Bezpečnost sítí LAN/WAN

Jankoš 3. júla 2025 0
Bezpečnost sítí LAN/WAN

Proč je bezpečnost sítí LAN/WAN klíčová

Podnikové sítě LAN/WAN jsou páteří moderní digitální infrastruktury – propojují uživatele, aplikace, cloud a výrobní technologie. Zároveň však představují komplexní, dynamické prostředí plné hrozeb: od chybné konfigurace přes útoky v 2. vrstvě (ARP spoofing) až po sofistikované kampaně zneužívající BGP v globálním směrování. Cílem tohoto článku je poskytnout ucelený přehled principů, technik a osvědčených postupů pro návrh, provoz a audit bezpečné LAN/WAN architektury.

Model hrozeb a bezpečnostní cíle

Bezpečnostní cíle shrnujeme do triády CIA (Confidentiality, Integrity, Availability) doplněné o Accountability (dohledatelnost). Model hrozeb zohledňuje interní i externí aktéry, slabiny v technologiích a procesech, pravděpodobnost a dopad. Výsledkem je mapování rizik do kontrol: prevence (hardening, segmentace), detekce (telemetrie, NDR/SIEM) a reakce (IR playbooky).

Architektonické principy: Zero Trust a obrana do hloubky

  • Zero Trust: neimplicitně nevěřit žádnému prvku sítě; ověřovat identitu uživatele/zarízení a stav (posture) před i během přístupu; uplatňovat minimální oprávnění (least privilege).
  • Defense-in-Depth: vrstvení kontrol napříč L2–L7; kombinace preventivních a detekčních mechanismů.
  • Segmentace a mikrosegmentace: oddělení zón (uživatelská, serverová, OT/ICS, management) pomocí VLAN/VRF a bezpečnostních politik; jemnozrnná L7 mikrosegmentace pomocí softwarových agentů či SDN.

Bezpečnost v přepínané LAN (L2)

  • Port Security: omezení počtu MAC adres, akce při porušení (protect/restrict/shutdown).
  • DHCP Snooping a Dynamic ARP Inspection: ochrana proti rogue DHCP a ARP spoofingu; vazba IP–MAC–port.
  • IP Source Guard: filtrace na základě bindů z DHCP Snooping.
  • Spanning Tree hardening: BPDU Guard/Filter, Root Guard, Loop Guard; omezení rizika přepojení či smyček.
  • Storm Control a Control Plane Policing: řízení broadcast/multicast/unicast bouří a ochrana řídicí roviny.
  • 802.1X (Port-Based NAC): autentizace uživatelů a zařízení (EAP-TLS, PEAP), dynamické přiřazení VLAN, ACL a QoS.
  • MACsec (802.1AE): šifrování L2 rámců mezi koncovými body nebo přepínači, ochrana proti odposlechu v LAN i na metropolitních spojích.

Bezpečnost směrování a L3/L4 politik

  • ACL: standardní/rozšířené ACL pro řízení přístupu; doporučeno udržovat „deny any log“ pravidlo s telemetrií.
  • uRPF (Unicast Reverse Path Forwarding): ochrana proti IP spoofingu.
  • Filtrace bogonů a RFC 1918 na perimetru: prevence chybné inzerce a podvrženého provozu.
  • QoS a bezpečnost: priorita pro hlas/OT může sloužit i k omezení dopadu DoS; policery pro citlivé třídy.

WAN, BGP a internetový perimetr

  • BGP bezpečnost: autentizace sousedství (TCP-AO/MD5), TTL Security (GTSM), prefix/AS-Path filtrace, max-prefix limity, RPKI validace (route origin validation), případně BGP Flowspec pro mitigaci.
  • DDoS mitigace: RTBH (remotely triggered blackholing), scrubbing centra, rate-limiting, spolupráce s ISP a telemetrie z NetFlow/IPFIX.
  • IPsec přes WAN: IKEv2, PFS, moderní šifry (AES-GCM), jasné PFS a životnosti SA; pro vysokou dostupnost active/active s ECMP.
  • SD-WAN bezpečnost: dynamické overlaye s automatickou šifrou, aplikační politiky, segmentace (VRF), integrované FW/IDS; validace identity zařízení pomocí certifikátů.

Perimetr, NGFW a proxy

  • NGFW: L7 inspekce, IPS, anti-malware, geoblokace, filtr URL; doporučeno používat explicitní politiky založené na aplikacích/uživatelích (ID-aware).
  • Forward/Reverse Proxy: TLS terminace, DLP, CASB funkce pro SaaS; ochrana webových aplikací pomocí WAF (ochrana proti OWASP Top 10).
  • DNS bezpečnost: sinkhole, DNSSEC validace, filtrování domén s reputačními feedy.

Šifrování a bezpečný přístup

  • VPN: IPsec (site-to-site, remote access), TLS-based (SSL VPN); doporučené IKEv2 + EAP-TLS/Cert, split-tunneling dle rizika a DLP požadavků.
  • ZTNA/SASE: ověřování identity, kontext (stav zařízení), politiky přístupu per aplikace; minimalizace laterálního pohybu.
  • PKI: správa certifikátů (automatizace enrolmentu – SCEP/EST/ACME), rotace klíčů, HSM pro CA.

NAC a řízení přístupu k síti

Network Access Control aplikuje politiky podle identity a typu zařízení. Klíčové prvky: 802.1X, MAB fallback, profilace (DHCP/LLDP fingerprinting), kontrola stavu (antivirus, šifrování disku, OS patch level), dynamická VLAN/SGT (Security Group Tags) a segmentace na L3/L7.

Bezpečnost IPv6

  • RA Guard a DHCPv6 Guard: ochrana proti rogue router advertisments a falešným DHCPv6 serverům.
  • ND Inspection: validace sousedských záznamů (NDP) obdobně k ARP ochraně v IPv4.
  • Filtrace rozšířených hlaviček a ICMPv6: přísná politika, ale povolit nezbytné ICMPv6 pro správnou funkci sítě.

Wi-Fi v rámci LAN (bezdrátová část)

  • WPA3-Enterprise s 802.1X (EAP-TLS) a PMF (Protected Management Frames).
  • Oddělení SSID/zón pro hosty, BYOD a korporátní zařízení; captive portal s krátkodobými přístupy.
  • WIPS/WIDS: detekce rogue AP, deauth útoků a spoofingu.

Ochrana management a řídicí roviny

  • Oddělená management VRF/VLAN, out-of-band přístup, ACL „mgmt only“.
  • Bezpečné protokoly: SSH v2, HTTPS/TLS 1.2+, SNMPv3 (authPriv), vypnout Telnet/HTTP/FTP/TFTP.
  • AAA: TACACS+/RADIUS s role-based přístupy; MFA pro privilegované účty; změny logovat.
  • Config management: šablony, Git verze, automatické zálohy, signed images, golden config.

Monitoring, telemetrie a detekce

  • SIEM a korelace logů z FW, IDS/IPS, proxy, DNS, AD/IdP; využití UEBA pro anomálie.
  • NetFlow/IPFIX a SPAN/ERSPAN: viditelnost toků, detekce exfiltrace nebo C2.
  • NDR/XDR: síťová i koncová detekce v jednom ekosystému; pokrytí hybridního cloudu.
  • PSIRT/Threat Intel: integrace reputačních feedů, blokace IOC a automatizované obohacování alertů.

Segmentace: VLAN, VRF a mikrosegmentace

Hrubozrnná segmentace odděluje zóny (uživatelská, serverová, DMZ, OT). VRF vytváří „virtuální routery“ na stejném hardware. Mikrosegmentace zavádí politiky mezi konkrétními workloady (např. povolit jen TCP/443 mezi API gateway a mikroservisami). Klíčové je centrální řízení a konzistence politik napříč on-prem a cloudem.

Bezpečná DMZ a publikace služeb

  • Oddělené front-end a back-end zóny s WAF/Reverse proxy v perimetru.
  • Jednoznačný traffic flow, žádné laterální propojení mimo definované služby.
  • Jump hosty/bastiony pro administraci; auditované, s MFA a záznamem relací.

Hardening síťových prvků

  • Minimální firmware a včasné záplatování; disable nepotřebných služeb (CDP/LLDP jen tam, kde dává smysl).
  • Secure Boot, kontrola integrity image, kryptograficky podepsané binárky.
  • Omezení LLA/management přístupů: ACL na VTY a management rozhraních, rate-limit na autentizační pokusy.

Bezpečnost multicastu a hlasu/video

  • IGMP/MLD Snooping a filtrace; omezit PIM adjacency jen na definovaných linkách.
  • QoS s důrazem na ochranu řídicí roviny (CoPP) a call-signaling kanálů.

Procesy: změny, kontinuální compliance a audit

  • Change Management s peer review a automatickými testy (pre-deployment validace politik a topologie).
  • Compliance: mapování na ISO/IEC 27001, NIS2, CIS Controls; kontinuální kontrola konfigurací vůči baseline.
  • Inventarizace a CMDB s vazbou na certifikáty, klíče, sériová čísla a životní cyklus.

Incident Response (IR) a forenzní připravenost

  • Runbooky a playbooky pro scénáře (DDoS, ransomware, kompromitovaný účet, rogue zařízení).
  • Segmentační páky: rychlé odpojení VLAN/VRF, izolace portu/segmentu, blackhole/Flowspec.
  • Forenzní uchování: centralizované logy, PCAP buffer, časová synchronizace (NTP/PTP) a retenční politika.

Automatizace a infrastruktura jako kód

Automatizace (Ansible, Terraform, Python/REST) minimalizuje chyby, zrychluje reakce a umožňuje policy-as-code. Doporučuje se CI/CD pipeline pro síťové změny, testování (Nornir/pyATS), a automatické generování auditních reportů.

OT/ICS a speciální prostředí

  • Striktní segmentace a unidirekcionální brány (data diody) tam, kde je to možné.
  • Inventarizace protokolů (Modbus, DNP3, Profinet), detekce anomálií pomocí NDR s doménovou znalostí.
  • Patch management s ohledem na provozní okna; kompenzační kontroly, pokud nelze záplatovat.

Ochrana dat a DLP

Kontroly na úrovni egressu (proxy, NGFW, CASB) a v hostech (EDR) brání úniku citlivých informací. Klasifikace dat, šifrování v pohybu i v klidu a tokenizace minimalizují dopad incidentů.

Testování, red teaming a validace

  • Vulnerability scanning síťových zařízení a služeb v pravidelných intervalech.
  • Penetrační testy zaměřené na L2/L3 útoky, pivotace a obcházení segmentace.
  • Table-top cvičení a simulace incidentů; metriky MTTD/MTTR.

Provozní metriky a KPI

  • Pokrytí telemetrií (zdroje logů, % rozhraní s NetFlow/IPFIX),
  • Compliance skóre vůči baseline,
  • Počet a závažnost změn, chybovost deploymentů,
  • MTTD/MTTR, poměr falešně pozitivních alertů,
  • Úspěšnost autentizací 802.1X a posture compliance.

Typické chyby a antipatterny

  • „Ploché“ sítě bez segmentace a bez jasné zónové politiky.
  • Neaktuální firmware a neřízený životní cyklus certifikátů.
  • Nepovolené laterální toky mezi zónami a příliš široká pravidla (any-any).
  • Chybějící monitoring management roviny a slabé AAA.
  • Ignorování IPv6 bezpečnosti v dual-stack prostředích.

Referenční návrhový vzor (příklad)

  1. Fyzická a L2 segmentace: core/distribution/access, oddělené management VLAN, 802.1X všude, DAI/DHCP Snooping.
  2. L3/L7 segmentace: VRF pro zóny, NGFW mezi VRF, mikrosegmentace v serverové farmě.
  3. Perimetr a internet: NGFW+WAF+DNS sinkhole, DDoS ochrana s RTBH, BGP s RPKI.
  4. WAN/SD-WAN: šifrované overlaye, identity based policies, prioritizace kritických aplikací.
  5. Monitoring a IR: NetFlow/IPFIX do NDR, logy do SIEM, definované playbooky a cvičení.

Závěr

Bezpečnost LAN/WAN není jednorázový projekt, ale kontinuální disciplína stojící na správném návrhu, důsledné segmentaci, důkazně podložených politikách, telemetrii a automatizaci. Kombinace Zero Trust principů, pevných L2/L3 kontrol, bezpečného směrování, moderního perimetru a kvalitních provozních procesů minimalizuje rizika a zvyšuje odolnost podnikové sítě napříč on-prem, cloudem i vzdáleným přístupem.

Značky:

Ďalšie články

Kariéry vo web3: devrel, výskum, ops, bezpečnosť

Kariéry vo web3: devrel, výskum, ops, bezpečnosť

Natália Šimková 30. novembra 2025 0
vzdelavanie-financie-ekonomika-podnikanie-2266

Digitálne dedičstvo: prístupy, kontaktné osoby, závet pre účty

Lucie Čermáková 20. novembra 2025 0
Elektronika: e-odpad, modularita, zodpovedné nákupy

Elektronika: e-odpad, modularita, zodpovedné nákupy

Tomáš Hudák 17. novembra 2025 0

Poradňa

Potrebujete radu? Chcete pridať komentár, doplniť alebo upraviť túto stránku? Vyplňte textové pole nižšie. Ďakujeme ♥

Už ste čítali?

Zelené úvery na energetické úpravy

Zelené úvery na energetické úpravy

Mato Ondrus 5. decembra 2025 0
Pomocník pre čistý domov bez alergénov? Predstavujeme tepovač AERIUM R1600 Clean Professional

Pomocník pre čistý domov bez alergénov? Predstavujeme tepovač AERIUM R1600 Clean Professional

Marek 5. decembra 2025 0
vzdelavanie-financie-ekonomika-podnikanie-2465

Riziká a regulácia mikroúverov

Lucie Čermáková 5. decembra 2025 0
Marketing Prehodnotený: Ako AI Transformovala Stratégiu, Kreativitu a Dosah Casino Lizaro

Marketing Prehodnotený: Ako AI Transformovala Stratégiu, Kreativitu a Dosah Casino Lizaro

Matej 5. decembra 2025 0
vzdelavanie-financie-ekonomika-podnikanie-416

Odpady 101: predchádzanie vzniku pred recykláciou

Lucie Čermáková 5. decembra 2025 0