La tls-host-Option in MikroTik RouterOS ist eine Firewall-Funktion, die es ermöglicht, TLS-Verkehr basierend auf dem Domänennamen des Servers, an den er weitergeleitet wird, zu filtern.
Dies kann nützlich sein, um den Zugriff auf schädliche oder unerwünschte Websites zu blockieren oder den Datenverkehr in Ihrem Netzwerk zu kontrollieren.
Am Ende des Artikels finden Sie eine kleine Test das wird dir erlauben beurteilen das in dieser Lektüre erworbene Wissen
Es ist jedoch wichtig zu beachten, dass die Verwendung von tls-host einigen Einschränkungen und Vorsichtsmaßnahmen unterliegt:
Einschränkungen
- Funktioniert nur mit TLS-Verkehr: Es hat keinen Einfluss auf den HTTP-Verkehr oder andere Protokolle außer TLS.
- Erfordert die Auflösung des Domänennamens: Die Firewall muss den Domänennamen des Servers auflösen, um die Regel anzuwenden. Wenn die Lösung fehlschlägt, kann der Datenverkehr ungefiltert passieren.
- Kann anfällig für Bypass-Angriffe sein: Angreifer können Techniken verwenden, um den echten Domänennamen des Servers zu verbergen, wodurch die TLS-Host-Regel unwirksam wird.
- Hardware-Download deaktivieren: Bei Verwendung von tls-host ist das Hardware-Offloading für die Verarbeitung von TLS-Paketen deaktiviert, was die Netzwerkleistung beeinträchtigen kann.
Vorsichtsmaßnahmen
- Blockieren Sie keine legitimen Websites: Stellen Sie sicher, dass TLS-Host-Regeln nicht versehentlich Websites blockieren, die Ihre Benutzer benötigen.
- Seien Sie vorsichtig mit Platzhaltern: Vermeiden Sie die Verwendung von Platzhaltern in TLS-Host-Regeln, da dadurch möglicherweise mehr Datenverkehr blockiert wird, als Sie möchten.
- Halten Sie MikroTik auf dem Laufenden: Stellen Sie sicher, dass Ihr MikroTik RouterOS mit den neuesten Sicherheitspatches aktualisiert ist, um Schwachstellen zu vermeiden.
Alternativen
- IP-basierte Filter: Sie können den Datenverkehr anhand der IP-Adresse des Servers filtern, was in manchen Fällen effektiver sein kann.
- Zugriffslisten verwenden: Mithilfe von Zugriffslisten können Sie festlegen, welche Server oder Domänen zugelassen oder blockiert werden.
- Implementierung eines Web-Proxys: Ein Web-Proxy kann den Inhalt von Webseiten filtern und den Zugriff auf bösartige Websites blockieren.
Die Option tls-host kann ein nützliches Tool zum Filtern des TLS-Verkehrs in MikroTik RouterOS sein, es ist jedoch wichtig, sie mit Vorsicht zu verwenden und sich ihrer Einschränkungen bewusst zu sein.
Erwägen Sie Alternativen und befolgen Sie geeignete Sicherheitsmaßnahmen, um Ihr Netzwerk effektiv zu schützen.
Die meisten Websites verwenden mittlerweile https und das Blockieren von https-Websites ist mit MikroTik RouterOS-Versionen unter 6.41 viel schwieriger. Aber ab RouterOS v6.41 führt MikroTik Firewall eine neue Eigenschaft namens ein TLS Hos t, das sehr leicht https-Websites zuordnen kann.
Daher ist das Blockieren von https-Websites wie Facebook, YouTube usw. Dies ist mit MikroTik Router problemlos möglich, wenn die RouterOS-Version höher als 6.41 ist.
Filterung basierend auf Hostnamen
Sie können „tls-host“ in Firewall-Regeln verwenden, um den Datenverkehr nach Hostnamen statt nach IP-Adressen zu filtern. Dies kann von Vorteil sein, wenn sich die IP-Adressen der Server, mit denen Sie kommunizieren, häufig ändern und Sie lieber gleichbleibende Hostnamen verwenden möchten.
