IPv6 + firewall a identifikace klientů

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #30 kdy: 10. 06. 2021, 22:09:25 »
Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.
Tak slušnější switch nemá problém hlídat i tu IP adresu. V podstatě 802.1x ověří klienta, tím se zamče jeho MAC adresa, proběhne DHCP a switch se naučí, jakou adresu klient dostal a hlídá, aby si ji samovolně nezměnil (nebo je statikcá přidělené IP k portu nebo ji switch dostane v Radius datech). Novější kusy to umí v určité míře řešit i pro IPv6. Pak na routeru mohu v klidu filtrovat dle IP adres, pokud je cesta od switche k routeru důvěryhodná (kd eúplně nneí, nastupuje MACsec vázaný na 802.1x).
Ale to jsem už asi dost mimo SOHO segment...