Czy VPN powinien zostać uśmiercony? Jaką mamy alternatywę? Jak zabezpieczyć VPN?

kapitanhack.pl 4 miesięcy temu

Mimo zapewnień o prywatności i bezpieczeństwie, litera „P” (od ang. private) w uproszczeniu VPN wydaje się coraz bardziej niepewna. To zła wiadomość dla około 93% firm i organizacji, które w tej chwili korzystają z VPN w celu ochrony swoich danych biznesowych. W poniższym artykule opisujemy historię pierwszych połączeń komputerowych, kwestie bezpieczeństwa VPN, rozwiązania alternatywne oraz porady dotyczące zabezpieczenia VPN.

Prekursor połączenia VPN – modem?

Wraz z początkiem ery komputerów ludzie zapragnęli łączyć się z innymi komputerami. To stwarzało nowe możliwości i otwierało oczy na świat. Istnieją także opinie, iż „boom” na komputery rozpoczął się właśnie od możliwości ich łączenia się i korzyści, jakie z tego tytułu można było uzyskać.

Pierwsze połączenia, mało iż trudne do przeprowadzenia, były jeszcze bardzo prymitywne (niezabezpieczone), a w dodatku powolne. Najstarsze wzmianki o połączeniu pochodzą z końca lat 50. XX wieku. Zbudowano wtedy sieć komputerów dla amerykańskiego wojskowego systemu radarowego Semi-Automatic Ground Environment (SAGE) przy użyciu modemu Bell 101.

Źródło:reddit.com

Był to pierwszy komercyjny modem dla komputerów, wydany przez AT&T Corporation w 1958 roku. Modem umożliwiał przesyłanie danych cyfrowych przez zwykłe, nieuwarunkowane linie telefoniczne z prędkością 110 bitów na sekundę (bit/s). ale technologia ta nie była dostępna oficjalnie dla społeczeństwa, a postęp w rozwoju komunikacji następował bardzo powolnie. Taki stan utrzymywał się przez prawie dwadzieścia kolejnych lat (do przełomu lat 70. i 80.), kiedy erę komputerów zrewolucjonizowały pierwsze komputery osobiste (PC). Stwarzały one ludziom możliwość pracy z domu i łączenia się z dużymi oddalonymi serwerami w firmach lub innymi komputerami osobistymi.

Pierwsze zdalne połączenie z komputera PC

Dzisiaj, aby wejść do Internetu lub połączyć się z firmą wystarczy uruchomić przeglądarkę lub konkretną aplikację na telefonie czy komputerze. Nikt nie musi pamiętać o wydzwanianiu analogowym telefonem i podpinaniu się kablem.

Dla zobrazowania, jak trudno było komunikować się w tamtych czasach, posłużmy się przykładem – jednym z pierwszych komputerów osobistych Commodore PET 2001 z 1977 r. oraz prekursorem komercyjnie sprzedawanego „modemu” (przekaźnik akustyczny lub acoustic coupler) z 1979 r., który umożliwiał połączenie głosowe po linii telefonicznej PSTN z drugim komputerem. A wyglądało to tak, jak na poniższym zdjęciu. 🙂

Komputer PC Commodore PET 2001 z modemem Commodore 8010 – połączenie przez modem

W celu zdalnego połączenia z drugim komputerem należało najpierw uzbroić się w cierpliwość (duża kawa była mile widziana). Po włączeniu komputera i pojawieniu się na ekranie mrugającego kursora do wpisywania poleceń systemowych trzeba było wpisać odpowiednią komendę (w tym przypadku komendę „LOAD” z języka BASIC). Następnie należało przewinąć kasetę magnetofonową w odpowiednie miejsce, gdzie znajdował się zapisany program, i wcisnąć przycisk PLAY na magnetofonie. jeżeli mieliśmy szczęście i program załadował się poprawnie do pamięci, należało włączyć modem i użyć odpowiedniego ustawienia. Po stronie inicjującej połączenie należało ustawić na modemie tryb Originate (inicjuj połączenie), zaś po drugiej stronie na innym modemie tryb Answer (odpowiadaj). Następnie trzeba było manualnie wykręcić (ang. Dial) numer na telefonie stacjonarnym i po zgłoszeniu sygnału gotowości wsadzić słuchawkę telefonu do odpowiednich otworów w modemie (przekaźniku dźwiękowym). Tutaj jako ciekawostkę dodamy, iż od tego sposobu połączenia wzięła się nazwa połączenia modemowego Dial-up, która w latach 90. robiła furorę jako metoda połączeń z Internetem.

