Podstawy bezpieczeństwa sieci
Wykład 4: Wirtualne sieci prywatne (VPN)
Strona główna Wykład 1 Wykład 2 Wykład 3 Wykład 4 Wykład 5 Wykład 6
1/19
Wprowadzenie i potrzeba biznesowa VPN
Witamy na czwartym wykładzie. Poznaliśmy już triadę CIA, zasady kryptografii i budowę zapór sieciowych. Dziś połączymy tę wiedzę, aby rozwiązać ważny problem biznesowy: jak bezpiecznie pracować zdalnie?

Odpowiedzią jest wirtualna sieć prywatna (VPN – ang. Virtual Private Network). Technologia ta tworzy bezpieczny, odizolowany kanał komunikacyjny w publicznej sieci Internet. Dzięki temu pracownik może korzystać z zasobów firmy tak, jakby był podłączony kablem bezpośrednio do biurowej sieci lokalnej (LAN).
Zasada działania tunelu VPN
2/19
Koncepcja tunelowania i enkapsulacji
Fundamentem VPN jest tunelowanie, czyli enkapsulacja pakietów. Proces ten polega na umieszczeniu oryginalnego pakietu danych (z prywatnym adresem IP) wewnątrz nowego, zewnętrznego pakietu.

Zewnętrzny pakiet posiada publiczne adresy IP, co pozwala na jego przesyłanie przez Internet. Dla routerów w sieci pakiet ten wygląda jak zwykły ruch. Dopiero w punkcie docelowym (bramie VPN) zewnętrzny nagłówek jest odrzucany, a oryginalna treść trafia do właściwego odbiorcy w sieci wewnętrznej.
Zasada enkapsulacji
3/19
Tunelowanie a triada CIA w praktyce
Sama enkapsulacja nie zapewnia bezpieczeństwa. Dlatego VPN bazuje na modelu CIA. Poufność gwarantuje szyfrowanie symetryczne (np. AES-256). Integralność zapewniają funkcje skrótu (np. SHA-256), które wykrywają każdą próbę zmiany danych (ataki MitM – Man-in-the-Middle).

Ostatnim elementem jest autentyczność. Zanim tunel powstanie, obie strony muszą potwierdzić swoją tożsamość. Używa się do tego certyfikatów cyfrowych (PKI), protokołu Diffiego-Hellmana oraz silnych haseł.
Model CIA w VPN
4/19
VPN z dostępem zdalnym (Remote Access VPN)
To tryb typu klient–serwer (Client-to-Site). Służy do łączenia pojedynczych użytkowników (z domu lub w podróży) z siecią firmową. Wymaga zazwyczaj instalacji dedykowanej aplikacji (klienta VPN).

Po uruchomieniu programu pracownik podaje swoje dane logowania, często korzystając z uwierzytelniania wieloskładnikowego (MFA). Aplikacja tworzy wirtualną kartę sieciową w systemie i ustanawia bezpieczny tunel do serwerów firmy.
Użytkownik zdalny
5/19
VPN sieć–sieć (Site-to-Site VPN)
Ten wariant łączy całe oddziały firmy. Jeśli firma ma biura w dwóch miastach, połączenie nawiązywane jest bezpośrednio między routerami brzegowymi lub zaporami sieciowymi obu lokalizacji.

W tym układzie tunele są stałe i bezobsługowe. Pracownik wysyła dokument do drukarki w innym oddziale, a router automatycznie i niezauważalnie (transparentnie) szyfruje oraz przesyła dane. Dla użytkownika końcowego proces ten jest całkowicie niewidoczny.
Połączenie Site-to-Site
6/19
Architektura IPsec
Standardem w budowie tuneli Site-to-Site jest IPsec (ang. Internet Protocol Security). Nie jest to jeden protokół, lecz cała rodzina protokołów działająca w trzeciej warstwie modelu OSI (warstwie sieciowej).

Ogromną zaletą IPsec jest niezależność od aplikacji. Szyfruje on cały ruch płynący przez kanał, bez względu na to, czy przesyłamy pocztę e-mail, czy pliki przez FTP. Jest to rozwiązanie o krytycznym znaczeniu dla bezpieczeństwa biznesowego i państwowego.
Schemat IPsec
7/19
Tryby IPsec: transportowy i tunelowy
IPsec pracuje w dwóch trybach. Tryb transportowy szyfruje tylko dane (ładunek), ale zostawia oryginalny nagłówek IP jawny. Pozwala to zobaczyć, kto z kim rozmawia, co osłabia prywatność.

