ข้อตกลงทางไซเบอร์
หนังสือความปลอดภัยขั้นสูง RouterOS v7
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCSE อัปเดตเป็น RouterOS v7
$19,97
เพิ่มใส่ตะกร้า
วิธีบล็อกไซต์ HTTPS อย่างมีประสิทธิภาพด้วย MikroTik TLS Host
- เควิน โมแรน
- ไม่มีความเห็น
- แบ่งปันบทความนี้
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
La ตัวเลือก tls-host ใน MikroTik RouterOS เป็นคุณลักษณะไฟร์วอลล์ที่อนุญาตให้กรองการรับส่งข้อมูล TLS ตามชื่อโดเมนของเซิร์ฟเวอร์ที่นำทางไป
สิ่งนี้มีประโยชน์สำหรับการบล็อกการเข้าถึงเว็บไซต์ที่เป็นอันตรายหรือไม่พึงประสงค์ หรือสำหรับการควบคุมการรับส่งข้อมูลบนเครือข่ายของคุณ
อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือการใช้ tls-host มีข้อจำกัดและข้อควรระวังบางประการ:
ข้อ จำกัด
- ใช้งานได้กับการรับส่งข้อมูล TLS เท่านั้น: ไม่ส่งผลกระทบต่อการรับส่งข้อมูล HTTP หรือโปรโตคอลอื่นใดนอกเหนือจาก TLS
- ต้องมีการแก้ไขชื่อโดเมน: ไฟร์วอลล์จำเป็นต้องแก้ไขชื่อโดเมนของเซิร์ฟเวอร์เพื่อใช้กฎ หากการแก้ไขล้มเหลว การรับส่งข้อมูลอาจผ่านไปโดยไม่มีการกรอง
- อาจเสี่ยงต่อการถูกโจมตีแบบบายพาส: ผู้โจมตีสามารถใช้เทคนิคในการซ่อนชื่อโดเมนจริงของเซิร์ฟเวอร์ ซึ่งทำให้กฎ tls-host ไม่มีประสิทธิภาพ
- ปิดการใช้งานการดาวน์โหลดฮาร์ดแวร์: เมื่อใช้ tls-host การออฟโหลดฮาร์ดแวร์สำหรับการประมวลผลแพ็กเก็ต TLS จะถูกปิดใช้งาน ซึ่งอาจลดประสิทธิภาพเครือข่ายได้
ข้อควรระวัง
- อย่าบล็อกเว็บไซต์ที่ถูกกฎหมาย: ตรวจสอบให้แน่ใจว่ากฎ tls-host ไม่ได้บล็อกเว็บไซต์ที่ผู้ใช้ของคุณต้องการโดยไม่ได้ตั้งใจ
- ระวังไวด์การ์ด: หลีกเลี่ยงการใช้ไวลด์การ์ดในกฎ tls-host เนื่องจากอาจบล็อกการรับส่งข้อมูลมากกว่าที่คุณต้องการ
- อัปเดต MikroTik อยู่เสมอ: ตรวจสอบให้แน่ใจว่า MikroTik RouterOS ของคุณได้รับการอัพเดตด้วยแพทช์รักษาความปลอดภัยล่าสุดเพื่อหลีกเลี่ยงช่องโหว่
ทางเลือกที่
- ตัวกรองตาม IP: คุณสามารถกรองการรับส่งข้อมูลตามที่อยู่ IP ของเซิร์ฟเวอร์ ซึ่งอาจมีประสิทธิภาพมากกว่าในบางกรณี
- การใช้รายการเข้าถึง: คุณสามารถใช้รายการเข้าถึงเพื่อระบุเซิร์ฟเวอร์หรือโดเมนที่ได้รับอนุญาตหรือบล็อก
- การใช้งานเว็บพรอกซี: เว็บพรอกซีสามารถกรองเนื้อหาของหน้าเว็บและบล็อกการเข้าถึงเว็บไซต์ที่เป็นอันตรายได้
ตัวเลือก tls-host สามารถเป็นเครื่องมือที่มีประโยชน์สำหรับการกรองการรับส่งข้อมูล TLS ใน MikroTik RouterOS แต่สิ่งสำคัญคือต้องใช้ด้วยความระมัดระวังและคำนึงถึงข้อจำกัดของมัน
พิจารณาทางเลือกอื่นและปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่เหมาะสมเพื่อปกป้องเครือข่ายของคุณอย่างมีประสิทธิภาพ
เว็บไซต์ส่วนใหญ่ตอนนี้ใช้ https และการบล็อกเว็บไซต์ https นั้นยากขึ้นมากด้วย MikroTik RouterOS เวอร์ชันต่ำกว่า 6.41 แต่เริ่มต้นด้วย RouterOS v6.41 MikroTik Firewall จะแนะนำคุณสมบัติใหม่ที่เรียกว่า ทีแอลเอส ฮอส ซึ่งสามารถจับคู่เว็บไซต์ https ได้อย่างง่ายดายมาก
ดังนั้นการบล็อกเว็บไซต์ https เช่น Facebook, YouTube เป็นต้น ทำได้ง่ายๆ ด้วย MikroTik Router หากเวอร์ชัน RouterOS สูงกว่า 6.41
การกรองตามชื่อโฮสต์
คุณสามารถใช้ “tls-host” ในกฎไฟร์วอลล์เพื่อกรองการรับส่งข้อมูลตามชื่อโฮสต์แทนที่อยู่ IP ซึ่งจะเป็นประโยชน์หากที่อยู่ IP ของเซิร์ฟเวอร์ที่คุณสื่อสารด้วยมีแนวโน้มที่จะเปลี่ยนแปลง และคุณต้องการใช้ชื่อโฮสต์ที่คงที่
/ip ไฟร์วอลล์กรองเพิ่ม chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
ในตัวอย่างนี้ กฎจะอนุญาตให้รับส่งข้อมูล TLS ขาออกไปยังพอร์ต 443 ที่กำหนดไว้สำหรับ “example.com”
การจัดการใบรับรองและชื่อโฮสต์
ด้วยการใช้ตัวเลือก “tls-host” คุณสามารถทำให้การจัดการใบรับรอง SSL/TLS บนเครือข่ายของคุณง่ายขึ้น หากใบรับรองเปลี่ยนแปลงหรือต่ออายุและชื่อโฮสต์ยังคงเดิม คุณไม่จำเป็นต้องอัปเดตกฎไฟร์วอลล์ด้วยที่อยู่ IP ใหม่
ลดการพึ่งพาที่อยู่ IP แบบคงที่
ในบางกรณี โดยเฉพาะอย่างยิ่งเมื่อมีการโต้ตอบกับบริการที่โฮสต์บนคลาวด์หรือกับผู้ให้บริการที่อาจเปลี่ยนที่อยู่ IP ที่กำหนด การใช้ "tls-host" จะให้เลเยอร์นามธรรมที่ลดการพึ่งพาที่อยู่ IP แบบคงที่
/ip ตัวกรองไฟร์วอลล์เพิ่ม chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
ที่นี่การรับส่งข้อมูล TLS ขาออกไปยังพอร์ต 8443 ถูกกำหนดไว้สำหรับ “cloud-service.com” จะได้รับอนุญาตโดยไม่คำนึงถึงที่อยู่ IP ปัจจุบันของบริการ
สิ่งสำคัญคือต้องทราบว่าเพื่อให้ตัวเลือก "tls-host" มีประสิทธิภาพ บริการระยะไกลจะต้องรองรับการใช้ชื่อโฮสต์แทนที่อยู่ IP บริการหรือแอปพลิเคชันบางอย่างอาจไม่มีความยืดหยุ่นนี้ ดังนั้นการตรวจสอบเอกสารประกอบสำหรับบริการเฉพาะที่คุณใช้จึงเป็นสิ่งสำคัญ
วิธีบล็อกเว็บไซต์ HTTPS ด้วย TLS Host Matcher
- ไปที่รายการเมนู IP > ไฟร์วอลล์ แล้วคลิกแท็บกฎการกรอง จากนั้นคลิกเครื่องหมายบวก (+) หน้าต่างกฎไฟร์วอลล์ใหม่จะปรากฏขึ้น
- เลือกไปข้างหน้าจากเมนูแบบเลื่อนลง String
- เลือก tcp จากเมนูแบบเลื่อนลง Protocol
- คลิกวันเวลา พอร์ตและกล่องเข้าพอร์ต 443
- คลิกแท็บขั้นสูงแล้วคลิกช่องป้อนข้อมูล TLS Host แล้วใส่ชื่อโดเมนที่คุณต้องการบล็อก (เช่น *.facebook.com) ลงในช่องนี้
- คลิกแท็บการดำเนินการ และเลือกวางจากเมนูแบบเลื่อนลงการดำเนินการ
- คลิกนำไปใช้และปุ่มตกลง
กฎไฟร์วอลล์ตามคำสั่ง
/ip ตัวกรองไฟร์วอลล์เพิ่ม chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
บทความที่เกี่ยวข้อง
บทความที่เกี่ยวข้อง
ไมโครแล็บ
(ML-001) วิธีจัดการ IP สาธารณะหรือส่วนตัวหลายรายการบนเราเตอร์ Edge อย่างเหมาะสม
$8,99
(ML-002) วิธีกำหนดที่อยู่ IP สาธารณะให้กับลูกค้าด้วย MikroTik
$9,99
(ML-003) คำแนะนำในการกำหนดค่าเส้นทางออกอินเทอร์เน็ตด้วยผู้ให้บริการตั้งแต่สองรายขึ้นไป (การเฟลโอเวอร์และการเรียกซ้ำในการปรับสมดุล PCC)
$8,99
(ML-004) กรองกลยุทธ์การใช้งานเพื่อจำกัดการเข้าถึงหน้าเว็บด้วย MikroTik
$7,99
หัวข้ออื่นๆ ที่คุณอาจสนใจ
คุณต้องการแนะนำหัวข้อหรือไม่?
เราโพสต์เนื้อหาใหม่ทุกสัปดาห์ คุณต้องการให้เราพูดคุยเกี่ยวกับสิ่งที่เฉพาะเจาะจงหรือไม่?
หลักสูตรออนไลน์ที่กำลังจะมีขึ้น
เอ็มทีซีนออนไลน์
$187,00
เอ็มทีซีเอ็นเอออนไลน์
$187,00
เอ็มทีซีอาร์อีออนไลน์
$187,00
แพ็ค 4 เล่ม MikroTik RouterOS
$68,47
