Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Filterung von HTTPS-Aufrufen mit Mikrotik

Frage Sicherheit Firewall

Mitglied: daarma

daarma (Level 1) - Jetzt verbinden

21.11.2014, aktualisiert 29.11.2014, 1777 Aufrufe, 4 Kommentare

Servus miteinander,

ich komme jetzt irgendwie nicht weiter.

Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll der Internet-Zugriff auf zwei Websites beschränkt werden. Die eine funktioniert ausschließlich mit HTTPS, die andere hat HTTP und HTTPS Anteile. Alles andere (Web, Mail etc.) soll gesperrt sein.
Etwas ausführlicher habe ich mein Vorhaben in einem anderen Thread beschrieben: https://www.administrator.de/forum/korrekte-vlan-konfiguration-mikrotik- ...

Mein Setup ist unverändert (ggü. zitiertem Posting):
- VLAN-fähiger Switch Zyxel GS-1910
- Zwei AP Draytek Vigor 900
- Router Mikrotik RB2011UiAS-RM
- Der MT hängt hinter einer Fritzbox 7270, die den Internetzugang besitzt.

Alle Firewall-Regeln habe ich mittlerweile problemlos umsetzen können:
- Die einzelnen WLANs (VLANs) sind wie gewünscht voneinander abgeschottet
- aus allen komme ich problemlos ins Internet
- für das eingeschränkte WLAN habe ich entsprechende Firewall-Regeln implementiert, die alles außer Port 80 und 443 (und DNS) blocken
- Zugriffe auf Ports 80 und 443 werden auf 8080 umgeleitet (Proxy)
- für das eingeschränkte WLAN habe ich einen Web-Proxy im MT aufgesetzt mit einer entsprechenden Access List

Nun mein Problem: Solange die Zugriffe gegen Port 80 erfolgen, also HTTP, ist alles bestens. Zugriffe auf HTTPS Seiten funktionieren nicht (es kommt allerdings auch keine "Prohibited" Meldung vom Proxy)

Ich habe viel zu dem Thema gelesen - auch im englischsprachigen Forum von MT. Was mich wundert: die einen sagen, dass HTTPS bei ihnen erfolgreich gefiltert werden kann entweder mittels
a) L7 protocol in Firewall-Rule oder
b) mittels der Content-Eigenschaft in Firewall-Rule
(Beispiel: https://www.facebook.com)
Andere sagen, das kann so nicht funktionieren.

Bei mir funktioniert das ebenfalls nicht. Habe beide Möglichkeiten ausprobiert.
Kann mir jemand erklären, warum das nicht gehen soll? Meines Wissens ist doch der Verbindungsaufbau bei HTTPS unverschlüsselt. Kleine Tests mit Wireshark auf meine Banking-Seite haben das bestätigt...Die Verschlüsselung beginnt ja erst nach erfolgreichem Zertifikat-Tausch (und dessen Verifizierung).

Anbei noch ein paar Screenshots meiner Config.

Firewall / Filter rules

262c88f7aed3c711a095cc8f6c86281e - Klicke auf das Bild, um es zu vergrößern

Firewall / NAT

5e23bfb6c233b411034aa8e67a0db87d - Klicke auf das Bild, um es zu vergrößern

Web Proxy / Access

f9786c27edc08c3142c042c9b4c7ecce - Klicke auf das Bild, um es zu vergrößern


Für weitere Anregungen zur Murks-Vermeidung bin ich natürlich auch dankbar

Grüße
daarma
Mitglied: psannz
LÖSUNG 21.11.2014, aktualisiert 29.11.2014
Sers,

warum machst du es dir denn so kompliziert? Wenn die User wirklich nur auf diese 2 Webseiten Zugriff bekommen sollen, und sonst nichts, dann binde sie doch via Hotspot an und pack die beiden URLs in einen Walled Garden.
Zugangsdaten brauchen sie dann nicht, und wenn du magst könntest du etwa die standardmäßige Redirect Seite auf die HTTP-Seite (nicht die HTTPS) leiten. Oder auf eine spezielle Landing Page mit Links zu den beiden freigegebenen Seiten.

Das Firewalling usw. macht das RouterOS dann ganz von allein für dich.

Grüße,
Philip
Bitte warten ..
Mitglied: exchange
21.11.2014 um 22:39 Uhr
Hallo,
also ich habe das gerade mal ausprobiert und ich kann Seiten freigeben und sperren. Es kommt halt keine Meldung aber die https Seite baut sich auch nicht auf.
Nimm aber eine andere Seite als Facebook. Mit der hat es bei mir auch nicht funktioniert. Ich denke, dass da jquery & co über externe Server nachgeladen werden. Mit der Hausbank hat es bestens funktioniert.

Gruß
Bitte warten ..
Mitglied: daarma
29.11.2014 um 09:26 Uhr
Servus,

jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.

Noch zwei ergänzende Fragen:

1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die gleiche IP-Adresse zugewiesen bekommen?

2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
Bitte warten ..
Mitglied: psannz
29.11.2014 um 20:32 Uhr
Zitat von daarma:

Servus,

jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft
sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.

Noch zwei ergänzende Fragen:

1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die
gleiche IP-Adresse zugewiesen bekommen?

IP Bindings

2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am
Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?

Genau. Das wäre eine Möglichkeit.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst Mikrotik: Erreichbarkeit WebFig od. WinBox (5)

Frage von astriffe zum Thema Router & Routing ...

Batch & Shell
gelöst FOR R Ordner Filterung? KLAMMERAUF BATCH KLAMMERZU (9)

Frage von clragon zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Switche und Hubs
LAG zwischen Cisco SG300 und Dlink DGS1100 herstellen - wie? (15)

Frage von White-Rabbit2 zum Thema Switche und Hubs ...

Hardware
Lenovo Yoga 500 über angeschlossene USB Tastatur booten (13)

Frage von thomasreischer zum Thema Hardware ...

Viren und Trojaner
Wie werde ich den Mist "fanli90" wieder los? (13)

Frage von Taumel zum Thema Viren und Trojaner ...

CPU, RAM, Mainboards
Hardware Fragen (12)

Frage von xaver-2 zum Thema CPU, RAM, Mainboards ...