Wykład trzeci poświęcamy kluczowej relacji między topologią sieci a jej bezpieczeństwem. Złożona sieć musi być logicznie segmentowana, aby izolować potencjalne zagrożenia. Prawidłowa segmentacja ogranicza domenę awarii i rozprzestrzenianie się szkodliwego oprogramowania. Omówimy projektowanie sieci VLAN, wdrożenie zapór sieciowych (firewall) oraz zaawansowane koncepcje architektury Zero Trust (Zero Trust Architecture – ZTA).

Sieci VLAN (Virtual Local Area Networks) stanowią podstawę segmentacji logicznej. Umożliwiają one podział dużej domeny fizycznej na mniejsze, izolowane domeny rozgłoszeniowe (broadcastowe). W topologii hierarchicznej VLANy są tworzone w warstwie dostępu, np. dla poszczególnych pracowni studenckich. Zmniejszenie rozmiaru domeny rozgłoszeniowej minimalizuje ruch i zwiększa wydajność.

Łącza między warstwą dostępu a dystrybucji muszą przenosić ruch z wielu sieci VLAN jednocześnie. Odpowiada za to protokół 802.1Q (Trunking), który dodaje do ramki nagłówek z numerem VLAN (tzw. tagowanie). Porty trunkingowe są punktami krytycznymi, które wymagają szczególnych zabezpieczeń (np. wyłączenie negocjacji DTP).

Ruch między różnymi sieciami VLAN (inter-VLAN routing) musi być kontrolowany przez routery (lub przełączniki L3) warstwy dystrybucji. Wdraża się go za pomocą interfejsów SVI (Switched Virtual Interface) lub metody Router-on-a-Stick. Jest to logiczna granica między domenami, idealna do wdrożenia polityk bezpieczeństwa (ACL).

VRF to zaawansowany mechanizm wirtualizacji routingu, który tworzy logicznie oddzielone tablice routingu na jednym routerze. W topologii złożonej jest używany do twardej separacji ruchu, np. między siecią produkcyjną a siecią zarządzania. Gwarantuje, że błąd lub naruszenie bezpieczeństwa w jednym VRF nie ma wpływu na drugi.

ZTA to filozofia bezpieczeństwa, która odrzuca koncepcję zaufania na podstawie lokalizacji (np. "jeśli jesteś wewnątrz sieci, ufasz"). W ZTA, każda próba dostępu musi być uwierzytelniona i autoryzowana, niezależnie od tego, czy użytkownik jest w pracowni, czy łączy się z zewnątrz. Topologia musi wspierać mikrosegmentację.

Mikrosegmentacja w ZTA polega na izolowaniu pojedynczych hostów lub bardzo małych grup. W DC realizuje się to za pomocą VXLAN/Firewalli wirtualnych (VNF). W kampusie wymaga to zaawansowanych polityk na Warstwie Dystrybucji i Kontrolerów Dostępu Sieci (NAC). Polityka dostępu jest oparta na tożsamości użytkownika, a nie tylko na VLANie.

Router brzegowy (krawędziowy) jest pierwszą linią obrony. Dedykowany firewall (często działający w trybie Stateful) musi być umiejscowiony między tym routerem a resztą sieci. Implementuje on zasadę Deny by Default dla ruchu z zewnątrz. To krytyczny punkt, który musi być redundantny.

ACL to podstawowe narzędzie do filtrowania pakietów w warstwach 3 i 4. W topologii hierarchicznej listy ACL są wdrażane w warstwie dystrybucji (na interfejsach SVI) oraz na routerze krawędziowym. ACL w dystrybucji kontrolują ruch między sieciami VLAN (np. blokowanie ruchu P2P między pracowniami), wspierając segmentację.

NAT/PAT na routerze brzegowym jest niezbędny do komunikacji z Internetem. Jednocześnie, działa on jako mechanizm bezpieczeństwa. Ukrywa wewnętrzną adresację prywatną (np. 10.x.x.x) za jednym lub kilkoma adresami publicznymi. Uniemożliwia to bezpośrednie ataki na hosty wewnętrzne z zewnątrz.

Na Warstwie Dostępu (switchach L2) kluczowe jest wdrożenie Port Security. Ogranicza ono, ile adresów MAC może być nauczonych na danym porcie, zapobiegając podłączeniu nieautoryzowanych urządzeń. W przypadku naruszenia polityki, port jest wyłączany (shutdown) lub ograniczany (restrict).

Aby chronić sieć przed atakami ARP Spoofing i nieautoryzowanymi serwerami DHCP, stosuje się DHCP Snooping i DAI. DHCP Snooping oznacza zaufane porty (trunking) i blokuje nieautoryzowane pakiety DHCP Server. DAI weryfikuje ramki ARP na podstawie zaufanej bazy adresów, budowanej przez DHCP Snooping.

NAC to zaawansowany mechanizm bezpieczeństwa, niezbędny w ZTA. Uwierzytelnia i autoryzuje użytkownika/urządzenie przy każdym połączeniu. Może również oceniać stan bezpieczeństwa hosta (antywirus, łaty). Użytkownik nie spełniający wymagań trafia do VLANu kwarantanny, dopóki nie naprawi swojego systemu.

Zdalny dostęp administracyjny do urządzeń sieciowych (routerów, switchy) musi być realizowany wyłącznie przez SSH (Secure Shell). Uwierzytelnianie powinno być scentralizowane za pomocą AAA (Authentication, Authorization, Accounting) i serwerów RADIUS/TACACS+. AAA kontroluje, kto, co i kiedy może zrobić w konfiguracji.

W topologii Leaf-Spine, mikrosegmentacja jest realizowana przez Wirtualne Firewalle (VNF). Zamiast fizycznych urządzeń, Firewalle działają jako maszyny wirtualne w DC. Ruch East-West jest kierowany do inspekcji przez PBR (Policy-Based Routing) przed dostarczeniem do celu.

Protokoły routingu dynamicznego muszą być zabezpieczone przed atakami (np. wstrzyknięciem fałszywych tras). W OSPF i BGP stosuje się uwierzytelnianie MD5 lub SHA na połączeniach sąsiedztwa. Zapewnia to, że routerzy akceptują aktualizacje routingu tylko z zaufanych źródeł.

Zdalny dostęp do złożonej sieci kampusowej odbywa się poprzez szyfrowane tunele VPN. Router brzegowy lub Firewall działa jako VPN Gateway. Tunel IPsec lub SSL VPN zapewnia poufność i integralność danych przesyłanych przez Internet.

Zarządzanie tożsamością w kampusie jest realizowane przez serwery Identity Services Engine (ISE). ISE integruje się z NAC i Firewallem, dynamicznie przypisując polityki dostępu na podstawie tożsamości użytkownika. Tożsamość staje się nową granicą sieci.

W BGP, oprócz filtrowania prefiksów IP, filtruje się AS-Path (ścieżkę Systemów Autonomicznych). Używa się tego, by np. odrzucić trasy, które zawierają w swojej ścieżce nasz własny AS, co zapobiega pętlom routingu. Pomaga to również w walce z BGP Hijacking.

Nawet po wdrożeniu SSH, zdalny dostęp do urządzeń powinien być ograniczony tylko do adresów IP sieci zarządzania. Stosuje się do tego VTY ACL (Access Control Lists na liniach wirtualnych). Zapewnia to, że atakujący, który włamał się do sieci studenckiej, nie ma możliwości połączenia się z routerami.

Dla najwyższego poziomu bezpieczeństwa, dostęp administracyjny powinien odbywać się poprzez osobną, fizycznie oddzieloną sieć Out-of-Band (OOB). OOB łączy porty konsolowe lub dedykowane porty zarządzania. To zapewnia, że awaria lub atak w sieci produkcyjnej nie odetnie administratorów od urządzeń.

Systemy Intrusion Prevention/Detection System (IPS/IDS) monitorują ruch w poszukiwaniu wzorców ataków. W topologii hierarchicznej, IPS/IDS są umieszczane za Firewallem krawędziowym. W DC, VNF IPS/IDS są włączane na ścieżce ruchu East-West, aby wykrywać zagrożenia wewnętrzne.

W środowisku VRF, Firewalle i inne urządzenia bezpieczeństwa muszą być VRF Aware. Oznacza to, że muszą obsługiwać wiele instancji routingu jednocześnie i stosować różne polityki ACL/NAT dla każdego wirtualnego routera. Gwarantuje to spójne bezpieczeństwo w wirtualnie segmentowanej topologii.

