fbpx
Facebook-f טויטר Linkedin YouTube אינסטגרם` WhatsApp

כיצד לחסום אתרי HTTPS ביעילות עם מארח MikroTik TLS

  • שתף את המאמר הזה
פייסבוק
טויטר
לינקדין
וואטסאפ
מברק

La אפשרות tls-host ב-MikroTik RouterOS היא תכונת חומת אש המאפשרת סינון של תעבורת TLS בהתבסס על שם הדומיין של השרת שאליו היא מופנית.

זה יכול להיות שימושי לחסימת גישה לאתרים זדוניים או לא רצויים, או לשליטה בזרימת התנועה ברשת שלך.

בסוף המאמר תמצא קטן מבחן שיאפשר לך להעריך הידע שנרכש בקריאה זו

עבור אל מבחן

עם זאת, חשוב לציין שלשימוש ב-tls-host יש כמה מגבלות ואמצעי זהירות:

מגבלות

  • עובד רק עם תעבורת TLS: זה לא משפיע על תעבורת HTTP או כל פרוטוקול אחר מלבד TLS.
  • דורש פתרון שם דומיין: חומת האש צריכה לפתור את שם הדומיין של השרת כדי להחיל את הכלל. אם הפתרון נכשל, התנועה עלולה לעבור ללא סינון.
  • עלול להיות פגיע להתקפות עוקפות: תוקפים יכולים להשתמש בטכניקות כדי להסתיר את שם הדומיין האמיתי של השרת, מה שהופך את כלל tls-host ללא יעיל.
  • השבת הורדת חומרה: בעת שימוש ב-tls-host, הורדת חומרה לעיבוד מנות TLS מושבתת, מה שעלול להפחית את ביצועי הרשת.

אמצעי זהירות

  • אל תחסום אתרים לגיטימיים: ודא שכללי tls-host לא חוסמים בטעות אתרים שהמשתמשים שלך צריכים.
  • היזהר עם תווים כלליים: הימנע משימוש בתווים כלליים בכללי tls-host, מכיוון שזה עלול לחסום יותר תעבורה ממה שאתה רוצה.
  • עדכן את MikroTik: ודא שה-MikroTik RouterOS שלך מעודכן בתיקוני האבטחה האחרונים כדי למנוע פגיעויות.

אלטרנטיבה

  • מסננים מבוססי IP: ניתן לסנן תעבורה על סמך כתובת ה-IP של השרת, מה שיכול להיות יעיל יותר במקרים מסוימים.
  • שימוש ברשימות גישה: אתה יכול להשתמש ברשימות גישה כדי לציין אילו שרתים או דומיינים מותרים או חסומים.
  • יישום של פרוקסי אינטרנט: פרוקסי אינטרנט יכול לסנן את התוכן של דפי אינטרנט ולחסום גישה לאתרים זדוניים.

אפשרות tls-host יכולה להיות כלי שימושי לסינון תעבורת TLS ב-MikroTik RouterOS, אך חשוב להשתמש בה בזהירות ולהיות מודע למגבלותיה.

שקול חלופות ופעל לפי נוהלי אבטחה מתאימות כדי להגן על הרשת שלך ביעילות.

רוב האתרים משתמשים כעת ב-https וחסימת אתרי https היא הרבה יותר קשה עם גרסת MikroTik RouterOS נמוכה מ-6.41. אבל החל מ-RouterOS v6.41, MikroTik Firewall מציגה מאפיין חדש בשם TLS Hos t אשר מסוגל להתאים אתרי https בקלות רבה. 

לכן, חסימת אתרי https כמו פייסבוק, יוטיוב וכו'. ניתן לעשות זאת בקלות עם MikroTik Router אם גרסת ה-RouterOS גבוהה מ-6.41. 

סינון מבוסס על שמות מארח

אתה יכול להשתמש ב-"tls-host" בכללי חומת אש כדי לסנן תעבורה על סמך שמות מארחים במקום כתובות IP. זה יכול להיות מועיל אם כתובות ה-IP של השרתים שאתה מתקשר איתם נוטות להשתנות ואתה מעדיף להשתמש בשמות מארחים שנשארים קבועים.

/ip חומת אש filter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

בדוגמה זו, הכלל יאפשר תעבורת TLS יוצאת ליציאה 443 המיועדת ל-"example.com".

ניהול תעודות ושם מארח

על ידי שימוש באפשרות "tls-host", אתה יכול להקל על ניהול תעודות SSL/TLS ברשת שלך. אם האישורים משתנים או מתחדשים ושם המארח נשאר זהה, לא תצטרך לעדכן את כללי חומת האש בכתובות IP חדשות.

הפחתת התלות בכתובות IP קבועות

במקרים מסוימים, במיוחד בעת אינטראקציה עם שירותים המתארחים בענן או עם ספקי שירות שעשויים לשנות כתובות IP שהוקצו, השימוש ב-"tls-host" מספק שכבת הפשטה שמפחיתה את ההסתמכות על כתובות IP קבועות.

/ip חומת אש filter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

כאן, תעבורת TLS יוצאת לנמל 8443 המיועדת ל"cloud-service.com" יתאפשר ללא קשר לכתובת ה-IP הנוכחית של השירות.

חשוב לציין שכדי שהאפשרות "tls-host" תהיה יעילה, השירות המרוחק חייב לתמוך בשימוש בשמות מארח במקום בכתובות IP. לא כל השירותים או היישומים מאפשרים גמישות זו, ולכן חיוני לעיין בתיעוד עבור השירות הספציפי שבו אתה משתמש.

 כיצד לחסום אתרי HTTPS עם TLS Host Matcher

 

  1. עבור אל פריט התפריט IP > חומת אש ולחץ על הכרטיסייה כללי סינון ולאחר מכן לחץ על סימן הפלוס (+). החלון New Firewall Rule מופיע.
  2. בחר קדימה מהתפריט הנפתח מחרוזת.
  3. בחר tcp מהתפריט הנפתח פרוטוקול.
  4. לחץ על Dst. תיבת כניסה לנמל וכניסה לנמל 443.
  5. לחץ על הכרטיסייה מתקדם ולחץ על תיבת הקלט TLS Host ושם את שם הדומיין שברצונך לחסום (כגון *.facebook.com) בתיבה זו.
  6. לחץ על הכרטיסייה פעולה ובחר יציאה מהתפריט הנפתח פעולה.
  7. לחץ על החל ועל הלחצן אישור.

 

כלל חומת אש לפי פקודה

/ip חומת אש filter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
כיצד לחסום אתרי HTTPS ביעילות עם מארח MikroTik TLS

חידון ידע קצר

מה דעתך על המאמר הזה?
האם אתה מעז להעריך את הידע הנלמד שלך?

QUIZ - כיצד לחסום אתרי HTTPS ביעילות עם MikroTik TLS Host

ספר מומלץ למאמר זה

תגיות: ניהול רשת, אישורי SSL / TLS, סינון תנועה, חומת אש, MikroTik RouterOS, שמות דומיינים, נוהלי אבטחה, פרוקסי אינטרנט, אבטחת רשת, מארח TLS

Artaculos Relacionados

Artaculos Relacionados

Microlabs

נושאים נוספים שעשויים לעניין אותך

האם אתה רוצה להציע נושא?

בכל שבוע אנו מפרסמים תוכן חדש. אתה רוצה שנדבר על משהו ספציפי?
נושא לבלוג הבא

קורסים מקוונים בקרוב

ספרי מיקרוטיק (ספרדית)

השאירו תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

לוגו צבעוני של ABC Xperts

עקוב אחרינו

Facebook-f טויטר Linkedin YouTube אינסטגרם`

עלינו

בית מטריקס

Av. Juan T. Marengo and J. Orrantia

בניין מרכז מקצועי, אופיס 507

גואיאקיל. אקוודור

CP 090505

קשר

הירשם

לניוזלטרים השבועיים שלנו

ניוזלטר

ספרי מיקרוטיק

קורסי הסמכה

סדרת NAS

מומחה לניהול רשתות

סדרת UAS

מומחה לניהול ציוד של Ubiquiti

סדרת MAS

מומחה מינהל של MikroTik

סדרת NAE

מהנדס ניהול רשתות

סדרת MAE

מהנדס אדמיניסטרציה של מיקרוטיק

אישורי MikroTik

בטחון

אבטחה Cybersecurity
אבטחת מידע
  • SIN-NSI
    תקנות אבטחת מידע כיצד ליישם? (בקרוב)

מדע נתונים

פיתון

זכויות יוצרים © 2024 abcxperts.com - כל הזכויות שמורות

פותח על ידי Network Xperts SA
הירשם לקורס מבוא לניתוב מתקדם OSPF BGP MPLS

לחץ כאן אם אתה רוצה
ראה מידע נוסף

ימים
שעות
דקות
סגונדוס

מבוא ל
OSPF - BGP - MPLS

הירשמו לזה קורס חינם

MAE-RAV-ROS-240118
(MAS-ROS) מבוא חינם לקורס MikroTik RouterOS גרסה 7

לחץ כאן אם אתה רוצה
ראה מידע נוסף

ימים
שעות
דקות
סגונדוס

הירשמו לזה קורס חינם

MAS-ROS-240111

מבצע ליום שלושת המלכים!

REYES24

15%

כל המוצרים

קורסי מיקרוטיק
קורסי אקדמיה
ספרי מיקרוטיק

נצלו את קוד ההנחה של יום שלושת המלכים!

*המבצע בתוקף עד יום ראשון ה-7 בינואר 2024
** הקוד (KINGS24) חל על עגלת קניות
*** קנה את הקורס שלך עכשיו ולמד אותו עד 31 במרץ 2024

קידום ראש השנה!

NY24

20%

כל המוצרים

קורסי מיקרוטיק
קורסי אקדמיה
ספרי מיקרוטיק

נצלו את קוד ההנחה לסילבסטר!

*המבצע בתוקף עד יום שני, 1 בינואר 2024
** הקוד (NY24) חל על עגלת קניות
*** קנה את הקורס שלך עכשיו ולמד אותו עד 31 במרץ 2024

הנחות לחג המולד!

XMAS23

30%

כל המוצרים

קורסי מיקרוטיק
קורסי אקדמיה
ספרי מיקרוטיק

נצלו את קוד ההנחה לחג המולד!!!

**קודים מיושמים בעגלת הקניות
המבצע תקף עד יום שני ה-25 בדצמבר 2023

הנחות של שבוע הסייבר

CW23-MK

17%

כל קורסי MikroTik OnLine

CW23-AX

30%

כל קורסי האקדמיה

CW23-LIB

25%

כל הספרים וחבילות הספרים של MikroTik

נצלו את קודי ההנחה לשבוע הסייבר!!!

**קודים מיושמים בעגלת הקניות
המבצע תקף עד יום ראשון 3 בדצמבר 2023

הנחות BLACK FRIDAY

BF23-MX

22%

כל קורסי MikroTik OnLine

BF23-AX

35%

כל קורסי האקדמיה

BF23-LIB

30%

כל הספרים וחבילות הספרים של MikroTik

נצלו את קודי ההנחה לבלאק פריידי!!!

**קודים מיושמים בעגלת הקניות

קודים מיושמים בעגלת הקניות
תקף עד יום ראשון 26 בנובמבר 2023

סמינר מקוון VPN של MikroTik עם ZeroTier

לחץ כאן אם אתה רוצה
ראה מידע נוסף

ימים
שעות
דקות
סגונדוס

הירשמו לזה קורס חינם

MAE-VPN-SET-231115

פרומו ליל כל הקדושים

נצל את קודי ההנחה לליל כל הקדושים.

קודים מיושמים בעגלת הקניות

HW23-MK

11% הנחה על כל קורסי MikroTik OnLine

11%

HW23-AX

30% הנחה על כל קורסי האקדמיה

30%

HW23-LIB

25% הנחה על כל הספרים וחבילות הספרים של MikroTik

25%

סגור סמל תפריט

הירשם והשתתף בקורס החינמי מבוא לניתוב מתקדם עם MikroTik (MAE-RAV-ROS)

היום (רביעי) 11 באוקטובר 2023
7:11 עד XNUMX:XNUMX (קולומביה, אקוודור, פרו)

MAE-RAV-ROS-231011