シャーシ クラスタのMACsec(メディア アクセス制御セキュリティ)
メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。詳細については、次のトピックを参照してください。
メディアアクセス制御セキュリティ(MACsec)について
メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。MACsecは、直接接続されたノード間のイーサネットリンク上にポイントツーポイントセキュリティを提供し、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ上の脅威を特定して防止することができます。
MACsec を使用すると、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)からのフレームや、他のセキュリティ ソリューションでは制限があるため、通常はイーサネット リンクで保護されないその他のプロトコルからのフレームを含む、ほぼすべてのトラフィックに対してイーサネット リンクをセキュリティで保護できます。MACsecは、IPsec(IP Security)や SSL(Secure Sockets Layer)などの他のセキュリティ プロトコルと組み合わせて使用することで、エンドツーエンドのネットワーク セキュリティを提供できます。
Junos OSリリース15.1X49-D60以降、メディアアクセス制御セキュリティ(MACsec)は、シャーシクラスタモードのSRX340およびSRX345デバイスの制御ポートおよびファブリックポートでサポートされます。
Junos OSリリース20.1R1以降、トラフィックを保護するために、シャーシクラスタモードのSRX380デバイスの制御ポート、ファブリックポート、収益ポートでMACsecがサポートされています。MACsecは、1ギガビットイーサネットポートX16(ge-0/0/0からge-0/0/15)および10ギガビットイーサネットポートx4(xe-0/0/16からxe-0/0/19)でサポートされています。
Junos OS リリース 17.4R1 以降、シャーシ クラスタ モードの SRX4600 デバイスの HA 制御ポートおよびファブリック ポートで MACsec がサポートされています。
このトピックは、以下のセクションで構成されています。
MACsecの仕組み
ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、「 機能エクスプローラー」を参照してください。
MACsecは、セキュアなポイントツーポイントイーサネットリンクを使用して、業界標準のセキュリティを提供します。ポイントツーポイント リンクは、セキュリティ キーを照合するとセキュリティで保護されます。静的接続関連付けキー(CAK)セキュリティ モードを使用してMACsecを有効にすると、ポイントツーポイント イーサネット リンクの両端にあるインターフェイス間で、ユーザーが設定した事前共有キーが交換および検証されます。
ポイントツーポイントのイーサネットリンクでMACsecを有効にすると、リンクを通過するすべてのトラフィックは、データの整合性チェックと、設定されている場合は暗号化を使用してMACsecで保護されます。
データ整合性チェックでは、データの整合性を検証します。MACsecは、MACsecで保護されたポイントツーポイントイーサネットリンクを通過するすべてのイーサネットフレームに、8バイトのヘッダーと16バイトのテールを追加し、受信インターフェイスによってヘッダーとテールがチェックされ、リンクを通過するときにデータが侵害されていないことが確認されます。データ整合性チェックでトラフィックに関する異常な点が検出されると、そのトラフィックはドロップされます。
MACsecは、イーサネットリンク上のすべてのトラフィックの暗号化にも使用できます。MACsecで使用される暗号化により、リンク上のトラフィックを監視している人がイーサネットフレーム内のデータを見ることができないようにします。
デフォルトでは、静的 CAK セキュリティ モードを使用して MACsec が有効になっている場合、インターフェイスを出入りするすべてのトラフィックに対して暗号化が有効になります。
MACsec は、MACsec 対応インターフェイス間のポイントツーポイント イーサネット リンクで設定されます。複数のイーサネットリンクでMACsecを有効にする場合は、各ポイントツーポイントイーサネットリンクでMACsecを個別に設定する必要があります。
接続性の関連付けとセキュアチャネルについて
MACsec は、接続性の関連付けに設定されます。MACsecは、接続アソシエーションがインターフェイスに割り当てられている場合に有効になります。
静的 CAK または動的セキュリティ モードを使用して MACsec を有効にする場合は、接続性の関連付けを作成して設定する必要があります。2 つのセキュリティで保護されたチャネル (1 つは受信トラフィック用のセキュリティで保護されたチャネル、もう 1 つは送信トラフィック用のセキュリティで保護されたチャネル) が自動的に作成されます。自動的に作成されたセキュリティで保護されたチャネルには、ユーザーが構成できるパラメーターはありません。すべての構成は、セキュリティで保護されたチャネルの外部の接続アソシエーションで行われます。
静的接続アソシエーション キー セキュリティ モードについて
静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec を有効にすると、コントロール プレーンのトラフィックを保護する CAK(接続性アソシエーション キー)と、データ プレーン トラフィックをセキュリティで保護するランダムに生成されるセキュア アソシエーション キー(SAK)の 2 つのセキュリティ キーがポイントツーポイント イーサネット リンクのセキュリティ保護に使用されます。リンクのセキュリティを確保するために、ポイントツーポイントイーサネットリンクの両端で、両方のデバイス間で両方のキーが定期的に交換されます。
静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、事前共有キーを使用して最初に MACsec で保護されたリンクを確立します。事前共有キーには、接続アソシエーション名 (CKN) とそれ自身の接続アソシエーション キー (CAK) が含まれます。CKN と CAK は、接続アソシエーションでユーザーによって設定され、MACsec を最初に有効にするには、リンクの両端で一致する必要があります。
一致する事前共有キーの交換に成功すると、MACsec キー アグリーメント(MKA)プロトコルが有効になります。MKA プロトコルは、リンク上の MACsec を維持する役割を担い、ポイントツーポイント リンク上のどのスイッチがキー サーバになるかを決定します。次に、鍵サーバーは、ポイントツーポイント リンクのもう一方の端でのみスイッチと共有される SAK を作成し、その SAK を使用してリンクを通過するすべてのデータ トラフィックを保護します。キー サーバーは、MACsec が有効になっている限り、ポイントツーポイント リンクを介してランダムに作成された SAK を定期的に作成して共有し続けます。
静的 CAK セキュリティ モードを使用して MACsec を有効にするには、リンクの両端で接続の関連付けを設定します。すべての構成は、接続アソシエーション内で、セキュア チャネルの外部で行われます。静的 CAK セキュリティ モードを使用すると、受信トラフィック用と送信トラフィック用の 2 つのセキュリティで保護されたチャネルが自動的に作成されます。自動的に作成されたセキュア・チャネルには、接続性の関連付けでまだ構成できないユーザー構成可能なパラメーターはありません。
静的 CAK セキュリティ モードを使用して MACsec を有効にすることを推奨します。静的 CAK セキュリティ モードは、新しいランダム セキュリティ キーを頻繁に更新し、MACsec で保護されたポイントツーポイント リンク上の 2 つのデバイス間でのみセキュリティ キーを共有することで、セキュリティを確保します。さらに、一部のオプションの MACsec 機能(リプレイ防御、SCI タグ付け、MACsec からトラフィックを除外する機能)は、静的 CAK セキュリティ モードを使用して MACsec を有効にした場合にのみ使用できます。
Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、HAコントロールおよびファブリックリンクでMACsecをサポートするSRXシリーズファイアウォールでは、コマンド restart 802.1x-protocol-daemon
がプライマリノードで実行すると、シャーシクラスターの制御リンクとファブリックリンクがフラップし、クラスターノードがスプリットブレインモードになります。
MACsecに関する考慮事項
現在、すべてのタイプのスパニングツリープロトコルフレームをMACsecで暗号化することはできません。
接続の関連付けは、MACsecインターフェイス設定から見える限り、グローバル、ノード固有、またはその他の設定グループなど、どこでも定義できます。
MACsec 設定では、両端に同一の設定が存在する必要があります。つまり、各ノードには、他のノードと同じ構成が含まれている必要があります。もう一方のノードが未設定であるか、または反対側のMACsecで不適切に設定されている場合、ポートは無効になり、トラフィックの転送を停止します。
SRX340、SRX345、SRX380 デバイスは、ホスト間またはスイッチとホスト間の接続で MACsec をサポートしています。
現在、SRX4600デバイスでは、ホスト間接続のMACsecはサポートされていません。MACsecは専用ファブポートでのみサポートされており、トラフィックポートがファブとして使用されている場合はサポートされません。
SRX340、SRX345、SRX380デバイスでは、メディアアクセス制御セキュリティ(MACsec)設定がノードに対してローカルになるようにファブリックインターフェイスを設定する必要があります。そうしないと、ファブリック リンクに到達できません
メディアアクセス制御セキュリティ(MACsec)の設定
Junos OSリリース15.1X49-D60以降、メディアアクセス制御セキュリティ(MACsec)は、シャーシクラスタモードのSRX340およびSRX345デバイスの制御ポートおよびファブリックポートでサポートされます。
Junos OS Release 17.4R1以降、シャーシクラスタモードのSRX4600デバイスの制御ポートおよびファブリックポートでMACsecがサポートされています。
このトピックでは、シャーシ クラスタ内のサポートされている SRX シリーズ ファイアウォールの制御ポートとファブリック ポートに MACsec を設定し、クラスタ内のピア デバイス間のポイントツーポイント イーサネット リンクを保護する方法を示します。MACsec を使用して保護する各ポイントツーポイント イーサネット リンクは、個別に設定する必要があります。静的接続性関連付けキー(CAK)セキュリティ モードを使用すると、デバイス間リンクで MACsec 暗号化を有効にできます。
このドキュメントでは、両方のプロセスの設定手順について説明します。
- シャーシ クラスタ設定で MACsec を設定する際の設定上の考慮事項
- スタティック接続アソシエーションキーセキュリティモードを使用したMACsecの設定
- シャーシ クラスタ制御ポートでの静的 CAK の設定
- シャーシ クラスタ ファブリック ポートでの静的 CAK の設定
- シャーシ クラスタ内のデバイスの制御SRX4600ポートでの静的 CAK の設定
- MACSEC設定の確認
シャーシ クラスタ設定で MACsec を設定する際の設定上の考慮事項
開始する前に、次の手順に従って制御ポートで MACsec を設定します。
- シャーシ クラスタがすでに起動している場合は、 コマンドを使用して無効にし
set chassis cluster disable
、両方のノードを再起動します。 - シャーシ クラスタ制御ポートでの静的 CAK の設定の項を参照の説明に従って、制御ポートとその属性を使用して制御ポートの MACsec を設定します。両方のノードは、同じ構成で個別に構成する必要があります。
