MikroTik – Część 22: Wdrożenie zasad Zero Trust z MikroTik, EDR i systemami SIEM – model bezpieczeństwa przyszłości
MikroTik – kompleksowa konfiguracja sieci od podstaw do zaawansowanych rozwiązań
Część 22: Wdrożenie zasad Zero Trust z MikroTik, EDR i systemami SIEM – model bezpieczeństwa przyszłości
W poprzedniej części zbudowaliśmy zaawansowany system monitorowania sieci z wykorzystaniem Prometheus, Grafana i Alertmanager. Tym razem przechodzimy do jednej z najbardziej istotnych i przyszłościowych koncepcji w obszarze cyberbezpieczeństwa – Zero Trust Security Model, wdrażając go praktycznie w środowisku bazującym na MikroTik, EDR i systemach klasy SIEM. Jest to kolejny krok w stronę zautomatyzowanej, autonomicznej i odpornej infrastruktury sieciowej.
Czym jest model Zero Trust i dlaczego warto go wdrożyć?
Zero Trust opiera się na założeniu, że żaden użytkownik, urządzenie ani aplikacja — nawet wewnątrz naszej sieci — nie powinien być automatycznie uznawany za godny zaufania. Zasady Zero Trust obejmują:
- Weryfikuj wszystko, nie ufaj niczemu.
- Minimalizuj przywileje dostępu (principle of least privilege).
- Segmentuj sieć i ruch.
- Audytuj i loguj każdą interakcję.
- Reaguj automatycznie na anomalie.
Wyzwania przy wdrożeniu Zero Trust w sieciach opartych o MikroTik
MikroTik nie oferuje natywnych mechanizmów typu SDP (Software Defined Perimeter), ale daje wystarczające możliwości do implementacji większości zasad Zero Trust, jeśli połączymy go z:
- Systemami klasy EDR/XDR (np. CrowdStrike, SentinelOne, Sophos Intercept X),
- SIEM (np. Wazuh, Elastic, Graylog, Splunk),
- SOAR (np. TheHive, Shuffle, Cortex),
- oraz automatyzacją konfiguracji i reguł firewall.
Krok 1: Segmentacja sieci z MikroTik
Podstawą Zero Trust jest mikrosegmentacja. W MikroTik konfigurujemy to poprzez VLAN-y i reguły firewalla:
Przykładowa struktura VLAN:
| VLAN ID | Nazwa | Przeznaczenie |
|---|---|---|
| 10 | management | tylko dostęp do MikroTik |
| 20 | user-laptops | dostęp tylko do web |
| 30 | iot-devices | brak dostępu do LAN |
| 40 | server-zone | ograniczony dostęp z VLAN 20 |
Przykład konfiguracji VLAN:
/interface vlan
add interface=ether2 name=vlan20 vlan-id=20
add interface=ether3 name=vlan30 vlan-id=30
/interface bridge port
add interface=vlan20 bridge=bridge1
add interface=vlan30 bridge=bridge1
Firewall mikrosegmentacji:
/ip firewall filter
add chain=forward action=drop src-address=192.168.20.0/24 dst-address=192.168.30.0/24 comment="Zerotrust: user -> iot zabronione"
add chain=forward action=accept src-address=192.168.20.0/24 dst-port=443 protocol=tcp comment="Zerotrust: HTTPS do Internetu"
Krok 2: Integracja z EDR
EDR powinien monitorować każdy endpoint — niezależnie od VLAN-u. W połączeniu z MikroTik, możemy:
- ustalać źródła ruchu po adresie MAC/IP,
- identyfikować anomalie w ruchu,
- automatycznie ograniczać dostęp po wykryciu incydentu.
Scenariusz:
- EDR wykrywa atak typu ransomware.
- Wysyła sygnał przez webhook do brokera MQTT lub systemu SIEM.
- Skrypt Python dodaje regułę
dropna MikroTik dla danego IP/MAC:
import requests
from routeros_api import RouterOsApiPool
ip = "192.168.20.45"
api = RouterOsApiPool('192.168.88.1', username='admin', password='secret', plaintext_login=True)
conn = api.get_api()
firewall = conn.get_resource('/ip/firewall/address-list')
firewall.add(address=ip, list='blocked-edr', comment='Zerotrust: EDR reaction')
W MikroTik:
/ip firewall filter
add chain=forward src-address-list=blocked-edr action=drop comment="Zerotrust: blokada przez EDR"
Krok 3: SIEM i Alerty
Wszystkie logi z MikroTik (firewall, login, DHCP snooping, VPN) przesyłamy do SIEM:
/system logging action
add name=siem-udp remote=192.168.1.100 remote-port=514 target=remote
/system logging
add topics=firewall action=siem-udp
add topics=info,account action=siem-udp
W SIEM:
- Tworzymy korelacje (np. 3 logowania nieudane → alert),
- Integrujemy z EDR,
- Możemy ustawiać alarmy graniczne lub anomalie zachowań użytkowników (UEBA).
Krok 4: Polityki dostępu – VPN, certyfikaty, identyfikacja urządzeń
W Zero Trust nie można ufać adresom IP. Musimy stosować:
- VPN z certyfikatami klienta,
- dynamiczne przydzielanie dostępów,
- MFA, tunelowanie dostępu,
Przykład konfiguracji VPN tylko dla urządzeń z określonym certyfikatem:
/certificate
add name=trusted-client common-name=admin-client trusted=yes
/ppp secret
add name=admin-client password=secret profile=trusted only-one=yes service=l2tp
/ppp profile
add name=trusted use-encryption=yes only-one=yes local-address=10.0.0.1 remote-address=10.0.0.2 use-compression=no
Krok 5: Automatyzacja SOAR
System SOAR zbiera alerty z SIEM i EDR, przetwarza je i podejmuje decyzje.
Przykład automatycznego scenariusza:
- Wykryto anomalię ruchu z portu USB laptopa.
- SOAR (np. TheHive) analizuje alert.
- Triggeruje playbook, który:
- blokuje adres IP/MAC w MikroTik,
- odcina port switcha (np. z PoE),
- wysyła notyfikację do administratora.
Zastosowanie: Zero Trust w praktyce z MikroTik
Mimo braku wsparcia dla nowoczesnych protokołów typu SDP/ZTNA, MikroTik pozwala wdrożyć Zero Trust z użyciem:
- segmentacji (VLAN, firewall),
- EDR i SIEM (reakcja na zagrożenia),
- monitoringu (NetFlow, SNMP, syslog),
- automatyzacji (Python/API),
- VPN z certyfikatami,
- integracji z SOAR.
Podsumowanie
Wdrożenie Zero Trust nie wymaga sprzętu klasy enterprise — wystarczy MikroTik i odpowiednie komponenty open-source oraz automatyzacja. Taka architektura zwiększa odporność organizacji na zagrożenia wewnętrzne i zewnętrzne, eliminując „domyślne zaufanie”, które jest największą słabością tradycyjnych sieci.
W kolejnej części (23) przejdziemy do budowy systemu honeypotów i pułapek sieciowych w środowisku MikroTik + Raspberry Pi + SIEM, jako elementu strategii Deception Technology.
Jakie komponenty są potrzebne do zbudowania sieci komputerowej? Wyczerpujący poradnik dla użytkowników Zbudowanie sieci komputerowej pozwala na połączenie wielu urządzeń, Czytaj dalej
MikroTik w Praktyce — Część 98: Wykorzystanie API MikroTik do Automatyzacji Zadań Sieciowych Wprowadzenie Zarządzanie większą liczbą urządzeń MikroTik lub Czytaj dalej
