Firewally a IDS/IPS

Posted on by Tomáš Hudák
Firewally a IDS/IPS

Role firewallů a IDS v síťové bezpečnosti

Firewally a systémy detekce průniků (IDS) tvoří základní stavební kameny obrany perimetru i vnitřní segmentace. Zatímco firewall prosazuje bezpečnostní politiku tím, že řídí a filtruje síťový provoz, IDS provoz monitoruje a vyhodnocuje s cílem odhalit hrozby a anomálie. V moderních sítích navíc doplňuje IDS i IPS (Intrusion Prevention System), které na základě detekce aktivně blokuje útoky. Společně poskytují vícevrstvou ochranu proti útokům od síťové až po aplikační vrstvu.

Základní koncepty a umístění v architektuře

Firewally a IDS/IPS lze nasazovat na hranici sítě (edge), mezi zónami (DMZ, uživatelské VLAN, serverové sítě), v datových centrech i v cloudu. V dobře navržené architektuře se používá segmentace (L3/L4/L7) a princip minimálních oprávnění: pouze nezbytný provoz je povolen mezi definovanými zónami. IDS senzory mohou být out-of-band (pasivní zrcadlení provozu) nebo inline (IPS režim).

Jak fungují firewally: od paketového filtru ke NGFW

  • Paketový filtr (stateless) – vyhodnocuje jednotlivé pakety podle zdrojové/cílové IP, portu a protokolu. Neudržuje kontext spojení.
  • Stavový firewall (stateful) – udržuje stavovou tabulku aktivních spojení (TCP/UDP), chápe handshake, sleduje příznaky (SYN/ACK/FIN/RST) a aplikuje pravidla vůči celému toku.
  • Aplikační proxy – zprostředkovává provoz na úrovni aplikace (HTTP, SMTP), vytváří oddělená spojení klient–proxy a proxy–server, umožňuje detailní kontrolu protokolů.
  • NGFW (Next-Generation Firewall) – integruje deep packet inspection, identifikaci aplikací (App-ID), uživatelskou identitu (User-ID), kontrolu obsahu, threat intelligence, sandboxing a často i IPS funkce.
  • WAF (Web Application Firewall) – specializovaný na HTTP/HTTPS, chrání webové aplikace před útoky typu SQLi, XSS, RCE, path traversal a anomálními požadavky.
  • Cloud security groups / distribuované firewally – logická pravidla v prostředí IaaS/Kubernetes, často implementovaná přes hypervisor/agent/eBPF, umožňují mikrosegmentaci.

Stavová tabulka, NAT a řízení toků

Stateful firewall vytváří záznam (flow) pro každý povolený směr komunikace. Tok nese klíče (5-tuple: src IP, dst IP, src port, dst port, protokol), časové limity (idle/active timeout) a metriky. NAT/PAT přepisuje adresy/porty při průchodu, přičemž se stavová tabulka používá k mapování. ALG (Application Layer Gateway) pomáhá protokolům, které vkládají IP/port do aplikačních dat (SIP, FTP).

Bezpečnostní politika, pravidla a jejich vyhodnocování

Pravidla se typicky vyhodnocují shora dolů až k první shodě (first-match) s implicitním deny na konci. Každé pravidlo má zdroj/cíl (zóna, IP skupina), službu (port/protokol), aplikaci (u NGFW), uživatele a akci (allow/deny/reject/inspect). Dobrá praxe zahrnuje objektové modelování (adresní skupiny, služby), tagování a verzování politiky, periodický recertifikační proces a princip „deny by default, allow by necessity“.

Inspekce na úrovni aplikací a TLS dešifrování

NGFW a WAF provádí hlubokou inspekci (L7) včetně normalizace protokolu, validace hlaviček, detekce tunelování a anomálií. Šifrovaný provoz (TLS) znemožňuje klasickou L7 analýzu; proto se používá TLS inspection (man-in-the-middle) na perimetru s interní certifikační autoritou. Zohledňuje se výkon (kryptoakcelerace) a soukromí (vyloučení citlivých kategorií, přísné logování a governance).

Výkon a architektura firewallů

Firewally využívají specializované čipy (NP/ASIC/FPGA) a optimalizace (zero-copy, DPDK) pro vysokou propustnost a nízkou latenci. K dosažení škálování se používá clustering, ECMP, HA páry (active/standby nebo active/active), session sync a horizontální škálování v cloudu (autoscaling, anycast).

