Podstawy bezpieczeństwa sieci
Wykład 3: Zarządzanie dostępem i zabezpieczenie sieci
Menu główne Wykład 1 Wykład 2 Wykład 3 Wykład 4 Wykład 5 Wykład 6
1/20
Kontrola dostępu w sieci
  • Rozpoczynamy trzeci wykład, w którym przechodzimy od technik kryptografii do reguł zarządzania dostępem.
  • Głównym wyzwaniem jest zapewnienie skutecznej ochrony zasobów firmowych przed osobami niepowołanymi.
  • Precyzyjne zarządzanie dostępem na styku sieci lokalnej z publicznym Internetem to fundament bezpieczeństwa LAN.
  • Poznamy architekturę uwierzytelniania opartą na modelu AAA oraz zasady tworzenia silnych haseł.
  • Omówimy fizyczne i sprzętowe metody ochrony infrastruktury IT, w tym rolę zapór sieciowych (firewall).
Zabezpieczone drzwi chroniące serwer

Kontrola dostępu to fundamentalny mechanizm bezpieczeństwa, który decyduje o tym, kto może korzystać z zasobów sieciowych i w jaki sposób. Opiera się on na czterech filarach: identyfikacji, uwierzytelnianiu, autoryzacji i rozliczalności, które razem tworzą spójny system ochrony przed nieautoryzowanym dostępem. Współczesne systemy wykorzystują różnorodne metody, w tym kontrolę dostępu opartą na rolach (RBAC) oraz na atrybutach (ABAC), dostosowując uprawnienia do specyficznych potrzeb organizacji.

Zasada najmniejszego uprzywilejowania gwarantuje, że użytkownicy otrzymują wyłącznie minimalny zakres uprawnień niezbędny do wykonywania swoich obowiązków. Rozwiązania klasy Network Access Control (NAC) umożliwiają egzekwowanie polityk bezpieczeństwa już na poziomie urządzenia, zanim uzyska ono dostęp do sieci. Fizyczne środki ochrony, takie jak skanery biometryczne i karty zbliżeniowe, stanowią uzupełnienie zabezpieczeń cyfrowych, tworząc wielowarstwową strategię obrony przed intruzami.

2/20
Koncepcja modelu AAA
  • Systemy kontroli dostępu w sieciach opierają się na fundamentalnym modelu AAA.
  • Uwierzytelnianie (Authentication): proces weryfikacji tożsamości – sprawdzanie, czy użytkownik jest tym, za kogo się podaje.
  • Autoryzacja (Authorization): mechanizm określający, do jakich zasobów i działań użytkownik ma prawo po pomyślnym zalogowaniu.
  • Rozliczalność (Accounting): stałe monitorowanie i rejestrowanie aktywności użytkowników w systemowych dziennikach zdarzeń (logach).
  • Te trzy filary gwarantują prawidłowo udokumentowaną i nadzorowaną architekturę bezpieczeństwa IT.
Schemat filarów AAA: uwierzytelnianie, autoryzacja, rozliczalność

Model AAA został pierwotnie opracowany dla potrzeb kontroli dostępu do sieci i został sformalizowany przez Internet Engineering Task Force (IETF) w dokumencie RFC 2903. Uwierzytelnianie weryfikuje tożsamość za pomocą poświadczeń takich jak hasła, certyfikaty cyfrowe lub dane biometryczne, stanowiąc pierwszą linię obrony przed niepowołanym dostępem. Autoryzacja określa natomiast, do jakich zasobów uwierzytelniony użytkownik może uzyskać dostęp, wykorzystując w tym celu listy kontroli dostępu (ACL).

Rozliczalność rejestruje i śledzi aktywność użytkowników w celach audytowych i rozliczeniowych, co jest niezbędne do wykrywania naruszeń i analizy incydentów. Najpopularniejszymi protokołami realizującymi model AAA są RADIUS (Remote Authentication Dial-In User Service) oraz TACACS+ (Terminal Access Controller Access-Control System Plus). Protokoły te są powszechnie wdrażane w sieciach korporacyjnych do scentralizowanego zarządzania dostępem, umożliwiając administratorom spójną kontrolę nad wszystkimi urządzeniami i użytkownikami w infrastrukturze.

3/20
Trzy czynniki uwierzytelniania
  • Proces uwierzytelniania w sieciach opiera się na trzech głównych czynnikach potwierdzających tożsamość.
  • Czynnik wiedzy (Knowledge factor): to, co użytkownik wie – np. hasło, odpowiedź na pytanie pomocnicze lub kod PIN.
  • Czynnik posiadania (Possession factor): to, co użytkownik ma – np. sprzętowy token (klucz U2F), aplikacja na smartfonie lub karta magnetyczna.
  • Czynnik cechy (Inherence factor / biometria): to, kim użytkownik jest – np. odcisk palca, skan siatkówki oka czy rozpoznawanie twarzy (FaceID).
  • Współczesne systemy bezpieczeństwa polegają na łączeniu tych czynników, aby maksymalnie zwiększyć wiarygodność identyfikacji.
Trzy filary logowania: kod, token, biometria

Uwierzytelnianie wieloskładnikowe łączy co najmniej dwa niezależne czynniki w celu zwiększenia poziomu bezpieczeństwa dostępu do systemów. Połączenie czynnika wiedzy (hasła) z czynnikiem posiadania (token) stanowi znacznie silniejsze zabezpieczenie niż każdy z tych elementów osobno. Lokalizacyjne metody uwierzytelniania, oparte na geolokalizacji lub adresie IP, bywają traktowane jako dodatkowy, czwarty czynnik zwiększający wiarygodność weryfikacji.

Biometria behawioralna, analizująca wzorce pisania na klawiaturze czy ruchy myszy, wyłania się jako nowa kategoria ciągłych metod uwierzytelniania, działających w tle bez ingerencji użytkownika. Wybór odpowiednich czynników zależy od konkretnych wymagań bezpieczeństwa oraz akceptowalnego poziomu wygody dla użytkowników końcowych. Organizacje muszą zachować równowagę między poziomem ochrony a użytecznością systemu, aby zapewnić powszechne stosowanie mechanizmów uwierzytelniania bez frustrowania pracowników nadmiernie skomplikowanymi procedurami.

4/20
Problematyka tradycyjnych haseł
  • Hasła polegające wyłącznie na ludzkiej pamięci są najsłabszym ogniwem bezpieczeństwa w procesie uwierzytelniania.
  • Użytkownicy często stosują to samo, proste hasło do wielu serwisów – zarówno prywatnych, jak i służbowych.
  • Jeśli słabiej zabezpieczony portal zewnętrzny zostanie zhakowany, a hasła wyciekną, atakujący mogą ich użyć do przejęcia dostępu do sieci firmowej.
  • Zbyt rygorystyczna polityka haseł często prowadzi do ich omijania, np. poprzez zapisywanie skomplikowanych ciągów znaków na karteczkach przyklejanych do monitora.
  • Błędy ludzkie związane z zarządzaniem hasłami niweczą inwestycje firm w zaawansowane systemy bezpieczeństwa sieci.
Niebezpieczne nawyki: hasła na żółtych karteczkach

Bezpieczeństwo haseł jest narażone na zagrożenia wynikające z ataków socjotechnicznych, takich jak phishing, oraz technik automatycznego odgadywania poświadczeń, jak credential stuffing. Menedżery haseł pomagają użytkownikom utrzymywać unikalne i złożone hasła dla każdego serwisu bez konieczności zapamiętywania ich wszystkich. Organizacje wdrażają polityki haseł określające minimalną długość, wymaganą złożoność oraz częstotliwość rotacji, jednak zalecenia NIST SP 800-63B obecnie promują długie frazy (passphrases) zamiast częstych zmian haseł.

Uwierzytelnianie wieloskładnikowe znacząco redukuje ryzyko udanego ataku opartego na kradzieży haseł, stanowiąc niezbędne uzupełnienie polityk bezpieczeństwa. Szkolenia z zakresu świadomości bezpieczeństwa uczą pracowników rozpoznawać próby phishingowe i stosować bezpieczne praktyki zarządzania poświadczeniami. Regularne testy penetracyjne i audyty uwierzytelniania pomagają identyfikować słabe punkty w polityce haseł jeszcze przed ich wykorzystaniem przez potencjalnych atakujących.

5/20
Rozwiązanie: uwierzytelnianie wieloskładnikowe (MFA)
  • Uwierzytelnianie wieloskładnikowe (MFA – ang. Multi-Factor Authentication) to skuteczna metoda ochrony przed kradzieżą danych logowania.
  • System wymaga podania co najmniej dwóch niezależnych czynników (np. hasła oraz jednorazowego kodu z aplikacji na smartfonie).
  • Nawet jeśli atakujący przechwyci hasło użytkownika (np. poprzez phishing), nie zaloguje się do systemu bez drugiego składnika autoryzacji.
  • Po podaniu poprawnego loginu i hasła system wymusza dodatkowe potwierdzenie – często powiadomieniem push lub kodem z aplikacji Google Authenticator.
  • Wdrożenie mechanizmów MFA pozwala statystycznie odeprzeć ponad 95% standardowych ataków opartych na przejęciu haseł.
Logowanie MFA: hasło oraz weryfikacja aplikacją na telefonie

Implementacje MFA obejmują zarówno tokeny sprzętowe, takie jak YubiKey, jak i aplikacje generujące kody oraz weryfikację biometryczną. Jednorazowe hasła czasowe (TOTP) generowane przez aplikacje typu Google Authenticator zapewniają dodatkową warstwę ochrony bez konieczności zakupu dedykowanego sprzętu. Powiadomienia push wysyłane na urządzenia mobilne oferują wygodny mechanizm weryfikacji, który jest chętnie akceptowany przez użytkowników ze względu na prostotę obsługi.

Weryfikacja SMS jest mniej bezpieczna ze względu na podatność na ataki typu SIM-swapping, dlatego zaleca się stosowanie bezpieczniejszych metod uwierzytelniania. Standardy FIDO2 oraz WebAuthn umożliwiają wdrożenie uwierzytelniania bezhasłowego z wykorzystaniem kryptografii klucza publicznego, co eliminuje ryzyko kradzieży haseł. Organizacje powinny wdrożyć MFA przede wszystkim dla dostępu administracyjnego oraz połączeń zdalnych, traktując to jako podstawowy środek bezpieczeństwa w ochronie krytycznych systemów.

