Case Study: Wdrożenie Zero Trust w środowisku MikroTik + SIEM + EDR – kompleksowa ochrona sieci na najwyższym poziomie

Wstęp: wyzwania współczesnej sieci korporacyjnej

W obliczu rosnącej liczby cyberzagrożeń, mobilności pracowników i rozproszenia infrastruktury IT, organizacje muszą inwestować w nowoczesne metody ochrony, które zapewnią skuteczną kontrolę dostępu i widoczność zagrożeń w czasie rzeczywistym. Tradycyjne rozwiązania, oparte na zaufaniu do sieci lokalnej, coraz częściej zawodzą, dlatego najlepszą praktyką jest wdrożenie architektury Zero Trust (ZTA).

W prezentowanym case study pokazujemy, jak zbudować i wdrożyć architekturę Zero Trust bazującą na urządzeniach MikroTik, rozwiązaniu SIEM do zbierania i analizy logów oraz systemie EDR do ochrony punktów końcowych. Projekt realizowano w średniej wielkości firmie z sektora usług IT, z około 150 użytkownikami i rozproszoną infrastrukturą sieciową.

Cele wdrożenia Zero Trust

• Eliminacja zaufania do sieci wewnętrznej – każda próba dostępu ma być weryfikowana
• Segmentacja sieci i mikrosegmentacja z wykorzystaniem MikroTik VLAN i firewall
• Uwierzytelnianie wieloskładnikowe (MFA) i kontrola dostępu na poziomie użytkownika
• Centralny monitoring i korelacja zdarzeń przez SIEM
• Zaawansowana ochrona punktów końcowych dzięki EDR
• Automatyczne reagowanie na incydenty bezpieczeństwa

Architektura rozwiązania

Krok 1: Inwentaryzacja i segmentacja sieci MikroTik

Pierwszym krokiem była dokładna inwentaryzacja urządzeń sieciowych i usług. Firma posiadała kilka oddziałów, z siecią rozproszoną i licznymi użytkownikami mobilnymi.

W MikroTik zastosowano segmentację VLAN dla poszczególnych działów oraz urządzeń IoT:

Firewall MikroTik został skonfigurowany, by wymuszać polityki dostępu między VLAN-ami, dopuszczając tylko wybrane połączenia. W ten sposób ograniczono możliwość lateralnego ruchu w sieci, co jest kluczowym założeniem Zero Trust.

Krok 2: Uwierzytelnianie i kontrola dostępu

Wdrożono centralny serwer RADIUS zintegrowany z LDAP (Active Directory), co pozwoliło na centralną autoryzację użytkowników i urządzeń sieciowych. Użytkownicy logowali się do sieci Wi-Fi oraz VPN z wykorzystaniem MFA, co znacznie ograniczyło ryzyko kompromitacji konta.

W MikroTik zastosowano uwierzytelnianie hotspotowe oparte na RADIUS, a dostęp do krytycznych zasobów sieciowych był warunkowany wynikami MFA. Ponadto, każdy użytkownik miał przypisane role i uprawnienia zgodne z zasadą najmniejszych uprawnień (Least Privilege).

Krok 3: Integracja z SIEM i monitoring

System SIEM zbierał logi z MikroTik (syslog), serwera RADIUS, urządzeń EDR oraz innych systemów krytycznych. Wykorzystano Wazuh jako narzędzie do agregacji i analizy danych, które dostarczało:

• Korelację zdarzeń (np. wykrycie próby nieautoryzowanego dostępu i natychmiastowa reakcja)
• Alerty w czasie rzeczywistym na podstawie reguł bezpieczeństwa
• Raportowanie trendów i słabych punktów w infrastrukturze

Dzięki temu możliwe było całodobowe monitorowanie sieci i szybkie wykrywanie incydentów.

Krok 4: Ochrona punktów końcowych – wdrożenie EDR

Na stacjach roboczych i serwerach zainstalowano oprogramowanie EDR (np. CrowdStrike Falcon), które zapewniało:

• Wykrywanie zaawansowanych ataków typu malware, ransomware, phishing
• Analizę zachowań użytkowników (UEBA)
• Automatyczne izolowanie podejrzanych urządzeń od sieci
• Wsparcie dla śledzenia incydentów i działań naprawczych

Integracja EDR z SIEM umożliwiała pełen obraz zdarzeń i ułatwiała szybkie podejmowanie decyzji.

Krok 5: Automatyzacja reakcji i zarządzanie incydentami

Do automatyzacji wykorzystano platformę SOAR oraz dedykowane skrypty w Pythonie i Bash, które:

• Na podstawie alertów z SIEM automatycznie blokowały podejrzany ruch na MikroTik za pomocą API
• Wysyłały powiadomienia do zespołu bezpieczeństwa i administratorów
• Tworzyły raporty do celów audytu
• Resetowały sesje użytkowników w przypadku wykrycia nietypowego zachowania

Dzięki temu reakcje na incydenty były szybsze i mniej podatne na błędy ludzkie.

