Zadania projektowe — Wirtualne Sieci Prywatne

VPN_01 Wprowadzenie do VPN, potrzeby biznesowe, Site-to-Site, Remote Access.

Student wyjaśnia, dlaczego współczesne firmy potrzebują sieci VPN. Opisuje scenariusze wykorzystania połączeń między oddziałami oraz dostęp pracowników zdalnych do zasobów korporacyjnych. Analizuje korzyści biznesowe wynikające z implementacji wirtualnych sieci prywatnych, w tym redukcję kosztów infrastrukturalnych, zwiększenie elastyczności organizacyjnej oraz zapewnienie ciągłości działania. Wyjaśnia, w jaki sposób VPN wspiera model pracy hybrydowej i umożliwia bezpieczne dzielenie się zasobami między geograficznie rozproszonymi lokalizacjami. Student przedstawia również aspekty związane z zgodnością z regulacjami dotyczącymi ochrony danych w kontekście zdalnego dostępu do systemów firmowych.

Zarząd firmy logistycznej planuje otwarcie trzech nowych oddziałów i przejście na system pracy hybrydowej. Przygotuj opracowanie, które przekona dyrekcję do inwestycji w technologię VPN zamiast kosztownych łączy dzierżawionych. Firma obecnie dysponuje centralą w Warszawie oraz dwoma mniejszymi oddziałami w Krakowie i Wrocławiu, które są połączone za pomocą dzierżawionych łączy SDH. Zarząd rozważa modernizację infrastruktury ze względu na rosnące koszty utrzymania łączy dzierżawionych oraz potrzebę zapewnienia elastyczności pracownikom. Nowi pracownicy oczekują możliwości pracy z dowolnego miejsca, a jednocześnie muszą mieć bezpieczny dostęp do systemów ERP, baz danych klientów i wewnętrznych aplikacji biurowych. Opracowanie powinno zawierać szczegółową analizę porównawczą kosztów wdrożenia VPN versus utrzymania tradycyjnych łączy dzierżawionych, z uwzględnieniem kosztów sprzętu, licencji oprogramowania oraz personelu odpowiedzialnego za administrację. Należy również przedstawić konkretne scenariusze wykorzystania, takie jak zdalna praca kierowców floty ciężarówek, dostęp do systemu śledzenia przesyłek oraz możliwość prowadzenia wideokonferencji między oddziałami bez opóźnień. Dokument powinien zawierać również analizę ryzyka związanego z bezpieczeństwem danych firmowych oraz propozycję etapowego wdrożenia rozwiązania, uwzględniającą możliwości budżetowe przedsiębiorstwa.

1. Definicja VPN — wirtualność, prywatność i sieć
2. Tradycyjne łącza dzierżawione vs nowoczesny VPN
3. Model Site-to-Site jako fundament łączności oddziałów
4. Remote Access — bezpieczne biuro w domu pracownika
5. Ekranowanie usług wewnętrznych przed Internetem
6. Analiza kosztów wdrożenia i utrzymania rozwiązania
7. Wpływ VPN na produktywność i elastyczność pracy
8. Zgodność z regulacjami prawnymi (RODO, dyrektywy unijne)
9. Podsumowanie korzyści biznesowych

Pracę należy rozpocząć od gruntownego zbadania aktualnych trendów rynkowych w zakresie biznesowych rozwiązań VPN, korzystając z raportów analitycznych i publikacji branżowych. Warto przedstawić konkretne przykłady wdrożeń VPN w firmach logistycznych lub transportowych, wraz z osiągniętymi korzyściami. Opracowanie powinno zawierać czytelne schematy architektury sieci VPN dla scenariuszy Site-to-Site oraz Remote Access, najlepiej przygotowane w programie graficznym umożliwiającym tworzenie profesjonalnych diagramów sieciowych. Należy dołączyć tabelę porównawczą kosztów, uwzględniającą różne scenariusze wielkości firmy i liczby oddziałów. Szczególną uwagę należy poświęcić aspektom bezpieczeństwa, wyjaśniając w przystępny sposób mechanizmy szyfrowania i uwierzytelniania użytkowników. Całość należy podsumować jasnymi wnioskami i rekomendacjami kierowanymi do zarządu firmy.

VPN_01 Podstawy kryptografii, Confidentiality, Integrity, Availability.