6/20
Zasada najmniejszego uprzywilejowania (PoLP)
  • Przydzielanie uprawnień powinno opierać się na zasadzie najmniejszego uprzywilejowania (ang. Principle of Least Privilege – PoLP).
  • Reguła ta mówi, że każdy użytkownik lub program powinien mieć tylko tyle uprawnień, ile jest absolutnie niezbędne do wykonania jego zadań.
  • Dla przykładu: specjalista z działu rekrutacji nie powinien posiadać uprawnień do instalowania oprogramowania ani mieć dostępu do konfiguracji routerów.
  • Ograniczanie nadmiernych praw zmniejsza ryzyko infekcji i potencjalne szkody, jeśli komputer pracownika zostanie zaatakowany przez złośliwe oprogramowanie.
  • Stosowanie kont ze standardowymi prawami dostępu odcina intruzom łatwe możliwości eskalacji uprawnień w sieci LAN.
Hierarchia uprawnień z przypisanymi kłódkami

Zasada najmniejszego uprzywilejowania minimalizuje powierzchnię ataku poprzez przyznawanie tylko niezbędnych uprawnień do wykonywania konkretnych zadań. Prawidłowe wdrożenie wymaga dokładnej analizy funkcji stanowiskowych i wymagań dotyczących zasobów w całej organizacji. Regularne przeglądy dostępu zapewniają, że uprawnienia pozostają odpowiednie w miarę ewolucji ról pracowniczych i zmian w strukturze zatrudnienia.

Rozwiązania klasy Privileged Access Management (PAM) egzekwują zasadę PoLP dla kont uprzywilejowanych, monitorując i rejestrując każdą sesję administracyjną. Mechanizm just-in-time (JIT) umożliwia czasowe podniesienie uprawnień na potrzeby wykonania konkretnego zadania, po czym są one automatycznie cofane. Rozdział obowiązków (separation of duties) zapobiega sytuacji, w której pojedynczy użytkownik miałby zbyt szeroką kontrolę nad krytycznymi systemami, co ogranicza ryzyko nadużyć wewnętrznych.

7/20
Koncepcja architektury Zero Trust
  • Przestarzałe podejście do bezpieczeństwa zakładało istnienie „zaufanej sieci wewnętrznej", w której komputery firmowe miały pełną swobodę działania.
  • Ten błąd sprawiał, że zainfekowane złośliwym kodem komputery pracowników łatwo rozprzestrzeniały zagrożenie wewnątrz sieci LAN.
  • Nowoczesne sieci wykorzystują koncepcję zerowego zaufania (Zero Trust), która odrzuca tradycyjny podział na sieć zaufaną i niezaufaną.
  • Zgodnie z tą strategią żadne urządzenie ani użytkownik nie są traktowani jako bezpieczni tylko na podstawie faktu, że łączą się z biura firmy.
  • Zawsze i w każdym przypadku wymuszana jest ścisła weryfikacja i uwierzytelnianie wieloskładnikowe przy dostępie do zasobów wewnętrznych.
Schemat modelu Zero Trust w sieci firmowej

Model Zero Trust zakłada, że naruszenie bezpieczeństwa już nastąpiło i weryfikuje każde żądanie dostępu tak, jakby pochodziło z niezaufanej sieci zewnętrznej. Mikrosegmentacja dzieli sieć na małe, izolowane strefy, aby ograniczyć możliwość przemieszczania się atakującego w poziomie po infrastrukturze. Ciągłe monitorowanie i analiza behawioralna wykrywają anomalie w czasie rzeczywistym, umożliwiając natychmiastową reakcję na potencjalne zagrożenia.

Wszystkie zasoby są dostępne wyłącznie na podstawie polityk najmniejszego uprzywilejowania, a dostęp jest jawnie przyznawany na podstawie wielu atrybutów, w tym tożsamości, lokalizacji i stanu urządzenia. Architektura Zero Trust integruje się z istniejącymi narzędziami bezpieczeństwa poprzez interfejsy API i silniki polityk. Wdrożenie odbywa się zazwyczaj według modelu dojrzałości, przechodząc od polityk statycznych do dynamicznych, co stopniowo zmniejsza promień eksplozji incydentów bezpieczeństwa.

8/20
Zapora sieciowa (firewall)
  • Podstawowa ochrona sieci firmowej przed atakami z zewnątrz opiera się na sprzętowych zaporach, zwanych ogólnie firewallami.
  • Ich kluczowym zadaniem jest analiza ruchu sieciowego na styku z Internetem i blokowanie nieautoryzowanych połączeń.
  • Decyzje zapory opierają się na zestawie reguł filtrowania znanych jako listy kontroli dostępu (ACL – ang. Access Control List).
  • Złotą zasadą w ACL jest reguła „Deny Any" / „Drop All", która z założenia blokuje i odrzuca wszelki niezdefiniowany wcześniej ruch sieciowy.
  • Administratorzy dodają ręcznie reguły zezwalające, wpuszczając do firmy jedynie konkretne pakiety, usługi lub porty dla potrzebnych połączeń.
Firewall oddzielający sieć LAN od Internetu (WAN)

Firewalle stanowią pierwszą linię obrony pomiędzy zaufanymi sieciami wewnętrznymi a niezaufanymi sieciami zewnętrznymi, takimi jak Internet. Działają one poprzez inspekcję nagłówków pakietów i stosowanie reguł zezwalających lub blokujących ruch sieciowy według zdefiniowanych polityk. Nowoczesne firewalle integrują funkcje zapobiegania włamaniom, świadomość aplikacji oraz śledzenie tożsamości użytkowników dla bardziej precyzyjnej kontroli.

Zasada domyślnej blokady (default-deny) gwarantuje, że tylko jawnie dozwolony ruch może przejść przez zaporę, co stanowi fundamentalną regułę projektowania bezpiecznych sieci. Administratorzy muszą starannie projektować reguły firewall zgodnie z zasadą najmniejszego uprzywilejowania, a regularne audyty reguł pomagają usuwać nieaktualne lub zbyt liberalne wpisy. Firewalle są wdrażane na obrzeżach sieci, pomiędzy segmentami wewnętrznymi oraz w środowiskach centrów danych, tworząc wielowarstwową architekturę ochrony.

9/20
Zapory bezstanowe (Stateless Firewall)
  • Historycznie pierwszymi rozwiązaniami zabezpieczającymi na brzegu sieci były tzw. zapory bezstanowe (Stateless Firewall).
  • Urządzenia te analizowały jedynie nagłówki pakietów w warstwie sieciowej (3) i transportowej (4) modelu OSI, czyli adresy IP i numery portów.
  • Każdy pakiet był traktowany całkowicie niezależnie, bez żadnego kontekstu wcześniej nawiązanych połączeń.
  • Zapora blokowała pakiety, jeśli nie znalazła bezpośredniej reguły w ACL zezwalającej na komunikację przychodzącą z danego adresu IP.
  • Wadą tego rozwiązania był brak mechanizmów zapamiętywania faktu, że to stacja robocza z wnętrza sieci jako pierwsza zainicjowała połączenie (ruch powrotny nie był przepuszczany automatycznie).
Listy ACL pokazujące statyczne zezwolenia dla portów sieciowych

Zapory bezstanowe badają każdy pakiet niezależnie, bez śledzenia stanu połączenia, co znacząco upraszcza ich architekturę wewnętrzną. Podejmują decyzje filtracyjne wyłącznie na podstawie adresów źródłowych i docelowych IP oraz numerów portów warstwy transportowej. Proste listy ACL definiują dozwolone wzorce ruchu pomiędzy segmentami sieci, co sprawdza się w podstawowych scenariuszach filtrowania.

Brak świadomości stanu połączenia oznacza, że zapory bezstanowe nie są w stanie odróżnić pakietów należących do ustanowionej sesji od pakietów niepożądanych. To ograniczenie wymusza stosowanie bardziej złożonych reguł umożliwiających przepuszczanie ruchu powrotnego. Mimo swoich ograniczeń, zapory bezstanowe oferują bardzo wysoką przepustowość i niskie opóźnienia, co czyni je przydatnymi w środowiskach o krytycznym znaczeniu dla wydajności, gdzie priorytetem jest szybkość przetwarzania.

10/20
Zapory stanowe (Stateful Firewall)
  • Rozwinięciem funkcji starszych zapór były firewalle stanowe (Stateful Firewall), które wprowadziły analizę stanu połączeń sieciowych (Stateful Inspection).
  • Kluczową innowacją było wdrożenie tablicy stanów (State Table), która dynamicznie śledziła cykl życia wszystkich nawiązywanych sesji.
  • Gdy pracownik próbował połączyć się ze stroną z sieci lokalnej (np. przeglądarka wysyłała zapytanie na port 443), zapora odnotowywała to w swojej tablicy stanów.
  • Dzięki tablicy stanów zapora inteligentnie rozpoznawała odpowiedzi z Internetu i automatycznie zezwalała na powrót tylko tych pakietów, o które prosił użytkownik wewnątrz LAN.
  • To rozwiązanie znacznie podniosło poziom bezpieczeństwa oraz uprościło zarządzanie ruchem wychodzącym i powrotnym.
Tabela połączeń (State Table) w zaporze sieciowej

Zapory stanowe utrzymują tablicę stanów śledzącą status każdego połączenia przechodzącego przez zaporę, co stanowi kluczową innowację w stosunku do poprzedniej generacji. Umożliwia to inteligentne zarządzanie ruchem powrotnym przy jednoczesnym blokowaniu niechcianych połączeń przychodzących, które nie były inicjowane z wewnątrz sieci. Tablica stanów rejestruje atrybuty takie jak adresy źródłowe i docelowe, porty oraz numery sekwencyjne TCP dla każdej aktywnej sesji.

Inspekcja stanowa zapewnia wyższy poziom bezpieczeństwa niż filtrowanie bezstanowe przy prostszej konfiguracji reguł, ponieważ zapora automatycznie rozpoznaje ruch powrotny. Utrzymywanie tablic stanów wymaga jednak dodatkowej pamięci i mocy obliczeniowej, co może stanowić wyzwanie przy dużej liczbie równoczesnych połączeń. Ataki typu state exhaustion próbują wypełnić tablicę stanów niekompletnymi połączeniami (SYN flood), dlatego czasy oczekiwania dla poszczególnych stanów muszą być starannie skonfigurowane dla zachowania równowagi między bezpieczeństwem a wydajnością.

11/20
Zapora nowej generacji (NGFW)
  • Rozwój ataków wymusił nową ewolucję zabezpieczeń. Hakerzy zaczęli przemycać złośliwy ruch pod przykrywką zwykłych otwartych portów, takich jak HTTP (80) i HTTPS (443).
  • Tradycyjny firewall stanowy przepuszczał niebezpieczny plik pod płaszczem legalnego portu sieciowego, nie badając jego zawartości.
  • Odpowiedzią na te zagrożenia stały się zapory nowej generacji (NGFW – ang. Next-Generation Firewall), posiadające zaawansowane silniki inspekcji.
  • Dzięki technologii DPI (ang. Deep Packet Inspection – głęboka inspekcja pakietów), zapora NGFW skanuje ruch głęboko wewnątrz pakietu, aż do siódmej warstwy modelu OSI (warstwy aplikacji).
  • System ten jest w stanie np. zablokować ruch sieci P2P lub złośliwy ładunek pomimo tego, że fizycznie komunikuje się on przez standardowy, dozwolony port WWW.
Schemat głębokiej inspekcji pakietów (DPI) w urządzeniach NGFW

Zapory nowej generacji integrują wiele funkcji bezpieczeństwa w jednym urządzeniu, łącząc tradycyjną zaporę z systemem IPS i kontrolą aplikacji. Głęboka inspekcja pakietów (DPI) analizuje zawartość payloadu wykraczającą poza nagłówki, umożliwiając identyfikację konkretnych aplikacji i protokołów niezależnie od użytego portu. NGFW potrafią rozpoznawać i kontrolować tysiące aplikacji nawet wtedy, gdy próbują one maskować swój ruch jako legalny ruch HTTP lub HTTPS.

