Фильтрация по MAC-адресам в межсетевых экранах

Фильтрация по MAC-адресам в межсетевых экранах

Иногда встречаю требования фильтровать MAC-адреса. MAC-адрес приписан каждой сетевой карте производителем, пользователь может его изменить. Он используется для адресации в локальных сетях (LAN), а если быть точным внутри одного широковещательного домена или VLAN. Про широковещательные домены и VLAN хорошо рассказывает автор блога " Сети для самых маленьких ". Для примера этот адрес важен для работы ARP протокола или старых забытых IPX/SPX.

IP адреса используются для адресации в глобальных сетях (WAN). Соответственно на этом уровне работает маршрутизация. На каждом маршрутизаторе происходит переход из одного широковещательного домена в другой, поэтому какой именно MAC-адрес у сетевой карты на этом уровне абстракции уже невозможно проверить, потому что информация о MAC-адресах из соседнего широковещательного домена стирается маршрутизатором в заголовке фрейма (кадра) и недоступна в другом широковещательном домене. Подробно как это происходит описано в статье  https://habr.com/ru/articles/707598/ 

Если вы хотите фильтровать по MAC-адресам, то значит вам нужно каким-то образом установить вашу систему фильтрации внутрь каждого широковещательного домена. Поскольку различных VLAN и физических сетей обычно сотни в компании, то это выльется в сотни фильтрующих устройств. 

Примером глобальной фильтрации и маршрутизации является почта: вы адресом указываете страну, город, улицу, дом и по этому критерию направляете письма. Примером локальной адресации уже является сама пересылка письма внутри квартиры. Возможно вы это письмо отнесете в кабинет, зал, спальню, кухню или туалет.  Было бы странно, если вы еще попросили почту контролировать куда происходит доставка писем: в туалет или кабинет. Хотя, для кого-то это является важным. ) Но почта это уже проверит не может..

Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

ksiva

Пусть будет утренний в честь того, что я его создал утром.