MACsec wydajny szyfrowany protokół komunikacji w sieciach Ethernet

Aktualny krajobraz kryptograficznych protokołów sieciowych jest dość wąski. Domyślnie TCP/IP nie oferuje żadnej gwarancji bezpieczeństwa. Internet Protocol Security (IPsec) to najczęściej używany bezpieczny zestaw protokołów sieciowych, który uwierzytelnia i szyfruje pakiety danych, aby zapewnić bezpieczną szyfrowaną komunikację między dwoma hostami, ale większość innych protokołów używanych obecnie jest zastrzeżona. IPsec działa na warstwie 3, zapewniając bezpieczeństwo poprzez wykorzystanie tuneli typu end-to-end. Są one szyfrowane tylko na końcach każdego tunelu. Główną wadą IPsec jest jego złożoność. Zazwyczaj nie tylko wymaga dedykowanego silnika szyfrującego, ale IPsec znacznie zwiększa rozmiar nagłówka Ethernet. Pogłębia to nieefektywność sieci i zwiększa ogólny koszt rozwiązania. Natomiast MACsec jest stosunkowo prostym protokołem, który tylko minimalnie rozszerza nagłówek. Ponieważ MACsec jest zwykle oparty na portach PHY, obsługuje łatwe uaktualnienia i szybką łączność do 100G przy niskim zużyciu energii i niskich kosztach. W przeciwieństwie do protokołu IPsec, możliwe jest wdrożenie protokołu MACsec jako prostej aktualizacji bez konieczności stosowania dedykowanego procesora bezpieczeństwa.

Jak działa protokół MACsec?

Gdy protokół MACsec jest włączony na łączu Ethernet typu punkt-punkt, łącze jest zabezpieczone po wymianie i weryfikacji pasujących kluczy bezpieczeństwa między interfejsami na obu końcach łącza. Klucz można skonfigurować ręcznie lub wygenerować dynamicznie, w zależności od trybu bezpieczeństwa używanego do włączania protokołu MACsec. Protokół MACsec wykorzystuje kombinację kontroli integralności danych i szyfrowania w celu zabezpieczenia ruchu przechodzącego przez łącze:

• Integralność danych - protokół MACsec dołącza 8-bajtowy nagłówek i 16-bajtowy koniec do wszystkich ramek Ethernet przechodzących przez łącze zabezpieczone protokołem MACsec. Nagłówek i koniec są sprawdzane przez interfejs odbiorczy w celu upewnienia się, że dane nie zostały naruszone podczas przechodzenia przez łącze. Jeśli kontrola integralności danych wykryje jakiekolwiek nieprawidłowości w ruchu, ruch jest odrzucany.
• Szyfrowanie - szyfrowanie zapewnia, że ​​dane w ramce Ethernet nie mogą być widoczne dla nikogo monitorującego ruch na łączu. Szyfrowanie MACsec jest opcjonalne i konfigurowalne przez użytkownika. Możesz włączyć MACsec, aby zapewnić, że kontrole integralności danych są wykonywane, jednocześnie wysyłając niezaszyfrowane dane „w jawnym” łączu zabezpieczonym przez MACsec, jeśli chcesz.

Uzgodnienie klucza MACsec

Protokół MACsec Key Agreement (MKA) zainstalowany na urządzeniu opiera się na strukturze IEEE 802.1X Extensible Authentication Protocol (EAP) w celu nawiązania komunikacji. Peery MACsec w tej samej sieci LAN należą do unikalnego stowarzyszenia łączności. Członkowie tego samego stowarzyszenia łączności identyfikują się za pomocą współdzielonego klucza Connectivity Association Key (CAK) i nazwy klucza Connectivity Association Key Name (CKN). CAK to klucz statyczny, który jest wstępnie skonfigurowany na każdym interfejsie obsługującym MACsec. Uwierzytelnianie MACsec opiera się na wzajemnym posiadaniu i potwierdzaniu wstępnie skonfigurowanego klucza CAK i nazwy klucza Connectivity Association Key Name (CKN).

Każde urządzenie równorzędne ustanawia pojedynczy jednokierunkowy bezpieczny kanał do przesyłania ramek MACsec (ramek Ethernet z nagłówkami MACsec, które zwykle przenoszą zaszyfrowane dane) do swoich równorzędnych urządzeń w ramach powiązania łączności. Powiązanie łączności składa się z dwóch bezpiecznych kanałów, jednego dla ruchu przychodzącego i jednego dla ruchu wychodzącego. Wszyscy równorzędni użytkownicy w ramach powiązania łączności używają tego samego zestawu szyfrów, albo Galois/Counter Mode Advanced Encryption Standard 128 lub 256 (GCM-AES-128 lub GCM-AES-256), dla funkcji bezpieczeństwa uwierzytelnianych przez MACsec.

Protokół MACsec Key Agreement (MKA) używa klucza Connectivity Association Key do wyprowadzania przejściowych kluczy sesji zwanych Secure Association Keys (SAK). SAK i inne parametry MKA są wymagane do podtrzymywania komunikacji przez bezpieczny kanał i wykonywania szyfrowania i innych funkcji bezpieczeństwa MACsec. SAK, wraz z innymi istotnymi informacjami kontrolnymi, są dystrybuowane w pakietach kontrolnych protokołu MKA, również określane jako MKPDU.

Zalety MACsec

• Bezpieczeństwo typu punkt-punkt: chroni łącza Ethernet przed zagrożeniami, takimi jak odmowa usługi, włamania i podsłuchy,
• Wysoka wydajność: szyfrowanie i odszyfrowywanie są obsługiwane przez sprzęt, co utrzymuje wydajność sieci,
• Interoperacyjność dostawców: działa na urządzeniach różnych dostawców, zwiększając elastyczność sieci,

MACSec to technologia bezpieczeństwa zgodna ze standardem IEEE, która zapewnia bezpieczną komunikację dla całego ruchu na łączach Ethernet. Użytkownicy mogą używać urządzeń z MACsec od różnych dostawców, aby rozszerzyć bieżącą aplikację. MACsec zapewnia bezpieczeństwo typu punkt-punkt na łączach Ethernet między bezpośrednio połączonymi węzłami i jest w stanie identyfikować i zapobiegać większości zagrożeń bezpieczeństwa, w tym odmowie usługi, włamaniom, atakom typu man-in-the-middle, maskaradzie, pasywnemu podsłuchowi i atakom typu playback.

Szyfrowanie AES-256 sprawia, że ​​pakiety nie mogą zostać zmanipulowane, nawet jeśli zostaną przechwycone przez hakera. Szyfrowanie i deszyfrowanie są przetwarzane sprzętowo. Dlatego architektura hop-to-hop zmniejsza obciążenie przełącznika sieciowego, dzięki czemu system sieciowy może pracować z taką samą wydajnością jak zwykle. Formaty ramki MACsec są takie same, jak w przypadku standardowego Ethernetu, dzięki czemu nawet urządzenia sieciowe bez obsługi MACsec odbierają pakiet MACsec i mogą przesłać go na docelowy adres MAC.

Zapoznaj się z White Paper firmy Lantech