/IP-Firewallfilter add chain=forward dst-port=443 Protocol=tcp tls-host=example.com action=accept
In diesem Beispiel lässt die Regel ausgehenden TLS-Verkehr zu Port 443 zu, der für „example.com“ bestimmt ist.
Verwaltung von Zertifikaten und Hostnamen
Durch die Verwendung der Option „tls-host“ können Sie die Verwaltung von SSL/TLS-Zertifikaten in Ihrem Netzwerk vereinfachen. Wenn sich die Zertifikate ändern oder erneuert werden und der Hostname derselbe bleibt, müssen Sie die Firewall-Regeln nicht mit neuen IP-Adressen aktualisieren.
Reduzierung der Abhängigkeit von festen IP-Adressen
In einigen Fällen, insbesondere bei der Interaktion mit in der Cloud gehosteten Diensten oder mit Dienstanbietern, die möglicherweise zugewiesene IP-Adressen ändern, bietet die Verwendung von „tls-host“ eine Abstraktionsschicht, die die Abhängigkeit von festen IP-Adressen verringert.
/ip-Firewallfilter add chain=forward dst-port=8443 Protocol=tcp tls-host=cloud-service.com action=accept
Hier ist ausgehender TLS-Verkehr an Port 8443 bestimmt für „cloud-service.com” wird unabhängig von der aktuellen IP-Adresse des Dienstes zugelassen.
Es ist wichtig zu beachten, dass der Remote-Dienst die Verwendung von Hostnamen anstelle von IP-Adressen unterstützen muss, damit die Option „tls-host“ wirksam ist. Nicht alle Dienste oder Anwendungen bieten diese Flexibilität. Daher ist es wichtig, die Dokumentation für den jeweiligen Dienst zu lesen, den Sie verwenden.
So blockieren Sie HTTPS-Websites mit TLS Host Matcher
- Gehen Sie zum Menüpunkt IP > Firewall, klicken Sie auf die Registerkarte Filterregeln und dann auf das PLUSZEICHEN (+). Das Fenster „Neue Firewall-Regel“ wird angezeigt.
- Wählen Sie „Weiterleiten“ aus dem Dropdown-Menü „Zeichenfolge“.
- Wählen Sie „TCP“ aus dem Dropdown-Menü „Protokoll“.
- Klicken Sie auf Dst. Port und Port-Eingabebox 443.
- Klicken Sie auf die Registerkarte „Erweitert“ und dann auf das Eingabefeld „TLS-Host“ und geben Sie in dieses Feld den Domänennamen ein, den Sie blockieren möchten (z. B. *.facebook.com).
- Klicken Sie auf die Registerkarte „Aktion“ und wählen Sie „Ablegen“ aus dem Dropdown-Menü „Aktion“.
- Klicken Sie auf „Übernehmen“ und dann auf die Schaltfläche „OK“.
Firewall-Regel per Befehl
/ip-Firewallfilter add chain=forward dst-port=443 Protocol=tcp tls-host=*.facebook.com action=drop
Kurzes Wissensquiz
Was halten Sie von diesem Artikel?
Trauen Sie sich, Ihr erlerntes Wissen zu bewerten?
Empfohlenes Buch für diesen Artikel
RouterOS v7 Advanced Security Book
Lernmaterial für den MTCSE-Zertifizierungskurs, aktualisiert auf RouterOS v7
In Verbindung stehende Artikel
- MikroTik IPSec: Wählen Sie zwischen Tunnelmodus und Transportmodus für VPN
- ICMP-Filter in einer MikroTik-Firewall
- Zwischen Stateful und Stateless: Die MikroTik-Firewall meistern
- MikroTik und drahtlose Authentifizierung: Grundlegendes zu „Gemeinsamen Schlüssel zulassen“
- HSRP, VRRP, GLBP: Grundlegende Protokolle für Netzwerkredundanz