Skip to content

15. Požarni zid in nadzor izpostavljenosti storitev

15.1 Zakaj je požarni zid nujen

Vsaka storitev, ki posluša na omrežju, je potencialna vstopna točka. Požarni zid določa: - kdo lahko dostopa, - od kod, - po katerem protokolu, - v katero smer teče promet.

15.2 Host-based in network-based firewall

  • Host-based firewall deluje na sami napravi.
  • Network-based firewall deluje na omrežnem robu ali namenski varnostni napravi.

V praksi se dopolnjujeta. Če robna zaščita zataji, host-based firewall še vedno lahko omeji škodo.

15.3 Načelo najmanjše izpostavljenosti

Temeljno pravilo: odpri samo tisto, kar res potrebuješ.

Če strežnik gosti le HTTPS, ne odpiraj še treh drugih portov "za vsak slučaj". Če SSH potrebuje le administratorski segment, ga ne odpiraj vsem.

15.4 Dobre prakse

  • pravila poimenuj in dokumentiraj,
  • uporabljaj privzeto restriktivno držo,
  • redno preverjaj, kaj je dejansko odprto,
  • ne pozabi na IPv6, kjer je relevantno,
  • spremljaj dnevnike blokad in dovolitev,
  • preverjaj skupaj servis + poslušanje + firewall, ne vsakega posebej.

15.5 Pogosti problemi

  • servis deluje lokalno, zunaj pa ni dosegljiv,
  • odprt je napačen protokol,
  • pravilo obstaja, storitev pa posluša na napačnem vmesniku,
  • IPv4 deluje, IPv6 pa je pozabljen,
  • firewall na prehodu in na strežniku si nasprotujeta.