Praca zdalna stała się standardem – nie tylko w dużych korporacjach, ale również w MŚP. Wraz z nią pojawiło się nowe zagrożenie: dostęp do zasobów firmowych z niezaufanych sieci. W tym kontekście VPN (Virtual Private Network) przestał być opcją, a stał się koniecznością – nie jako „dodatek do laptopa”, ale jako warstwa kontroli dostępu obok firewalla i MFA.
Czym jest VPN i jak działa pod maską?
VPN to technologia umożliwiająca bezpieczne połączenie z siecią firmową przez internet. Tworzy szyfrowany tunel, dzięki któremu:
- dane nie są widoczne dla osób trzecich (operator, hotelowe Wi-Fi, ISP),
- użytkownik zachowuje się tak, jakby był fizycznie w biurze – te same trasy i brama,
- dostęp do zasobów jest kontrolowany i mierzalny w logach.
W praktyce wybierasz między trzema rodzinami protokołów: WireGuard (lekki, szybki handshake, idealny mobilnie), OpenVPN (sprawdzony, świetny tam, gdzie ruch musi udawać HTTPS na 443) oraz IPsec (klasyk dla Site-to-Site między oddziałami). Klient po stronie usera to FortiClient, OpenConnect albo natywny WireGuard.
Dlaczego zwykły internet to za mało?
Pracownik łączący się z domowego Wi-Fi, hotelu czy hotspotu LTE jest narażony na:
- podsłuch w niezaszyfrowanych protokołach (POP3, FTP, wewnętrzne panele HTTP),
- ataki man-in-the-middle – fałszywy AP „Hotel_Guest_Free” w 5 minut na Raspberry Pi,
- przejęcie haseł i ciasteczek sesyjnych,
- infekcję malware z zatrutego DNS lub captive portalu.
VPN eliminuje większość tych zagrożeń, szyfrując komunikację jeszcze przed wyjściem z karty sieciowej – warto łączyć go z poprawnie skonfigurowanym firewallem na bramie.
VPN jako element bezpieczeństwa, nie tylko „dostęp”
Dobrze zaprojektowany VPN:
- ogranicza dostęp tylko do niezbędnych zasobów (least privilege, osobne pule IP dla księgowości, IT i serwisu),
- loguje zdarzenia – kto, kiedy, z jakiego IP, jak długo,
- pozwala na separację userów przez profile i grupy w RADIUS,
- wspiera zgodność z ISO 27001 oraz wymogami NIS2 w zakresie kontroli dostępu.
To nie jest tylko „zdalny dostęp” – to kontrola i audyt. Bez VPN logów nie masz, a po incydencie odpowiadasz „nie wiemy, kto wszedł”.
Najczęstsze błędy firm bez VPN
- udostępnianie RDP, SMB albo paneli admina bezpośrednio do internetu – klasyczny wektor z realnego scenariusza włamania,
- brak segmentacji – VPN wpina usera do tego samego VLAN-u, co serwery produkcyjne,
- jedno konto „biuro” współdzielone przez pięć osób,
- brak logów – sesja o 3:00 w nocy przechodzi niezauważona,
- brak MFA na bramie VPN – warto dołożyć klucz sprzętowy FIDO2,
- używanie publicznych, „darmowych” VPN-ów konsumenckich do pracy – ruch firmowy ląduje u nieznanego dostawcy.
VPN a VoIP i systemy wewnętrzne
VPN sprawdza się przy:
- zdalnej pracy z telefonią VoIP – rejestracja SIP przez tunel, bez wystawiania PBX-a,
- dostępie do ERP, CRM i baz danych – bez publikowania portów 1433/3306,
- administracji IT – SSH/WinRM tylko po tunelu, dla grupy „admins”,
- pracy serwisowej – Site-to-Site VPN między biurem a oddziałem.
Werdykt LM Networks
VPN to dziś fundament pracy zdalnej i higiena bezpieczeństwa – nie wybór. Brak VPN to świadome ryzyko, na które coraz mniej organizacji może sobie pozwolić, zwłaszcza pod presją NIS2 i wymagań ubezpieczycieli cyber. Wdrażamy WireGuard i IPsec na MikroTik, FortiGate i pfSense, z MFA, segmentacją per dział i logami spinanymi do monitoringu – tak, żeby „zdalny dostęp” faktycznie znaczył „kontrolowany dostęp”, a nie tylko „działa z domu”.