MACsec (Mídia Access Security Control )

Posted by Paulo CUATO on 03:36
Mídia Access Security Control (MACsec) é uma tecnologia de segurança padrão da indústria que fornece comunicação segura para todo o tráfego em links Ethernet. MACsec proporciona segurança ponto-a-ponto em links Ethernet entre os nós diretamente conectados e é capaz de identificar e prevenir a maioria das ameaças de segurança, incluindo a negação de serviço, intrusão, man-in-the-middle, ataques disfarçados, escutas telefônicas passiva, e de reprodução. MACsec é padronizado em IEEE 802.1AE.

MACsec permite-lhe assegurar uma ligação Ethernet para quase todo o tráfego, incluindo quadros da camada de enlace (LLDP) Discovery Protocol, Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), endereço de protocolo de resolução (ARP), e outro protocolos que não são normalmente garantidos em um link de Ethernet por causa de limitações com outras soluções de segurança. MACsec pode ser usado em combinação com outros protocolos de segurança, tais como IP Security (IPsec) e Secure Sockets Layer (SSL) para fornecer uma extremidade-a-extremidade da rede de segurança.

Este tópico contém as seguintes seções:


  • Como funciona MACsec
  • Compreender Conectividade Associações e canais seguros
  • Modos de Entendimento MACsec Segurança
  • Compreender os requisitos que permitem a MACsec em um Link switch-to-Host
  • Noções básicas sobre requisitos de hardware MACsec para Switches da série EX e QFX Series
  • Noções básicas sobre requisitos de software para MACsec Switches da série EX e QFX Series
  • Compreender o requisito MACsec licença do recurso
  • MACsec Limitações
  • Como funciona MACsec


MACsec fornece segurança padrão da indústria, através do uso de links Ethernet ponto-a-ponto garantidos. Os links ponto-a-ponto são garantidos após o cruzamento teclas de um segurança de chave pré-compartilhada configurada pelo usuário quando você habilita MACsec usando chave associação conectividade estática (CAK) modo de segurança, a chave estática associação seguro configurado pelo usuário quando você habilita MACsec usando chave associação segura (SAK) Modo de segurança estática, ou uma chave dinâmica incluída como parte do aperto de mão AAA com o servidor RADIUS quando você habilita MACsec usando o modo de segurança dinâmica são trocados e verificou entre as interfaces em cada extremidade do ponto-a- apontar link Ethernet. Outros parâmetros configuráveis ​​pelo usuário, como o endereço MAC ou a porta, ela também deve corresponder às interfaces em cada lado do link para ativar MACsec. Veja Configurando o Media Access Control Segurança (MACsec) .

Uma vez MACsec é habilitado em um link Ethernet ponto-a-ponto, todo o tráfego que atravessa o link é MACsec-fixada através do uso de verificação de integridade de dados e, se for configurado, criptografia.

Os controlos de integridade de dados a verificar a integridade dos dados. MACsec acrescenta um cabeçalho de 8 bytes e uma cauda de 16 bytes para todos os quadros Ethernet atravessando o ponto-a-ponto link Ethernet MACsec-protegido, e o cabeçalho e cauda são verificados pela interface de recepção para garantir que os dados não foi comprometida enquanto atravessando o link. Se a verificação de integridade de dados detecta nada irregular sobre o tráfego, o tráfego é descartado.

MACsec também pode ser usada para criptografar todo o tráfego no link Ethernet. A criptografia usada por MACsec garante que os dados no quadro Ethernet não pode ser visto por qualquer pessoa monitorando o tráfego no link. Criptografia MACsec é opcional e configurável pelo usuário; você pode habilitar MACsec para garantir as verificações de integridade de dados são realizados enquanto ainda o envio de dados sem criptografia "em claro" sobre o link MACsec-fixada, se for o caso.

MACsec está configurado em links ponto-a-ponto entre as interfaces Ethernet MACsec-capazes. Se você quiser ativar MACsec em vários links Ethernet, você deve configurar MACsec individualmente em cada link Ethernet ponto-a-ponto.

Compreender Conectividade Associações e canais seguros

MACsec está configurado em associações de conectividade. MACsec é ativado quando uma associação de conectividade é atribuído a um interface.

Quando você estiver configurando MACsec usando o modo de segurança estática chave associação segura (SAK), você deve configurar canais seguros dentro de uma associação de conectividade. Os canais seguros são responsáveis ​​pela transmissão e recepção de dados no link MACsec habilitado, e também responsável pela transmissão Saks através do link para ativar e manter MACsec. Um único canal seguro é uni-direcional de que só pode ser usado para aplicar MACsec para o tráfego de entrada ou de saída. A associação típica conectividade quando MACsec está habilitado a utilizar o modo de segurança SAK contém dois canais e um seguro canal seguro para o tráfego de entrada e outro canal seguro para o tráfego de saída.

