La tls-host w MikroTik RouterOS to funkcja zapory sieciowej, która umożliwia filtrowanie ruchu TLS na podstawie nazwy domeny serwera, do którego jest kierowany.
Może to być przydatne do blokowania dostępu do złośliwych lub niechcianych witryn internetowych lub do kontrolowania przepływu ruchu w sieci.
Na końcu artykułu znajdziesz mały test to ci pozwoli oceniać wiedzę zdobytą w tej lekturze
Należy jednak pamiętać, że korzystanie z tls-host ma pewne ograniczenia i środki ostrożności:
Ograniczenia
- Działa tylko z ruchem TLS: Nie ma to wpływu na ruch HTTP ani żaden inny protokół inny niż TLS.
- Wymaga rozpoznawania nazwy domeny: Aby zastosować regułę, zapora sieciowa musi rozpoznać nazwę domeny serwera. Jeśli rozwiązanie nie powiedzie się, ruch może przejść bez filtrowania.
- Może być podatny na ataki omijające: Atakujący mogą użyć technik ukrycia prawdziwej nazwy domeny serwera, przez co reguła tls-host będzie nieskuteczna.
- Wyłącz pobieranie sprzętu: Podczas korzystania z tls-host odciążanie sprzętowe do przetwarzania pakietów TLS jest wyłączone, co może zmniejszyć wydajność sieci.
Środki ostrożności
- Nie blokuj legalnych witryn: Upewnij się, że reguły tls-host nie blokują przypadkowo stron internetowych, których potrzebują Twoi użytkownicy.
- Uważaj na symbole wieloznaczne: Unikaj używania symboli wieloznacznych w regułach hosta tls, ponieważ może to zablokować większy ruch, niż chcesz.
- Aktualizuj MikroTika: Upewnij się, że Twój MikroTik RouterOS jest zaktualizowany o najnowsze poprawki bezpieczeństwa, aby uniknąć luk w zabezpieczeniach.
Alternativas
- Filtry oparte na IP: Możesz filtrować ruch na podstawie adresu IP serwera, co w niektórych przypadkach może być bardziej skuteczne.
- Korzystanie z list dostępu: Za pomocą list dostępu możesz określić, które serwery lub domeny są dozwolone, a które blokowane.
- Implementacja internetowego serwera proxy: Serwer proxy sieci Web może filtrować zawartość stron internetowych i blokować dostęp do złośliwych witryn.
Opcja tls-host może być użytecznym narzędziem do filtrowania ruchu TLS w MikroTik RouterOS, ale ważne jest, aby używać go ostrożnie i mieć świadomość jego ograniczeń.
Rozważ alternatywy i postępuj zgodnie z odpowiednimi praktykami bezpieczeństwa, aby skutecznie chronić swoją sieć.
Większość stron internetowych korzysta obecnie z protokołu https, a blokowanie stron https jest znacznie trudniejsze w przypadku wersji MikroTik RouterOS niższej niż 6.41. Ale począwszy od RouterOS v6.41, MikroTik Firewall wprowadza nową właściwość zwaną TLS Hos t, który jest w stanie bardzo łatwo dopasować strony https.
Dlatego blokowanie witryn https, takich jak Facebook, YouTube itp. Można to łatwo zrobić za pomocą MikroTik Router, jeśli wersja RouterOS jest wyższa niż 6.41.
Filtrowanie na podstawie nazw hostów
Możesz użyć „tls-host” w regułach zapory sieciowej, aby filtrować ruch na podstawie nazw hostów zamiast adresów IP. Może to być korzystne, jeśli adresy IP serwerów, z którymi się komunikujesz, często się zmieniają i wolisz używać stałych nazw hostów.
/ip filtr zapory sieciowej dodaj łańcuch=przekaż dst-port=443 protokół=tcp tls-host=example.com akcja=akceptuj
W tym przykładzie reguła zezwoli na wychodzący ruch TLS na port 443 przeznaczony dla „example.com”.
Zarządzanie certyfikatami i nazwami hostów
Korzystając z opcji „tls-host” możesz ułatwić zarządzanie certyfikatami SSL/TLS w swojej sieci. Jeśli certyfikaty ulegną zmianie lub zostaną odnowione, a nazwa hosta pozostanie taka sama, nie będzie potrzeby aktualizowania reguł zapory sieciowej o nowe adresy IP.
Zmniejszenie zależności od stałych adresów IP
W niektórych przypadkach, szczególnie podczas interakcji z usługami hostowanymi w chmurze lub z dostawcami usług, którzy mogą zmieniać przypisane adresy IP, użycie „tls-host” zapewnia warstwę abstrakcji, która zmniejsza zależność od stałych adresów IP.
/ip filtr zapory sieciowej dodaj łańcuch=przekaż dst-port=8443 protokół=tcp tls-host=cloud-service.com akcja=zaakceptuj
Tutaj wychodzący ruch TLS do portu 8443 przeznaczony dla „cloud-service.com” będzie dozwolone niezależnie od aktualnego adresu IP usługi.
Należy pamiętać, że aby opcja „tls-host” była skuteczna, usługa zdalna musi obsługiwać używanie nazw hostów zamiast adresów IP. Nie wszystkie usługi lub aplikacje umożliwiają taką elastyczność, dlatego niezwykle ważne jest zapoznanie się z dokumentacją konkretnej usługi, z której korzystasz.
Jak blokować witryny HTTPS za pomocą narzędzia TLS Host Matcher
- Przejdź do pozycji menu IP > Zapora sieciowa i kliknij zakładkę Reguły filtrowania, a następnie kliknij ZNAK PLUS (+). Pojawi się okno Nowa reguła zapory.
- Z menu rozwijanego Ciąg wybierz opcję Dalej.
- Z menu rozwijanego Protokół wybierz opcję tcp.
- Kliknij opcję Dst. Port i skrzynka wejściowa portu 443.
- Kliknij kartę Zaawansowane, kliknij pole wprowadzania Host TLS i wpisz w tym polu nazwę domeny, którą chcesz zablokować (np. *.facebook.com).
- Kliknij kartę Akcja i wybierz opcję Drop z menu rozwijanego Akcja.
- Kliknij Zastosuj i przycisk OK.
Reguła zapory sieciowej według polecenia
/ip filtr zapory sieciowej dodaj łańcuch=przekaż dst-port=443 protokół=tcp tls-host=*.facebook.com akcja=upuść
Krótki quiz wiedzy
Co sądzisz o tym artykule?
Czy odważysz się ocenić zdobytą wiedzę?
Książka polecana do tego artykułu
Książka o zaawansowanych zabezpieczeniach RouterOS v7
Materiały do kursu certyfikacyjnego MTCSE, zaktualizowane do wersji RouterOS v7
Powiązane artykuły
- MikroTik IPSec: Wybierz pomiędzy trybem tunelowym a trybem transportowym dla VPN
- Filtr ICMP w zaporze MikroTik
- Między stanem a bezstanem: opanowanie zapory sieciowej MikroTik
- MikroTik i uwierzytelnianie bezprzewodowe: zrozumienie opcji „Zezwalaj na klucz współdzielony”
- HSRP, VRRP, GLBP: Zrozumienie kluczowych protokołów zapewniających redundancję sieci