Bezpečnostní vrstvy internetu: ochrana síťové a aplikační úrovně

Planner

Proč mluvíme o bezpečnostních vrstvách internetu

Internet je složitý systém vrstev, kde každá vrstva (od fyzické infrastruktury přes směrování až po aplikace) čelí specifickým hrozbám a disponuje odpovídajícími obrannými mechanismy. Přístup „vrstva po vrstvě“ umožňuje obranu do hloubky (defense in depth): pokud jedna kontrola selže, další ji doplňuje. Tento článek mapuje klíčové bezpečnostní prvky v jednotlivých vrstvách, uvádí typické útoky a doporučení pro praxi v prostředí poskytovatelů konektivity, cloudových služeb, podnikových sítí i provozovatelů služeb.

Model vrstvení: OSI, TCP/IP a internetový „stack“

V praxi kombinujeme logiku OSI modelu (vrstvy 1–7) a TCP/IP modelu (síťová, transportní a aplikační vrstva). Bezpečnostní architektury proto obvykle uvažují o následujících úrovních:

  • Infrastrukturní vrstvy (fyzická, linková, přístupová): kabeláže, optické spoje, bezdrátové spoje, Ethernet, Wi-Fi, mobilní sítě.
  • Směrování a jmenný prostor: IP, BGP, IGP, DNS.
  • Transportní vrstva: TCP, UDP, QUIC, řízení toku a odolnost vůči DDoS útokům.
  • Aplikační protokoly a služby: HTTP(S), e-mail, API, autentizační a autorizační toky.
  • Řízení identity, klíčů a politik: PKI, TLS, OAuth/OIDC, Zero Trust.
  • Monitorování, provozní bezpečnost a compliance: měření, logování, reakce na bezpečnostní incidenty.

Vrstva 1: Fyzická bezpečnost přenosového prostředí

Hrozby zahrnují odposlech optických vláken (optical tapping), sabotáž tras, výpadky napájení, rušení rádiových frekvencí (RF) a krádeže zařízení na místech jako POP či IXP.

  • Ochrana tras a lokalit: fyzická ostraha, přístupové protokoly, CCTV, zámky racků, auditní záznamy vstupů.
  • Redundance: diverzita tras jak geografická, tak dodavatelská, více nezávislých napájecích větví a UPS či generátory.
  • Signalizace narušení: OTDR testy optických vláken, environmentální senzory (měření teploty, vlhkosti, kouře), plomby s detekcí manipulace (tamper-evident).
  • RF a bezdrátové technologie: řízení výkonu, směrové antény, stínění, spektrální analýza zaměřená proti rušení.

Vrstva 2: Linková bezpečnost (Ethernet, Wi-Fi, přístupové sítě)

Hrozby zahrnují MAC spoofing, ARP/NDP poisoning, VLAN hopping, rogue AP, útoky na protokol STP nebo deautentizační útoky ve Wi-Fi.

  • Segmentace: 802.1Q VLAN, privátní VLAN, izolace hostů (PVLAN, port isolation).
  • Autentizace na portu: 802.1X/EAP s RADIUS, dynamická VLAN přiřazení, MAB pro zařízení bez 802.1X podpory.
  • Ochrany tabulek druhé vrstvy: DHCP snooping, IP source guard, dynamic ARP inspection, RA guard pro IPv6.
  • Bezpečnost Wi-Fi: WPA3-Enterprise, PMF (Protected Management Frames), oddělení SSID pro IoT zařízení, řízení výkonu a kanálů.
  • Kontrola smyček a L2 protokolů: BPDU Guard, Root Guard, storm control, port-security s limity počtu MAC adres.

Vrstva 3: IP vrstvy, směrování a BGP bezpečnost

Hrozby zahrnují IP spoofing, únosy prefixů (hijacking), úniky tras (route leaks), útoky na IGP protokoly (OSPF, IS-IS) a chybné či škodlivé inzerce v BGP.

  • Antispoofing: uRPF (strict/loose), ACL na hraničních prvcích, BCP 38 (filtrace odchozího spoofovaného provozu).
  • BGP hygiena: filtrace sousedů (AS-PATH, prefix-listy, max-prefix), odpovědné politiky exportu a importu.
  • RPKI a validace tras: ověřování ROA; zamítání „invalidních“ a preferování „validních“; zavádění BGPsec tam, kde je to možné.
  • Oddělení řídících rovin: management VRF, out-of-band (OOB) management s ACL a VPN; autentizace IGP pomocí HMAC.
  • IPsec pro L3 tunely: šifrování spojení mezi PoP, datovými centry a pobočkami; Perfect Forward Secrecy, moderní šifry, IKEv2.

