Síťová bezpečnost je dnes jedním z nejkritičtějších prvků každé digitální infrastruktury. S rostoucí komplexitou sítí, masivním nasazením IoT/IIoT zařízení, rozvojem smart cities a přechodem firem na hybridní či plně cloudové prostředí roste i počet potenciálních hrozeb. Útoky typu DoS/DDoS, pokusy o průnik do firemních sítí, zneužití identity nebo manipulace s daty jsou každodenní realitou.

PLANET Technology reaguje na tyto výzvy vývojem pokročilých bezpečnostních řešení, která kombinují vysoký výkon, moderní kryptografii, Zero Trust principy a snadnou správu. 

Strategii bezpečnostního řešení staví na několika pilířích:

• Pokročilé VPN technologie (SSL/OpenVPN, WireGuard, IPsec IKEv2)
• Ochrana proti DoS/DDoS pomocí SPI firewallu
• Content filtering a řízení přístupu
• SD WAN pro optimalizaci výkonu a dostupnosti
• Podpora moderních standardů jako Post Quantum Cryptography (PQC)
• Zero Trust Network Access (ZTNA)
• Bezpečný boot a ochrana integrity firmware

Tento přístup umožňuje nasazení bezpečných a flexibilních sítí v prostředích od malých firem až po průmyslové provozy a kritickou infrastrukturu.

Bezpečnost IoT a OT: Ochrana zařízení v průmyslu a chytré infrastruktuře

Internet věcí (IoT) a provozní technologie (OT) se staly nedílnou součástí moderních podnikových i průmyslových sítí. Zatímco IoT zahrnuje širokou škálu senzorů, kamer, chytrých měřičů či domácích zařízení, OT zahrnuje systémy řízení výroby, SCADA, PLC a další technologie, které přímo ovládají fyzické procesy. Jejich propojení s IT infrastrukturou přináší nové možnosti, ale také zásadní bezpečnostní rizika.

Specifika IoT/OT prostředí, na rozdíl od klasických IT systémů mají IoT a OT zařízení několik charakteristických vlastností:

• Dlouhá životnost a pomalé aktualizace — zařízení běží 10–20 let a často nelze jednoduše aktualizovat.
• Omezené výpočetní zdroje — slabší procesory a paměť omezují použití moderní kryptografie.
• Proprietární protokoly — Modbus, DNP3, BACnet a další často nemají nativní zabezpečení.
• Kritičnost provozu — výpadek OT může znamenat zastavení výroby nebo ohrožení bezpečnosti.
• Velká heterogenita — stovky typů zařízení od různých výrobců.

Tyto faktory činí IoT/OT prostředí atraktivním cílem pro útočníky a zároveň obtížně chránitelným. Hlavní hrozby pro IoT/OT infrastrukturu:

• Neautorizovaný přístup: Mnoho zařízení používá výchozí hesla nebo vůbec neumožňuje změnu přihlašovacích údajů. Útočník tak může získat kontrolu nad senzory, kamerami nebo dokonce nad výrobní linkou.
• Malware a botnety: IoT zařízení jsou často zneužívána pro DDoS útoky (např. Mirai). V OT prostředí může malware způsobit fyzické škody.
• Manipulace s daty: Změna hodnot senzorů nebo řídicích signálů může vést k nesprávným rozhodnutím automatizovaných systémů.
• Laterální pohyb v síti: Kompromitované IoT zařízení může sloužit jako vstupní bod do zbytku infrastruktury.
• Nedostatečné šifrování: Mnoho zařízení komunikuje v otevřeném textu, což umožňuje odposlech nebo manipulaci.

Bezpečnostní technologie v moderních sítích

1. Firewall a řízení provozu

Firewall je základní bezpečnostní prvek každé sítě. Jeho úkolem je kontrolovat datový provoz mezi interní a externí sítí a rozhodovat, co je povoleno a co ne.

Typické funkce firewallu

• Packet Filtering — kontrola jednotlivých paketů podle IP, portů a protokolů
• Stateful Packet Inspection (SPI) — sledování stavu spojení a kontextu komunikace
• Application Layer Filtering — filtrování na úrovni aplikací (např. HTTP, DNS)
• DoS/DDoS ochrana — detekce a blokování útoků zahlcujících síť

Moderní bezpečnostní brány, jako ty od PLANET, kombinují více metod, aby dokázaly reagovat na dynamické hrozby.

2. VPN technologie a šifrované tunely

VPN (Virtual Private Network) vytváří bezpečný šifrovaný tunel mezi dvěma body — například mezi pobočkou a centrálou nebo mezi zaměstnancem a firemní sítí.

Nejčastější VPN protokoly

• IPSec — standard pro bezpečné tunely na úrovni IP vrstvy
• SSL/OpenVPN — flexibilní VPN přes TLS SSL
• WireGuard — moderní, rychlý a kryptograficky velmi efektivní protokol
• L2TP, PPTP, GRE — starší nebo specifické tunelovací technologie

VPN je základním stavebním kamenem vzdáleného přístupu, ale v moderních architekturách je postupně doplňována nebo nahrazována Zero Trust přístupem.

3. Zero Trust Network Access (ZTNA)

Zero Trust je bezpečnostní model založený na principu „nikomu nevěř, vše ověřuj“.

Hlavní principy Zero Trust

• Identita je nový perimetr — přístup se uděluje podle identity, ne podle umístění v síti
• Minimální oprávnění (Least Privilege) — uživatel dostane jen to, co nezbytně potřebuje
• Kontinuální ověřování — přístup se neuděluje trvale, ale dynamicky
• Segmentace sítě — omezení pohybu útočníka v případě kompromitace

ZTNA umožňuje bezpečné připojení ke konkrétním službám bez nutnosti otevírat celou síť, což je ideální pro hybridní pracovní modely.

4. Autentizace a řízení identity

Silná autentizace je klíčová pro ochranu administrace, VPN i přístupu k aplikacím.

Moderní autentizační metody:

• FIDO2 / Passkeys — hardwarová nebo biometrická autentizace bez hesel
• TOTP (Time based One Time Password) — jednorázové kódy (např. Google Authenticator)
• PKI certifikáty — certifikátová autentizace pro zařízení i uživatele
• MFA (Multi Factor Authentication) — kombinace více faktorů

Hardwarové klíče, jako CoreTrust Key, poskytují nejvyšší úroveň ochrany, protože nejsou zranitelné phishingem ani malwarem.

5. Šifrování a kryptografie

Šifrování chrání data při přenosu i v klidu. Moderní bezpečnostní zařízení využívají:

• TLS 1.3 — nejnovější standard pro zabezpečení komunikace
• AES 256 — symetrické šifrování pro VPN a datové tunely
• RSA/ECC — asymetrická kryptografie pro výměnu klíčů
• Post Quantum Cryptography (PQC) — algoritmy odolné vůči budoucím kvantovým útokům

PQC je stále důležitější, protože kvantové počítače mohou v budoucnu prolomit dnešní asymetrické algoritmy.

6. Bezpečný boot a ochrana firmware

Útoky na firmware jsou stále častější, protože umožňují útočníkovi získat plnou kontrolu nad zařízením.

Bezpečnostní mechanismy

• Secure Boot — zařízení ověřuje integritu firmware při startu
• Digitální podpisy — zajišťují, že firmware pochází od výrobce
• Ochrana proti downgrade útokům — nelze nahrát starší zranitelný firmware

Tento typ ochrany je zásadní zejména u síťových bran, které jsou vystaveny internetu.

7. Segmentace a izolace provozu

Segmentace sítě omezuje šíření útoků a zvyšuje bezpečnost.

Typy segmentace:

• VLAN — logické oddělení provozu
• Micro segmentation — detailní oddělení na úrovni aplikací
• DMZ (Demilitarized Zone) — izolace veřejně dostupných služeb

Správná segmentace je klíčová pro ochranu IoT, průmyslových zařízení i serverů.

8. Monitoring, logování a detekce hrozeb

Bez viditelnosti do sítě není možné reagovat na incidenty. Webový  dohledový systém Planet CloudNMS dokáže do sebe registrovat většinu modelů aktivních prvků.

Klíčové prvky monitoringu

• Logování událostí — autentizace, VPN, firewall, systémové události
• Real time monitoring — sledování provozu a anomálií
• Integrace se SIEM — centralizovaná analýza bezpečnostních dat
• Alerting — upozornění na podezřelé aktivity

Moderní zařízení často obsahují i diagnostické nástroje pro optické moduly, WAN linky nebo VPN tunely.

9. Ochrana proti útokům DoS/DDoS

Útoky na dostupnost jsou jedny z nejčastějších.

Ochranné mechanismy

• Rate limiting
• Sledování stavů spojení (SPI)
• Blokování anomálního provozu
• Filtrování podle geolokace nebo reputace IP adres

Bez těchto funkcí může být síť snadno vyřazena z provozu.

XVR 800: Výkonný VPN bezpečnostní router s podporou post kvantové kryptografie

Enterprise třída s důrazem na výkon a bezpečnost, je navržen jako centrální bezpečnostní brána pro podnikové sítě, které vyžadují vysokou propustnost, flexibilní WAN konektivitu a robustní VPN.

Disponuje:

• Dual 10G WAN/LAN rozhraními (10GBASE X SFP+ a 10GBASE T)
• 4× Gigabit LAN porty
• Podporou široké škály VPN protokolů
• PQC TLS připravenost – ochrana proti budoucím kvantovým útokům
• Secure Boot – ochrana integrity firmware
• SPI firewall + DoS/DDoS ochrana

Klíčové funkce XVR-800

• Automatický dual WAN failover – zajišťuje nepřetržitou dostupnost
• Možnost NAT disable – vhodné pro datacentra a páteřní sítě
• Integrovaný AP Controller – centrální správa Wi Fi AP
• SD WAN – optimalizace výkonu a snížení nákladů
• SFP DDM diagnostika – monitoring optických parametrů v reálném čase

XVR-800 je ideální volbou pro firmy, které potřebují vysokou propustnost, bezpečné vzdálené připojení a dlouhodobou kryptografickou odolnost.

ZT 800: Zero Trust Security Gateway s FIDO2 a ZTNA

Zero Trust přístup v praxi, kdy ZT 800 posouvá bezpečnost na vyšší úroveň díky implementaci Zero Trust principů. Základem je důsledná verifikace identity před udělením přístupu.

Hlavní bezpečnostní prvky

• FIDO2 passkey autentizace
• TOTP MFA
• Certifikátová autentizace
• Zero Trust Network Access (ZTNA) – bezpečné P2P tunely bez vystavení služeb internetu
• Secure Boot + PQC TLS
• Komplexní VPN sada (IPSec, OpenVPN, WireGuard, GRE, PPTP, L2TP)

Proč ZT-800?

• Chrání administrátorské rozhraní před neoprávněným přístupem
• Umožňuje bezpečné propojení poboček bez tradičního perimetru
• Nabízí vysoký výkon díky quad core platformě a dual 10G WAN
• Podporuje rozsáhlé nasazení v enterprise, průmyslu i infrastruktuře
• ZT-800 je ideální pro organizace, které chtějí přejít od klasického VPN modelu k modernímu Zero Trust přístupu

CoreTrust Key: Hardwarový bezpečnostní klíč pro FIDO2 a PKI

Doplňuje bezpečnostní ekosystém PLANET jako fyzický autentizační prvek pro:

• FIDO2 passwordless přihlášení
• Ochranu administrátorských účtů
• Podporu PKI certifikátů
• Zvýšení bezpečnosti VPN onboarding procesů

V kombinaci se ZT-800 tvoří silný základ pro Zero Trust architekturu, kde je identita ověřována hardwarově a není možné ji obejít pouhým získáním hesla.

Klíč lze použít i k bezpečnému přístupu řady služeb na internetu ;-)

PLANET Technology jako komplexní bezpečnostní ekosystém

PLANET Technology tyto požadavky naplňuje prostřednictvím produktů XVR-800, ZT-800 a CoreTrust Key, které společně tvoří robustní, škálovatelné a budoucnosti odolné řešení. Síťová bezpečnost už není jen o firewallu a VPN, vzniká ucelené řešení, které pokrývá:

• bezpečné vzdálené přístupy včetně identity based přístupu
• ochranu administrace a hardwarovou autentizaci
• šifrovanou komunikaci mezi pobočkami zahrnující pokročilou kryptografii
• ochranu proti útokům
• budoucí odolnost vůči kvantovým hrozbám
• centrální správu

Aktivní prvky Planet Technology jsou pro moderní síťovou infrastrukturu mimořádně výhodnou a bezpečnou volbou, protože jsou vyvíjeny a vyráběny podle přísných bezpečnostních standardů a splňují i náročné požadavky směrnice NIS2 (aktivní odkaz), což z nich činí spolehlivý základ pro dlouhodobě chráněnou síť.

Přílohy: