Cisco WebEx Online Meeting Security - Absichern von Virtuellen Meetings

Cisco WebEx Online Meeting Security

Absichern von Virtuellen Meetings

Dominik Altermatt
von Dominik Altermatt
am 14. Mai 2020
Lesezeit: 8 Minuten

Keypoints

So sichern Sie Cisco WebEx Meetings ab

  • Aufgrund der COVID-19 Pandemie finden viele Sitzungen, Vorträge und Schulungen online statt
  • WebEx Online Meeting stellt eine weiter kostenlose Alternative dafür dar
  • Die Standard Einstellungen sind nicht vorteilhaft oder sogar etwas irreführend
  • Basis Security-Funktionen wie Meeting-Passwörter und Teilnehmer-Registration sind jedoch konfigurierbar

Eine weiteres Tool für virtuelle Meetings in den Zeiten von Covid-19 ist WebEx Online Meeting von Cisco. Nach den Beiträgen zu Zoom und Microsoft Teams wird im Folgenden erklärt, welche Security-Features WebEx bietet und wie man diese kontrollieren kann. Der Artikel bezieht sich auf die kostenlos verfügbare Version WebEx Online Meetings, welche unter webex.com genutzt werden kann.

In der kostenlosen Version können mit einem aktuellen Special Offer 100 Teilnehmer für eine unbegrenzte Zeit an virtuellen Meetings teilnehmen und diverse Kollaboration-Features wie Chat, File- und Whiteboard-Sharing etc. nutzen. Genauere Details zu den Features und auch den premium Versionen können auf der Pricing-Seite von WebEx gefunden werden.

Sign Up

Wer Meetings hosten möchte, muss ein Account bei Cisco WebEx erstellen. Dazu muss eine Mailadresse, auf welche man Zugriff hat, sowie Namen und Standort angeben werden.

Mittels initialer Mail wird der Benutzer aufgefordert ein Passwort mit folgenden Anforderungen zu definieren:

Folgendes darf nicht enthalten sein:

Besser würden hier 10 Zeichen oder mehr sowie auch Sonderzeichen verwendet werden. WebEx überprüft bei der Eingabe der Passwörter die gestellten Anforderungen und dies grundsätzlich wie angegeben.

Spanend hierzu ist, dass bezüglich der Anforderungen “Leicht zu erratende Wörter” z.B. folgende Wörter erkannt werden: webex, cisco, pass (wie in Password). Jedoch werden Wörter, welche aus unseren Analysen, aus öffentlichen Leaks, häufig in Passwörtern gesehen werden, nicht erkannt. Zum Beispiel Status, Dragon oder auch Liverpool. Übrigens wird der Benutzername bei WebEx als komplette Mailadresse definiert, somit kann bei der Wahl vontestaccount@xxx.xxxx ein Teil des Passworts testaccount nutzen (was nicht zu empfehlen ist).

Adhoc-Meetings

Adhoc-Meetings können mittels “Persönlichem Raum” aufgesetzt werden. Die Teilnahme erfolgt über die Eingabe der entsprechenden Benutzer-ID des Gastgebers auf der Meetings-Seite von WebEx.

Adhoc Meeting als Persönlicher Raum

Diese Variante ist jedoch nicht zu empfehlen, da sie nicht mit einem Passwort abgesichert werden kann. Einzig der Eintritt nach Starten des Meetings kann nach einer definierten Zeitperiode verhindert werden; standardmässig ist diese auf 10 Minuten gesetzt. Stattdessen sollten geplante Meetings umgesetzt werden.

Geplantes Meeting aufsetzen

Meeting mit Kennwort schützen

Setzt man konkret ein Meeting auf, besteht WebEx drauf eine Passwort für das Meeting zu definieren. Ausserdem schlägt WebEx gleich ein Passwort vor, welches aus 11 Zeichen mit Zahlen, Gross- und Klein-Buchstaben besteht. Per Refresh-Button können andere Varianten generiert werden.

Geplantes Meeting mit Passwort schützen

Auch ein eigenes Passwort, mit folgenden Anforderungen, kann gesetzt werden:

Auch hier wäre eine etwas schärfere Passwort-Policy wünschenswert, damit schwache Passwörter wie 1111 nicht möglich sind. Ausserdem ist hier nun z.B. das Wort Cisco erlaubt. Dies würde bedeuten, dass unterschiedliche Bibliotheken von “leicht zu erratenden Schüsselwörter” bei Account-Passwort und Meeting-Passwort verwendet werden.

