AFAIK Los switches Cisco basan sus decisiones de reenvío basadas en MAC; independientemente de qué autenticación ocurrió primero.
Puede usar la seguridad del puerto para imponer la autenticación MAC, pero como se comentó, es fácil de falsificar.
Una mejor opción es 802.1X (Cisco se refiere a él como dot1x);
por lo que, a medida que aparece un puerto, solicita al cliente que se autentique, realiza una vuelta atrás que se autentica a un servidor de radio / TACACS y, según la respuesta, permite el reenvío de tráfico en ese puerto (en la VLAN definida por el servidor)
Esto también se puede usar para NAC: si un host legítimo no pasa las comprobaciones de estado (actualizaciones de AV / Windows actualizadas) se puede poner en cuarentena en una VLAN de remediación para actualizarse antes de poder unirse a la red principal.
Sin embargo, en última instancia, si un host ha pasado la autenticación dot1X, todas las tramas obtenidas en ese puerto, con la dirección MAC esperada se reenviarán sin más autenticación.
Una opción mucho más resistente (que también cubre el tráfico remoto de Layer3) es IPSEC; Mi experiencia principal con esto es Windows, aunque Linux es capaz (¿Racoon? - aunque más complejo de administrar) puede aplicar políticas de tráfico IPSEC, por lo que los paquetes IP individuales tienen un encabezado de autenticación para probar la identidad del remitente (computadora, usuario o ambos); y si el receptor no puede validar esa información, el paquete se descarta incluso antes de pasar la pila a la aplicación (posiblemente vulnerable).
Por definición, causa problemas de interoperabilidad con dispositivos externos o no de dominio (por ejemplo, impresoras), que pueden resolverse con confianzas de dominio (dada una política IPSEC similar) o certificados de dispositivo (de cadena confiable)
Puede configurar la política IPSEC no solo para autenticar conexiones, sino también para cifrar los datos; lo que hace que la mayoría de los ataques MitM sean inútiles.
Puede identificar intentos de conexiones no seguras IPSEC (o aquellas que fallan en la autenticación) en los registros de eventos.