La خيار tls-host في MikroTik RouterOS هي إحدى ميزات جدار الحماية التي تسمح بتصفية حركة مرور TLS بناءً على اسم مجال الخادم الذي يتم توجيهها إليه.
يمكن أن يكون هذا مفيدًا لمنع الوصول إلى مواقع الويب الضارة أو غير المرغوب فيها، أو للتحكم في تدفق حركة المرور على شبكتك.
في نهاية المقال ستجد صغيرا تجربه بالعربي سيسمح لك تقييم المعرفة المكتسبة في هذه القراءة
ومع ذلك، من المهم ملاحظة أن استخدام tls-host له بعض القيود والاحتياطات:
القيود
- يعمل فقط مع حركة مرور TLS: ولا يؤثر على حركة مرور HTTP أو أي بروتوكول آخر غير TLS.
- يتطلب تحليل اسم المجال: يحتاج جدار الحماية إلى حل اسم مجال الخادم لتطبيق القاعدة. إذا فشل الحل، فقد تمر حركة المرور دون تصفية.
- قد تكون عرضة للهجمات الالتفافية: يمكن للمهاجمين استخدام تقنيات لإخفاء اسم المجال الحقيقي للخادم، مما يجعل قاعدة tls-host غير فعالة.
- تعطيل تنزيل الأجهزة: عند استخدام tls-host، يتم تعطيل تفريغ الأجهزة لمعالجة حزم TLS، مما قد يؤدي إلى تقليل أداء الشبكة.
احتياطات
- لا تحظر المواقع الشرعية: تأكد من أن قواعد tls-host لا تحظر مواقع الويب التي يحتاجها المستخدمون عن طريق الخطأ.
- كن حذرًا مع أحرف البدل: تجنب استخدام أحرف البدل في قواعد tls-host، حيث قد يؤدي ذلك إلى حظر حركة مرور أكثر مما تريد.
- حافظ على تحديث MikroTik: تأكد من تحديث MikroTik RouterOS الخاص بك بأحدث تصحيحات الأمان لتجنب الثغرات الأمنية.
البدائل
- المرشحات القائمة على IP: يمكنك تصفية حركة المرور بناءً على عنوان IP الخاص بالخادم، وهو ما قد يكون أكثر فعالية في بعض الحالات.
- استخدام قوائم الوصول: يمكنك استخدام قوائم الوصول لتحديد الخوادم أو المجالات المسموح بها أو المحظورة.
- تنفيذ وكيل الويب: يمكن لوكيل الويب تصفية محتوى صفحات الويب ومنع الوصول إلى مواقع الويب الضارة.
يمكن أن يكون خيار tls-host أداة مفيدة لتصفية حركة مرور TLS في MikroTik RouterOS، ولكن من المهم استخدامه بحذر والتعرف على حدوده.
فكر في البدائل واتبع الممارسات الأمنية المناسبة لحماية شبكتك بشكل فعال.
تستخدم معظم مواقع الويب الآن https، وأصبح حظر مواقع الويب عبر https أكثر صعوبة بكثير مع إصدار MikroTik RouterOS الأقل من 6.41. ولكن بدءًا من RouterOS v6.41، يقدم MikroTik Firewall خاصية جديدة تسمى ملتقى TLS وهو قادر على مطابقة مواقع https بسهولة بالغة.
ولذلك فإن حجب مواقع https مثل الفيسبوك واليوتيوب وغيرها. يمكن القيام بذلك بسهولة باستخدام MikroTik Router إذا كان إصدار RouterOS أعلى من 6.41.
التصفية على أساس أسماء المضيفين
يمكنك استخدام "tls-host" في قواعد جدار الحماية لتصفية حركة المرور بناءً على أسماء المضيفين بدلاً من عناوين IP. يمكن أن يكون هذا مفيدًا إذا كانت عناوين IP الخاصة بالخوادم التي تتواصل معها عرضة للتغيير وكنت تفضل استخدام أسماء المضيفين التي تظل ثابتة.
إضافة سلسلة عامل تصفية جدار الحماية /ip = منفذ dst للأمام = بروتوكول 443 = مضيف tcp tls = إجراء example.com = قبول
في هذا المثال، ستسمح القاعدة بحركة مرور TLS الصادرة إلى المنفذ 443 الموجهة إلى "example.com".
إدارة الشهادة واسم المضيف
باستخدام خيار "tls-host"، يمكنك تسهيل إدارة شهادات SSL/TLS على شبكتك. إذا تغيرت الشهادات أو تم تجديدها وظل اسم المضيف كما هو، فلن تحتاج إلى تحديث قواعد جدار الحماية بعناوين IP جديدة.
تقليل الاعتماد على عناوين IP الثابتة
في بعض الحالات، خاصة عند التفاعل مع الخدمات المستضافة على السحابة أو مع موفري الخدمة الذين قد يغيرون عناوين IP المخصصة، يوفر استخدام "tls-host" طبقة تجريد تقلل الاعتماد على عناوين IP الثابتة.
إضافة سلسلة عامل تصفية جدار الحماية /ip = منفذ dst للأمام = بروتوكول 8443 = tcp tls-host = إجراء cloud-service.com = قبول
هنا، حركة مرور TLS الصادرة إلى المنفذ 8443 متجهة إلى "خدمة سحابية.com" سيتم السماح به بغض النظر عن عنوان IP الحالي للخدمة.
من المهم ملاحظة أنه لكي يكون خيار "tls-host" فعالاً، يجب أن تدعم الخدمة البعيدة استخدام أسماء المضيفين بدلاً من عناوين IP. لا تسمح جميع الخدمات أو التطبيقات بهذه المرونة، لذا من الضروري مراجعة الوثائق الخاصة بالخدمة المحددة التي تستخدمها.
كيفية حظر مواقع HTTPS باستخدام TLS Host Matcher
- انتقل إلى عنصر القائمة IP > Firewall وانقر فوق علامة التبويب Filtering Rules (قواعد التصفية) ثم انقر فوق علامة الجمع (+). تظهر نافذة قاعدة جدار الحماية الجديدة.
- اختر للأمام من القائمة المنسدلة "سلسلة".
- اختر TCP من القائمة المنسدلة "البروتوكول".
- انقر فوق التوقيت الصيفي. منفذ وصندوق دخول المنفذ 443.
- انقر فوق علامة التبويب "خيارات متقدمة" وانقر فوق مربع إدخال TLS Host ثم ضع اسم النطاق الذي تريد حظره (مثل *.facebook.com) في هذا المربع.
- انقر فوق علامة التبويب "الإجراء" واختر إسقاط من القائمة المنسدلة "الإجراء".
- انقر فوق "تطبيق" والزر "موافق".
حكم جدار الحماية عن طريق الأمر
إضافة سلسلة لمرشح جدار الحماية /ip = منفذ dst للأمام = بروتوكول 443 = tcp tls-host = *.facebook.com action = drop
مسابقة المعرفة وجيزة
ما رأيك في هذا المقال؟
هل تجرؤ على تقييم معرفتك المكتسبة؟
الكتاب الموصى به لهذه المادة
كتاب الأمان المتقدم RouterOS v7
المواد الدراسية لدورة شهادة MTCSE، المحدثة إلى RouterOS v7