Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre la sécurité MACsec (Media Access Control)

Comprendre la sécurité MACsec (Media Access Control)

La sécurité MACsec (Media Access Control) assure la sécurité point à point sur les liaisons Ethernet. MACsec est défini par la norme IEEE 802.1AE. Vous pouvez utiliser MACsec en combinaison avec d’autres protocoles de sécurité, tels que IP Security (IPsec) et Secure Sockets Layer (SSL), pour assurer la sécurité du réseau de bout en bout.

MACsec est capable d’identifier et de prévenir la plupart des menaces de sécurité, y compris le déni de service, les intrusions, l’interception, la mascarade, les écoutes passives et les attaques de lecture. MACsec sécurise une liaison Ethernet pour la quasi-totalité du trafic, y compris les trames du protocole LLDP (Link Layer Discovery Protocol), du LACP (Link Aggregation Control Protocol), du DHCP (Dynamic Host Configuration Protocol), du protocole ARP (Address Resolution Protocol) et d’autres protocoles qui ne sont généralement pas sécurisés sur une liaison Ethernet en raison des limitations des autres solutions de sécurité.

Utilisez l’Explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour MACsec.

Consultez la section « Comportement MACsec spécifique à la plate-forme » pour obtenir des remarques relatives à votre plate-forme.

Fonctionnement de MACsec

Lorsque MACsec est activé sur une liaison Ethernet point à point, la liaison est sécurisée après que les clés de sécurité correspondantes ont été échangées et vérifiées entre les interfaces à chaque extrémité de la liaison. La clé peut être configurée manuellement ou générée dynamiquement, selon le mode de sécurité utilisé pour activer MACsec. Pour plus d’informations sur les modes de sécurité MACsec, reportez-vous à la section Modes de sécurité MACsec.

MACsec utilise une combinaison de contrôles d’intégrité des données et de chiffrement pour sécuriser le trafic traversant le lien :

Data integrity

MACsec ajoute un en-tête de 8 octets et une queue de 16 octets à toutes les trames Ethernet qui traversent la liaison sécurisée par MACsec. L’en-tête et la queue sont vérifiés par l’interface de réception pour s’assurer que les données n’ont pas été compromises lors de la traversée de la liaison. Si la vérification de l’intégrité des données détecte quelque chose d’anormal dans le trafic, le trafic est abandonné.
Encryption

Le chiffrement garantit que les données de la trame Ethernet ne peuvent pas être consultées par quiconque surveille le trafic sur la liaison. Le chiffrement MACsec est facultatif et peut être configuré par l’utilisateur. Si vous le souhaitez, vous pouvez activer MACsec pour vous assurer que les contrôles d’intégrité des données sont effectués, tout en continuant à envoyer des données non chiffrées « en clair » via le lien sécurisé MACsec.

Note:

Lorsque MACsec est activé sur une interface logique, les balises VLAN ne sont pas chiffrées. Toutes les balises VLAN configurées sur l’interface logique activée pour MACsec sont envoyées en texte clair.

Associations de connectivité

MACsec est configuré dans les associations de connectivité. Une association de connectivité est un ensemble d’attributs MACsec que les interfaces utilisent pour créer deux canaux sécurisés, l’un pour le trafic entrant et l’autre pour le trafic sortant. Les canaux sécurisés sont responsables de la transmission et de la réception des données sur la liaison sécurisée MACsec.

Les canaux sécurisés sont automatiquement créés. Ils n’ont pas de paramètres configurables par l’utilisateur. Toute la configuration se fait au sein de l’association de connectivité, mais en dehors des canaux sécurisés.

L’association de connectivité doit être attribuée à une interface compatible MACsec de chaque côté de la liaison Ethernet point à point. Si vous souhaitez activer MACsec sur plusieurs liaisons Ethernet, vous devez configurer MACsec individuellement sur chaque liaison. D’autres paramètres configurables par l’utilisateur, tels que l’adresse MAC ou le port, doivent également correspondre sur les interfaces de chaque côté de la liaison pour activer MACsec.

Modes de sécurité MACsec

MACsec peut être activé à l’aide de l’un des modes de sécurité suivants :

  • Mode CAK statique

  • Mode CAK dynamique

Bonne pratique :

Le mode CAK statique est recommandé pour les liaisons connectant des commutateurs ou des routeurs. Le mode CAK statique garantit la sécurité en actualisant fréquemment une nouvelle clé de sécurité aléatoire et en partageant uniquement la clé de sécurité entre les deux périphériques sur la liaison point à point sécurisée par MACsec.

Mode CAK statique

Lorsque vous activez MACsec à l’aide du mode CAK statique, deux clés de sécurité (une clé d’association de connectivité (CAK) qui sécurise le trafic du plan de contrôle et une clé d’association sécurisée (SAK) générée de manière aléatoire qui sécurise le trafic du plan de données) sont utilisées pour sécuriser la liaison. Les deux clés sont régulièrement échangées entre les deux appareils, à chaque extrémité de la liaison Ethernet point à point, afin de garantir la sécurité de la liaison.

Vous établissez d’abord un lien sécurisé MACsec à l’aide d’une clé pré-partagée lorsque vous utilisez le mode de sécurité CAK statique pour activer MACsec. Une clé pré-partagée inclut un nom d’association de connectivité (CKN) et sa propre clé CAK. Le CKN et le CAK sont configurés par l’utilisateur dans l’association de connectivité et doivent correspondre aux deux extrémités de la liaison pour activer MACsec initialement.

Une fois que les clés pré-partagées correspondantes sont échangées avec succès, le protocole MACsec Key Agreement (MKA) est activé. Le protocole MKA est responsable de la maintenance MACsec sur la liaison et décide quel commutateur de la liaison point à point devient le serveur de clés. Le serveur de clés crée ensuite un SAK qui est partagé avec le commutateur à l’autre extrémité de la liaison point à point uniquement, et qui est utilisé pour sécuriser tout le trafic de données traversant le lien. Le serveur de clés continuera à créer et à partager périodiquement un SAK créé de manière aléatoire sur la liaison point à point tant que MACsec est activé.

Note:

Si la session MACsec est interrompue en raison d’une défaillance de liaison, lorsque la liaison est restaurée, le serveur de clés MKA choisit un serveur de clés et génère un nouveau SAK.

Note:

Les commutateurs situés à chaque extrémité d’une liaison commutateur à commutateur sécurisée par MACsec doivent tous deux utiliser Junos OS version 14.1X53-D10 ou ultérieure, ou utiliser une version antérieure de Junos, afin d’établir une connexion sécurisée par MACsec lors de l’utilisation du mode de sécurité CAK statique.

Mode CAK dynamique

En mode CAK dynamique, les nœuds homologues sur la liaison MACsec génèrent les clés de sécurité de manière dynamique dans le cadre du processus d’authentification 802.1X. Les nœuds homologues reçoivent des attributs de clé MACsec du serveur RADIUS lors de l’authentification et les utilisent pour générer dynamiquement la clé CAK et le CKN. Ils échangent ensuite les clés pour établir une connexion sécurisée par MACsec.

Le mode CAK dynamique simplifie l’administration par rapport au mode CAK statique, car les clés n’ont pas besoin d’être configurées manuellement. De plus, les clés peuvent être gérées de manière centralisée à partir du serveur RADIUS.

Vous pouvez utiliser le mode CAK dynamique pour sécuriser une liaison commutateur-hôte ou une liaison qui connecte des commutateurs ou des routeurs. Sur une liaison commutateur à hôte, le commutateur est l’authentificateur 802.1X et l’hôte est le demandeur. Sur une liaison reliant des commutateurs ou des routeurs, les appareils doivent agir à la fois comme authentificateurs et demandeurs afin de pouvoir s’authentifier mutuellement.

Le mode CAK dynamique repose sur une validation basée sur les certificats à l’aide du protocole EAP-TLS (Extensible Authentication Protocol-couche transport security). Le serveur RADIUS et les équipements de commutation doivent utiliser EAP-TLS et une infrastructure à clé publique pour prendre en charge MACsec en mode CAK dynamique.

MACsec dans un Virtual Chassis

MACsec peut être configuré sur les interfaces de commutateur prises en charge lorsque ces commutateurs sont configurés dans un Virtual Chassis ou un Virtual Chassis Fabric (VCF), y compris lorsque des interfaces prises en charge par MACsec se trouvent sur des commutateurs membres d’un Virtual Chassis ou d’un VCF mixte comprenant des interfaces de commutateur ne prenant pas en charge MACsec. MACsec ne peut toutefois pas être activé sur les ports Virtual Chassis (VCP) pour sécuriser le trafic circulant entre les commutateurs membres d’un Virtual Chassis ou d’un VCF.

MACsec Limitations

  • Tous les types de trames du protocole Spanning Tree ne peuvent actuellement pas être chiffrées à l’aide de MACsec.

  • Des baisses de trafic MACsec sont à prévoir lors du basculement GRES.

Suites de chiffrement prises en charge pour les plates-formes SRX

Les tableaux suivants montrent la prise en charge de la suite de chiffrement sur les plates-formes SRX.

Tableau 1 : Chiffrements IKE pris en charge sur les plates-formes SRX

Chiffrements (IKE)

SRX1500

SRX1600

SRX2300

SRX4100, SRX4200 et SRX4300

SRX4600 et SRX4700

SRX5400, SRX5600 et SRX5800

AES-128-GCM

Oui

Oui

Oui

Oui

Oui

Oui

AES-192-GCM

Non

Non

Non

Non

Non

Non

AES-256-GCM

Oui

Oui

Oui

Oui

Oui

Oui
Tableau 2 : Chiffrements pris en charge (IPSec) sur les plates-formes SRX

Chiffrements (IPSec)

SRX1500

SRX1600

SRX2300

SRX4100, SRX4200 et SRX4300

SRX4600 et SRX4700

SRX5400, SRX5600 et SRX5800

AES-128-GCM

Oui

Oui

Oui

Oui

Oui

Oui

AES-192-GCM

Oui

Oui

Oui

Oui

Oui

Oui

AES-256-GCM

Oui

Oui

Oui

Oui

Oui

Oui

Comportement MACsec spécifique à la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.

Utilisez le tableau suivant pour examiner le comportement spécifique à votre plate-forme.

Plateforme

Différence

  • EX Series

EX Series’appareil qui prend en charge MACsec peut ne pas fonctionner correctement sur les ports SFP 1G PHY84756 si la négociation automatique est activée et que MACsec est configuré sur ces ports. Pour contourner ce problème, configurez no- auto-negotiation sur PHY84756 ports SFP 1G avant de configurer MACsec sur ces ports.

Voir aussi

Exigences logicielles et de licences MACsec

Licences de fonctionnalités MACsec

Une licence de fonctionnalité est requise pour configurer MACsec sur les commutateurs EX Series et QFX Series, à l’exception des cartes de ligne QFX10000-6C-DWDM et QFX10000-30C-M. Si la licence MACsec n’est pas installée, la fonctionnalité MACsec ne peut pas être activée.

Pour acheter une licence de fonctionnalité pour MACsec, contactez votre représentant commercial Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). Le représentant commercial Juniper vous fournira un fichier de licence de fonctionnalité ainsi qu’une clé de licence. Il vous sera demandé de fournir le numéro de série du châssis de votre commutateur. Vous pouvez obtenir le numéro de série en exécutant la show chassis hardware commande.

La licence de fonctionnalité MACsec est une licence de fonctionnalité indépendante. Il n’est pas possible d’acheter des licences EFL (Enhanced Feature Licenses) ou des licences AFL (Advanced Feature Licenses) nécessaires pour activer certaines fonctionnalités sur les commutateurs EX Series ou QFX Series.

Pour un déploiement Virtual Chassis, deux clés de licence MACsec sont recommandées pour la redondance : l’une pour l’appareil dans le rôle principal et l’autre pour l’appareil dans le rôle de sauvegarde. Deux licences MACsec peuvent être requises par Virtual Chassis Fabric (VCF) et par Virtual Chassis (VC), en fonction du modèle et de la configuration. Consultez les documents de licence ci-dessous pour plus de détails sur la plate-forme et les fonctionnalités.

L’installation et la maintenance d’une licence de fonctionnalité MACsec sont les mêmes que n’importe quelle autre licence de commutateur. Pour plus d’informations sur la configuration et la gestion de votre licence logicielle MACsec, reportez-vous à la section Gestion des licences des commutateurs EX Series (procédure CLI) ou Ajout de nouvelles licences (procédure CLI).

Configuration logicielle requise MACsec pour les routeurs MX Series

Voici quelques-unes des principales exigences logicielles pour MACsec sur les routeurs MX Series :

Note:

Aucune licence de fonctionnalité n’est requise pour configurer MACsec sur les routeurs MX Series équipés du MIC Gigabit Ethernet amélioré à 20 ports (numéro de modèle MIC-3D-20GE-SFP-E).

MACsec est pris en charge sur les routeurs MX Series dotés d’interfaces compatibles MACsec.

MACsec prend en charge les suites de chiffrement 128 et 256 bits avec ou sans numérotation étendue des paquets (XPN).

MACsec prend en charge le protocole MACsec Key Agreement (MKA) avec le mode Static-CAK à l’aide de clés prépartagées.

MACsec ne prend en charge qu’une seule association de connectivité (CA) par port physique ou interface physique.

À partir de Junos OS version 20.3R1, vous pouvez configurer la sécurité MACsec (Media Access Control Security) au niveau de l’interface logique sur la carte de ligne MPC7E-10G. Cette configuration permet d’activer plusieurs sessions d’accord de clé MACsec (MKA) sur un seul port physique. Les balises VLAN sont transmises en texte clair, ce qui permet aux commutateurs intermédiaires qui ne sont pas sensibles à MACsec de basculer les paquets en fonction des balises VLAN.

À partir de la version 15.1 de Junos OS, MACsec est pris en charge sur les liaisons membres d’un bundle d’interfaces Ethernet agrégé (ae-), ainsi que sur les interfaces standard qui ne font pas partie d’un bundle d’interfaces.

À partir de Junos OS version 17.3R2, MACsec prend en charge les suites de chiffrement 256 bits GCM-AES-256 et GCM-AES-XPN-256 sur les routeurs MX10003 dotés du MIC modulaire (numéro de modèle JNP-MIC1-MACSEC).

À partir de la version 18.4R2 de Junos OS, le MIC MIC-MACSEC-20GE fournit une suite de chiffrement 256 bits GCM-AES-256 et GCM-AES-XPN-256. La carte d’interface MIC-MACSEC-20GE prend en charge MACsec sur vingt ports SFP 1 Gigabit Ethernet et sur deux ports 10 Gigabit Ethernet SFP+ dans les configurations matérielles suivantes :

  • Installé directement sur les routeurs MX80 et MX104

  • Installé sur les cartes de ligne MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG et MPC3E-NG des routeurs MX240, MX480 et MX960

Pour plus d’informations, reportez-vous aux Conventions de nommage d’interface pour MIC-MACSEC-20GE et à la Vitesse de port pour les périphériques de routage .

Image logicielle MACsec requise pour les commutateurs QFX Series et EX Series

Junos OS version 16.1 et ultérieures

Pour Junos OS version 16.1 et ultérieure, vous devez télécharger l’image Junos standard pour activer MACsec. MACsec n’est pas pris en charge dans l’image limitée.

La version standard du logiciel Junos OS contient le chiffrement et n’est donc pas disponible pour les clients dans toutes les zones géographiques. L’exportation et la réexportation de ce logiciel Junos OS sont strictement contrôlées par les lois sur l’exportation des États-Unis. L’exportation, l’importation et l’utilisation de ce logiciel Junos OS sont également soumises à des contrôles imposés par les lois d’autres pays. Si vous avez des questions sur l’acquisition de cette version de votre logiciel Junos OS, contactez Juniper Networks groupe de conformité commerciale à mailto:compliance_helpdesk@juniper.net.

Versions de Junos OS antérieures à la version 16.1

Pour les versions antérieures à la version 16.1 de Junos OS, vous devez télécharger la version contrôlée de votre logiciel Junos OS pour activer MACsec. La prise en charge de MACsec n’est pas disponible dans la version nationale du logiciel Junos OS dans les versions antérieures à Junos OS version 16.1.

La version contrôlée du logiciel Junos OS inclut toutes les caractéristiques et fonctionnalités disponibles dans la version domestique de Junos OS, tout en prenant en charge MACsec. La version nationale du logiciel Junos OS est fournie sur tous les commutateurs prenant en charge MACsec. Vous devez donc télécharger et installer une version contrôlée du logiciel Junos OS pour votre commutateur avant de pouvoir activer MACsec.

La version contrôlée du logiciel Junos OS contient le chiffrement et n’est donc pas disponible pour les clients dans toutes les zones géographiques. L’exportation et la réexportation de la version contrôlée du logiciel Junos OS sont strictement contrôlées par les lois sur l’exportation des États-Unis. L’exportation, l’importation et l’utilisation de la version contrôlée du logiciel Junos OS sont également soumises aux contrôles imposés par les lois d’autres pays. Si vous avez des questions sur l’acquisition de la version contrôlée de votre logiciel Junos OS, communiquez avec Juniper Networks groupe de conformité commerciale à l’adresse mailto:compliance_helpdesk@juniper.net.

Acquisition et téléchargement du logiciel Junos OS

Vous pouvez déterminer si un progiciel est la version standard ou contrôlée de Junos OS en affichant le nom du package. Un progiciel pour une version contrôlée de Junos OS est nommé à l’aide du format suivant :

Un progiciel pour une version standard de Junos OS est nommé au format suivant :

Pour vérifier quelle version de Junos OS est en cours d’exécution sur votre commutateur, entrez la show version commande. Si la JUNOS Crypto Software Suite description apparaît dans la sortie, cela signifie que vous exécutez la version contrôlée de Junos OS. Si vous exécutez une version contrôlée de Junos OS, entrez la show system software commande pour afficher la version. La sortie indique également la version de tous les progiciels chargés.

Le processus d’installation de la version contrôlée ou standard du logiciel Junos OS sur votre commutateur est identique à celui d’installation de toute autre version du logiciel Junos OS. Vous devez entrer l’instruction request system software add pour télécharger l’image Junos OS et l’instruction request system reboot pour redémarrer le commutateur afin de terminer la procédure de mise à niveau.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
23.4R1
Junos OS version 23.4R1 prend en charge MACsec sur les interfaces 1 GbE sur les routeurs MX304 à l’aide d’un adaptateur QSFP-SFP (QSA) ou d’un câble optique actif (AOC) breakout. La prise en charge de MACsec sur les interfaces 1 GbE nécessite un contrôle de flux, activé par défaut.
20.4R1-EVO
Junos OS Evolved version 20.4R1 a introduit la prise en charge de la gestion dynamique de l’alimentation. Les blocs MACsec sont activés et désactivés de manière dynamique en fonction de la configuration MACsec. Lorsque MACsec est configuré sur une interface, le bloc MACsec est activé pour ce groupe de ports. Si aucune des interfaces d’un groupe de ports n’est configurée pour MACsec, l’alimentation contourne le bloc MACsec. Il peut y avoir une perte de trafic minime pendant la transition du bloc d’alimentation.
18.3R1
À partir de la version 18.4R2 de Junos OS, le MIC MIC-MACSEC-20GE fournit une suite de chiffrement 256 bits GCM-AES-256 et GCM-AES-XPN-256.
18.2R1
À partir de Junos OS version 18.2R1, AES-256 est pris en charge sur la carte de ligne EX9200-40XS.
15.1
À partir de Junos OS version 15.1, MACsec est pris en charge sur les liaisons membres d’un bundle d’interfaces Ethernet agrégé ( ae-), ainsi que sur les interfaces standard qui ne font pas partie d’un bundle d’interfaces.