La मिक्रोटिक राउटरओएस में टीएलएस-होस्ट विकल्प एक फ़ायरवॉल सुविधा है जो टीएलएस ट्रैफ़िक को उस सर्वर के डोमेन नाम के आधार पर फ़िल्टर करने की अनुमति देती है जिस पर इसे निर्देशित किया जाता है।
यह दुर्भावनापूर्ण या अवांछित वेबसाइटों तक पहुंच को अवरुद्ध करने या आपके नेटवर्क पर ट्रैफ़िक के प्रवाह को नियंत्रित करने के लिए उपयोगी हो सकता है।
लेख के अंत में आपको एक छोटा सा मिलेगा परीक्षण वह आपको अनुमति देगा आकलन इस पढ़ने में जो ज्ञान प्राप्त हुआ
हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि tls-host का उपयोग करने की कुछ सीमाएँ और सावधानियाँ हैं:
सीमाओं
- केवल टीएलएस ट्रैफ़िक के साथ काम करता है: यह HTTP ट्रैफ़िक या TLS के अलावा किसी अन्य प्रोटोकॉल को प्रभावित नहीं करता है।
- डोमेन नाम रिज़ॉल्यूशन की आवश्यकता है: नियम लागू करने के लिए फ़ायरवॉल को सर्वर के डोमेन नाम को हल करने की आवश्यकता है। यदि समाधान विफल हो जाता है, तो ट्रैफ़िक बिना फ़िल्टर किए गुजर सकता है।
- बायपास हमलों के प्रति संवेदनशील हो सकते हैं: हमलावर सर्वर के वास्तविक डोमेन नाम को छिपाने के लिए तकनीकों का उपयोग कर सकते हैं, जिससे टीएलएस-होस्ट नियम अप्रभावी हो जाता है।
- हार्डवेयर डाउनलोड अक्षम करें: टीएलएस-होस्ट का उपयोग करते समय, टीएलएस पैकेट को संसाधित करने के लिए हार्डवेयर ऑफलोडिंग अक्षम हो जाती है, जिससे नेटवर्क प्रदर्शन कम हो सकता है।
सावधानियों
- वैध वेबसाइटों को ब्लॉक न करें: सुनिश्चित करें कि टीएलएस-होस्ट नियम गलती से उन वेबसाइटों को ब्लॉक न कर दें जिनकी आपके उपयोगकर्ताओं को आवश्यकता है।
- वाइल्डकार्ड से सावधान रहें: टीएलएस-होस्ट नियमों में वाइल्डकार्ड का उपयोग करने से बचें, क्योंकि यह आपकी इच्छा से अधिक ट्रैफ़िक को अवरुद्ध कर सकता है।
- मिक्रोटिक को अपडेट रखें: सुनिश्चित करें कि कमजोरियों से बचने के लिए आपका मिक्रोटिक राउटरओएस नवीनतम सुरक्षा पैच के साथ अपडेट किया गया है।
वैकल्पिक
- आईपी आधारित फ़िल्टर: आप सर्वर के आईपी पते के आधार पर ट्रैफ़िक को फ़िल्टर कर सकते हैं, जो कुछ मामलों में अधिक प्रभावी हो सकता है।
- पहुँच सूचियों का उपयोग करना: आप यह निर्दिष्ट करने के लिए एक्सेस सूचियों का उपयोग कर सकते हैं कि कौन से सर्वर या डोमेन को अनुमति है या अवरुद्ध किया गया है।
- वेब प्रॉक्सी का कार्यान्वयन: एक वेब प्रॉक्सी वेब पेजों की सामग्री को फ़िल्टर कर सकता है और दुर्भावनापूर्ण वेबसाइटों तक पहुंच को अवरुद्ध कर सकता है।
मिक्रोटिक राउटरओएस में टीएलएस ट्रैफ़िक को फ़िल्टर करने के लिए टीएलएस-होस्ट विकल्प एक उपयोगी उपकरण हो सकता है, लेकिन इसे सावधानी के साथ उपयोग करना और इसकी सीमाओं के बारे में जागरूक रहना महत्वपूर्ण है।
अपने नेटवर्क की प्रभावी सुरक्षा के लिए विकल्पों पर विचार करें और उचित सुरक्षा प्रथाओं का पालन करें।
अधिकांश वेबसाइटें अब https का उपयोग करती हैं और 6.41 से कम के मिक्रोटिक राउटरओएस संस्करण के साथ https वेबसाइटों को ब्लॉक करना अधिक कठिन है। लेकिन राउटरओएस v6.41 से शुरू करते हुए, मिक्रोटिक फ़ायरवॉल नामक एक नई संपत्ति पेश करता है टीएलएस अस्पताल जो बहुत ही आसानी से https वेबसाइटों से मेल करने में सक्षम है।
इसलिए फेसबुक, यूट्यूब आदि जैसी https वेबसाइटों को ब्लॉक किया जा रहा है। यदि राउटरओएस संस्करण 6.41 से अधिक है तो इसे मिक्रोटिक राउटर के साथ आसानी से किया जा सकता है।
होस्ट नामों के आधार पर फ़िल्टरिंग
