafür an.


Zitat von @canlot:
In unserem Fall haben wir einen kleinen Dienst in Go programmiert der die Adressen abholt und normalisiert über HTTP zur Verfügung stellt. Unsere Palo Alto Firewall holt diese Adressen dann ab und verwenden die in den Regeln.

Dann kennst du die EDL Hosting Services von PaloAlto nicht?
https://docs.paloaltonetworks.com/resources/edl-hosting-service
tsunami
tsunami 31.10.2022 um 15:36:12 Uhr
Goto Top
Hallo zusammen,
die Firewall ist eine Securepoint mittransparentem Proxy. Da kann ich Exklude und Inklude Regeln festlegen.
Auch kann ich Ausnahmen setzen für das Device oder einen Server. Nur dann surft das Handy ohne Proxy.
Im Gastnetz ist auch blöd, weil ich zwischendurch mit dem Handy aufs NAS zugreifen möchte.
Und jedesmal umschalten ist doof.
Appication Control macht doch eigendlich nur die Filterung der Ports, oder?
Also was weiß ich allow smtp aus dem lokalen Netzwerk ins Internet .
Das ist angelegt. Nur der Proxy bricht die https-Verbindung auf und dann ist Ende.
Ich kann dort ein Exclude sagen, aber dann brauch eich ein Ziel. Also den WA-Server.
Mr-Gustav
Mr-Gustav 31.10.2022 um 15:44:19 Uhr
Goto Top
Was ich dir bezüglich Securepoint ans Herz legen kann ist das du dich mal an den Support wendest.
Die sind super hilfsbereit und kompetent ( hab ich zumindest in Erinnerung was die Firewall angeht / Antivirus Team ist eher sparsam mit Hilfreichen Aussagen bzw. Taten. ( alles meine Meinung aus Erfahrungen gemacht ))

Wir haben vor Jahren eine kleine Softwarebude aufgekauft die hatten eine im Einsatz und auch den Securepoint AV.
Kann mich erinnern das da keiner von Uns ( inkl. Mir ) ran wollte weil das alles so übersichtlich war.
Aber gut wenn man X kennt und Jahrelang gemacht hat dann bleibt man eben bei X face-smile Aber mit dem Super Support
gings dann doch ganz gut. Ist halt einiges versteckt. GRE Tunnel war damals ein sehr langwieriges unterfangen....
tsunami
tsunami 01.11.2022 aktualisiert um 10:33:26 Uhr
Goto Top
@Mr-Gustav
Guten Morgen,
ja, mit dem Support habe ich gesprochen. Da war die Aussage ich hätte 2 Optionen: Proxy aus oder Adressen der Server eintragen.
Da habe ich aber ein grundsätzliches Verständnisproblem:
Wieso müssen das rund 10 Server sein und dann noch mit Platzhaltern? Wenn ich als Beispiel Audis Webserver nehme.
Unter Audi.de erreiche ich die Internetseite. Wenn die dann 10 Server im Einsatz haben (Bsp.) 10.10.10.100 - 10.10.10.110, erreiche ich doch die Server alle unter audi.de und nicht audi1.de, audi2.de. audi3.de usw. Von mir aus Subdomains, ja. Und auch hier nicht den Servernamen audi*`.de

Deswegen die Frage,ob ich da wirklich die ganze Serverliste entragen muss. Wie gesagt geht es da um WHATSApp Business. Ansonsten finde ich keine Infos...

Nun wäre eine theoretische Möglichkeit, ein weiteres GAST-WLAN auf zu machen, nur für WhatsApp und dann via Portfilter die Smb Anfragen von meinem Handy auf das NAS zu routen. Aber das kann doch nicht sein. Aber das möchte ich auch nicht, da dann jeder im Gast-WLAN das NAS sehen würde...
Mr-Gustav
Mr-Gustav 02.11.2022 um 07:35:50 Uhr
Goto Top
Okay das mit WA Business hattest du oben nicht geschrieben aber seis drum.

Was den Support von Securepoint angeht so kann ich dir sagen das du da dann warscheinlich an einen MA gekommen bist der da keinen wirklichen Bock hat bzw. es sich einfach machen wollte. Das kenn ich von deren Support. Es gibt aber auch fähige Leute bei denen ( wobei ich hier anmerken will das ich den bei Sec.Point angestellten MA Ihre Kompetenz od. Fähigkeiten nicht absprechen will aber es ist wie so oft. Menschen sind verschieden ) die bei der Sache mit einem Elan ran gehen der mich das eine oder andere mal hat staunen lassen face-smile

Bezüglich der vielen Adressen, tja das leider bei Diensten so die ein gewisses eigenes CDN anbieten bzw. den Service eben weltweit zur Verfügung stellen. Es kann durchaus sein das du nicht alle Hostnamen brauchst. Der Vorteil bei mehreren Hostnamen ( Domains / IP´s ) ist halt das dadurch immer eine gewisse Georedundanz erreicht wird. Ist der Server unter DEU.wa.fb.net nicht erreichbar so versucht die APP eben FRA.wa.fb.net etc. Teilweise haben die auch Ihre Endpunkte ( Erreichbarkeit der Dienste wie API´s und Co ) entsprechend skaliert bzw. erreichbar gemacht. I.d.R läuft das ganze eh über ein CDN und von daher ist das ganze an deren CDN angepasst.

