VPN i MACsec: szyfrowanie ruchu sieciowego

Kwestie bezpieczeństwa sieci powinny znajdować się w sferze priorytetów większości przedsiębiorstw. Jednym ze sposobów na ochronę komunikacji i zasobów organizacji jest wdrożenie w sieci firmowej szyfrowania wewnętrznych połączeń. Dlaczego warto korzystać z usługi VPN i jak działa protokół MACsec?

Co to jest VPN i jak działa?

Termin wirtualna sieć prywatna (ang. virtual private network – VPN) może na początku kojarzyć nam się z czymś elitarnym i niedostępnym dla każdego. W rzeczywistości usługa VPN to popularne rozwiązanie, z którego bardzo często korzysta się w małych i średnich firmach czy na szczeblu korporacyjnym.
Zasada działania VPN-a jest bardzo prosta. W sieci publicznej (WLAN)wydzielane jest odrębne, chronione połączenie sieciowe (tunel), który maskuje wszystkie działania i operacje wykonywane online przez użytkownika. Innymi słowy, korzystamy z sieci tak samo jak poprzednio, różnica jest taka, że nikt nie wie, co w niej robimy. Cała nasza aktywność, czyli historia odwiedzanych stron, linków, przesłanych plików czy rozmów przez komunikatory internetowe, zostaje zaszyfrowana i ukryta przed oczami osób niepowołanych (hakerów, agencji rządowych, konkurencji itp.).

Korzystając z VPN nie tylko szyfrujemy w czasie rzeczywistym przesyłane dane, ale również ukrywamy swoją tożsamość online. W jaki sposób? Oprogramowanie VPN maskuje adres IP urządzenia, z którego korzysta użytkownik. Zamiast własnego IP użytkownik ma adres IP serwera VPN, z którym jest połączony. Oprogramowanie szyfruje wszystkie dane i przekierowuje przez bezpieczne sieci do innych serwerów. W ten oto sposób nawet gdy użytkownik loguje się do internetu z miejsca publicznego (np. korzystając z bezpłatnego lub własnego WiFi) może chronić swoją prywatność, a dane i przekazywane informacje nie będą widoczne dla dostawcy usług internetowych i osób trzecich, które potencjalnie mogą być zainteresowane ich przechwyceniem.
Usługa VPN może być włączona na każdym urządzeniu, z którego chcemy mieć bezpieczne połączenie: telefonie, firmowym komputerze czy laptopie a przypadku sieci firmowej – na routerze.

Przeczytaj również: Firewall NGFW – na co zwrócić uwagę przy wyborze?

Jak działa MACsec?

MACsec (ang. Media Access Control Security) to zabezpieczenie kontroli dostępu, które służy do ochrony połączeń w warstwie 2 modelu OSI, czyli warstwy danych (liniowej, kanałowej). Zdefiniowany jest przez standard IEEE 802.1AE. [1] Umożliwia bezpieczne przesyłanie danych między urządzeniami komunikującymi się w sieci Ethernet (połączenia typu sieć-sieć lub urządzenie-sieć).

MACsec może być wykorzystywany w:

• routerach WAN/MAN
• switchach LAN
• routerach i switchach stosowanych w centrach danych (data center)
• switchach do serwerów, pamięci masowych
• na punktach końcowych (telefony IP, kamery bezpieczeństwa, roboty przemysłowe)

Głównym celem MACSec jest identyfikacja i blokowanie nieautoryzowanych stacji w ten sposób, aby nikt więcej nie mógł się już z nimi skomunikować. Aby zapewnić integralność i poufności przesyłanych danych protokół MACsec dokonuje ich szyfrowania. Fundamentem działania MACsec są dwa elementy:

• Integralność danych. Weryfikację integralności danych umożliwia specjalny format ramki Ethernet. Do ramki MACsec dołącza własny 8-bajtowy nagłówek i 16-bajtowy koniec, które są sprawdzane przez interfejs odbierający. W przypadku gdy kontrola integralności danych wykryje nieprawidłowości, ruch zostanie odrzucony.
• Szyfrowanie. Szyfrowanie daje gwarancję, że nikt z monitorujących ruch na łączu, nie będzie mógł przeglądać danych. Szyfrowanie MACsec jest dodatkową opcją i może zostać dowolnie konfigurowane przez użytkownika.

