Bevezetés
Egy közepes méretű vállalatnál váratlan kritikus helyzet alakult ki, amikor a vezető informatikus, aki egyedüliként ismerte a vállalat tűzfalának adminisztrációs hozzáféréseit, elérhetetlenné vált. Az elérési adatok és konfigurációs dokumentumok nem voltak rögzítve sem jelszókezelőben, sem más formában, így a tűzfal teljes mértékben hozzáférhetetlenné vált. A vállalat hálózati kommunikációjának és biztonsági szabályainak alapját képező rendszer újrakonfigurálása elengedhetetlenné vált, viszont sem dokumentáció, sem mentés nem állt rendelkezésre.
Cégünket kérték fel a hálózati infrastruktúra helyreállítására és a biztonsági rendszer modernizálására.
Kiindulási helyzet és kihívások
A korábbi tűzfal elöregedett hardveren futott, és annak szoftveres konfigurációjához nem volt hozzáférés. A hálózati forgalmi szabályok, portnyitások, NAT-beállítások, VPN-kapcsolatok és biztonsági zónák mind rejtve maradtak, így sem a működő szolgáltatások logikája, sem azok biztonsági szintje nem volt ismert.
Ez az állapot komoly kockázatot jelentett:
- Informatikai biztonsági veszélyek (nyitott vagy hibás szabályok),
- Szolgáltatás kimaradások kockázata (üzleti folyamatok megszakadása),
- Megfelelőségi hiányosságok (dokumentáció és hozzáférés-kezelés hiánya).
A feladat kettős volt: a rendszer újjáépítése anélkül, hogy a napi működés leállna, és egy modern, dokumentált, fenntartható biztonsági infrastruktúra megtervezése.
Cél és megközelítés
A célunk az volt, hogy:
- Újratervezzük a tűzfal és a peremhálózat szabályrendszerét az aktuális vállalati igények alapján.
- Biztosítsuk a magas rendelkezésre állást (High Availability – HA).
- Létrehozzunk egy átlátható, dokumentált, modern hálózati biztonsági környezetet.
- Megalapozzuk a jövőbeli karbantarthatóságot és hozzáférés-kezelést.
A megközelítésünk fokozatos, együttműködésre épülő és dokumentáció-központú volt.
A megvalósítás folyamata
1. Felmérés
Első lépésként interjúkat készítettünk a helyi informatikusokkal és rendszergazdákkal, hogy rekonstruáljuk, milyen hálózati kapcsolatokat, rendszereket és szolgáltatásokat kellett a tűzfalon keresztül működtetni.
Ezzel párhuzamosan hálózati diagnosztikai eszközökkel térképeztük fel a meglévő infrastruktúrát (IP-tartományok, forgalmi minták, hozzáférési pontok).
2. Tervezés
A begyűjtött információk alapján elkészítettük a konfigurációs tervet, amely:
- részletezte a várható zónák (belső, DMZ, vendég-, VPN-zónák) logikai szétválasztását;
- meghatározta a forgalmi irányokat és hozzáférési szabályokat;
- illeszkedett a legfrissebb biztonsági irányelvekhez (pl. „least privilege” elv, naplózás, TLS-inspection, agresszív portzárási politika).
A tervezés során minden érintett részleg (pl. fejlesztés, pénzügy, logisztika) képviselője segítette annak felmérését, mely szolgáltatások igényelnek külső kapcsolatot.
3. Infrastruktúra előkészítése
A redundancia biztosítása érdekében kettős fizikai tűzfalrendszert szereztünk be, amelyeket HA-konfigurációban telepítettünk.
A modern szoftveres környezet a jövőbeni skálázhatóságot és a szabályok dokumentálható kezelését biztosította.
4. Implementáció és tesztelés
A konfigurációs terv alapján elkészítettük az új rendszer beállításait, majd egy próbaátállással ellenőriztük a működést.
A tesztelés során figyeltük a kulcsfontosságú alkalmazásokat és szolgáltatásokat (pl. ERP, levelezés, távoli hozzáférés, webes portálok).
Minden felmerülő hibát azonnal javítottunk, majd ezek dokumentálása is megtörtént.
A próbaüzem után fokozatosan átálltunk éles üzemi működésre, miközben folyamatosan készenlétben álltunk az új hibák elhárítására.
Eredmények
A több hónapos munka eredményeként sikerült egy teljesen új, biztonságos és átlátható tűzfal-infrastruktúrát kialakítani.
Az új rendszer jellemzői:
- Redundáns, hibatűrő üzembiztonság (HA-rendszer).
- Részletesen dokumentált tűzfalszabályok és konfigurációk.
- Központi jelszó- és hozzáférés-kezelés bevezetése.
- Naplózás, monitorozás és változáskövetés integrálása.
- A cég alkalmazottai és IT-szakemberei számára érthető és karbantartható rendszerkörnyezet.
Tanulságok és javaslatok
A projekt során egyértelműen kiderült, hogy:
- A hozzáférés-kezelés dokumentálása kritikus fontosságú;
- Legalább két, megfelelő jogosultságú személynek kell ismernie az adminisztrációs hozzáféréseket;
- Jelszókezelő rendszerek (pl. 1Password, Bitwarden) használata elengedhetetlen a hozzáférések biztonságos tárolásához;
- Rendszeres mentés és konfiguráció-export készítése ajánlott;
- A tudásmegosztás és a szervezeti felelősségvállalás nélkülözhetetlen az informatikai biztonságban.
Ha a vállalat korábban alkalmazta volna ezeket a gyakorlatokat, az egész incidens elkerülhető lett volna, és több száz munkaóra megtakarítható lett volna.
Összegzés
Ez az eset jól mutatja, hogy a technológiai stabilitás mögött valójában szervezeti és humánfolyamatok állnak. Egyetlen ember tudásának elvesztése akár hónapokra megbéníthat egy szervezetet, ha a tudás nincs megosztva és dokumentálva.
A projekt végül sikeresen zárult, a vállalat pedig egy modern, megbízható és fenntartható biztonsági infrastruktúrát kapott, amely alapot ad a jövőbeli fejlesztésekhez és biztonsági stratégiákhoz.
