Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração do MACsec

Visão geral da configuração

O Media Access Control Security (MACsec) é uma tecnologia de segurança padrão do setor que fornece comunicação segura para quase todos os tipos de tráfego em links Ethernet. O MACsec oferece segurança ponto a ponto em links Ethernet entre nós diretamente conectados e é capaz de identificar e prevenir a maioria das ameaças de segurança, incluindo negação de serviço, intrusão, homem no meio, máscaras, escutas passivas e ataques de playback. O MACsec é padronizado no IEEE 802.1AE.

Você pode configurar o MACsec para proteger links Ethernet ponto a ponto que conectam switches ou em links Ethernet que conectam um switch a um dispositivo host, como um PC, telefone ou servidor. Cada link Ethernet ponto a ponto que você deseja proteger usando MACsec deve ser configurado de forma independente. Você pode habilitar o MACsec em links de switch para switch usando o modo de segurança de chave de conectividade dinâmica ou estática (CAK). Ambos os processos são fornecidos neste documento.

Para obter informações sobre a configuração do MACsec em portas de controle e malha de firewalls da Série SRX suportados na configuração do cluster do chassi, consulte Media Access Control Security (MACsec) no Chassis Cluster.

Nota:

Em firewalls da Série SRX, você pode configurar o MACsec no modo roteado; O MACsec não é suportado em modo transparente.

Antes de começar

Antes de habilitar o MACsec, você deve garantir que a diferença entre sua unidade de transmissão máxima de mídia de interface (MTU) e o MTU de protocolo seja grande o suficiente para acomodar os 32 bytes adicionais de sobrecarga MACsec.

Para saber como configurar o MTU da interface e o MTU de protocolo, não consulte nenhum título de link.

Configuração do MACsec no modo CAK estático

Você pode habilitar o MACsec usando o modo de segurança da chave de associação de conectividade estática (CAK) em um link Ethernet ponto a ponto que conecta switches ou roteadores. Isso pode ser um link de switch para switch, switch para roteador ou roteador para roteador.

Melhores práticas:

Recomendamos habilitar o MACsec usando o modo de segurança CAK estático em links que conectam switches ou roteadores. O modo de segurança CAK estático garante a segurança atualizando com frequência uma nova chave de associação segura aleatória (SAK) e compartilhando apenas o SAK entre os dois dispositivos no link ponto a ponto protegido por MACsec.

Quando você habilita o MACsec usando o modo de segurança CAK estático, uma chave pré-compartilhada é trocada entre os dispositivos em cada extremidade do link Ethernet ponto a ponto. A chave pré-compartilhada inclui um nome de associação de conectividade (CKN) e uma chave de associação de conectividade (CAK). A CKN e a CAK devem ser configuradas manualmente na associação de conectividade e devem combinar em ambas as extremidades do link para habilitar inicialmente o MACsec.

Após a troca e verificação das chaves pré-compartilhadas, o protocolo MACsec Key Agreement (MKA) permite o MACsec no link. O MKA é responsável por selecionar um dos dois dispositivos no link ponto a ponto como o servidor chave. Em seguida, o servidor-chave cria uma chave de segurança randomizada que compartilha apenas com o dispositivo peer por meio do link protegido por MACsec. A chave de segurança randomizada permite e mantém o MACsec no link ponto a ponto. O servidor-chave continuará a criar e compartilhar periodicamente uma chave de segurança criada aleatoriamente no link ponto a ponto durante a sessão maCsec.

Nota:

Se a sessão de MACsec terminar devido a uma falha no link, o servidor chave MKA elege um servidor chave quando o link é restaurar e gera um novo SAK.

Você habilita o MACsec usando o modo de segurança CAK estático configurando uma associação de conectividade em ambas as extremidades do link. Toda configuração é feita dentro da associação de conectividade, mas fora do canal seguro. Dois canais seguros — um para tráfego de entrada e outro para tráfego de saída — são criados automaticamente ao usar o modo de segurança CAK estático. Os canais seguros criados automaticamente não têm parâmetros configuráveis pelo usuário. Toda a configuração é feita na associação de conectividade.

Para configurar o MACsec usando o modo de segurança CAK estático:

  1. Crie uma associação de conectividade. Você pode pular essa etapa se estiver configurando uma associação de conectividade existente.

    Por exemplo, para criar uma associação de conectividade nomeada ca1, digite:

  2. Configure o modo de segurança MACsec quanto static-cak à associação de conectividade:

    Por exemplo, para configurar o modo de segurança MACsec para a static-cak associação de conectividade ca1:

  3. Crie a chave pré-compartilhada configurando a CKN e a CAK:

    Os pares conectados diretamente trocam uma chave pré-compartilhada para estabelecer um link seguro para MACsec. A chave pré-compartilhada inclui a CKN e o CAK, que são números hexadecimal. A CKN e o CAK devem combinar em ambas as extremidades de um link para criar um link seguro para MACsec.

    Nota:

    Para maximizar a segurança, recomendamos configurar todos os dígitos de uma CKN e todos os dígitos de um CAK.

    Se você não configurar todos os dígitos de uma CKN ou todos os dígitos de um CAK, todos os dígitos restantes serão padrão para 0. No entanto, você receberá uma mensagem de aviso quando confirmar a configuração.

    Após a troca das chaves pré-compartilhadas e verificada por ambos os pares no link, o protocolo MACsec Key Agreement (MKA) permite o MACsec. O protocolo MKA então elege um dos dois switches diretamente conectados como o servidor-chave. Em seguida, o servidor-chave compartilha uma segurança aleatória com o outro dispositivo por meio do link ponto a ponto seguro para MACsec. O servidor-chave continuará a criar e compartilhar periodicamente uma chave de segurança aleatória com o outro dispositivo por meio do link ponto a ponto protegido por MACsec, desde que o MACsec esteja habilitado.

    Para configurar uma CKN de 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 e CAK da associação de 228ef255aa23ff6729ee664acb66e91f conectividade ca1:

    Nota:

    O MACsec não está habilitado até que você anexe uma associação de conectividade a uma interface. Veja a etapa final deste procedimento para anexar uma associação de conectividade a uma interface.
    Nota:

    No modo FIPS, em vez de usar set connectivity-association ca1 pre-shared-key cak o comando, você deve usar o seguinte comando:

    user@host# prompt connectivity-association ca1 pre-shared-key cak
  4. (Exigido em switches não EX4300 ao se conectar apenas a switches EX4300) Habilite a tagagem SCI:

    Você deve habilitar a marcação SCI em um switch que está habilitando o MACsec em um link Ethernet conectado a um switch EX4300 ou EX4600.

    As tags SCI são anexadas automaticamente a pacotes que saem de uma interface habilitada para MACsec em um switch EX4300 ou EX4600, de modo que essa opção não esteja disponível nesses switches.

    Você só deve usar essa opção ao conectar um switch a um switch EX4300 ou EX4600, ou a um dispositivo host que exija tags SCI. As etiquetas SCI têm oito octets de comprimento, então anexar uma tag SCI a todo o tráfego no link adiciona uma quantidade significativa de sobrecarga sem necessidade.

  5. (Opcional) Definir a prioridade do servidor chave MKA:

    Especifica a principal prioridade do servidor usada pelo protocolo MKA para selecionar o servidor chave. O switch com a parte inferior priority-number é selecionado como o servidor chave.

    O padrão priority-number é 16.

    Se for key-server-priority idêntico em ambos os lados do link, o protocolo MKA seleciona a interface com o endereço MAC inferior como o servidor chave. Portanto, se essa declaração não estiver configurada em cada extremidade de um link protegido por MACsec, a interface com o endereço MAC inferior se tornará o servidor chave.

    Alterar a prioridade chave do servidor para 0 para aumentar a probabilidade de que o dispositivo atual seja selecionado como o servidor-chave quando o MACsec for habilitado na interface usando a associação ca1de conectividade:

    Alterar a prioridade chave do servidor para 255 para diminuir a probabilidade de que o dispositivo atual seja selecionado como o servidor-chave na associação de conectividade ca1:

  6. (Opcional) Definir o intervalo de transmissão de MKA:

    A configuração de intervalo de transmissão de MKA é a frequência de quantas vezes a unidade de dados de protocolo de Acordo de Chave MACsec (PDU) é enviada ao dispositivo conectado para manter a conectividade no link. Uma sobrecarga de largura de banda mais baixa interval no link; uma comunicação de protocolo MKA otimiza mais alto interval .

    O padrão interval é de 2000ms. Recomendamos aumentar o intervalo para 6000 ms em ambientes de alta carga de tráfego. As configurações de intervalo de transmissão devem ser idênticas em ambas as extremidades do link quando o MACsec usando o modo de segurança CAK estático é habilitado.

    Por exemplo, se você quisesse aumentar o intervalo de transmissão de MKA para 6000 ms quando a associação de conectividade ca1 é anexada a uma interface:

  7. (Opcional) Exclua um protocolo do MACsec:

    Quando essa opção é habilitada, o MACsec é desativado para todos os pacotes do protocolo especificado que são enviados ou recebidos no link. Por exemplo, se você não quisesse que o Link Level Discovery Protocol (LLDP) fosse protegido usando MACsec:

    Quando essa opção é habilitada, o MACsec é desativado para todos os pacotes do protocolo especificado — neste caso, LLDP — que são enviados ou recebidos no link. Você pode usar essa opção para permitir que o tráfego de controle para alguns protocolos passe pela conexão segura por MACsec sem tags MACsec. Isso oferece interoperabilidade com dispositivos, como telefones IP, que não oferecem suporte ao MACsec.

