La tls-host-optie in MikroTik RouterOS is een firewallfunctie waarmee TLS-verkeer kan worden gefilterd op basis van de domeinnaam van de server waarnaar het wordt geleid.
Dit kan handig zijn om de toegang tot kwaadaardige of ongewenste websites te blokkeren, of om de verkeersstroom op uw netwerk te controleren.
Aan het einde van het artikel vindt u een kleine proef dat zal je toestaan schatten de kennis die tijdens deze lezing is verworven
Het is echter belangrijk op te merken dat het gebruik van tls-host enkele beperkingen en voorzorgsmaatregelen kent:
beperkingen
- Werkt alleen met TLS-verkeer: Het heeft geen invloed op HTTP-verkeer of enig ander protocol dan TLS.
- Vereist domeinnaamresolutie: De firewall moet de domeinnaam van de server omzetten om de regel toe te passen. Als de oplossing mislukt, kan het verkeer ongefilterd passeren.
- Kan kwetsbaar zijn voor bypass-aanvallen: Aanvallers kunnen technieken gebruiken om de echte domeinnaam van de server te verbergen, waardoor de tls-host-regel niet effectief wordt.
- Hardwaredownload uitschakelen: Wanneer u tls-host gebruikt, wordt hardware-offloading voor het verwerken van TLS-pakketten uitgeschakeld, wat de netwerkprestaties kan verminderen.
voorzorgsmaatregelen
- Blokkeer geen legitieme websites: Zorg ervoor dat tls-host-regels niet per ongeluk websites blokkeren die uw gebruikers nodig hebben.
- Wees voorzichtig met jokertekens: Vermijd het gebruik van jokertekens in tls-host-regels, omdat dit meer verkeer kan blokkeren dan u wilt.
- Houd MikroTik up-to-date: Zorg ervoor dat uw MikroTik RouterOS is bijgewerkt met de nieuwste beveiligingspatches om kwetsbaarheden te voorkomen.
Alternativas
- IP-gebaseerde filters: U kunt verkeer filteren op basis van het IP-adres van de server, wat in sommige gevallen effectiever kan zijn.
- Toegangslijsten gebruiken: U kunt toegangslijsten gebruiken om aan te geven welke servers of domeinen zijn toegestaan of geblokkeerd.
- Implementatie van een webproxy: Een webproxy kan de inhoud van webpagina's filteren en de toegang tot kwaadwillende websites blokkeren.
De optie tls-host kan een handig hulpmiddel zijn voor het filteren van TLS-verkeer in MikroTik RouterOS, maar het is belangrijk om deze met voorzichtigheid te gebruiken en u bewust te zijn van de beperkingen ervan.
Overweeg alternatieven en volg de juiste beveiligingspraktijken om uw netwerk effectief te beschermen.
De meeste websites gebruiken nu https en het blokkeren van https-websites is veel moeilijker met MikroTik RouterOS-versie lager dan 6.41. Maar vanaf RouterOS v6.41 introduceert MikroTik Firewall een nieuwe eigenschap genaamd TLS Hos t die heel gemakkelijk https-websites kan matchen.
Daarom is het blokkeren van https-websites zoals Facebook, YouTube, etc. Het kan eenvoudig worden gedaan met MikroTik Router als de RouterOS-versie hoger is dan 6.41.
Filteren op basis van hostnamen
U kunt “tls-host” in firewallregels gebruiken om verkeer te filteren op basis van hostnamen in plaats van IP-adressen. Dit kan nuttig zijn als de IP-adressen van de servers waarmee u communiceert, onderhevig zijn aan verandering en u liever hostnamen gebruikt die constant blijven.
/ip firewallfilter add chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
In dit voorbeeld staat de regel uitgaand TLS-verkeer toe naar poort 443, bestemd voor 'example.com'.
Certificaat- en hostnaambeheer
Door de optie “tls-host” te gebruiken, kunt u het beheer van SSL/TLS-certificaten op uw netwerk eenvoudiger maken. Als de certificaten veranderen of worden vernieuwd en de hostnaam blijft hetzelfde, hoeft u de firewallregels niet bij te werken met nieuwe IP-adressen.
Vermindering van de afhankelijkheid van vaste IP-adressen
In sommige gevallen, vooral bij interactie met in de cloud gehoste services of met serviceproviders die toegewezen IP-adressen kunnen wijzigen, biedt het gebruik van “tls-host” een abstractielaag die de afhankelijkheid van vaste IP-adressen vermindert.
/ip firewallfilter add chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Hier is uitgaand TLS-verkeer naar poort 8443 bestemd voor “cloud-service.com” is toegestaan, ongeacht het huidige IP-adres van de service.
Het is belangrijk op te merken dat de optie “tls-host” alleen effectief kan zijn als de externe service het gebruik van hostnamen in plaats van IP-adressen moet ondersteunen. Niet alle services of applicaties staan deze flexibiliteit toe, dus het is van cruciaal belang om de documentatie voor de specifieke service die u gebruikt te raadplegen.
Hoe HTTPS-websites te blokkeren met TLS Host Matcher
- Ga naar het menu-item IP > Firewall en klik op het tabblad Filterregels en klik vervolgens op het PLUSTEKEN (+). Het venster Nieuwe firewallregel verschijnt.
- Kies vooruit in het vervolgkeuzemenu Tekenreeks.
- Kies TCP in het vervolgkeuzemenu Protocol.
- Klik op Dst. Haven en haveninvoervak 443.
- Klik op het tabblad Geavanceerd en klik op het invoervak TLS Host en plaats de domeinnaam die u wilt blokkeren (zoals *.facebook.com) in dit vak.
- Klik op het tabblad Actie en kies neerzetten in het vervolgkeuzemenu Actie.
- Klik op Toepassen en op de knop OK.
Firewallregel via Commando
/ip firewallfilter add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Korte kennisquiz
Wat vind je van dit artikel?
Durf jij je geleerde kennis te evalueren?
Aanbevolen boek voor dit artikel
RouterOS v7 Geavanceerd beveiligingsboek
Studiemateriaal voor de MTCSE-certificeringscursus, bijgewerkt naar RouterOS v7
Gerelateerde artikelen
- MikroTik IPSec: Kies tussen Tunnelmodus en Transportmodus voor VPN
- ICMP-filter in een MikroTik Firewall
- Tussen stateful en stateless: de MikroTik-firewall beheersen
- MikroTik en draadloze authenticatie: inzicht in 'Gedeelde sleutel toestaan'
- HSRP, VRRP, GLBP: belangrijke protocollen voor netwerkredundantie begrijpen