Przy pomocy protokołu MACsec można identyfikować i zapobiegać różnym włamaniom hakerskim takich jak ataki typu „man-in-the-middle” lub typu DDoS. Zaletą stosowania MACsec jest to, że zabezpiecza złącze Ethernet dla całego ruchu.

Czy twoja sieć firmowa jest bezpieczna? Wykonaj audyt infrastruktury IT

Najważniejsze funkcje ochrony VPN i MACSEC.

Funkcje VPN

Dostęp do wielu lokalizacji serwerów
Jedną z podstawowych funkcji usługi VPN jest dostęp do serwerów zlokalizowanych na całym świecie. Tego typu funkcja przydaje się szczególnie wówczas, gdy z pewnych powodów (komercyjnych lub geopolitycznych) dana usługa nie jest dostępna w kraju użytkownika (blokada, cenzura itp.).

Ochrona adresów IP (Internet Protocol)
Sieć VPN ukrywa i ochroni użytkownika przez maskowanie adresu IP, przez co nie jest możliwe śledzenie jego aktywności online.

VPN nie rejestruje logów
Jedną z największych zalet komercyjnych sieci VPN jest to, że nie zbierają i nie rejestrują logów. W ten sposób sieci VPN zapewniają 100% anonimowości. Warto w tym miejscu wspomnieć, że nie wszystkie VPN są pozbawione tej opcji. Dotyczy to szczególnie darmowych sieci VPN. Z tego względu przed podjęciem decyzji o wdrożeniu należy upewnić się, że dana sieć VPN stosuje zasadę braku logów.

Switch kill, czyli wyłącznik awaryjny VPN.
Funkcja oprogramowaniu klienta VPN lub oprogramowaniu routera, która włącza się w momencie, gdy połączenie VPN zostaje przerwane. Wówczas użytkownik jest chroniony przed wyciekiem poufnych informacji np. aktywności w Internecie lub prawdziwego adresu IP.

Uwierzytelnianie wieloskładnikowe (MFA).
Wyższy poziom bezpieczeństwa zapewnia uwierzytelnianie wieloskładnikowe, które jest zaimplementowane w większości usług VPN. Oznacza to, że do uzyskania uwierzytelnienia nie wystarczy jedno poświadczenie. W ten sposób mamy pewność, że do usługi mają dostęp tylko osoby do tego uprawnione, co znacznie utrudnia jakiekolwiek łamanie i przechwycenie przez hakera danych.

Dowiedz się więcej o projektowaniu sieci WLAN w firmie

Funkcje MACsec

Protokół MACsec oprócz podstawowej funkcji, czyli zapewnienia bezpieczeństwa przepływu danych między urządzeniami świadczy również inne usługi, do których należą:

Bezpieczeństwo transferu danych w wielu sieciach.
MACsec umożliwia bezpieczną komunikacją i przesył danych między dwoma urządzeniami. Przy tym nie ma znaczenie liczba urządzeń, które pośredniczą i typ sieci. MACsec wykorzystywany w sieciach LAN, MAN czy WAN.

Bezpołączeniowa integralność danych.
Oznacza to, że w trakcie przesyłu danych nie można dokonać modyfikacji ramki. Nie ma możliwości wprowadzania nieautoryzowanych zmian, a wszelkie próby zostaną szybko wykryte.

Autentyczność pochodzenia danych.

W ten sposób mamy pewność, że każda z odebranych ramek została wysłana tylko i wyłącznie przez uwierzytelnione urządzenie.

Poufność.

Każda partia danych zawarta w ramce MAC jest szyfrowana i nie ma możliwości, aby była odczytana przez osoby do tego nieupoważnione.

Ochrona przed ponownym odtwarzaniem.
Nawet jeżeli atakujący skopiuje ramkę sieci, nie wyśle jej do sieci bez wykrycia.

Przeczytaj również: NDR czyli sztuczna inteligencja w walce z hakerami

Jakie są zalety z wykorzystania szyfrowania MACSEC?

Wszechstronność.
Protokół może być stosowany we wszystkich sieciach i wdrożony na większości urządzeń.

Skalowalność.
W odróżnieniu od innych protokołów szyfrujących (TLS lub IPSec) MACsec jest skalowalny i może być zaimplementowany na wiele sposobów.

