Dodano: środa, 13 listopada 2024r. Producent: Lantech (produkty w sklepie)

MACsec wydajny szyfrowany protokół komunikacji w sieciach Ethernet

Aktualny krajobraz kryptograficznych protokołów sieciowych jest dość wąski. Domyślnie TCP/IP nie oferuje żadnej gwarancji bezpieczeństwa. Internet Protocol Security (IPsec) to najczęściej używany bezpieczny zestaw protokołów sieciowych, który uwierzytelnia i szyfruje pakiety danych, aby zapewnić bezpieczną szyfrowaną komunikację między dwoma hostami, ale większość innych protokołów używanych obecnie jest zastrzeżona. IPsec działa na warstwie 3, zapewniając bezpieczeństwo poprzez wykorzystanie tuneli typu end-to-end. Są one szyfrowane tylko na końcach każdego tunelu. Główną wadą IPsec jest jego złożoność. Zazwyczaj nie tylko wymaga dedykowanego silnika szyfrującego, ale IPsec znacznie zwiększa rozmiar nagłówka Ethernet. Pogłębia to nieefektywność sieci i zwiększa ogólny koszt rozwiązania. Natomiast MACsec jest stosunkowo prostym protokołem, który tylko minimalnie rozszerza nagłówek. Ponieważ MACsec jest zwykle oparty na portach PHY, obsługuje łatwe uaktualnienia i szybką łączność do 100G przy niskim zużyciu energii i niskich kosztach. W przeciwieństwie do protokołu IPsec, możliwe jest wdrożenie protokołu MACsec jako prostej aktualizacji bez konieczności stosowania dedykowanego procesora bezpieczeństwa.

Jak działa protokół MACsec?

Gdy protokół MACsec jest włączony na łączu Ethernet typu punkt-punkt, łącze jest zabezpieczone po wymianie i weryfikacji pasujących kluczy bezpieczeństwa między interfejsami na obu końcach łącza. Klucz można skonfigurować ręcznie lub wygenerować dynamicznie, w zależności od trybu bezpieczeństwa używanego do włączania protokołu MACsec. Protokół MACsec wykorzystuje kombinację kontroli integralności danych i szyfrowania w celu zabezpieczenia ruchu przechodzącego przez łącze:

  • Integralność danych - protokół MACsec dołącza 8-bajtowy nagłówek i 16-bajtowy koniec do wszystkich ramek Ethernet przechodzących przez łącze zabezpieczone protokołem MACsec. Nagłówek i koniec są sprawdzane przez interfejs odbiorczy w celu upewnienia się, że dane nie zostały naruszone podczas przechodzenia przez łącze. Jeśli kontrola integralności danych wykryje jakiekolwiek nieprawidłowości w ruchu, ruch jest odrzucany.
  • Szyfrowanie - szyfrowanie zapewnia, że ​​dane w ramce Ethernet nie mogą być widoczne dla nikogo monitorującego ruch na łączu. Szyfrowanie MACsec jest opcjonalne i konfigurowalne przez użytkownika. Możesz włączyć MACsec, aby zapewnić, że kontrole integralności danych są wykonywane, jednocześnie wysyłając niezaszyfrowane dane „w jawnym” łączu zabezpieczonym przez MACsec, jeśli chcesz.

Uzgodnienie klucza MACsec

Protokół MACsec Key Agreement (MKA) zainstalowany na urządzeniu opiera się na strukturze IEEE 802.1X Extensible Authentication Protocol (EAP) w celu nawiązania komunikacji. Peery MACsec w tej samej sieci LAN należą do unikalnego stowarzyszenia łączności. Członkowie tego samego stowarzyszenia łączności identyfikują się za pomocą współdzielonego klucza Connectivity Association Key (CAK) i nazwy klucza Connectivity Association Key Name (CKN). CAK to klucz statyczny, który jest wstępnie skonfigurowany na każdym interfejsie obsługującym MACsec. Uwierzytelnianie MACsec opiera się na wzajemnym posiadaniu i potwierdzaniu wstępnie skonfigurowanego klucza CAK i nazwy klucza Connectivity Association Key Name (CKN).

Każde urządzenie równorzędne ustanawia pojedynczy jednokierunkowy bezpieczny kanał do przesyłania ramek MACsec (ramek Ethernet z nagłówkami MACsec, które zwykle przenoszą zaszyfrowane dane) do swoich równorzędnych urządzeń w ramach powiązania łączności. Powiązanie łączności składa się z dwóch bezpiecznych kanałów, jednego dla ruchu przychodzącego i jednego dla ruchu wychodzącego. Wszyscy równorzędni użytkownicy w ramach powiązania łączności używają tego samego zestawu szyfrów, albo Galois/Counter Mode Advanced Encryption Standard 128 lub 256 (GCM-AES-128 lub GCM-AES-256), dla funkcji bezpieczeństwa uwierzytelnianych przez MACsec.

