Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: PanVP 08. 06. 2021, 18:18:26
-
Ahoj,
mějme dynamickou IPv6 získanou z SLAAC.
Všechno se mění, síť i adresy klientů.
Jak postavit pravidla centrálního linuxového firewallu, aby bylo možné jednoznačně říct, který klient má kam přístup?
Část klientů nesmí na internet vůbec, část může pouze navazovat spojení a na pouhé dva stroje je povolený port z internetu.
Identifikace klientů na základě MAC prý není optimální, což mohu potvrdit.
Jsou nějaké možnosti, jak klienty jednoznačně identifikovat jinak než podle MAC?
Někdo dělal chytrého, že stavět pravidla firewallu na MAC adresách je blbost, protože se zavádí "MAC Address Randomization", aby se zlepšila ochrana soukromí atd. Je k dispozici snad jiný, lepší, identifikátor?
-
Třeba 802.1X nebo proxy s ověřením.
Chtít identifikovat na L2/L3 úrovni z IP nebo MAC adresy je kravina.
Kravina to byla odjakživa, ale MAC a IPv4 k tomu sváděly, takže spousta zoufalců to začala považovat za metriku zabezpečení.
-
takže spousta zoufalců to začala považovat za metriku zabezpečení.
To si mám jako postavit Radius server?
Já chápu, že nejlepší nástroj na operování je kybernůž, ale chci si jen vymáčknout beďara.
Nechci implementovat Radius, byla by to hovadina, totální kravina.
Požadavek je opravdu triviální - podobně jako na IPv4, chci řídit přístup klientů do internetu.
Aktuálně mi stačí nastavit na DHCP rezervace a pro dané adresy nastavit pár snadných pravidel.
-
Vidíš, jsou LAN, kde se uplatňuje plně i MACsec, takže komunikace mezi klienty se šifruje na L2. Pak kdo je kdo se poznává krásně. :-)
Pokud ti stačí ke štěstí systém jak v IPv4, že jsi dal klientovi v DHCPv4 pevnou IP dle MAC a na tu IP dával pravidla ve firewallu, tak pokud máš v síti jen klienty, kteří podporují stavové DHCPv6, tak jim úplně stejně nastav IPv6 adresu přes DHCPv6 plus přes ohlášení routeru vypni, aby klienti si přiřadili adresu dle SLAAC a máš to stejné. Pokud klienti umí jen SLAAC, tak jim nech SLAAC a vypni privacy extension a také budeš mít jasné, kdo je kdo na podobné úrovni, jak s tím DHCPv4 a firewallem na IPv4 (jen u toho SLAAC bez PE to bude kapánek i jasné dalším mimo tvou síť). :-(
-
takže spousta zoufalců to začala považovat za metriku zabezpečení.
To si mám jako postavit Radius server?
Já chápu, že nejlepší nástroj na operování je kybernůž, ale chci si jen vymáčknout beďara.
Nechci implementovat Radius, byla by to hovadina, totální kravina.
Požadavek je opravdu triviální - podobně jako na IPv4, chci řídit přístup klientů do internetu.
Aktuálně mi stačí nastavit na DHCP rezervace a pro dané adresy nastavit pár snadných pravidel.
Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.
Rozchodit Radius není raketová věda a posune to z principu blbé řešení do normálu.
Jestli máte v síti Windows Server / AD, je to hotové za 15 minut i s vypitým kafem.
Neznám ale use case, takže možná by se dalo vůbec najít lepší řešení na danou situaci. Vím jen to, že chcete filtrovat provoz podle identifikace, ale vlastně nevím proč (už zde se může nabízet třeba lepší řešení, než filtrování provozu), nevím pro kolik klientů, kolik je různých sad pravidel atd.
-
Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.
Nemusí SLAAC vypínat, pokud v sítí má věci, co DHCPv6 neumí. I u SLAAC je přidělená IPv6 adresa pevně jasná (a u klasická implementace má v sobě MAC adresu stroje ve formě EUI-64). Stačí vypnout privacy extension pro randomizaci adres pro odchozí spojení.
