Firewall je strážnik na bráne vašej siete. Rozhoduje, ktorá komunikácia smie dnu a von a ktorá nie. Zle nastavený firewall však chráni len naoko. Poďme si vysvetliť, ako firewall funguje a ako ho nastaviť tak, aby naozaj plnil svoju úlohu.

Čo firewall robí

Firewall kontroluje prichádzajúcu aj odchádzajúcu komunikáciu podľa pravidiel, ktoré ste mu zadali. Čo je povolené, prepustí, a všetko ostatné zablokuje. Vďaka tomu sa k vašim zariadeniam nedostane to, čo tam nemá čo robiť, a zároveň viete obmedziť, kam smie komunikácia smerovať von.

Kde firewall býva

Firewall existuje vo viacerých podobách a najlepšie je ich kombinovať:

  • V routri je základný firewall, ktorý chráni hranicu medzi vašou sieťou a internetom.
  • V operačnom systéme (Windows, macOS, Linux) je softvérový firewall priamo na zariadení.
  • Samostatný hardvérový firewall alebo brána typu UTM či NGFW sa používa vo firmách, kde treba viac kontroly a výkonu.

Základný princíp: blokuj všetko, povoľ len potrebné

Toto je zlaté pravidlo. Kvalitný firewall najprv zablokuje všetko a potom povolí iba to, čo naozaj potrebujete (takzvané default deny). Opačný prístup, keď je otvorené všetko a vy zatvárate jednotlivé diery, je odsúdený na zlyhanie. Čím menej otvorených dverí, tým menej príležitostí pre útočníka.

Ako nastaviť kvalitný firewall, krok po kroku

  1. Zapnite firewall na routri aj na zariadeniach. Nikdy ho nevypínajte len preto, že “appka nejde”.
  2. Zablokujte vzdialený prístup do administrácie zvonku, ako píšeme v článku o zabezpečení routra.
  3. Otvárajte len naozaj potrebné porty, a aj to radšej cez VPN než priamo do internetu.
  4. Nastavte pravidlá aj pre odchádzajúcu prevádzku, aby sa prípadný škodlivý program nedovolal von.
  5. Zapnite logovanie, aby ste videli, čo firewall blokuje a čo prechádza.
  6. Segmentujte sieť, teda oddeľte časti s rôznou dôverou (hostia, IoT, kamery, pracovné stanice). Viac v článku o oddelení siete cez VLAN.

Pokročilejšie: aplikačný firewall a IDS/IPS

Moderné firewally (UTM alebo NGFW) vidia hlbšie než len na porty. Rozumejú aplikáciám, vedia blokovať škodlivý kód, filtrovať obsah a odhaliť útok v reálnom čase (IDS/IPS). Pre firmu s citlivými dátami je takýto firewall rozumná investícia.

Najčastejšie chyby

  • Zbytočne otvorené porty do internetu, na ktoré sa zabudlo.
  • Vypnutý firewall, lebo “prekážal” nejakej aplikácii.
  • Žiadne aktualizácie firmvéru firewallu, takže zostávajú známe diery.
  • Jedna plochá sieť bez segmentácie, kde sa všetko vidí navzájom.

Chcete firewall navrhnúť a nastaviť tak, aby naozaj chránil? Ozvite sa nám, spravíme to za vás aj v rámci IT podpory pre firmy. Súvisí to so zásadami kybernetickej bezpečnosti.