Webinar incia en

0 Días
0 Horas
0 Minutos
0 Segundos

Webinar Gratuito

Introducción a Protocolo IPv6 con MikroTik RouterOS

Regístrate aqui

Cursos Certificación MikroTik

modalidad Autoestudio

¡ NUEVO ! ... MTCIPv6E (MikroTik Certified IPv6 Engineer)

MTCNA (Network Associate)

MTCTCE (Control de Tráfico y QoS)

MTCRE (Ruteo avanzado, OSPF, VRRP)

MTCINE (Internetworking, BGP, MPLS)

MTCSE (Seguridad Avanzada)

MTCSWE (Switching Avanzado)

Popular Keywords

Categories

No Record Found

View All Results
Facebook-f Twitter Linkedin Youtube Instagram Whatsapp
abcXperts by Academy Xperts - cursos y consultorías MikroTik y Ubiquiti

Cómo Bloquear Sitios HTTPS Eficazmente con MikroTik TLS Host

  • Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

La opción tls-host en MikroTik RouterOS es una característica del firewall que permite filtrar el tráfico TLS basado en el nombre de dominio del servidor al que se dirige.

Esto puede ser útil para bloquear el acceso a sitios web maliciosos o no deseados, o para controlar el flujo de tráfico en su red.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Sin embargo, es importante tener en cuenta que el uso de tls-host tiene algunas limitaciones y precauciones:

Limitaciones

  • Solo funciona con tráfico TLS: No afecta el tráfico HTTP o cualquier otro protocolo distinto a TLS.
  • Requiere la resolución de nombres de dominio: El firewall necesita resolver el nombre de dominio del servidor para poder aplicar la regla. Si la resolución falla, el tráfico podría pasar sin ser filtrado.
  • Puede ser vulnerable a ataques de bypass: Los atacantes pueden usar técnicas para ocultar el nombre de dominio real del servidor, haciendo que la regla tls-host no sea efectiva.
  • Deshabilita la descarga de hardware: Al utilizar tls-host, la descarga de hardware para el procesamiento de paquetes TLS se deshabilita, lo que puede disminuir el rendimiento de la red.

Precauciones

  • No bloquee sitios web legítimos: Asegúrese de que las reglas tls-host no bloqueen accidentalmente sitios web que sus usuarios necesitan.
  • Tenga cuidado con los comodines: Evite usar comodines en las reglas tls-host, ya que esto podría bloquear más tráfico del que desea.
  • Mantenga actualizado el MikroTik: Asegúrese de que su MikroTik RouterOS esté actualizado con los últimos parches de seguridad para evitar vulnerabilidades.

Alternativas

  • Filtros basados en IP: Puede filtrar el tráfico basado en la dirección IP del servidor, lo que puede ser más efectivo en algunos casos.
  • Uso de listas de acceso: Puede utilizar listas de acceso para especificar los servidores o dominios permitidos o bloqueados.
  • Implementación de un proxy web: Un proxy web puede filtrar el contenido de las páginas web y bloquear el acceso a sitios web maliciosos.

La opción tls-host puede ser una herramienta útil para filtrar el tráfico TLS en MikroTik RouterOS, pero es importante usarla con precaución y tener en cuenta sus limitaciones.

Considere alternativas y siga las prácticas de seguridad adecuadas para proteger su red de manera efectiva.

La mayoría de los sitios web ahora usan https y bloquear sitios web https es mucho más difícil con la versión MikroTik RouterOS inferior a 6.41. Pero a partir de RouterOS v6.41, MikroTik Firewall introduce una nueva propiedad llamada TLS Hos t que es capaz de hacer coincidir sitios web https con mucha facilidad. 

Por lo tanto, el bloqueo de sitios web https como Facebook, YouTube, etc. se puede realizar fácilmente con MikroTik Router si la versión de RouterOS es superior a 6.41. 

