Kwalifikacja: INF.06 - Montaż i eksploatacja szerokopasmowych sieci kablowych pozabudynkowych

W tym pytaniu bardzo łatwo złapać się na pozornie logiczne skojarzenia, bo wszystkie wymienione pola faktycznie występują gdzieś w komunikacji sieciowej. Różnica polega na tym, na której warstwie modelu OSI działa klasyczna zapora sieciowa i jakie informacje realnie wykorzystuje do podejmowania decyzji. Standardowy firewall filtrujący pakiety pracuje przede wszystkim na warstwie sieciowej (IP) i transportowej (TCP/UDP). Z tego powodu adres IP nadawcy oraz porty nadawcy i odbiorcy są dla niego absolutnie kluczowymi elementami. To właśnie po tych parametrach definiuje się większość reguł: zezwalanie na ruch z konkretnych podsieci IP, blokowanie portów związanych z niechcianymi usługami, ograniczanie połączeń przychodzących na wybrane porty serwera itp. To jest podstawowa, zgodna z dobrymi praktykami, metoda kontroli ruchu w sieci – opisana w dokumentacji praktycznie każdego producenta firewalli oraz w materiałach do certyfikatów sieciowych. Typowym błędem myślowym jest wrzucenie do jednego worka wszystkich „adresów” i założenie, że skoro firewall coś filtruje, to może równie dobrze patrzeć na adres fizyczny nadawcy, czyli adres MAC. Problem w tym, że adres MAC należy do warstwy 2, używany jest lokalnie w obrębie jednej sieci LAN i nie przechodzi przez routery w takiej formie, jak IP. Gdy pakiet wędruje przez Internet, na każdym kolejnym przeskoku zmienia się nagłówek warstwy 2, a z perspektywy zapory na brzegu sieci publicznej informacje o oryginalnym MAC klienta po prostu nie są dostępne lub nie mają sensu. W efekcie port nadawcy, port odbiorcy i adres IP nadawcy są typowymi, poprawnymi kryteriami analizy stosowanymi w firewallach pakietowych i stanowych, natomiast adres fizyczny nadawcy nie jest standardowo używany do filtracji ruchu na takim poziomie. Mylenie tych warstw prowadzi właśnie do niepoprawnego wniosku, że firewall analizuje MAC tak samo chętnie jak IP, co w większości realnych wdrożeń po prostu się nie sprawdza.