Deszyfrowanie ruchu SSL/TLS umożliwia inspekcję szyfrowanego ruchu w poszukiwaniu ukrytych zagrożeń, co staje się niezbędne w dzisiejszych zaszyfrowanych sieciach. Świadomość tożsamości użytkownika pozwala na tworzenie polityk bezpieczeństwa opartych na przynależności do grup i ról w organizacji. Kanały informacji o zagrożeniach (threat intelligence) aktualizują sygnatury i dane reputacyjne w czasie rzeczywistym, zapewniając ochronę przed najnowszymi wektorami ataku.

12/20
Systemy wykrywania włamań (IDS)
  • Jako dodatkową warstwę ochrony obok firewalli, często stosuje się systemy klasy IDS (ang. Intrusion Detection System – system wykrywania włamań).
  • IDS działa jako pasywny czujnik podłączony z boku struktury sieciowej, który odbiera kopie pakietów (np. dzięki konfiguracji portów SPAN na przełącznikach).
  • Zaletą działania pasywnego jest brak wpływu na opóźnienia – system w żaden sposób nie wstrzymuje ani nie spowalnia ruchu sieciowego.
  • System na bieżąco analizuje ruch pod kątem znanych sygnatur szkodliwego oprogramowania i anomalii sieciowych.
  • Jeśli wykryje zagrożenie (np. atak wirusowy), natychmiast rejestruje zdarzenie i generuje alert dla zespołu reagowania na incydenty (SOC).
System IDS pasywnie monitorujący i alarmujący centrum operacyjne (SOC)

Systemy wykrywania włamań monitorują ruch sieciowy w poszukiwaniu podejrzanych wzorców i znanych sygnatur ataków, stanowiąc dodatkową warstwę ochrony uzupełniającą firewalle. Detekcja sygnaturowa porównuje ruch z bazą danych znanych wzorców ataków, co zapewnia wysoką skuteczność w wykrywaniu znanych zagrożeń. Detekcja anomalii ustanawia bazową linię normalnego zachowania sieci i alarmuje w przypadku odchyleń od tej normy, umożliwiając wykrywanie nieznanych wcześniej ataków.

Czujniki IDS mogą być wdrażane jako systemy sieciowe (NIDS) monitorujące ruch na poziomie infrastruktury lub systemy hostowe (HIDS) analizujące logi i zdarzenia systemowe. Zmęczenie alertami występuje, gdy system generuje nadmierną liczbę fałszywych pozytywów, co wymaga starannego dostrojenia reguł detekcyjnych. Korelacja zdarzeń z innymi narzędziami bezpieczeństwa poprawia dokładność wykrywania i redukuje liczbę fałszywych alarmów, a IDS odgrywa kluczową rolę w funkcji detekcji frameworku cybersecurity NIST.

13/20
Systemy zapobiegania włamaniom (IPS)
  • W przeciwieństwie do IDS, rozwiązania klasy IPS (ang. Intrusion Prevention System – system zapobiegania włamaniom) biorą aktywny udział w ochronie sieci.
  • Są one instalowane centralnie, na głównej drodze ruchu przepływającego przez sieć (metoda in-line), wymuszając przepuszczenie każdego pakietu przez skaner.
  • Posiadają one reguły, które nie tylko ostrzegają administratora, ale także automatycznie blokują pakiety uznane za szkodliwe.
  • Jeśli moduł IPS rozpozna sygnaturę charakterystyczną np. dla ataku ransomware, sprzętowo przerywa połączenie, odrzucając zagrożenie.
  • Działanie prewencyjne minimalizuje szkody i chroni stacje robocze jeszcze zanim wirus zdoła dotrzeć do punktu końcowego w sieci LAN.
System IPS aktywnie blokujący złośliwe pakiety i odrzucający ruch w trybie in-line

Systemy zapobiegania włamaniom działają w trybie in-line, aktywnie blokując złośliwy ruch, zanim dotrze on do docelowych systemów, co stanowi kluczową różnicę w stosunku do pasywnych systemów IDS. W przeciwieństwie do IDS, IPS może zakończyć połączenie, odrzucić pakiety lub zablokować adres IP atakującego w czasie rzeczywistym bez konieczności interwencji człowieka. Fałszywe pozytywy w IPS są bardziej niebezpieczne, ponieważ mogą zablokować legalny ruch i zakłócić działanie aplikacji biznesowych.

Właściwe dostrojenie i stopniowe wdrażanie są niezbędne do minimalizacji zakłóceń w działalności operacyjnej organizacji. Sygnatury oparte na podatnościach chronią przed exploitami jeszcze przed udostępnieniem oficjalnych łat przez producentów oprogramowania. Silniki analizy protokołów wykrywają naruszenia specyfikacji protokołów sieciowych, co pozwala na identyfikację zaawansowanych ataków wykorzystujących luki w implementacjach. Nowoczesne rozwiązania IPS integrują się z platformami wymiany informacji o zagrożeniach w celu automatyzacji reakcji na incydenty.

