La opció tls-host a MikroTik RouterOS és una característica del tallafoc que permet filtrar el trànsit TLS basat en el nom de domini del servidor al qual s'adreça.
Això pot ser útil per bloquejar l'accés a llocs web maliciosos o no desitjats, o per controlar el flux de trànsit a la xarxa.
Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura
Tot i això, és important tenir en compte que l'ús de tls-host té algunes limitacions i precaucions:
limitacions
- Només funciona amb trànsit TLS: No afecta el trànsit HTTP o qualsevol altre protocol diferent de TLS.
- Requereix la resolució de noms de domini: El tallafoc necessita resoldre el nom de domini del servidor per poder aplicar la regla. Si la resolució falla, el trànsit podria passar sense ser filtrat.
- Pot ser vulnerable a atacs de bypass: Els atacants poden utilitzar tècniques per amagar el nom de domini real del servidor, fent que la regla tls-host no sigui efectiva.
- Deshabilita la descàrrega de maquinari: En utilitzar tls-host, la descàrrega de maquinari per al processament de paquets TLS es deshabilita, cosa que pot disminuir el rendiment de la xarxa.
Precaucions
- No bloquegeu llocs web legítims: Assegureu-vos que les regles tls-host no bloquegin accidentalment llocs web que els usuaris necessiten.
- Aneu amb compte amb els comodins: Eviteu utilitzar comodins a les regles tls-host, ja que això podria bloquejar més trànsit del que voleu.
- Mantingueu actualitzat el MikroTik: Assegureu-vos que el vostre MikroTik RouterOS estigui actualitzat amb els últims pegats de seguretat per evitar vulnerabilitats.
alternatives
- Filtres basats en IP: Podeu filtrar el trànsit basat en l'adreça IP del servidor, cosa que pot ser més efectiva en alguns casos.
- Ús de llistes d'accés: Podeu utilitzar llistes d'accés per especificar els servidors o dominis permesos o bloquejats.
- Implementació d'un servidor intermediari web: Un servidor intermediari web pot filtrar el contingut de les pàgines web i bloquejar l'accés a llocs web maliciosos.
L'opció tls-host pot ser una eina útil per filtrar el trànsit TLS a MikroTik RouterOS, però és important fer-la servir amb precaució i tenir en compte les seves limitacions.
Considereu alternatives i seguiu les pràctiques de seguretat adequades per protegir la vostra xarxa de manera efectiva.
La majoria dels llocs web ara usen https i bloquejar llocs web https és molt més difícil amb la versió MikroTik RouterOS inferior a 6.41. Però a partir de RouterOS v6.41, MikroTik Firewall introdueix una nova propietat anomenada TLS Hos t que és capaç de fer coincidir llocs web https amb molta facilitat.
Per tant, el bloqueig de llocs web https com ara Facebook, YouTube, etc. es pot fer fàcilment amb MikroTik Router si la versió de RouterOS és superior a 6.41.
Filtratge basat en noms de host
Podeu utilitzar “tls-host” a les regles del tallafoc per filtrar el trànsit basat en noms de host en lloc d'adreces IP. Això pot ser beneficiós si les adreces IP dels servidors amb què et comuniques són propenses a canviar i prefereixes utilitzar noms de host que es mantinguin constants.
/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
En aquest exemple, la regla permetrà el trànsit TLS sortint cap al port 443 destinat a “example.com”.
Gestió de certificats i noms de host
En utilitzar l'opció “tls-host”, podeu facilitar la gestió de certificats SSL/TLS a la vostra xarxa. Si els certificats canvien o es renoven i el nom de host continua sent el mateix, no necessitareu actualitzar les regles del tallafoc amb noves adreces IP.
Reducció de dependència d'adreces IP fixes
En alguns casos, especialment en interactuar amb serveis allotjats al núvol o amb proveïdors de serveis que poden canviar les adreces IP assignades, utilitzar “tls-host” proporciona una capa d'abstracció que redueix la dependència d'adreces IP fixes.
/ip firewall filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Aquí, el trànsit TLS sortint al port 8443 destinat a “cloud-service.com” es permetrà independentment de l'adreça IP actual del servei.
És important destacar que perquè l'opció “tls-host” sigui efectiva, el servei remot ha de suportar l'ús de noms d'amfitrió en comptes d'adreces IP. No tots els serveis o aplicacions permeten aquesta flexibilitat, per la qual cosa és crucial revisar la documentació del servei específic que utilitzeu.
Com bloquejar llocs web HTTPS amb TLS Host Matcher
- Aneu a l'element de menú IP > Firewall i feu clic a la pestanya Regles de filtratge i després feu clic a SIGNE MÉS (+). Apareixerà la finestra Nova regla de tallafocs.
- Trieu reenviar al menú desplegable Cadena.
- Trieu tcp al menú desplegable Protocol.
- Feu clic a Dst. Caixa d'entrada de port i posa-hi 443.
- Feu clic a la pestanya Avançat i feu clic al quadre d'entrada TLS Host i col·loqueu el nom de domini que voleu bloquejar (com *.facebook.com) en aquest quadre.
- Feu clic a la pestanya Acció i escolliu deixar anar al menú desplegable Acció.
- Feu clic a Aplica i al botó D'acord.
Regla de tallafocs per comanda
/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Breu qüestionari de coneixements
Què et va semblar aquest article?
T'atreveixes a avaluar els teus coneixements apresos?
Llibre recomanat per a aquest article
Llibre Seguretat Avançada RouterOS v7
Material d'estudi per al Curs de Certificació MTCSE, actualitzat a RouterOS v7
articles Relacionats
- MikroTik IPSec: Triar entre Mode Túnel i Mode Transport per a VPN
- Filtre ICMP a un Firewall MikroTik
- Entre Stateful i Stateless: Dominant el Firewall de MikroTik
- MikroTik i l'Autenticació Wireless: Entenent 'Allow Shared Key'
- HSRP, VRRP, GLBP: Entenent els Protocols Clau per a la Redundància a Xarxes