Cyberbezpieczeństwo – od teorii do praktyki z konfiguracjami
🔧 Cyberbezpieczeństwo – od teorii do praktyki z konfiguracjami
W świecie cyberbezpieczeństwa teoria i procedury są niezbędne, ale praktyczne wdrożenie to klucz do realnej ochrony. Artykuł zawiera sprawdzone konfiguracje popularnych narzędzi i technologii, takich jak firewall, IDS/IPS, backup, logowanie, segmentacja VLAN, monitoring. Dzięki zaawansowanym przykładom możesz od razu zastosować rozwiązania w swoim środowisku IT.
🛡️ 1. Firewall – przykładowa konfiguracja (iptables na Linuxie)
Ochrona początkuje się na poziomie systemu operacyjnego.
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Zezwól na loopback i aktualne sesje
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# SSH tylko z zaufanej podsieci
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
# HTTP i HTTPS
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
# Odrzuć pozostałe
iptables -A INPUT -j DROP
✅ Tabela pokazuje co zablokowane, a co dozwolone – prosty firewall z podejściem deny‑by‑default.
🧩 2. IDS/IPS – Suricata w praktyce
Suricata to zaawansowany system wykrywania zagrożeń.
# /etc/suricata/suricata.yaml – aktywacja domyślnych reguł
default-rule-path: /etc/suricata/rules
rule-files:
- suricata.rules
- sensitive-data.rules
# Uruchom monitoring interfejsu eth0
suricata -c /etc/suricata/suricata.yaml -i eth0
🛠️ W katalogu /var/log/suricata/fast.log znajdą się alarmy – podejrzane połączenia IDS.
🧰 3. VLAN – separacja sieci na przełączniku L2 i routerze MikroTik
Logika: trzy sieci VLAN – administracja, IoT, goście.
# Na switchu (Cisco-like)
interface range gi1/0/1-10
switchport mode access
switchport access vlan 10
interface gi1/0/11
switchport mode trunk
switchport trunk allowed vlan 10,20,30
# Na MikroTik przez CLI
/interface vlan
add name=vlan10 interface=ether2 vlan-id=10
add name=vlan20 interface=ether2 vlan-id=20
add name=vlan30 interface=ether2 vlan-id=30
/ip address add address=192.168.10.1/24 interface=vlan10
/ip address add address=192.168.20.1/24 interface=vlan20
/ip address add address=192.168.30.1/24 interface=vlan30
🔄 4. Backup + rotacja – automatyzacja w Bash
#!/bin/bash
BACKUP_DIR="/backups/$(date +%Y-%m-%d)"
mkdir -p "$BACKUP_DIR"
rsync -a --delete /etc/ "$BACKUP_DIR/etc"
find /backups/* -mtime +30 -exec rm -rf {} \;
📦 Skrypt tworzy codzienną kopię konfiguracji systemu i usuwa starsze niż 30 dni.
📈 5. Monitoring – Prometheus + Node Exporter
Na serwerze:
# instalacja dla Debiana/Ubuntu
apt-get install prometheus node-exporter
systemctl enable --now node-exporter
W pliku /etc/prometheus/prometheus.yml:
scrape_configs:
- job_name: 'node'
static_configs:
- targets: ['localhost:9100']
🔍 Teraz metryki serwera są dostępne w Prometheus, można stworzyć dashboard w Grafanie.
🔁 6. Równoważenie ruchu – HAProxy jako load balancer
global
log /dev/log local0
maxconn 200
defaults
mode http
timeout connect 5s
timeout client 30s
timeout server 30s
frontend http_front
bind *:80
default_backend http_back
backend http_back
balance roundrobin
server srv1 10.0.0.101:80 check
server srv2 10.0.0.102:80 check
🎯 Redundantność i równomierne rozdzielenie obciążenia HTTP.
🔐 7. Cloudflare DNS + TLS – zabezpieczenie domeny
# w strefie DNS:
record A 192.0.2.123 => IP serwera
# certyfikat Let's Encrypt
certbot certonly --standalone -d twojadomena.pl
# Nginx konfiguracja
server {
listen 443 ssl;
server_name twojadomena.pl;
ssl_certificate /etc/letsencrypt/live/twojadomena.pl/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/twojadomena.pl/privkey.pem;
...
}
🛡️ Kombo certyfikatu TLS + DNS w chmurze dla bezpieczeństwa i dostępności.
🧠 8. Automatyczny failover WAN – MikroTik CLI
/ip route
add dst-address=0.0.0.0/0 gateway=203.0.113.1 check-gateway=ping distance=1 comment="ISP1"
add dst-address=0.0.0.0/0 gateway=198.51.100.1 check-gateway=ping distance=2 comment="ISP2"
✅ Jeśli pierwsze łącze padnie, router automatycznie przełączy trasę na drugą.
✅ Podsumowanie i najlepsze praktyki
- Firewall deny-by-default – tylko pożądany ruch
- IDS/IPS – Suricata lub Snort do detekcji zagrożeń
- Segmentacja sieci – VLAN to podstawa izolacji
- Zarządzanie backupem i rotacją – automatyzacja = spokój
- Monitoring – Prometheus/Grafana + alerty
- Load balancing – HAProxy zapewnia skalowalność usług
- Zabezpieczenia na poziomie DNS i TLS
- Redundancja łączy WAN
Dobór i integracja tych przykładów zależy od wymagań i wielkości środowiska, ale każdy z nich jest gotowy do wdrożenia i natychmiast systemowo wzmacnia bezpieczeństwo oraz niezawodność infrastruktury IT.
🖋️ Podpisy cyfrowe: Jak działają, ich znaczenie dla uwierzytelniania i integralności dokumentów cyfrowych W dobie powszechnej cyfryzacji dokumentów, podpisy cyfrowe Czytaj dalej
Zarządzanie hasłami i uwierzytelnianie wieloskładnikowe (MFA) – Kluczowe aspekty cyberbezpieczeństwa Bezpieczeństwo online jest jednym z najważniejszych zagadnień współczesnego świata cyfrowego. Czytaj dalej
