La opción tls-host en MikroTik RouterOS es una característica del firewall que permite filtrar el tráfico TLS basado en el nombre de dominio del servidor al que se dirige.
Esto puede ser útil para bloquear el acceso a sitios web maliciosos o no deseados, o para controlar el flujo de tráfico en su red.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Sin embargo, es importante tener en cuenta que el uso de tls-host tiene algunas limitaciones y precauciones:
Limitaciones
- Solo funciona con tráfico TLS: No afecta el tráfico HTTP o cualquier otro protocolo distinto a TLS.
- Requiere la resolución de nombres de dominio: El firewall necesita resolver el nombre de dominio del servidor para poder aplicar la regla. Si la resolución falla, el tráfico podría pasar sin ser filtrado.
- Puede ser vulnerable a ataques de bypass: Los atacantes pueden usar técnicas para ocultar el nombre de dominio real del servidor, haciendo que la regla tls-host no sea efectiva.
- Deshabilita la descarga de hardware: Al utilizar tls-host, la descarga de hardware para el procesamiento de paquetes TLS se deshabilita, lo que puede disminuir el rendimiento de la red.
Precauciones
- No bloquee sitios web legítimos: Asegúrese de que las reglas tls-host no bloqueen accidentalmente sitios web que sus usuarios necesitan.
- Tenga cuidado con los comodines: Evite usar comodines en las reglas tls-host, ya que esto podría bloquear más tráfico del que desea.
- Mantenga actualizado el MikroTik: Asegúrese de que su MikroTik RouterOS esté actualizado con los últimos parches de seguridad para evitar vulnerabilidades.
Alternativas
- Filtros basados en IP: Puede filtrar el tráfico basado en la dirección IP del servidor, lo que puede ser más efectivo en algunos casos.
- Uso de listas de acceso: Puede utilizar listas de acceso para especificar los servidores o dominios permitidos o bloqueados.
- Implementación de un proxy web: Un proxy web puede filtrar el contenido de las páginas web y bloquear el acceso a sitios web maliciosos.
La opción tls-host puede ser una herramienta útil para filtrar el tráfico TLS en MikroTik RouterOS, pero es importante usarla con precaución y tener en cuenta sus limitaciones.
Considere alternativas y siga las prácticas de seguridad adecuadas para proteger su red de manera efectiva.
La mayoría de los sitios web ahora usan https y bloquear sitios web https es mucho más difícil con la versión MikroTik RouterOS inferior a 6.41. Pero a partir de RouterOS v6.41, MikroTik Firewall introduce una nueva propiedad llamada TLS Hos t que es capaz de hacer coincidir sitios web https con mucha facilidad.
Por lo tanto, el bloqueo de sitios web https como Facebook, YouTube, etc. se puede realizar fácilmente con MikroTik Router si la versión de RouterOS es superior a 6.41.
Filtrado basado en nombres de host
Puedes utilizar “tls-host” en las reglas del firewall para filtrar el tráfico basado en nombres de host en lugar de direcciones IP. Esto puede ser beneficioso si las direcciones IP de los servidores con los que te comunicas son propensas a cambiar y prefieres utilizar nombres de host que se mantengan constantes.
/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
En este ejemplo, la regla permitirá el tráfico TLS saliente hacia el puerto 443 destinado a “example.com”.
Gestión de certificados y nombres de host
Al utilizar la opción “tls-host”, puedes facilitar la gestión de certificados SSL/TLS en tu red. Si los certificados cambian o se renuevan y el nombre de host sigue siendo el mismo, no necesitarás actualizar las reglas del firewall con nuevas direcciones IP.
Reducción de dependencia de direcciones IP fijas
En algunos casos, especialmente al interactuar con servicios alojados en la nube o con proveedores de servicios que pueden cambiar las direcciones IP asignadas, utilizar “tls-host” proporciona una capa de abstracción que reduce la dependencia de direcciones IP fijas.
/ip firewall filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Aquí, el tráfico TLS saliente al puerto 8443 destinado a “cloud-service.com” se permitirá independientemente de la dirección IP actual del servicio.
Es importante destacar que para que la opción “tls-host” sea efectiva, el servicio remoto debe soportar el uso de nombres de host en lugar de direcciones IP. No todos los servicios o aplicaciones permiten esta flexibilidad, por lo que es crucial revisar la documentación del servicio específico que estás utilizando.
Cómo bloquear sitios web HTTPS con TLS Host Matcher
- Vaya al elemento de menú IP > Firewall y haga clic en la pestaña Reglas de filtrado y luego haga clic en SIGNO MÁS (+). Aparecerá la ventana Nueva regla de firewall.
- Elija reenviar en el menú desplegable Cadena.
- Elija tcp en el menú desplegable Protocolo.
- Haga clic en Dst. Caja de entrada de puerto y pon 443.
- Haga clic en la pestaña Avanzado y haga clic en el cuadro de entrada TLS Host y coloque el nombre de dominio que desea bloquear (como *.facebook.com) en este cuadro.
- Haga clic en la pestaña Acción y elija soltar en el menú desplegable Acción.
- Haga clic en Aplicar y en el botón Aceptar.
Regla de firewall por Comando
/ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libro recomendado para éste artículo
Libro Seguridad Avanzada RouterOS v7
Material de estudio para el Curso de Certificación MTCSE, actualizado a RouterOS v7
Artículos Relacionados
- MikroTik IPSec: Elegir entre Modo Túnel y Modo Transporte para VPN
- Filtro ICMP en un Firewall MikroTik
- Entre Stateful y Stateless: Dominando el Firewall de MikroTik
- MikroTik y la Autenticación Wireless: Entendiendo ‘Allow Shared Key’
- HSRP, VRRP, GLBP: Entendiendo los Protocolos Clave para la Redundancia en Redes