Protokół MACsec Key Agreement (MKA) używa klucza Connectivity Association Key do wyprowadzania przejściowych kluczy sesji zwanych Secure Association Keys (SAK). SAK i inne parametry MKA są wymagane do podtrzymywania komunikacji przez bezpieczny kanał i wykonywania szyfrowania i innych funkcji bezpieczeństwa MACsec. SAK, wraz z innymi istotnymi informacjami kontrolnymi, są dystrybuowane w pakietach kontrolnych protokołu MKA, również określane jako MKPDU.

Zalety MACsec

  • Bezpieczeństwo typu punkt-punkt: chroni łącza Ethernet przed zagrożeniami, takimi jak odmowa usługi, włamania i podsłuchy,
  • Wysoka wydajność: szyfrowanie i odszyfrowywanie są obsługiwane przez sprzęt, co utrzymuje wydajność sieci,
  • Interoperacyjność dostawców: działa na urządzeniach różnych dostawców, zwiększając elastyczność sieci,

MACSec to technologia bezpieczeństwa zgodna ze standardem IEEE, która zapewnia bezpieczną komunikację dla całego ruchu na łączach Ethernet. Użytkownicy mogą używać urządzeń z MACsec od różnych dostawców, aby rozszerzyć bieżącą aplikację. MACsec zapewnia bezpieczeństwo typu punkt-punkt na łączach Ethernet między bezpośrednio połączonymi węzłami i jest w stanie identyfikować i zapobiegać większości zagrożeń bezpieczeństwa, w tym odmowie usługi, włamaniom, atakom typu man-in-the-middle, maskaradzie, pasywnemu podsłuchowi i atakom typu playback.

Szyfrowanie AES-256 sprawia, że ​​pakiety nie mogą zostać zmanipulowane, nawet jeśli zostaną przechwycone przez hakera. Szyfrowanie i deszyfrowanie są przetwarzane sprzętowo. Dlatego architektura hop-to-hop zmniejsza obciążenie przełącznika sieciowego, dzięki czemu system sieciowy może pracować z taką samą wydajnością jak zwykle. Formaty ramki MACsec są takie same, jak w przypadku standardowego Ethernetu, dzięki czemu nawet urządzenia sieciowe bez obsługi MACsec odbierają pakiet MACsec i mogą przesłać go na docelowy adres MAC.

Zapoznaj się z White Paper firmy Lantech

Źródło: Lantech Communications Global Tłumaczenie: Gamma Sp. z o.o.

Gamma Sp. z o.o. jest autoryzowanym dystrybutorem rozwiązań firmy Lantech Communications Global w Polsce. Zapraszamy do kontaktu z naszym działem handlowym.

Pozostałe aktualności:

Nowoczesne przekaźniki HVDC firmy Hongfa – gotowe na wyzwania elektromobilności i nowej energetyki

Nowoczesne przekaźniki HVDC firmy Hongfa – gotowe na wyzwania...

W ofercie przekaźników HVDC firmy Hongfa znajdują się zaawansowane modele przeznaczone do zastosowań w pojazdach...

środa, 23 kwietnia, 2025 Więcej

Kompaktowy 20W moduł zasilania ARCF20 firmy Arch Electronics

Kompaktowy 20W moduł zasilania ARCF20 firmy Arch Electronics

Firma Arch Electronics zaprezentowała najnowszy 20W ultra kompaktowy moduł zasilania ARCF20 do montażu na płytce...

środa, 23 kwietnia, 2025 Więcej

Microchip uzupełnia rodzinę tranzystorów MOSFET mocy zgodnych z normą MIL-PRF-19500/746, osiągace zdolność JANSF 300 Krad

Microchip uzupełnia rodzinę tranzystorów MOSFET mocy zgodnych z normą...

Firma Microchip Technology ogłosiła wprowadzenie rodziny tranzystorów MOSFET mocy wzmocnionych na promieniowanie...

piątek, 18 kwietnia, 2025 Więcej

RedRock® RR133-1E83-511 czujnik magnetyczny TMR o częstotliwości 1000Hz i najniższym poborze mocy w branży

RedRock® RR133-1E83-511 czujnik magnetyczny TMR o częstotliwości 1000Hz...

Firma Coto Technology zaprezentowała czujnik magnetyczny RedRock® RR133-1E83-511 oparty na technologii TMR...

czwartek, 17 kwietnia, 2025 Więcej

15,6-calowy kiosk samoobsługowy ISS-15K5 firmy Avalue Technology Inc. dla inteligentnych usług w różnych branżach

15,6-calowy kiosk samoobsługowy ISS-15K5 firmy Avalue Technology Inc....

ISS-15K5 firmy Avalue Technology Inc. to15,6-calowy samoobsługowy kiosk zaprojektowany, aby zrewolucjonizować...

czwartek, 17 kwietnia, 2025 Więcej

650V diody krzemowe Qspeed firmy Power Integrations zastępują rozwiązania SiC w serwerach AI, telekomunikacji, oraz zastosowaniach przemysłowych

650V diody krzemowe Qspeed firmy Power Integrations zastępują...

Ultraszybkie diody Qspeed serii H firmy Power Integrations są teraz dostępne z wartościami znamionowymi 650V do 30A.

środa, 16 kwietnia, 2025 Więcej