Podstawy bezpieczeństwa sieci
Wykład 3: Zarządzanie dostępem i zabezpieczenie sieci
Strona główna Wykład 1 Wykład 2 Wykład 3 Wykład 4 Wykład 5 Wykład 6
1/20
Kontrola dostępu w sieci
  • Rozpoczynamy trzeci wykład, w którym przechodzimy od technik kryptografii do reguł zarządzania dostępem.
  • Głównym wyzwaniem jest zapewnienie skutecznej ochrony zasobów firmowych przed osobami niepowołanymi.
  • Precyzyjne zarządzanie dostępem na styku sieci lokalnej z publicznym Internetem to fundament bezpieczeństwa LAN.
  • Poznamy architekturę uwierzytelniania opartą na modelu AAA oraz zasady tworzenia silnych haseł.
  • Omówimy fizyczne i sprzętowe metody ochrony infrastruktury IT, w tym rolę zapór sieciowych (firewall).
Zabezpieczone drzwi chroniące serwer
2/20
Koncepcja modelu AAA
  • Systemy kontroli dostępu w sieciach opierają się na fundamentalnym modelu AAA.
  • Uwierzytelnianie (Authentication): proces weryfikacji tożsamości – sprawdzanie, czy użytkownik jest tym, za kogo się podaje.
  • Autoryzacja (Authorization): mechanizm określający, do jakich zasobów i działań użytkownik ma prawo po pomyślnym zalogowaniu.
  • Rozliczalność (Accounting): stałe monitorowanie i rejestrowanie aktywności użytkowników w systemowych dziennikach zdarzeń (logach).
  • Te trzy filary gwarantują prawidłowo udokumentowaną i nadzorowaną architekturę bezpieczeństwa IT.
Schemat filarów AAA: uwierzytelnianie, autoryzacja, rozliczalność
3/20
Trzy czynniki uwierzytelniania
  • Proces uwierzytelniania w sieciach opiera się na trzech głównych czynnikach potwierdzających tożsamość.
  • Czynnik wiedzy (Knowledge factor): to, co użytkownik wie – np. hasło, odpowiedź na pytanie pomocnicze lub kod PIN.
  • Czynnik posiadania (Possession factor): to, co użytkownik ma – np. sprzętowy token (klucz U2F), aplikacja na smartfonie lub karta magnetyczna.
  • Czynnik cechy (Inherence factor / biometria): to, kim użytkownik jest – np. odcisk palca, skan siatkówki oka czy rozpoznawanie twarzy (FaceID).
  • Współczesne systemy bezpieczeństwa polegają na łączeniu tych czynników, aby maksymalnie zwiększyć wiarygodność identyfikacji.
Trzy filary logowania: kod, token, biometria
4/20
Problematyka tradycyjnych haseł
  • Hasła polegające wyłącznie na ludzkiej pamięci są najsłabszym ogniwem bezpieczeństwa w procesie uwierzytelniania.
  • Użytkownicy często stosują to samo, proste hasło do wielu serwisów – zarówno prywatnych, jak i służbowych.
  • Jeśli słabiej zabezpieczony portal zewnętrzny zostanie zhakowany, a hasła wyciekną, atakujący mogą ich użyć do przejęcia dostępu do sieci firmowej.
  • Zbyt rygorystyczna polityka haseł często prowadzi do ich omijania, np. poprzez zapisywanie skomplikowanych ciągów znaków na karteczkach przyklejanych do monitora.
  • Błędy ludzkie związane z zarządzaniem hasłami niweczą inwestycje firm w zaawansowane systemy bezpieczeństwa sieci.
Niebezpieczne nawyki: hasła na żółtych karteczkach
5/20
Rozwiązanie: uwierzytelnianie wieloskładnikowe (MFA)
  • Uwierzytelnianie wieloskładnikowe (MFA – ang. Multi-Factor Authentication) to skuteczna metoda ochrony przed kradzieżą danych logowania.
  • System wymaga podania co najmniej dwóch niezależnych czynników (np. hasła oraz jednorazowego kodu z aplikacji na smartfonie).
