Prawidłowo wskazany został adres fizyczny nadawcy, czyli adres MAC. Kluczowa sprawa: klasyczna zapora sieciowa (firewall warstwy 3/4, zgodnie z modelem ISO/OSI) filtruje ruch głównie na podstawie informacji z nagłówków IP i TCP/UDP, a więc patrzy na adresy IP nadawcy i odbiorcy, numery portów oraz protokoły. To są podstawowe pola, na których buduje się reguły typu: „blokuj ruch z tego IP na port 22” albo „zezwól na HTTP/HTTPS z sieci lokalnej do Internetu”. Adres MAC działa w warstwie 2, na poziomie ramki Ethernet, i w większości klasycznych firewalli brzegowych po prostu nie jest brany pod uwagę przy analizie pakietu IP. Ramka warstwy 2 jest w wielu przypadkach zdejmowana przez router, zanim pakiet trafi do logiki firewalla, więc firewall dostaje już „goły” pakiet IP, bez kontekstu MAC z poprzedniego segmentu sieci. Moim zdaniem ważne jest też to, że adres MAC ma znaczenie głównie w ramach jednego segmentu LAN, a nie w komunikacji między sieciami routowanymi. Dlatego w dobrych praktykach projektowania bezpieczeństwa na brzegu sieci opieramy się na filtracji IP/port/protokół, a nie na MAC. Oczywiście istnieją rozwiązania typu firewall w przełącznikach (np. ACL-e na switchach warstwy 2/3), które mogą uwzględniać adres MAC, ale to raczej mechanizmy na poziomie dostępowym, a nie standardowy firewall filtrujący ruch między siecią wewnętrzną a Internetem. W praktyce administracyjnej reguły firewalla, które konfigurujesz w routerach, UTM-ach czy zaporach sprzętowych, zawsze operują na IP, portach (TCP/UDP) i czasem na bardziej zaawansowanych parametrach (aplikacje, użytkownicy, strefy bezpieczeństwa), a nie na adresach fizycznych kart sieciowych. Dlatego wybór „adres fizyczny nadawcy” idealnie pasuje do treści pytania.
Trudność w tym pytaniu wynika głównie z pomieszania warstw modelu ISO/OSI. W praktyce wiele osób intuicyjnie zakłada, że skoro firewall „widzi” wszystko, co przechodzi przez interfejs sieciowy, to musi też analizować adres MAC. Tymczasem typowa zapora sieciowa, zgodnie z dobrymi praktykami branżowymi i dokumentacją producentów (Cisco, Fortinet, Mikrotik, Palo Alto itd.), pracuje przede wszystkim w warstwie trzeciej i czwartej, czyli patrzy na adresy IP oraz porty TCP/UDP. Port nadawcy i port odbiorcy to podstawowe elementy identyfikujące połączenie w modelu TCP/IP. Na ich podstawie firewall może rozróżnić, czy ruch dotyczy np. HTTP (port 80), HTTPS (443), SSH (22) czy jakiejś usługi niestandardowej. Dodatkowo, kontrola portu źródłowego bywa przydatna przy różnych formach filtrowania, chociaż częściej skupiamy się na porcie docelowym. Adres IP nadawcy jest z kolei jednym z najważniejszych pól przy tworzeniu reguł bezpieczeństwa. To właśnie na IP nadawcy buduje się listy dozwolonych sieci, reguły typu „blokuj ruch z tego kraju” czy „zezwól tylko wybranym hostom administracyjnym”. W dokumentacjach do firewalli znajdziesz zawsze przykłady polityk opartych o IP źródłowe i docelowe, bo jest to fundament filtracji pakietów w sieciach routowanych. Błędne założenie bierze się często z mylenia działania przełącznika warstwy 2 z działaniem firewalla. Przełącznik faktycznie operuje na adresach MAC i buduje tablicę MAC, żeby przekazywać ramki we właściwe miejsce w sieci lokalnej. Firewall, szczególnie brzegowy, interesuje się głównie nagłówkiem IP oraz warstwą transportową. Adres fizyczny nadawcy, czyli MAC, jest istotny tylko w ramach jednego segmentu LAN. Po przejściu przez router ramka jest przeopakowywana, a adres MAC nadawcy i odbiorcy zmienia się na kolejnym odcinku. Dlatego nie ma sensu opierać filtracji między sieciami na MAC, bo ten adres nie „przechodzi” przez kolejne routery w Internecie. Z mojego doświadczenia wynika, że mylenie tych pojęć prowadzi do złego projektowania polityk bezpieczeństwa, np. prób zabezpieczania dostępu zdalnego na podstawie MAC, co w ogóle nie zadziała przez Internet. W poprawnym podejściu zakładamy, że firewall analizuje porty i adresy IP, a adres fizyczny jest domeną przełączników i mechanizmów typu port security w sieci lokalnej, a nie głównym kryterium klasycznej filtracji pakietów.