Насколько я понимаю аутенификация происходит только по IP-адресам, DNS-имени и имени хоста:
1. Сервер обращается к узлу по IP-адресу или имени и всегда считает что попал куда нужно, а узел смотрит с какого IP пришел запрос (или и какого DNS-имени через реверс DNS, если я правильно документацию понял).
2. Узел обращается к серверу и всегда считает, что обратился куда нужно, а сервер определяет узел по HostName.

Пока как более-менее более строгий способ понять, что узел тот, за кого себя выдает придумал к осмысленному имени узла прибавлять какие-то случайные символы, например чтобы узлы назывались: myserver-sj7Lsdj


Ничего более строгого нет или я не нашел?

В Zabbix между клиентом и сервером нет аутентификации. Нужна аутентификация, используйте IPSEC. т.е. поднимаете IPSEC туннель между Zabbix клиентом и сервером и весь трафик будет идти по этому туннелю. Соответственно будет проведена надежная аутентификация средствами IPSEC и трафик будет зашифрован.

Насколько я понимаю трафик будет зашифрован и будет гарантировано идти с одной из машин, до которых проброшены тунели, после подключения к Zabbix - zabbix будет верить клиенту что это он без всяких проверок.

Иными словами:
предполагается массовая публичная услуга и скорее всего через какое-то время появится злоумышленник, который из каких-то соображений будет пытаться подменить статистику статистику какой-то другой машины.

Предполагаемая ситуация:
У клиента A есть право подключаться к Zabbix с хостом host-1
У клиента B есть право подключаться к Zabbix с хостом host-2

Оба пользуются Zabbix-агентами в активном режиме.

Клиент A используя свой канал подключения подключается к Zabbix и представляется клиентом B.

Есть ли способ предотвратить такую подмену?
Сейчас вижу выход в пропускании каких-то крупных клиентов или клиентов, с которыми возникнет подобная проблема через отдельные Zabbix-прокси. Тут еще один вопрос - если на Zabbix настроена работа клиента через прокси, а данные пришли напрямую или с другого прокси - будут ли они приняты?

Предполагаемая ситуация:
У клиента A есть право подключаться к Zabbix с хостом host-1
У клиента B есть право подключаться к Zabbix с хостом host-2

Оба пользуются Zabbix-агентами в активном режиме.

Клиент A используя свой канал подключения подключается к Zabbix и представляется клиентом B.

Есть ли способ предотвратить такую подмену?

В текущей стабильной версии 1.8.2 нет. Вы можете разместить запрос на новую фичу https://support.zabbix.com/secure/IssueNavigator.jspa , предварительно поискав, не было ли его ранее.


Сейчас вижу выход в пропускании каких-то крупных клиентов или клиентов, с которыми возникнет подобная проблема через отдельные Zabbix-прокси. Тут еще один вопрос - если на Zabbix настроена работа клиента через прокси, а данные пришли напрямую или с другого прокси - будут ли они приняты?
Это легко проверяется. Проверьте.

Тут еще один вопрос - если на zabbix настроена работа клиента через прокси, а данные пришли напрямую или с другого прокси - будут ли они приняты?
Не будут приняты.