Ali domači router operaterja zadošča za podjetje?

Za zelo majhno pisarno z nekaj računalniki morda začasno, sicer ne. Operaterski routerji nimajo ustrezne segmentacije, beleženja, VPN funkcionalnosti in pogosto ne dobivajo varnostnih posodobitev. Za resno poslovno okolje je potrebna namenska požarna pregrada.

Kakšna je razlika med požarno pregrado in antivirusom?

Požarna pregrada deluje na ravni omrežja in določa, kateri promet sme prečkati mejo. Antivirus (oziroma EDR) deluje na napravi in pregleduje datoteke in procese. Obe rešitvi sta nujni — ena drugo dopolnjujeta, ne nadomeščata.

Kako pogosto je treba posodabljati požarno pregrado?

Varnostne posodobitve programske opreme čim prej, običajno v nekaj dneh od izida. Strojno opremo zamenjamo, ko proizvajalec preneha izdajati posodobitve — zastarela požarna pregrada brez posodobitev je resno tveganje.

Ali požarna pregrada upočasni internet?

Pravilno dimenzionirana požarna pregrada ne predstavlja ozkega grla. Težava nastane, ko poskušamo na podzmogljivi napravi vključiti vse napredne funkcije (IPS, pregledovanje šifriranega prometa) — zato je pravilna izbira modela ključna.

Omrežja

Požarna pregrada

Angleški izraz: Firewall

Kratka definicija

Naprava ali programska oprema, ki nadzira in filtrira omrežni promet med različnimi omrežji ter ščiti notranje okolje pred nepooblaščenim dostopom.

Kaj pomeni Požarna pregrada?

Požarna pregrada (angl. firewall) odloča, kateri omrežni promet sme prečkati mejo med dvema omrežjema — najpogosteje med internim omrežjem podjetja in internetom. Promet pregleduje po pravilih: kdo se sme povezovati na katero storitev, na katerih vratih in iz katere lokacije.

Sodobne poslovne požarne pregrade niso več zgolj filter prometa. Vključujejo VPN strežnik za oddaljeni dostop, segmentacijo omrežij (VLAN), preprečevanje vdorov (IPS), filtriranje vsebin in pogosto tudi centralizirano beleženje.

V manjših podjetjih pogosto vlogo požarne pregrade prevzame domači router operaterja — kar je za poslovno rabo običajno nezadostno, saj nima ustreznega beleženja, segmentacije in posodobitev.

Zakaj je to pomembno za podjetja?

Brez ustrezne požarne pregrade podjetje ne more zanesljivo ločiti gostov, kamer, IoT naprav in delovnih postaj. To pomeni, da lahko ena okužena naprava napade vse ostale — kar se v praksi pri ransomware napadih dogaja redno.

Požarna pregrada hkrati omogoča dva poslovno pomembna scenarija: varen oddaljeni dostop sodelavcev (VPN) in nadzor, kdo iz podjetja dostopa do internetnih storitev. Brez nje ni resne diskusije o skladnosti z GDPR ali NIS2.

Kje se to pojavi v praksi?

Tipična postavitev pri manjšem podjetju: požarna pregrada na meji med operaterjevim modemom in internim omrežjem, z ločenimi VLAN-i za pisarno, telefonijo, goste Wi-Fi in kamere. Oddaljeni dostop sodelavcev poteka preko VPN-a, ki teče na isti napravi.

Pri večjih okoljih dodamo še dva požarna zidova v paru (high availability) za večjo razpoložljivost, ločen DMZ za javno dostopne strežnike in centralno beleženje za pregled, kdo se je kdaj kam povezal.

Najpogostejše težave ali napake

Najpogostejša težava je požarna pregrada s tovarniškimi nastavitvami in privzetimi gesli. V drugi vrsti je zastarela strojna oprema, ki ne dobi več varnostnih posodobitev — kar je bolj nevarno kot če požarne pregrade sploh ne bi bilo.

Druga pogosta napaka: pravila so skozi leta naložena drug na drugega in nihče več ne ve, čemu posamezno pravilo služi. Posledica je, da je notranje omrežje praktično odprto, čeprav formalno teče požarna pregrada.

Tretja težava: VPN, ki je samo z geslom (brez MFA), je v praksi le še eno geslo, ki ga je mogoče ukrasti s phishingom.

Kako pri tem pomaga VitalIT

Pri VitalIT najprej preverimo stanje obstoječe požarne pregrade — različico programske opreme, pravila, beleženje in segmentacijo. Šele nato predlagamo, ali je smiselno obstoječo napravo prečistiti in nadgraditi, ali pa zamenjati.

V praksi pogosto postavimo rešitev na osnovi pfSense ali Netgate strojne opreme, urejene VLAN-e za posamezne dele podjetja in VPN z MFA za oddaljen dostop. Rešitev pripravimo tako, da jo lahko interna IT ekipa razume in vzdržuje.

Omrežja in požarne pregrade pfSense / Netgate

Sorodni izrazi

VPN

Šifrirana povezava med uporabnikom in poslovnim omrežjem, ki sodelavcem omogoča varno delo z internimi viri od koderkoli.

VLAN

Logično ločeno omrežje na isti fizični opremi, ki omogoča, da različne skupine naprav delujejo ločeno, kot da bi bile na različnih kablih.

MFA

Način prijave, ki poleg gesla zahteva še en dokaz identitete — najpogosteje potrditev v aplikaciji na telefonu.

Povezane storitve

Omrežja in požarne pregrade pfSense / Netgate

Pogosta vprašanja

Ali domači router operaterja zadošča za podjetje?: Za zelo majhno pisarno z nekaj računalniki morda začasno, sicer ne. Operaterski routerji nimajo ustrezne segmentacije, beleženja, VPN funkcionalnosti in pogosto ne dobivajo varnostnih posodobitev. Za resno poslovno okolje je potrebna namenska požarna pregrada.
Kakšna je razlika med požarno pregrado in antivirusom?: Požarna pregrada deluje na ravni omrežja in določa, kateri promet sme prečkati mejo. Antivirus (oziroma EDR) deluje na napravi in pregleduje datoteke in procese. Obe rešitvi sta nujni — ena drugo dopolnjujeta, ne nadomeščata.
Kako pogosto je treba posodabljati požarno pregrado?: Varnostne posodobitve programske opreme čim prej, običajno v nekaj dneh od izida. Strojno opremo zamenjamo, ko proizvajalec preneha izdajati posodobitve — zastarela požarna pregrada brez posodobitev je resno tveganje.
Ali požarna pregrada upočasni internet?: Pravilno dimenzionirana požarna pregrada ne predstavlja ozkega grla. Težava nastane, ko poskušamo na podzmogljivi napravi vključiti vse napredne funkcije (IPS, pregledovanje šifriranega prometa) — zato je pravilna izbira modela ključna.