Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de MACsec

Présentation de la configuration

La sécurité MACsec (Media Access Control Security) est une technologie de sécurité standard qui sécurise la communication de presque tous les types de trafic sur les liaisons Ethernet. MACsec assure une sécurité point à point sur les liaisons Ethernet entre les nœuds directement connectés et est capable d’identifier et de prévenir la plupart des menaces de sécurité, y compris les attaques par déni de service, intrusion, interception, mascarade, écoute passive et relecture. MACsec est normalisé en IEEE 802.1AE.

Vous pouvez configurer MACsec pour sécuriser les liaisons Ethernet point à point connectant des commutateurs, ou sur les liaisons Ethernet connectant un commutateur à un équipement hôte tel qu’un PC, un téléphone ou un serveur. Chaque liaison Ethernet point à point que vous souhaitez sécuriser à l’aide de MACsec doit être configurée indépendamment. Vous pouvez activer MACsec sur les liaisons de commutateur à commutateur à l’aide du mode de sécurité CAK (Dynamic ou static Connectivity Association Key). Les deux processus sont décrits dans le présent document.

Pour plus d’informations sur la configuration de MACsec sur les ports de contrôle et de structure des pare-feu SRX Series pris en charge dans la configuration du cluster de châssis, reportez-vous à la section Sécurité du contrôle d’accès multimédia (MACsec) sur le cluster de châssis.

Note:

Sur les pare-feu SRX Series, vous pouvez configurer MACsec en mode routé. MACsec n’est pas pris en charge en mode transparent.

Avant de commencer

Avant d’activer MACsec, vous devez vous assurer que la différence entre l’unité de transmission maximale (MTU) de votre support d’interface et la MTU de protocole est suffisamment grande pour accueillir les 32 octets supplémentaires de surcharge MACsec.

Pour savoir comment configurer la MTU de l’interface et la MTU de protocole, reportez-vous à Media MTU et Protocol MTU (Junos OS Evolved) ou Media MTU et Protocol MTU (Junos OS).

Configuration de MACsec en mode CAK statique

Vous pouvez activer MACsec à l’aide du mode de sécurité CAK (static connectivity association key) sur une liaison Ethernet point à point connectant des commutateurs ou des routeurs. Il peut s’agir d’une liaison commutateur à commutateur, commutateur à routeur ou routeur à routeur.

Bonne pratique :

Nous vous recommandons d’activer MACsec à l’aide du mode de sécurité CAK statique sur les liaisons reliant des commutateurs ou des routeurs. Le mode de sécurité CAK statique assure la sécurité en actualisant fréquemment la clé d’association sécurisée aléatoire (SAK) et en partageant uniquement la SAK entre les deux périphériques sur la liaison point à point sécurisée par MACsec.

Lorsque vous activez MACsec à l’aide du mode de sécurité CAK statique, une clé prépartagée est échangée entre les périphériques à chaque extrémité de la liaison Ethernet point à point. La clé prépartagée comprend un nom d’association de connectivité (CKN) et une clé d’association de connectivité (CAK). Le CKN et le CAK doivent être configurés manuellement dans l’association de connectivité et doivent correspondre aux deux extrémités de la liaison pour activer MACsec initialement.

Une fois les clés prépartagées échangées et vérifiées, le protocole MACsec Key Agreement (MKA) active MACsec sur la liaison. Le MKA est responsable de la sélection de l’un des deux périphériques sur la liaison point à point en tant que serveur de clés. Le serveur de clés crée ensuite une clé de sécurité aléatoire qu’il partage uniquement avec l’appareil homologue via la liaison sécurisée MACsec. La clé de sécurité aléatoire active et maintient MACsec sur la liaison point à point. Le serveur de clés continuera à créer et à partager périodiquement une clé de sécurité créée de manière aléatoire sur la liaison point à point pendant toute la durée de la session MACsec.

Note:

Si la session MACsec se termine en raison d’une défaillance de liaison, le serveur de clés MKA choisit un serveur de clés lorsque la liaison est restaurée et génère un nouveau SAK.

Pour activer MACsec à l’aide du mode de sécurité CAK statique, configurez une association de connectivité aux deux extrémités de la liaison. Toute la configuration se fait au sein de l’association de connectivité, mais en dehors du canal sécurisé. Deux canaux sécurisés, l’un pour le trafic entrant et l’autre pour le trafic sortant, sont automatiquement créés lors de l’utilisation du mode de sécurité CAK statique. Les canaux sécurisés créés automatiquement n’ont aucun paramètre configurable par l’utilisateur. Toute la configuration se fait dans l’association de connectivité.

Pour configurer MACsec à l’aide du mode de sécurité CAK statique :

  1. Créez une association de connectivité. Vous pouvez ignorer cette étape si vous configurez une association de connectivité existante.

    Par exemple, pour créer une association de connectivité nommée ca1, entrez :

  2. Configurez le mode de sécurité MACsec comme static-cak pour l’association de connectivité :

    Par exemple, pour configurer le mode de sécurité MACsec sur l’association static-cak de connectivité ca1 :

  3. Créez la clé prépartagée en configurant le CKN et le CAK :

    Les homologues directement connectés échangent une clé pré-partagée pour établir un lien MACsec sécurisé. La clé pré-partagée inclut le CKN et le CAK, qui sont des nombres hexadécimaux. Le CKN et le CAK doivent correspondre aux deux extrémités d’une liaison pour créer une liaison sécurisée par MACsec.

    Note:

    Pour optimiser la sécurité, nous vous recommandons de configurer tous les chiffres d’un CKN et tous les chiffres d’un CAK.

    Si vous ne configurez pas tous les chiffres d’un CKN ou tous les chiffres d’un CAK, tous les chiffres restants seront par défaut à 0. Toutefois, vous recevrez un message d’avertissement lorsque vous validerez la configuration.

    Une fois les clés prépartagées échangées et vérifiées par les deux homologues sur la liaison, le protocole MACsec Key Agreement (MKA) active MACsec. Le protocole MKA choisit alors l’un des deux commutateurs directement connectés comme serveur de clés. Le serveur de clés partage ensuite une sécurité aléatoire avec l’autre périphérique sur la liaison point à point sécurisée MACsec. Le serveur de clés continuera à créer et à partager périodiquement une clé de sécurité aléatoire avec l’autre périphérique sur la liaison point à point sécurisée par MACsec tant que MACsec est activé.

    Pour configurer un CKN de 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 et un CAK de sur l’association 228ef255aa23ff6729ee664acb66e91f de connectivité ca1 :

    Note:

    MACsec n’est pas activé tant que vous n’avez pas attaché une association de connectivité à une interface. Reportez-vous à la dernière étape de cette procédure pour attacher une association de connectivité à une interface.
    Note:

    En mode FIPS, au lieu d’utiliser set connectivity-association ca1 pre-shared-key cak la commande, vous devez utiliser la commande suivante :

    user@host# prompt connectivity-association ca1 pre-shared-key cak
  4. (Requis sur les commutateurs non-EX4300 lors de la connexion aux commutateurs EX4300 uniquement) Activer le balisage SCI :

    Vous devez activer le balisage SCI sur un commutateur qui active MACsec sur une liaison Ethernet se connectant à un commutateur EX4300 ou EX4600.

    Les étiquettes SCI sont automatiquement ajoutées aux paquets quittant une interface compatible MACsec sur un commutateur EX4300 ou EX4600. Cette option n’est donc pas disponible sur ces commutateurs.

    Vous ne devez utiliser cette option que lorsque vous connectez un commutateur à un commutateur EX4300 ou EX4600, ou à un équipement hôte qui nécessite un balisage SCI. Les balises SCI font huit octets, de sorte que l’ajout d’une balise SCI à tout le trafic sur la liaison ajoute une surcharge inutile importante.

  5. (Facultatif) Définissez la priorité du serveur de clés MKA :

    Spécifie la priorité du serveur de clés utilisée par le protocole MKA pour sélectionner le serveur de clés. Le commutateur avec le commutateur le plus bas priority-number est sélectionné comme serveur de clés.

    La valeur par défaut priority-number est 16.

    Si le est key-server-priority identique des deux côtés de la liaison, le protocole MKA sélectionne l’interface avec l’adresse MAC inférieure comme serveur de clés. Par conséquent, si cette instruction n’est pas configurée à chaque extrémité d’une liaison sécurisée MACsec, l’interface avec l’adresse MAC inférieure devient le serveur de clés.

    Pour modifier la priorité du serveur de clés sur 0 afin d’augmenter la probabilité que le périphérique actuel soit sélectionné comme serveur de clés lorsque MACsec est activé sur l’interface à l’aide de l’association ca1de connectivité :

    Pour modifier la priorité du serveur de clés sur 255 afin de réduire la probabilité que le périphérique actuel soit sélectionné comme serveur de clés dans l’association de connectivité ca1 :

  6. (Facultatif) Définissez l’intervalle de transmission MKA :

    Le paramètre d’intervalle de transmission MKA correspond à la fréquence à laquelle l’unité de données de protocole (PDU) MACsec Key Agreement est envoyée à l’équipement connecté pour maintenir la connectivité sur la liaison. Un plus faible interval augmente la surcharge de bande passante sur la liaison ; un plus élevé interval optimise la communication du protocole MKA.

    La valeur par défaut interval est 2000ms. Nous recommandons d’augmenter l’intervalle à 6000 ms dans les environnements à forte charge de trafic. Les paramètres d’intervalle de transmission doivent être identiques aux deux extrémités de la liaison lorsque MACsec utilisant le mode de sécurité CAK statique est activé.

    Par exemple, si vous souhaitez augmenter l’intervalle d’émission MKA à 6000 ms lorsque l’association de connectivité ca1 est attachée à une interface :

  7. (Facultatif) Exclure un protocole de MACsec :

    Lorsque cette option est activée, MACsec est désactivé pour tous les paquets du protocole spécifié qui sont envoyés ou reçus sur la liaison. Par exemple, si vous ne souhaitez pas que le protocole LLDP (Link Level Discovery Protocol) soit sécurisé à l’aide de MACsec :

    Lorsque cette option est activée, MACsec est désactivé pour tous les paquets du protocole spécifié (dans ce cas, LLDP) qui sont envoyés ou reçus sur la liaison. Vous pouvez utiliser cette option pour autoriser le trafic de contrôle de certains protocoles à passer par la connexion sécurisée MACsec sans balises MACsec. Cela assure l’interopérabilité avec les équipements, tels que les téléphones IP, qui ne prennent pas en charge MACsec.

  8. Affectez l’association de connectivité à une interface :

    Par exemple, pour affecter l’association de connectivité ca1 à l’interface xe-0/0/1 :

    Pour affecter une association de connectivité à une interface logique, utilisez la commande suivante :

    Note:

    Lors de l’affectation d’une autorité de certification à une interface logique, les limitations suivantes s’appliquent :

    • La configuration d’une autorité de certification sur une interface physique et une interface logique s’exclut mutuellement.

    • Les interfaces logiques avec une configuration VLAN native ne prennent pas en charge MACsec.

    • Les interfaces logiques agrégées ne prennent pas en charge MACsec.

    Note:

    Sur un module de liaison montante EX4300, le premier émetteur-récepteur branché sur le module de liaison montante détermine le mode PIC, car le PIC reconnaît le type de SFP et programme tous les ports pour qu’ils soient soit ge- ou xe-. Assurez-vous que la configuration MACsec de l’interface correspond à la vitesse de liaison des ports du module de liaison montante.

    L’affectation de l’association de connectivité à une interface est la dernière étape de configuration avant d’activer MACsec sur une interface.

MACsec utilisant le mode de sécurité CAK statique est activé lorsqu’une association de connectivité à l’extrémité opposée de la liaison est également configurée. L’association de connectivité doit contenir des clés prépartagées qui correspondent aux deux extrémités de la liaison.

Voir aussi

Configuration de MACsec en mode CAK dynamique

En mode CAK dynamique, les nœuds homologues sur la liaison MACsec génèrent les clés de sécurité de manière dynamique dans le cadre du processus d’authentification 802.1X. Vous pouvez utiliser le mode CAK dynamique pour sécuriser une liaison point à point reliant des commutateurs ou des routeurs. Il peut s’agir d’une connexion de commutateur à commutateur, de commutateur à routeur ou de routeur à routeur. Les appareils doivent agir à la fois comme authentificateur et demandeur pour l’authentification 802.1X afin qu’ils puissent s’authentifier mutuellement.

Le mode CAK dynamique simplifie l’administration par rapport au mode CAK statique, car les clés n’ont pas besoin d’être configurées manuellement. De plus, les clés peuvent être gérées de manière centralisée à partir du serveur RADIUS. Cependant, le mode CAK statique offre plus de fonctionnalités.

Note:

Le mode CAK dynamique n’est pas pris en charge sur les interfaces logiques.

La procédure suivante permet de configurer le mode CAK dynamique sur les liaisons entre commutateurs ou routeurs. Pour configurer le mode CAK dynamique sur les liaisons commutateur-hôte, reportez-vous à la section Configuration de MACsec pour sécuriser une liaison commutateur-hôte.

Avant de commencer à activer MACsec en mode CAK dynamique, vous devez configurer un serveur RADIUS. Le serveur RADIUS :

  • Doit être configuré avec un certificat côté serveur.

  • Doit utiliser l’infrastructure d’authentification EAP-TLS (Extensible Authentication Protocol-couche transport security).

Pour plus d’informations sur la configuration du serveur RADIUS, reportez-vous à la section Configuration du serveur RADIUS pour l’authentification.

Configurer l’association de connectivité

  1. Créez une association de connectivité. Vous pouvez ignorer cette étape si vous configurez une association de connectivité existante.

    Par exemple, pour créer une association de connectivité nommée ca1, entrez :

  2. Configurez le mode de sécurité MACsec comme dynamic pour l’association de connectivité :

    Par exemple, pour configurer le mode de sécurité MACsec sur l’association dynamic de connectivité ca1 :

  3. Affectez l’association de connectivité à une interface :

    Par exemple, pour affecter l’association de connectivité ca1 à l’interface xe-0/0/1 :

Configurer l’authentification 802.1X

Configurez l’authentification 802.1X avec EAP-TLS sur les interfaces à chaque extrémité de la liaison point à point. Les interfaces doivent jouer le rôle d’authentificateurs et de demandeurs pour que les appareils puissent s’authentifier mutuellement.

  1. Configurez l’interface en tant qu’authentificateur avec l’option de non-réauthentification :
  2. Configurez l’interface en tant que supplicant.
  3. Configurez la méthode d’authentification en tant qu’EAP-TLS :
  4. Attribuez un certificat local à l’interface :

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
16.1R2
À compter de Junos OS version 16.1R2, lorsque la sécurité MACsec (Media Access Control Security) est activée sur une interface, la fonctionnalité de contrôle de flux d’interface est activée par défaut, quelle que soit la configuration définie à l’aide de l’instruction (flow-control | no-flow-control) au niveau de la [edit interfaces interface- name gigether-options] hiérarchie. Lorsque MACsec est activé, des octets d’en-tête supplémentaires sont ajoutés au paquet par le PHY MACsec. Avec le trafic au débit de ligne, lorsque MACsec est activé et que le contrôle de flux est désactivé, les trames de pause envoyées par le PHY MACsec sont arrêtées par l’adresse MAC du MIC (MIC Gigabit Ethernet 20 ports améliorés sur les routeurs MX Series) et ne sont pas transférées au moteur de transfert de paquets, ce qui entraîne des erreurs de tramage. Par conséquent, lorsque MACsec est activé sur une interface, le contrôle de flux est également automatiquement activé sur une telle interface.
15.1
À partir de la version 15.1 de Junos OS, vous pouvez configurer MACsec pour sécuriser les liaisons Ethernet point à point connectant les routeurs MX Series avec des MIC compatibles MACsec, ou les liaisons Ethernet connectant un commutateur à un équipement hôte tel qu’un PC, un téléphone ou un serveur.