La Επιλογή tls-host στο MikroTik RouterOS είναι μια δυνατότητα τείχους προστασίας που επιτρέπει το φιλτράρισμα της κυκλοφορίας TLS με βάση το όνομα τομέα του διακομιστή στον οποίο κατευθύνεται.
Αυτό μπορεί να είναι χρήσιμο για τον αποκλεισμό της πρόσβασης σε κακόβουλους ή ανεπιθύμητους ιστότοπους ή για τον έλεγχο της ροής της κυκλοφορίας στο δίκτυό σας.
Στο τέλος του άρθρου θα βρείτε ένα μικρό δοκιμή που θα σας επιτρέψει αξιολογήσει τις γνώσεις που αποκτήθηκαν σε αυτή την ανάγνωση
Ωστόσο, είναι σημαντικό να σημειωθεί ότι η χρήση του tls-host έχει ορισμένους περιορισμούς και προφυλάξεις:
Περιορισμοί
- Λειτουργεί μόνο με κίνηση TLS: Δεν επηρεάζει την κυκλοφορία HTTP ή οποιοδήποτε άλλο πρωτόκολλο εκτός από το TLS.
- Απαιτείται ανάλυση ονόματος τομέα: Το τείχος προστασίας πρέπει να επιλύσει το όνομα τομέα του διακομιστή για να εφαρμόσει τον κανόνα. Εάν η ανάλυση αποτύχει, η κυκλοφορία θα μπορούσε να περάσει χωρίς φιλτράρισμα.
- Μπορεί να είναι ευάλωτο σε επιθέσεις παράκαμψης: Οι εισβολείς μπορούν να χρησιμοποιήσουν τεχνικές για να αποκρύψουν το πραγματικό όνομα τομέα του διακομιστή, καθιστώντας τον κανόνα tls-host αναποτελεσματικό.
- Απενεργοποίηση λήψης υλικού: Όταν χρησιμοποιείτε tls-host, η εκφόρτωση υλικού για την επεξεργασία πακέτων TLS είναι απενεργοποιημένη, γεγονός που μπορεί να μειώσει την απόδοση του δικτύου.
Προφυλάξεις
- Μην αποκλείετε νόμιμους ιστότοπους: Βεβαιωθείτε ότι οι κανόνες tls-host δεν αποκλείουν κατά λάθος ιστότοπους που χρειάζονται οι χρήστες σας.
- Να είστε προσεκτικοί με τους χαρακτήρες μπαλαντέρ: Αποφύγετε τη χρήση χαρακτήρων μπαλαντέρ στους κανόνες του tls-host, καθώς αυτό θα μπορούσε να εμποδίσει περισσότερη επισκεψιμότητα από ό,τι θέλετε.
- Διατηρήστε το MikroTik ενημερωμένο: Βεβαιωθείτε ότι το MikroTik RouterOS σας είναι ενημερωμένο με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας για να αποφύγετε τρωτά σημεία.
Εναλλακτικές λύσεις
- Φίλτρα που βασίζονται σε IP: Μπορείτε να φιλτράρετε την κυκλοφορία με βάση τη διεύθυνση IP του διακομιστή, η οποία μπορεί να είναι πιο αποτελεσματική σε ορισμένες περιπτώσεις.
- Χρήση λιστών πρόσβασης: Μπορείτε να χρησιμοποιήσετε λίστες πρόσβασης για να καθορίσετε ποιοι διακομιστές ή τομείς επιτρέπονται ή αποκλείονται.
- Υλοποίηση διακομιστή μεσολάβησης ιστού: Ένας διακομιστής μεσολάβησης Ιστού μπορεί να φιλτράρει το περιεχόμενο των ιστοσελίδων και να αποκλείει την πρόσβαση σε κακόβουλους ιστότοπους.
Η επιλογή tls-host μπορεί να είναι ένα χρήσιμο εργαλείο για το φιλτράρισμα της κυκλοφορίας TLS στο MikroTik RouterOS, αλλά είναι σημαντικό να τη χρησιμοποιείτε με προσοχή και να γνωρίζετε τους περιορισμούς της.
Εξετάστε εναλλακτικές λύσεις και ακολουθήστε τις κατάλληλες πρακτικές ασφαλείας για την αποτελεσματική προστασία του δικτύου σας.
Οι περισσότεροι ιστότοποι χρησιμοποιούν πλέον https και ο αποκλεισμός ιστοτόπων https είναι πολύ πιο δύσκολος με την έκδοση MikroTik RouterOS χαμηλότερη από 6.41. Αλλά ξεκινώντας με το RouterOS v6.41, το MikroTik Firewall παρουσιάζει μια νέα ιδιότητα που ονομάζεται TLS Hos t που είναι σε θέση να ταιριάξει πολύ εύκολα με ιστότοπους https.
Επομένως, ο αποκλεισμός ιστοτόπων https όπως το Facebook, το YouTube κ.λπ. Μπορεί να γίνει εύκολα με το MikroTik Router εάν η έκδοση RouterOS είναι υψηλότερη από 6.41.