Po udanej wymianie „dźwięków” o odpowiedniej częstotliwości w Hz na modemie następowało połączenie sieciowe, w którym można było pisać (przesyłać) lub zaczytywać (pobierać) znaki ASCII z obu komputerów.

W przypadku tego połączenia była dostępna szybsza prędkość, bo „300 boud bit/s”, która oferowała strumień, uwaga, 30 znaków na sekundę tekstu przesyłanego na ekranie!!! Od lutego 1978 roku można było się również połączyć z powstającymi wtedy pierwszymi serwisami BBS (ang. Bulletin Board System), które były prekursorem dzisiejszego Internetu (stron WWW) oraz na których po raz pierwszy można było wpisać poświadczenia (nazwę użytkownika i hasło). Możliwe stało się korzystanie z wszelkich dobrodziejstw serwisu, jak komunikacja z innymi użytkownikami, transfer plików czy dostęp do informacji.

Czy powyższa metoda połączenia z czymś Wam się kojarzy? Współcześnie tak łączymy się bezprzewodowo poprzez routery Wi-Fi lub VPN do innych zasobów w Internecie lub firm.

Wraz z rozwojem technologii na przestrzeni ostatnich 45 lat prędkość, metody oraz bezpieczeństwo takiego polaczenia ewoluowały. Pojawiły się połączenia PPP, PPTP i inne. Powstał również VPN.

VPN

Historia VPN zaczyna się w 1996 roku, kiedy to pracownik Microsoftu (większość źródeł podaje, iż Gurdeep Singh-Pall) zaczął rozwijać Peer to Peer Tunneling Protocol (PPTP).

VPN, zgodnie z definicją Microsoftu oznaczający wirtualną sieć prywatną, ustanawia cyfrowe połączenie między komputerem a zdalnym serwerem należącym do dostawcy usług VPN, tworząc tunel punkt-punkt, który szyfruje dane osobowe, maskuje adres IP i pozwala ominąć blokady witryn i zapory sieciowe w Internecie. Gwarantuje to, iż środowisko online użytkownika jest prywatne, chronione i bezpieczniejsze.

Według samej definicji połączenie sieci VPN jest:

  • Wirtualne, ponieważ w procesie połączenia nie są wykorzystywane żadne fizyczne kable.
  • Prywatne, ponieważ za pośrednictwem tego połączenia nikt inny nie może zobaczyć Twoich danych ani aktywności przeglądania.
  • W sieci, ponieważ wiele urządzeń – komputer i serwer VPN – współpracuje ze sobą w celu utrzymania ustalonego połączenia.

Tradycyjnie serwery VPN były wykorzystywane głównie w jednym celu – uzyskania początkowego dostępu do sieci. Atakujący łamali zabezpieczenia serwera VPN i wykorzystywali go jako punkt wyjścia do dalszych włamań do sieci wewnętrznej.

Chociaż ta metoda połączenia jest bardzo skuteczna, postawiliśmy sobie pytanie: czy VPN powinien być uśmiercony?

Zanim odpowiemy, spójrzmy na statystyki wykorzystania tej metody połączenia na świecie.

VPN w statystykach

Według najnowszych statystyk Forbesa, 33% użytkowników Internetu na całym świecie korzysta z VPN. Ponieważ konsumenci coraz bardziej chronią swoje dane online, VPN-y zyskują na popularności, a w 2024 r. przewiduje się, iż skorzysta z nich 10 milionów osób.

Inne badania wykazały, iż około 35-42% użytkowników VPN-ów codziennie korzysta z ich usług, a dodatkowe 13-15% korzysta z nich 4-5 razy w tygodniu. Ponadto 32% użytkowników urządzeń mobilnych i 29% użytkowników komputerów PC i laptopów korzysta z VPN-ów codziennie lub prawie codziennie.

Globalnie VPN-y pobiera prawie 330 milionów ludzi na całym świecie.

Statystyki dotyczące powodów wykorzystania VPN przedstawione są na poniższym wykresie.

Źródło: Forbes Advisor

Zaskakujące jest, iż około 93% organizacji korzysta w tej chwili z sieci VPN w celu zapewnienia bezpieczeństwa.

Prawie 80% użytkowników VPN używa go dla swojego bezpieczeństwa cyfrowego, 47% użytkowników używa bezpłatnego VPN, a 26% pracowników płaci za subskrypcję VPN.

Zjednoczone Emiraty Arabskie mają najwyższy wskaźnik adopcji VPN, wynoszący około 43%. Indie i Indonezja mają najwięcej użytkowników VPN, odpowiednio 45 milionów i 42 miliony użytkowników.

VPN a bezpieczeństwo

Wszyscy znamy tę historię: odkryto poważną lukę w zabezpieczeniach serwera VPN, która została wykorzystana w praktyce. Administratorzy w pośpiechu starają się ją załatać, a w mediach społecznościowych rozprzestrzenia się panika.

Biorąc pod uwagę ostatnie nagłówki naszych artykułów (oraz innych portali branżowych), zrozumiałe byłoby ogłoszenie śmierci wirtualnej sieci prywatnej. VPN od dawna uznawany był za bastion bezpieczeństwa online, jednak ostatnie rewelacje na temat luk w zabezpieczeniach z nim związanych wstrząsają tym postrzeganiem do głębi. W ciągu kilku ostatnich miesięcy częstotliwość i waga zgłaszanych luk w zabezpieczeniach VPN były niezwykłe.

Atakujący od dawna celują w serwery VPN, ponieważ są one dostępne z Internetu, mają dużą powierzchnię ataku i często brakuje im odpowiednich zabezpieczeń oraz monitoringu. Według najnowszych statystyk zebranych przez Top10VPN krajobraz luk w zabezpieczeniach sieci VPN przedstawia się bardzo ponuro. Badania ujawniają oszałamiający wzrost zgłaszanych luk w zabezpieczeniach, z 32% wzrostem w 2023 r. w porównaniu z poprzednim rokiem. Co alarmujące, trend nie wykazuje oznak ustępowania, o czym świadczy dalszy wzrost o 35% w pierwszej połowie 2024 r. Liczby te podkreślają pilną potrzebę ponownej oceny przez organizacje tradycyjnych technologii VPN i pilnego przyjęcia bardziej solidnych środków bezpieczeństwa.

Najnowsze raporty o lukach w zabezpieczeniach sieci VPN nie wykazują spowolnienia. Te ataki, często wynikające z przestarzałych protokołów lub błędnych konfiguracji, ujawniły słabości technologii, która pozostała w dużej mierze niezmieniona od czasu jej powstania na początku lat 90. Pomimo dziesięcioleci postępu w zakresie sieci i cyberbezpieczeństwa, podstawowa architektura sieci VPN pozostała w stagnacji, co czyni je podatnymi na coraz bardziej wyrafinowane cyberzagrożenia.

W tym kontekście pojawia się kolejne pytanie: dlaczego po prostu nie tworzymy lepszej sieci VPN? Odpowiedź leży w inherentnych ograniczeniach istniejących technologii VPN. Pomimo ich powszechnego stosowania sieci VPN nie zostały zaprojektowane tak, aby wytrzymać współczesne cyberzagrożenia. W miarę jak cyberprzestępcy rozwijają swoje taktyki, potrzeba bardziej solidnego i odpornego rozwiązania staje się coraz bardziej oczywista.

Co zamiast VPN?

