Košík
0
0,00 Kč
„Průvodce nastavením firewallu: Jak chránit malou firmu, velkou firmu a domácnost“
04.11.2024
Firewall je jedním z klíčových nástrojů kybernetické bezpečnosti. Pokud nevíte, jak funguje, doporučujeme nejprve přečíst naše předchozí články o firewallech a portech. Dnes se ale zaměříme na praktické aspekty jeho nastavení a ukážeme, jak by měl být firewall konfigurován ve třech různých prostředích: malé firmě, velké firmě a domácnosti.
Každý z těchto scénářů má unikátní požadavky na zabezpečení a otevřené porty. V tomto článku si na konkrétních příkladech ukážeme, jak efektivně chránit zařízení a síťová připojení.
1. Scénář: Malá firma
Malá účetní kancelář potřebuje přístup k e-mailům a webovým aplikacím, ale neprovozuje vlastní servery. Doporučuje se povolit jen základní porty (HTTP, HTTPS a SMTP) a zcela blokovat vzdálené přístupy, pokud nejsou nezbytné.
Požadavky:
- Ochrana před externími hrozbami.
- Omezení přístupu pouze na služby, které firma aktivně využívá.
- Jednoduché a snadno udržovatelné nastavení.
Doporučená pravidla:
- Povolené porty:
- 80 (HTTP) a 443 (HTTPS): Pro běžné prohlížení webu a šifrovaný provoz.
- 587 (SMTP): Odesílání e-mailů.
- 3389 (RDP): Pouze pro vzdálenou správu, ideálně s omezením na specifické IP adresy.
- Blokované porty:
- 135–139 a 445: Porty související se SMB, které jsou často zneužívány ransomwarem.
- Všechny ostatní porty, které firma nevyužívá.
2. Scénář: Velká firma
Středně velká výrobní firma má centrální datové servery a pobočky. Firewall by měl umožňovat bezpečné propojení přes VPN a blokovat veškerý neautorizovaný přístup k databázím i serverům.
Požadavky:
- Pokročilá ochrana citlivých dat a interní komunikace.
- Oddělení jednotlivých částí sítě (např. veřejná síť, interní síť, datové servery).
- Podpora vzdáleného přístupu pro zaměstnance i partnery.
Doporučená pravidla:
- Povolené porty:
- 443 (HTTPS): Pro šifrovanou webovou komunikaci.
- 22 (SSH): Pro správu serverů.
- 1194 (OpenVPN): Pro vzdálený přístup přes VPN.
- Specifické porty pro interní systémy, např. 3306 (MySQL) nebo 1433 (MS SQL), ale s přístupem omezeným na konkrétní IP adresy.
- Blokované porty:
- Veřejné přístupy na databázové porty (např. 3306), pokud nejsou chráněny VPN.
- Omezení nešifrovaného provozu (HTTP) ve prospěch HTTPS.
Speciální doporučení:
- Implementujte mikrosegmentaci – rozdělte síť na menší části podle funkce (např. marketing, vývoj, HR).
- Pravidelně monitorujte síť pomocí nástrojů, jako je SIEM (Security Information and Event Management).
3. Scénář: Domácnost
Rodina využívající chytré televizory a bezpečnostní kamery by měla zajistit, aby přístup na kamery byl možný pouze ze zařízení připojených k domácí Wi-Fi. Zároveň by měla blokovat veškeré neautorizované pokusy o přístup z internetu.
Požadavky:
- Zabezpečení zařízení jako jsou chytré televize, IoT zařízení (např. chytré kamery), notebooky a mobily.
- Ochrana před malwarem a externími útoky.
Doporučená pravidla:
- Povolené porty:
- 80 (HTTP) a 443 (HTTPS): Pro běžné surfování.
- Porty specifické pro IoT zařízení (např. 554 pro streamování videa z IP kamer).
- Blokované porty:
- 445 (SMB): Často zneužívaný ransomwarem.
- Zakázání UPnP (Universal Plug and Play), které může automaticky otevírat porty bez uživatelského vědomí.
Praktické tipy:
- Použijte rodičovskou kontrolu k omezení přístupu dětí na nevhodné weby.
- Nastavte upozornění na podezřelou aktivitu přímo v routeru.
Závěr
Nastavení firewallu není univerzální – každý scénář má své specifické požadavky. Malá firma potřebuje jednoduchá pravidla, která chrání základní služby. Velké firmy musí zajistit nejen ochranu, ale také flexibilitu a segmentaci sítě. A domácnosti by měly dbát na zabezpečení chytrých zařízení a zabránění neoprávněnému přístupu.
Pravidelná kontrola nastavení a přizpůsobení pravidel aktuálním potřebám je klíčem k efektivní ochraně. Zvažte také využití odborných služeb, které vám mohou pomoci s implementací a monitoringem firewallu.
Chcete se dozvědět více o nastavení firewallu? Kontaktujte nás.