14/20
Urządzenia UTM (Unified Threat Management)
  • Dla wielu firm wdrożenie wielu dedykowanych urządzeń na krawędzi sieci (firewall, IPS, proxy) jest zbyt kosztowne i trudne w zarządzaniu.
  • Z pomocą przychodzą urządzenia klasy UTM (ang. Unified Threat Management – ujednolicone zarządzanie zagrożeniami).
  • Urządzenia te łączą w sobie funkcjonalność wielu różnych systemów ochronnych zamkniętych w jednej platformie sprzętowej.
  • Zapewniają zintegrowaną ochronę, zawierając w sobie m.in.: zaporę sieciową, moduł IPS, systemy antywirusowe, filtrowanie stron WWW oraz analizę antyspamową.
  • Stanowią wszechstronne i ekonomiczne rozwiązanie, zapewniające bezpieczeństwo całego ruchu sieciowego na połączeniu z publicznym Internetem.
Wielofunkcyjne urządzenie UTM zawierające anty-spam, firewall i antywirusa w jednym pudełku

Urządzenia UTM konsolidują wiele funkcji bezpieczeństwa w jednej platformie sprzętowej, co upraszcza zarządzanie i redukuje koszty infrastruktury bezpieczeństwa. Typowe funkcje UTM obejmują zaporę sieciową, VPN, skanowanie antywirusowe, zapobieganie włamaniom, filtrowanie treści WWW oraz ochronę przed spamem i phishingiem. Małe i średnie przedsiębiorstwa czerpią największe korzyści z podejścia all-in-one, które eliminuje konieczność zakupu i integracji wielu oddzielnych urządzeń.

Wydajność urządzenia może stanowić ograniczenie, gdy wszystkie funkcje są włączone jednocześnie, dlatego przy wyborze platformy UTM należy uwzględnić wymaganą przepustowość przy pełnym obciążeniu. Modele licencjonowania różnią się w zależności od producenta i mogą obejmować subskrypcje na poszczególne usługi bezpieczeństwa. Scentralizowane konsole zarządzania umożliwiają administrację wieloma urządzeniami UTM w rozproszonych lokalizacjach, co jest szczególnie przydatne w organizacjach z oddziałami w różnych regionach geograficznych.

15/20
Izolacja usług zewnętrznych – strefa DMZ
  • Dawniej powszechnym błędem architektonicznym było umieszczanie publicznie dostępnego serwera WWW w tej samej podsieci, w której operowały komputery pracowników biura.
  • Atakujący, w przypadku znalezienia luki i przejęcia serwera WWW, uzyskiwali natychmiastowy i otwarty dostęp do krytycznych maszyn wewnątrz firmy.
  • Nowoczesne normy bezpieczeństwa wymuszają zastosowanie tzw. strefy zdemilitaryzowanej (DMZ – ang. DeMilitarized Zone).
  • Usługi udostępniane publicznie (np. firmowa strona WWW) umieszcza się na wydzielonym interfejsie zapory sieciowej z surowo ograniczonym ruchem do strefy LAN.
  • Dzięki tej separacji, nawet jeśli serwer w strefie DMZ zostanie przejęty, intruz nie będzie w stanie bezpośrednio połączyć się z siecią pracowniczą.
Podział routera i firewall na strefy sieciowe LAN, WAN oraz odizolowaną DMZ

Strefa zdemilitaryzowana stanowi buforową sieć pomiędzy wewnętrzną siecią LAN a publicznym Internetem, izolując usługi dostępne z zewnątrz od zasobów wewnętrznych. Serwery publiczne, takie jak firmowa strona WWW, poczta elektroniczna i DNS, są umieszczane w DMZ z surowo ograniczonym ruchem do sieci wewnętrznej. Firewalle kontrolują przepływ ruchu pomiędzy strefą DMZ, LAN i WAN przy użyciu ścisłych polityk dostępu, które definiują dozwolone kierunki komunikacji.

Architektura DMZ ogranicza skutki potencjalnego włamania, ponieważ nawet po przejęciu serwera w strefie DMZ atakujący nie ma bezpośredniego dostępu do sieci wewnętrznej z danymi firmowymi. W bardziej zaawansowanych konfiguracjach stosuje się wiele poziomów DMZ dla różnych klas bezpieczeństwa usług. Hosty bastionowe w strefie DMZ zapewniają kontrolowane punkty dostępu dla zadań administracyjnych, a regularne skanowanie podatności i łatkowanie systemów w DMZ ma krytyczne znaczenie dla utrzymania bezpieczeństwa.

