Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo a segurança do controle de acesso à mídia (MACsec)

Entendendo a segurança do controle de acesso à mídia (MACsec)

A segurança de controle de acesso de mídia (MACsec) oferece segurança ponto a ponto em links Ethernet. O MACsec é definido pelo padrão IEEE 802.1AE. Você pode usar o MACsec em combinação com outros protocolos de segurança, como IP Security (IPsec) e Secure Sockets Layer (SSL), para fornecer segurança de rede de ponta a ponta.

O MACsec é capaz de identificar e evitar a maioria das ameaças de segurança, incluindo negação de serviço, intrusão, homem no meio, mascarado, ataques passivos de escuta e playback. O MACsec protege um link Ethernet para quase todo o tráfego, incluindo quadros do Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) e outros protocolos que normalmente não são protegidos em um link Ethernet devido a limitações com outras soluções de segurança.

Como o MACsec funciona

Quando o MACsec é habilitado em um link Ethernet ponto a ponto, o link é protegido após a troca de chaves de segurança correspondentes e verificada entre as interfaces em cada extremidade do link. A chave pode ser configurada manualmente ou pode ser gerada dinamicamente, dependendo do modo de segurança usado para habilitar o MACsec. Para obter mais informações sobre os modos de segurança MACsec, consulte os modos de segurança MACsec.

O MACsec usa uma combinação de verificações de integridade de dados e criptografia para proteger o tráfego que atravessa o enlace:

Data integrity

O MACsec aplica um cabeçalho de 8 byte e uma cauda de 16 byte a todos os quadros Ethernet que atravessam o enlace protegido pelo MACsec. O cabeçalho e a cauda são verificados pela interface de recebimento para garantir que os dados não foram comprometidos enquanto atravessam o enlace. Se a verificação da integridade dos dados detectar algo irregular sobre o tráfego, o tráfego será descartado.

Encryption

A criptografia garante que os dados no quadro Ethernet não possam ser vistos por ninguém que monitora o tráfego no link. A criptografia MACsec é opcional e configurável pelo usuário. Você pode habilitar o MACsec a garantir que as verificações de integridade dos dados sejam realizadas enquanto ainda envia dados não criptografados "no claro" pelo link protegido pelo MACsec, se desejado.

Nota:

Quando o MACsec é habilitado em uma interface lógica, as tags VLAN não são criptografadas. Todas as tags VLAN configuradas na interface lógica habilitada para MACsec são enviadas em texto claro.

Associações de conectividade

O MACsec está configurado em associações de conectividade. Uma associação de conectividade é um conjunto de atributos MACsec que as interfaces usam para criar dois canais seguros, um para tráfego de entrada e outro para tráfego de saída. Os canais seguros são responsáveis por transmitir e receber dados no link protegido pelo MACsec.

Os canais seguros são criados automaticamente. Eles não têm parâmetros configuráveis para o usuário. Toda configuração é feita dentro da associação de conectividade, mas fora dos canais seguros.

A associação de conectividade deve ser atribuída a uma interface com capacidade MACsec em cada lado do enlace Ethernet ponto a ponto. Se você quiser habilitar o MACsec em vários links Ethernet, você deve configurar o MACsec individualmente em cada link. Outros parâmetros configuráveis pelo usuário, como endereço MAC ou porta, também devem combinar nas interfaces de cada lado do link para habilitar o MACsec.

Modos de segurança MACsec

O MACsec pode ser habilitado usando um dos seguintes modos de segurança:

  • Modo CAK estático

  • Modo CAK dinâmico

Práticas recomendadas:

O modo CAK estático é recomendado para links que conectam switches ou roteadores. O modo CAK estático garante a segurança atualizando frequentemente uma nova chave de segurança aleatória e compartilhando apenas a chave de segurança entre os dois dispositivos no enlace ponto a ponto protegido pelo MACsec.

Modo CAK estático

Quando você habilita o MACsec usando o modo CAK estático, duas chaves de segurança — uma chave de associação de conectividade (CAK) que protege o tráfego de plano de controle e uma chave de associação segura (SAK) gerada aleatoriamente que protege o tráfego de planos de dados — são usadas para proteger o enlace. Ambas as chaves são trocadas regularmente entre ambos os dispositivos em cada extremidade do enlace Ethernet ponto a ponto para garantir a segurança do enlace.