Ono ani samotné 802.1x nic neřeší. Z něho se nedozvím jakou kdo má IPv4/6 adresu. Jenže ono to pak potřebuje spolupráci víc zařízení na víc vrstvách, aby se to správně celé poskládalo.
-
blááábláááblááá
To jako si má každá domácnost postavit svůj Rádius, když chce tiskárně zakázat přístup na net úplně a zakázat navazování spojení z vnějšku? Nezlobte se, ale pochybuji o vaší příčetnosti.
Nechci se hádat, jen vás prosím, ocením, pokud už nebudete reagovat na moje příspěvky.
Děkuji.
-
nastav IPv6 adresu přes DHCPv6 plus přes ohlášení routeru
To není možné, část klientů umí jen SLAAC.
Mimo to, čas od času se mění celá adresa sítě, nejsem si jistý, jestli by to nenarušilo fungování DHCPv6.
Pokud klienti umí jen SLAAC, tak jim nech SLAAC a vypni privacy extension a také budeš mít jasné, kdo je kdo na podobné úrovni, jak s tím DHCPv4 a firewallem na IPv4
A není tedy menší zlo použít filtry na zdrojové MAC adresy?
Já tímhle způsobem fungoval, ale při aktualizaci jednoho Debianího serveru se to "zase samo zapnulo".
Když jsem to tenkrát v diskuzích řešil, tak prý "neměl jsem to vypínat" a "it should be enabled by default", "turn it off is a stupid idea" a nejlepší "you should find a proper way to implement your firewall setting".
Takže...jsem z toho nějaký smutný.
Nastavení pravidel na základě MAC adresy (asi??????) není dobrý nápad.
Vypnutí PE není dobrý nápad... >:(
U babči, strejce a dalších příbuzných určitě nebudu nasazovat Rádius kvůli tomu, abych zakázal přístup jejich tiskáren a laciných IP kamer do netu. Jistě, ZATÍM ZŮSTÁVÁM NA IPV4, protože mi přijde IPv6 rozjebaná a nedotažená.
Jen jsem myslel, že po deseti letech už byly všechny problémy vychytány. :-\
Domníval jsem se, že bych třeba mohl zapnout alespoň dualstack... ::)
Každopádně tohle není vaše chyba, děkuji za váš názor.
-
Ono to chce specifikovat pro jaké prostředí to řešíš a co v něm je za techniku na straně klientů i síťové infrastruktury. Pokud píšeš v prvním o centrálním linux firewallu, tak to také není výbava každé domácnosti, takže člověk čekal nějakou malou firmu. :-(
Pokud řešíš jen domácí síťku, tak asi půjdu to řešit jinak, než firemní prostředí.
Tiskárnu mám v samostatné VLAN (Brother umí IPv6) a filtruji na základě příchozího provozu z VLAN kam co ne/může, takže nemusím ani hledat, jak se v ní vypíná PE (a stejně má jen ULA adresu, takže ven nemůže, i kdyby chtěla). Podobně by šlo řešit další - tkrátka záleží, co máš za krabici u nich a co ne/umí. A doma pro prvotní filtr dle MAC v klidu použiju.
Ohledně změny IPv6 adresy - mám filtraci a spol udělánu na Mikrotik routerech s použitím address listů. Přímo používám dynamický renumbering (víc IPv6 uplinků a přepínám). Klienti mají jednak "fixní" ULA IPv6 adresu pro vnitřní provoz (a tyot adresy mám ve vnitřním DNS) a pak dynamickou globální dle právě aktivního IPv6 uplinku, což se něky změni i 3x za den. V Mikrotiku skript dle toho se přehodí obsahy address listů a jede se dál.
Jinak babču, dědu a spol řeším tak, že z jejich routerů mají VPNky ke mě domů, zde mám Radius, doménový řadič, ..., co řídí/aktualizuje/dohleduje jejich síťky a počítače na dálku. :-)
-
Pokud píšeš v prvním o centrálním linux firewallu, tak to také není výbava každé domácnosti, takže člověk čekal nějakou malou firmu. :-(
Ano, je to primárně pro kancelář, ale požadavky domácností jsou v podstatě stejné, počet kusů je samozřejmě nižší, ale technika hodně podobná, včetně základních požadavků na zabezpečení.
Ad domácnost: Firewall, který to hlídá, pár (dvě) kamer, NAS pro kamery, tiskárna, nějaký dveřní systém, teploměr/kotel.
Ad firma: Firewall, který to hlídá, víc kamer, lepší NAS pro kamery, samostatný NAS, víc tiskáren.
-
Je třeba si realisticky uvědomit, že pro běžný SOHO segment je už hodně nadstandartní to, že chci vůbec filtrovat nějaký odchozí provoz (a je jedno, zda IPv4 nebo IPv6). :-)
V podstatě platí, že v takévém prostředí se řeže příchozí provoz (a občas jen povolí příchozí port/přesměrování, v domácím prostředí to často si udělá konfové zařízení samo pomocí UPnP, NAT-PMT, ...) a odchozí ven je volně puštěn.
V klidu bych použil ty filtry dle MAC adres. Pokud mám prostředí s rozumnou podporou VLAN, tak rozhážu ty kategorie do VLAN a filtruji primárně dle toho z jaké VLAN to přichází, kam odchází.
-
Mimo to, čas od času se mění celá adresa sítě, nejsem si jistý, jestli by to nenarušilo fungování DHCPv6.
DHCPv6 protokol s takovým režimem počítá. Takže pokud přijde změna adres, tak DHCPv6 server obešle klienty, že současná adresa již neplatí a mají požádat o novou. Bylo to tak navrženo zejména s ohledem na SOHO segment.
Jiná věc je, jak moc to mají zvládnuty jednotlivé implemetace (netestoval jsem).
-
blááábláááblááá
To jako si má každá domácnost postavit svůj Rádius, když chce tiskárně zakázat přístup na net úplně a zakázat navazování spojení z vnějšku? Nezlobte se, ale pochybuji o vaší příčetnosti.
Nechci se hádat, jen vás prosím, ocením, pokud už nebudete reagovat na moje příspěvky.
Děkuji.
Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.
-
Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.
Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.
-
Pro dynamicky menici se prefixy pouzit ULA v siti. Nasazeni proxy je sice easy, ale nepokryje to vsechny typy protokolu.
Anebo DNS.
-
pouzit ULA v siti
ULA je pro vnitřní komunikaci snad ne? Neroutovatelné do internetu = potřeboval bych NAT ::) nebo Proxy a podvrhovat certifikát = fuj.
s takovým režimem počítá
Super, stojí to za zkoušku.
Mimochodem, z IPv6 jsem poměrně zklamaný.
Je to složitější, zato výrazně horší.
A aby toho nebylo málo, šmejdští výrobci, kteří kašlou na bezpečností updaty, tomu rozhodně nepomáhají.
-
Jak postavit pravidla centrálního linuxového firewallu, aby bylo možné jednoznačně říct, který klient má kam přístup?
Část klientů nesmí na internet vůbec, část může pouze navazovat spojení a na pouhé dva stroje je povolený port z internetu.
Identifikace klientů na základě MAC prý není optimální, což mohu potvrdit.
Jsou nějaké možnosti, jak klienty jednoznačně identifikovat jinak než podle MAC?
Je to jednoduché. Základním stavebním prvkem v IPv6 je podsíť. V jedné podsíti mají platit pro všechna zařízení stejná pravidla. Nesnažte se nastavovat různá pravidla pro zařízení, která sdílí stejnou podsíť. To je anti-vzor i v IPv4 a IPv6 vás svou podstatou nutí toto nedělat.
Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi. Pokud máte pro každé zařízení speciální požadavky, nezbývá než každé zapojit do své vlastní podsítě, kde nebude nic jiného.
-
Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi.
Ale to je jen jinak popsané řešení VLAN (byť třeba VLAN nahradí jiná fyzická síť).
Bez routeru to nepůjde.
-
Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.
Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.
No, opět, jsme v SOHO - switche s podporou 802.1x jsou relativně dostupné (vlastně i Miktrotik krabičky umí už nějakou dobu fungovat s 802.1x i na metalickém ethernetu). S trochu štěstí mají i možnost lokálního Radius serveru, že do něj namlátím uživatele/hesla, pokud nemám externí Radius třeba v AD.
Ale tiskárna s 802.1x? Zase jich moc nevidím, co by to uměla, to je spíše doména až větších oblud, často třeba umí i IPsec, takže mezi tiskovým serverem a tiskárnou do provozu nikdo nevidí a neumí zasáhnout. Ale opět u tiskáren pro SOHO nějak nevidím. :-( A vedle tiskárny můžu doma řešit VoIP telefon, STB pro IPTV, autodráhu, .... Takže tam bude u řady zařízení fallback na max ověření MAC adresy a dle ní do určené VLAN.
-
pouzit ULA v siti
ULA je pro vnitřní komunikaci snad ne? Neroutovatelné do internetu = potřeboval bych NAT ::) nebo Proxy a podvrhovat certifikát = fuj.
Zařízení, co nemá být dostupné z netu a ani do něj lézt, tak můžu mít v segmentu, kde jsou jen ULA adresy. Ostantí zařízení, která lezou ven/jsou dostupná, tak vedle ULA mají i globální adresu (případně víc, pokud mám víc linek a prefixů). Vnitřní komunikace se odehrává na ULA adresách, co jde ven po těch globálních. IPv6 stack tohle umí rozumně rozhodnout, kdy má jakou použít. Taktéž v interním DNS mám jména vázané na ULA adresy a jsme tak imunní proti případnému změnu IPv6 globálnímu prefixu, nemá to na vnitřní provoz vliv.
s takovým režimem počítá
Super, stojí to za zkoušku.
Mimochodem, z IPv6 jsem poměrně zklamaný.
Je to složitější, zato výrazně horší.
A aby toho nebylo málo, šmejdští výrobci, kteří kašlou na bezpečností updaty, tomu rozhodně nepomáhají.
Jak jsme psal, specifikace je udělaná dobře, implementace váznou. :-( Ale u DHCPv6 jsme neověřoval. Respektive jim přiděluji ULA adresy a nemusím tak řešit renumbering u DHCPv6.
Naopak je to uděláno tak, aby typické end user nemusel do ničeho sahat a nastavovat ve svém koncovém routeru pokud nezačne mít přání ohledně filtrování provozu ven.
Zkrátka je to uděláno dost jinak, než u IPv4.
-
Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi.
Ale to je jen jinak popsané řešení VLAN (byť třeba VLAN nahradí jiná fyzická síť).
Bez routeru to nepůjde.
Ano, pokud používáš jeden prefix v jedné VLAN. U IPv6 můžeš udělat snadno i to, že jeden prefix /64 sdílí víc VLAN. Pak je výhoda vynucovat pravidla na základě VLANy. Klienty nastrkáš nějak do VLAN (dle MAC, pevně dle portů, dle 802.1x, ...), tyto VLANy spojíš do jednoho fyzického bridge, který má na L3 jeden síťový prefix /64 a na L2 jsou od sebe klienti izolovaní. Router bude ohlašovat, že veškerá komunikace má procházet přes router (není možná bod-bod komunikace mezi koncovými klienty - on link) a IPv6 stack v klientech ti vše doručí už na bránu, kde to profiltruješ a případně přepošleš dál.
Toto je konfigurace, jak si doma udělat víc oddělených síti a vystačit od providera jen s jedním prefixem /64. Nevýhoda je, že to ten router musí ustát, kdy každá bod-bod komunikace v LAN jde skrz router. V SOHO segmentu tohle třeba jde s Mikrotikem.
-
Mikrotikem
Takže vlastně k ničemu, když potřebuji komunikovat s NAS bez přístupu do internetu připojeným pomocí 2.5 GbE do sítě a počítačem s interní (vlastní) 2.5 GbE a Wi-Fi 6, které opět jede o něco málo rychleji než 2.5 GbE, protože to prostě neuroutuji.
Navíc bych měl velký, složitý a hnusný paskvil.
Jestli není lepší stávající stav, v laciné krabičce na DHCP nastavíš rezervace a ve firewallu nastavíš, jestli daná adresa může nebo nemůže na internetu.
-
Ale tiskárna s 802.1x? Zase jich moc nevidím, co by to uměla, to je spíše doména až větších oblud, často třeba umí i IPsec, takže mezi tiskovým serverem a tiskárnou do provozu nikdo nevidí a neumí zasáhnout. Ale opět u tiskáren pro SOHO nějak nevidím. :-( A vedle tiskárny můžu doma řešit VoIP telefon, STB pro IPTV, autodráhu, .... Takže tam bude u řady zařízení fallback na max ověření MAC adresy a dle ní do určené VLAN.
Pozerám na HP LaserJet M130nw (zadanie: čo najlacnejší ČB laser+scanner s ethernetom, driverless pod Linuxom) a 802.1x vie; preto si viem predstaviť, že v HP s LAN je to základná funkčnosť. Pri wifi tlačiarňach sa spraví extra SSID, ktorý hodí pripojených klientov do správnej VLAN (mnoho z nich má minimálny stack a nevie ani WPA Enterprise, ani 5 GHz).
Ale tú autodráhu by som riešil nastavením VLAN na port switchu, to vedia aj 20-eurové D-linky.
-
Zbytecny tu cokoli radit.
-
Zbytecny tu cokoli radit.
Tiež si myslím; keď je niekto zabetónovaný vo svojich zvykoch, nech si teda rieši ako len chce.
-
Tak určitě, tak určitě.
Namazat si máslo na chleba POSTARU NOŽEM?
Nééé, moderní je si máslo na nůž patlat nožem nebo nanášet laserem.
Jste tupá telata. ::)
-
Tak určitě, tak určitě.
Namazat si máslo na chleba POSTARU NOŽEM?
Nééé, moderní je si máslo na nůž patlat nožem nebo nanášet laserem.
Jste tupá telata. ::)
Vec nazoru - https://imgur.com/MlhcaPz
-
Namazat si máslo na chleba POSTARU NOŽEM?
Problém je, že za ty roky už ani nevíte, co je pecen chleba, protože jste si zvykl konzumovat pečivo tvarované do tvaru úhlové výseče z rotačního hyperboloidu, a nevíte, co je nůž, protože jste si zvykl ten chleba rozlamovat rukama a namáčet do rozpuštěného másla.
Naopak je potřeba se vrátit k tomu pecnu a noži. Kdybyste nezapomněl, jak je jednoduché nechat vytvarovat pecen, nemusel byste dál rozehřívat to máslo. Těžko přesvědčíte ostatní, že je skvělý způsob přidělovat nespolehlivě IPv4 adresy (může kdokoliv podvrhnout, změnit, může něco selhat) a na základě tohoto nespolehlivého údaje filtrovat na firewallu. Bývalo by stačilo se už kdysi dávno naučit používat VLAN i na IPv4 (ať už ručně, nebo pomocí 802.1X), protože to řeší ta primární rizika. Dnes byste nemusel složitě obhajovat filtrování podle IP adres.
Když vystoupím z příměru, tak se můžeme zamyslet nad původní otázkou. Ta zmiňovala ověření na L2 (zmínka o MAC). Pokud tedy hned jako premisu pokládáte zabezpečení na L2 úrovni, musíte nejprve vyřešit toto, než se dostanete k L3. L2 můžete zabezpečit pomocí identifikace MAC. To jste odmítl hned v dotazu. Pak už zbývá jedině VLAN. Tu můžete přiřadit ručně na switchi, nebo u WiFi odděleným SSID. Nebo ji můžete přidělovat po ověření - a k tomu slouží 802.1X. Tolik tedy k požadovanému ověření na úrovni L2.
Pokud máte vyřešenou otázku ověření L2, tak pak přichází otázka toho, jestli stále ještě potřebujete pravidla pro L3. Možná ano, možná ne - to se bude lišit od situace. Pro jednoduché zadání, které jste popsal, už podle mě nejsou potřeba pravidla L3, protože se dají odlišit jen tím, o jakou VLAN jde. Tím pádem odpadá vůbec úvaha o potřebě znát IP adresu.
Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.
Jestli to shrnu, tak jste asi blbě položil dotaz. Ptáte se na něco, co vlastně nepotřebujete / nechcete. Většina odpovědí se totiž moc neliší pro IPv4 / IPv6. Považuji za schizoidní uvažovat o tom, že MAC adresa se může změnit (být podvržena) a neuvažovat o tom, že tím lépe se může změnit (být podvržena) i IP adresa. Za schizoidní na kvadrát považuju dělat tak advanced věc, jako filtrovat odchozí provoz, když všechno ostatní popsané je na vodě.
Taková diskuse je zbytečná, jako je zbytečná diskuse o tom, jak z Trabanta vymáčknout 200 km/h. Určitě by šlo dát jiný motor a vše vyztužit, ale nikomu to nedává smysl, aby nad takovým Vaším hobby plezírem dál uvažoval.
-
Pozerám na HP LaserJet M130nw (zadanie: čo najlacnejší ČB laser+scanner s ethernetom, driverless pod Linuxom) a 802.1x vie; preto si viem predstaviť, že v HP s LAN je to základná funkčnosť. Pri wifi tlačiarňach sa spraví extra SSID, ktorý hodí pripojených klientov do správnej VLAN (mnoho z nich má minimálny stack a nevie ani WPA Enterprise, ani 5 GHz).
Ano, HP je asi čestná vyjímka, co má podporu pro 802.1x v celém portfoliu.
-
Mikrotikem
Takže vlastně k ničemu, když potřebuji komunikovat s NAS bez přístupu do internetu připojeným pomocí 2.5 GbE do sítě a počítačem s interní (vlastní) 2.5 GbE a Wi-Fi 6, které opět jede o něco málo rychleji než 2.5 GbE, protože to prostě neuroutuji.
Navíc bych měl velký, složitý a hnusný paskvil.
Jestli není lepší stávající stav, v laciné krabičce na DHCP nastavíš rezervace a ve firewallu nastavíš, jestli daná adresa může nebo nemůže na internetu.
Nu, 2,5 Gbps LAN je stále trochu mimo běžné SOHO. Ale pokud mám na 2,5 Gbps, tak ten switch bude mít aspoň jeden 10 Gbps SFP+ uplink a budu mít i 4 kKč třeba na Mikrotika RB4011 a ten ti s rozumným firewallem to uroutuje s prstem v nose.
A pokud je ten switch slušnější, tak možná vše co potřebuješ se dá udělat v něm a bude ti také filtrovat na wire speed a nemusíš ho ani prznit VLANama na víc podsítí, pokud nechceš...
A pak stále máš tu možnost, že pokud věřím MAC adrese, tak filtrovat dle ni a síť v LAN nechat switchovat divoce a volně.
-
Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.
Tak slušnější switch nemá problém hlídat i tu IP adresu. V podstatě 802.1x ověří klienta, tím se zamče jeho MAC adresa, proběhne DHCP a switch se naučí, jakou adresu klient dostal a hlídá, aby si ji samovolně nezměnil (nebo je statikcá přidělené IP k portu nebo ji switch dostane v Radius datech). Novější kusy to umí v určité míře řešit i pro IPv6. Pak na routeru mohu v klidu filtrovat dle IP adres, pokud je cesta od switche k routeru důvěryhodná (kd eúplně nneí, nastupuje MACsec vázaný na 802.1x).
Ale to jsem už asi dost mimo SOHO segment...