La opsi tls-host di MikroTik RouterOS adalah fitur firewall yang memungkinkan lalu lintas TLS disaring berdasarkan nama domain server yang dituju.
Ini berguna untuk memblokir akses ke situs web berbahaya atau tidak diinginkan, atau untuk mengontrol arus lalu lintas di jaringan Anda.
Di akhir artikel Anda akan menemukan sedikit uji itu akan memungkinkan Anda menilai pengetahuan yang diperoleh dalam bacaan ini
Namun, penting untuk diingat bahwa penggunaan tls-host memiliki beberapa batasan dan tindakan pencegahan:
Keterbatasan
- Hanya berfungsi dengan lalu lintas TLS: Itu tidak mempengaruhi lalu lintas HTTP atau protokol lain selain TLS.
- Memerlukan resolusi nama domain: Firewall perlu menentukan nama domain server agar dapat menerapkan aturan tersebut. Jika penyelesaian gagal, lalu lintas dapat melewati tanpa filter.
- Mungkin rentan terhadap serangan bypass: Penyerang dapat menggunakan teknik untuk menyembunyikan nama domain asli server, sehingga membuat aturan tls-host tidak efektif.
- Nonaktifkan pengunduhan perangkat keras: Saat menggunakan tls-host, pembongkaran perangkat keras untuk memproses paket TLS dinonaktifkan, yang dapat menurunkan kinerja jaringan.
Tindakan pencegahan
- Jangan memblokir situs web yang sah: Pastikan aturan tls-host tidak memblokir situs web yang dibutuhkan pengguna Anda secara tidak sengaja.
- Hati-hati dengan wildcard: Hindari penggunaan wildcard dalam aturan tls-host, karena ini dapat memblokir lebih banyak lalu lintas daripada yang Anda inginkan.
- Selalu perbarui MikroTik: Pastikan MikroTik RouterOS Anda diperbarui dengan patch keamanan terbaru untuk menghindari kerentanan.
Alternatif
- Filter berbasis IP: Anda dapat memfilter lalu lintas berdasarkan alamat IP server, yang mungkin lebih efektif dalam beberapa kasus.
- Menggunakan daftar akses: Anda dapat menggunakan daftar akses untuk menentukan server atau domain mana yang diizinkan atau diblokir.
- Implementasi proksi web: Proksi web dapat memfilter konten halaman web dan memblokir akses ke situs web berbahaya.
Opsi tls-host dapat menjadi alat yang berguna untuk memfilter lalu lintas TLS di MikroTik RouterOS, namun penting untuk menggunakannya dengan hati-hati dan menyadari keterbatasannya.
Pertimbangkan alternatif lain dan ikuti praktik keamanan yang sesuai untuk melindungi jaringan Anda secara efektif.
Kebanyakan website sekarang menggunakan https dan memblokir situs https jauh lebih sulit dengan MikroTik RouterOS versi lebih rendah dari 6.41. Namun dimulai dengan RouterOS v6.41, MikroTik Firewall memperkenalkan properti baru yang disebut Tuan TLS t yang mampu mencocokkan situs web https dengan sangat mudah.
Oleh karena itu, blokir situs web https seperti Facebook, YouTube, dll. Hal ini dapat dengan mudah dilakukan dengan MikroTik Router jika versi RouterOS lebih tinggi dari 6.41.
Memfilter berdasarkan nama host
Anda dapat menggunakan “tls-host” dalam aturan firewall untuk memfilter lalu lintas berdasarkan nama host, bukan alamat IP. Hal ini dapat bermanfaat jika alamat IP server yang Anda ajak berkomunikasi cenderung berubah dan Anda lebih suka menggunakan nama host yang tetap konstan.
/ip filter firewall tambahkan rantai=teruskan dst-port=443 protokol=tcp tls-host=example.com action=accept
Dalam contoh ini, aturan akan mengizinkan lalu lintas TLS keluar ke port 443 yang ditujukan untuk “example.com.”
Manajemen sertifikat dan nama host
Dengan menggunakan opsi “tls-host”, Anda dapat mempermudah pengelolaan sertifikat SSL/TLS di jaringan Anda. Jika sertifikat berubah atau diperbarui dan nama host tetap sama, Anda tidak perlu memperbarui aturan firewall dengan alamat IP baru.
Mengurangi ketergantungan pada alamat IP tetap
Dalam beberapa kasus, terutama saat berinteraksi dengan layanan yang dihosting di cloud atau dengan penyedia layanan yang mungkin mengubah alamat IP yang ditetapkan, penggunaan “tls-host” menyediakan lapisan abstraksi yang mengurangi ketergantungan pada alamat IP tetap.
/ip filter firewall tambahkan rantai=teruskan dst-port=8443 protokol=tcp tls-host=cloud-service.com action=accept
Di sini, lalu lintas TLS keluar ke port 8443 ditujukan untuk “cloud-service.com” akan diizinkan terlepas dari alamat IP layanan saat ini.
Penting untuk dicatat bahwa agar opsi “tls-host” efektif, layanan jarak jauh harus mendukung penggunaan nama host, bukan alamat IP. Tidak semua layanan atau aplikasi mengizinkan fleksibilitas ini, jadi penting untuk meninjau dokumentasi untuk layanan spesifik yang Anda gunakan.
Cara Memblokir Situs Web HTTPS dengan TLS Host Matcher
- Buka item menu IP > Firewall dan klik tab Aturan Penyaringan lalu klik TANDA PLUS (+). Jendela Aturan Firewall Baru muncul.
- Pilih maju dari menu tarik-turun String.
- Pilih tcp dari menu tarik-turun Protokol.
- Klik Dst. Kotak masuk pelabuhan dan pelabuhan 443.
- Klik pada tab Advanced dan klik pada kotak input TLS Host dan masukkan nama domain yang ingin Anda blokir (seperti *.facebook.com) di kotak ini.
- Klik tab Action dan pilih drop dari menu drop-down Action.
- Klik Terapkan dan tombol OK.
Aturan firewall berdasarkan Perintah
/ip firewall filter tambahkan rantai=teruskan dst-port=443 protokol=tcp tls-host=*.facebook.com action=drop
Kuis pengetahuan singkat
Apa pendapat Anda tentang artikel ini?
Apakah Anda berani mengevaluasi pengetahuan yang Anda pelajari?
Buku yang direkomendasikan untuk artikel ini
Buku Keamanan Tingkat Lanjut RouterOS v7
Materi pelajaran untuk Kursus Sertifikasi MTCSE, diperbarui ke RouterOS v7