Inicialmente, você estabelece um link protegido por MACsec usando uma chave pré-compartilhada quando você está usando o modo de segurança CAK estático para habilitar o MACsec. Uma chave pré-compartilhada inclui um nome de associação de conectividade (CKN) e seu próprio CAK. O CKN e o CAK são configurados pelo usuário na associação de conectividade e devem combinar em ambas as extremidades do link para habilitar inicialmente o MACsec.

Uma vez que as chaves pré-compartilhadas correspondentes são trocadas com sucesso, o protocolo MACsec Key Agreement (MKA) é ativado. O protocolo MKA é responsável pela manutenção do MACsec no link e decide qual switch no enlace ponto a ponto se torna o servidor-chave. O servidor-chave cria então um SAK compartilhado com o switch na outra extremidade apenas do link ponto a ponto, e esse SAK é usado para proteger todo o tráfego de dados que atravessa o enlace. O servidor-chave continuará a criar e compartilhar periodicamente um SAK criado aleatoriamente pelo enlace ponto a ponto enquanto o MACsec for ativado.

Nota:

Se a sessão MACsec for encerrada devido a uma falha no link, quando o link for restaurado, o servidor de chave MKA elege um servidor-chave e gera um novo SAK.

Nota:

Os switches em cada extremidade de um enlace de switch para switch protegido por MACsec devem estar usando o Junos OS Release 14.1X53-D10 ou posterior, ou ambos devem estar usando uma versão anterior do Junos, a fim de estabelecer uma conexão protegida por MACsec ao usar o modo de segurança CAK estático.

Modo CAK dinâmico

No modo CAK dinâmico, os nós peer no link MACsec geram as chaves de segurança dinamicamente como parte do processo de autenticação 802.1X. Os nós de peer recebem atributos-chave MACsec do servidor RADIUS durante a autenticação e usam esses atributos para gerar dinamicamente o CAK e o CKN. Em seguida, eles trocam as chaves para criar uma conexão protegida por MACsec.

O modo CAK dinâmico oferece uma administração mais fácil do que o modo CAK estático, porque as chaves não precisam ser configuradas manualmente. Além disso, as chaves podem ser gerenciadas centralmente a partir do servidor RADIUS.

Você pode usar o modo CAK dinâmico para proteger um link de switch para host ou um link que conecta switches ou roteadores. Em um link de switch para host, o switch é o autenticador 802.1X e o host é o suplicante. Em um link que conecte switches ou roteadores, os dispositivos devem atuar como autenticadores e suplicantes para que possam autenticar uns aos outros.

O modo CAK dinâmico depende da validação baseada em certificados usando a segurança de camada de transporte de protocolo de autenticação extensível (EAP-TLS). O servidor RADIUS e os dispositivos de comutação devem usar o EAP-TLS e a infraestrutura de chave pública para oferecer suporte ao MACsec no modo CAK dinâmico.

MACsec em um virtual Chassis

O MACsec pode ser configurado em interfaces de switch suportadas quando esses switches estão configurados em um Virtual Chassis ou Virtual Chassis Fabric (VCF), incluindo quando interfaces suportadas por MACsec estão em switches de membros em um Virtual Chassis ou VCF misto que inclui interfaces de switch que não oferecem suporte a MACsec. O MACsec, no entanto, não pode ser habilitado nas portas do Virtual Chassis (VCPs) para proteger o tráfego que viaja entre switches membros em um Virtual Chassis ou VCF.

Limitações do MACsec

  • Todos os tipos de quadros de protocolo de árvore de abrangência não podem ser criptografados atualmente usando MACsec.

  • São esperadas quedas de tráfego MACsec durante o switchover GRES.

  • Nos switches EX4300, o MACsec pode não funcionar corretamente nas portas PHY84756 1G SFP se a negociação automática for habilitada e o MACsec estiver configurado nessas portas. Como uma solução alternativa, configure-se no- auto-negotiation nas portas SFP PHY84756 1G antes de configurar o MACsec nessas portas.

Suporte para a plataforma MACsec

Para obter uma lista abrangente de plataformas que oferecem suporte ao MACsec, consulte o Feature Explorer.

Requisitos de licenciamento e software MACsec

Licenças de recursos MACsec

Uma licença de recurso é necessária para configurar MACsec em switches da Série EX e série QFX, com exceção das placas de linha QFX10000-6C-DWDM e QFX10000-30C-M. Se a licença MACsec não estiver instalada, a funcionalidade MACsec não poderá ser ativada.

Para comprar uma licença de recurso para MACsec, entre em contato com seu representante de vendas da Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). O representante de vendas da Juniper fornecerá um arquivo de licença de recurso e uma chave de licença. Você será solicitado a fornecer o número de série do chassi do seu switch; você pode obter o número de série executando o show chassis hardware comando.

A licença de recurso MACsec é uma licença de recurso independente. As licenças de recursos aprimoradas (EFLs) ou licenças avançadas de recursos (AFLs) que devem ser compradas para permitir que alguns recursos em switches da Série EX ou série QFX não possam ser comprados para habilitar o MACsec.

Para uma implantação do Virtual Chassis, duas chaves de licença MACsec são recomendadas para redundância — uma para o dispositivo na função primária e outra para o dispositivo na função de backup. Duas licenças MACsec podem ser necessárias por Virtual Chassis Fabric (VCF) e por Virtual Chassis (VC), dependendo do modelo e configuração. Veja os documentos de licenciamento abaixo para a plataforma e apresente detalhes específicos.

Uma licença de recurso MACsec é instalada e mantida como qualquer outra licença de switch. Consulte licenças de gerenciamento para switches da Série EX (Procedimento de CLI) ou Adição de Novas Licenças (Procedimento CLI) para obter informações mais detalhadas sobre a configuração e o gerenciamento de sua licença de software MACsec.

Requisitos de software MACsec para roteadores da Série MX

A seguir, alguns dos principais requisitos de software para MACsec em roteadores da Série MX:

Nota:

Uma licença de recurso não é necessária para configurar MACsec em roteadores da Série MX com o MIC Ethernet Gigabit aprimorado de 20 portas (número de modelo MIC-3D-20GE-SFP-E).

O MACsec é suportado em roteadores da Série MX com interfaces com capacidade MACsec.

O MACsec oferece suporte a uma suíte de cifra de 128 e 256 bits com e sem numeração estendida de pacotes (XPN).

O MACsec oferece suporte ao protocolo MACsec Key Agreement (MKA) com o modo Static-CAK usando chaves pré-compartilhadas.

O MACsec oferece suporte a uma única associação de conectividade (CA) por porta física ou interface física.

A partir do Junos OS Release 20.3R1, você pode configurar o Media Access Control Security (MACsec) no nível de interface lógica na placa de linha MPC7E-10G. Essa configuração permite várias sessões de Acordo de Chave MACsec (MKA) em uma única porta física. As tags VLAN são transmitidas em texto claro, o que permite que switches intermediários que não têm conhecimento do MACsec alternem os pacotes com base nas tags VLAN.

A partir do Junos OS Release 15.1, o MACsec é suportado em links de membros de um pacote de interface Ethernet (ae-) agregado, e também interfaces regulares que não fazem parte de um pacote de interface.

Começando pelo Junos OS Release 17.3R2, o MACsec oferece suporte a roteadores GCM-AES-256 e GCM-AES-XPN-256 em roteadores MX10003 com o MIC modular (número do modelo JNP-MIC1-MACSEC).

A partir do Junos OS Release 18.4R2, o MIC-MACSEC-20GE MIC oferece suíte de cifra de 256 bits GCM-AES-256 e GCM-AES-XPN-256. O MIC-MACSEC-20GE MIC oferece suporte ao MACsec em 20 portas Ethernet SFP de 1 Gigabit e em duas portas Ethernet SFP+ de 10 Gigabit nas seguintes configurações de hardware:

  • Instalado diretamente nos roteadores MX80 e MX104

  • Instalado nas placas de linha MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG e MPC3E-NG nos roteadores MX240, MX480 e MX960

Consulte convenções de nomeação de interface para MIC-MACSEC-20GE e velocidade de porta para dispositivos de roteamento para obter mais informações.