Topologia musi być odporna na ataki DoS/DDoS. Router brzegowy musi mieć mechanizmy Rate Limiting (ograniczenie liczby pakietów na sekundę) dla ruchu, który może być złośliwy. Redundantne łącza BGP i mechanizmy filtrowania Blackhole są kluczowe w ochronie krawędzi sieci.

Serwery DNS/DHCP i RADIUS/TACACS+ w Centrali to krytyczne SPoF. Dostęp do nich z reszty sieci musi być restrykcyjnie ograniczony ACL. Należy zezwolić tylko na niezbędne protokoły (np. port 53/67/68) i tylko z routerów dystrybucyjnych, a nie bezpośrednio z pracowni.

Ataki VLAN Hopping pozwalają atakującemu na przeskoczenie do innego, chronionego VLANu. Zapobiega się temu poprzez wyłączanie protokołów negocjacji trunkingu (DTP i CDP) na portach dostępowych i ręczne definiowanie portów jako Access Ports.

Wdrażanie DLP (Data Loss Prevention) wymaga, aby cały ruch wychodzący przechodził przez centralny punkt inspekcji. W topologii hierarchicznej, ruch z każdego segmentu zbiega się na Warstwie Dystrybucji, a następnie przechodzi przez Firewall krawędziowy (RT), co ułatwia inspekcję DLP.

Prawidłowa segmentacja (VLAN, VRF) ułatwia spełnienie wymogów Compliance (np. RODO/GDPR). Izolacja danych wrażliwych w osobnym VLANie/VRF upraszcza udowodnienie, że dostęp do nich jest restrykcyjnie kontrolowany, co jest łatwe do audytowania.

Na wszystkich urządzeniach sieciowych należy wyłączyć wszystkie niepotrzebne usługi i protokoły (np. HTTP serwer, Finger, CDP, LLDP, jeśli nie są używane). Minimalizuje to powierzchnię ataku i zmniejsza ryzyko wykorzystania luk w nieużywanych usługach.

Topologia fizyczna i logiczna stanowią ramy dla polityki bezpieczeństwa. Hierarchia zapewnia naturalne punkty kontroli (Warstwa Dystrybucji). Zaawansowane mechanizmy (VRF, NAC, ZTA) są nadbudowane na tej strukturze, aby zapewnić izolację i kontrolę dostępu.

W ZTA, dostęp do konkretnego zasobu (np. bazy danych) jest przyznawany tylko na czas trwania danej sesji i tylko wtedy, gdy spełnione są wszystkie warunki polityki. Nie ma stałych uprawnień związanych z IP czy VLANem.

W bardzo wrażliwych segmentach sieci stosuje się MACsec (IEEE 802.1AE). Zapewnia to szyfrowanie ramek na Warstwie 2 między dwoma przełącznikami lub między hostem a przełącznikiem. Chroni to przed podsłuchem wewnątrz sieci lokalnej.

ACL mogą być użyte do selektywnego kierowania ruchu za pomocą PBR. Na routerze dystrybucyjnym, PBR może wymusić, aby ruch z określonego VLANu (zdefiniowanego w ACL) został skierowany do Firewalla w celu dodatkowej inspekcji.

W środowisku VRF, każdy wirtualny router ma swoją oddzielną instancję OSPF/BGP. Oznacza to, że atak na routing w jednym VRF (np. VRF Goście) nie ma wpływu na stabilność routingu w VRF Produkcja, zwiększając niezawodność topologii.

Cała komunikacja zarządzająca (HTTPS, SSL VPN) wymaga ważnych certyfikatów TLS/SSL. Należy utrzymywać centralne repozytorium certyfikatów i procedurę ich odnawiania. Brak ważnych certyfikatów prowadzi do przerw w zdalnym dostępie i zarządzaniu.

W topologii hybrydowej (Chmura + Kampus), ruch do usług chmurowych powinien przechodzić przez CASB. CASB (Cloud Access Security Broker) monitoruje i wymusza polityki bezpieczeństwa dla dostępu do chmury (np. blokowanie przesyłania wrażliwych plików do OneDrive).

