シャーシ クラスタ上のMACsec(Media Access Control Security)
MACsec(Media Access Control Security)は、イーサネット リンク上のすべてのトラフィックにセキュアな通信を提供する業界標準のセキュリティ 技術です。詳細については、以下のトピックを参照してください。
MACsec(Media Access Control Security)について
MACsec(Media Access Control Security)は、イーサネット リンク上のすべてのトラフィックにセキュアな通信を提供する業界標準のセキュリティ 技術です。MACsec は、直接接続されたノード間のイーサネット リンク上のポイント to-point セキュリティを提供し、サービス拒否、侵入、中間者攻撃、不正侵入、受動的有線攻撃、プレイバック攻撃など、ほとんどのセキュリティ脅威を特定して防御できます。
MACsec を使用すると、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)、その他のセキュリティ ソリューションに制限があるイーサネット リンク上で一般的に保護されないその他のプロトコルなど、ほぼすべてのトラフィックのイーサネット リンクを保護できます。MACsec は、IP セキュリティ(IPsec)やセキュア ソケット レイヤー(SSL)などの他のセキュリティ プロトコルと組み合わせて使用して、エンドツーエンドのネットワーク セキュリティを提供します。
Junos OS リリース 15.1X49-D60から、シャーシ クラスタ モードの SRX340 および SRX345 デバイスのコントロール ポートおよびファブリック ポートで MACsec(Media Access Control Security)がサポートされています。
Junos OS リリース 17.4R1 から、シャーシ クラスタ モードの SRX4600 デバイスの HA コントロール ポートおよびファブリック ポートで MACsec がサポートされています。
このトピックは、以下のセクションで構成されています。
MACsec の仕組み
特定のプラットフォームまたはリリースでサポートされている機能のJunos OSは、 Feature Explorer を 参照してください。
MACsec は、セキュアなポイント to ポイント イーサネット リンクを使用して、業界標準のセキュリティを提供します。ポイント to-point リンクは、セキュリティ キーを照合した後に保護されます。静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec を有効にした場合、ユーザーが設定した事前共有キーが交換され、ポイント to-point Ethernet リンクの各エンドのインターフェイス間で検証されます。
MACsec がポイント to-ポイント イーサネット リンクで有効になると、データ整合性チェックと設定されている場合は暗号化を使用して、リンクを通過する全トラフィックが MACsec に保護されます。
データの整合性を確認し、データの整合性を検証します。MACsec は、8 バイト ヘッダーと 16 バイトのテールを MACsec 保護されたポイント to-point イーサネット リンクを通過するすべてのイーサネット フレームに追加し、ヘッダーとテールが受信側インターフェイスでチェックされ、リンクを通過している間にデータが侵害されていないか確認します。データ整合性チェックによってトラフィックに関して何か変なトラフィックが検出されると、トラフィックはドロップされます。
MACsec は、イーサネット リンク上のすべてのトラフィックを暗号化するためにも使用できます。MACsec で使用される暗号化により、リンク上のトラフィックを監視する人は、イーサネット フレームのデータを確認できません。
MACsec が静的 CAK セキュリティ モードを使用して有効になっている場合、デフォルトでインターフェイスから入る、またはインターフェイスを離れるすべてのトラフィックに対して暗号化が有効になります。
MACsec は、MACsec 対応インターフェイス間のポイントアンドポイント イーサネット リンク上に設定されています。複数のイーサネット リンクで MACsec を有効にする場合は、MACsec を各ポイント to-ポイント イーサネット リンク上で個別に設定する必要があります。
接続の関連付けとセキュアなチャネルについて
MACsecは接続アソシエーションで設定されていますMACsecは、接続アソシエーションがインターフェイスに割り当てられたときに有効になります。
静的 CAK または動的セキュリティ モードを使用して MACsec を有効にした場合、接続アソシエーションを作成して設定する必要があります。2 つのセキュア チャネル(インバウンド トラフィック用の 1 つのセキュア チャネルとアウトバウンド トラフィック用のもう 1 つのセキュア チャネル)が自動的に作成されます。自動的に作成されたセキュアなチャネルには、ユーザーが設定できるパラメータはありません。すべての設定は セキュアなチャネルの外部の接続アソシエーションで行われます
静的接続アソシエーション の鍵セキュリティー モードについて
静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec を有効にした場合、コントロール プレーン トラフィックを保護する接続アソシエーション キー(CAK)と、データ プレーン トラフィックを保護するランダムに生成されたセキュア なアソシエーション キー(SAC)の 2 つのセキュリティ キーを使用して、ポイントツーポイント イーサネット リンクを保護します。どちらのキーも、ポイント to-point イーサネット リンクの各端にある両方のデバイス間で定期的に交換され、リンク のセキュリティを確保します。
静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、まず事前共有鍵を使用して MACsec 保護リンクを確立します。事前共有鍵には、CK(Connectivity Association name)とそれ自身の接続アソシエーション キー(CAK)が含まれます。CKN と CAK は、接続アソシエーションでユーザーによって設定され、最初に MACsec を有効にするには、リンクの両端で一致する必要があります。
一致する事前共有鍵の交換が正常に完了すると、MACsec 鍵契約(MKA)プロトコルが有効になります。MKA プロトコルはリンク上の MACsec を維持する責任を負い、ポイント to-ポイント リンク上のスイッチが鍵サーバーになるかを決定します。次に、鍵サーバーによって、ポイント to-ポイント リンクのもう一方の端にあるスイッチと共有されるサクサクが作成され、そのSAC はリンクを通過するデータ トラフィックのセキュリティを保護するために使用されます。鍵サーバーは、MACsecが有効になっている限り、ポイント to-point リンクを通してランダムに作成したSACを定期的に作成して共有し続ける。
リンクの両端で接続アソシエーションを設定すると、静的 CAK セキュリティ モードを使用して MACsec を有効にします。すべての設定は、接続アソシエーション内ではなく、セキュア チャネル外で実行されます。静的 CAK セキュリティ モードを使用すると、2 つのセキュア チャネル(インバウンド トラフィック用とアウトバウンド トラフィック用)が自動的に作成されます。自動的に作成されたセキュアなチャネルに、接続の関連付けで構成されていない、ユーザーが設定可能なパラメータはありません。
静的 CAK セキュリティ モードを使用して MACsec を有効にすることをお勧めします。静的 CAK セキュリティ モードでは、新しいランダム セキュリティ キーに頻繁に更新され、MACsec が保護されたポイントツーポイント リンク上の 2 台のデバイス間でのみセキュリティ キーを共有することで、セキュリティが保証されます。さらに、一部のオプションの MACsec 機能(リプレイ防御、SCI タギング、MACsec からトラフィックを除外する機能)は、静的 CAK セキュリティ モードを使用して MACsec を有効にした場合にのみ使用できます。
Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 から始め、HA コントロールリンクおよびファブリック リンクで MACsec をサポートする SRX デバイスでは、コマンドがプライマリ ノード上で実行されている場合、シャーシ クラスタ制御とファブリック リンクがフラップして、クラスタ ノードがスプリット ブレーン モードに入る状態になります。 restart 802.1x-protocol-daemon
MACsec の考慮事項
現在、すべてのタイプのスパニング ツリー プロトコル フレームを MACsec を使用して暗号化することはできません。
接続アソシエーションは、MACsec インターフェイスの設定に表示できる限り、グローバル、ノード固有、または他の設定グループのいずれかを任意に定義できます。
MACsec 設定では、両端に同じ設定をする必要があります。つまり、各ノードに、他のノードと同じ設定が含まれている必要があります。もう一方のノードが MACsec で構成されていない、または MACsec が不適切に構成されていない場合、ポートは無効になり、トラフィックの転送を停止します。
ネットワーク15.1X49-D100、SRX340 および SRX345 のデバイスでは、ホスト間接続またはホスト間接続の MACsec はサポートされていませんでした。
SRX4600 デバイスは、現在、ホスト対ホスト接続の MACsec をサポートしていない。Macsecは専用のfabポートでのみサポートされ、therトラフィック ポートがfabとして使用されている場合はサポートされません。
SRX340およびSRX345デバイスでは、MACsec(Media Access Control Security)設定がノードでローカルに設定されているファブリック インターフェイスを設定する必要があります。そうしないと ファブリックリンクが到達不能になります
Configuring Media Access Control Security(MACsec)
Junos OS リリース 15.1X49-D60から、シャーシ クラスタ モードの SRX340 および SRX345 デバイスのコントロール ポートおよびファブリック ポートで MACsec(Media Access Control Security)がサポートされています。
リリース Junos OS リリース 17.4R1、シャーシ クラスタ モードの SRX4600 デバイスの制御ポートおよびファブリック ポートで MACsec がサポートされています。
このトピックでは、クラスタ内のピア デバイス間のポイントツーポイント イーサネット リンクを保護するために、シャーシ クラスタ内でサポートされる SRX シリーズ デバイスの制御およびファブリック ポートで MACsec を設定する方法について説明します。MACsec を使用して保護したい各ポイント to-point イーサネット リンクは、個別に設定する必要があります。静的接続アソシエーション キー(CAK)セキュリティ モードを使用して、デバイス間リンクでの MACsec 暗号化を有効にできます。
両方のプロセスの構成手順については、このドキュメントで説明しています。
- シャーシ クラスタ設定での MACsec の設定に関する考慮事項
- 静的接続アソシエーションのキー セキュリティ モードを使用した MACsec の設定
- シャーシ クラスタ制御ポートでの静的 CAK の設定
- シャーシ クラスタ ファブリック ポートでの静的 CAK の設定
- シャーシ クラスタ内の SRX4600 デバイスの制御ポートでの静的 CAK の設定
- MACSEC設定の検証
シャーシ クラスタ設定での MACsec の設定に関する考慮事項
開始する前に、次の手順に従って制御ポートで MACsec を設定します。
- シャーシ クラスタが既に起動している場合は、 コマンドを使用して無効にし、
