Proč mluvíme o bezpečnostních vrstvách internetu
Internet je složitý systém vrstev, kde každá vrstva (od fyzické infrastruktury přes směrování až po aplikace) má specifické hrozby a odpovídající obranné mechanismy. Přístup „vrstva po vrstvě“ umožňuje obranu do hloubky (defense in depth): pokud jedna kontrola selže, další ji doplní. Tento článek mapuje klíčové bezpečnostní prvky v jednotlivých vrstvách, uvádí typické útoky a doporučení pro praxi v prostředí poskytovatelů konektivity, cloudů, podnikových sítí i provozovatelů služeb.
Model vrstvení: OSI, TCP/IP a „stack“ internetu
V praxi kombinujeme logiku OSI modelu (vrstvy 1–7) a TCP/IP modelu (síťová, transportní, aplikační). Bezpečnostní architektury proto obvykle zahrnují:
- Infrastrukturní vrstvy (fyzická, linková, přístupová): kabeláž, optické spoje, radiová komunikace, Ethernet, Wi-Fi, mobilní sítě.
- Směrování a jmenný prostor: IP, BGP, IGP, DNS.
- Transport: TCP, UDP, QUIC, řízení toku a odolnost vůči DDoS útokům.
- Aplikační protokoly a služby: HTTP(S), e-mail, API, autentizační a autorizační toky.
- Řízení identity, klíčů a politik: PKI, TLS, OAuth/OIDC, Zero Trust.
- Monitorování, provozní bezpečnost a dodržování předpisů (compliance): měření, logování, reakce na incidenty.
Vrstva 1: Fyzická bezpečnost přenosového prostředí
Hrozby: odposlech optických vláken (optical tapping), sabotáž trasy, výpadky napájení, rušení rádiových frekvencí, krádež zařízení v POP/IXP lokalitách.
- Ochrana tras a lokalit: fyzická ostraha, přístupové protokoly, CCTV, uzamykatelné racky, auditní stopa vstupů.
- Redundance: diverzifikace tras (geografická i dodavatelská), více nezávislých napájecích větví a UPS/GENSET záložní zdroje.
- Signalizace narušení: OTDR testy optických vláken, environmentální senzory (teplota, vlhkost, kouř), těsnění s detekcí zásahu (tamper-evident plomby).
- RF a bezdrátové technologie: řízení výkonu, směrové antény, stínění, spektrální analýza proti rušení.
Vrstva 2: Linková bezpečnost (Ethernet, Wi-Fi, přístupové sítě)
Hrozby: MAC spoofing, ARP/NDP poisoning, VLAN hopping, rogue Access Pointy, útoky na Spanning Tree Protocol (STP), deautentizace ve Wi-Fi sítích.
- Segmentace: 802.1Q VLAN, privátní VLAN, izolace hostů (PVLAN, port isolation).
- Autentizace na portu: 802.1X/EAP s RADIUS, dynamické přiřazování VLAN, MAB pro zařízení bez podpory 802.1X.
- Ochrana L2 tabulek: DHCP snooping, IP source guard, dynamic ARP inspection, RA guard (IPv6).
- Bezpečná Wi-Fi: WPA3-Enterprise, PMF (Protected Management Frames), segregace IoT SSID, řízení výkonu a kanálů.
- Kontrola smyček a L2 protokolů: BPDU Guard, Root Guard, storm control, port-security (limitace MAC adres).
Vrstva 3: IP vrstvy, směrování a bezpečnost BGP
Hrozby: IP spoofing, hijacking prefixů, route leaks, útoky na IGP (OSPF/IS-IS), chybné nebo škodlivé inzerce v BGP.
- Antispoofing: uRPF (strict/loose), ACL na hranici sítě, BCP 38 (filtrace odchozího spoofovaného provozu).
- BGP hygiena: filtrace sousedů (AS-PATH, prefix-listy, max-prefix), odpovědná politika exportu a importu tras.
- RPKI a validace tras: ověřování ROA; odmítání „invalidních“ tras, preferování „validních“; nasazení BGPsec tam, kde je to možné.
- Oddělení řídicích rovin: management VRF, OOB management s ACL a VPN; autentizace IGP protokolů (HMAC).
- IPsec pro L3 tunely: šifrování mezi PoP, datovými centry a pobočkami; Perfect Forward Secrecy (PFS), moderní šifry, IKEv2.
DNS bezpečnost: integrita jmenného prostoru
Hrozby: cache poisoning, spoofing odpovědí, MITM útoky na resolver, zneužití DNS jako zesilovače DDoS, cenzura a manipulace.
- DNSSEC: podepisování zón (ZSK/KSK, rollover), validace resolveru, správná propagace DS záznamů.
- Šifrování dotazů: DoT (DNS over TLS), DoH (DNS over HTTPS) pro ochranu soukromí a integritu komunikace.
- Anycast a odolnost: více uzlů, geo-diverzita, rate-limiting odpovědí (RRL), minimalizace velikosti UDP odpovědí.
- Politiky a filtrace: oddělené resolvery pro interní a externí domény, ECS řízení, minimalizace úniku dat (QNAME minimization).
Vrstva 4: Transport a odolnost proti DDoS
Hrozby: SYN flood, UDP amplifikace, fragmentační útoky, vyčerpání stavů middlewaru, útoky na QUIC handshake.
- Hardening TCP/UDP: SYN cookies, omezení backlogu a half-open spojení, ICMP rate-limiting, správné PMTU discovery.
- DDoS mitigace: blackholing/RTBH, BGP FlowSpec, scrubbing centra, detekce anomálií (NetFlow/IPFIX), anycastní distribuce provozu.
- QUIC/TLS 1.3: 0-RTT s ochranou proti replay útokům, limity na nové spojení, tokeny pro ověření adresy klienta.
Vrstva 5–7: Aplikační protokoly, TLS a webová bezpečnost
Hrozby: MITM, downgrade TLS, injekce, XSS/CSRF, SSRF, zneužití API, útoky na autentizaci, credential stuffing.
- TLS 1.2/1.3 best practices: priorita TLS 1.3, vypnutí zastaralých šifer (RC4, 3DES), PFS (ECDHE), OCSP stapling, HSTS, CT logy.
- HTTP bezpečnostní hlavičky: Content-Security-Policy (CSP), X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Ochrana API: API gateway, mTLS pro stroj-stroj komunikaci, rate limiting, throttling, WAF, validace schémat, podpisy požadavků.
- E-mailový ekosystém: SPF, DKIM, DMARC, MTA-STS, TLSRPT, DANE pro SMTP.
- Autentizace a autorizace: moderní toky OAuth 2.1/OIDC (PKCE), WebAuthn/FIDO2, správná správa relací a rotace tokenů.
Zero Trust, segmentace a přístupové politiky
Internetové služby dnes často fungují bez pevného „perimetru“. Zero Trust předpokládá potenciálně nepřátelskou síť a vyžaduje průběžné ověřování identity, stavu zařízení a kontextu.
- Mikrosegmentace: oddělení služeb na úrovni L3/L7, zásady „default deny“ a minimálních oprávnění.
- Kontextové řízení přístupu: hodnocení rizika sezení, kontrola zařízení (posture), dynamické politiky.
- Privátní konektivita: mTLS/SSH bastiony, identity-aware proxy, kapacitní a časově omezené přístupy.
Dodavatelský řetězec, firmware a „hardware trust“
Hrozby: backdoory ve firmwaru, kompromitace dodavatelského řetězce knihoven, podvržené komponenty, zranitelnosti v BMC/UEFI.
- Secure Boot a měření: TPM/TPD, měřený boot, ověřování digitálních podpisů firmware, pravidelné aktualizace (koordinace SBOM).
- Správa závislostí: podepisované artefakty, reprodukovatelné buildy, úrovně SLSA, izolace build prostředí.
- Inventarizace: životní cyklus zařízení a verzí, plány EoL/EoS, rychlé vyřazování zranitelných zařízení.
Soukromí a kryptografie v internetové infrastruktuře
Bezpečnost není jen o dostupnosti a integritě, ale také o ochraně soukromí. Šifrování „in transit“ je nezbytné, ale klíčový je i dohled a řízení klíčů.
- Správa PKI: rotace klíčů, automatizace ACME, oddělení rolí (HSM), zásady pro wildcard a multi-SAN certifikáty.
- Forward Secrecy a post-kvantová kryptografie: preferovat klíčové výměny s PFS; pilotní nasazení hybridních PQ KEM dle aktuálních doporučení.
- Minimalizace metadat: šifrované DNS, ESNI/Encrypted ClientHello, dohled nad úniky informací přes SNI a TLS fingerprinting.
Monitorování, měření a provozní bezpečnost
Co nelze vidět, nelze chránit. Provozní bezpečnost spojuje telemetrii z různých vrstev a automatizované reakce.
- Datová telemetrie: NetFlow/IPFIX, sFlow, SNMPv3, syslog s digitálním podpisem, aplikační metriky (RED/USE), RUM pro web.
- Detekce a korelace: NDR/IDS/IPS, WAF události, SIEM s pravidly a UEBA, alerting se SLO/SLI a runbooky.
- Automatizace: SOAR playbooky, BGP FlowSpec/RTBH pro DDoS, automatická rotace tajemství a klíčů.
Reakce na incidenty a kontinuita provozu
Incidenty se mohou vyskytnout i v dobře navržených infrastrukturách. Důležité je být připraven: mít prověřené postupy a měřitelné cíle obnovy.
- Plány IR/BCP/DR: přidělené role (CSIRT), kontaktní matice, komunikační kanály mimo primární síť.
- Table-top cvičení: simulace BGP hijacku, masivního DDoS, kompromitace DNS; včetně mediální komunikace.
- RTO/RPO a testy: pravidelné failovery anycastu, obnova z digitálně podepsaných záloh, testy obnovy klíčové PKI infrastruktury.
Compliance, standardy a „best practices“
Bezpečnostní vrstvy internetu vycházejí z doporučení komunitních i regulačních rámců. I když se liší dle odvětví, společným jmenovatelem je řízení rizik a ověřitelnost.
- Komunitní BCP a RFC: BCP 38/84 (antispoofing), RPKI/ROA, nasazení DNSSEC, doporučení pro TLS.
- Rámce řízení: ISO/IEC 27001, NIST CSF, SOC 2 – pomáhají institucionalizovat procesy a ověřovat jejich efektivitu.
- Odpovědné zveřejňování: bezpečnostní programy, VDP, bug bounty, koordinace s CERT/CSIRT.
Typické útokové scénáře a mapování obran
| Scénář | Cílová vrstva | Primární obrany | Detekce |
|---|---|---|---|
| BGP hijack / route leak | L3 (směrování) | RPKI validace, filtrace sousedů, max-prefix, monitoring peeringů | AS-path anomálie, BGP monitoring, RIS/RouteViews alerty |
| DNS cache poisoning | DNS | DNSSEC validace, randomizace portů, DoT/DoH | Logy resolveru, anomálie TTL/odpovědí, integritní kontroly |
| Amplifikační DDoS | L3/L4 | BCP 38, RTBH, FlowSpec, scrubbing, rate-limit, anycast | NetFlow/IPFIX, NDR, DDoS telemetrie |
| MITM na HTTP | L7 | TLS 1.3, HSTS, cert pinning (CSP), CT kontrola | WAF, změny v certifikačních řetězcích, SNI anomálie |
| Credential stuffing na API | L7 | MFA/WebAuthn, rate limiting, detekce botů, mTLS | UEBA, anomálie IP/ASN, korelace přihlášení |
| ARP/NDP spoofing | L2 | Dynamic ARP inspection, DHCP snooping, RA guard | Telemetrie switchů, IDS na segmentu |
Provozní vzory nasazení v praxi
- Okraj sítě (edge/peering/IXP): striktní BGP filtrace, RPKI, RTBH, scrubbing integrace, uRPF, oddělené management VRF.
- Autoritativní DNS a CDN: Anycast, DNSSEC, RRL, automatizace podpisů, rychlý rollout klíčů a záznamů.
- Podniková WAN/SD-WAN: IPsec mezi lokalitami, ZTNA pro vzdálený přístup, segmentace aplikací, centrální politika řízení.
- Cloud
