La Opção tls-host no MikroTik RouterOS é um recurso de firewall que permite que o tráfego TLS seja filtrado com base no nome de domínio do servidor ao qual é direcionado.
Isso pode ser útil para bloquear o acesso a sites maliciosos ou indesejados ou para controlar o fluxo de tráfego na sua rede.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
Porém, é importante observar que o uso do tls-host possui algumas limitações e cuidados:
Limitações
- Funciona apenas com tráfego TLS: Não afeta o tráfego HTTP ou qualquer outro protocolo que não seja o TLS.
- Requer resolução de nome de domínio: O firewall precisa resolver o nome de domínio do servidor para aplicar a regra. Se a resolução falhar, o tráfego poderá passar sem ser filtrado.
- Pode ser vulnerável a ataques de bypass: Os invasores podem usar técnicas para ocultar o nome de domínio real do servidor, tornando a regra tls-host ineficaz.
- Desative o download de hardware: Ao usar tls-host, o descarregamento de hardware para processamento de pacotes TLS é desabilitado, o que pode diminuir o desempenho da rede.
Precauções
- Não bloqueie sites legítimos: Certifique-se de que as regras do tls-host não bloqueiem acidentalmente os sites de que seus usuários precisam.
- Tenha cuidado com curingas: Evite usar curingas nas regras tls-host, pois isso pode bloquear mais tráfego do que você deseja.
- Mantenha o MikroTik atualizado: Certifique-se de que seu MikroTik RouterOS esteja atualizado com os patches de segurança mais recentes para evitar vulnerabilidades.
Alternativas
- Filtros baseados em IP: Você pode filtrar o tráfego com base no endereço IP do servidor, o que pode ser mais eficaz em alguns casos.
- Usando listas de acesso: Você pode usar listas de acesso para especificar quais servidores ou domínios são permitidos ou bloqueados.
- Implementação de um proxy web: Um proxy web pode filtrar o conteúdo de páginas web e bloquear o acesso a sites maliciosos.
A opção tls-host pode ser uma ferramenta útil para filtrar o tráfego TLS no MikroTik RouterOS, mas é importante utilizá-la com cautela e estar ciente de suas limitações.
Considere alternativas e siga práticas de segurança apropriadas para proteger sua rede de forma eficaz.
A maioria dos sites agora usa https e bloquear sites https é muito mais difícil com a versão MikroTik RouterOS inferior a 6.41. Mas a partir do RouterOS v6.41, o MikroTik Firewall introduz uma nova propriedade chamada Portas TLS t que é capaz de combinar sites https com muita facilidade.
Portanto, bloquear sites https como Facebook, YouTube, etc. Isso pode ser feito facilmente com o MikroTik Router se a versão do RouterOS for superior a 6.41.
Filtragem com base em nomes de host
Você pode usar “tls-host” nas regras de firewall para filtrar o tráfego com base em nomes de host em vez de endereços IP. Isso pode ser benéfico se os endereços IP dos servidores com os quais você se comunica forem propensos a mudanças e você preferir usar nomes de host que permaneçam constantes.
/ip filtro de firewall adicionar chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
Neste exemplo, a regra permitirá o tráfego TLS de saída para a porta 443 destinada a “example.com”.
Gerenciamento de certificados e nomes de host
Ao usar a opção “tls-host”, você pode facilitar o gerenciamento de certificados SSL/TLS em sua rede. Se os certificados mudarem ou forem renovados e o nome do host permanecer o mesmo, você não precisará atualizar as regras do firewall com novos endereços IP.
Reduzindo a dependência de endereços IP fixos
Em alguns casos, especialmente ao interagir com serviços hospedados em nuvem ou com provedores de serviços que podem alterar endereços IP atribuídos, o uso de “tls-host” fornece uma camada de abstração que reduz a dependência de endereços IP fixos.
/ip filtro de firewall adicionar chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Aqui, o tráfego TLS de saída para a porta 8443 destinado a “cloud-service.com”Será permitido independentemente do endereço IP atual do serviço.
É importante observar que para que a opção “tls-host” seja eficaz, o serviço remoto deve suportar o uso de nomes de host em vez de endereços IP. Nem todos os serviços ou aplicativos permitem essa flexibilidade, por isso é crucial revisar a documentação do serviço específico que você está usando.
Como bloquear sites HTTPS com TLS Host Matcher
- Vá para o item de menu IP > Firewall e clique na guia Regras de Filtragem e depois clique no SINAL DE MAIS (+). A janela Nova regra de firewall é exibida.
- Escolha avançar no menu suspenso String.
- Escolha tcp no menu suspenso Protocolo.
- Clique em Dst. Porta e caixa de entrada da porta 443.
- Clique na guia Avançado e clique na caixa de entrada TLS Host e coloque o nome de domínio que deseja bloquear (como *.facebook.com) nesta caixa.
- Clique na guia Ação e escolha soltar no menu suspenso Ação.
- Clique em Aplicar e no botão OK.
Regra de firewall por comando
/ip filtro de firewall adicionar chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro de segurança avançada do RouterOS v7
Material de estudo para o Curso de Certificação MTCSE, atualizado para RouterOS v7
Artigos relacionados
- MikroTik IPSec: Escolha entre modo túnel e modo de transporte para VPN
- Filtro ICMP em um Firewall MikroTik
- Entre Stateful e Stateless: Dominando o Firewall MikroTik
- MikroTik e autenticação sem fio: entendendo 'Permitir chave compartilhada'
- HSRP, VRRP, GLBP: Compreendendo os principais protocolos para redundância de rede