Quando você habilita MACsec usando o modo de segurança dinâmica CAK estática ou, você tem que criar e configurar uma associação de conectividade. Dois canais e um seguro canal seguro para o tráfego de entrada e outra de saída canal seguro para o tráfego são criados automaticamente. Os canais seguros automaticamente criados não temos parâmetros configuráveis ​​pelo usuário; toda a configuração é feita em associação a conectividade fora dos canais seguros.

Modos de Entendimento MACsec Segurança

Compreender modo estático Conectividade Security Association Key (recomendado Modo de Segurança para o switch-a-Switch Links)
Quando você habilita MACsec usando chave associação conectividade estática (CAK) Modo de segurança, duas chaves-a Chave de Segurança associação conectividade (CAK), que protege o tráfego plano de controle e uma chave de associação seguro gerado aleatoriamente (SAK) que prende o tráfego são plano de dados utilizados para assegurar a ligação Ethernet ponto-a-ponto. Ambas as chaves são regularmente trocadas entre ambos os dispositivos em cada extremidade do link Ethernet ponto-a-ponto para garantir a segurança link.

Inicialmente, você estabelecer uma ligação MACsec-protegido usando uma chave pré-compartilhada quando você estiver usando o modo de segurança CAK estática para permitir MACsec. A chave pré-compartilhada inclui um nome de associação de conectividade (CKN) e da própria chave associação conectividade (CAK). O CKN e CAK são configurados pelo usuário na associação conectividade e devem corresponder em ambas as extremidades do link para ativar inicialmente MACsec.

Uma vez correspondentes chaves pré-compartilhadas são trocadas com sucesso, o (MKA) protocolo de acordo Key MACsec está habilitado. O protocolo MKA é responsável pela manutenção MACsec no link, e decide que ligar o link ponto-a-ponto se torna o servidor de chaves. O servidor de chaves, em seguida, cria uma SAK que é compartilhado com a chave na outra extremidade de apenas o link ponto-a-ponto, e que SAK é usado para proteger todo o tráfego de dados percorrendo o link. O servidor de chaves continuará a criar periodicamente e compartilhar um SAK aleatoriamente criado através do link ponto-a-ponto, enquanto MACsec está habilitado.

Você habilitar MACsec usando o modo de segurança estática CAK, configurando uma associação de conectividade em ambas as extremidades do link. Toda a configuração é feita dentro da associação de conectividade, mas fora do canal seguro. Dois canais e um seguro para o tráfego de entrada e outra para saída de tráfego-são criados automaticamente quando utilizar o modo de segurança CAK estática. Os canais seguros automaticamente criados não temos parâmetros configuráveis ​​pelo usuário que não pode já ser configuradas da associação conectividade.

Recomendamos que mude MACsec em links switch-a-switch usando o modo de segurança estática CAK. Modo de segurança CAK estática garante a segurança por freqüentemente refrescante para uma nova chave de segurança aleatório e por apenas compartilhar a chave de segurança entre os dois dispositivos no link MACsec-fixada ponto-a-ponto. Além disso, alguns MACsec proteção opcional recursos de replay, SCI marcação, ea capacidade de excluir o tráfego de MACsec-só estão disponíveis quando você ativar MACsec usando o modo de segurança CAK estática.

Veja Configurando o Media Access Control Segurança (MACsec) para obter instruções passo-a-passo sobre como ativar MACsec usando o modo de segurança CAK estática.

Compreender dinâmica segura Modo de Segurança Association Key (chave-to-host links)
Associação seguro modo de segurança de chave dinâmica é usada para ativar MACsec em um link switch-to-host.

Para habilitar MACsec em um elo de ligação um ponto de extremidade do dispositivo, como um servidor, telefone, ou pessoal de computador a um interruptor, o dispositivo deve suportar endpoint MACsec e deve estar executando um software que lhe permite ativar uma conexão MACsec-fixada. Ao configurar MACsec em um link switch-to-host, as teclas de acordo Key MACsec (MKA), que estão incluídos como parte de autenticação 802.1X, são recuperados a partir de um servidor RADIUS como parte do aperto de mão AAA. A chave mestra é transmitida a partir do servidor RADIUS para o interruptor e para o servidor RADIUS para o anfitrião em transações de autenticação independentes. A chave mestra é então passada entre o switch eo host para criar uma conexão MACsec-fixada.

A associação seguro usando o modo de segurança associação seguro dinâmica deve ser configurado no interface Ethernet do interruptor que se conecta ao host para que o interruptor para criar uma conexão MACsec-fixada após receber as chaves MKA do servidor RADIUS.