  8. Atribua a associação de conectividade a uma interface:

    Por exemplo, para atribuir a associação de conectividade ca1 à interface xe-0/0/1:

    Para atribuir uma associação de conectividade a uma interface lógica, use o seguinte comando:

    Nota:

    Ao atribuir um CA a uma interface lógica, as seguintes limitações se aplicam:

    • Configurar um CA em uma interface física e uma interface lógica é mutuamente exclusivo.

    • Interfaces lógicas com uma configuração VLAN nativa não suportam MACsec.

    • Interfaces agregadas lógicas não suportam MACsec.

    Nota:

    Em um módulo de uplink EX4300, o primeiro transceptor conectado ao módulo de uplink determina o modo PIC, pois o PIC reconhece o tipo de SFP e programa todas as portas para ser ge ou xe-. Certifique-se de que a configuração MACsec na interface corresponda à velocidade do link para as portas do módulo de uplink.

    Atribuir a associação de conectividade a uma interface é a etapa final de configuração para habilitar o MACsec em uma interface.

O MACsec usando o modo de segurança CAK estático é habilitado quando uma associação de conectividade na extremidade oposta do link também está configurada. A associação de conectividade deve conter chaves pré-compartilhadas compatíveis em ambas as extremidades do link.

Veja também

Configuração do MACsec no modo CAK dinâmico

No modo CAK dinâmico, os nós peer no link MACsec geram as chaves de segurança dinamicamente como parte do processo de autenticação 802.1X. Você pode usar o modo CAK dinâmico para proteger um link ponto a ponto que conecta switches ou roteadores. Isso pode ser uma conexão de switch para switch, switch para roteador ou roteador para roteador. Os dispositivos devem agir como autenticadores e suplicantes para autenticação 802.1X para que possam se autenticar.

O modo CAK dinâmico oferece uma administração mais fácil do que o modo CAK estático, porque as chaves não precisam ser configuradas manualmente. Além disso, as chaves podem ser gerenciadas centralmente a partir do servidor RADIUS. No entanto, o modo CAK estático oferece mais funcionalidade.

Nota:

O modo CAK dinâmico não é suportado em interfaces lógicas.

O procedimento a seguir é configurar o modo CAK dinâmico em links entre switches ou roteadores. Para configurar o modo CAK dinâmico em links de switch para host, veja a configuração do MACsec para proteger um link de switch para host.

Antes de começar a habilitar o MACsec no modo CAK dinâmico, você deve configurar um servidor RADIUS. O servidor RADIUS:

  • Deve ser configurado com um certificado do lado do servidor.

  • Deve estar usando a estrutura de autenticação extensível de segurança de camada de protocolo de autenticação (EAP-TLS).

Para obter informações sobre a configuração do servidor RADIUS, consulte a configuração do servidor RADIUS para autenticação.

Configure a Associação de Conectividade

  1. Crie uma associação de conectividade. Você pode pular essa etapa se estiver configurando uma associação de conectividade existente.

    Por exemplo, para criar uma associação de conectividade nomeada ca1, digite:

  2. Configure o modo de segurança MACsec quanto dynamic à associação de conectividade:

    Por exemplo, para configurar o modo de segurança MACsec para a dynamic associação de conectividade ca1:

  3. Atribua a associação de conectividade a uma interface:

    Por exemplo, para atribuir a associação de conectividade ca1 à interface xe-0/0/1:

Configure a autenticação 802.1X

Configure a autenticação 802.1X com EAP-TLS nas interfaces em cada extremidade do link ponto a ponto. As interfaces devem agir como autenticadores e suplicantes para que os dispositivos possam se autenticar.

  1. Configure a interface como um autenticador com a opção de não reauthenticação:
  2. Configure a interface como um suplicante.
  3. Configure o método de autenticação como EAP-TLS:
  4. Atribua um certificado local à interface:

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
16.1R2
A partir do Junos OS Release 16.1R2, quando o Media Access Control Security (MACsec) é habilitado em uma interface, o recurso de controle de fluxo de interface é habilitado por padrão, independentemente da configuração que você definir usando a (flow-control | no-flow-control) declaração no nível de [edit interfaces interface- name gigether-options] hierarquia. Quando o MACsec é habilitado, bytes de cabeçalho adicionais são adicionados ao pacote pelo MACsec PHY. Com o tráfego de taxa de linha, quando o MACsec é habilitado e o controle de fluxo é desativado, os quadros de pausa enviados pelo MACsec PHY são encerrados pelo MAC do MIC (MICs Ethernet Gigabit aprimorados de 20 portas em roteadores da Série MX) e não são transferidos para o Mecanismo de encaminhamento de pacotes, causando erros de enquadramento. Portanto, quando o MACsec é habilitado em uma interface, o controle de fluxo também é habilitado automaticamente em tal interface.
15.1
A partir do Junos OS Release 15.1, você pode configurar o MACsec para proteger links Ethernet ponto a ponto que conectam roteadores da Série MX com MICs compatíveis com MACsec, ou em links Ethernet que conectam um switch a um dispositivo host, como um PC, telefone ou servidor.