A camada física é criada pelo fabricante do hardware e, a menos que as placas de redes tenham algum tipo de configuração especial, será impossível implementar segurança nela. No caso da empresa onde eu trabalho, usamos protocolo Ethernet, que não implementa nada desse tipo.
Redes sem fio costumam a ter algum tipo de protocolo de segurança na camada 1.
A camada de enlace e rede muitas vezes será definida por roteadores e switches. Se tivermos em mãos as configurações desses equipamentos, também podemos incluir algum tipo de segurança aí. É comum criarmos segurança de rede através da definição de escopo, ou seja, garantindo que uma aplicação só seja acessível dentro de determinados domínios de rede. Por exemplo, certos sistemas podem só estar disponíveis para quem esteja dentro da rede interna da empresa, ou mesmo de um determinado departamento. Outras formas comuns é através de firewalls, que barrem usuários que pareçam estranhos.
Agora, quem geralmente faz esse tipo de configuração é a infra. Eu mesmo não me envolvo muito.
Em programação, temos acesso somente a camada de Aplicação (daí o nome dela, pois é onde nossas aplicações rodam), onde podemos fazer uma implementação de fato. Aqui incluem politicas de autenticação (login), filtros (como os filtros ISAPI), entre outros serviços dessa camada. Quanto à camada de transporte, podemos solicitar algum tipo de protocolo de transporte com segurança, desde que ele esteja disponível. É comum algumas aplicações minhas usarem SSL (mesmo que seja indiretamente, através do HTTPS).
Independente, uma solução acaba tendo segurança em todas as camadas possíveis.
Como a maioria das nossas aplicações são web, e em rede internet, ou internas, creio que a resposta para sua pergunta para elas seriam as camadas 3, 4 e 5.
Dificilmente usamos wireless e creio que se alguém for usar, irá incluir também segurança de camada 1.