Filtrado basado en nombres de host

Puedes utilizar “tls-host” en las reglas del firewall para filtrar el tráfico basado en nombres de host en lugar de direcciones IP. Esto puede ser beneficioso si las direcciones IP de los servidores con los que te comunicas son propensas a cambiar y prefieres utilizar nombres de host que se mantengan constantes.

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

En este ejemplo, la regla permitirá el tráfico TLS saliente hacia el puerto 443 destinado a “example.com”.

Gestión de certificados y nombres de host

Al utilizar la opción “tls-host”, puedes facilitar la gestión de certificados SSL/TLS en tu red. Si los certificados cambian o se renuevan y el nombre de host sigue siendo el mismo, no necesitarás actualizar las reglas del firewall con nuevas direcciones IP.

Reducción de dependencia de direcciones IP fijas

En algunos casos, especialmente al interactuar con servicios alojados en la nube o con proveedores de servicios que pueden cambiar las direcciones IP asignadas, utilizar “tls-host” proporciona una capa de abstracción que reduce la dependencia de direcciones IP fijas.

/ip firewall filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Aquí, el tráfico TLS saliente al puerto 8443 destinado a “cloud-service.com” se permitirá independientemente de la dirección IP actual del servicio.

Es importante destacar que para que la opción “tls-host” sea efectiva, el servicio remoto debe soportar el uso de nombres de host en lugar de direcciones IP. No todos los servicios o aplicaciones permiten esta flexibilidad, por lo que es crucial revisar la documentación del servicio específico que estás utilizando.

 Cómo bloquear sitios web HTTPS con TLS Host Matcher

 

  1. Vaya al elemento de menú IP > Firewall y haga clic en la pestaña Reglas de filtrado y luego haga clic en SIGNO MÁS (+). Aparecerá la ventana Nueva regla de firewall.
  2. Elija reenviar en el menú desplegable Cadena.
  3. Elija tcp en el menú desplegable Protocolo.
  4. Haga clic en Dst. Caja de entrada de puerto y pon 443.
  5. Haga clic en la pestaña Avanzado y haga clic en el cuadro de entrada TLS Host y coloque el nombre de dominio que desea bloquear (como *.facebook.com) en este cuadro.
  6. Haga clic en la pestaña Acción y elija soltar en el menú desplegable Acción.
  7. Haga clic en Aplicar y en el botón Aceptar.

 

Regla de firewall por Comando

/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Cómo Bloquear Sitios HTTPS Eficazmente con MikroTik TLS Host

Breve cuestionario de conocimientos

¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?

QUIZ - Cómo Bloquear Sitios HTTPS Eficazmente con MikroTik TLS Host

Libro recomendado para éste artículo

Etiquetas: Proxy web, Nombres de dominio, firewall, TLS Host, Administración de Redes, Prácticas de seguridad, Seguridad de Red, Filtrado de tráfico, Certificados SSL/TLS, MikroTik RouterOS

Autoestudio MikroTik

Estudia las certificaciones MikroTik a tu propio ritmo

Autoestudio

Aprende a tu propio ritmo

advertisement (anuncio)

Artículos Relacionados

MikroLABs

Otros temas que te pueden interesar

advertisement (anuncio)

Anuncia tu marca aquí - Escríbenos por WhatsApp (+593 98 700 0604) - abcXperts / Academy Xperts
Escríbenos por WhatsApp (+593 98 700 0604)

¿Quieres sugerir un tema?

Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Tema para el proximo Blog

Próximos Cursos

Libros MikroTik (español)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MONARC Latin America: Soluciones Tecnológicas - Guatemala.
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear

AcademyXperts BETA 1.0

Tu asistente virtual de AcademyXperts

Cuéntanos un poco sobre tí.

Así podremos darte la mejor recomendación

El teléfono no es válido

Confírmanos tus datos

Nuestros horarios son de Lunes a Viernes de 9:00 AM a 6:00 PM.

Atención: Lunes a Viernes de 9:00 AM a 6:00 PM (Ecuador GMT-5).