set chassis cluster disable
両方のノードを再起動します。 - 次のセクションで説明するように、制御ポートで MACsec を設定します。 シャーシ クラスタ コントロール ポートでの静的 CAK の設定どちらのノードも、同一の設定で個別に構成する必要があります。
- 両方のノードで使用して
set chassis cluster cluster-id id
シャーシ クラスタを有効にします。両方のノードを再起動します。
制御ポートの状態は、シャーシ クラスタの整合性に影響します。制御ポートで MACsec を設定する際には、以下を考慮してください。
新しい MACsec シャーシ クラスタ ポートの設定、または既存の MACsec シャーシ クラスタ ポートの設定を変更する場合は、シャーシ クラスタを無効にし、警告メッセージを表示する必要があります
Modifying cluster control port CA will break chassis cluster
。無効にした後、前の設定を適用してシャーシ クラスタを有効にできます。デフォルトでは、シャーシ クラスタは、すべての設定を同期します。その場合は、同期によって MACsec 設定が失われるのを監視する必要があります。そうしないと、シャーシ クラスタが破損します。たとえば、非symmetric のノード固有の MACsec 設定では、両端に同一の設定を設定する必要があります。つまり、各ノードに、他のノードと同じ設定が含まれている必要があります。
SRX340 および SRX345 デバイスでシャーシ クラスタ コントロール ポートの MACsec が有効になっている場合、タイマーは 300 秒になります。
両方の制御リンクにJunos OSは、セカンダリ ノードの動作状態を 180 秒間使用できない状態に変更します。MACsec が制御ポートで有効になっている場合、SRX4600 デバイスでは、その MACsec の有効期間が 200 秒になります。
Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 より、SRX340 および SRX345 デバイスのシャーシ クラスタでは、初期ホールド タイマーが 30 秒から 120 秒に拡張されます。
制御ポートの MACsec 設定を変更する場合は、上記の手順を繰り返す必要があります。
ファブリック ポートで MACsec を設定する場合は、以下を考慮してください。
MACsec を設定すると、リンクのトラフィック機能に影響を与える可能性があるリンク状態の変更が生じします。ファブリック ポートを設定する場合は、有効なリンク状態を念頭に置きます。ファブリック リンクの両端の不正確な MACsec 設定は、リンクを無効な状態に移動できます。ファブリック リンクの設定に関する以下の重要なポイントに注意してください。
シャーシ クラスタが形成されている場合、リンクの両端を同時に設定する必要があります。
設定が正しくないと、ファブリックのリカバリー ロジックでファブリックの障害やエラーが発生する可能性があります。
リンク障害の可能性が高いので、シャーシ クラスタの形成中にファブリック リンクを設定することをお勧めします。
静的接続アソシエーションのキー セキュリティ モードを使用した MACsec の設定
デバイスを接続するポイントアンドポイント イーサネット リンクで、静的接続アソシエーション キー(CAK)セキュリティ モードを使用して MACsec 暗号化を有効にできます。この手順では、静的 CAK セキュリティ モードを使用して MACsec を設定する方法を示します。
SRX340およびSRX345デバイスの場合、ge-0/0/0はファブリックポートで、ge-0/0/1はシャーシ クラスタのコントロールポートで、クラスタコントロールポート0として割り当てられます。
SRX4600 デバイスでは、専用の制御ポートとファブリック ポートを使用できます。制御リンク上の MACsec は、専用の制御ポート(制御ポート 0 [em0] とポート 1 [em1] )で設定できます。ファブリック リンク上の Macsec は、専用ファブリック ポート ポート 2 および fpc0 pic0 のポート 3(xe-0/0/2、xe-0/0/3 など)でのみ設定できます。また、fpc7 pic0 のポート 2 およびポート 3 でも同様に設定できます。
静的 CAK セキュリティ モードを使用して MACsec を設定し、デバイスとデバイス間のイーサネット リンクを保護するには、次の手順に示します。
静的 CAK セキュリティ モードを使用する MACsec は、リンクの反対側の端で接続アソシエーションも設定され、リンクの両端で一致する事前共有鍵が含まれているまでは有効になりません。
シャーシ クラスタ制御ポートでの静的 CAK の設定
2 台の SRX345 CA上でシャーシ クラスタ制御リンクを使用してスイッチを確立します。
シャーシ クラスタ ファブリック ポートでの静的 CAK の設定
2 台の SRX345 デバイスでシャーシ クラスタ ファブリック リンクを使用して接続アソシエーションを確立するには、次の方法に示します。
シャーシ クラスタ内の SRX4600 デバイスの制御ポートでの静的 CAK の設定
この手順を使用して、2台のSRX4600デバイスでシャーシ クラスタ制御リンク上にCAスイッチを確立します。
MACSEC設定の検証
シャーシ クラスタ内の SRX4600 デバイスの制御ポートでの静的 CAK の設定が正常に機能している場合は、次のタスクを実行します。
- デバイスでのアクティブなMACsec接続のステータスの表示
- MACsecキー契約(MKA)セッション情報を表示する
- MACsec が保護されたトラフィックがインターフェイスを通過している検証
- MACsec 設定でシャーシ クラスタ ポートの保護を検証
デバイスでのアクティブなMACsec接続のステータスの表示
目的
MACsec がシャーシ クラスタ設定で動作している状態を検証します。
アクション