Requisitos de imagem de software MACsec para switches da Série EX e série QFX

Junos OS Versão 16.1 e posterior

Para o Junos OS Release 16.1 e posterior, você deve baixar a imagem padrão do Junos para habilitar o MACsec. O MACsec não é suportado na imagem limitada.

A versão padrão do software Junos OS contém criptografia e, portanto, não está disponível para clientes em todas as regiões geográficas. A exportação e a re-exportação deste software Junos OS são estritamente controladas pelas leis de exportação dos Estados Unidos. A exportação, importação e uso deste software Junos OS também está sujeita a controles impostos pelas leis de outros países. Se tiver dúvidas sobre como adquirir esta versão do software Junos OS, entre em contato com o grupo de conformidade comercial da Juniper Networks na mailto:compliance_helpdesk@juniper.net.

Versão do Junos OS antes de 16.1

Para versões anteriores ao Junos OS Release 16.1, você deve baixar a versão controlada do software Junos OS para habilitar o MACsec. O suporte maCsec não está disponível na versão doméstica do software Junos OS em lançamentos antes do Junos OS Release 16.1.

A versão controlada do software Junos OS inclui todos os recursos e funcionalidades disponíveis na versão nacional do Junos OS, ao mesmo tempo em que oferece suporte ao MACsec. A versão doméstica do software Junos OS é enviada em todos os switches que oferecem suporte ao MACsec, portanto, você deve baixar e instalar uma versão controlada do software Junos OS para o seu switch antes que você possa habilitar o MACsec.

A versão controlada do software Junos OS contém criptografia e, portanto, não está disponível para clientes em todas as regiões geográficas. A exportação e a re exportagem da versão controlada do software Junos OS são estritamente controladas pelas leis de exportação dos Estados Unidos. A exportação, importação e uso da versão controlada do software Junos OS também está sujeita a controles impostos pelas leis de outros países. Se tiver dúvidas sobre a aquisição da versão controlada do software Junos OS, entre em contato com o grupo de conformidade comercial da Juniper Networks na mailto:compliance_helpdesk@juniper.net.

Aquisição e download do software Junos OS

Você pode identificar se um pacote de software é a versão padrão ou controlada do Junos OS visualizando o nome do pacote. Um pacote de software para uma versão controlada do Junos OS é nomeado usando o seguinte formato:

Um pacote de software para uma versão padrão do Junos OS é nomeado usando o seguinte formato:

Para verificar qual versão do Junos OS está em execução no seu switch, entre no show version comando. Se a JUNOS Crypto Software Suite descrição aparecer na saída, você estará executando a versão controlada do Junos OS. Se você estiver executando uma versão controlada do Junos OS, insira o show system software comando para exibir a versão. A saída também mostra a versão de todos os pacotes de software carregados.

O processo de instalação da versão controlada ou padrão do software Junos OS em seu switch é idêntico à instalação de qualquer outra versão do software Junos OS. Você deve inserir a request system software add declaração para baixar a imagem do Junos OS e a request system reboot declaração para reiniciar o switch para completar o procedimento de atualização.

Tabela de histórico de lançamento
Lançamento
Descrição
20.4R1-EVO
O Junos OS Evolved Release 20.4R1 introduziu suporte para o gerenciamento dinâmico de energia. Os blocos MACsec são alimentados dinamicamente com base na configuração MACsec. Quando o MACsec é configurado em uma interface, o bloco MACsec é alimentado para esse grupo de portas. Se nenhuma das interfaces de um grupo de portas estiver configurada para MACsec, a energia contornará o bloco MACsec. Pode haver perda mínima de tráfego durante a transição do bloco de energia.
18.3R1
A partir do Junos OS Release 18.4R2, o MIC-MACSEC-20GE MIC oferece suíte de cifra de 256 bits GCM-AES-256 e GCM-AES-XPN-256.
18.2R1
A partir do Junos OS Release 18.2R1, o AES-256 tem suporte na placa de linha EX9200-40XS.
15.1
A partir do Junos OS Release 15.1, o MACsec é suportado em links de membros de um pacote de interface Ethernet ae-agregado e também interfaces regulares que não fazem parte de um pacote de interface.