Jest wiele powodów dla których powinniśmy wprowadzić ograniczenia w dostępie do Internetu w firmie czy w domu. Większość współczesnego szkodliwego oprogramowania typu ransoware, malware do komunikacji wykorzystuje adresy dnsowe, a może po prostu chcemy zablokować strony erotyczne, czy media społecznościowe. Wykorzystują router Mikrotik, jako urządzenie brzegowe możemy takie ograniczenia dodać na kilka sposobów. Pierwszy jaki opiszę, to wykorzystanie warstwy siódmej, czyli aplikacyjnej. Niestety filtrowanie po wyrażeniach regularnych, bardzo mocno obciąża CPU urządzenia. Przy dużej ilości użytkowników i mało wydajnym urządzeniu możemy znacząco odczuć spadek wydajności łącza w całej sieci. Jeżeli nie chcesz obciążać routera bądź nie posiadasz Mikrotika sprawdź jak filtrować treści za pomocą serwerów DNS.
Konfiguracja Layer7 Protocols
Zaczynamy od przygotowania wyrażenia regularnego, po którym chcemy blokować strony. Najlepszym przykładem będzie blokada dostępu do Facebook’a. Jak się domyślasz taki gigant jak Facebook posiada bardzo dużo serwerów, a nie chcemy tworzyć długiej listy a nazwami, dlatego zawęzimy wyszukiwania po słowie facebook. Przechodzimy na IP->Firewall i zakładka Layer7 Protocols. Znakiem plusa dodajemy nowy wpis.
- Name: podajemy dowolnie
- Regex: wpisujemy ^.+(facebook.com).*$
Konfiguracja Firewall’a
Przechodzimy na IP->Firewall i tworzymy nową regułę.
- Chain: foward
- Protocol: 6 (tcp)
- Dst. Port: 80,443
- Advanced: przy Layer7 Protocol wskazujemy wcześniej dodane wyrażenie regularne
- Action: drop, dodatkowo zaznaczamy log i podajemy Log Prefix, da nam to możliwość logowania prób wejść na zablokowane strony. Takie logi możemy przesłać dalej do SIEM’a czy kolektora logów
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S
Ok, a jeśli potrzebujemy zrobić białą listę?
Dostęp tylko do określonych stron?
Da się to zrobić w mikrotiku?
OK, ale czy routeros obsługuję filtrowanie L7 na podstawie tzw. „sygnatur aplikacji”?
Mechanizm znany z tzw. „UTM”.
Z tego co się orientuje to nie. Mikrotik jako UTM nie za bardzo się sprawdzi.
U mnie to nie działa. Ustawiłem ^.+(onet.pl).*$, kompletnie zero reakcji.
U mnie również nie działa
U mnie również nie działa. Inne rozwiązania takoż. https://help.mikrotik.com/docs/display/ROS/First+Time+Configuration
Layer7 nie może przecież przeszukiwać szyfrowanego strumienia HTTPS, a strony bez HTTPS to już rzadkość. Dlatego nie działa.
Tak, artykuł jest z czasów, gdzie większość serwisów nie wymagała SSL.
u mnie działa na https