AST Wykład 3: Bezpieczeństwo w architekturach

Trzy filary bezpieczeństwa informacji

Bezpieczeństwo sieci to zbiór mechanizmów chroniących zasoby informatyczne przed nieautoryzowanym dostępem, modyfikacją i zniszczeniem. Każda nowoczesna architektura sieciowa musi mieć zdefiniowaną warstwę bezpieczeństwa - nie jest to opcjonalny dodatek, lecz nieodłączny element projektu. Trzy filary bezpieczeństwa informacji - poufność, integralność i dostępność (CIA Triad) - wyznaczają kierunek projektowania zabezpieczeń. Poufność oznacza, że dane są dostępne tylko dla uprawnionych osób. Integralność gwarantuje, że dane nie zostały zmodyfikowane bez autoryzacji. Dostępność zapewnia, że uprawnieni użytkownicy mają dostęp do zasobów wtedy, gdy tego potrzebują. Na tym wykładzie omówimy trzy kluczowe mechanizmy: firewalle, VPN i podstawy szyfrowania - każdy z nich realizuje przynajmniej jeden filar bezpieczeństwa.

Diagram trójkąta CIA: poufność, integralność, dostępność

Zagrożenia pasywne i aktywne

Zagrożenia sieciowe dzielą się na pasywne i aktywne. Zagrożenia pasywne to podsłuch (sniffing) - atakujący przechwytuje dane przepływające przez sieć bez ingerencji w transmisję. Zagrożenia aktywne to modyfikacja danych w locie, podszywanie się pod autoryzowane urządzenia (spoofing), ataki odmowy usługi (DoS/DDoS). Ataki na dostępność (DoS - Denial of Service) zalewają serwer lub sieć ogromną ilością ruchu, uniemożliwiając obsługę legalnych klientów. Ataki man-in-the-middle (MITM) polegają na wstawieniu się atakującego między dwie komunikujące się strony bez ich wiedzy. Złośliwe oprogramowanie (malware) może być wprowadzone do sieci przez e-mail, pendrive lub złośliwą stronę i następnie rozprzestrzeniać się wewnątrz sieci. Prawidłowa architektura bezpieczeństwa ogranicza powierzchnię ataku i izoluje skutki incydentu do jak najmniejszego segmentu sieci.

Klasyfikacja zagrożeń sieciowych: pasywne i aktywne

Zapora sieciowa - pierwsza linia obrony

Firewall (zapora sieciowa) to urządzenie lub oprogramowanie kontrolujące ruch sieciowy na podstawie zdefiniowanych reguł. Firewall stoi na granicy między dwiema strefami o różnym poziomie zaufania - najczęściej między siecią wewnętrzną a Internetem. Każdy pakiet lub połączenie jest oceniane według listy reguł: jeśli reguła zezwala - ruch przechodzi, jeśli reguła odmawia lub brak reguły - ruch jest blokowany (zasada domyślnego odrzucenia). Firewall chroni przed nieautoryzowanym dostępem z zewnątrz, ale nie zastępuje innych mechanizmów bezpieczeństwa wewnątrz sieci. Nie wykrywa złośliwego oprogramowania ukrytego w dozwolonym ruchu - do tego służą systemy IDS/IPS i antywirus. Firewall jest pierwszą i najważniejszą linią obrony w architekturze bezpieczeństwa sieciowego. Bez firewalla każdy port TCP/UDP otwarty na maszynie jest potencjalnym wektorem ataku z Internetu.

Schemat firewalla między siecią wewnętrzną a Internetem

Filtr pakietów (packet filter)

Najprostszy typ firewalla to filtr pakietów (packet filter). Analizuje on nagłówki pakietów IP i TCP/UDP - adresy IP, protokół, numery portów - i podejmuje decyzję zezwolenia lub blokady. Filtr pakietów nie śledzi stanu połączenia - każdy pakiet oceniany jest niezależnie od innych. Konfiguracja: reguły ACL na routerze ("ip access-list extended FIREWALL", "permit tcp 192.168.1.0 0.0.0.255 any eq 443"). Zalety: bardzo szybki, niskie obciążenie procesora, prosty w konfiguracji. Wady: nie odróżnia pakietów należących do nawiązanego połączenia od nowych pakietów - łatwy do ominięcia przez atakującego. Filtr pakietów nie rozumie kontekstu ruchu - nie "wie", że pakiet jest częścią odpowiedzi na wcześniejsze zapytanie. Stosuje się go jako uzupełnienie bardziej zaawansowanych rozwiązań lub jako wstępne filtrowanie na brzegu sieci.