Student opisuje różnice między dwoma głównymi rodzajami szyfrowania. Wyjaśnia, dlaczego w technologii VPN oba te podejścia są stosowane jednocześnie i jaką rolę pełnią w procesie zestawiania tunelu. Szczegółowo analizuje mechanizmy hybrydowego szyfrowania stosowane w nowoczesnych protokołach VPN, takich jak OpenVPN, WireGuard czy IPSec. Wyjaśnia pojęcie Perfect Forward Secrecy (PFS, pol. doskonała utajność przesyłowa) i jego znaczenie dla długoterminowego bezpieczeństwa komunikacji. Student przedstawia również praktyczne aspekty wydajnościowe poszczególnych algorytmów, ze szczególnym uwzględnieniem zastosowań w urządzeniach mobilnych i środowiskach o ograniczonych zasobach obliczeniowych. Opracowanie powinno zawierać jasne wyjaśnienie, dlaczego szyfrowanie asymetryczne nie jest używane do szyfrowania danych przesyłanych przez tunel VPN, lecz jedynie do bezpiecznej wymiany kluczy symetrycznych.

Dział audytu bezpieczeństwa prosi o wyjaśnienie, w jaki sposób dane przesyłane przez VPN są chronione przed odczytem. Skup się na mechanizmie wymiany kluczy oraz wydajności algorytmów podczas transmisji dużych plików. W firmie funkcjonuje system zarządzania dokumentacją (DMS, Document Management System), w którym pracownicy przechowują i wymieniają się poufnymi dokumentami firmowymi. Dział IT planuje wdrożenie nowego systemu backupowego, który będzie synchronizować dane między oddziałami za pośrednictwem tuneli VPN. Administratorzy muszą dokonać świadomego wyboru algorytmów szyfrujących, uwzględniając zarówno poziom bezpieczeństwa, jak i wpływ na wydajność łączy między oddziałami. Dodatkowo, firma rozważa udostępnienie pracownikom zdalnym dostępu do dużych plików graficznych i wideo z centralnego serwera multimediów. Dział audytu chce zrozumieć, jakie gwarancje bezpieczeństwa oferują poszczególne algorytmy i protokoły, oraz jak długo będą one odporne na ataki kwantowe. Opracowanie powinno zawierać szczegółową analizę porównawczą algorytmów AES-256, ChaCha20-Poly1305 i innych popularnych szyfrów, z uwzględnieniem ich odporności na różne typy ataków kryptograficznych. Należy przedstawić konkretne scenariusze praktyczne, pokazujące kiedy i dlaczego wybierać określone algorytmy.

1. Triada bezpieczeństwa CIA w kontekście VPN
2. Szyfrowanie symetryczne (AES, ChaCha20) — szybkość i wydajność
3. Szyfrowanie asymetryczne (RSA, ECC) — problem wymiany kluczy
4. Algorytm Diffie-Hellmana i wymiana kluczy w praktyce
5. Hybrydowy model kryptograficzny w tunelach VPN
6. Zapewnienie integralności danych — funkcje skrótu HMAC
7. Pojęcie Perfect Forward Secrecy (PFS) i jego implementacja
8. Wpływ obliczeń kwantowych na bezpieczeństwo algorytmów
9. Podsumowanie i rekomendacje praktyczne

Pracę należy oprzeć na konkretnych przykładach protocółów VPN, takich jak OpenVPN, WireGuard czy IPSec, pokazując jak teoria kryptografii przekłada się na praktykę. Warto przygotować tabelę porównawczą głównych algorytmów szyfrujących pod kątem szybkości działania, bezpieczeństwa i obsługiwanych platform sprzętowych. Należy jasno wyjaśnić różnicę między szyfrowaniem danych a podpisem cyfrowym, ponieważ studenci często mylą te pojęcia. Opracowanie powinno zawierać schemat procesu handshake'u VPN, pokazujący kolejne etapy wymiany kluczy i ustanawiania bezpiecznego tunelu. Szczególną uwagę należy poświęcić wyjaśnieniu pojęcia Perfect Forward Secrecy w sposób przystępny dla czytelnika niebędącego specjalistą.

VPN_02 GRE (Generic Routing Encapsulation), protokół 47.

Student opisuje zasadę działania protokołu GRE, jego strukturę nagłówka oraz główne zastosowania w routingu. Kluczowe jest wskazanie na całkowity brak wbudowanych mechanizmów szyfrowania. Szczegółowo analizuje strukturę pakietów GRE i wyjaśnia proces enkapsulacji wielowarstwowej. Student omawia praktyczne zastosowania GRE w sieciach korporacyjnych, ze szczególnym uwzględnieniem tunelowania ruchu multicastowego i protokołów routingu dynamicznego. Wyjaśnia, dlaczego GRE mimo swoich ograniczeń nadal jest szeroko stosowany w nowoczesnych sieciach VPN jako protokół bazowy w połączeniu z IPSec.

