La tls-host opcija programmā MikroTik RouterOS ir ugunsmūra līdzeklis, kas ļauj filtrēt TLS trafiku, pamatojoties uz tā servera domēna nosaukumu, uz kuru tas ir novirzīts.
Tas var būt noderīgi, lai bloķētu piekļuvi ļaunprātīgām vai nevēlamām vietnēm vai kontrolētu trafika plūsmu jūsu tīklā.
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
Tomēr ir svarīgi ņemt vērā, ka tls-host izmantošanai ir daži ierobežojumi un piesardzības pasākumi:
Ierobežojumi
- Darbojas tikai ar TLS trafiku: Tas neietekmē HTTP trafiku vai jebkuru citu protokolu, izņemot TLS.
- Nepieciešama domēna vārda izšķirtspēja: Lai piemērotu kārtulu, ugunsmūrim ir jāatrisina servera domēna nosaukums. Ja izšķirtspēja neizdodas, satiksme var iziet cauri nefiltrētai.
- Var būt neaizsargāti pret apiešanas uzbrukumiem: Uzbrucēji var izmantot metodes, lai paslēptu servera īsto domēna nosaukumu, padarot tls-host noteikumu neefektīvu.
- Atspējot aparatūras lejupielādi: Izmantojot tls-host, aparatūras izkraušana TLS pakešu apstrādei ir atspējota, kas var samazināt tīkla veiktspēju.
Piesardzības pasākumi
- Nebloķējiet likumīgas vietnes: Pārliecinieties, vai tls-host noteikumi nejauši nebloķē jūsu lietotājiem nepieciešamās vietnes.
- Esiet piesardzīgs ar aizstājējzīmēm: Neizmantojiet aizstājējzīmes tls-host noteikumos, jo tas var bloķēt vairāk trafika, nekā vēlaties.
- Atjauniniet MikroTik: Pārliecinieties, vai jūsu MikroTik RouterOS ir atjaunināti jaunākie drošības ielāpi, lai izvairītos no ievainojamībām.
Alternativas
- IP filtri: Varat filtrēt trafiku, pamatojoties uz servera IP adresi, kas dažos gadījumos var būt efektīvāka.
- Izmantojot piekļuves sarakstus: Varat izmantot piekļuves sarakstus, lai norādītu, kuri serveri vai domēni ir atļauti vai bloķēti.
- Tīmekļa starpniekservera ieviešana: Tīmekļa starpniekserveris var filtrēt tīmekļa lapu saturu un bloķēt piekļuvi ļaunprātīgām vietnēm.
Opcija tls-host var būt noderīgs rīks TLS trafika filtrēšanai MikroTik RouterOS, taču ir svarīgi to izmantot piesardzīgi un apzināties tās ierobežojumus.
Apsveriet alternatīvas un ievērojiet atbilstošu drošības praksi, lai efektīvi aizsargātu tīklu.
Lielākā daļa vietņu tagad izmanto https, un https vietņu bloķēšana ir daudz grūtāka, ja MikroTik RouterOS versija ir zemāka par 6.41. Bet, sākot ar RouterOS v6.41, MikroTik Firewall ievieš jaunu rekvizītu ar nosaukumu TLS Hos t, kas ļoti viegli var saskaņot https tīmekļa vietnes.
Tāpēc bloķējot https vietnes, piemēram, Facebook, YouTube utt. To var viegli izdarīt ar MikroTik Router, ja RouterOS versija ir augstāka par 6.41.
Filtrēšana, pamatojoties uz resursdatora nosaukumiem
Ugunsmūra noteikumos varat izmantot “tls-host”, lai filtrētu trafiku, pamatojoties uz resursdatora nosaukumiem, nevis IP adresēm. Tas var būt noderīgi, ja to serveru IP adreses, ar kurām sazināties, ir tendence mainīties un vēlaties izmantot resursdatora nosaukumus, kas paliek nemainīgi.
/ip ugunsmūra filtrs pievienot ķēdi=forward dst-port=443 protokols=tcp tls-host=example.com action=accept
Šajā piemērā kārtula atļaus izejošo TLS trafiku uz 443. portu, kura mērķis ir “example.com”.
Sertifikātu un resursdatora nosaukuma pārvaldība
Izmantojot opciju “tls-host”, varat atvieglot SSL/TLS sertifikātu pārvaldību savā tīklā. Ja sertifikāti mainās vai tiek atjaunoti un resursdatora nosaukums paliek nemainīgs, ugunsmūra noteikumi nav jāatjaunina ar jaunām IP adresēm.
Atkarības no fiksētajām IP adresēm samazināšana
Dažos gadījumos, īpaši mijiedarbojoties ar mākoņa mitinātiem pakalpojumiem vai pakalpojumu sniedzējiem, kas var mainīt piešķirtās IP adreses, “tls-host” izmantošana nodrošina abstrakcijas slāni, kas samazina paļaušanos uz fiksētām IP adresēm.
/ip ugunsmūra filtrs pievienot ķēdi=pārsūtīt dst-port=8443 protokols=tcp tls-host=cloud-service.com action=accept
Šeit izejošā TLS trafika uz portu 8443 paredzēta “cloud-service.com” tiks atļauta neatkarīgi no pakalpojuma pašreizējās IP adreses.
Ir svarīgi atzīmēt, ka, lai opcija “tls-host” būtu efektīva, attālajam pakalpojumam ir jāatbalsta resursdatora nosaukumu izmantošana IP adrešu vietā. Ne visi pakalpojumi vai lietojumprogrammas nodrošina šo elastību, tāpēc ir ļoti svarīgi pārskatīt dokumentāciju par konkrēto pakalpojumu, kuru izmantojat.
Kā bloķēt HTTPS vietnes, izmantojot TLS Host Matcher
- Atveriet izvēlnes vienumu IP > Ugunsmūris un noklikšķiniet uz cilnes Filtrēšanas noteikumi un pēc tam noklikšķiniet uz PLUSZĪME (+). Tiek parādīts logs New Firewall Rule.
- Nolaižamajā izvēlnē Virkne izvēlieties uz priekšu.
- Nolaižamajā izvēlnē Protokols izvēlieties tcp.
- Noklikšķiniet uz Dst. Ostas un ostas ieejas aile 443.
- Noklikšķiniet uz cilnes Advanced un noklikšķiniet uz TLS Host ievades lodziņa un ievietojiet šajā lodziņā domēna nosaukumu, kuru vēlaties bloķēt (piemēram, *.facebook.com).
- Noklikšķiniet uz cilnes Darbība un nolaižamajā izvēlnē Darbība izvēlieties nolaižamo.
- Noklikšķiniet uz Lietot un pogas Labi.
Ugunsmūra noteikums ar komandu
/ip ugunsmūra filtrs pievienot ķēde=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Ieteicamā grāmata šim rakstam
RouterOS v7 uzlabotās drošības grāmata
MTCSE sertifikācijas kursa mācību materiāls, atjaunināts uz RouterOS v7
Saistītās ziņas
- MikroTik IPSec: VPN izvēlieties tuneļa režīmu vai transporta režīmu
- ICMP filtrs MikroTik ugunsmūrī
- Starp statusu un bezvalstniekiem: MikroTik ugunsmūra apguve
- MikroTik un bezvadu autentifikācija: izpratne par “Atļaut koplietoto atslēgu”
- HSRP, VRRP, GLBP: izpratne par galvenajiem protokoliem tīkla dublēšanai