Co všechno bych měl blokovat na firewallech pro servery?

Blokování na firewallech pro servery je klíčová věc, co se týče bezpečnosti. Určitě bys měl začít s blokováním nepotřebných portů. Například porty 23 (telnet), 135-139 (SMB), 445 (Windows shares) a další, které jsi prostě nepoužíval, je dobrý zavřít. Co se týče SSH a HTTPS, doporučuje se povolit jen z určitých IP adres, pokud to jde. Takže pokud máš stálé IP adresy, nastav to tak.

Blokace na základě geografických umístění může být užitečná, ale pozor na falešně pozitivní blokace. Nejlepší je mít whitelist pro důležité služby a zbytek prostě zavřít. Monitorování logů je taky důležité, sleduj pokusy o přístup a pravidelně aktualizuj pravidla. Vytvoření pravidel by mělo být dynamické, podle toho, jak se vyvíjí hrozby.

Co se týče aktualizací pravidel, tak aspoň jednou za měsíc kouknout na logy a upravit nastavení podle potřeby. Hlavně si dej pozor, aby si neudělal zbytečné blokace, co by ti mohly omezit přístup pro oprávněné uživatele. Takže se testuj po každé změně firewallu.

Když to vezmu z pohledu základního zabezpečení, tak začni blokováním všeho, co nepotřebuješ. Všechny porty, které nejsou použité, bys měl zavřít. Například porty jako 23 (Telnet) nebo 135 (MS RPC) bys měl určitě mít mimo provoz, protože jsou běžné cíle pro útoky. SSH a HTTPS jsou důležité, ale je dobrý nápad omezit přístup jen na známé IP adresy, pokud se dá. Už jsi slyšel o geoblokaci? Můžeš zvážit blokaci IP adres z určitých zemí, kde víš, že se hodně útočí. Ale pozor, nebuď příliš restriktivní, ať se ti pak nedostanou oprávnění uživatelé. Doporučuji také povolit pouze konkrétní protokoly jako TCP a UDP pro služby, které fakt potřebuješ. Monitoruj logy pravidelně – aspoň jednou týdně, a aktualizace pravidel by měly být součástí tvého rutinního údržbového plánu. Nezapomeň testovat pravidla před nasazením, abys neměl problémy s dostupností. Vytvoř si jasný plán a drž se ho.

Když se bavíme o firewallu pro servery, tak je dobrý začít s tím, že blokovat bys měl fakt všechno, co nepotřebuješ. V první řadě doporučuju zaměřit se na porty – většina útoků jde přes otevřené porty, takže zbytečně nezapomeň zavřít ty, co nepoužíváš (třeba 23 – Telnet nebo 139 a 445 – SMB). SSH a HTTPS si určitě nech otevřené, ale limituj to na IP adresy, kterým důvěřuješ. Když máš veřejný server, zvaž VPN pro citlivější připojení. Zablokování IP adres z nebezpečných zemí může mít smysl, ale pamatuj, že to může omezit i oprávněné uživatele. Pravidla firewallu bych aktualizoval vždycky, jak se objevují nový hrozby nebo když změníš konfiguraci serveru. Monitorování logů je taky klíčový, sleduj co se děje a reaguj na podezřelou aktivitu. Celkově platí: čím méně povolených cest dovnitř, tím líp preveceš problémy.