Zpět na domů

SZI: firewall IDS IPS DLP SIEM

Článek rozebírá klíčové SZI: firewally (stateless, stateful, NGFW), IDS/IPS s metodami analýzy, DLP pro prevenci úniků, SIEM a sandbox. Jsou popsány principy fungování, typy nasazení a scénáře použití pro IB specialisty.

Firewall, IDS/IPS, DLP: základní SZI v IB
Advertisement 728x90

Hlavní prostředky ochrany informací: firewall, IDS/IPS, DLP a SIEM

Mezisíťové zdi, systémy detekce a prevence vniknutí, DLP a SIEM tvoří základní stack pro ochranu podnikových sítí. Tyto nástroje filtrují provoz, monitorují anomálie a předcházejí úniku dat, pracují na různých úrovních protokolu. Pojďme si rozebrat jejich principy, typy a scénáře použití pro middle/senior odborníky na informační bezpečnost.

Mezisíťové zdi: od stateless k NGFW

Mezisíťová zeď (firewall) stojí na hranici sítě po směrovači, propouští veškerý provoz mezi lokální sítí a internetem. Ve výchozím nastavení platí princip "vše zakázáno, kromě explicitně povoleného" — bez pravidel přístup chybí.

Stateless firewall analyzuje každý paket izolovaně podle pravidel: zdrojová IP, zdrojový port, cílový IP, cílový port. Nebere v úvahu kontext spojení, vyžaduje zrcadlová pravidla pro příchozí/odchozí provoz. Škálování je obtížné kvůli růstu počtu pravidel.

Google AdInline article slot

Stateful firewall vede tabulku stavů spojení (state table), propouští odpovídající provoz automaticky. Funguje na L4 (transportní vrstva), nevidí útoky na aplikační vrstvě.

NGFW (Next-Generation Firewall) inspektuje obsah paketů:

  • Rozpoznává aplikace nezávisle na portech (například Telegram na 443).
  • Blokuje podle domén.
  • Integruje antivirový program, sandbox a IPS/IDS.

Příklad: blokace YouTube a tržišť zvyšuje produktivitu, filtrováním nepracovního provozu.

Google AdInline article slot

IDS/IPS: detekce a blokace vniknutí

IPS (Intrusion Prevention System) je nasazena inline — provoz prochází skrz ni po firewallu. Blokuje škodlivý provoz za běhu, upozorňuje odborníka na IB.

Metody analýzy:

  • Signaturní: porovnání s databázemi (sekvence bajtů, haše, SQL-injekce). Předem shromažďuje fragmentované pakety.
  • Anomální: baseline normálního provozu (například stejný příchozí/odchozí objem v pracovní dny). Blokuje odchylky, riziko falešných poplachů.
  • Heuristický: pravidla pro podezřelé chování (brute-force autorizací, DNS flood).

IDS (Intrusion Detection System) je připojena k SPAN-portu přepínače, analyzuje kopii provozu, generuje upozornění bez blokace. Používá se v kritických zónách, kde jsou nepřijatelné falešné blokace.

Google AdInline article slot

DLP: prevence úniku dat

DLP (Data Loss Prevention) skenuje provoz a aktivitu na koncových bodech pro úniky důvěrných dat. Kontroluje email, webové nahrávky, messengery, USB, tiskárny, schránku, screenshoty.

Metody detekce:

  • Regulární výrazy: vzory pasů, IČO, karet (obcházeno nahrazením číslic písmeny).
  • Digitální otisky: haš referenčních dokumentů, odolný proti přejmenování/drobným úpravám.
  • Lingvistická analýza: klíčové fráze jako "obchodní tajemství".
  • Značky: razítka "Důvěrné".
  • Behaviorální: anomálie (účetní kopíruje databázi klientů v noci).

Typy DLP:

| Typ | Rozmístění | Výhody | Nevýhody |

|-----|------------|--------|----------|

| Programový | Agenti na koncových bodech | Vidí lokální aktivitu (flash disky, tiskárny) | Náročný na zdroje, instalace na každý PC |

| Síťový | Na hranici sítě | Pokrývá všechny (včetně mobilních), bez agentů | Nevidí lokální akce |

SIEM a Sandbox: sběr a izolace hrozeb

SIEM (Security Information and Event Management) agreguje logy ze všech SZÍ, koreluje události pro odhalení incidentů. Zajišťuje centralizovaný monitoring.

Sandbox izoluje podezřelé soubory/provoz ve virtuálním prostředí, detekuje chování (například ransomware). Často integrován v NGFW.

Co je důležité

  • Firewall je povinný na hranici sítě; NGFW je preferován pro L7-analýzu.
  • IPS inline pro agresivní ochranu, IDS v pasivním režimu pro monitoring.
  • DLP kombinuje signatury a chování; vybírejte typ podle scénáře (endpoint vs síť).
  • SIEM a Sandbox doplňují stack pro komplexní viditelnost hrozeb.

— Editorial Team

Advertisement 728x90

Číst dál