Was dein Beispiel von Audi angeht so ist es hier "nur" eine Webseite und das ganze wird ggf. über DNS Loadbalancing und da es nur eine Webseite ist kann man das machen. Bei Whatsapp ist das nunmal da hier diverse Services benötigt werden etwas anders.

Das mit den IP´s ist nunmal so etwas womit wir leben müssen bzw. die Firewall Hersteller müssen eben nach und nach ihre Produkte entsprechend anpassen da es u.U. für Firmen wichtig ist in den Social Media präsent zu sein.
ZScaler hat da glaube ich bereits reagiert was die Konfig Ihres Proxy´s angeht

Ich hoffe ich konnte dir weiterhelfen.
tsunami
tsunami 03.11.2022 um 09:02:03 Uhr
Goto Top
Letzte Frage zum Verständnis:
Wenn ich die Server abtippe und gesetzt den Fall, dass der Proxy greift un die Videoanrufe wie gewollt trotzdem funktionieren.
Was ist denn dann unterwegs? Wenn ich also nicht im WLAN bin und der Proxy-Server demnach nicht erreichbar ist?
Muss ich dann jedesmal erst eine VPN Verbindung aufbauen?
Ansonsten ist das Thema Proxy doch witzlos. Ich surfe ungeschützt im mobilen Netz, komme nach Hause und verseuche mir das Netz?
Nur jedesmal erst mit VPN online ist doch auch nicht praktikabel...
ratzekahl1
Lösung ratzekahl1 09.11.2022 um 15:47:43 Uhr
Goto Top
Ok,
wildcards gehen nicht. Also ganz anderer Ansatz:
Neuer User, der nur Leserechte auf dem Nas hat. Handy in ein anderes Netz. Dann Portfilter auf das NAS.
Dann kann nix passieren. Dann den Proxy nur fürs Hauptnetz, so dass Whatsapp läuft.
Mr-Gustav
Mr-Gustav 10.11.2022 um 11:25:32 Uhr
Goto Top
Zwangsproxy über MDM ausrollen.
Oder über MDM einen Tunnel für VPN über MDM ausrollen
und allen Traffic durch den Tunnel schicken.

Nun der Proxy hat je nach dem wie man ihn baut und betreibt unterschiedliche
Funktionen. Ich will ja u.U. in einer Firma bestimmte Webseiten oder Kategorien
von Webseiten sperren oder nur unter Bedingungen erreichbar machen. Tue ich
das nur in der Firma dann betrifft das nur Geräte welche über den Proxy gehen.
Das was die meisten Mitarbeiter dann machen wenn das Handy im Firmen WLAN ist:
WLAN AUS und dann über LTE/5G in Netzwerk und los geht´s.
Wenn du das verhindern willst dann musst du einen Permanenten Tunnel
auf dem Handy konfigurieren ( MDM mact möglich ). Dann geht jeglicher
Traffic über das VPN und dann ggf. je nach Kofig über den Proxy und der Admin
kann dann auf dem Proxy eben festlegen was ok ist und was nicht. Bedeutet aber auch
das wenn die Mobile Internetverbindung nicht die dollste ist dann gibts bei einem Always
On VPN ein Problem und du bekommst die Seiten nicht angezeigt weil die Verbindung so schlecht
ist.
Die Meisten Firmen welche ein MDM für die Konfiguration ihrer Smartphones verwenden
benutzen meistens immer einen Active Sync Proxy für den Zugriff auf den Exchange Server.

Aber deine Aussage ist teilweise richtig aber die meisten Netzwerke für Mobiltelefone
sind so aufgebaut das sie über eine Firewall gehen.

Proxy und MDM usw. ist immer als GANZES zu verstehen und nicht ala ich mach mal Proxy
für die Handys und dann ist alles sicher.
Da gehört ein ganzer Maßnahmenkatalog mit dazu wie MDM / Firewall / VPN / PROXY / IDS
Konfigurationsprofile auf dem Smartphone / Cloudanbindungen / Getrennte Netzwerke usw.....