Profitieren Sie von einem deutlichen Performance-Gewinn bei der Nutzung moderner Business-Anwendungen in der Cloud (z. B. Microsoft Office 365, AWS, etc). Application Routing leitet anhand definierter Regeln vertrauenswürdige Anwendungen von der Filiale direkt ins Internet. Dies entlastet sowohl die VPN-Strecke zur Zentrale als auch die Internetleitung in der Zentrale.
Microsoft empfiehlt diese Betriebsart explizit für Office 365. Da diese Web-basierten Dienste häufig keine feste IP-Adresse haben, ist nur eine Erkennung anhand der DNS-Namen möglich. Zu diesem Zweck können entsprechende DNS-Ziele in der Firewall mit einem passenden Wildcardausdruck erstellt werden, sodass diese Pakete mit einem anderen Routingtag markiert werden, um dann später im Router direkt ins Internet geroutet zu werden. Alternativ kann an dieser Stelle auch eine Layer-7-Applikationskotrolle in der Firewall realisiert werden. Somit bewahren Sie die Kontrolle über die Nutzung internetbasierter Anwendungen in Ihrem Netzwerk. Durch die Definition von Regeln für DNS-basierte Anwendungen entscheiden Sie selbst, welche Dienste erlaubt, gesperrt, limitiert oder priorisiert werden.
Wenn nun ein Benutzer ein solches DNS-Ziel in seinem Browser aufruft, dann schickt sein Rechner eine DNS-Anfrage für diese Domäne. Der DNS-Forwarder im LANCOM Router leitet diese Anfrage dann an den Internet Service Provider weiter. Wenn die Antwort kommt, dann speichert der Router die zurückgelieferte IP-Adresse und diese Auflösung steht fortan der Firewall zur Verfügung. Anschließend geht die Antwort an den ursprünglich anfragenden Rechner weiter. Somit kann der Browser die Verbindung zu der zurückgelieferten IP-Adresse öffnen. Die Firewall erkennt die gerade vorher gelernte IP-Adresse und kann ein entsprechendes Routing-Tag zuweisen. Daneben sind auch andere definierte Firewall-Aktionen wie Erlauben, Sperren, Limitieren oder Priorisieren für dieses Ziel anwendbar.
Dadurch, dass die Firewall sich über die DNS-Auflösung genau die Adresse merkt, die der Benutzer für die Domäne anschließend verwendet, funktioniert dieser Mechanismus auch, wenn der Domänenname auf viele unterschiedliche oder zeitlich wechselnde IP-Adressen auflöst.
Einsatzempfehlungen
Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen, d. h. Clients im lokalen Netzwerk müssen den Router als DNS-Server verwenden. Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf. browserintern) mit externen DNS-Servern durch Clients verhindert werden.
- Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen (wird standardmäßig vom Internet-Wizard eingerichtet)
- Einrichtung von Firewall-Regeln, die die direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 (UDP) für Clients aus dem entsprechenden Quellnetzwerk
- Einrichtung von Firewall-Regeln, die die direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden Ports 853 (TCP) für Clients aus dem entsprechenden Quellnetzwerk
- DNS-over-HTTPS (DoH) im Browser deaktivieren
Hinweise zur Synchronisierung der DNS-Datenbank der Firewall:
Da die Firewall ihre Informationen aus den DNS-Anfragen der Clients lernt, kann es in bestimmten Situationen dazu kommen, dass die DNS-Datenbank noch nicht vollständig ist. Dies kann in folgenden Situationen passieren:
- Es wird eine neue Firewall-Regel hinzugefügt, der Client hat aber noch einen DNS-Eintrag zwischengespeichert
- Kurz nach Neustart des Routers und der Client hat aber noch einen DNS-Eintrag zwischengespeichert
In diesen Fällen hilft ein Leeren des DNS-Cache auf dem Client, ein Reboot des Clients oder ein Timeout des DNS-Eintrags auf dem Client.
Eigene Dienste wie z. B. ping vom Router selbst laufen nicht über die erstellten Firewall-Regeln. Mit Hilfe von ping auf einen vollständigen DNS-Namen (nicht Wildcard-Ausdruck) kann die Erzeugung von Regelauflösungen (DNS zu IP-Adressen) bei Bedarf entweder auf der CLI (einmalig) oder per Cron-Job durchgeführt werden.