  • Nawet jeśli atakujący przechwyci hasło użytkownika (np. poprzez phishing), nie zaloguje się do systemu bez drugiego składnika autoryzacji.
  • Po podaniu poprawnego loginu i hasła system wymusza dodatkowe potwierdzenie – często powiadomieniem push lub kodem z aplikacji Google Authenticator.
  • Wdrożenie mechanizmów MFA pozwala statystycznie odeprzeć ponad 95% standardowych ataków opartych na przejęciu haseł.
Logowanie MFA: hasło oraz weryfikacja aplikacją na telefonie
6/20
Zasada najmniejszego uprzywilejowania (PoLP)
  • Przydzielanie uprawnień powinno opierać się na zasadzie najmniejszego uprzywilejowania (ang. Principle of Least Privilege – PoLP).
  • Reguła ta mówi, że każdy użytkownik lub program powinien mieć tylko tyle uprawnień, ile jest absolutnie niezbędne do wykonania jego zadań.
  • Dla przykładu: specjalista z działu rekrutacji nie powinien posiadać uprawnień do instalowania oprogramowania ani mieć dostępu do konfiguracji routerów.
  • Ograniczanie nadmiernych praw zmniejsza ryzyko infekcji i potencjalne szkody, jeśli komputer pracownika zostanie zaatakowany przez złośliwe oprogramowanie.
  • Stosowanie kont ze standardowymi prawami dostępu odcina intruzom łatwe możliwości eskalacji uprawnień w sieci LAN.
Hierarchia uprawnień z przypisanymi kłódkami
7/20
Koncepcja architektury Zero Trust
  • Przestarzałe podejście do bezpieczeństwa zakładało istnienie „zaufanej sieci wewnętrznej", w której komputery firmowe miały pełną swobodę działania.
  • Ten błąd sprawiał, że zainfekowane złośliwym kodem komputery pracowników łatwo rozprzestrzeniały zagrożenie wewnątrz sieci LAN.
  • Nowoczesne sieci wykorzystują koncepcję zerowego zaufania (Zero Trust), która odrzuca tradycyjny podział na sieć zaufaną i niezaufaną.
  • Zgodnie z tą strategią żadne urządzenie ani użytkownik nie są traktowani jako bezpieczni tylko na podstawie faktu, że łączą się z biura firmy.
  • Zawsze i w każdym przypadku wymuszana jest ścisła weryfikacja i uwierzytelnianie wieloskładnikowe przy dostępie do zasobów wewnętrznych.
Schemat modelu Zero Trust w sieci firmowej
8/20
Zapora sieciowa (firewall)
  • Podstawowa ochrona sieci firmowej przed atakami z zewnątrz opiera się na sprzętowych zaporach, zwanych ogólnie firewallami.
  • Ich kluczowym zadaniem jest analiza ruchu sieciowego na styku z Internetem i blokowanie nieautoryzowanych połączeń.
  • Decyzje zapory opierają się na zestawie reguł filtrowania znanych jako listy kontroli dostępu (ACL – ang. Access Control List).
  • Złotą zasadą w ACL jest reguła „Deny Any" / „Drop All", która z założenia blokuje i odrzuca wszelki niezdefiniowany wcześniej ruch sieciowy.
  • Administratorzy dodają ręcznie reguły zezwalające, wpuszczając do firmy jedynie konkretne pakiety, usługi lub porty dla potrzebnych połączeń.
Grafika przedstawiająca Firewall oddzielający sieć LAN od Internetu (WAN)
9/20
Zapory bezstanowe (Stateless Firewall)
  • Historycznie pierwszymi rozwiązaniami zabezpieczającymi na brzegu sieci były tzw. zapory bezstanowe (Stateless Firewall).
  • Urządzenia te analizowały jedynie nagłówki pakietów w warstwie sieciowej (3) i transportowej (4) modelu OSI, czyli adresy IP i numery portów.
  • Każdy pakiet był traktowany całkowicie niezależnie, bez żadnego kontekstu wcześniej nawiązanych połączeń.
  • Zapora blokowała pakiety, jeśli nie znalazła bezpośredniej reguły w ACL zezwalającej na komunikację przychodzącą z danego adresu IP.