Schemat filtru pakietów z regułami ACL dla portów TCP/IP

Firewall stanowy (stateful firewall)

Firewall stanowy (stateful firewall) śledzi stan każdego połączenia TCP i przechowuje informacje o nim w tabeli stanu (state table). Gdy klient wewnątrz sieci inicjuje połączenie z serwerem w Internecie, firewall zapamiętuje szczegóły sesji: adresy IP, porty, numery sekwencji TCP. Pakiety należące do zarejestrowanej sesji są automatycznie przepuszczane bez konieczności dopasowywania do reguł ACL po raz drugi. Próba nawiązania połączenia z zewnątrz, nieodpowiadająca żadnej zainicjowanej sesji wewnętrznej, jest blokowana. To jest kluczowa różnica w stosunku do zwykłego filtra pakietów - firewall stanowy "rozumie", że pakiet to odpowiedź, a nie nowe połączenie. Większość komercyjnych firewalli to urządzenia stanowe: Cisco ASA, Palo Alto, FortiGate, pfSense. Tabela stanu ma ograniczoną wielkość - atak SYN Flood może ją zapełnić, co jest formą ataku DoS na sam firewall.

Schemat tabeli stanu firewalla i przepływu pakietów TCP

Next-Generation Firewall

Next-Generation Firewall (NGFW) to zapora stanowa rozszerzona o dodatkowe funkcje inspekcji głębokiej treści. NGFW analizuje nie tylko nagłówki pakietów, ale też zawartość (payload) - potrafi rozpoznać aplikację generującą ruch niezależnie od numeru portu. Funkcja Deep Packet Inspection (DPI) pozwala blokować konkretne aplikacje (np. torrenty, Skype) lub zezwalać na nie, nawet jeśli używają portu 443 (HTTPS). NGFW integruje się z bazą zagrożeń (Threat Intelligence) i potrafi wykrywać znane wzorce złośliwego oprogramowania w ruchu. Systemy IPS (Intrusion Prevention System) wbudowane w NGFW aktywnie blokują ruch zawierający sygnatury ataków, np. próby eksploitacji podatności. Filtrowanie URL pozwala blokować dostęp do stron z niebezpieczną zawartością lub nieodpowiednich dla środowiska pracy. Przykłady NGFW: Palo Alto Networks PA, Cisco Firepower, Fortinet FortiGate, Check Point Quantum.

Schemat NGFW z DPI, IPS i filtrowaniem URL

Demilitarized Zone

DMZ (Demilitarized Zone) to wydzielona strefa sieciowa, w której umieszcza się serwery dostępne z Internetu: WWW, e-mail, DNS, FTP. Firewall chroni jednocześnie sieć wewnętrzną (LAN) i DMZ, ale z różnymi politykami. Z Internetu można nawiązywać połączenia do serwerów w DMZ (port 80, 443), ale nie bezpośrednio do LAN. Z DMZ do LAN dostęp jest ograniczony do minimum - tylko niezbędne usługi, np. serwer WWW może odpytywać bazę danych wewnątrz LAN. Z LAN do DMZ i Internetu dostęp jest zazwyczaj otwarty z obserwacją stanu połączeń. Dzięki DMZ, jeśli serwer www zostanie skompromitowany, atakujący nie ma bezpośredniej ścieżki do sieci wewnętrznej - jest "uziemiony" w DMZ. Architektura z pojedynczym firewallem i DMZ to standard w małych i średnich organizacjach. Podwójny firewall (inner i outer) zapewnia wyższy poziom bezpieczeństwa stosowany w bankach i systemach krytycznych.

Schemat architektury z DMZ, firewallami i strefami zaufania

Szyfrowanie symetryczne (AES)

Szyfrowanie to przekształcenie danych w postać nieczytelną dla osoby, która nie posiada klucza deszyfrowania. Szyfrowanie symetryczne używa tego samego klucza do szyfrowania i deszyfrowania danych. Algorytmy symetryczne są szybkie i nadają się do szyfrowania dużych ilości danych. Przykłady: AES (Advanced Encryption Standard) z kluczem 128-bitowym lub 256-bitowym - dziś standard de facto dla szyfrowania danych. AES-256 jest uważany za odporny na ataki kwantowe - nawet z algorytmem Grovera złamanie go wymagałoby czasu przekraczającego wiek wszechświata. Problem szyfrowania symetrycznego: jak bezpiecznie dostarczyć klucz do drugiej strony? Jeśli klucz zostanie przechwycony podczas transmisji, całe szyfrowanie traci sens. Problem "dystrybucji klucza" rozwiązuje kryptografia asymetryczna.

