Namazat si máslo na chleba POSTARU NOŽEM?
Problém je, že za ty roky už ani nevíte, co je pecen chleba, protože jste si zvykl konzumovat pečivo tvarované do tvaru úhlové výseče z rotačního hyperboloidu, a nevíte, co je nůž, protože jste si zvykl ten chleba rozlamovat rukama a namáčet do rozpuštěného másla.
Naopak je potřeba se vrátit k tomu pecnu a noži. Kdybyste nezapomněl, jak je jednoduché nechat vytvarovat pecen, nemusel byste dál rozehřívat to máslo. Těžko přesvědčíte ostatní, že je skvělý způsob přidělovat nespolehlivě IPv4 adresy (může kdokoliv podvrhnout, změnit, může něco selhat) a na základě tohoto nespolehlivého údaje filtrovat na firewallu. Bývalo by stačilo se už kdysi dávno naučit používat VLAN i na IPv4 (ať už ručně, nebo pomocí 802.1X), protože to řeší ta primární rizika. Dnes byste nemusel složitě obhajovat filtrování podle IP adres.
Když vystoupím z příměru, tak se můžeme zamyslet nad původní otázkou. Ta zmiňovala ověření na L2 (zmínka o MAC). Pokud tedy hned jako premisu pokládáte zabezpečení na L2 úrovni, musíte nejprve vyřešit toto, než se dostanete k L3. L2 můžete zabezpečit pomocí identifikace MAC. To jste odmítl hned v dotazu. Pak už zbývá jedině VLAN. Tu můžete přiřadit ručně na switchi, nebo u WiFi odděleným SSID. Nebo ji můžete přidělovat po ověření - a k tomu slouží 802.1X. Tolik tedy k požadovanému ověření na úrovni L2.
Pokud máte vyřešenou otázku ověření L2, tak pak přichází otázka toho, jestli stále ještě potřebujete pravidla pro L3. Možná ano, možná ne - to se bude lišit od situace. Pro jednoduché zadání, které jste popsal, už podle mě nejsou potřeba pravidla L3, protože se dají odlišit jen tím, o jakou VLAN jde. Tím pádem odpadá vůbec úvaha o potřebě znát IP adresu.
Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.
Jestli to shrnu, tak jste asi blbě položil dotaz. Ptáte se na něco, co vlastně nepotřebujete / nechcete. Většina odpovědí se totiž moc neliší pro IPv4 / IPv6. Považuji za schizoidní uvažovat o tom, že MAC adresa se může změnit (být podvržena) a neuvažovat o tom, že tím lépe se může změnit (být podvržena) i IP adresa. Za schizoidní na kvadrát považuju dělat tak advanced věc, jako filtrovat odchozí provoz, když všechno ostatní popsané je na vodě.
Taková diskuse je zbytečná, jako je zbytečná diskuse o tom, jak z Trabanta vymáčknout 200 km/h. Určitě by šlo dát jiný motor a vše vyztužit, ale nikomu to nedává smysl, aby nad takovým Vaším hobby plezírem dál uvažoval.
30 Odpovědí
27243 Zhlédnutí