  • Wadą tego rozwiązania był brak mechanizmów zapamiętywania faktu, że to stacja robocza z wnętrza sieci jako pierwsza zainicjowała połączenie (ruch powrotny nie był przepuszczany automatycznie).
Listy ACL pokazujące statyczne zezwolenia dla portów sieciowych
10/20
Zapory stanowe (Stateful Firewall)
  • Rozwinięciem funkcji starszych zapór były firewalle stanowe (Stateful Firewall), które wprowadziły analizę stanu połączeń sieciowych (Stateful Inspection).
  • Kluczową innowacją było wdrożenie tablicy stanów (State Table), która dynamicznie śledziła cykl życia wszystkich nawiązywanych sesji.
  • Gdy pracownik próbował połączyć się ze stroną z sieci lokalnej (np. przeglądarka wysyłała zapytanie na port 443), zapora odnotowywała to w swojej tablicy stanów.
  • Dzięki tablicy stanów zapora inteligentnie rozpoznawała odpowiedzi z Internetu i automatycznie zezwalała na powrót tylko tych pakietów, o które prosił użytkownik wewnątrz LAN.
  • To rozwiązanie znacznie podniosło poziom bezpieczeństwa oraz uprościło zarządzanie ruchem wychodzącym i powrotnym.
Tabela połączeń (State Table) w zaporze sieciowej
11/20
Zapora nowej generacji (NGFW)
  • Rozwój ataków wymusił nową ewolucję zabezpieczeń. Hakerzy zaczęli przemycać złośliwy ruch pod przykrywką zwykłych otwartych portów, takich jak HTTP (80) i HTTPS (443).
  • Tradycyjny firewall stanowy przepuszczał niebezpieczny plik pod płaszczem legalnego portu sieciowego, nie badając jego zawartości.
  • Odpowiedzią na te zagrożenia stały się zapory nowej generacji (NGFW – ang. Next-Generation Firewall), posiadające zaawansowane silniki inspekcji.
  • Dzięki technologii DPI (ang. Deep Packet Inspection – głęboka inspekcja pakietów), zapora NGFW skanuje ruch głęboko wewnątrz pakietu, aż do siódmej warstwy modelu OSI (warstwy aplikacji).
  • System ten jest w stanie np. zablokować ruch sieci P2P lub złośliwy ładunek pomimo tego, że fizycznie komunikuje się on przez standardowy, dozwolony port WWW.
Schemat głębokiej inspekcji pakietów (DPI) w urządzeniach NGFW
12/20
Systemy wykrywania włamań (IDS)
  • Jako dodatkową warstwę ochrony obok firewalli, często stosuje się systemy klasy IDS (ang. Intrusion Detection System – system wykrywania włamań).
  • IDS działa jako pasywny czujnik podłączony z boku struktury sieciowej, który odbiera kopie pakietów (np. dzięki konfiguracji portów SPAN na przełącznikach).
  • Zaletą działania pasywnego jest brak wpływu na opóźnienia – system w żaden sposób nie wstrzymuje ani nie spowalnia ruchu sieciowego.
  • System na bieżąco analizuje ruch pod kątem znanych sygnatur szkodliwego oprogramowania i anomalii sieciowych.
  • Jeśli wykryje zagrożenie (np. atak wirusowy), natychmiast rejestruje zdarzenie i generuje alert dla zespołu reagowania na incydenty (SOC).
System IDS pasywnie monitorujący i alarmujący centrum operacyjne (SOC)
13/20
Systemy zapobiegania włamaniom (IPS)
  • W przeciwieństwie do IDS, rozwiązania klasy IPS (ang. Intrusion Prevention System – system zapobiegania włamaniom) biorą aktywny udział w ochronie sieci.
  • Są one instalowane centralnie, na głównej drodze ruchu przepływającego przez sieć (metoda in-line), wymuszając przepuszczenie każdego pakietu przez skaner.
  • Posiadają one reguły, które nie tylko ostrzegają administratora, ale także automatycznie blokują pakiety uznane za szkodliwe.
  • Jeśli moduł IPS rozpozna sygnaturę charakterystyczną np. dla ataku ransomware, sprzętowo przerywa połączenie, odrzucając zagrożenie.
  • Działanie prewencyjne minimalizuje szkody i chroni stacje robocze jeszcze zanim wirus zdoła dotrzeć do punktu końcowego w sieci LAN.
System IPS aktywnie blokujący złośliwe pakiety i odrzucający ruch w trybie in-line
14/20
Urządzenia UTM (Unified Threat Management)
  • Dla wielu firm wdrożenie wielu dedykowanych urządzeń na krawędzi sieci (firewall, IPS, proxy) jest zbyt kosztowne i trudne w zarządzaniu.
  • Z pomocą przychodzą urządzenia klasy UTM (ang. Unified Threat Management – ujednolicone zarządzanie zagrożeniami).
  • Urządzenia te łączą w sobie funkcjonalność wielu różnych systemów ochronnych zamkniętych w jednej platformie sprzętowej.
  • Zapewniają zintegrowaną ochronę, zawierając w sobie m.in.: zaporę sieciową, moduł IPS, systemy antywirusowe, filtrowanie stron WWW oraz analizę antyspamową.
  • Stanowią wszechstronne i ekonomiczne rozwiązanie, zapewniające bezpieczeństwo całego ruchu sieciowego na połączeniu z publicznym Internetem.
Wielofunkcyjne urządzenie UTM zawierające anty-spam, firewall i antywirusa w jednym pudełku
15/20
Izolacja usług zewnętrznych – strefa DMZ
  • Dawniej powszechnym błędem architektonicznym było umieszczanie publicznie dostępnego serwera WWW w tej samej podsieci, w której operowały komputery pracowników biura.
  • Atakujący, w przypadku znalezienia luki i przejęcia serwera WWW, uzyskiwali natychmiastowy i otwarty dostęp do krytycznych maszyn wewnątrz firmy.
  • Nowoczesne normy bezpieczeństwa wymuszają zastosowanie tzw. strefy zdemilitaryzowanej (DMZ – ang. DeMilitarized Zone).
  • Usługi udostępniane publicznie (np. firmowa strona WWW) umieszcza się na wydzielonym interfejsie zapory sieciowej z surowo ograniczonym ruchem do strefy LAN.
  • Dzięki tej separacji, nawet jeśli serwer w strefie DMZ zostanie przejęty, intruz nie będzie w stanie bezpośrednio połączyć się z siecią pracowniczą.
Podział routera i firewall na strefy sieciowe LAN, WAN oraz odizolowaną DMZ
16/20
Segmentacja sieci: technologia VLAN
  • Zbudowanie biurowej sieci jako ogromnego, płaskiego obszaru setek połączonych urządzeń tworzy idealne warunki do szybkiego rozprzestrzeniania się robaków i wirusów.
  • Ograniczeniem tego problemu jest logiczna segmentacja za pomocą wirtualnych sieci lokalnych (VLAN – ang. Virtual Local Area Network).
  • Pozwala to na logiczne grupowanie portów przełącznika (switcha) i izolację ruchu – np. rozdzielenie komputerów działu księgowości od urządzeń programistów.
  • Urządzenia działające w obrębie różnych sieci VLAN nie widzą się nawzajem i muszą komunikować się wyłącznie przez odpowiednio skonfigurowany router lub zaporę sieciową.
  • Dzięki logicznej segmentacji skutecznie zamykamy drogi rozprzestrzeniania się infekcji oraz zapobiegamy nieautoryzowanemu podsłuchowi ruchu wewnątrz firmy.
Logiczna separacja portów w technologii wirtualnych sieci LAN na przełączniku sieciowym
17/20
Zabezpieczenie gniazd kablowych (protokół 802.1X)
  • Pozostawienie w salach konferencyjnych aktywnych i odblokowanych gniazdek sieciowych jest poważnym naruszeniem polityki bezpieczeństwa, pomimo najlepszej ochrony na urządzeniach brzegowych.