Tryb tunelowy zapewnia pełną enkapsulację. Cały oryginalny pakiet (wraz z nagłówkami) jest szyfrowany i wkładany do nowej koperty z adresem routera VPN. To właśnie ten tryb jest fundamentem bezpiecznej komunikacji między oddziałami firm.
Tryby IPsec
8/19
SSL/TLS VPN: tunel z przeglądarki
Wygodną alternatywą dla dostępu zdalnego jest SSL VPN (obecnie TLS VPN). Wykorzystuje on technologię szyfrowania TLS, dobrze znaną ze stron HTTPS.

Największą zaletą tego rozwiązania jest brak konieczności instalowania dedykowanego klienta na komputerze. Do połączenia wystarczy zwykła przeglądarka internetowa i protokół HTTPS (port 443). Ułatwia to pracę działom IT, ponieważ nie muszą konfigurować każdego urządzenia domowego z osobna.
Dostęp przez przeglądarkę
9/19
Rozwiązania open-source: OpenVPN
W świecie otwartego oprogramowania króluje OpenVPN. To rozwiązanie sprawdzone i niezwykle elastyczne. Opiera się na bibliotekach TLS, ale pozwala na pracę zarówno na protokole TCP, jak i UDP.

OpenVPN słynie z umiejętności „przebijania się" przez restrykcyjne zapory sieciowe w hotelach czy na lotniskach. Obsługuje wiele metod uwierzytelniania: od certyfikatów PKI po proste klucze symetryczne.
Interfejs OpenVPN
10/19
Nowoczesna kryptografia: WireGuard
WireGuard to nowa generacja rozwiązań tunelowania. W przeciwieństwie do starszych systemów, jego kod jest bardzo krótki (ok. 4 tys. linii kodu), co ułatwia audyt bezpieczeństwa i zwiększa wydajność.

Wykorzystuje nowoczesną matematykę i krzywe eliptyczne (np. Curve25519). Dzięki temu nawiązuje połączenie błyskawicznie i oszczędza baterię w urządzeniach mobilnych, oferując przy tym wysoki poziom bezpieczeństwa.
Matematyka WireGuard
11/19
Zagrożenia ze strony stacji klienckich
VPN tworzy bezpieczną drogę, ale nie chroni przed zainfekowanym urządzeniem. Jeśli laptop pracownika ma wirusa lub robaka, to po zestawieniu tunelu złośliwe oprogramowanie trafi prosto do wnętrza sieci firmowej.

Zapora sieciowa ufa połączeniu VPN, traktując je jak ruch wewnętrzny. Może to doprowadzić do wycieku danych lub infekcji serwerów, omijając zewnętrzne zabezpieczenia obwodowe firmy.
Zagrożenia dla tunelu
12/19
Kontrola dostępu do sieci (NAC)
Rozwiązaniem problemu zainfekowanych urządzeń jest system NAC (ang. Network Access Control – kontrola dostępu do sieci) oraz mechanizm oceny stanu urządzenia (ang. Endpoint Posture Assessment).

Zanim użytkownik uzyska pełny dostęp do sieci, system sprawdza „zdrowie" jego komputera. Czy antywirus jest aktywny? Czy system operacyjny posiada najnowsze poprawki? Jeśli test wypadnie negatywnie, użytkownik trafia do wirtualnej kwarantanny, dopóki nie naprawi błędów.
Działanie systemu NAC
13/19
Dzielone tunelowanie (Split Tunneling)
Administratorzy muszą zdecydować o sposobie kierowania ruchu. W pełnym tunelowaniu (Full Tunneling) 100% ruchu z laptopa idzie przez firmowy VPN. Powoduje to, że nawet oglądanie filmów na YouTube obciąża łącze w biurze.

Dzielone tunelowanie (Split Tunneling) pozwala rozdzielić ruch. Tylko dane kierowane do serwerów firmy trafiają do bezpiecznej rury VPN. Pozostały ruch (np. serwisy społecznościowe czy wideo) korzysta z prywatnego łącza domowego pracownika, nie obciążając infrastruktury firmy.
Schemat Split Tunneling
14/19
Uwierzytelnianie wieloskładnikowe (MFA) w VPN
W dobie powszechnych wycieków haseł, samo logowanie nazwą użytkownika i hasłem to poważne ryzyko. VPN musi być chroniony przez uwierzytelnianie wieloskładnikowe (MFA – ang. Multi-Factor Authentication).

Pracownik, oprócz hasła (coś, co zna), musi potwierdzić tożsamość tokenem sprzętowym, kodem z aplikacji lub biometrią (coś, co posiada lub czym jest). Dzięki temu, nawet jeśli atakujący przejmie hasło pracownika, brama VPN nie wpuści go do środka bez drugiego składnika.
Mechanizm MFA
15/19
Protokół IKEv2 i mobilność
IKEv2 (ang. Internet Key Exchange version 2) to kluczowy protokół w nowoczesnych wdrożeniach VPN, szczególnie mobilnych. Jego największą zaletą jest funkcja MOBIKE (ang. Mobility and Multihoming Protocol for IKE).

Pozwala ona na utrzymanie tunelu VPN przy zmianie łącza, np. gdy przechodzimy z domowego Wi-Fi na dane komórkowe LTE. Tunel nie zostaje zerwany, co zapewnia ciągłość pracy i eliminuje konieczność ponownego logowania.
Schemat IKEv2 MOBIKE
16/19
Audyt i rejestrowanie zdarzeń (SIEM)
Sam fakt zestawienia bezpiecznego tunelu to tylko połowa sukcesu. Inżynier bezpieczeństwa musi wiedzieć, kto, kiedy i skąd się łączył. Każda sesja VPN generuje logi, które powinny trafiać do systemu SIEM (ang. Security Information and Event Management – system zarządzania informacjami i zdarzeniami bezpieczeństwa).

Analiza tych danych pozwala wykryć anomalie, np. „niemożliwą podróż" (użytkownik loguje się z Warszawy, a 10 minut później z Szanghaju). To sygnał alarmowy, że konto mogło zostać przejęte.
Logi VPN w systemie SIEM
17/19
Ewolucja: od VPN do ZTNA (Zero Trust)
Tradycyjny VPN ma wadę: po wejściu do środka użytkownik często widzi całą sieć (zasada „zaufaj, ale nie sprawdzaj"). Nowoczesnym podejściem jest ZTNA (ang. Zero Trust Network Access – dostęp do sieci oparty na zerowym zaufaniu).

Zamiast dawać dostęp do całej podsieci, ZTNA daje dostęp wyłącznie do konkretnej aplikacji. „Nigdy nie ufaj, zawsze weryfikuj" – dostęp jest przyznawany dynamicznie na podstawie tożsamości, czasu i stanu urządzenia, minimalizując obszar potencjalnego ataku.
Porównanie VPN vs ZTNA
18/19
Kryptografia post-kwantowa w VPN
Stoimy u progu ery komputerów kwantowych, które mogą złamać obecne algorytmy asymetryczne (RSA, DH). Dlatego przyszłość VPN to kryptografia post-kwantowa (PQC – ang. Post-Quantum Cryptography).

Wiodące rozwiązania zaczynają implementować algorytmy odporne na ataki kwantowe. Inżynierowie już dziś muszą planować migrację, aby chronić dane przesyłane teraz przed odszyfrowaniem w przyszłości (strategia znana jako „zbierz teraz, odszyfruj później", ang. Harvest Now, Decrypt Later).
Bezpieczeństwo post-kwantowe
19/19
Podsumowanie zajęć
Podsumowując czwarty wykład: poznaliśmy fundamenty technologii VPN. Inżynier powinien pamiętać o różnicach między trybami Site-to-Site a Remote Access oraz o protokołach IPsec, TLS i OpenVPN.

Ważnym elementem jest dbanie o bezpieczeństwo stacji klienckich poprzez systemy NAC oraz optymalizacja łącza za pomocą dzielonego tunelowania (Split Tunneling). Na następnym wykładzie zajmiemy się analizą konkretnych ataków sieciowych.
Podsumowanie