動作モードから、シャーシ クラスタ設定のノードの一方または show security macsec connections interface interface-name
両方に コマンドを入力します。
{primary:node0}[edit]
user@host# show security macsec connections
Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1 Secure associations AN: 3 Status: inuse Create time: 00:01:43 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 3 Status: inuse Create time: 00:01:43
意味
と Interface name
の CA name
出力は、MACsec 接続アソシエーションがインターフェイス em0 上で動作している状態を示しています。接続アソシエーションがインターフェイス上で動作していない場合、出力は表示されません。
MACsecキー契約(MKA)セッション情報を表示する
目的
すべてのインターフェイスのMACsecキー契約(MKA)セッション情報を表示します。
アクション
動作モードから コマンドを入力 show security mka sessions
します。
user@host> show security mka sessions
Interface name: em0
Member identifier: B51CXXXX2678A7F5F6C12345
CAK name: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Transmit interval: 10000(ms)
Outbound SCI: 02:00:00:01:01:04/1
Message number: 270 Key number: 8
Key server: yes Key server priority: 16
Latest SAK AN: 3 Latest SAK KI: B51C8XXX2678A7A5B6C54321/8
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 0413427B38817XXXXF054321 (live)
Message number: 8 Hold time: 59000 (ms)
SCI: 02:00:00:02:01:04/1
Lowest acceptable PN: 0
意味
出力は、MKA セッションのステータスを示します。
MACsec 保護されたトラフィックがインターフェイスを通過している検証
目的
インターフェイスを通過するトラフィックが MACsec に保護されているのを検証します。
アクション
動作モードから コマンドを入力 show security macsec statistics
します。
user@host> show security macsec statistics interface em0 detail
Interface name: em0
Secure Channel transmitted
Encrypted packets: 2397305
Encrypted bytes: 129922480
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 2397305
Protected packets: 0
Secure Channel received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 131715088
Secure Association received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 0
意味
フィールド Encrypted packets
の下の行は、MACsecによって保護され、暗号化されているインターフェイスからパケットを送信する度に増加する Secure Channel transmitted
値です。
フィールド Accepted packets
の下の行は、MACsec整合性チェックを通過したパケットがインターフェイスで受信される度に増加した値 Secure Association received
です。暗号化されたパケットを受信して暗号化解除する度に、出力の下の Decrypted bytes
Secure Association received
行が増加します。
MACsec 設定でシャーシ クラスタ ポートの保護を検証
目的
MACsec がシャーシ クラスタ ポートで設定されていることを検証します。
アクション
動作モードから コマンドを入力 show chassis cluster interfaces
します。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-1/1/6 Up / Up Enabled
fab0
fab1 xe-8/1/6 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
reth2 Down Not configured
reth3 Down Not configured
reth4 Down Not configured
reth5 Down Not configured
reth6 Down Not configured
reth7 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
意味
に示された em0 インターフェイスの出力下の行は、em0インターフェイスから送信されたトラフィックが Security
Control interfaces
、MACsecによって保護され、暗号化されている Secured
必要があります。
コマンドを使用して show chassis cluster status
、シャーシ クラスタの現在のステータスを表示することもできます。