-rdp
-ftp
Doporučuji nepoužívat přímo, ale jen přes VPN, jejich bezpečnost a spolehlivost jsou přinejmenším sporné.
-vpn
Důležité je, aby VPN vedla pouze „na půl cesty“, kde je sice povoleno třeba FTP, RDP nebo Bonjour, ale jinak je od vnitřní sítě stále odděleno firewallem.
-web
Pokud je to IIS, Apache nebo Tomcat, doporučuji před to nějakou bezpečnou reverzní proxy (asi nejlepší je nginx).
Uživatele nutím každý měsíc ke změně hesla, které nárokuje určitou složitost.
To je sice oblíbené, ale pokud nedělají v bance (a nějak rozumně omezíte rychlost hádání), tak celkem zbytečné.
Btw.
http://xkcd.com/936/Každý den provádím analýzu logů a sestavuji patřičné blacklisty.
Každý den? Proč to nedělá automat on-line? Jinak blacklisty je dost problém sestavovat tak, aby to nezablokovalo uživatele (někdo cizí zkusí útok ze stejného hotelu, kde zrovna pořádáte prezentaci, a máte problém), lepší je sestavovat graylisty a omezit počet sestavených spojení za čas.
Poradí někdo jak jinak lze ještě síť bránit proti útokům ?
Zablokovat odchozí SMTP odjinud než z mejl serveru, jeho komunikaci s firewallem pokud možno oddělit do úplně jiné fyzické sítě.
Nasadit firewall na všechny servery a povolit jen ty služby, co používáte. Naprostá většina útoků je ze zavirovaných Widlí v kanceláři, případně z prolomených uživatelských účtů na serveru (to se prostě může stát, je potřeba na to myslet).
Pokud používáte nějaké SSO (Kerberos, Active Directory), tak zkontrolovat, jestli vám neputují špatně zabezpečená hesla po síti v kanceláři.
Motto: kdo staví nedobytnou pevnost, neměl by zapomínat, že útočník už může být uvnitř