Inżynier sieciowy zaproponował użycie tuneli GRE do przesyłania ruchu OSPF między routerami. Twoim zadaniem jest opisać tę architekturę i ostrzec zespół przed zagrożeniami wynikającymi z przesyłania danych "otwartym tekstem". W firmie informatycznej działa rozproszona sieć WAN, łącząca pięć oddziałów regionalnych z centralą w Warszawie. Administratorzy sieci rozważają wdrożenie dynamicznego routingu OSPF w celu automatycznej optymalizacji tras i szybkiej reakcji na awarie łączy. Inżynier zaproponował wykorzystanie tuneli GRE między routerami brzegowymi, argumentując, że GRE jest protokołem standardowym, obsługującym ruch multicast i zapewniającym transparentność dla różnych protokołów warstwy trzeciej. Jednak dział bezpieczeństwa IT zgłosił wątpliwości dotyczące bezpieczeństwa takiego rozwiązania. Opracowanie powinno zawierać szczegółową analizę struktury nagłówka GRE zgodnie z RFC 2784 i RFC 2890, wyjaśniającą pola flagi, typ protokołu i opcjonalny identyfikator klucza. Należy przedstawić konkretne zagrożenia bezpieczeństwa związane z brakiem szyfrowania, w tym możliwość podsłuchu ruchu sieciowego, modyfikacji przesyłanych danych oraz ataków man-in-the-middle. Opracowanie powinno zawierać propozycję bezpiecznej architektury z wykorzystaniem GRE w połączeniu z IPSec, wraz z analizą wydajności i overhead'u narzuconego przez podwójną enkapsulację.

1. Historia i ewolucja protokołu GRE (RFC 2784, RFC 2890)
2. Enkapsulacja pakietów w GRE — analiza nagłówka
3. Struktura pakietu GRE i pola optionalne
4. Transparentność dla protokołów warstwy trzeciej
5. GRE a protokoły routingu dynamicznego (OSPF, EIGRP)
6. Brak bezpieczeństwa — analiza podatności na podsłuch i modyfikację
7. Ataki man-in-the-middle w tunelach GRE
8. Łączenie GRE z IPSec — rozwiązanie problemu braku szyfrowania
9. Podsumowanie i rekomendacje wdrożeniowe

Pracę należy oprzeć na dokumentacji RFC protokołu GRE, ze szczególnym uwzględnieniem RFC 2784 jako podstawowego dokumentu specyfikacyjnego. Należy przygotować schematyczny rysunek struktury nagłówka GRE, pokazujący położenie poszczególnych pól w pakiecie. Warto dołączyć przykładowy zrzut pakietu GRE przechwyconego narzędziem Wireshark, z oznaczeniem poszczególnych pól nagłówka. Opracowanie powinno zawierać praktyczne przykłady konfiguracji tunelu GRE w popularnych platformach sieciowych. Szczególną uwagę należy poświęcić kwestii kompatybilności wstecznej i różnicom w implementacji GRE w różnych vendorach.

VPN_02 PPTP, TCP 1723, GRE Protocol 47, MS-CHAPv2.

Student opisuje jeden z najstarszych protokołów VPN. Wyjaśnia podział na kanał kontrolny i kanał danych oraz szczegółowo omawia powody, dla których PPTP nie jest już zalecany w środowiskach produkcyjnych. Szczegółowo analizuje historyczne podatności PPTP i MS-CHAPv2, w tym ataki opisane przez Bruce Schneiera i współpracowników w latach dziewięćdziesiątych oraz bardziej współczesne ataki wykorzystujące słabości algorytmu RC4. Student wyjaśnia, dlaczego protokół MPPE (Microsoft Point-to-Point Encryption) nie zapewnia integralności danych i dlaczego jest to poważnym problemem bezpieczeństwa. Opracowanie powinno zawierać praktyczne wskazówki dotyczące planowania migracji z PPTP na bezpieczniejsze protokoły VPN.

W starej infrastrukturze firmy nadal działa serwer PPTP. Opracuj dokument, który wyjaśni administratorom, dlaczego to rozwiązanie jest niebezpieczne i jakie konkretnie ataki (np. na MS-CHAPv2) można na nie przeprowadzić. Firma posiada Legacy system obsługi klienta, który został wdrożony ponad dwadzieścia lat temu i wymaga połączenia PPTP do działania. Część pracowników zdalnych nadal używa starego oprogramowania Windows XP i oczekuje bezproblemowego połączenia VPN bez instalacji dodatkowego oprogramowania. Dział bezpieczeństwa IT wykrył w logach próby ataków siłowych na serwer PPTP. Auditor zewnętrzny wydał zalecenie natychmiastowej migracji z PPTP ze względu na naruszenie wymogów zgodności z RODO. Opracowanie powinno zawierać szczegółową analizę podatności MS-CHAPv2 opisaną w Microsoft Security Advisory 2743314, wraz z wyjaśnieniem, dlaczego atak redukuje się do złamania jednego klucza DES 56-bitowego. Należy przedstawić konkretne scenariusze ataków, które mogłyby zostać przeprowadzone przeciwko firmowej infrastrukturze PPTP, w tym ataki typu man-in-the-middle i przechwycenie sesji. Opracowanie powinno zawierać harmonogram migracji z etapami przejściowymi, uwzględniającymi kompatybilność wsteczną.

1. Historia protokołu PPTP i kontekst jego powstania
2. Architektura protokołu PPTP — kanał kontrolny i danych
3. Rola TCP 1723 i protokołu GRE w działaniu PPTP
4. Mechanizmy uwierzytelniania w PPTP (PAP, MS-CHAPv1, MS-CHAPv2)
5. Szyfrowanie MPPE — analiza słabości algorytmu RC4
6. Podatności MS-CHAPv2 na ataki słownikowe i brute-force
7. Brak integralności danych w PPTP — problem braku uwierzytelniania wiadomości
8. Problemy z przechodzeniem przez NAT (PPTP Passthrough)
9. Współczesne narzędzia łamania PPTP (np. chap2john, asleap)
10. Podsumowanie i rekomendacje migracji na bezpieczne protokoły

Pracę należy oprzeć na dokumentach RFC i specyfikacjach Microsoft, a także opublikowanych analizach kryptograficznych. Kluczowe źródło stanowi praca Schneiera "Cryptanalysis of Microsoft's PPTP Authentication Extensions" oraz oficjalne Microsoft Security Advisories. Warto przedstawić demonstrację narzędzi do łamania PPTP w kontrolowanym środowisku laboratoryjnym. Opracowanie powinno zawierać praktyczne wskazówki migracji dla różnych scenariuszy — od prostych migracji na L2TP/IPSec po bardziej zaawansowane rozwiązania z wykorzystaniem OpenVPN lub WireGuard. Należy jasno wyjaśnić, dlaczego same aktualizacje oprogramowania są niewystarczające i konieczna jest zmiana protokołu.

VPN_03 SSTP, HTTPS over TCP 443, certyfikaty SSL.

Student opisuje protokół SSTP jako rozwiązanie bazujące na standardzie SSL/TLS. Wyjaśnia, dlaczego użycie portu 443 pozwala na skuteczne omijanie restrykcyjnych reguł na firewallach. Szczegółowo analizuje proces ustanawiania tunelu SSTP, w tym negocjację SSL/TLS i późniejsze tunelowanie PPP. Student omawia zalety i ograniczenia SSTP w kontekście innych protokołów VPN, ze szczególnym uwzględnieniem kwestii wydajności i bezpieczeństwa. Wyjaśnia, dlaczego Azure VPN Gateway wycofuje wsparcie dla SSTP i jakie są zalecane alternatywy. Opracowanie powinno zawierać praktyczne wskazówki dotyczące wdrożenia SSTP w środowisku Windows Server.

Pracownicy działu handlowego często łączą się z sieci hoteli i kawiarni, gdzie standardowe protokoły VPN (jak IPSec czy PPTP) są blokowane. Opisz, jak SSTP może zapewnić im płynną pracę w takich warunkach. Firma posiada zespół handlowców, którzy regularnie podróżują i pracują z hotspotów Wi-Fi w hotelach, lotniskach i kawiarniach na całym świecie. IT wydało standardowe tablety z systemem Windows 10, które mają wbudowaną obsługę SSTP. Problem polega na tym, że w niektórych sieciach hotelowych wszystkie outgoing connections są dokładnie kontrolowane, a dodatkowo ruch UDP jest często blokowany przez zapory sieciowe. Pracownicy zgłaszają niemożność połączenia się z siecią firmową z ponad połowy lokalizacji. Kierownik działu IT prosi o opracowanie instrukcji dla pracowników, w tym rozwiązywania problemów z połączeniem SSTP w ograniczonych sieciach. Opracowanie powinno zawierać szczegółową analizę procesu nawiązywania połączenia SSTP, w tym etap SSL/TLS handshake i tunelowanie PPP przez HTTPS. Należy przedstawić różnice między SSTP a innymi protokołami SSL VPN, takimi jak OpenVPN przez SSL. Opracowanie powinno zawierać instrukcję konfiguracji serwera SSTP w Windows Server oraz rozwiązywanie typowych problemów.

1. Geneza SSTP — rozwój protokołu w Microsoft
2. Architektura SSTP — sesja HTTPS jako warstwa transportowa
3. Mechanizm enkapsulacji PPP wewnątrz HTTPS
4. Proces nawiązywania połączenia SSTP (etapy)
5. Rola certyfikatu serwera w procesie uwierzytelniania
6. Zalety pracy na porcie TCP 443 (omijanie firewall)
7. Porównanie SSTP z OpenVPN przez SSL i IKEv2
8. Ograniczenia platformowe i przyszłość SSTP
9. Konfiguracja serwera SSTP w środowisku Windows Server
10. Rozwiązywanie problemów z połączeniem SSTP
11. Podsumowanie i rekomendacje

Pracę należy oprzeć na dokumentacji Microsoft Learn, w tym na specyfikacji MS-SSTP. Warto dołączyć schemat procesu nawiązywania połączenia SSTP, pokazujący kolejne etapy od nawiązania połączenia TCP po ustanowienie tunelu PPP. Opracowanie powinno zawierać praktyczne przykłady konfiguracji serwera i klienta SSTP. Należy porównać SSTP z alternatywnymi rozwiązaniami, w tym OpenVPN i IKEv2, w kontekście konkretnych scenariuszy użycia. Z uwagi na wycofanie wsparcia dla SSTP w Azure, warto przedyskutować strategie migracji dla organizacji.

VPN_03 L2TP (UDP 1701), IPSec (UDP 500, 4500), ESP.

Student wyjaśnia dualną naturę tego rozwiązania: L2TP odpowiada za tunelowanie ramek, a IPSec za ich bezpieczeństwo. Opisuje, dlaczego sam protokół L2TP nie jest uważany za bezpieczny. Szczegółowo analizuje proces ustanawiania tunelu L2TP/IPSec, w tym dwuetapowe uwierzytelnianie w IPSec (IKE Phase 1 i Phase 2) oraz mechanizm NAT-Traversal. Student wyjaśnia koncepcję enkapsulacji wielowarstwowej i związane z nią wyzwania dotyczące MTU. Opracowanie powinno zawierać porównanie L2TP/IPSec z innymi protokołami VPN pod kątem bezpieczeństwa, wydajności i kompatybilności z urządzeniami mobilnymi.

Firma wdraża standard "Bring Your Own Device" (BYOD). Przygotuj opracowanie opisujące, dlaczego L2TP/IPSec jest dobrym wyborem dla różnorodnych systemów operacyjnych (Windows, macOS, Android) bez instalacji dodatkowego oprogramowania. Firma rozważa wprowadzenie polityki BYOD, umożliwiającej pracownikom używanie własnych urządzeń mobilnych (smartfonów, tabletów, laptopów) do pracy z zasobami firmowymi. Dział IT dysponuje mieszanym środowiskiem urządzeń: pracownicy używają iPhone'ów, urządzeń z systemem Android, laptopów z Windows 10 i MacBooków z macOS. Kierownik IT szuka rozwiązania VPN, które będzie działać na wszystkich tych platformach bez konieczności instalowania dodatkowego oprogramowania od stron trzecich. Dodatkowym wyzwaniem jest fakt, że część pracowników pracuje z domu, korzystając z różnych dostawców internetu i routerów Wi-Fi. Opracowanie powinno zawierać szczegółową analizę procesu konfiguracji L2TP/IPSec w poszczególnych systemach operacyjnych, wraz ze zrzutami ekranu. Należy przedstawić konkretne wymagania dotyczące portów i protokołów (UDP 500, UDP 1701, UDP 4500) i instrukcję konfiguracji zapory sieciowej. Opracowanie powinno zawierać rozwiązanie problemu połączenia L2TP/IPSec przez urządzenia NAT z wykorzystaniem NAT-T.

1. Geneza L2TP — połączenie L2F i PPTP
2. Architektura protokołu L2TP (LAC, LNS)
3. Enkapsulacja warstwy 2 w tunelu L2TP
4. Struktura pakietu L2TP
5. Rola IPSec jako warstwy transportowej i ochronnej
6. Mechanizm NAT-Traversal (UDP 4500)
7. Dwuletapowe uwierzytelnianie w IPSec (IKEv1 Phase 1 i Phase 2)
8. Problemy z protokołem ESP i ich wpływ na NAT
9. Konfiguracja L2TP/IPSec w Windows, macOS, iOS i Android
10. Wymagania firewall i rozwiązywanie problemów
11. Podsumowanie i rekomendacje praktyczne

Pracę należy oprzeć na oficjalnej dokumentacji Cisco i Microsoft dotyczącej konfiguracji L2TP/IPSec. Warto dołączyć schemat ruchu pakietów przez kolejne warstwy enkapsulacji. Opracowanie powinno zawierać instrukcje konfiguracji dla poszczególnych platform z wykorzystaniem wbudowanych klientów VPN. Należy szczegółowo omówić problemy z połączeniem przez NAT i wyjaśnić mechanizm NAT-T. Z uwagi na złożoność konfiguracji IPSec, warto przygotować checklistę dla administratora.

VPN_04 OpenVPN, TUN (L3, tryb trasowany), TAP (L2, tryb mostkowany), UDP vs TCP.

Student opisuje architekturę OpenVPN, skupiając się na wyborze odpowiedniego wirtualnego interfejsu. Wyjaśnia różnice między trasowaniem (L3) a mostkowaniem (L2) w kontekście wydajności i funkcjonalności. Szczegółowo analizuje strukturę pakietów w trybach TUN i TAP, w tym narzut (overhead) narzucczony przez enkapsulację OpenVPN. Student wyjaśnia praktyczne konsekwencje wyboru trybu dla wydajności VPN i kompatybilności z aplikacjami. Opracowanie powinno zawierać praktyczne wskazówki dotyczące wyboru trybu dla konkretnych scenariuszy użycia.

Projektujesz sieć VPN dla firmy, która musi przesyłać ruch nie-IP (np. stare protokoły przemysłowe) przez tunel. Wyjaśnij, kiedy należy wybrać interfejs TAP, a kiedy wystarczy standardowy TUN. Firma produkcyjna posiada stare systemy SCADA oparte na protokole IPX/SPX, które komunikują się bezpośrednio z maszynami produkcyjnymi w fabryce. Dział IT planuje wdrożenie zdalnego dostępu dla inżynierów, którzy muszą monitorować systemy SCADA z domu. Dodatkowo, firma rozważa przeniesienie części serwerów do chmury AWS i potrzebuje tunelu VPN do infrastruktury on-premise. Projekt wymaga rozwiązania, które obsłuży zarówno ruch IP, jak i protokoły niezgodne z IP. Opracowanie powinno zawierać szczegółową analizę różnic między trybami TUN i TAP, w tym wpływ na wydajność i wykorzystanie pasma. Należy przedstawić schematy konfiguracji dla obu trybów i wyjaśnić, kiedy każdy z nich jest zalecany. Opracowanie powinno zawierać rozważania dotyczące mostowania sieci i związanych z tym zagrożeń (pętle warstwy 2, burze rozgłoszeniowe).

1. Filozofia OpenVPN — elastyczność i otwartość kodu
2. Architektura OpenVPN — warstwa użytkownika vs przestrzeń jądra
3. Wirtualny sterownik sieciowy — działanie interfejsu TUN
4. Emulacja Ethernetu — działanie interfejsu TAP
5. Struktura pakietów w trybie TUN i TAP
6. Analiza narzutu (overhead) dla obu trybów
7. Kiedy stosować mostkowanie L2, a kiedy rutowanie L3
8. Konfiguracja bridge'a w OpenVPN
9. Wpływ wyboru interfejsu na urządzenia mobilne i wydajność
10. Typowe problemy i rozwiązania dla TUN i TAP
11. Podsumowanie i rekomendacje wyboru trybu

Pracę należy oprzeć na dokumentacji OpenVPN i praktycznych przykładach konfiguracji. Warto przygotować schematy pokazujące przepływ pakietów w obu trybach. Opracowanie powinno zawierać wyniki pomiarów wydajności dla obu trybów w różnych scenariuszach. Należy szczegółowo omówić konfigurację mostowania TAP z wykorzystaniem bridge'a w systemie Linux. Z uwagi na różnice w zachowaniu urządzeń mobilnych, warto przedstawić rekomendacje dla poszczególnych platform.

VPN_05 Static routing, Split Tunneling, Redirect Gateway.

Student wyjaśnia dwa podejścia do kierowania ruchem w sieciach VPN. Opisuje, jakie są konsekwencje dla bezpieczeństwa i wydajności łącza w przypadku wysyłania całego ruchu przez serwer firmowy. Szczegółowo analizuje mechanizm DNS Leak (wyciek DNS) i jego wpływ na prywatność użytkowników VPN. Student wyjaśnia zagrożenie "Dual-Homed Host" i koncepcję Internet Hairpinning. Opracowanie powinno zawierać praktyczne wskazówki dotyczące konfiguracji Split Tunnelingu z uwzględnieniem bezpieczeństwa i optymalizacji wydajności.