Schemat szyfrowania symetrycznego AES z jednym wspólnym kluczem

Kryptografia asymetryczna (RSA, EC)

Szyfrowanie asymetryczne używa pary matematycznie powiązanych kluczy: klucza publicznego (który można udostępnić każdemu) i klucza prywatnego (który właściciel trzyma w ścisłej tajemnicy). Dane zaszyfrowane kluczem publicznym mogą być odczytane tylko kluczem prywatnym jego właściciela. Dane podpisane kluczem prywatnym mogą być zweryfikowane kluczem publicznym - to podstawa podpisów cyfrowych. Algorytm RSA (Rivest-Shamir-Adleman) z kluczem 2048-bitowym lub 4096-bitowym jest najpopularniejszym algorytmem asymetrycznym. Algorytm EC (Elliptic Curve) daje to samo bezpieczeństwo przy znacznie krótszych kluczach (256 bitów) - jest szybszy i stosowany w urządzeniach mobilnych. Słabość asymetryki: jest znacznie wolniejsza od symetrycznej. Dlatego w praktyce używa się asymetryki tylko do bezpiecznej wymiany klucza symetrycznego sesji - a potem komunikacja odbywa się szybką symetryczną AES.

Schemat szyfrowania asymetrycznego z kluczem publicznym i prywatnym RSA

Hash functions - SHA-256, HMAC

Funkcja skrótu (hash function) to algorytm, który z danych dowolnej długości wylicza krótką wartość stałej długości (np. 256 bitów). Wartość skrótu jednoznacznie "odciskuje" dane - zmiana nawet jednego bitu w danych powoduje zupełnie inny skrót. Skrót jest operacją jednokierunkową - nie można z wartości skrótu odtworzyć oryginalnych danych. Algorytmy: MD5 (128 bitów) - przestarzały, łatwy do kolizji; SHA-1 (160 bitów) - przestarzały; SHA-256 i SHA-3 - aktualne standardy bezpieczeństwa. Funkcje skrótu służą do weryfikacji integralności plików (suma kontrolna pobranego pliku), uwierzytelniania haseł (baza danych przechowuje skrót hasła, a nie samo hasło), podpisów cyfrowych. HMAC (Hash-based Message Authentication Code) łączy skrót z kluczem symetrycznym - zapewnia jednocześnie integralność i autentyczność wiadomości. Protokoły VPN używają HMAC do weryfikacji integralności każdego pakietu.

Schemat funkcji skrótu SHA-256 z przykładem zmiany jednego bitu

Public Key Infrastructure

Certyfikat cyfrowy to dokument elektroniczny, który łączy klucz publiczny z tożsamością jego właściciela (osoby, serwera, firmy). Certyfikat jest podpisany przez zaufany urząd certyfikacji (CA - Certificate Authority), który poświadcza jego autentyczność. Infrastruktura PKI (Public Key Infrastructure) to system urzędów CA, procedur i protokołów umożliwiający wydawanie, weryfikację i unieważnianie certyfikatów. Kiedy przeglądarka łączy się z serwerem HTTPS, serwer przedstawia swój certyfikat. Przeglądarka weryfikuje podpis CA na certyfikacie - jeśli CA jest zaufany (jego certyfikat jest w systemowym magazynie Root CA), połączenie jest nawiązywane bezpiecznie. Certyfikat zawiera: nazwę właściciela, klucz publiczny, daty ważności, podpis CA i numer seryjny. Unieważniony certyfikat (np. gdy skradziono klucz prywatny serwera) jest publikowany na liście CRL lub przez protokół OCSP.

Schemat PKI z urzędem CA, certyfikatem serwera i weryfikacją przez przeglądarkę

Transport Layer Security

TLS (Transport Layer Security) to protokół zapewniający szyfrowanie, integralność i uwierzytelnianie dla połączeń klient-serwer. HTTPS to protokół HTTP działający przez TLS - każda przeglądarka używa go do szyfrowania komunikacji z serwisami internetowymi. Negocjacja TLS (TLS Handshake) przebiega w kilku krokach: klient wysyła dostępne algorytmy, serwer wybiera najlepszy i przesyła certyfikat, obie strony wymieniają klucze sesji przez algorytm Diffie-Hellman lub RSA. Diffie-Hellman (zwłaszcza ECDHE) zapewnia "forward secrecy" - nawet jeśli klucz prywatny serwera wycieknie, przeszłe sesje pozostają tajne, bo klucze sesji były jednorazowe. TLS 1.3 (2018) to aktualna wersja - znacznie szybsza i bezpieczniejsza od TLS 1.2; starsze wersje (SSL 3.0, TLS 1.0) są podatne i powinny być wyłączone. VPN oparte na TLS (np. OpenVPN, SSL VPN) używają tego samego protokołu do tunelowania ruchu sieciowego.