Co je IDS a jak detekuje útoky

IDS analyzuje síťový (NIDS) nebo hostitelský (HIDS) provoz a události s cílem identifikovat škodlivé chování. Používá tři hlavní přístupy:

  • Signaturní detekce – porovnává vzorky proti databázi známých útoků (pravidla Snort/Suricata, IOC z threat intel feedů). Výhoda je nízká míra FP u známých hrozeb; nevýhoda omezená schopnost odhalit nové techniky.
  • Anomální detekce – modeluje „normální“ chování (statisticky či pomocí ML) a upozorňuje na odchylky (objem, časování, sekvence). Poskytuje pokrytí pro zero-day, ale vyžaduje pečlivý tuning.
  • Heuristika/behaviorální pravidla – expertní korelace (např. DNS tunelování, SMB brute-force, exfiltrace), propojení s MITRE ATT&CK taktikami/technikami.

NIDS vs. HIDS a IPS: rozdíly a použití

  • NIDS – pasivně odposlouchává kopii provozu (SPAN/TAP), vhodné pro viditelnost v síti, detekci laterálního pohybu a forenzní analýzu.
  • HIDS – běží na hostech/servery, sleduje soubory, registry, procesy, volání API, logy. Vhodné pro koncové body, servery a cloudové instance.
  • IPS – inline varianta, která podle pravidel aktivně blokuje (drop, reset, rate-limit). Vyžaduje nízkou latenci a vysokou spolehlivost signatur.

Technické detaily detekce: reassemblace a obcházení

Kvalitní IDS provádí normalizaci a reassemblaci fragmentovaných IP paketů a TCP streamů, dekóduje protokoly (HTTP/2, TLS handshaky, SMB, DNS), aby ztížilo evasion techniky (overlapping fragments, TTL evasion, polymorfní payload, obfuskace). Důležitá je konzistence s cílovým OS (Windows/Linux TCP stack), aby interpretace odpovídala tomu, jak by provoz zpracoval cíl.

TLS, šifrování a omezení viditelnosti IDS

S rostoucí mírou šifrování se NIDS bez TLS dešifrování spoléhá na metadatovou analýzu (SNI, JA3/JA4 fingerprinty, velikosti paketů, časování, DNS dotazy) a detekci anomálií. Alternativou je dešifrovací broker předávaný více bezpečnostním nástrojům s důrazem na compliance.

Integrace, logování a korelace událostí

Firewally a IDS generují logy (allow/deny, alerts, flows) a telemetrii (NetFlow/IPFIX, sFlow). Tyto údaje se odesílají do SIEM pro korelaci, detekční pravidla (KQL/QL), tvorbu dashboardů a SOAR pro automatizované reakce (izolace hostu, blokace IP/domény, ticketing, informování CSIRT). Důležitá je integrace s CMDB a identity vrstvou (AAD/LDAP) pro kontext.

Mikrosegmentace a Zero Trust

Moderní strategie preferují Zero Trust – žádné implicitní důvěry uvnitř sítě. Mikrosegmentace (L3/L4/L7) se realizuje distribuovanými firewally v hypervisoru, agenty na hostech nebo pomocí eBPF v jádře. Politiky se vážou k identitě pracovní zátěže (labels, service accounts) namísto k IP adresám.

Firewally, IDS a Kubernetes/Cloud-native prostředí

V Kubernetes se bezpečnostní politika definuje jako NetworkPolicy (CNI), service mesh (Envoy/Istio) přidává L7 řízení a mTLS, zatímco NIDS může čerpat z eBPF eventů a mirrorovat provoz z node. Cloudové security groups a network ACL tvoří hrubé L3/L4 řízení, NGFW/WAF se nasazuje jako gateway, transparentní appliance nebo managed service.

OT/ICS specifika a průmyslové protokoly

V průmyslových sítích (OT/ICS) je klíčová pasivní viditelnost, whitelist přístupů a detekce na úrovni protokolů jako Modbus, DNP3, Profinet, IEC 60870-5-104. Inline IPS se používá obezřetně kvůli dostupnosti a deterministickému chování linek.

Návrh a nasazení: topologie a HA

  • Perimetr a DMZ – oddělení internet-facing služeb, reverzní proxy, WAF, IPS před aplikačními servery.
  • Vnitřní segmentace – oddělení uživatelských, serverových a citlivých zón (payment, OT, management).
  • HA a odolnost – páry firewallů v režimu failover, redundantní napájení, link-state tracking, graceful restart, session synchronization.

Tuning IDS/IPS: snižování falešných poplachů

Klíčové je baseline běžného chování, používání thresholdingu, suppress pravidel, kontextových výjimek, pravidelné aktualizace signatur a přizpůsobení pravidel konkrétní infrastruktuře. Důraz na precision/recall pomáhá vyvážit falešně pozitivní a negativní nálezy.

Měření a metriky

  • KPI firewallu – propustnost L7 inspekce, latence, počet aktivních session, využití CPU/ASIC, efektivita pravidel (hit count), doba nasazení politiky.
  • KPI IDS/IPS – míra detekce, FP/FN, doba od detekce k reakci (MTTD/MTTR), pokrytí ATT&CK technik, kvalita obohacení (geo, reputace).

Testování a validace

Pro ověření účinnosti se používá pcap replay (tcpreplay), generátory provozu, testy TLS inspekce, syntetické útoky (Atomic Red Team), skeny bezpečnosti (Nmap s NSE), i formální testy dle metodik (např. NSS, vlastních runbooků). Důležitá je pre-production validace a canary nasazení.

Governance, compliance a provoz

Politiky musí odpovídat normám (ISO 27001, PCI DSS, NIS2, SOC2). Zahrnují change management, separační principy, recertifikaci pravidel, role-based access control pro administrátory a auditní stopu. Provozní model definuje runbooky pro incidenty, okna údržby a kapacitní plánování.

Příklady politik a pravidel

  • Implicitní deny mezi zónami s explicitními allow pro schválené služby (např. HTTPS z uživatelské VLAN do proxy, SSH pouze z management zóny).
  • NGFW App-ID pro povolené SaaS (Office 365, Salesforce) s omezením na firemní tenanty, blokace anonymizérů a neznámých aplikací.
  • IPS – aktivní blokace kritických signatur (RCE, exploit kity), alert-only pro méně jisté detekce s následným tuningem.
  • WAF – pozitivní model (allow-list) pro API, rate limiting, ochrana proti botům a validace schémat.

Incident response s IDS/IPS a firewally

Při incidentu se využívá korelace událostí (SIEM), triáž alertů, forenzní extrakce (pcap, logy), a kontainment (dočasné blokace, segmentace). Následuje eradikace, obnova a lessons learned včetně úprav politik a pravidel.

Trendy a budoucí směřování

Bezpečnost se posouvá k NDR/XDR (Network/Extended Detection and Response), SASE/SSE (security as a service), využití ML pro detekci anomálií, dešifrovacím brokerům a policy-as-code (GitOps pro firewall politiky). Vzniká AI-assisted tuning IDS signatur a telemetrie z eBPF na hostech.

Praktický příklad: nasazení v podniku krok za krokem

  1. Inventarizace a mapování toků – zóny, systémy, závislosti, požadavky na dostupnost.
  2. Návrh segmentace – definice zón a mezizónových politik, návrh DMZ a přístupů z internetu.
  3. Volba technologií – NGFW s TLS inspekcí, WAF pro weby, NIDS v core a na hraně, HIDS pro servery.
  4. Implementace a HA – inline NGFW/IPS v páru, TAP/SPAN pro NIDS, centralizované logování do SIEM.
  5. Tuning a baseline – postupné přepínání signatur do blokovacího režimu, ladění výjimek.
  6. Runbooky a monitoring – dashboardy KPI, alerting, SOAR playbooky pro automatickou blokaci IOC.
  7. Pravidelná recertifikace – audit pravidel, odstraňování osiřelých povolení, aktualizace signatur.

Závěr

Firewally, IDS a IPS společně tvoří adaptivní obrannou vrstvu, která kombinuje přesné řízení přístupu s viditelností a detekcí hrozeb. Úspěch závisí na správném návrhu segmentace, kvalitní politice, důsledném logování a průběžném ladění detekčních mechanismů. V době šifrovaného provozu, cloudu a dynamických aplikací je klíčové propojit tyto technologie s identitou, automatizací a analytikou, aby bezpečnost držela krok s rychlostí změn v infrastruktuře.

Related Posts

Futures

Futures: dohody na budúcnosť v ekonómii Futures, známe aj ako termínové kontrakty, sú dohody, ktoré umožňujú nákup alebo predaj aktív v budúcnosti za dohodnutú cenu. […]

Fees

Poplatky a honoráre v kontexte marketingu Poplatky, honoráre. Poplatky a honoráre predstavujú dôležitý ekonomický aspekt v oblasti marketingu. Tieto pojmy sa využívajú na označenie finančných […]

Fiškálna decentralizácia

Fiškálna decentralizácia: Posilnenie územnej samosprávy Decentralizácia verejnej správy je proces, ktorý mení vzťahy a kompetencie medzi štátnym rozpočtom a rozpočtami územnej samosprávy s cieľom posilniť […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *