При запуске RADIUS через WPA2 Enterprise и 802.1x клиенты, желающие получить доступ к сети, должны предоставить действительные учетные данные. Однако это не мешает злоумышленникам подделывать действительные MAC-адреса клиентов, чтобы получить доступ к службам с аутентификацией MAC, работающим в сети. Предотвращает ли это появление протокола RADIUS, чтобы клиент с определенным MAC-адресом гарантированно имел этот уникальный MAC-адрес в сети, пока он остается подключенным?
..это не мешает злонамеренным клиентам подделывать действительные MAC-адреса клиентов.
Нет, это не так и не предназначено. Целью RADIUS является аутентификация допустимых пользователей / служб, RADIUS работает в Уровень приложения. Белый список MAC эффективно обходит это, и да, создает лазейку, которая позволит кому-либо получить доступ к этим ресурсам. Если вас это беспокоит, лучше вообще отключить аутентификацию MAC.
Кроме того, ничто не гарантирует, что узел будет иметь уникальный MAC или IP, пока он находится в сети. Да, по замыслу, все узлы получают уникальный IP-адрес на заводе, и если вы используете DHCP-сервер, он «не должен» выдавать уже арендованный адрес, но пакеты могут создавать люди в черных свитерах с капюшоном и в Guy Маски Фокса, чтобы пакет выглядел так, как будто он пришел с определенного Mac или IP.
Это не значит, что ваша сеть не может быть настроена на обнаружение одного MAC-адреса, поступающего на несколько портов, но это частично выходит за рамки моего опыта и может выходить за рамки этого вопроса.