Według wszystkich szacunków śmierć sieci VPN wydaje się nieunikniona. Dlaczego zatem tak się nie dzieje? Sieci VPN przez cały czas służą jako niezawodny sposób łączenia zdalnych stron z sieciami, oferując szybkość i łatwość użytkowania. Jednak w obliczu narastających obaw dotyczących bezpieczeństwa, czy możemy naprawdę zagwarantować „prywatny” aspekt niezbędny do ochrony poufnych danych? Organizacje zmagające się z tym dylematem coraz częściej zwracają się ku alternatywnym podejściom, takim jak sieci rozległe definiowane programowo (SD-WAN) czy dostęp do sieci Zero Trust (ZTNA).

Rozwiązania takie jak ZTNA odchodzą od tradycyjnego podejścia opartego na obwodzie sieci VPN w kierunku bardziej szczegółowego modelu skoncentrowanego na tożsamości. Weryfikując tożsamość i wiarygodność użytkowników oraz urządzeń przed udzieleniem dostępu do zasobów, ZTNA łagodzi ryzyko związane z lukami w zabezpieczeniach sieci VPN. Jednak to zwiększone bezpieczeństwo wiąże się z kosztami, zarówno pod względem czasu, jak i zasobów.

Routing ruchu przez serwer proxy w chmurze, powszechny w przypadku wdrożeń ZTNA, wprowadza dodatkowe koszty za pakiet i opóźnienia w doświadczeniu użytkownika. Podczas gdy ZTNA oferuje lepsze bezpieczeństwo w porównaniu z tradycyjnymi sieciami VPN, jego wdrożenie wymaga znacznej inwestycji czasu i pieniędzy. Dla organizacji rozważających swoje opcje wybór między bezpieczeństwem a wygodą staje się coraz bardziej złożony.

Jak stworzyć bezpieczniejszą sieć VPN?

Stworzenie lepszej sieci VPN wymaga czegoś więcej niż tylko łatanie luk w zabezpieczeniach lub aktualizowanie protokołów. Wymaga to fundamentalnej zmiany podejścia do bezpieczeństwa sieci w erze cyfrowej. Wiąże się to z integracją zaawansowanych algorytmów szyfrowania, wdrożeniem silniejszych mechanizmów uwierzytelniania i przyjęciem bardziej proaktywnego podejścia do wykrywania i łagodzenia zagrożeń. Ponadto zwiększenie prywatności i bezpieczeństwa sieci VPN wymaga współpracy między interesariuszami branży, w tym ekspertami ds. cyberbezpieczeństwa, inżynierami sieci i programistami oprogramowania. Wspierając innowacje i dzieląc się wiedzą, możemy wspólnie zająć się niedociągnięciami istniejących technologii VPN i utorować drogę do bezpieczniejszej i bardziej odpornej przyszłości.

Zalecenia Kapitana Hacka dotyczące korzystania z serwera VPN

Przedstawiamy cztery zasady, których należy przestrzegać podczas korzystania z serwera VPN, aby zminimalizować ryzyko:

  • zastosuj dostęp do sieci Zero Trust,
  • ogranicz uprawnienia kont usługowych,
  • używaj dedykowanych tożsamości do uwierzytelniania VPN,
  • monitoruj zmiany konfiguracji.

Podsumowanie

Najnowsze nagłówki dotyczące ataków na sieci VPN podkreślają pilną potrzebę zmiany paradygmatu w zakresie bezpieczeństwa sieci. Podczas gdy sieci VPN przez cały czas odgrywają istotną rolę w łączeniu zdalnych stron z sieciami, luki w zabezpieczeniach rodzą pytania o ich skuteczność w ochronie prywatności i danych użytkowników. W miarę jak organizacje badają alternatywy, takie jak ZTNA, wyzwaniem jest zrównoważenie wymagań bezpieczeństwa z wydajnością operacyjną.

W przyszłości innowacje i kooperacja stworzą lepszą, bezpieczniejszą sieć VPN, która spełni wymagania nowoczesnego krajobrazu cyfrowego. Mamy nadzieję, iż sieć VPN nie umrze i będzie tak, jak w przypadku opisywanego powyżej przykładu z Commodore i modemu akustycznego z lat 70-tych – zmieni się w nową.

Idź do oryginalnego materiału