Wyniki i korzyści z wdrożenia

Najważniejsze wnioski i rekomendacje

• Dokładna segmentacja sieci i polityki firewall to fundament Zero Trust
• Centralizacja zarządzania tożsamością i MFA znacząco zwiększa bezpieczeństwo
• Integracja MikroTik z SIEM i EDR pozwala na pełną widoczność i szybką reakcję
• Automatyzacja procesów bezpieczeństwa zmniejsza ryzyko błędów i przyspiesza działanie zespołu
• Regularne szkolenia pracowników i testy penetracyjne to niezbędny element sukcesu

Poniżej podaję dwa gotowe, zaawansowane przykłady:

1. Skrypt do konfiguracji MikroTik przez CLI – podstawowa konfiguracja VLAN, firewall i logging do SIEM.
2. Skrypt Python – prosty przykład integracji MikroTik z systemem SIEM poprzez pobieranie logów przez API i przesyłanie ich do ELK (Elasticsearch).

1. Skrypt MikroTik CLI — VLAN + firewall + logowanie syslog do SIEM

# Konfiguracja VLAN na interfejsie ether1
/interface vlan
add name=vlan10 vlan-id=10 interface=ether1
add name=vlan20 vlan-id=20 interface=ether1

# Przypisanie IP do VLAN
/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20

# Konfiguracja DHCP serwera dla VLAN 10 i 20
/ip pool
add name=pool_vlan10 ranges=192.168.10.100-192.168.10.200
add name=pool_vlan20 ranges=192.168.20.100-192.168.20.200

/ip dhcp-server
add name=dhcp_vlan10 interface=vlan10 address-pool=pool_vlan10 disabled=no
add name=dhcp_vlan20 interface=vlan20 address-pool=pool_vlan20 disabled=no

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1

# Podstawowa polityka firewall blokująca ruch między VLAN-ami
/ip firewall filter
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop comment="Blokuj ruch VLAN10 do VLAN20"
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=drop comment="Blokuj ruch VLAN20 do VLAN10"

# Zezwól ruch do internetu
add chain=forward out-interface=ether1 action=accept comment="Zezwól ruch do internetu"

# Logowanie do zewnętrznego sysloga (adres serwera SIEM)
/system logging action
add name=remote-syslog target=remote remote=10.10.10.100 remote-port=514 syslog-facility=daemon

/system logging
add topics=firewall action=remote-syslog

# Włączenie NAT (masquerade) na ether1 do internetu
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade comment="NAT do internetu"

2. Skrypt Python – pobieranie logów MikroTik przez API i wysyłanie do ELK

Poniższy przykład wymaga pakietu librouteros (do instalacji: pip install librouteros) oraz requests do wysyłki HTTP do Elasticsearch.

from librouteros import connect
import requests
import json

# Dane dostępowe MikroTik
MT_HOST = '192.168.88.1'
MT_USER = 'admin'
MT_PASS = 'twoje_haslo'

# Adres ELK (Elasticsearch)
ELK_URL = 'http://elk-server:9200/mikrotik-logs/_doc/'

def fetch_logs():
    api = connect(username=MT_USER, password=MT_PASS, host=MT_HOST)
    logs = api('/log/print', {'count': 50})  # Pobierz 50 ostatnich logów
    return logs

def send_to_elk(log_entry):
    headers = {'Content-Type': 'application/json'}
    response = requests.post(ELK_URL, headers=headers, data=json.dumps(log_entry))
    if response.status_code == 201:
        print("Log wysłany pomyślnie")
    else:
        print(f"Błąd wysyłki logu: {response.text}")

def main():
    logs = fetch_logs()
    for log in logs:
        # Przetwarzanie logu do formatu JSON dla ELK
        log_json = {
            "time": log.get('time'),
            "topics": log.get('topics'),
            "message": log.get('message'),
            "source": MT_HOST
        }
        send_to_elk(log_json)

if __name__ == "__main__":
    main()

Jak to działa?

• Skrypt MikroTik CLI tworzy segmentację VLAN, prostą politykę firewall i wysyła logi do zewnętrznego sysloga (np. serwera SIEM).
• Skrypt Python łączy się z MikroTik przez API, pobiera logi i przesyła je do ELK, gdzie są indeksowane i analizowane.

Możliwości rozbudowy

• Automatyczne reagowanie na zagrożenia poprzez API MikroTik (np. blokowanie IP po wykryciu w SIEM)
• Synchronizacja reguł firewall z centralnym systemem zarządzania
• Integracja z EDR dla automatycznego odcięcia zainfekowanych urządzeń
• Rozszerzenie monitoringu o alerty SOAR

Podsumowanie

Wdrożenie architektury Zero Trust opartej o MikroTik, SIEM i EDR jest możliwe nawet w średniej wielkości organizacji i przynosi wymierne korzyści w postaci zwiększonego poziomu ochrony, lepszej kontroli nad dostępem i znacznego skrócenia czasu reakcji na incydenty. To kompleksowe rozwiązanie łączy najlepsze technologie sieciowe i bezpieczeństwa, wpisując się w nowoczesne trendy IT i wymagania regulacyjne.

Polecane wpisy

Narzędzia do symulacji i testowania sieci RIP (np. GNS3, Packet Tracer)

Narzędzia do symulacji i testowania sieci RIP (np. GNS3, Packet Tracer) Wprowadzenie Symulacja i testowanie sieci to kluczowe elementy w Czytaj dalej

Prywatność w mediach społecznościowych – jak chronić swoje dane?

Prywatność w mediach społecznościowych – jak chronić swoje dane? Wstęp W dobie powszechnego korzystania z mediów społecznościowych ochrona prywatności staje Czytaj dalej