Come bloccare il traffico dns con Mikrotik?
1. Introduzione
La sicurezza della rete è una preoccupazione crescente per aziende e privati, soprattutto con l’aumento del traffico DNS dannoso. Gli attacchi tramite il traffico DNS possono avere gravi conseguenze, tra cui la diffusione di malware, il furto di dati e l’interruzione del servizio. Ecco perché la protezione del traffico DNS è diventata una parte fondamentale di qualsiasi strategia di sicurezza online.
I router ad alta capacità di MikroTik sono dotati di RouterOS come sistema operativo di routing, firewall o QOS. RouterOS offre un’ampia gamma di strumenti di sicurezza per proteggere la rete. In questo articolo analizzeremo come bloccare il traffico DNS indesiderato o dannoso con MikroTik.
Verranno illustrate diverse tecniche e strategie, dall’impostazione di un firewall all’utilizzo di elenchi di indirizzi per bloccare siti web specifici. Discuteremo anche l’importanza di aggiungere un sistema DNS come Flahstart alla nostra protezione.
2. Configurare il router MikroTik per bloccare il traffico DNS indesiderato o dannoso
La configurazione di un router MikroTik per bloccare il traffico DNS indesiderato o dannoso è una misura importante per proteggere la rete da potenziali minacce e attacchi informatici. I firewall sono un modo efficace per proteggere la rete, in quanto possono monitorare e filtrare il traffico in entrata e in uscita in base a determinate regole e criteri di sicurezza. Ma non è l’unica opzione: in questo post esamineremo alcune alternative.
RouterOS dispone di un proxy DNS per la risoluzione e il caching della navigazione web. Il filtraggio di diversi contenuti su un router Mikrotik può essere effettuato utilizzando la funzione DNS o applicando direttamente le regole del firewall sul router. È possibile configurare regole basate su diversi fattori, come indirizzi IP, porte, protocolli o interfacce di rete. È anche possibile definire regole basate su gruppi di indirizzi IP o su elenchi di domini noti come dannosi.
Per applicare un filtro a un particolare dominio, è possibile utilizzare l’opzione Statica all’interno del DNS e assegnare un record A a un IP interno o inesistente, in modo che un utente che cerca quel dominio non sia in grado di accedervi.
Tenete presente che, per eseguire questa azione, il DNS dell’utente deve essere il nostro router. Esistono molte tecniche all’interno della configurazione per far sì che l’utente utilizzi sempre il nostro DNS, come l’azione Redirect, all’interno del firewall.
Nell’esempio seguente vediamo come assegnare l’IP 2.2.2.2.2 al dominio Facebook.com; un utente non sarà in grado di navigare verso Facebook se questa voce è di tipo statico. Possiamo anche utilizzare un indirizzo IP interno con un web che indica “Accesso vietato”; queste opzioni dipendono sempre dalle policy e dall’amministratore.
È importante tenere presente che un firewall non è un’unica soluzione per proteggere la rete dagli attacchi. Pertanto, è consigliabile implementare misure di sicurezza aggiuntive, come regole per proteggere la rete e i router esposti a Internet. Questo è uno dei modi che Mikrotik offre per bloccare il traffico DNS.
>> FlashStart è totalmente basato sul cloud ed è facile da attivare → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
3. Utilizzare elenchi di domini o indirizzi IP per identificare e bloccare siti web specifici o gruppi di siti web
Mikrotik è molto flessibile quando si tratta di impostazioni di dominio; esistono diversi modi per filtrare i contenuti:
» Utilizzando il Firewall con l’opzione contenuti.
» Applicando regole di tipo TLS-Host.
»Utilizzando l’elenco degli indirizzi con i domini.
Di seguito analizzeremo queste tre opzioni:
3.1 Utilizzo del firewall Mikrotik con l’opzione “contenuto”
L’opzione “contenuto” del firewall MikroTik è uno strumento che consente di filtrare il traffico di rete in base al suo contenuto. Questa opzione consente di specificare parole chiave o modelli di testo che il firewall cercherà nel traffico di rete in entrata e in uscita. Se viene trovata una corrispondenza, verrà applicata l’azione definita nella regola del firewall corrispondente.
Ad esempio, è possibile configurare una regola del firewall MikroTik che cerchi tutti i pacchetti di rete contenenti la parola “video”. Se viene trovato un pacchetto contenente questa parola, la regola può bloccare il pacchetto o reindirizzarlo a un altro server.
L’opzione “contenuto” può essere utile anche per bloccare siti web specifici o contenuti inappropriati. È possibile impostare una regola nel firewall che cerchi un URL specifico o una parola chiave nel contenuto del sito web e bloccarlo se viene trovato. Ricordate che la stragrande maggioranza del traffico è criptato, utilizzando HTTPS; se questa regola non è efficace per questo traffico, ci sono altre opzioni disponibili.
3.2 Applicare regole di tipo TLS-HOST
L’opzione “tls-host” di MikroTik è una funzione del firewall che consente di identificare gli indirizzi IPS prima che avvenga l’Hand-shake del certificato e che il traffico venga crittografato. In questa parte della negoziazione del certificato, i dati non vengono crittografati.
Configurando una regola del firewall con l’opzione “tls-host”, è possibile specificare il nome del dominio, ad esempio *.facebook.com e aggiungere gli indirizzi IPS in un elenco per un ulteriore monitoraggio.
3.3 Utilizzo dell’elenco di indirizzi con i domini.
Se disponiamo già dell’ultima versione del software RouterOS, possiamo utilizzare l’Elenco indirizzi con nomi di dominio; ciò significa che se creiamo un Elenco indirizzi con il nome Facebook e il dominio www.facebook.com, sarà in grado di identificare automaticamente quegli indirizzi IP.
Durante la navigazione, gli indirizzi IP del dominio vengono aggiunti a un elenco di indirizzi che può essere bloccato.
4. Flashstart come integrazione DNS con Mikrotik
È vero che Mikrotik dispone di molte opzioni di filtraggio, ma molte volte ci accorgiamo che ci sono molti domini associati a un dominio principale, il che significa che, ad esempio, il dominio Facebook.com è collegato a domini diversi come fb.com Facebook.es fbcdn.com, ecc.
In questi casi l’amministratore avrà bisogno di molto tempo per la ricerca e la configurazione. L’utilizzo di un sistema DNS come Flashtart, integrato con il nostro router Mikrotik, è una scelta migliore. Va ricordato che Mikrotik ha elevate capacità di gestione, ma se stiamo cercando un filtraggio più efficace senza utilizzare la CPU del router, Flashstart è una scelta eccellente.
Flashstart ha la capacità di bloccare il traffico DNS solo specificando il dominio, grazie alla sua intelligenza artificiale è in grado di identificare tutti i domini associati, senza l’intervento dell’amministratore per tutto il tempo, richiederà solo una piccola configurazione iniziale di pochi minuti. Potete consultare la nostra guida.
Potremo selezionare i domini categorizzati in un elenco o aggiungere i nostri domini dalla sezione “Lista nera personale”.
5. Note finali
In conclusione, il blocco del traffico DNS indesiderato o dannoso sulla rete è una misura importante per proteggere gli utenti e prevenire gli attacchi informatici. L’impostazione di un firewall sul vostro MikroTik può aiutarvi a bloccare il traffico DNS indesiderato o dannoso e, insieme a integrazioni come Flashstart, potete effettivamente bloccare il traffico DNS in modo sicuro.
In questo articolo abbiamo visto come bloccare il traffico DNS sul vostro MikroTik creando regole firewall e configurando l’opzione “content”. Abbiamo anche visto come l’opzione “tls-host” possa essere utilizzata per identificare il traffico su siti sicuri e quindi applicare Address-List per il controllo.
Bloccare il traffico DNS è un compito complesso per un amministratore se non dispone degli strumenti giusti per questa esigenza. Flashstart farà questo lavoro per noi e non dovremo più preoccuparci che i nostri sottodomini vengano aggiunti a un dominio root, Flashstart sarà in grado di identificarli e bloccare il traffico DNS.
Potete seguire queste raccomandazioni di sicurezza per assicurarvi di proteggere la vostra rete dagli attacchi informatici e garantire un ambiente sicuro agli utenti della rete.
Ci vediamo nel prossimo post!
>> FlashStart è leader nella sicurezza Internet in cloud e protegge contro malware e contenuti indesiderati → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.