- 両方のノードで を使用して
set chassis cluster cluster-id id
シャーシ クラスタを有効にします。両方のノードを再起動します。
制御ポートの状態は、シャーシ クラスタの整合性に影響します。制御ポートにMACsecを設定する場合は、以下の点を考慮してください。
新しい MACsec シャーシ クラスタ ポート設定または既存の MACsec シャーシ クラスタ ポート設定を変更する場合は、シャーシ クラスタを無効にする必要があり、警告メッセージが表示されます
Modifying cluster control port CA will break chassis cluster
。無効にすると、前述の設定を適用してシャーシ クラスタを有効にできます。デフォルトでは、シャーシ クラスタはすべての設定を同期します。これに対応して、同期によってMACsec設定が失われないように監視する必要があります。そうしないと、シャーシ クラスタが壊れます。たとえば、非対称のノード固有のMACsec構成の場合、両端に同じ構成が存在する必要があります。つまり、各ノードには、他のノードと同じ構成が含まれている必要があります。
対象外のタイマーは、シャーシ クラスタ制御ポートの MACsec が SRX340、SRX345、SRX380 デバイスで有効になっている場合、300 秒です。
両方の制御リンクに障害が発生した場合、Junos OSはセカンダリノードの動作状態を180秒間不適格に変更します。制御ポートでMACsecが有効になっている場合、SRX4600デバイスでは対象外期間は200秒です。
Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、SRX340、SRX345、SRX380デバイスのシャーシクラスターでは、初期ホールドタイマーが30秒から120秒に延長されています。
制御ポートのMACsec設定を変更する場合は、上記の手順を繰り返す必要があります。
ファブリックポートでMACsecを設定する場合は、以下の点を考慮してください。
MACsecを設定すると、リンクステートが変化し、リンクのトラフィック能力に影響を与える可能性があります。ファブリックポートを設定する際は、有効なリンク状態を念頭に置いてください。ファブリック リンクの両端の MACsec 設定が正しくないと、リンクが不適格な状態になる可能性があります。ファブリックリンクの設定については、以下の重要な点に注意してください。
シャーシ クラスタを形成する際には、リンクの両端を同時に設定する必要があります。
構成が正しくないと、ファブリックの障害やファブリック・リカバリー・ロジックのエラーが発生する可能性があります。
リンク障害のシナリオが発生する可能性があるため、シャーシ クラスタの形成時にファブリック リンクを設定することを推奨します。
スタティック接続アソシエーションキーセキュリティモードを使用したMACsecの設定
デバイスをポイントツーポイントのイーサネット リンクで静的接続アソシエーション キー(CAK)セキュリティ モードを使用することで、MACsec 暗号化を有効にできます。この手順では、静的 CAK セキュリティ モードを使用して MACsec を設定する方法を示します。
SRX340およびSRX345デバイスでは、ge-0/0/0はファブリックポートであり、ge-0/0/1はシャーシクラスターの制御ポートであり、クラスター制御ポート0として割り当てられます。
SRX380デバイスのクラスタ制御ポートとクラスタデータポートでMACsecを設定するには、ノードがスタンドアロンノードにある必要があります。MACsec 設定が両方のノードに適用され、ノードがシャーシ クラスタ モードで再起動されます。SRX380デバイスでは、ge-0/0/0がファブリックポートで、ge-0/0/15がシャーシクラスターの制御ポートになります。
SRX4600デバイスでは、専用のコントロールポートとファブリックポートを使用できます。制御リンクのMACsecは、専用の制御ポート(制御ポート0[em0]およびポート1[em1])で設定できます。ファブリックリンク上のMacsecは、fpc0 pic0の専用ファブリックポートポート2およびポート3(xe-0/0/2やxe-0/0/3など)でのみ設定でき、fpc7 pic0のポート2およびポート3でも同様に設定できます。
静的 CAK セキュリティ モードを使用して MACsec を構成し、デバイス間のイーサネット リンクを保護するには、次の手順を実行します。
静的 CAK セキュリティ モードを使用する MACsec は、リンクの反対側の接続アソシエーションも設定され、リンクの両端で一致する事前共有キーが含まれるまで有効になりません。
シャーシ クラスタ制御ポートでの静的 CAK の設定
2台のSRX345デバイスでシャーシクラスタ制御リンクを介してCAを確立する。
シャーシ クラスタ ファブリック ポートでの静的 CAK の設定
2台のSRX345デバイス上のシャーシクラスターファブリックリンクを介して接続アソシエーションを確立するには、次の手順に従います。
シャーシ クラスタ内のデバイスの制御SRX4600ポートでの静的 CAK の設定
2 台のSRX4600デバイスでシャーシ クラスタ制御リンクを介して CA を確立するには、この手順を使用します。
MACSEC設定の確認
シャーシ クラスタのSRX4600デバイスの制御ポートでの静的 CAK の設定に記載されている設定が正しく機能していることを確認するには、次のタスクを実行します。
- デバイス上のアクティブなMACsec接続のステータスの表示
- MACsec Key Agreement(MKA)セッション情報の表示
- MACsecで保護されたトラフィックがインターフェイスを通過していることの確認
- シャーシ クラスタ ポートがMACsec設定で保護されていることの確認
デバイス上のアクティブなMACsec接続のステータスの表示
目的
シャーシ クラスタ設定でMACsecが動作していることを確認します。
アクション
動作モードから、シャーシ クラスタ セットアップの一方または両方のノードで コマンドを入力します show security macsec connections interface interface-name
。
{primary:node0}[edit]
user@host# show security macsec connections
Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1 Secure associations AN: 3 Status: inuse Create time: 00:01:43 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 3 Status: inuse Create time: 00:01:43
意味
および CA name
の出力はInterface name
、MACsec接続アソシエーションがインターフェイスem0上で動作していることを示しています。インターフェイス上で接続アソシエーションが動作していない場合、出力は表示されません。
MACsec Key Agreement(MKA)セッション情報の表示
目的
すべてのインターフェイスの MACsec キー アグリーメント(MKA)セッション情報を表示します。
アクション
動作モードから、 コマンドを入力します show security mka sessions
。
user@host> show security mka sessions
Interface name: em0
Member identifier: B51CXXXX2678A7F5F6C12345
CAK name: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Transmit interval: 10000(ms)
Outbound SCI: 02:00:00:01:01:04/1
Message number: 270 Key number: 8
Key server: yes Key server priority: 16
Latest SAK AN: 3 Latest SAK KI: B51C8XXX2678A7A5B6C54321/8
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 0413427B38817XXXXF054321 (live)
Message number: 8 Hold time: 59000 (ms)
SCI: 02:00:00:02:01:04/1
Lowest acceptable PN: 0
意味
出力には、MKA セッションのステータスが表示されます。
MACsecで保護されたトラフィックがインターフェイスを通過していることの確認
目的
インターフェイスを通過するトラフィックがMACsecで保護されていることを確認します。
アクション
動作モードから、 コマンドを入力します show security macsec statistics
。
user@host> show security macsec statistics interface em0 detail
Interface name: em0
Secure Channel transmitted
Encrypted packets: 2397305
Encrypted bytes: 129922480
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 2397305
Protected packets: 0
Secure Channel received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 131715088
Secure Association received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 0
意味
Encrypted packets
フィールドの下のSecure Channel transmitted
行は、MACsec によって保護および暗号化されたインターフェイスからパケットが送信されるたびに増分される値です。
Accepted packets
フィールドの下のSecure Association received
行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびに増分される値です。出力の下のSecure Association received
行はDecrypted bytes
、暗号化されたパケットが受信および復号化されるたびにインクリメントされます。
シャーシ クラスタ ポートがMACsec設定で保護されていることの確認
目的
シャーシ クラスタ ポートで MACsec が設定されていることを確認します。
アクション
動作モードから コマンド show chassis cluster interfaces
を入力します。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-1/1/6 Up / Up Enabled
fab0
fab1 xe-8/1/6 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
reth2 Down Not configured
reth3 Down Not configured
reth4 Down Not configured
reth5 Down Not configured
reth6 Down Not configured
reth7 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
意味
としてSecured
示されているem0インターフェイスの出力の下のControl interfaces
線はSecurity
、em0インターフェイスから送信されたトラフィックがMACsecによって保護および暗号化されていることを意味します。
コマンドを使用して、シャーシ クラスタの現在のステータスを表示することもできます show chassis cluster status
。