Obwohl hier standardmässig ein Passwort beim Erstellen des Meetings generiert wird, heisst dies nicht, dass die Teilnehmer das Passwort auch eingeben müssen. Da der Link, den die Teilnehmer per Mail erhalten, bereits das “Passwort” in Form einer ID enthält, bietet dies die Möglichkeit den Link weiter zu senden und so Personen einzuladen, welche ohne Eingabe des Passworts teilnehmen können. Dem kann aber Abhilfe geschaffen werden.

Setzt man eine Meeting auf, sind leider etwas versteckt, die entsprechenden Einstellungen zu finden. Unter Ein Meeting Aufsetzen / Erweiterte Optionen anzeigen / Ansetzoptionen / Passwort entfernen. Damit muss aber das Passwort explizit dem Teilnehmer übermittelt werden.

Geplantes Meeting ohne Passwort in Mail verschicken

Meeting mit Teilnehmer-Registration

Diese Einstellung ist grundsätzlich sinnvoll, da nun Teilnehmer explizit durch den Gastgeber bestätigt werden müssen, bevor diese am Meeting teilnehmen können. Das Feature wird aktiviert mit der Checkbox bei Teilnehmer-Registrierung anfordern unter Registrierung.

Geplantes Meeting setzt Registrierung voraus

Über die Meeting-Übersicht im Hauptmenu können anschliessend, unter dem jeweiligen Meeting-Eintrag, die Registrationen der eingeladenen Teilnehmer bestätigt werden.

Registrierung eines geplanten Meetings verwalten

Die Registration verläuft etwas umständlich. Eine initiale Mail für die Registration, danach eine weitere Mail für die effektive Teilnahme am Meeting.

Teilnehmer-Privilegien

Unter den Teilnehmer-Privilegien sollten alle Rechte entzogen werden, die nicht explizite benötigt werden. Diese können ebenfalls unter den Ansetzoptionen beim Erstellen von geplanten Meetings angepasst werden.

Teilnehmer-Privilegien eines geplanten Meetings verwalten

Details der Teilnehmer-Privilegien

Meeting Sperren

Das Sperren von Meetings, respektive die Zutritts-Verweigerungen nach dem Start eines Online Meetings, ist bei Adhoc-Meetings standardmässig auf 10 Minuten gesetzt und kann unter Einstellungen / Mein persönlicher Raum / Automatische Sperre eingesehen werden.

Für geplante Meetings existiert leider keine solche Einstellung beim Erstellen des Meetings. Jedoch kann nach dem Start eines Meetings die entsprechende Funktion im Menu aktiviert werden.

Nachträgliches Sperren eines geplanten Meetings

Als Vorlage speichern

Zu guter Letzt sollten die konfigurierten Security-Einstellungen als Template gespeichert werden um für zukünftige Meetings ebenfalls abgesichert zu sein. Gespeicherte Vorlagen können oben Rechtes beim Erstellen eines Meetings ausgewählt werden.

Einstellungen als Vorlage speichern

Fazit

Die gratis Version von WebEx Online Meetings kommt etwas unbedarft daher. Für Adhoc-Meetings kann kein Passwort gesetzt werden. Die Standard Einstellungen für geplante Meetings erzeugt den Eindruck, dass ein Passwort für die Teilnahme nötig ist, dies stimmt jedoch so nicht, den Teilnehmer können mittels des zugestellten Links ohne Eingabe des Passworts teilnehmen. Jedoch bietet WebEx entsprechende Einstellungen, um seine Online-Meetings abzusichern. Idealerweise wäre diese bereits als Standard-Einstellungen vorhanden. Mit der Speichern-Als-Vorlage-Funktion kann dies jedoch selbst nachgeholt werden.

Über den Autor

Dominik Altermatt

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Traffic-Analyse mit Windows-Boardmitteln

Traffic-Analyse mit Windows-Boardmitteln

Dominik Altermatt

SANS SEC503 Intrusion Detection In-Depth

SANS SEC503 Intrusion Detection In-Depth

Dominik Altermatt

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv