Comprendre la sécurité du contrôle d’accès aux médias sur une Junos Fusion Enterprise
La sécurité MACsec (Media Access Control Security) est largement utilisée dans les déploiements de campus pour sécuriser le trafic réseau entre les terminaux et les commutateurs d’accès. Vous pouvez activer MACsec sur les ports étendus d’une topologie Junos Fusion Enterprise afin d’assurer une communication sécurisée entre le périphérique satellite et les hôtes connectés.
Présentation de MacSec
MACsec est une technologie de sécurité 802.1AE conforme aux normes industrielles IEEE qui fournit une communication sécurisée sur les liaisons Ethernet entre des nœuds directement connectés. MACsec est capable d’identifier et de prévenir la plupart des menaces de sécurité, y compris le déni de service, les intrusions, l’interception, la mascarade, les écoutes passives et les attaques de lecture. MACsec assure l’intégrité point à point et peut être utilisé en combinaison avec d’autres solutions de sécurité, telles que IP Security (IPsec) et Secure Sockets Layer (SSL), pour assurer la sécurité du réseau de bout en bout.
Reportez-vous à la section Présentation de la sécurité MACsec (Media Access Control) pour obtenir une vue d’ensemble détaillée de MACsec.
Activation de MACsec dans une Junos Fusion Enterprise
Pour activer MACsec sur une liaison reliant un terminal (tel qu’un serveur, un téléphone ou un ordinateur personnel) à un port étendu dans un Junos Fusion Enterprise, le terminal doit prendre en charge MACsec et exécuter le logiciel client qui lui permet d’activer une connexion sécurisée par MACsec. Une association sécurisée utilisant le mode de sécurité d’association sécurisée dynamique (SAK dynamique) doit être configurée sur le port étendu qui se connecte à l’hôte. Les clés d’association sécurisées sont récupérées à partir du serveur RADIUS dans le cadre du processus d’authentification 802.1X. Les clés sont échangées entre les homologues MACsec pour créer une connexion sécurisée.
La configuration MacSec dans Junos Fusion s’effectue sur l’équipement agrégé et est identique pour un commutateur EX Series autonome. Reportez-vous à la section Configuration de MACsec sur les périphériques EX, QFX et SRX.
Lorsque MACsec est activé dans un Junos Fusion avec deux périphériques d’agrégation, l’échange de paquets EAPoL qui a lieu pendant la session d’authentification 802.1X est limité à un seul périphérique d’agrégation (AD). Le protocole MKA n’est déclenché que sur cet AD et les clés générées par MKA ne sont pas synchronisées entre les AD. Si l’AD sur lequel les clés sont générées échoue, les sessions MACsec doivent être réauthentifiées à l’aide de l’autre AD.