Φιλτράρισμα με βάση τα ονόματα κεντρικών υπολογιστών
Μπορείτε να χρησιμοποιήσετε το "tls-host" στους κανόνες του τείχους προστασίας για να φιλτράρετε την κυκλοφορία με βάση τα ονόματα κεντρικών υπολογιστών αντί για διευθύνσεις IP. Αυτό μπορεί να είναι επωφελές εάν οι διευθύνσεις IP των διακομιστών με τους οποίους επικοινωνείτε είναι επιρρεπείς σε αλλαγές και προτιμάτε να χρησιμοποιείτε ονόματα κεντρικών υπολογιστών που παραμένουν σταθερά.
/ip φίλτρο τείχους προστασίας add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
Σε αυτό το παράδειγμα, ο κανόνας θα επιτρέπει την εξερχόμενη κυκλοφορία TLS στη θύρα 443 που προορίζεται για το "example.com".
Διαχείριση πιστοποιητικού και ονόματος κεντρικού υπολογιστή
Χρησιμοποιώντας την επιλογή "tls-host", μπορείτε να διευκολύνετε τη διαχείριση των πιστοποιητικών SSL/TLS στο δίκτυό σας. Εάν τα πιστοποιητικά αλλάξουν ή ανανεωθούν και το όνομα κεντρικού υπολογιστή παραμείνει ίδιο, δεν θα χρειαστεί να ενημερώσετε τους κανόνες του τείχους προστασίας με νέες διευθύνσεις IP.
Μείωση της εξάρτησης από σταθερές διευθύνσεις IP
Σε ορισμένες περιπτώσεις, ειδικά κατά την αλληλεπίδραση με υπηρεσίες που φιλοξενούνται στο cloud ή με παρόχους υπηρεσιών που ενδέχεται να αλλάξουν τις εκχωρημένες διευθύνσεις IP, η χρήση του "tls-host" παρέχει ένα επίπεδο αφαίρεσης που μειώνει την εξάρτηση από σταθερές διευθύνσεις IP.
/ip φίλτρο τείχους προστασίας προσθήκη chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Εδώ, η εξερχόμενη κυκλοφορία TLS προς τη θύρα 8443 με προορισμό "cloud-service.com” θα επιτρέπεται ανεξάρτητα από την τρέχουσα διεύθυνση IP της υπηρεσίας.
Είναι σημαντικό να σημειωθεί ότι για να είναι αποτελεσματική η επιλογή "tls-host", η απομακρυσμένη υπηρεσία πρέπει να υποστηρίζει τη χρήση ονομάτων κεντρικού υπολογιστή αντί για διευθύνσεις IP. Δεν επιτρέπουν όλες οι υπηρεσίες ή οι εφαρμογές αυτήν την ευελιξία, επομένως είναι σημαντικό να ελέγξετε την τεκμηρίωση για τη συγκεκριμένη υπηρεσία που χρησιμοποιείτε.
Πώς να αποκλείσετε ιστότοπους HTTPS με το TLS Host Matcher
- Μεταβείτε στο στοιχείο μενού IP > Τείχος προστασίας και κάντε κλικ στην καρτέλα Κανόνες φιλτραρίσματος και, στη συνέχεια, κάντε κλικ στο SIGN ΣΥΝ (+). Εμφανίζεται το παράθυρο Νέος κανόνας τείχους προστασίας.
- Επιλέξτε προώθηση από το αναπτυσσόμενο μενού String.
- Επιλέξτε tcp από το αναπτυσσόμενο μενού Πρωτόκολλο.
- Κάντε κλικ στο Dst. Θύρα εισόδου θύρας και θύρας 443.
- Κάντε κλικ στην καρτέλα Για προχωρημένους και κάντε κλικ στο πλαίσιο εισαγωγής κεντρικού υπολογιστή TLS και βάλτε το όνομα τομέα που θέλετε να αποκλείσετε (όπως *.facebook.com) σε αυτό το πλαίσιο.
- Κάντε κλικ στην καρτέλα Ενέργεια και επιλέξτε απόθεση από το αναπτυσσόμενο μενού Ενέργεια.
- Κάντε κλικ στο Apply και στο κουμπί OK.
Κανόνας τείχους προστασίας από την εντολή
/ip φίλτρο τείχους προστασίας προσθήκη chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Σύντομο κουίζ γνώσεων
Τι γνώμη έχετε για αυτό το άρθρο;
Τολμάς να αξιολογήσεις τις γνώσεις σου;
Προτεινόμενο βιβλίο για αυτό το άρθρο
Βιβλίο προηγμένης ασφάλειας RouterOS v7
Υλικό μελέτης για το μάθημα πιστοποίησης MTCSE, ενημερωμένο στο RouterOS v7
Σχετικά άρθρα
- MikroTik IPSec: Επιλέξτε μεταξύ λειτουργίας Tunnel και Transport Mode για VPN
- Φίλτρο ICMP σε ένα τείχος προστασίας MikroTik
- Μεταξύ κρατικών και ανιθαγενών: Κατοχή του τείχους προστασίας MikroTik
- MikroTik και ασύρματος έλεγχος ταυτότητας: Κατανόηση του "Να επιτρέπεται κοινόχρηστο κλειδί"
- HSRP, VRRP, GLBP: Κατανόηση βασικών πρωτοκόλλων για πλεονασμό δικτύου