DNS bezpečnost: integrita jmenného prostoru

Hrozby zahrnují cache poisoning, spoofing odpovědí, MITM útoky na resolver, zneužití DNS jako zesilovače DDoS nebo cenzuru a manipulaci s DNS záznamy.

  • DNSSEC: podepisování zón (ZSK/KSK, rollover), validující resolver, správná propagace DS záznamů.
  • Šifrování dotazů: DNS over TLS (DoT), DNS over HTTPS (DoH) pro ochranu soukromí a integrity přenosu.
  • Anycast a odolnost: více uzlů s geografickou diverzitou, rate-limity odpovědí (RRL), minimalizace velikosti UDP odpovědí.
  • Politiky a filtrace: oddělené resolvery pro interní a externí domény, kontrola ECS, minimalizace úniků dat (QNAME minimization).

Vrstva 4: Transport a odolnost proti DDoS

Hrozby zahrnují SYN flood, UDP amplifikace, útoky na fragmentaci paketů, vyčerpávání stavů middlewarových zařízení a útoky na QUIC handshaky.

  • Zpevnění TCP/UDP: SYN cookies, omezení backlogu a half-open spojení, ICMP rate-limiting, správné PMTU discovery.
  • DDoS mitigace: blackholing/RTBH, BGP FlowSpec, scrubbing centra, detekce anomálií (NetFlow/IPFIX), anycastní distribuce provozu.
  • QUIC/TLS 1.3: 0-RTT s ochranou proti replay útokům, limity na nové spojení, tokeny pro ověření adresy klienta.

Vrstva 5–7: Aplikační protokoly, TLS a webová bezpečnost

Hrozby zahrnují MITM útoky, downgrade TLS, injekce, XSS/CSRF, SSRF, zneužití API, útoky na autentizaci a credential stuffing.

  • Best practices pro TLS 1.2/1.3: upřednostňování TLS 1.3, vypnutí zastaralých šifer (RC4, 3DES), Perfect Forward Secrecy (ECDHE), OCSP stapling, HSTS, Certificate Transparency logy.
  • Bezpečnostní hlavičky HTTP: Content-Security-Policy (CSP), X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Ochrana API: API gateway, mTLS pro stroj-stroj komunikaci, rate limiting, throttling, WAF, validace schémat, podepisování požadavků.
  • E-mailový ekosystém: SPF, DKIM, DMARC, MTA-STS, TLS Reporting (TLSRPT), DANE pro SMTP.
  • Autentizace a autorizace: moderní procesy OAuth 2.1/OIDC (PKCE), WebAuthn/FIDO2, správná správa relací a rotace tokenů.

Zero Trust, segmentace a přístupové politiky

Internetové služby dnes často fungují bez pevného „perimetru“. Zero Trust předpokládá, že síť je potenciálně nepřátelská, a vyžaduje průběžné ověřování identity, stavu zařízení a kontextu přístupu.

  • Mikrosegmentace: oddělení služeb na úrovni L3/L7, zásady „default deny“ a princip minimálních oprávnění.
  • Kontextové řízení přístupu: vyhodnocování rizikového skóre relací, kontrola zdravotního stavu zařízení (posture), dynamické politiky přístupu.
  • Privátní konektivita: mTLS/SSH bastiony, identity-aware proxy, kapacitně a časově omezené přístupy.

Dodavatelský řetězec, firmware a „hardware trust“

Hrozby zahrnují backdoory ve firmware, kompromitace dodavatelského řetězce a knihoven, podvržené komponenty, zranitelnosti v BMC/UEFI rozhraních.

  • Secure Boot a měření integrity: TPM/TPD, měřený boot, ověření podpisů firmware, pravidelné aktualizace s koordinací SBOM.
  • Správa závislostí: podepisované artefakty, reprodukovatelné buildy, úrovně SLSA, izolace build prostředí.
  • Inventarizace: životní cyklus zařízení a verzí, plány EoL/EoS, rychlé odstavování zranitelných komponent.

