Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Filterung von HTTPS-Aufrufen mit Mikrotik

Frage Sicherheit Firewall

Mitglied: daarma

daarma (Level 1) - Jetzt verbinden

21.11.2014, aktualisiert 29.11.2014, 1756 Aufrufe, 4 Kommentare

Servus miteinander,

ich komme jetzt irgendwie nicht weiter.

Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll der Internet-Zugriff auf zwei Websites beschränkt werden. Die eine funktioniert ausschließlich mit HTTPS, die andere hat HTTP und HTTPS Anteile. Alles andere (Web, Mail etc.) soll gesperrt sein.
Etwas ausführlicher habe ich mein Vorhaben in einem anderen Thread beschrieben: https://www.administrator.de/forum/korrekte-vlan-konfiguration-mikrotik- ...

Mein Setup ist unverändert (ggü. zitiertem Posting):
- VLAN-fähiger Switch Zyxel GS-1910
- Zwei AP Draytek Vigor 900
- Router Mikrotik RB2011UiAS-RM
- Der MT hängt hinter einer Fritzbox 7270, die den Internetzugang besitzt.

Alle Firewall-Regeln habe ich mittlerweile problemlos umsetzen können:
- Die einzelnen WLANs (VLANs) sind wie gewünscht voneinander abgeschottet
- aus allen komme ich problemlos ins Internet
- für das eingeschränkte WLAN habe ich entsprechende Firewall-Regeln implementiert, die alles außer Port 80 und 443 (und DNS) blocken
- Zugriffe auf Ports 80 und 443 werden auf 8080 umgeleitet (Proxy)
- für das eingeschränkte WLAN habe ich einen Web-Proxy im MT aufgesetzt mit einer entsprechenden Access List

Nun mein Problem: Solange die Zugriffe gegen Port 80 erfolgen, also HTTP, ist alles bestens. Zugriffe auf HTTPS Seiten funktionieren nicht (es kommt allerdings auch keine "Prohibited" Meldung vom Proxy)

Ich habe viel zu dem Thema gelesen - auch im englischsprachigen Forum von MT. Was mich wundert: die einen sagen, dass HTTPS bei ihnen erfolgreich gefiltert werden kann entweder mittels
a) L7 protocol in Firewall-Rule oder
b) mittels der Content-Eigenschaft in Firewall-Rule
(Beispiel: https://www.facebook.com)
Andere sagen, das kann so nicht funktionieren.

Bei mir funktioniert das ebenfalls nicht. Habe beide Möglichkeiten ausprobiert.
Kann mir jemand erklären, warum das nicht gehen soll? Meines Wissens ist doch der Verbindungsaufbau bei HTTPS unverschlüsselt. Kleine Tests mit Wireshark auf meine Banking-Seite haben das bestätigt...Die Verschlüsselung beginnt ja erst nach erfolgreichem Zertifikat-Tausch (und dessen Verifizierung).

Anbei noch ein paar Screenshots meiner Config.

Firewall / Filter rules

262c88f7aed3c711a095cc8f6c86281e - Klicke auf das Bild, um es zu vergrößern

Firewall / NAT

5e23bfb6c233b411034aa8e67a0db87d - Klicke auf das Bild, um es zu vergrößern

Web Proxy / Access

f9786c27edc08c3142c042c9b4c7ecce - Klicke auf das Bild, um es zu vergrößern


Für weitere Anregungen zur Murks-Vermeidung bin ich natürlich auch dankbar

Grüße
daarma
Mitglied: psannz
LÖSUNG 21.11.2014, aktualisiert 29.11.2014
Sers,

warum machst du es dir denn so kompliziert? Wenn die User wirklich nur auf diese 2 Webseiten Zugriff bekommen sollen, und sonst nichts, dann binde sie doch via Hotspot an und pack die beiden URLs in einen Walled Garden.
Zugangsdaten brauchen sie dann nicht, und wenn du magst könntest du etwa die standardmäßige Redirect Seite auf die HTTP-Seite (nicht die HTTPS) leiten. Oder auf eine spezielle Landing Page mit Links zu den beiden freigegebenen Seiten.

Das Firewalling usw. macht das RouterOS dann ganz von allein für dich.

Grüße,
Philip
Bitte warten ..
Mitglied: exchange
21.11.2014 um 22:39 Uhr
Hallo,
also ich habe das gerade mal ausprobiert und ich kann Seiten freigeben und sperren. Es kommt halt keine Meldung aber die https Seite baut sich auch nicht auf.
Nimm aber eine andere Seite als Facebook. Mit der hat es bei mir auch nicht funktioniert. Ich denke, dass da jquery & co über externe Server nachgeladen werden. Mit der Hausbank hat es bestens funktioniert.

Gruß
Bitte warten ..
Mitglied: daarma
29.11.2014 um 09:26 Uhr
Servus,

jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.

Noch zwei ergänzende Fragen:

1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die gleiche IP-Adresse zugewiesen bekommen?

2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
Bitte warten ..
Mitglied: psannz
29.11.2014 um 20:32 Uhr
Zitat von daarma:

Servus,

jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft
sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.

Noch zwei ergänzende Fragen:

1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die
gleiche IP-Adresse zugewiesen bekommen?

IP Bindings

2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am
Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?

Genau. Das wäre eine Möglichkeit.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Batch & Shell
gelöst Cmd Befehle in Powershell GUI aufrufen (5)

Frage von Markus2016 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...