Aby chronić topologię przed złośliwymi atakami na STP, stosuje się mechanizmy BPDU Guard i Root Guard. BPDU Guard wyłącza porty dostępowe, które próbują wysłać ramki BPDU. Root Guard uniemożliwia nieautoryzowanemu przełącznikowi zostanie korzeniem (Root Bridge) topologii STP.

Złożone ACL, zwłaszcza te stosowane na wielu routerach, stają się trudne w zarządzaniu. W nowoczesnych sieciach, ręczne ACL są zastępowane przez polityki bazujące na rolach (Role-Based Access Control - RBAC) w NAC/SDN, co jest bardziej skalowalne.

Shadow IT to sprzęt lub usługi używane bez wiedzy działu IT. NAC i systemy monitorujące topologię pomagają wykryć nieautoryzowane urządzenia podłączone do switchy dostępowych, co jest częstym problemem w kampusach.

Dostęp fizyczny do routerów musi być chroniony, ale dodatkowo, należy zabezpieczyć pamięć Flash (gdzie jest IOS) i pliki konfiguracyjne. Hasła w konfiguracji należy przechowywać w formie zaszyfrowanej (enable secret) oraz regularnie tworzyć ich zaszyfrowane kopie zapasowe.

Jeśli na routerach rdzeniowych stosowany jest routing statyczny, należy go zabezpieczyć. Stosuje się do tego PBR (Policy-Based Routing) lub ACL na interfejsach, aby uniemożliwić manipulację trasami statycznymi poprzez fałszywe pakiety.

Logi z Firewalla, NAC i routerów (Syslog) są przesyłane do systemu SIEM (Security Information and Event Management) w Centrali. SIEM analizuje te zdarzenia w kontekście topologii, wykrywając np. próby VLAN Hoppingu lub ataki na serwer DNS.

Topologia logiczna musi uwzględniać ścieżki dostępu do systemów backupu. Dane wrażliwe powinny być przesyłane do repozytorium backupu w osobnym, bezpiecznym VLANie/VRF. Chroni to dane przed atakami ransomware, które mogłyby wykorzystać standardowe ścieżki sieciowe.

Zaawansowane Firewalle na krawędzi topologii mogą używać filtrowania Geo-IP. Blokuje to ruch pochodzący z regionów geograficznych, z którymi kampus nie prowadzi żadnej współpracy. To znacząco zmniejsza powierzchnię ataku DDoS i złośliwego oprogramowania.

Port konsoli na routerach i switchach jest najmniej zabezpieczonym portem. Oprócz hasła (enable secret), należy wdrożyć limit logowania i timeout sesji. Fizyczna szafa i dostęp do konsoli powinny być ograniczone do ścisłego grona administratorów.

W topologiach siatkowych (Mesh, Leaf-Spine) może wystąpić asymetria routingu (ruch tam idzie jedną ścieżką, a wraca drugą). Jest to problematyczne dla Stateful Firewalla, który może odrzucić pakiety powrotne. Wymaga to precyzyjnej kontroli ECMP i polityk routingu.

W ZTA, dostęp nie zależy od adresu IP, ale od roli (np. Student, Wykładowca, Gość). Topologia logiczna musi być na tyle elastyczna, aby dynamicznie przypisywać portom (np. w sali wykładowej) odpowiednie polityki RBAC w momencie uwierzytelnienia użytkownika.

Topologia powinna wspierać Disaster Recovery (DR). Kluczowe usługi (DNS, DHCP) powinny mieć zduplikowane instancje w innej, odizolowanej geograficznie lokalizacji. Topologia musi zapewniać szybkie przełączenie (Failover) ruchu do DR w przypadku katastrofy.

Wdrożenie ACL, NAT, Port Security oraz zaawansowanych mechanizmów (NAC, ZTA) jest kluczowe dla ochrony złożonych topologii. Pamiętajmy, że topologia logiczna jest równie ważna jak fizyczna, a granice bezpieczeństwa są ruchome (ZTA).

W ostatnim wykładzie omówimy, jak przyszłość sieci kampusowych kształtują SDN, NFV i Automatyzacja. Zobaczymy, jak narzędzia programistyczne (Python, Ansible) zastępują ręczną konfigurację i jak topologie integrują się z chmurą.