  • Nieupoważniona osoba, która wejdzie do biura, może podłączyć prywatny laptop i bezkarnie ominąć zewnętrzne zapory i filtry, uzyskując dostęp do sieci LAN.
  • Do ochrony gniazd i portów na przełącznikach stosuje się mechanizmy kontroli dostępu, takie jak protokół IEEE 802.1X.
  • W tej technologii port kablowy na przełączniku pozostaje całkowicie zablokowany do czasu, aż podłączone urządzenie zostanie autoryzowane.
  • Podłączenie jakiegokolwiek sprzętu wymaga przedstawienia certyfikatu i jego walidacji przez wydzielony serwer kontrolny (np. korzystający z protokołu RADIUS).
18/20
Audyt i rejestrowanie zdarzeń sieciowych
  • Ostatnim elementem pełnego modelu bezpieczeństwa AAA jest wdrożenie narzędzi zbierających dane audytowe, najczęściej przy użyciu zunifikowanego protokołu Syslog.
  • Każde urządzenie w sieci (routery, przełączniki, systemy UTM) na bieżąco przesyła informacje o statusie pracy oraz nieautoryzowanych próbach połączeń.
  • Historia tych zdarzeń, przechowywana na oddzielnym zabezpieczonym serwerze, jest kluczowym materiałem dowodowym w analizach po wystąpieniu włamania.
  • Zespoły reagowania na zagrożenia (SOC) przeszukują i korelują wpisy z logów, co ułatwia znalezienie wektora ataku i zneutralizowanie skutków działania intruza.
  • Brak scentralizowanego monitoringu służy bezpośrednio atakującym, uniemożliwiając obrońcom ustalenie drogi oraz skali infekcji w infrastrukturze.
Centralny system rejestracji zdarzeń (logów) połączony poprzez Syslog z urządzeniami
19/20
Bezpieczeństwo fizyczne sprzętu
  • Wdrażanie zaawansowanych algorytmów zabezpieczających i wieloskładnikowego uwierzytelniania (MFA) staje się bezcelowe, jeśli nie zadbano o fizyczne bezpieczeństwo środowiska serwerowego.
  • Osoba z fizycznym dostępem do infrastruktury może odłączyć przewody sieciowe, zainstalować rejestrator naciśnięć klawiszy (keylogger) lub całkowicie zniszczyć dyski.
  • Centralne instalacje urządzeń powinny znajdować się wyłącznie w dedykowanych serwerowniach z zaawansowaną blokadą dostępu (np. biometryczną).
  • Należy bezwzględnie egzekwować ograniczenie dostępu; pracownicy sprzątający, asystenci ani inni goście nie mogą przebywać sami w pobliżu krytycznego sprzętu.
  • Ochrona cybernetyczna to system kompleksowy: z zewnątrz chronią nas wirtualne zapory sieciowe, a wewnątrz – mury i odpowiednio zorganizowane strefy dostępu.
Fizyczne zabezpieczenie serwerowni poprzez kłódki, drzwi i szafy rack
20/20
Podsumowanie mechanizmów obronnych
  • Na dzisiejszym wykładzie omówiliśmy zasady oraz narzędzia chroniące sieci LAN.
  • Przeanalizowaliśmy model autoryzacji AAA, wskazując na konieczność stosowania uwierzytelniania wieloskładnikowego (MFA) dla wzmocnienia kontroli dostępu.
  • Zastąpiliśmy archaiczny model pełnego zaufania wewnętrznego nową strategią zerowego zaufania (Zero Trust), polegającą na ciągłej wnikliwej weryfikacji dostępu.
  • Przedstawiono rozwój technologii zapór sieciowych: od prostych filtrów bezstanowych, przez zapory stanowe, aż po głęboką inspekcję (DPI) oferowaną przez urządzenia NGFW i UTM.
  • Zwrócono uwagę na kluczową rolę technologii IDS i IPS jako uzupełnienia firewalli we wczesnym wykrywaniu i zatrzymywaniu złośliwego ruchu, a także na konieczność wydzielenia strefy DMZ dla serwerów publicznych.
Podsumowanie mechanizmów bezpieczeństwa i zapór sieciowych