16/20
Segmentacja sieci: technologia VLAN
  • Zbudowanie biurowej sieci jako ogromnego, płaskiego obszaru setek połączonych urządzeń tworzy idealne warunki do szybkiego rozprzestrzeniania się robaków i wirusów.
  • Ograniczeniem tego problemu jest logiczna segmentacja za pomocą wirtualnych sieci lokalnych (VLAN – ang. Virtual Local Area Network).
  • Pozwala to na logiczne grupowanie portów przełącznika (switcha) i izolację ruchu – np. rozdzielenie komputerów działu księgowości od urządzeń programistów.
  • Urządzenia działające w obrębie różnych sieci VLAN nie widzą się nawzajem i muszą komunikować się wyłącznie przez odpowiednio skonfigurowany router lub zaporę sieciową.
  • Dzięki logicznej segmentacji skutecznie zamykamy drogi rozprzestrzeniania się infekcji oraz zapobiegamy nieautoryzowanemu podsłuchowi ruchu wewnątrz firmy.
Logiczna separacja portów w technologii wirtualnych sieci LAN na przełączniku sieciowym

Wirtualne sieci LAN umożliwiają logiczną segmentację sieci bez konieczności dodawania dodatkowej infrastruktury fizycznej, co znacząco obniża koszty wdrożenia. Tagowanie VLAN (IEEE 802.1Q) dodaje 4-bajtowy znacznik do ramki Ethernet identyfikujący przynależność do konkretnej sieci VLAN, umożliwiając współistnienie wielu sieci na jednym fizycznym interfejsie. Routing między VLAN wymaga urządzenia warstwy 3, takiego jak router lub przełącznik wielowarstwowy, który może przekazywać pakiety między różnymi segmentami.

Prywatne VLAN ograniczają komunikację wewnątrz tej samej sieci VLAN dla dodatkowej izolacji poszczególnych urządzeń. Sieci VLAN dla głosu (Voice VLAN) separują ruch VoIP od ruchu danych w celu zapewnienia jakości usług (QoS). Ataki typu VLAN hopping próbują ominąć izolację VLAN poprzez podwójne tagowanie (double tagging) lub fałszowanie przełącznika, co wymaga odpowiednich zabezpieczeń na poziomie konfiguracji portów. Prawidłowo zaprojektowana segmentacja VLAN poprawia bezpieczeństwo, wydajność i zarządzalność sieci korporacyjnych.

17/20
Zabezpieczenie gniazd kablowych (protokół 802.1X)
  • Pozostawienie w salach konferencyjnych aktywnych i odblokowanych gniazdek sieciowych jest poważnym naruszeniem polityki bezpieczeństwa, pomimo najlepszej ochrony na urządzeniach brzegowych.
  • Nieupoważniona osoba, która wejdzie do biura, może podłączyć prywatny laptop i bezkarnie ominąć zewnętrzne zapory i filtry, uzyskując dostęp do sieci LAN.
  • Do ochrony gniazd i portów na przełącznikach stosuje się mechanizmy kontroli dostępu, takie jak protokół IEEE 802.1X.
  • W tej technologii port kablowy na przełączniku pozostaje całkowicie zablokowany do czasu, aż podłączone urządzenie zostanie autoryzowane.
  • Podłączenie jakiegokolwiek sprzętu wymaga przedstawienia certyfikatu i jego walidacji przez wydzielony serwer kontrolny (np. korzystający z protokołu RADIUS).

IEEE 802.1X zapewnia kontrolę dostępu do sieci na poziomie portu w warstwie łącza danych, chroniąc fizyczne gniazda sieciowe przed nieautoryzowanym podłączeniem. Protokół angażuje trzy główne komponenty: suplikanta (urządzenie klienckie), autentykatora (przełącznik lub punkt dostępowy) oraz serwer uwierzytelniający (najczęściej RADIUS). Metody EAP (Extensible Authentication Protocol), takie jak EAP-TLS i PEAP, przenoszą dane uwierzytelniające pomiędzy tymi komponentami w bezpieczny sposób.

MAC Authentication Bypass (MAB) umożliwia urządzeniom bez wsparcia 802.1X uwierzytelnienie na podstawie adresu MAC, co jest przydatne dla starszych urządzeń sieciowych. Dynamiczny przydział VLAN pozwala na automatyczne umieszczanie uwierzytelnionych urządzeń w odpowiednich segmentach sieci w zależności od ich roli i uprawnień. Sieć VLAN dla gości (Guest VLAN) zapewnia ograniczony dostęp dla nieuwierzytelnionych urządzeń, umożliwiając podstawową łączność bez narażania bezpieczeństwa sieci wewnętrznej.

18/20
Audyt i rejestrowanie zdarzeń sieciowych
  • Ostatnim elementem pełnego modelu bezpieczeństwa AAA jest wdrożenie narzędzi zbierających dane audytowe, najczęściej przy użyciu zunifikowanego protokołu Syslog.
  • Każde urządzenie w sieci (routery, przełączniki, systemy UTM) na bieżąco przesyła informacje o statusie pracy oraz nieautoryzowanych próbach połączeń.
  • Historia tych zdarzeń, przechowywana na oddzielnym zabezpieczonym serwerze, jest kluczowym materiałem dowodowym w analizach po wystąpieniu włamania.
  • Zespoły reagowania na zagrożenia (SOC) przeszukują i korelują wpisy z logów, co ułatwia znalezienie wektora ataku i zneutralizowanie skutków działania intruza.
  • Brak scentralizowanego monitoringu służy bezpośrednio atakującym, uniemożliwiając obrońcom ustalenie drogi oraz skali infekcji w infrastrukturze.
Centralny system rejestracji zdarzeń (logów) połączony poprzez Syslog z urządzeniami

Systemy Security Information and Event Management (SIEM) agregują i korelują logi z wielu źródeł, umożliwiając kompleksową analizę zdarzeń bezpieczeństwa w całej infrastrukturze. Polityki przechowywania logów muszą być zgodne z wymogami regulacyjnymi takimi jak PCI DSS, HIPAA i RODO, które określają minimalne okresy retencji danych audytowych. Integralność logów zapewnia, że zapisane zdarzenia nie mogą być modyfikowane po ich utworzeniu, co osiąga się poprzez nośniki write-once lub kryptograficzne funkcje skrótu.

Tworzenie bazowych wartości referencyjnych normalnego ruchu sieciowego pomaga identyfikować podejrzane odchylenia podczas analizy incydentów bezpieczeństwa. Automatyczne alarmowanie wysyła powiadomienia o krytycznych zdarzeniach do zespołów bezpieczeństwa w czasie rzeczywistym. Analiza kryminalistyczna logów dostarcza dowodów dla postępowań prawnych i przeglądów poincydencyjnych, a monitorowanie logów w czasie rzeczywistym umożliwia szybkie wykrywanie i reagowanie na incydenty bezpieczeństwa.

19/20
Bezpieczeństwo fizyczne sprzętu
  • Wdrażanie zaawansowanych algorytmów zabezpieczających i wieloskładnikowego uwierzytelniania (MFA) staje się bezcelowe, jeśli nie zadbano o fizyczne bezpieczeństwo środowiska serwerowego.
  • Osoba z fizycznym dostępem do infrastruktury może odłączyć przewody sieciowe, zainstalować rejestrator naciśnięć klawiszy (keylogger) lub całkowicie zniszczyć dyski.
  • Centralne instalacje urządzeń powinny znajdować się wyłącznie w dedykowanych serwerowniach z zaawansowaną blokadą dostępu (np. biometryczną).
  • Należy bezwzględnie egzekwować ograniczenie dostępu; pracownicy sprzątający, asystenci ani inni goście nie mogą przebywać sami w pobliżu krytycznego sprzętu.
  • Ochrona cybernetyczna to system kompleksowy: z zewnątrz chronią nas wirtualne zapory sieciowe, a wewnątrz – mury i odpowiednio zorganizowane strefy dostępu.
Fizyczne zabezpieczenie serwerowni poprzez kłódki, drzwi i szafy rack

Fizyczne zabezpieczenia obejmują monitoring środowiskowy (temperatura, wilgotność, detekcja zalania), systemy kontroli dostępu oraz kamery nadzoru wideo chroniące infrastrukturę krytyczną. Bezpieczeństwo centrum danych opiera się na warstwowym podejściu, od ogrodzenia perymetrycznego po zamki szaf serwerowych, tworząc fizyczny odpowiednik obrony wielowarstwowej w cyberprzestrzeni. Moduły bezpieczeństwa sprzętowego (HSM) chronią klucze kryptograficzne przed fizyczną kradzieżą i manipulacją, zapewniając bezpieczne przechowywanie najcenniejszych zasobów kryptograficznych.

Śledzenie aktywów i zarządzanie inwentarzem zapobiega nieautoryzowanemu usuwaniu sprzętu z pomieszczeń serwerowych, co jest kluczowe dla zachowania ciągłości działania. Zasada obrony w głębi ma zastosowanie zarówno do bezpieczeństwa fizycznego, jak i logicznego, tworząc spójny system ochrony. Regularne audyty bezpieczeństwa fizycznego identyfikują podatności w kontrolach dostępu i zabezpieczeniach środowiskowych, a także weryfikują zgodność z obowiązującymi standardami i procedurami.

20/20
Podsumowanie mechanizmów obronnych
  • Na dzisiejszym wykładzie omówiliśmy zasady oraz narzędzia chroniące sieci LAN.
  • Przeanalizowaliśmy model AAA, wskazując na konieczność stosowania uwierzytelniania wieloskładnikowego (MFA) dla wzmocnienia kontroli dostępu.
  • Zastąpiliśmy archaiczny model pełnego zaufania wewnętrznego nową strategią zerowego zaufania (Zero Trust), polegającą na ciągłej wnikliwej weryfikacji dostępu.
  • Przedstawiono rozwój technologii zapór sieciowych: od prostych filtrów bezstanowych, przez zapory stanowe, aż po głęboką inspekcję (DPI) oferowaną przez urządzenia NGFW i UTM.
  • Zwrócono uwagę na kluczową rolę technologii IDS i IPS jako uzupełnienia firewalli we wczesnym wykrywaniu i zatrzymywaniu złośliwego ruchu, a także na konieczność wydzielenia strefy DMZ dla serwerów publicznych.
Podsumowanie mechanizmów bezpieczeństwa i zapór sieciowych

Niniejszy wykład objął wszystkie istotne warstwy obrony sieciowej, od kontroli dostępu po bezpieczeństwo fizyczne, tworząc kompleksowy obraz ochrony infrastruktury IT. Zrozumienie tych mechanizmów jest kluczowe dla projektowania i utrzymywania bezpiecznych sieci komputerowych w organizacjach każdej wielkości. Każda warstwa zabezpieczeń adresuje konkretne zagrożenia i podatności w ramach ogólnej architektury bezpieczeństwa, a ich współdziałanie tworzy skuteczny system ochrony.

Strategia obrony wielowarstwowej (defense-in-depth) gwarantuje, że awaria pojedynczej warstwy zabezpieczeń nie naruszy całego systemu, ponieważ kolejne warstwy stanowią zapasowe linie obrony. Ciągłe szkolenia i podnoszenie świadomości bezpieczeństwa uzupełniają zabezpieczenia techniczne, adresując czynnik ludzki, który jest najsłabszym ogniwem każdego systemu. Regularne testy penetracyjne i oceny podatności weryfikują skuteczność wdrożonych zabezpieczeń, a bezpieczeństwo jest procesem ciągłym wymagającym stałego monitorowania, oceny i doskonalenia w odpowiedzi na ewoluujące zagrożenia.