आप आईपी पते के बजाय होस्टनाम के आधार पर ट्रैफ़िक फ़िल्टर करने के लिए फ़ायरवॉल नियमों में "टीएलएस-होस्ट" का उपयोग कर सकते हैं। यह फायदेमंद हो सकता है यदि आप जिन सर्वरों से संचार करते हैं उनके आईपी पते बदलने की संभावना है और आप स्थिर रहने वाले होस्टनाम का उपयोग करना पसंद करते हैं।
/आईपी फ़ायरवॉल फ़िल्टर चेन जोड़ें=फ़ॉरवर्ड डीएसटी-पोर्ट=443 प्रोटोकॉल=टीसीपी टीएलएस-होस्ट=example.com कार्रवाई=स्वीकार करें
इस उदाहरण में, नियम आउटबाउंड टीएलएस ट्रैफ़िक को "example.com" के लिए नियत पोर्ट 443 पर जाने की अनुमति देगा।
प्रमाणपत्र और होस्टनाम प्रबंधन
"टीएलएस-होस्ट" विकल्प का उपयोग करके, आप अपने नेटवर्क पर एसएसएल/टीएलएस प्रमाणपत्रों को प्रबंधित करना आसान बना सकते हैं। यदि प्रमाणपत्र बदल जाते हैं या नवीनीकृत हो जाते हैं और होस्टनाम वही रहता है, तो आपको नए आईपी पते के साथ फ़ायरवॉल नियमों को अपडेट करने की आवश्यकता नहीं होगी।
निश्चित आईपी पते पर निर्भरता कम करना
कुछ मामलों में, विशेष रूप से क्लाउड-होस्टेड सेवाओं या सेवा प्रदाताओं के साथ बातचीत करते समय जो निर्दिष्ट आईपी पते बदल सकते हैं, "टीएलएस-होस्ट" का उपयोग एक अमूर्त परत प्रदान करता है जो निश्चित आईपी पते पर निर्भरता को कम करता है।
/आईपी फ़ायरवॉल फ़िल्टर श्रृंखला जोड़ें = आगे डीएसटी-पोर्ट = 8443 प्रोटोकॉल = टीसीपी टीएलएस-होस्ट = क्लाउड-सर्विस.कॉम कार्रवाई = स्वीकार करें
यहां, पोर्ट 8443 पर आउटगोइंग टीएलएस ट्रैफ़िक "के लिए नियत है"क्लाउड-service.comसेवा के वर्तमान आईपी पते की परवाह किए बिना अनुमति दी जाएगी।
यह ध्यान रखना महत्वपूर्ण है कि "टीएलएस-होस्ट" विकल्प प्रभावी होने के लिए, दूरस्थ सेवा को आईपी पते के बजाय होस्ट नामों के उपयोग का समर्थन करना चाहिए। सभी सेवाएँ या एप्लिकेशन इस लचीलेपन की अनुमति नहीं देते हैं, इसलिए आपके द्वारा उपयोग की जा रही विशिष्ट सेवा के दस्तावेज़ की समीक्षा करना महत्वपूर्ण है।
टीएलएस होस्ट मैचर के साथ HTTPS वेबसाइटों को कैसे ब्लॉक करें
- आईपी > फ़ायरवॉल मेनू आइटम पर जाएं और फ़िल्टरिंग नियम टैब पर क्लिक करें और फिर प्लस साइन (+) पर क्लिक करें। नई फ़ायरवॉल नियम विंडो प्रकट होती है।
- स्ट्रिंग ड्रॉप-डाउन मेनू से आगे चुनें।
- प्रोटोकॉल ड्रॉप-डाउन मेनू से tcp चुनें।
- डीएसटी पर क्लिक करें. पोर्ट और पोर्ट एंट्री बॉक्स 443.
- उन्नत टैब पर क्लिक करें और टीएलएस होस्ट इनपुट बॉक्स पर क्लिक करें और इस बॉक्स में वह डोमेन नाम डालें जिसे आप ब्लॉक करना चाहते हैं (जैसे *.facebook.com)।
- एक्शन टैब पर क्लिक करें और एक्शन ड्रॉप-डाउन मेनू से ड्रॉप चुनें।
- अप्लाई और ओके बटन पर क्लिक करें।
कमांड द्वारा फ़ायरवॉल नियम
/आईपी फ़ायरवॉल फ़िल्टर चेन जोड़ें=फ़ॉरवर्ड डीएसटी-पोर्ट=443 प्रोटोकॉल=टीसीपी टीएलएस-होस्ट=*.फेसबुक.कॉम एक्शन=ड्रॉप
संक्षिप्त ज्ञान प्रश्नोत्तरी
आप इस आर्टिकल के बारे में क्या सोचते हैं?
क्या आप अपने सीखे हुए ज्ञान का मूल्यांकन करने का साहस करते हैं?
इस लेख के लिए अनुशंसित पुस्तक
राउटरओएस v7 उन्नत सुरक्षा पुस्तक
एमटीसीएसई प्रमाणन पाठ्यक्रम के लिए अध्ययन सामग्री, राउटरओएस v7 में अपडेट की गई
संबंधित लेख
- मिक्रोटिक आईपीएसईसी: वीपीएन के लिए टनल मोड और ट्रांसपोर्ट मोड के बीच चयन करें
- मिक्रोटिक फ़ायरवॉल में ICMP फ़िल्टर
- स्टेटफुल और स्टेटलेस के बीच: मिक्रोटिक फ़ायरवॉल में महारत हासिल करना
- मिक्रोटिक और वायरलेस प्रमाणीकरण: 'साझा कुंजी की अनुमति दें' को समझना
- एचएसआरपी, वीआरआरपी, जीएलबीपी: नेटवर्क रिडंडेंसी के लिए प्रमुख प्रोटोकॉल को समझना