La Opzione tls-host in MikroTik RouterOS è una funzionalità firewall che consente di filtrare il traffico TLS in base al nome di dominio del server a cui è diretto.
Ciò può essere utile per bloccare l'accesso a siti Web dannosi o indesiderati o per controllare il flusso di traffico sulla rete.
Alla fine dell'articolo troverai un piccolo test quello ti permetterà valutare le conoscenze acquisite in questa lettura
Tuttavia, è importante notare che l'utilizzo di tls-host presenta alcune limitazioni e precauzioni:
limitazioni
- Funziona solo con traffico TLS: Non influisce sul traffico HTTP o su qualsiasi altro protocollo diverso da TLS.
- Richiede la risoluzione del nome di dominio: Il firewall deve risolvere il nome di dominio del server per applicare la regola. Se la risoluzione fallisce, il traffico potrebbe passare senza essere filtrato.
- Potrebbe essere vulnerabile agli attacchi di bypass: Gli aggressori possono utilizzare tecniche per nascondere il vero nome di dominio del server, rendendo inefficace la regola tls-host.
- Disattiva il download dell'hardware: Quando si utilizza tls-host, l'offload hardware per l'elaborazione dei pacchetti TLS è disabilitato, il che può ridurre le prestazioni della rete.
Precauzioni
- Non bloccare i siti Web legittimi: Assicurati che le regole tls-host non blocchino accidentalmente i siti web necessari ai tuoi utenti.
- Fai attenzione ai caratteri jolly: Evita di utilizzare caratteri jolly nelle regole tls-host, poiché ciò potrebbe bloccare più traffico di quanto desideri.
- Tieni aggiornato MikroTik: Assicurati che il tuo MikroTik RouterOS sia aggiornato con le ultime patch di sicurezza per evitare vulnerabilità.
Alternative
- Filtri basati su IP: Puoi filtrare il traffico in base all'indirizzo IP del server, il che in alcuni casi potrebbe essere più efficace.
- Utilizzo degli elenchi di accesso: È possibile utilizzare gli elenchi di accesso per specificare quali server o domini sono consentiti o bloccati.
- Implementazione di un proxy web: Un proxy Web può filtrare il contenuto delle pagine Web e bloccare l'accesso a siti Web dannosi.
L'opzione tls-host può essere uno strumento utile per filtrare il traffico TLS in MikroTik RouterOS, ma è importante usarla con cautela ed essere consapevoli dei suoi limiti.
Considera le alternative e segui le pratiche di sicurezza appropriate per proteggere la tua rete in modo efficace.
La maggior parte dei siti Web ora utilizza https e bloccare i siti Web https è molto più difficile con la versione di MikroTik RouterOS inferiore alla 6.41. Ma a partire da RouterOS v6.41, MikroTik Firewall introduce una nuova proprietà chiamata Ospite TLS t che è in grado di abbinare molto facilmente i siti Web https.
Pertanto, bloccare i siti Web https come Facebook, YouTube, ecc. Può essere fatto facilmente con MikroTik Router se la versione di RouterOS è successiva alla 6.41.
Filtraggio in base ai nomi host
Puoi utilizzare "tls-host" nelle regole del firewall per filtrare il traffico in base ai nomi host anziché agli indirizzi IP. Ciò può essere utile se gli indirizzi IP dei server con cui comunichi sono soggetti a modifiche e preferisci utilizzare nomi host che rimangono costanti.
/ip filtro firewall aggiungi chain=forward dst-port=443 protocollo=tcp tls-host=example.com action=accept
In questo esempio, la regola consentirà il traffico TLS in uscita verso la porta 443 destinato a "example.com".
Gestione dei certificati e dei nomi host
Utilizzando l'opzione "tls-host", puoi semplificare la gestione dei certificati SSL/TLS sulla tua rete. Se i certificati cambiano o vengono rinnovati e l'hostname rimane lo stesso, non sarà necessario aggiornare le regole del firewall con i nuovi indirizzi IP.
Riduzione della dipendenza dagli indirizzi IP fissi
In alcuni casi, soprattutto quando si interagisce con servizi ospitati nel cloud o con fornitori di servizi che potrebbero modificare gli indirizzi IP assegnati, l'utilizzo di "tls-host" fornisce un livello di astrazione che riduce la dipendenza da indirizzi IP fissi.
/ip filtro firewall aggiungi chain=forward dst-port=8443 protocollo=tcp tls-host=cloud-service.com action=accept
Qui, il traffico TLS in uscita verso la porta 8443 destinato a “cloud-service.com" sarà consentito indipendentemente dall'indirizzo IP corrente del servizio.
È importante notare che affinché l'opzione "tls-host" sia efficace, il servizio remoto deve supportare l'uso di nomi host anziché di indirizzi IP. Non tutti i servizi o le applicazioni consentono questa flessibilità, quindi è fondamentale rivedere la documentazione per il servizio specifico che stai utilizzando.
Come bloccare i siti Web HTTPS con TLS Host Matcher
- Vai alla voce di menu IP > Firewall e fai clic sulla scheda Regole di filtro, quindi fai clic sul SEGNO PIÙ (+). Viene visualizzata la finestra Nuova regola firewall.
- Scegli avanti dal menu a discesa Stringa.
- Scegli tcp dal menu a discesa Protocollo.
- Fare clic su Dst. Porto e casella di ingresso del porto 443.
- Fare clic sulla scheda Avanzate, quindi sulla casella di input Host TLS e inserire il nome di dominio che si desidera bloccare (ad esempio *.facebook.com) in questa casella.
- Fare clic sulla scheda Azione e scegliere Rilascia dal menu a discesa Azione.
- Fare clic su Applica e sul pulsante OK.
Regola del firewall tramite comando
/ip filtro firewall aggiungi chain=forward dst-port=443 protocollo=tcp tls-host=*.facebook.com action=drop
Breve quiz conoscitivo
Cosa pensi di questo articolo?
Hai il coraggio di valutare le tue conoscenze apprese?
Libro consigliato per questo articolo
Libro sulla sicurezza avanzata di RouterOS v7
Materiale di studio per il Corso di Certificazione MTCSE, aggiornato a RouterOS v7
articoli correlati
- MikroTik IPSec: scegli tra Modalità tunnel e Modalità trasporto per VPN
- Filtro ICMP in un firewall MikroTik
- Tra Stateful e Stateless: padroneggiare il firewall MikroTik
- MikroTik e autenticazione wireless: comprendere "Consenti chiave condivisa"
- HSRP, VRRP, GLBP: comprensione dei protocolli chiave per la ridondanza di rete