Entendendo a segurança do controle de acesso ao meio (MACsec)
Entendendo a segurança do controle de acesso ao meio (MACsec)
A segurança de controle de acesso ao meio (MACsec) oferece segurança ponto a ponto em links Ethernet. O MACsec é definido pelo padrão IEEE 802.1AE. Você pode usar o MACsec em combinação com outros protocolos de segurança, como o IP Security (IPsec) e o Secure Sockets Layer (SSL), para fornecer segurança de rede de ponta a ponta.
O MACsec é capaz de identificar e prevenir a maioria das ameaças de segurança, incluindo negação de serviço, intrusão, homem no meio, mascarado, escutas passivas e ataques de playback. O MACsec protege um link Ethernet para quase todo o tráfego, incluindo quadros do Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) e outros protocolos que normalmente não são protegidos em um link Ethernet devido a limitações com outras soluções de segurança.
- Como funciona o MACsec
- Associações de conectividade
- Modos de segurança MACsec
- MACsec em um Virtual Chassis
- Limitações de MACsec
- Suporte para a plataforma MACsec
Como funciona o MACsec
Quando o MACsec é habilitado em um link Ethernet ponto a ponto, o link é protegido após a troca de chaves de segurança correspondentes entre as interfaces em cada extremidade do link. A chave pode ser configurada manualmente ou pode ser gerada dinamicamente, dependendo do modo de segurança usado para habilitar o MACsec. Para obter mais informações sobre os modos de segurança MACsec, consulte os modos de segurança MACsec.
O MACsec usa uma combinação de verificações de integridade de dados e criptografia para proteger o tráfego que atravessa o link:
Data integrity | O MACsec aplica um cabeçalho de 8 byte e uma cauda de 16 byte para todos os quadros Ethernet que atravessam o link protegido por MACsec. O cabeçalho e a cauda são verificados pela interface de recebimento para garantir que os dados não foram comprometidos durante a travessia do link. Se a verificação da integridade dos dados detectar algo irregular sobre o tráfego, o tráfego será descartado. |
Encryption | A criptografia garante que os dados no quadro Ethernet não podem ser visualizados por ninguém que monitora o tráfego no link. A criptografia MACsec é opcional e configurável pelo usuário. Você pode habilitar o MACsec para garantir que as verificações de integridade dos dados sejam realizadas enquanto ainda envia dados não criptografados "na clareza" pelo link protegido por MACsec, se desejado.
Nota:
Quando o MACsec é habilitado em uma interface lógica, as tags VLAN não são criptografadas. Todas as tags VLAN configuradas na interface lógica habilitada para MACsec são enviadas em texto claro. |
Associações de conectividade
O MACsec está configurado em associações de conectividade. Uma associação de conectividade é um conjunto de atributos MACsec que as interfaces usam para criar dois canais seguros, um para tráfego de entrada e outro para tráfego de saída. Os canais seguros são responsáveis pela transmissão e recebimento de dados no link protegido por MACsec.
Os canais seguros são criados automaticamente. Eles não têm parâmetros configuráveis pelo usuário. Toda configuração é feita dentro da associação de conectividade, mas fora dos canais seguros.
A associação de conectividade deve ser atribuída a uma interface com capacidade maCsec em cada lado do link Ethernet ponto a ponto. Se você quiser habilitar o MACsec em vários links Ethernet, você deve configurar o MACsec individualmente em cada link. Outros parâmetros configuráveis pelo usuário, como endereço MAC ou porta, também devem combinar nas interfaces de cada lado do link para habilitar o MACsec.
Modos de segurança MACsec
O MACsec pode ser habilitado usando um dos seguintes modos de segurança:
Modo CAK estático
Modo CAK dinâmico
O modo CAK estático é recomendado para links que conectam switches ou roteadores. O modo CAK estático garante a segurança atualizando frequentemente uma nova chave de segurança aleatória e compartilhando apenas a chave de segurança entre os dois dispositivos no link ponto a ponto protegido por MACsec.
Modo CAK estático
Quando você habilita o MACsec usando o modo CAK estático, duas chaves de segurança — uma chave de associação de conectividade (CAK) que protege o tráfego de plano de controle e uma chave de associação segura (SAK) gerada aleatoriamente que protege o tráfego de plano de dados — são usadas para proteger o link. Ambas as chaves são trocadas regularmente entre ambos os dispositivos em cada extremidade do link Ethernet ponto a ponto para garantir a segurança do link.
Inicialmente, você estabelece um link protegido por MACsec usando uma chave pré-compartilhada quando estiver usando o modo de segurança CAK estático para habilitar o MACsec. Uma chave pré-compartilhada inclui um nome de associação de conectividade (CKN) e seu próprio CAK. A CKN e a CAK são configuradas pelo usuário na associação de conectividade e devem combinar em ambas as extremidades do link para habilitar inicialmente o MACsec.
Uma vez que as chaves pré-compartilhadas correspondentes são trocadas com sucesso, o protocolo MACsec Key Agreement (MKA) é habilitado. O protocolo MKA é responsável pela manutenção do MACsec no link e decide qual switch no link ponto a ponto se torna o servidor chave. O servidor-chave cria então um SAK que é compartilhado com o switch na outra extremidade apenas do link ponto a ponto, e que o SAK é usado para proteger todo o tráfego de dados que atravessa o link. O servidor-chave continuará a criar e compartilhar periodicamente um SAK criado aleatoriamente no link ponto a ponto enquanto o MACsec estiver habilitado.
Se a sessão de MACsec for terminada devido a uma falha no link, quando o link é restaurar, o servidor chave MKA elege um servidor chave e gera um novo SAK.
Os switches em cada extremidade de um link de switch para switch protegido por MACsec devem estar usando o Junos OS Release 14.1X53-D10 ou posteriores, ou ambos devem estar usando uma versão anterior do Junos, a fim de estabelecer uma conexão protegida por MACsec ao usar o modo de segurança CAK estático.
Modo CAK dinâmico
No modo CAK dinâmico, os nós peer no link MACsec geram as chaves de segurança dinamicamente como parte do processo de autenticação 802.1X. Os nós de peer recebem atributos-chave MACsec do servidor RADIUS durante a autenticação e usam esses atributos para gerar dinamicamente o CAK e o CKN. Em seguida, eles trocam as chaves para criar uma conexão segura por MACsec.
O modo CAK dinâmico oferece uma administração mais fácil do que o modo CAK estático, porque as chaves não precisam ser configuradas manualmente. Além disso, as chaves podem ser gerenciadas centralmente a partir do servidor RADIUS.
Você pode usar o modo CAK dinâmico para proteger um link de switch para host ou um link que conecta switches ou roteadores. Em um link de switch para host, o switch é o autenticador 802.1X e o host é o suplicante. Em um link que conecte switches ou roteadores, os dispositivos devem agir como autenticadores e suplicantes para que possam se autenticar.
O modo CAK dinâmico depende da validação baseada em certificados usando a segurança de camada de transporte de protocolo de autenticação extensível (EAP-TLS). O servidor RADIUS e os dispositivos de comutação devem usar o EAP-TLS e a infraestrutura de chave pública para oferecer suporte ao MACsec no modo CAK dinâmico.
MACsec em um Virtual Chassis
O MACsec pode ser configurado em interfaces de switch suportadas quando esses switches são configurados em um Virtual Chassis ou Virtual Chassis Fabric (VCF), incluindo quando as interfaces suportadas por MACsec estão em switches de membros em um Virtual Chassis ou VCF misto que inclui interfaces de switch que não oferecem suporte a MACsec. O MACsec, no entanto, não pode ser habilitado em portas Virtual Chassis (VCPs) para proteger o tráfego que viaja entre switches de membros em um Virtual Chassis ou VCF.
Limitações de MACsec
Todos os tipos de quadros do Spanning Tree Protocol não podem ser criptografados atualmente usando MACsec.
Quedas de tráfego MACsec são esperadas durante a transição do GRES.
Nos switches EX4300, o MACsec pode não funcionar corretamente PHY84756 portas 1G SFP se a negociação automática for habilitada e o MACsec estiver configurado nessas portas. Como uma solução alternativa, configure
no- auto-negotiation
em PHY84756 portas SFP 1G antes de configurar o MACsec nessas portas.
Suporte para a plataforma MACsec
Para obter uma lista abrangente de plataformas que oferecem suporte ao MACsec, consulte o Feature Explorer.
Veja também
Requisitos de licenciamento e software MACsec
- Licenças de recursos MACsec
- Requisitos de software MACsec para roteadores da Série MX
- Requisitos de imagem de software MACsec para switches série EX e série QFX
- Aquisição e download do software Junos OS
Licenças de recursos MACsec
Uma licença de recurso é necessária para configurar MACsec em switches da série EX e QFX, com exceção das placas de linha QFX10000-6C-DWDM e QFX10000-30C-M. Se a licença MACsec não estiver instalada, a funcionalidade MACsec não poderá ser ativada.
Para comprar uma licença de recurso para MACsec, entre em contato com seu representante de vendas da Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). O representante de vendas da Juniper fornecerá a você um arquivo de licença de recurso e uma chave de licença. Você será solicitado a fornecer o número de série do chassi do seu switch; você pode obter o número de série executando o show chassis hardware
comando.
A licença de recurso MACsec é uma licença de recurso independente. As licenças de recursos aprimoradas (EFLs) ou licenças avançadas de recursos (AFLs) que devem ser compradas para permitir que alguns recursos na Série EX ou switches da Série QFX não possam ser comprados para habilitar o MACsec.
Para uma implantação do Virtual Chassis, duas chaves de licença MACsec são recomendadas para redundância — uma para o dispositivo na função primária e outra para o dispositivo na função de backup. Duas licenças MACsec podem ser exigidas por Virtual Chassis Fabric (VCF) e por Virtual Chassis (VC), dependendo do modelo e configuração. Veja os documentos de licenciamento abaixo para plataforma e detalhes específicos do recurso.
Uma licença de recurso MACsec é instalada e mantida como qualquer outra licença de switch. Consulte o gerenciamento de licenças para switches da Série EX (procedimento CLI) ou adição de novas licenças (procedimento CLI) para obter informações mais detalhadas sobre a configuração e o gerenciamento de sua licença de software MACsec.
Requisitos de software MACsec para roteadores da Série MX
A seguir, alguns dos principais requisitos de software para MACsec em roteadores da Série MX:
Uma licença de recurso não é necessária para configurar MACsec em roteadores da Série MX com o MIC Ethernet Gigabit aprimorado de 20 portas (número de modelo MIC-3D-20GE-SFP-E).
O MACsec é compatível com roteadores da Série MX com interfaces com capacidade MACsec.
O MACsec oferece suporte a uma suíte de cifras de 128 e 256 bits com e sem numeração estendida de pacotes (XPN).
O MACsec oferece suporte ao protocolo MACsec Key Agreement (MKA) com o modo Static-CAK usando chaves pré-compartilhadas.
O MACsec oferece suporte a uma única associação de conectividade (CA) por porta física ou interface física.
A partir do Junos OS Release 20.3R1, você pode configurar a segurança de controle de acesso ao meio (MACsec) no nível de interface lógica na placa de linha MPC7E-10G. Essa configuração permite várias sessões de Acordo de Chave MACsec (MKA) em uma única porta física. As tags de VLAN são transmitidas em texto claro, o que permite que switches intermediários que não têm conhecimento do MACsec alternem os pacotes com base nas tags VLAN.
A partir do Junos OS Release 15.1, o MACsec é suportado em links de membros de um pacote de interface Ethernet (ae-
) agregado, e também interfaces regulares que não fazem parte de um pacote de interface.
Começando pelo Junos OS Release 17.3R2, o MACsec oferece suporte a 256 pacotes cifrados GCM-AES-256 e GCM-AES-XPN-256 em roteadores de MX10003 com o MIC modular (número de modelo JNP-MIC1-MACSEC).
A partir do Junos OS Release 18.4R2, o MIC-MACSEC-20GE MIC oferece 256 bits de suíte cifrada GCM-AES-256 e GCM-AES-XPN-256. O MIC-MACSEC-20GE MIC oferece suporte a MACsec em 20 portas Ethernet SFP de 1 Gigabit e em duas portas Ethernet SFP+ de 10 Gigabit nas seguintes configurações de hardware:
-
Instalado diretamente nos roteadores MX80 e MX104
-
Instalado nas placas de linha MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG e MPC3E-NG nos roteadores MX240, MX480 e MX960
Consulte convenções de nomeação de interface para MIC-MACSEC-20GE e velocidade de porta para dispositivos de roteamento para obter mais informações.
Requisitos de imagem de software MACsec para switches série EX e série QFX
Versão do Junos OS 16.1 e posterior
Para o Junos OS Release 16.1 e posterior, você deve baixar a imagem padrão do Junos para habilitar o MACsec. O MACsec não é suportado na imagem limitada.
A versão padrão do software Junos OS contém criptografia e, portanto, não está disponível para clientes em todas as regiões geográficas. A exportação e a re exporte deste software Junos OS são estritamente controladas pelas leis de exportação dos Estados Unidos. A exportação, importação e uso deste software Junos OS também está sujeita a controles impostos pelas leis de outros países. Se tiver dúvidas sobre a aquisição desta versão do seu software Junos OS, entre em contato com o grupo de conformidade comercial da Juniper Networks em mailto:compliance_helpdesk@juniper.net.
Versão do Junos OS antes do 16.1
Para versões antes do Junos OS Release 16.1, você deve baixar a versão controlada do seu software Junos OS para habilitar o MACsec. O suporte a MACsec não está disponível na versão doméstica do software Junos OS em lançamentos antes do Junos OS Release 16.1.
A versão controlada do software Junos OS inclui todos os recursos e funcionalidades disponíveis na versão doméstica do Junos OS, ao mesmo tempo em que oferece suporte ao MACsec. A versão doméstica do software Junos OS é enviada em todos os switches que oferecem suporte a MACsec, então você deve baixar e instalar uma versão controlada do software Junos OS para o seu switch antes que você possa habilitar o MACsec.
A versão controlada do software Junos OS contém criptografia e, portanto, não está disponível para clientes em todas as regiões geográficas. A exportação e a re exporte da versão controlada do software Junos OS é estritamente controlada pelas leis de exportação dos Estados Unidos. A exportação, importação e uso da versão controlada do software Junos OS também está sujeita a controles impostos pelas leis de outros países. Se tiver dúvidas sobre a aquisição da versão controlada do seu software Junos OS, entre em contato com o grupo de conformidade comercial da Juniper Networks em mailto:compliance_helpdesk@juniper.net.
Aquisição e download do software Junos OS
Você pode identificar se um pacote de software é a versão padrão ou controlada do Junos OS visualizando o nome do pacote. Um pacote de software para uma versão controlada do Junos OS é nomeado usando o seguinte formato:
package-name-m.nZx.y-controlled-signed.tgz
Um pacote de software para uma versão padrão do Junos OS é nomeado usando o seguinte formato:
package-name-m.nZx.y-.tgz
Para verificar qual versão do Junos OS está sendo executada no seu switch, entre no show version
comando. Se a JUNOS Crypto Software Suite
descrição aparecer na saída, você está executando a versão controlada do Junos OS. Se você estiver executando uma versão controlada do Junos OS, entre no show system software
comando para exibir a versão. A saída também mostra a versão de todos os pacotes de software carregados.
O processo de instalação da versão controlada ou padrão do software Junos OS no seu switch é idêntico à instalação de qualquer outra versão do software Junos OS. Você deve inserir a request system software add
declaração para baixar a imagem do Junos OS e a request system reboot
declaração para reiniciar o switch para concluir o procedimento de atualização.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
ae-
agregado e também interfaces regulares que não fazem parte de um pacote de interface.