die Frage ist ob WhatsApp mittlerweile auf https TCP 443 (wegen Ende zu Ende Verschlüsselung) alles umgestellt hat. Teste mal damit und gib Bescheid.

dynamische “typische” Ports wie z.B. für Skype oder WAN-IP-Ziele wird es nie geben da alles unsichtbar in wechselnden Datastorages und Cloud-Datacenter lagert, allein Geo-location, DNS-delay sind Werte die entscheiden wo du dich mit deinem Skype hin verbindest. App Control guckt in den Protokollaufbau und sieht “ah ok, das sieht nach Skype aus”. Ja beim Skype konnten wir das so feststellen! 1 PC erlaubt, danach eine Regel wo das ganze Netz nicht darf. Die anderen haben dann Broadcast-Pakete verschickt und nach einem Skype-Proxy gefragt und der Port des einen erlaubten ist immer offen sobald du Skype startest und die sind dann alle darüber rausgegangen, ein wahres Netzwerk-Biest :D

da kann ich dir nur zustimmen, um Apps zu blocken funktioniert die App Control der UTM sehr gut. Ich wollte jedoch genau das Gegengenteil, sprich die Applikationen welche bestimmte Ports bzw. dynamische Ports oder ständig wechselnde öffentliche IP-Adressen zulassen. Sehr interessant was du zu dem Skype schreibst, hast du das auch mal in der Praxis probiert ? Wenn das wirklich gehen sollte, dann hätte ich ja die Lösung für mein Skype Problem. Normalerweise verwende ich in dem Fall den Socks Proxy jedoch kann ich das bei dem Kunden leider nicht umsetzen. Im Mobile Netz / Gästenetz verwende ich kein SSL scanning. Ausschließlich im LAN wo Zertifikate per GPO verteilt werden können.

Hi Philipp,

generell funktioniert die Application Control sehr gut. Skype ist ein Biest in der IT. Sobald ein PC im Netz Skype aktiv hat, fungiert er als Skype Proxy. Das heißt du hast in einem Subnetz 1 PC erlaubt Skype zu machen und dem restlichen Netz Skype verboten: Alle werden online kommen über den anderen, durch Broadcast-Suche gefunden erlaubten Skype PC. SSL Scanning würde ich im Mobile Netz generell nicht auf Voll stellen, solange du keine Mobile Control mit Zertifikatsverteilung hast und/oder Fremdgeräte im Netz (“BYOD”) hast.

Für die diejenigen die es interessiert. Mein Test mit Whatsapp bestand aus einer UTM Apppliance mit Accesspoint einem Iphone 7 (aktuelle IOS Version sowie aktuelles Whatsapp) und ausgeschalteten “Mobile Daten” es bestand nur eine Internet Verbindung über das W-LAN mit eingeschalteten transparenten Proxy mit SSL scanning. Das Zertifikat wurde auf dem Iphone importiert. –> in dieser Konstellation war es noch nicht einmal möglich eine Verbindung zu den Whatsapp Servern herzustellen… traurig aber Wahr …

Hat jemand damit schon bessere Erfahrungen gemacht ?

Grüße Philipp

Ich habe es noch nicht getestet, sollte aber nach dem Schichten Model der UTM. Die Firewall-Regeln sind auch mehr für Firewalls gedacht, die keine explizite Application Control besitzen.

war nur letztens am überlegen auf XG zu wechseln
mit dem neuen 100/40 vdsl hatte die utm viel zu tun
(über 50% cpu (j1900) und nur 55mbit Durchsatz)
aber bei IPS alles runtergestellt, nur das nötigste, und nun klappt das

Gruß Ingo

Hi Ingo,

doch die gibt es schon: WhatsApp, WhatsApp Location, WhatsApp Media Message, WhatsApp Voice Calling.