Schemat TLS Handshake z wymianą kluczy i szyfrowaniem sesji

Virtual Private Network

VPN (Virtual Private Network) to technologia tworzenia zaszyfrowanego tunelu między dwoma punktami sieci przez publiczną i niezaufaną sieć, np. Internet. Dzięki VPN pracownik może z domu połączyć się z siecią firmy tak, jakby fizycznie siedział przy biurku w biurze. Wszystkie dane przepływające przez tunel są zaszyfrowane - potencjalny podsłuchujący widzi tylko zaszyfrowane "szumy", a nie rzeczywiste informacje. VPN stosuje się w trzech głównych scenariuszach: zdalny dostęp pracowników (Remote Access VPN), łączenie oddziałów firmy (Site-to-Site VPN), anonimizacja ruchu użytkownika (Consumer VPN). VPN nie gwarantuje anonimowości - dostawca VPN widzi cały niezaszyfrowany ruch użytkownika. Właściwie skonfigurowany VPN firmowy zwiększa bezpieczeństwo przez wymuszenie szyfrowania i eliminację ryzyka podsłuchu na niezabezpieczonych sieciach publicznych.

Schemat tunelu VPN między pracownikiem zdalnym a siecią firmową

Internet Protocol Security

IPsec (Internet Protocol Security) to zestaw protokołów do szyfrowania i uwierzytelniania pakietów IP na poziomie warstwy trzeciej modelu OSI. IPsec działa w dwóch trybach: transportowym (szyfruje tylko zawartość pakietu, nagłówek IP pozostaje widoczny) i tunelowym (szyfruje cały oryginalny pakiet IP i otacza go nowym nagłówkiem). Tryb tunelowy stosuje się w połączeniach Site-to-Site VPN między routerami lub firewallami dwóch oddziałów firmy. IPsec używa dwóch protokołów: AH (Authentication Header) - zapewnia integralność i uwierzytelnianie, ale nie szyfruje; ESP (Encapsulating Security Payload) - szyfruje i uwierzytelnia, stosowany w zdecydowanej większości wdrożeń. Negocjacja parametrów tunelu (algorytmów, kluczy) odbywa się przez protokół IKE (Internet Key Exchange) w dwóch fazach. Faza 1 IKE ustanawia bezpieczny kanał zarządzania, a faza 2 negocjuje klucze dla ruchu danych. IPsec obsługiwane jest przez routery Cisco, Juniper, MikroTik i inne urządzenia sieciowe.

Schemat tunelu IPsec ESP w trybie tunelowym między dwoma routerami

Site-to-Site VPN

VPN Site-to-Site łączy sieci lokalnych dwóch lub więcej lokalizacji przez Internet - tworząc wirtualną sieć rozległą bez kosztów dzierżawy dedykowanych łączy WAN. Routery lub firewalle po obu stronach negocjują tunel IPsec i szyfrują cały ruch między lokalizacjami. Pracownicy w oddziale B widzą zasoby w centrali A "tak jakby" znajdowali się w tej samej sieci lokalnej - bez konieczności ręcznego uruchamiania klienta VPN. Konfiguracja w Cisco IOS obejmuje: zdefiniowanie crypto map lub Virtual Tunnel Interface (VTI), konfigurację IKEv2, wybór algorytmów szyfrowania (AES-256, SHA-256) i uwierzytelnianie (PSK lub certyfikaty). Monitoring tunelu: polecenie "show crypto isakmp sa" (faza 1) i "show crypto ipsec sa" (faza 2) pokazują stan i statystyki tunelu. VTI (Virtual Tunnel Interface) to nowocześniejszy sposób konfiguracji VPN Site-to-Site - logiczny interfejs tunelowy, któremu można przypisać routing dynamiczny OSPF lub BGP.

Schemat VPN Site-to-Site między centralą a oddziałem przez Internet

Remote Access VPN

Remote Access VPN umożliwia pojedynczemu użytkownikowi (pracownikowi, administratorowi) połączenie ze zdalną lokalizacją przez Internet z użyciem oprogramowania klienckiego. Użytkownik instaluje klienta VPN na laptopie lub telefonie, uwierzytelnia się (hasłem, certyfikatem lub MFA) i uzyskuje wirtualny adres IP z zakresu sieci firmowej. Od tej chwili cały ruch lub tylko ruch do sieci firmowej jest tunelowany - w zależności od konfiguracji split tunneling. Split tunneling oznacza, że ruch do sieci firmowej idzie przez VPN, a ruch do Internetu idzie bezpośrednio przez lokalne łącze ISP - odciąża to serwer VPN. Full tunneling kieruje cały ruch przez VPN - pozwala to firmie filtrować i monitorować ruch internetowy pracownika przez firmowe firewalle. Popularne rozwiązania: Cisco AnyConnect (SSL VPN), OpenVPN, WireGuard, Palo Alto GlobalProtect. WireGuard jest najnowszym i najszybszym protokołem VPN - lżejszy kod, szybsze zestawianie tunelu i wyższa wydajność niż IPsec lub OpenVPN.

WireGuard - prostota i szybkość

WireGuard to nowoczesny protokół VPN zaprojektowany z myślą o prostocie, szybkości i bezpieczeństwie. Kod WireGuard liczy około 4000 linii - wielokrotnie mniej niż OpenVPN czy IPsec, co ułatwia audyt bezpieczeństwa i minimalizuje ryzyko błędów. Używa ściśle wybranego zestawu algorytmów: Curve25519 (wymiana kluczy), ChaCha20 (szyfrowanie), Poly1305 (autentyczność), BLAKE2 (skróty). Zestawianie tunelu jest bardzo szybkie - znacznie szybsze niż negocjacje IKE w IPsec. WireGuard działa w jądrze systemu Linux (od wersji 5.6) - zapewnia to wysoką wydajność i niskie opóźnienia. Konfiguracja jest prosta i opiera się na parach kluczy publicznych każdego uczestnika - zamiast skomplikowanej konfiguracji IKE/IPsec. WireGuard jest dostępny na Linux, Windows, macOS, Android i iOS.

Schemat architektury WireGuard z parami kluczy Ed25519 i tunelem UDP

Multi-Factor Authentication

MFA (Multi-Factor Authentication) to metoda uwierzytelniania wymagająca potwierdzenia tożsamości za pomocą co najmniej dwóch niezależnych czynników. Trzy kategorie czynników: "coś, co wiesz" (hasło, PIN), "coś, co masz" (token sprzętowy, aplikacja OTP na telefonie), "coś, czym jesteś" (odcisk palca, twarz - biometria). Samo hasło to jeden czynnik - jeśli zostanie skradzione, atakujący ma pełny dostęp. MFA sprawia, że skradzenie hasła nie wystarczy - atakujący musi też mieć dostęp do telefonu ofiary lub tokenu sprzętowego. W kontekście VPN: bezpieczna praktyka to uwierzytelnianie certyfikatem klienta (coś, co masz) plus hasło (coś, co wiesz). Standard TOTP (Time-based One-Time Password, RFC 6238) generuje jednorazowe kody 6-cyfrowe co 30 sekund w aplikacjach jak Google Authenticator lub Microsoft Authenticator. Wdrożenie MFA przy dostępie VPN do sieci firmowej jest dziś wymogiem ubezpieczycieli i regulatorów.

Schemat MFA: hasło plus token OTP przy logowaniu do VPN

Intrusion Detection / Prevention Systems

IDS (Intrusion Detection System) to system wykrywający podejrzany ruch lub zachowania w sieci i generujący alerty dla administratora. IPS (Intrusion Prevention System) robi to samo, ale dodatkowo aktywnie blokuje wykryty atak - nie tylko informuje, ale działa. IDS/IPS analizuje ruch pod kątem sygnatur znanych ataków (wykrywanie na bazie sygnatur) lub odchyleń od normy (wykrywanie anomalii). Detekcja sygnaturowa jest skuteczna wobec znanych ataków, ale nie wykrywa nowych, nieznanych zagrożeń (ataki zero-day). Detekcja anomalii uczy się normalnego profilu ruchu i zgłasza odchylenia - może generować fałszywe alarmy (false positives). IPS w trybie inline (wbudowany w ścieżkę ruchu) blokuje ataki w czasie rzeczywistym, ale awaria systemu może przerwać ruch sieciowy. IDS pasywny (monitoruje kopię ruchu z portu SPAN) nie wpływa na ruch produkcyjny, ale wykrywa atak z opóźnieniem. W NGFW funkcja IPS jest zwykle zintegrowana z firewallem - upraszcza to architekturę bezpieczeństwa.

Schemat IDS pasywnego i IPS inline w sieci z firewallom

Network Address Translation

NAT (Network Address Translation) to mechanizm realizowany przez router, który tłumaczy prywatne adresy IP urządzeń w sieci LAN na publiczny adres IP routera widoczny w Internecie. Prywatne zakresy adresów (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) nie są trasowalne w Internecie - NAT pozwala setkom urządzeń z prywatnymi IP współdzielić jeden publiczny adres IP. NAT PAT (Port Address Translation) - najczęstsza forma - rozróżnia połączenia przez unikalne numery portów wpisu w tabeli translacji. Gdy odpowiedź wraca z Internetu, NAT zamienia adres docelowy z publicznego z powrotem na prywatny adres właściwego hosta. Statyczny NAT mapuje konkretny prywatny adres na konkretny publiczny adres - stosowany do serwerów w DMZ dostępnych z Internetu. NAT pośrednio chroni sieć wewnętrzną - inicjowanie połączeń z Internetu do prywatnych hostów jest niemożliwe bez wpisu w tabeli NAT lub reguły statycznej. NAT nie zastępuje firewalla, ale stanowi dodatkową warstwę ochrony "security by obscurity".

Schemat NAT PAT z tabelą translacji i wieloma hostami wewnętrznymi

Authentication, Authorization, Accounting

Model AAA (Authentication, Authorization, Accounting) to framework zarządzania dostępem do zasobów sieciowych. Uwierzytelnianie (Authentication) odpowiada na pytanie "Kim jesteś?" - weryfikacja tożsamości przez hasło, certyfikat lub token. Autoryzacja (Authorization) odpowiada na pytanie "Co możesz robić?" - określenie uprawnień i zasobów dostępnych dla uwierzytelnionego użytkownika. Rozliczalność (Accounting) odpowiada na pytanie "Co zrobiłeś?" - rejestrowanie działań użytkownika (czas logowania, polecenia wykonane, pliki otwarte). Protokoły AAA: RADIUS (Remote Authentication Dial-In User Service) - port UDP 1812/1813, stosowany w sieci Wi-Fi i VPN; TACACS+ (firmy Cisco) - szyfruje całą sesję i rozdziela funkcje A-A-A na niezależne etapy; LDAP/Active Directory - uwierzytelnianie przez drzewo katalogowe w środowiskach Windows. Serwer AAA centralnie zarządza dostępem - jeden punkt konfiguracji zamiast lokalnych haseł na każdym urządzeniu.

Schemat modelu AAA: klient, serwer RADIUS i zasoby sieciowe

IEEE 802.1X - Port-Based Access Control

IEEE 802.1X to standard uwierzytelniania portów przełącznika na poziomie warstwy 2 - zanim host otrzyma dostęp do sieci, musi się uwierzytelnić. Trzy komponenty 802.1X: supplicant (klient na stacji roboczej), authenticator (przełącznik lub punkt dostępu), authentication server (serwer RADIUS). Przed uwierzytelnieniem port jest w stanie "niekontrolowanym" - przepuszcza tylko ruch EAPOL (protokół wymiany uwierzytelniania). Po pozytywnym uwierzytelnieniu przez serwer RADIUS port otwiera się i host uzyskuje dostęp do sieci. Metoda EAP-TLS (Extensible Authentication Protocol - TLS) uwierzytelnia za pomocą certyfikatów klienta - najwyższy poziom bezpieczeństwa. 802.1X eliminuje problem nieautoryzowanego podłączenia do gniazda sieciowego - sam kabel nie wystarczy, potrzebne jest prawidłowe uwierzytelnienie. Typowe wdrożenie: laptopy firmowe z certyfikatami maszynowymi automatycznie uwierzytelniają się do VLANu firmowego przez 802.1X.

Schemat 802.1X z supplicantem, przełącznikiem i serwerem RADIUS

Segmentacja i Zero Trust

Segmentacja sieci to podział infrastruktury na mniejsze, izolowane segmenty - VLAN-y, podsieci, strefy firewalla. Z perspektywy bezpieczeństwa segmentacja ogranicza ruch boczny atakującego (lateral movement): jeśli atakujący przejmie jeden komputer, nie może swobodnie skanować i atakować pozostałych segmentów sieci. Model Zero Trust zakłada, że żadne urządzenie ani użytkownik nie są domyślnie zaufani - nawet wewnątrz sieci firmowej. Mikrosegmentacja to granularna izolacja na poziomie poszczególnych maszyn wirtualnych lub kontenerów - stosowana w centrach danych i środowiskach chmurowych. Zasada minimalnych uprawnień sieciowych (Least Privilege) oznacza, że każdy host ma dostęp tylko do tych zasobów, których faktycznie potrzebuje. Reguły firewalla między segmentami powinny być domyślnie blokujące - administrator otwiera tylko udokumentowane i uzasadnione przepływy ruchu. Regularne przeglądy reguł firewalla i ACL eliminują "widmowe" reguły, które nikt już nie potrzebuje, a stanowią lukę bezpieczeństwa.

