La אפשרות tls-host ב-MikroTik RouterOS היא תכונת חומת אש המאפשרת סינון של תעבורת TLS בהתבסס על שם הדומיין של השרת שאליו היא מופנית.
זה יכול להיות שימושי לחסימת גישה לאתרים זדוניים או לא רצויים, או לשליטה בזרימת התנועה ברשת שלך.
בסוף המאמר תמצא קטן מבחן שיאפשר לך להעריך הידע שנרכש בקריאה זו
עם זאת, חשוב לציין שלשימוש ב-tls-host יש כמה מגבלות ואמצעי זהירות:
מגבלות
- עובד רק עם תעבורת TLS: זה לא משפיע על תעבורת HTTP או כל פרוטוקול אחר מלבד TLS.
- דורש פתרון שם דומיין: חומת האש צריכה לפתור את שם הדומיין של השרת כדי להחיל את הכלל. אם הפתרון נכשל, התנועה עלולה לעבור ללא סינון.
- עלול להיות פגיע להתקפות עוקפות: תוקפים יכולים להשתמש בטכניקות כדי להסתיר את שם הדומיין האמיתי של השרת, מה שהופך את כלל tls-host ללא יעיל.
- השבת הורדת חומרה: בעת שימוש ב-tls-host, הורדת חומרה לעיבוד מנות TLS מושבתת, מה שעלול להפחית את ביצועי הרשת.
אמצעי זהירות
- אל תחסום אתרים לגיטימיים: ודא שכללי tls-host לא חוסמים בטעות אתרים שהמשתמשים שלך צריכים.
- היזהר עם תווים כלליים: הימנע משימוש בתווים כלליים בכללי tls-host, מכיוון שזה עלול לחסום יותר תעבורה ממה שאתה רוצה.
- עדכן את MikroTik: ודא שה-MikroTik RouterOS שלך מעודכן בתיקוני האבטחה האחרונים כדי למנוע פגיעויות.
אלטרנטיבה
- מסננים מבוססי IP: ניתן לסנן תעבורה על סמך כתובת ה-IP של השרת, מה שיכול להיות יעיל יותר במקרים מסוימים.
- שימוש ברשימות גישה: אתה יכול להשתמש ברשימות גישה כדי לציין אילו שרתים או דומיינים מותרים או חסומים.
- יישום של פרוקסי אינטרנט: פרוקסי אינטרנט יכול לסנן את התוכן של דפי אינטרנט ולחסום גישה לאתרים זדוניים.
אפשרות tls-host יכולה להיות כלי שימושי לסינון תעבורת TLS ב-MikroTik RouterOS, אך חשוב להשתמש בה בזהירות ולהיות מודע למגבלותיה.
שקול חלופות ופעל לפי נוהלי אבטחה מתאימות כדי להגן על הרשת שלך ביעילות.
רוב האתרים משתמשים כעת ב-https וחסימת אתרי https היא הרבה יותר קשה עם גרסת MikroTik RouterOS נמוכה מ-6.41. אבל החל מ-RouterOS v6.41, MikroTik Firewall מציגה מאפיין חדש בשם TLS Hos t אשר מסוגל להתאים אתרי https בקלות רבה.
לכן, חסימת אתרי https כמו פייסבוק, יוטיוב וכו'. ניתן לעשות זאת בקלות עם MikroTik Router אם גרסת ה-RouterOS גבוהה מ-6.41.
סינון מבוסס על שמות מארח
אתה יכול להשתמש ב-"tls-host" בכללי חומת אש כדי לסנן תעבורה על סמך שמות מארחים במקום כתובות IP. זה יכול להיות מועיל אם כתובות ה-IP של השרתים שאתה מתקשר איתם נוטות להשתנות ואתה מעדיף להשתמש בשמות מארחים שנשארים קבועים.
/ip חומת אש filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
בדוגמה זו, הכלל יאפשר תעבורת TLS יוצאת ליציאה 443 המיועדת ל-"example.com".
ניהול תעודות ושם מארח
על ידי שימוש באפשרות "tls-host", אתה יכול להקל על ניהול תעודות SSL/TLS ברשת שלך. אם האישורים משתנים או מתחדשים ושם המארח נשאר זהה, לא תצטרך לעדכן את כללי חומת האש בכתובות IP חדשות.
הפחתת התלות בכתובות IP קבועות
במקרים מסוימים, במיוחד בעת אינטראקציה עם שירותים המתארחים בענן או עם ספקי שירות שעשויים לשנות כתובות IP שהוקצו, השימוש ב-"tls-host" מספק שכבת הפשטה שמפחיתה את ההסתמכות על כתובות IP קבועות.
/ip חומת אש filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
כאן, תעבורת TLS יוצאת לנמל 8443 המיועדת ל"cloud-service.com" יתאפשר ללא קשר לכתובת ה-IP הנוכחית של השירות.
חשוב לציין שכדי שהאפשרות "tls-host" תהיה יעילה, השירות המרוחק חייב לתמוך בשימוש בשמות מארח במקום בכתובות IP. לא כל השירותים או היישומים מאפשרים גמישות זו, ולכן חיוני לעיין בתיעוד עבור השירות הספציפי שבו אתה משתמש.
כיצד לחסום אתרי HTTPS עם TLS Host Matcher
- עבור אל פריט התפריט IP > חומת אש ולחץ על הכרטיסייה כללי סינון ולאחר מכן לחץ על סימן הפלוס (+). החלון New Firewall Rule מופיע.
- בחר קדימה מהתפריט הנפתח מחרוזת.
- בחר tcp מהתפריט הנפתח פרוטוקול.
- לחץ על Dst. תיבת כניסה לנמל וכניסה לנמל 443.
- לחץ על הכרטיסייה מתקדם ולחץ על תיבת הקלט TLS Host ושם את שם הדומיין שברצונך לחסום (כגון *.facebook.com) בתיבה זו.
- לחץ על הכרטיסייה פעולה ובחר יציאה מהתפריט הנפתח פעולה.
- לחץ על החל ועל הלחצן אישור.
כלל חומת אש לפי פקודה
/ip חומת אש filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
חידון ידע קצר
מה דעתך על המאמר הזה?
האם אתה מעז להעריך את הידע הנלמד שלך?
ספר מומלץ למאמר זה
ספר אבטחה מתקדם של RouterOS v7
חומר לימוד לקורס ההסמכה של MTCSE, מעודכן ל-RouterOS v7