Administratorzy skarżą się na przeciążenie łącza internetowego w centrali, bo pracownicy zdalni przez VPN oglądają YouTube. Opracuj dokument wyjaśniający różnicę między Full Tunneling a Split Tunneling i zaproponuj rozwiązanie. Firma zatrudnia stu pracowników zdalnych, którzy pracują z domu i łączą się przez VPN do zasobów firmowych. Ostatnio zaobserwowano znaczące spowolnienie działania aplikacji firmowych, a pracownicy skarżą się na problemy z dostępem do systemów ERP. Analiza ruchu wykazała, że duża część przepustowości łącza w centrali jest wykorzystywana przez nieproduktywny ruch z sieci zewnętrznych, takich jak serwisy streamingowe i media społecznościowe. Problem nasilił się po wprowadzeniu pracy hybrydowej i zwiększeniu liczby pracowników zdalnych. Kierownik IT prosi o opracowanie dokumentu przedstawiającego opcje rozwiązania problemu, w tym wdrożenie Split Tunnelingu z zachowaniem bezpieczeństwa. Opracowanie powinno zawierać szczegółową analizę wpływu obu modeli na wydajność, w tym konkretne obliczenia przepustowości. Należy przedstawić zagrożenia bezpieczeństwa związane ze Split Tunnelingiem i propozycje ich mitygacji.

1. Zasada działania tablicy routingu na kliencie VPN
2. Full Tunneling — pełna kontrola i bezpieczeństwo
3. Split Tunneling — optymalizacja ruchu i wyzwania bezpieczeństwa
4. Mechanizm DNS Leak (wyciek DNS) — przyczyny i konsekwencje
5. Rozwiązania zapobiegające DNS Leak w Split Tunnelingu
6. Zagrożenie "Dual-Homed Host" (podwójnie połączony host) przy Split Tunnelingu
7. Internet Hairpinning (zawracanie ruchu przez VPN) — wpływ na wydajność łącza w centrali
8. Konfiguracja Split Tunnelingu z wykorzystaniem tras statycznych
9. Inverse Split Tunneling — alternatywne podejście
10. Podsumowanie i rekomendacje wdrożeniowe

Pracę należy oprzeć na praktycznych przykładach konfiguracji routingu w popularnych klientach VPN. Warto przedstawić konkretne scenariusze z wykorzystaniem narzędzi do diagnostyki sieci (np. traceroute, netstat). Opracowanie powinno zawierać testy DNS Leak dla różnych konfiguracji. Należy szczegółowo omówić metody konfiguracji Split Tunnelingu w OpenVPN i Windows Routing and Remote Access.

VPN_06 Ethernet over IP, MikroTik, Bridging, L2 VPN.

Student opisuje specyfikę protokołu EoIP stosowanego w urządzeniach MikroTik. Wyjaśnia, jak możliwe jest stworzenie jednej, wspólnej domeny rozgłoszeniowej między dwiema lokalizacjami oddalonymi o setki kilometrów. Szczegółowo analizuje enkapsulację ramek Ethernet w pakiety IP z wykorzystaniem protokołu GRE (IP Protocol 47). Student wyjaśnia znaczenie parametru tunnel-id i jego rolę w identyfikacji tuneli. Opracowanie powinno zawierać praktyczne wskazówki dotyczące konfiguracji EoIP i mostowania w RouterOS.

Firma posiada dwa biura, które muszą korzystać z tego samego serwera DHCP i widzieć się w otoczeniu sieciowym Windows tak, jakby były w jednym pokoju. Opisz rozwiązanie bazujące na mostkowaniu i protokole EoIP. Firma prowadzi działalność w dwóch lokalizacjach: biurze głównym w Warszawie i oddziale w Krakowie. W centrali znajduje się serwer plików oparty na Windows Server z funkcją Active Directory, serwer DHCP oraz drukarki sieciowe. Zarząd chce, aby pracownicy z obu lokalizacji mogli korzystać z tych samych zasobów bez zmiany sposobu pracy — widzieć się w otoczeniu sieciowym Windows (Network Neighborhood) i korzystać z drukarek bez dodatkowej konfiguracji. Dodatkowo, serwer DHCP musi obsługiwać obie lokalizacje, przydzielając adresy IP z tej samej puli adresowej. Opracowanie powinno zawierać szczegółową analizę protokołu EoIP zgodnie z dokumentacją MikroTik RouterOS. Należy przedstawić schemat konfiguracji z wykorzystaniem mostów (bridge) w RouterOS i wyjaśnić, jak rozwiązać problem identyfikatorów MAC w warstwie 2. Opracowanie powinno zawierać rozwiązanie problemu MTU i fragmentacji pakietów.

1. Wprowadzenie do EoIP — protokół MikroTik
2. Enkapsulacja ramek Ethernet w pakiety IP (protokół GRE)
3. Struktura pakietu EoIP i pole Tunnel ID
4. Konfiguracja tunelu EoIP w RouterOS
5. Współpraca EoIP z interfejsami Bridge
6. Problem MTU i fragmentacji w tunelach L2
7. Zarządzanie adresami MAC w rozległych sieciach L2
8. Zagrożenia: pętle w sieci L2 i burze rozgłoszeniowe
9. Protokół BCP w połączeniach PPP
10. Porównanie EoIP z innymi rozwiązaniami L2 VPN
11. Podsumowanie i rekomendacje wdrożeniowe

Pracę należy oprzeć na oficjalnej dokumentacji MikroTik RouterOS. Warto przedstawić konkretne przykłady konfiguracji tuneli EoIP w RouterOS z wykorzystaniem interfejsu graficznego WinBox oraz linii poleceń. Opracowanie powinno zawierać schematy topologii sieci dla typowych scenariuszy wdrożeniowych. Należy omówić różnice między EoIP a innymi rozwiązaniami L2 VPN (GRE, VXLAN, L2TPv3). Z uwagi na specyfikę protokołu EoIP, warto przedstawić rozwiązania problemów z firewall i NAT.

VPN_07 VPN Security, PKI, MFA, Firewalling, Monitoring.

Student opisuje kompleksowe podejście do zabezpieczania dostępu zdalnego. Wyjaśnia rolę infrastruktury klucza publicznego (PKI) oraz dlaczego hasła są niewystarczające w dzisiejszych czasach. Szczegółowo analizuje różne metody uwierzytelniania w VPN, w tym certyfikaty klienckie, karty inteligentne i tokeny sprzętowe. Student wyjaśnia koncepcję Zero Trust w kontekście dostępu VPN i omawia zasadę najmniejszych uprawnień. Opracowanie powinno zawierać praktyczne wytyczne dotyczące projektowania polityki bezpieczeństwa VPN dla organizacji.

Firma obawia się ataków typu "credential stuffing" oraz kradzieży haseł pracowników. Przygotuj politykę bezpieczeństwa dla dostępu VPN, uwzględniającą certyfikaty klienckie oraz kody jednorazowe (MFA). Po ostatnim incydencie bezpieczeństwa, w którym wyciekły dane logowania kilku pracowników, zarząd zlecił audyt bezpieczeństwa dostępu zdalnego. Auditor zewnętrzny wydał szereg zaleceń, w tym wdrożenie uwierzytelniania wieloskładnikowego (MFA), certyfikatów klienckich i zasady Zero Trust. Dodatkowo, firma planuje wprowadzenie modelu pracy hybrydowej, co zwiększy liczbę urządzeń łączących się z siecią firmową z różnych lokalizacji. Kierownik IT prosi o opracowanie kompleksowej polityki bezpieczeństwa VPN, uwzględniającej wszystkie wymagania auditora. Opracowanie powinno zawierać szczegółową analizę różnych metod MFA, w tym aplikacji TOTP, tokenów sprzętowych (YubiKey) i wiadomości SMS. Należy przedstawić architekturę PKI dla certyfikatów klienckich i omówić proces ich wydawania oraz odnawiania. Opracowanie powinno zawierać wytyczne dotyczące filtrowania ruchu wewnątrz tunelu VPN i monitorowania sesji pod kątem anomalii.

1. Uwierzytelnianie vs Autoryzacja w VPN — podstawowe pojęcia
2. Ewolucja metod uwierzytelniania — od haseł do Zero Trust
3. Certyfikaty cyfrowe — jak zastępują tradycyjne hasła
4. Architektura PKI dla certyfikatów klienckich
5. Multi-Factor Authentication (MFA/2FA) — metody i implementacja
6. Porównanie metod MFA: TOTP, SMS, tokeny sprzętowe, biometria
7. Filtrowanie ruchu wewnątrz tunelu (zasada najmniejszych uprawnień)
8. Segmentacja sieci i polityki dostępu
9. Logowanie sesji i monitorowanie anomalii bezpieczeństwa
10. Weryfikacja stanu urządzenia końcowego (Endpoint compliance)
11. Zero Trust Network Access (ZTNA) — nowy paradygmat
12. Podsumowanie i lista dobrych praktyk

Pracę należy oprzeć na aktualnych standardach bezpieczeństwa i wytycznych organizacji takich jak NIST i CIS. Warto przedstawić konkretne przykłady implementacji rozwiązań bezpieczeństwa VPN w popularnych platformach. Opracowanie powinno zawierać praktyczne checklisty dla administratorów IT. Należy omówić wyzwania związane z zarządzaniem certyfikatami i infrastrukturą PKI w środowiskach rozproszonych.