Schemat mikrosegmentacji sieci z politikami Zero Trust

Obrona przed DDoS

Atak DDoS (Distributed Denial of Service) polega na zalewie serwera lub łącza ogromną ilością ruchu z tysięcy przejętych maszyn (botnet), uniemożliwiając obsługę legalnych klientów. Obrona przed DDoS na poziomie sieci obejmuje kilka warstw. Na poziomie dostawcy ISP: filtry ruchu przy wejściu do sieci AS, scrubbing centers analizujące i filtrujące ruch przed dostarczeniem go do klienta. Na poziomie routera: rate limiting - ograniczenie liczby połączeń na sekundę z jednego źródła; ACL blokujące znane złośliwe adresy IP. Na poziomie firewalla: limitowanie tabeli stanu, syn cookies chroniące przed SYN Flood. Usługi chmurowe anty-DDoS (Cloudflare, Akamai) absorbują ogromny ruch przez globalną sieć serwerów i przesyłają tylko czysty ruch do serwera klienta. Ochrona DDoS to zadanie wymagające zarówno rozwiązań technicznych, jak i umów z dostawcą internetowym.

Schemat ochrony DDoS przez scrubbing center dostawcy i firewall klienta

Security Information and Event Management

Logi (dzienniki zdarzeń) generowane przez firewalle, przełączniki, serwery i systemy IPS są podstawowym źródłem informacji o incydentach bezpieczeństwa. Syslog to standardowy protokół przesyłania logów urządzeń sieciowych do centralnego serwera - umożliwia agregację logów z całej infrastruktury. SIEM (Security Information and Event Management) to system, który zbiera logi z wielu źródeł, koreluje zdarzenia i wykrywa wzorce wskazujące na atak. Przykład: SIEM zauważa, że w ciągu 5 minut ten sam adres IP próbował 500 razy zalogować się przez SSH na różnych serwerach - to ewidentny atak brute force. Alerty generowane przez SIEM trafiają do analityków SOC (Security Operations Center), którzy podejmują decyzję o odpowiedzi na incydent. Popularne rozwiązania SIEM: Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM (ELK Stack). Retencja logów przez minimum 12 miesięcy jest wymagana przez wiele regulacji prawnych (RODO, PCI-DSS).

Schemat SIEM zbierającego logi z urządzeń sieciowych i serwerów

SSH vs Telnet

Telnet to protokół zdalnego dostępu do CLI urządzeń sieciowych, w którym całe połączenie - w tym hasło i komendy - przesyłane jest tekstem jawnym. Każdy, kto może przechwycić ruch sieciowy w tej samej sieci (np. snifferem), widzi dane logowania i wszystkie komendy wysyłane do urządzenia. SSH (Secure Shell) realizuje to samo (dostęp do CLI), ale szyfruje całe połączenie za pomocą algorytmów asymetrycznych i symetrycznych. Używanie Telnet w zarządzaniu urządzeniami sieciowymi jest niedopuszczalne w każdym środowisku produkcyjnym. Konfiguracja SSH na Cisco IOS: "crypto key generate rsa modulus 2048" generuje parę kluczy; "ip ssh version 2" wymusza nowszy protokół; "line vty 0 4" + "transport input ssh" blokuje Telnet. SSH klucze publiczne (zamiast haseł) są jeszcze bezpieczniejszą formą uwierzytelniania - eliminują ryzyko ataków brute force na hasło. Zarządzanie przez HTTPS (Web GUI) jest bezpieczne, jeśli używa ważnego certyfikatu i aktualnego TLS - bez tych warunków jest tak samo niebezpieczne jak Telnet.