O servidor RADIUS deve estar usando Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), a fim de apoiar MACsec. Os servidores RADIUS que suportam outros frameworks de autenticação amplamente utilizados, tais como senha ou somente md5, não pode ser usado para apoiar MACsec. A fim de permitir MACsec em um switch para garantir uma conexão com um host, você deve estar usando a autenticação 802.1X no servidor RADIUS. MACsec deve ser configurado no modo dinâmico. MACsec ainda está habilitado usando associações de conectividade quando ativado em um link switch-to-host, como é em um link switch-to-switch.

Compreender estático Segura Modo de Segurança Association Key (com suporte para o switch-a-Switch Links)
Quando você habilita MACsec usando o modo de segurança estática chave associação segura (SAK), um de até dois configurado manualmente Saks é usado para proteger o tráfego de dados no link Ethernet ponto-a-ponto. Todos os nomes e valores SAK são configurados pelo usuário; não há nenhum servidor de chaves ou outra ferramenta que cria Saks. Segurança é mantida no link Ethernet ponto-a-ponto, rodando periodicamente entre as duas chaves de segurança. Cada nome de chave de segurança e de valor deve ter um valor correspondente na interface correspondente na outra extremidade da ligação Ethernet ponto-a-ponto para manter MACsec na ligação.

Você configura Saks dentro de canais seguros quando você ativar MACsec usando o modo de segurança SAK estática. Você configura canais seguros dentro de associações de conectividade. A associação conectividade típico para MACsec usando o modo de segurança SAK estática contém dois canais e um seguro para o tráfego de entrada e outra para saída de tráfego-que foram, cada um configurado com dois configurada manualmente Saks. Você deve anexar a associação conectividade com as configurações de canal seguro para uma interface para permitir MACsec usando o modo de segurança SAK estática.

Recomendamos que mude MACsec usando o modo de segurança estática CAK. Você só deve usar o modo de segurança SAK estática, se você tem uma boa razão para usá-lo em vez do modo de segurança estática CAK.

Veja Configurando o Media Access Control Segurança (MACsec) para obter instruções passo-a-passo sobre como ativar MACsec usando Saks.

Os requisitos que permitem a MACsec em um Link switch-to-Host

Ao configurar MACsec em um link switch-to-host, as teclas de acordo Key MACsec (MKA), que estão incluídos como parte de autenticação 802.1X, são recuperados a partir de um servidor RADIUS como parte do aperto de mão AAA. A chave mestra é transmitida a partir do servidor RADIUS para o interruptor e para o servidor RADIUS para o anfitrião em transações de autenticação independentes. A chave mestra é então passada entre o switch eo host para criar uma conexão MACsec-fixada.

Os seguintes requisitos devem ser atendidos, a fim de permitir MACsec em um link de conectar um dispositivo de acolhimento a um switch.

O dispositivo host:

deve apoiar MACsec e deve estar executando software que lhe permite ativar uma conexão MACsec-presa com o interruptor.
O switch:

deve ser um EX4200, EX4300, ou switch EX4550 correndo Junos OS lançamento 14.1X53-D10 ou mais tarde
deve ser configurado em associação seguro modo de segurança de chave dinâmica.
deve estar usando a autenticação 802.1X para se comunicar com o servidor RADIUS.
O servidor RADIUS:

deve estar usando o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) estrutura de autenticação.
Nota: Os servidores RADIUS que suportam outros frameworks de autenticação amplamente utilizados, tais como senha ou somente md5, não pode ser usado para apoiar MACsec.
deve estar usando a autenticação 802.1X.
pode ser vários saltos do interruptor e o dispositivo host.
Noções básicas sobre requisitos de hardware MACsec para Switches da série EX e QFX Series

MACsec é suportada atualmente nas seguintes interfaces de switch da série EX e QFX Série:

As conexões de porta de uplink no módulo de uplink SFP + MACsec que pode ser instalado em switches da série EX4200.
Todas as portas de acesso e de uplink em switches EX4300.
Todas as interfaces ópticas EX4550 que usam a LC tipo de conexão. Veja Transceptores plugáveis ​​suportados em Switches EX4550 .
Todas as interfaces SFP + vinte e quatro fixos em um switch EX4600.
Todos os oito SFP + interfaces no módulo de expansão EX4600-EM-8F, quando instalado em um switch EX4600 ou QFX5100-24Q.
MACsec podem ser configurados em interfaces de switch com suporte quando esses interruptores são configurados em um Chassi Virtual ou Virtual Chassis Tecido (VCF), incluindo quando as interfaces MACsec apoiados estão em comutadores membros em uma Virtual Chassis ou VCF misto que inclui as interfaces de switch que não suportam MACsec. MACsec, no entanto, não pode ser habilitado em portos Virtual Chassis (VCPs) para proteger o tráfego de viajar entre os switches membros em um Virtual Chassis ou VCF.

.
Categories: