La tls-host na opsyon sa MikroTik RouterOS ay isang feature ng firewall na nagbibigay-daan sa trapiko ng TLS na ma-filter batay sa domain name ng server kung saan ito nakadirekta.
Maaari itong maging kapaki-pakinabang para sa pagharang ng access sa mga nakakahamak o hindi gustong mga website, o para sa pagkontrol sa daloy ng trapiko sa iyong network.
Sa dulo ng artikulo ay makikita mo ang isang maliit pagsusulit papayagan ka nito suriin ang kaalamang natamo sa pagbasang ito
Gayunpaman, mahalagang tandaan na ang paggamit ng tls-host ay may ilang mga limitasyon at pag-iingat:
Mga Limitasyon
- Gumagana lamang sa trapiko ng TLS: Hindi ito nakakaapekto sa trapiko ng HTTP o anumang iba pang protocol maliban sa TLS.
- Nangangailangan ng resolution ng domain name: Kailangang lutasin ng firewall ang domain name ng server upang mailapat ang panuntunan. Kung mabigo ang paglutas, maaaring dumaan ang trapiko nang hindi na-filter.
- Maaaring mahina sa mga pag-atake sa bypass: Ang mga umaatake ay maaaring gumamit ng mga diskarte upang itago ang tunay na pangalan ng domain ng server, na ginagawang hindi epektibo ang panuntunan ng tls-host.
- Huwag paganahin ang pag-download ng hardware: Kapag gumagamit ng tls-host, ang pag-offload ng hardware para sa pagproseso ng mga TLS packet ay hindi pinagana, na maaaring magpababa sa pagganap ng network.
Pag-iingat
- Huwag i-block ang mga lehitimong website: Tiyaking hindi sinasadyang i-block ng mga panuntunan ng tls-host ang mga website na kailangan ng iyong mga user.
- Mag-ingat sa mga wildcard: Iwasang gumamit ng mga wildcard sa mga panuntunan ng tls-host, dahil maaari itong humarang ng mas maraming trapiko kaysa sa gusto mo.
- Panatilihing na-update ang MikroTik: Siguraduhin na ang iyong MikroTik RouterOS ay na-update sa pinakabagong mga patch ng seguridad upang maiwasan ang mga kahinaan.
Alternatibo
- Mga filter na batay sa IP: Maaari mong i-filter ang trapiko batay sa IP address ng server, na maaaring maging mas epektibo sa ilang mga kaso.
- Paggamit ng mga listahan ng access: Maaari kang gumamit ng mga listahan ng pag-access upang tukuyin kung aling mga server o domain ang pinapayagan o na-block.
- Pagpapatupad ng isang web proxy: Maaaring i-filter ng isang web proxy ang nilalaman ng mga web page at i-block ang access sa mga nakakahamak na website.
Ang opsyon ng tls-host ay maaaring maging isang kapaki-pakinabang na tool para sa pag-filter ng trapiko ng TLS sa MikroTik RouterOS, ngunit mahalagang gamitin ito nang may pag-iingat at magkaroon ng kamalayan sa mga limitasyon nito.
Isaalang-alang ang mga alternatibo at sundin ang naaangkop na mga kasanayan sa seguridad upang epektibong maprotektahan ang iyong network.
Karamihan sa mga website ay gumagamit na ngayon ng https at ang pagharang sa mga website ng https ay mas mahirap sa MikroTik RouterOS na bersyon na mas mababa sa 6.41. Ngunit simula sa RouterOS v6.41, ipinakilala ng MikroTik Firewall ang isang bagong ari-arian na tinatawag TLS Hos t na kayang tumugma sa mga website ng https nang napakadali.
Samakatuwid, ang pagharang sa mga website ng https tulad ng Facebook, YouTube, atbp. Madali itong magawa sa MikroTik Router kung ang bersyon ng RouterOS ay mas mataas sa 6.41.
Pag-filter batay sa mga pangalan ng host
Maaari mong gamitin ang "tls-host" sa mga panuntunan sa firewall upang i-filter ang trapiko batay sa mga hostname sa halip na mga IP address. Maaari itong maging kapaki-pakinabang kung ang mga IP address ng mga server na iyong nakikipag-usap ay madaling magbago at mas gusto mong gumamit ng mga hostname na nananatiling pare-pareho.
/ip firewall filter magdagdag ng chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
Sa halimbawang ito, papayagan ng panuntunan ang palabas na TLS na trapiko sa port 443 na nakalaan para sa "example.com."
Pamamahala ng sertipiko at hostname
Sa pamamagitan ng paggamit sa opsyong "tls-host", maaari mong gawing mas madali ang pamamahala ng mga SSL/TLS certificate sa iyong network. Kung ang mga sertipiko ay nagbago o na-renew at ang hostname ay nananatiling pareho, hindi mo kakailanganing i-update ang mga panuntunan sa firewall gamit ang mga bagong IP address.
Pagbabawas ng dependency sa mga nakapirming IP address
Sa ilang mga kaso, lalo na kapag nakikipag-ugnayan sa mga serbisyong naka-host sa cloud o sa mga service provider na maaaring magbago ng mga nakatalagang IP address, ang paggamit ng "tls-host" ay nagbibigay ng abstraction layer na nagpapababa ng pag-asa sa mga nakapirming IP address.
/ip firewall filter magdagdag ng chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Dito, ang papalabas na trapiko ng TLS sa port 8443 ay nakalaan para sa "cloud-service.com” ay papayagan anuman ang kasalukuyang IP address ng serbisyo.
Mahalagang tandaan na para maging epektibo ang opsyong "tls-host", dapat suportahan ng malayong serbisyo ang paggamit ng mga pangalan ng host sa halip na mga IP address. Hindi lahat ng serbisyo o application ay nagbibigay-daan sa kakayahang umangkop na ito, kaya mahalagang suriin ang dokumentasyon para sa partikular na serbisyo na iyong ginagamit.
Paano I-block ang Mga Website ng HTTPS gamit ang TLS Host Matcher
- Pumunta sa item ng menu ng IP > Firewall at i-click ang tab na Mga Panuntunan sa Pag-filter at pagkatapos ay i-click ang PLUS SIGN (+). Lumilitaw ang window ng Bagong Panuntunan ng Firewall.
- Pumili ng pasulong mula sa String na drop-down na menu.
- Pumili ng tcp mula sa drop-down na menu ng Protocol.
- I-click ang Dst. Port at port entry box 443.
- Mag-click sa tab na Advanced at mag-click sa input box ng TLS Host at ilagay ang domain name na gusto mong i-block (tulad ng *.facebook.com) sa kahon na ito.
- I-click ang tab na Aksyon at piliin ang drop mula sa drop-down na menu ng Aksyon.
- I-click ang Ilapat at ang OK na buton.
Panuntunan ng firewall ayon sa Command
/ip firewall filter magdagdag ng chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Inirerekomendang aklat para sa artikulong ito
RouterOS v7 Advanced Security Book
Pag-aaral ng materyal para sa MTCSE Certification Course, na-update sa RouterOS v7
Kaugnay na mga Artikulo
- MikroTik IPSec: Pumili sa pagitan ng Tunnel Mode at Transport Mode para sa VPN
- ICMP filter sa isang MikroTik Firewall
- Sa pagitan ng Stateful at Stateless: Mastering ang MikroTik Firewall
- MikroTik at Wireless Authentication: Pag-unawa sa 'Allow Shared Key'
- HSRP, VRRP, GLBP: Pag-unawa sa Mga Pangunahing Protokol para sa Kalabisan ng Network