Szybkość działania, bez opóźnień.
MACsec to protokół, który powoduje stosunkowo małe opóźnienia. W praktyce działa z prędkością łącza. Z tego powodu idealnie nadaje się do sieci o dużych prędkościach. Wynika to z tego, że zastosowany algorytm szyfrujący pozwala na rozpoczęcie weryfikacji nagłówka pakietu bez znajomości jego końcówki. MACsec zapewnia w ten sposób duże bezpieczeństwo sieci bez utraty jego wydajności.

Jakie są zalety VPN w kontekście firmowego biznesu?

Zapewniają wysoki poziom kontroli dostępu.
Korzystanie z sieci usługi VPN pozwala nam kontrolować dostęp do sieci użytkowników. Zastosowanie uwierzytelnienia MFA daje pewność, że do sieci nie dostanie się żadna nieupoważniona osoba. W ten sposób ograniczamy potencjalne ryzyko włamania i podnosimy bezpieczeństwo sieci.

Zapewnia bezpieczeństwo danych.
Funkcje VPN, w tym szyfrowanie danych, dają nam gwarancję, że informacje poufne nie wpadną w ręce osoby trzeciej. To rozwiązanie jest szczególnie korzystne wówczas gdy w firmie zatrudnionych jest wiele pracowników, którzy wymagają dostępu zdalnego do biurowej sieci — korzystają z poczty e-mail i firmowego oprogramowania. Dzięki VPN mogą logować się z każdego miejsca i korzystać z każdej nawet publicznej sieci ze zdecydowanie mniejszym ryzykiem, że nastąpi wyciek danych firmowych.

Brak ograniczeń w dostępie do plików.
VPN to doskonale rozwiązanie w przypadku gdy firma ma zagranicznych kontrahentów, a pracownicy podróżują po różnych krajach. VPN znosi ograniczenia, które mogą obowiązywać w niektórych krajach. Z usługą VPN takie problemy, jak cenzura sieci, blokada ze względu na lokalizację, nas nie dotyczą. Mamy nieograniczony dostęp do wszystkich plików i danych.

Stosunkowo niskie koszty instalacji i utrzymania.
Korzystanie z VPN to stosunkowo ekonomiczny sposób na podniesienie bezpieczeństwa cybernetycznego w porównaniu z innymi rozwiązaniami. Ważne jest jedynie, aby wybrać usługę, która będzie odpowiadała na indywidualne potrzeby biznesowe.

Przeczytaj również: Cloud WLAN >>. Kontrola nad siecią w chmurze. Wady i zalety.

VPN a Zero Trust Network Access (ZTNA)

Przy okazji VPN warto również wspomnieć o rozwiązaniu ZTNA (Zero Trust Network Access), które oferuje inne od VPN podejście do bezpiecznego dostępu do aplikacji korporacyjnych ze zdalnych lokalizacji. ZTNA jest zestawem technologii, które zapewniają bezpieczny zdalny dostęp do aplikacji, danych i usług organizacji. Usługa ZTNA przyznaje dostęp do aplikacji dopiero po zweryfikowaniu urządzeń i użytkowników. Użytkownicy podlegają weryfikacji nie tylko podczas logowania, ale również przez całą sesję użytkownika.
Istotą działania jest zasada minimalnych uprawnień (PoLP). Oznacza ona, że użytkownik otrzymuje uprawnienia wymagane tylko do wykonywania swoich obowiązków.

Przeczytaj również: Do czego służy PAM>> (Privileged Access Management)?

Współcześnie kwestie cybernetycznego bezpieczeństwa powinny znaleźć się priorytecie w większości firm. VPN i MACsec to rozwiązania szyfrowania połączeń, które zabezpieczają sieć na wielu poziomach. Podwyższają kontrolę dostępu, ułatwiają komunikację, a przede wszystkim zwiększają cyfrowe bezpieczeństwo w firmie. Najważniejsze jest to, że to rozwiązania, które mogą być wdrożone praktycznie przez każdą firmę i w każdym przypadku.

Jesteś zainteresowany wdrożeniem w firmowej sieci rozwiązań VPN i MACsec?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl . Wybierzemy najlepszą opcję pod względem potrzeb biznesowych.

Przypisy:

1. 802.1AE: MAC Security (MACsec) [dostęp 31.05.2022r]

Ostatnia aktualizacja 2024-02-21