Porównanie Telnet (tekst jawny) i SSH (szyfrowanie) - analiza ruchu Wireshark

Projektowanie reguł firewalla

Projektowanie reguł firewalla wymaga metodycznego podejścia opartego na zasadzie minimalnych uprawnień. Pierwsza zasada: reguły są przetwarzane od góry do dołu - pierwsza pasująca reguła decyduje o losie pakietu, kolejne nie są sprawdzane. Ostatnia reguła powinna zawsze odrzucać wszystko, co nie pasowało do poprzednich reguł (implicit deny all). Reguły dokumentuje się: każda reguła ma opis uzasadniający jej obecność - "dlaczego", nie tylko "co". Reguły nieużywane przez długi czas to "zombie rules" - należy je regularnie auditować i usuwać. Zasada kolejności: reguły bardziej szczegółowe (konkretny host, konkretny port) powinny być na górze listy powyżej reguł ogólnych. Testowanie reguł: po każdej zmianie należy weryfikować zarówno, że nowa reguła działa (dozwolony ruch przechodzi), jak i że nie przełamuje istniejącego bezpieczeństwa (zabroniony ruch jest blokowany). Automatyczne narzędzia do analizy reguł (np. AlgoSec, FireMon) pomagają wykrywać konflikty i shadowed rules w dużych listach.

Przykładowa tabela reguł firewalla z opisami i polityką domyślną deny

Pentesty i skanowanie podatności

Skanowanie podatności to automatyczne sprawdzanie urządzeń i systemów pod kątem znanych luk bezpieczeństwa. Narzędzia takie jak Nessus, OpenVAS lub Qualys regularnie skanują sieć i raportują podatności w kolejności ich krytyczności (CVSS score). Testy penetracyjne (pentesty) to symulowane ataki wykonywane przez ekspertów bezpieczeństwa za zgodą właściciela systemu - celem jest znalezienie realnych ścieżek ataku przed prawdziwym napastnikiem. Pentest sieciowy obejmuje fazy: rozpoznanie (topologia, otwarte porty), eskalacja uprawnień, ruch boczny między segmentami, eksfiltracja danych testowych. Narzędzia pentestowe: Nmap (skanowanie portów), Metasploit (exploitacja podatności), Wireshark (analiza ruchu), John the Ripper (łamanie haseł). Wyniki pentestów dostarczają priorytetowej listy działań naprawczych. Regularne pentesty (minimum raz w roku) są wymagane przez standardy PCI-DSS i są zalecane przez RODO dla systemów przetwarzających dane osobowe.

Schemat etapów testu penetracyjnego sieci z narzędziami

Business Continuity / Disaster Recovery

Bezpieczeństwo obejmuje nie tylko ochronę przed atakami, ale też zapewnienie ciągłości działania po awarii lub incydencie. BCP (Business Continuity Plan) i DR (Disaster Recovery) to plany opisujące, jak organizacja przywróci działanie infrastruktury sieciowej po poważnej awarii. Kluczowe metryki: RTO (Recovery Time Objective) - maksymalny akceptowalny czas przywracania usługi; RPO (Recovery Point Objective) - maksymalna akceptowalna utrata danych (do jakiego momentu można cofnąć dane). Redundancja fizyczna (zapasowe łącza ISP, zapasowe urządzenia w hot standby) skraca RTO do minut. Regularne kopie zapasowe konfiguracji urządzeń sieciowych są podstawą szybkiego przywrócenia po awarii. Ćwiczenia awaryjne (symulowane awarie) weryfikują, czy plany działają w praktyce - "plan nieprzetestowany jest planem, który nie działa". Sieć bez planów BCP/DR to ryzyko, które organizacja akceptuje milcząco - co zwykle ujawnia się w najmniej odpowiednim momencie.

Schemat BCP/DR z RTO, RPO i redundantną infrastrukturą sieciową

Podsumowanie

Na tym wykładzie omówiliśmy kluczowe mechanizmy bezpieczeństwa stosowane w architekturach sieciowych. Firewall - packet filter, stanowy i NGFW - stanowi pierwszą linię obrony i egzekwuje podział na strefy bezpieczeństwa. Szyfrowanie symetryczne (AES) i asymetryczne (RSA, EC) zapewnia poufność i integralność danych w transmisji. VPN - IPsec Site-to-Site, Remote Access, WireGuard - tworzy bezpieczne tunele przez niezaufane sieci. TLS, certyfikaty i PKI chronią ruch aplikacyjny i umożliwiają weryfikację tożsamości serwera. Uwierzytelnianie 802.1X i model AAA wprowadzają kontrolę dostępu do sieci na poziomie każdego portu. Segmentacja, IDS/IPS, SIEM i regularne pentesty tworzą głębię obrony - wiele warstw zabezpieczeń, które atakujący musi pokonać kolejno. Na następnym wykładzie zajmiemy się integracją sieci bezprzewodowej WLAN z architekturą sieciową.