Soukromí a kryptografie v internetové infrastruktuře

Bezpečnost není jen o dostupnosti a integritě, ale také o ochraně soukromí. Šifrování „in transit“ je nezbytné, zároveň však důležitý je dohled a řízení klíčů.

  • Správa PKI: rotace klíčů, automatizace pomocí ACME, oddělení rolí (HSM), zásady pro wildcard a multi-SAN certifikáty.
  • Perfect Forward Secrecy a post-kvadratová kryptografie: preferovat výměnu klíčů s PFS; pilotní nasazení hybridních post-kvadratových (PQ) KEM podle aktuálních doporučení.
  • Minimalizace metadat: šifrované DNS, ESNI/Encrypted ClientHello, monitoring úniků informací přes SNI a TLS fingerprinting.

Monitorování, měření a provozní bezpečnost

Co nelze vidět, nelze ani chránit. Provozní bezpečnost kombinuje telemetrii z různých vrstev a automatizované reakce na události.

  • Datová telemetrie: NetFlow/IPFIX, sFlow, SNMPv3, syslog s digitálním podepisováním, aplikační metriky (RED/USE), Real User Monitoring (RUM) pro webové aplikace.
  • Detekce a korelace: NDR/IDS/IPS, události z WAF, SIEM s pravidly a UEBA, alerting s SLO/SLI a runbooky.
  • Automatizace: SOAR playbooky, BGP FlowSpec/RTBH při DDoS útocích, automatická rotace tajemství a klíčů.

Reakce na incidenty a kontinuita provozu

Incidenty se vyskytují i v dobře navržených infrastrukturách. Důležité je připravit se: mít cvičené postupy a měřitelné cíle obnovy provozu.

  • Plány IR/BCP/DR: přidělené role (CSIRT), kontaktní matice, komunikační kanály nezávislé na primární síti.
  • Table-top cvičení: simulace BGP hijacku, masivního DDoS, kompromitace DNS; včetně scénářů mediální komunikace.
  • RTO/RPO a testy obnovy: pravidelné failovery anycastu, obnova z podepisovaných záloh, testování obnovy klíčové PKI infrastruktury.

Compliance, standardy a „best practices“

Bezpečnostní vrstvy internetu se opírají o doporučení komunitních i regulačních rámců. Ač se liší dle odvětví, společným jmenovatelem je řízení rizik a ověřitelnost procesů.

  • Komunitní BCP a RFC: BCP 38/84 (antispoofing), RPKI/ROA, DNSSEC nasazení, doporučení pro TLS.
  • Rámce řízení: ISO/IEC 27001, NIST CSF, SOC 2 – pomáhají institucionalizovat bezpečnostní procesy a ověřovat jejich účinnost.
  • Odpovědné zveřejňování: bezpečnostní programy, VDP, bug bounty, koordinace s CERT/CSIRT strukturami.

Typické útokové scénáře a mapování obran

Scénář Cílová vrstva Primární obrany Detekce
BGP hijack / route leak L3 (směrování) RPKI validace, filtrace sousedů, max-prefix, monitoring peeringů AS-path anomálie, BGP monitoring, RIS/RouteViews alerty
DNS cache poisoning DNS DNSSEC validace, randomizace portů, DoT/DoH Logy resolveru, anomálie TTL/odpovědí, kontroly integrity
Amplifikační DDoS L3/L4 BCP 38, RTBH, FlowSpec, scrubbing, rate-limit, anycast NetFlow/IPFIX, NDR, telemetrie DDoS
MITM na HTTP L7 TLS 1.3, HSTS, cert pinning (CSP), kontrola CT WAF, změny v certifikačních řetězcích, anomálie SNI
Credential stuffing na API L7 MFA/WebAuthn, rate limiting, detekce botů, mTLS UEBA, anomálie IP/ASN, korelace přihlášení
ARP/NDP spoofing L2 Dynamic ARP inspection, DHCP snooping, RA guard Switch telemetrie, IDS na segmentu

Provozní vzory nasazení v praxi

  1. Okraj sítě (edge/peering/IXP): striktní BGP

Súvisiace články

ESG: podstata a význam pro moderní podnikání

ESG představuje klíčový rámec hodnocení udržitelnosti a společenské odpovědnosti firem, integrující environmentální, sociální a řídicí faktory do strategického řízení, což zvyšuje efektivitu, snižuje rizika a zlepšuje přístup k financování.