Konfiguracja MikroTik — Część 68: Wykorzystanie MikroTik jako Transparentnego Proxy HTTPS z TLS Passthrough
Konfiguracja MikroTik — Część 68: Wykorzystanie MikroTik jako Transparentnego Proxy HTTPS z TLS Passthrough
Wstęp
W wielu środowiskach sieciowych istnieje potrzeba monitorowania, filtrowania lub przekierowywania ruchu HTTPS bez bezpośredniego ingerowania w jego zawartość. Choć MikroTik nie oferuje klasycznego transparentnego proxy HTTPS z możliwością deszyfrowania SSL/TLS, jego zaawansowane możliwości routingu i polityki firewall pozwalają na realizację Transparent TLS Passthrough Proxy — scenariusza, w którym ruch HTTPS jest przekierowywany do dedykowanego serwera proxy (np. Squid, nginx lub haproxy) bez łamania sesji TLS.
Krok 1 — Założenia Architektury
- MikroTik pełni rolę edge routera/firewalla
- Proxy HTTPS (np. Squid z SSL Bump) znajduje się w strefie DMZ lub VLAN proxy
- Ruch HTTPS z sieci LAN jest transparentnie przekierowywany na serwer proxy
- MikroTik odpowiada za policy based routing (PBR) lub przekierowanie NAT
Krok 2 — Konfiguracja Bridge do Przejęcia Ruchu
/interface bridge add name=bridge-proxy
/interface bridge port add bridge=bridge-proxy interface=ether2
/interface bridge port add bridge=bridge-proxy interface=ether3
- ether2 — LAN
- ether3 — Proxy HTTPS
Krok 3 — Przekierowanie Ruchu HTTPS przez NAT
/ip firewall nat add chain=dstnat protocol=tcp dst-port=443 \
action=dst-nat to-addresses=192.168.10.2 to-ports=3128 \
src-address=192.168.1.0/24
- 192.168.10.2 — adres serwera proxy HTTPS
- 3128 — port Squid SSL Bump
Krok 4 — Ominięcie NAT dla Ruchu z Proxy
/ip firewall nat add chain=dstnat src-address=192.168.10.2 action=accept
Krok 5 — Routing Zwrotny przez MikroTik
Aby uniknąć asymetrycznych tras:
/ip route add dst-address=192.168.1.0/24 gateway=bridge-proxy
Krok 6 — Konfiguracja Proxy HTTPS z TLS Passthrough
Przykładowa konfiguracja Squid z SSL Bump (na serwerze proxy):
http_port 3128 ssl-bump cert=/etc/squid/ssl_cert.pem key=/etc/squid/ssl_key.pem
ssl_bump peek all
ssl_bump splice all
Krok 7 — Testowanie Scenariusza Transparentnego TLS Proxy
Z poziomu klienta (np. curl):
curl -v https://example.com --proxy http://192.168.10.2:3128
Monitoruj logi Squid i rejestruj czy ruch przechodzi prawidłowo.
Krok 8 — Zabezpieczenia i Filtry
- Ogranicz ruch do proxy tylko z sieci LAN
- Wymuś ACL na serwerze proxy
- Wdroż system kontroli certyfikatów (np. z własnym CA)
Zastosowania Produkcyjne
- Transparentne filtrowanie ruchu HTTPS w środowiskach edukacyjnych lub firmowych
- Wymuszanie polityki dostępu do internetu
- Audyt i logowanie ruchu HTTPS
- Integracja z SIEM lub systemami DLP
Podsumowanie
Choć MikroTik nie pełni roli klasycznego transparentnego HTTPS proxy z możliwością deszyfrowania TLS, jego funkcje NAT i PBR pozwalają na wdrożenie architektury, w której MikroTik pełni rolę kontrolera ruchu HTTPS kierowanego do dedykowanego proxy. Takie rozwiązanie umożliwia organizacjom budowę warstwowego modelu bezpieczeństwa z monitorowaniem i analizą ruchu SSL/TLS na poziomie aplikacji.
MikroTik dla zaawansowanych — część 11: Integracja MikroTik z MDM i compliance enforcement Wprowadzenie W dobie rosnącej mobilności pracowników, rozproszonej Czytaj dalej
WinMTR: Jak używać? Kompleksowy przewodnik WinMTR to jedno z najpopularniejszych narzędzi diagnostycznych do analizy problemów z połączeniem sieciowym. Łączy funkcje Czytaj dalej
