La tls-host chaguo katika MikroTik RouterOS ni kipengele cha ngome kinachoruhusu trafiki ya TLS kuchujwa kulingana na jina la kikoa la seva ambayo inaelekezwa.
Hii inaweza kuwa muhimu kwa kuzuia ufikiaji wa tovuti hasidi au zisizotakikana, au kudhibiti mtiririko wa trafiki kwenye mtandao wako.
Mwishoni mwa makala utapata ndogo mtihani hiyo itakuruhusu tathmini maarifa yaliyopatikana katika usomaji huu
Walakini, ni muhimu kutambua kuwa kutumia tls-host kuna mapungufu na tahadhari kadhaa:
Mapungufu
- Inafanya kazi na trafiki ya TLS pekee: Haiathiri trafiki ya HTTP au itifaki nyingine yoyote isipokuwa TLS.
- Inahitaji utatuzi wa jina la kikoa: Ngome inahitaji kutatua jina la kikoa la seva ili kutekeleza sheria. Utatuzi ukishindwa, trafiki inaweza kupita bila kuchujwa.
- Inaweza kuwa katika hatari ya mashambulizi ya bypass: Wavamizi wanaweza kutumia mbinu kuficha jina halisi la kikoa cha seva, na kufanya sheria ya tls-hosti kutofanya kazi.
- Zima upakuaji wa maunzi: Unapotumia tls-host, upakiaji wa maunzi kwa ajili ya kuchakata pakiti za TLS umezimwa, jambo ambalo linaweza kupunguza utendakazi wa mtandao.
Tahadhari
- Usizuie tovuti halali: Hakikisha sheria za tls-host hazizuii tovuti ambazo watumiaji wako wanahitaji.
- Kuwa mwangalifu na kadi-mwitu: Epuka kutumia kadi-mwitu katika sheria za mwenyeji wa tls, kwa kuwa hii inaweza kuzuia trafiki zaidi kuliko unavyotaka.
- Sasisha MicroTik: Hakikisha kwamba MikroTik RouterOS yako imesasishwa na viraka vya hivi punde zaidi vya usalama ili kuepuka athari.
Alternativas
- Vichungi vya IP: Unaweza kuchuja trafiki kulingana na anwani ya IP ya seva, ambayo inaweza kuwa na ufanisi zaidi katika baadhi ya matukio.
- Kutumia orodha za ufikiaji: Unaweza kutumia orodha za ufikiaji kubainisha ni seva au vikoa vipi vinavyoruhusiwa au kuzuiwa.
- Utekelezaji wa proksi ya wavuti: Wakala wa wavuti anaweza kuchuja yaliyomo kwenye kurasa za wavuti na kuzuia ufikiaji wa tovuti hasidi.
Chaguo la tls-host inaweza kuwa zana muhimu ya kuchuja trafiki ya TLS katika MikroTik RouterOS, lakini ni muhimu kuitumia kwa tahadhari na kufahamu mapungufu yake.
Fikiria njia mbadala na ufuate mbinu zinazofaa za usalama ili kulinda mtandao wako ipasavyo.
Tovuti nyingi sasa zinatumia https na kuzuia tovuti za https ni ngumu zaidi na toleo la MikroTik RouterOS chini ya 6.41. Lakini kuanzia na RouterOS v6.41, MikroTik Firewall inatanguliza mali mpya inayoitwa TLS Hos t ambayo inaweza kulinganisha tovuti za https kwa urahisi sana.
Kwa hivyo, kuzuia tovuti za https kama Facebook, YouTube, nk. Inaweza kufanywa kwa urahisi na MikroTik Router ikiwa toleo la RouterOS ni kubwa kuliko 6.41.
Kuchuja kulingana na majina ya seva pangishi
Unaweza kutumia "tls-host" katika sheria za ngome ili kuchuja trafiki kulingana na majina ya wapangishaji badala ya anwani za IP. Hii inaweza kuwa na manufaa ikiwa anwani za IP za seva unazowasiliana nazo zinaweza kubadilika na unapendelea kutumia majina ya seva pangishi ambayo hayabadiliki.
/ip kichujio cha ngome ongeza chain=forward dst-port=443 protocol=tcp tls-host=example.com action=kubali
Katika mfano huu, sheria itaruhusu trafiki ya TLS inayotoka nje hadi bandari 443 inayolengwa kwa "example.com."
Cheti na usimamizi wa jina la mwenyeji
Kwa kutumia chaguo la "tls-host", unaweza kurahisisha kudhibiti vyeti vya SSL/TLS kwenye mtandao wako. Ikiwa vyeti vinabadilika au kusasishwa na jina la mpangishaji likabaki vile vile, hutahitaji kusasisha sheria za ngome kwa kutumia anwani mpya za IP.
Kupunguza utegemezi kwa anwani za IP zisizobadilika
Katika baadhi ya matukio, hasa wakati wa kuingiliana na huduma zinazopangishwa na wingu au na watoa huduma ambao wanaweza kubadilisha anwani za IP walizokabidhiwa, kwa kutumia "tls-host" hutoa safu ya uondoaji ambayo hupunguza utegemezi wa anwani za IP zisizobadilika.
/ip kichujio cha ngome ongeza chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Hapa, trafiki ya TLS inayoondoka hadi bandari 8443 inayokusudiwa "cloud-service.com” itaruhusiwa bila kujali anwani ya IP ya sasa ya huduma.
Ni muhimu kutambua kwamba ili chaguo la "tls-host" liwe na ufanisi, huduma ya mbali lazima iauni matumizi ya majina ya seva pangishi badala ya anwani za IP. Si huduma zote au programu zinazoruhusu unyumbufu huu, kwa hivyo ni muhimu kukagua hati za huduma mahususi unayotumia.
Jinsi ya Kuzuia Tovuti za HTTPS kwa kutumia Kilinganishi cha Mpangishi wa TLS
- Nenda kwenye kipengee cha menyu ya IP > Firewall na ubofye kichupo cha Sheria za Kuchuja na kisha ubofye PLUS SIGN (+). Dirisha la Sheria Mpya ya Firewall inaonekana.
- Chagua mbele kutoka kwa menyu kunjuzi ya Kamba.
- Chagua tcp kutoka kwenye menyu kunjuzi ya Itifaki.
- Bonyeza Dst. Sanduku la kuingilia la bandari na bandari 443.
- Bofya kwenye kichupo cha Kina na ubofye kisanduku cha ingizo cha Seva TLS na uweke jina la kikoa unalotaka kuzuia (kama vile *.facebook.com) kwenye kisanduku hiki.
- Bofya kichupo cha Kitendo na uchague kuacha kutoka kwenye menyu kunjuzi ya Kitendo.
- Bonyeza Tuma na kitufe cha Sawa.
Utawala wa Firewall kwa Amri
/ip kichujio cha ngome ongeza chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Jaribio fupi la maarifa
Una maoni gani kuhusu makala hii?
Je, unathubutu kutathmini ujuzi wako uliojifunza?
Kitabu kinachopendekezwa kwa makala haya
Kitabu cha Usalama cha Juu cha RouterOS v7
Nyenzo za masomo kwa Kozi ya Udhibitishaji wa MTCSE, iliyosasishwa hadi RouterOS v7
Machapisho yanayohusiana
- MikroTik IPSec: Chagua kati ya Njia ya Tunnel na Njia ya Usafiri ya VPN
- Kichujio cha ICMP kwenye Firewall ya MikroTik
- Kati ya Imara na Isiyo na Uraia: Kusimamia Firewall ya MikroTik
- MikroTik na Uthibitishaji Bila Waya: Kuelewa 'Ruhusu Ufunguo Ulioshirikiwa'
- HSRP, VRRP, GLBP: Kuelewa Itifaki Muhimu za Upungufu wa Mtandao