シャーシ クラスタの MACsec(Media Access Control Security)
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
プラットフォームに関連する注意事項については、「 プラットフォーム固有のMACsec動作 」セクションを確認してください。
メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。詳細については、次のトピックを参照してください。
メディアアクセス制御セキュリティ(MACsec)について
メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のすべてのトラフィックに安全な通信を提供する業界標準のセキュリティ技術です。MACsecは、直接接続されたノード間のイーサネットリンクにポイントツーポイントのセキュリティを提供し、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ脅威を特定して防止することができます。
MACsecを使用すると、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)からのフレームや、他のセキュリティソリューションの制限により通常はイーサネットリンクで保護されていないその他のプロトコルからのフレームを含む、ほぼすべてのトラフィックについてイーサネットリンクを保護できます。MACsecは、IPsec(IP Security)やSSL(Secure Sockets Layer)などの他のセキュリティプロトコルと組み合わせて使用することで、エンドツーエンドのネットワークセキュリティを提供できます。
このトピックには、以下のセクションが含まれています。
MACsecの仕組み
MACsecは、セキュリティ保護されたポイントツーポイントイーサネットリンクを使用して、業界標準のセキュリティを提供します。ポイントツーポイントのリンクは、セキュリティキーを照合した後に保護されます。静的接続アソシエーションキー(CAK)セキュリティモードを使用してMACsecを有効にすると、ポイントツーポイントイーサネットリンクの両端のインターフェイス間で、ユーザーが設定した事前共有キーが交換され、検証されます。
ポイントツーポイントイーサネットリンクでMACsecを有効にすると、そのリンクを通過するすべてのトラフィックは、データの整合性チェックと、設定されている場合は暗号化によってMACsecで保護されます。
データ整合性チェックでは、データの整合性を検証します。MACsec は、MACsec で保護されたポイントツーポイント イーサネット リンクを通過するすべてのイーサネット フレームに 8 バイトのヘッダーと 16 バイトのテールを追加し、受信インターフェイスがヘッダーとテールをチェックして、リンクの通過中にデータが危険にさらされていないことが確認されます。データ整合性チェックでトラフィックに異常が検出されると、そのトラフィックはドロップされます。
MACsecは、イーサネットリンク上のすべてのトラフィックの暗号化にも使用できます。MACsecで使用される暗号化により、リンク上のトラフィックを監視している誰もイーサネットフレーム内のデータを見ることができなくなります。
デフォルトでは、静的CAKセキュリティモードを使用してMACsecが有効になっている場合、インターフェイスに出入りするすべてのトラフィックに対して暗号化が有効になります。
MACsecは、MACsec対応インターフェイス間のポイントツーポイントイーサネットリンクで設定されます。複数のイーサネットリンクでMACsecを有効にする場合は、各ポイントツーポイントイーサネットリンクでMACsecを個別に設定する必要があります。
接続の関連付けとセキュアなチャネルの理解
MACsecは接続の関連付けで設定されます。MACsecは、接続アソシエーションがインターフェイスに割り当てられている場合に有効になります。
静的 CAK または動的セキュリティ モードを使用して MACsec を有効にする場合は、接続の関連付けを作成して設定する必要があります。2 つのセキュリティで保護されたチャネル (1 つはインバウンド トラフィック用のセキュリティで保護されたチャネル、もう 1 つは 送信トラフィック 用のセキュリティで保護されたチャネル) が自動的に作成されます。自動的に作成されたセキュア・チャネルには、ユーザーが構成可能なパラメーターはありません。すべての構成は、セキュリティで保護されたチャネルの外部の接続アソシエーションで行われます。
静的接続アソシエーションのキーセキュリティモードの理解
静的接続アソシエーションキー(CAK)セキュリティモードを使用してMACsecを有効にすると、2つのセキュリティキー(コントロールプレーントラフィックを保護する接続アソシエーションキー(CAK)と、データプレーントラフィックを保護するランダムに生成されたセキュアアソシエーションキー(SAK))がポイントツーポイントイーサネットリンクの保護に使用されます。両方の鍵は、ポイントツーポイントイーサネットリンクの両端で両デバイス間で定期的に交換され、リンクのセキュリティを確保します。
静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、最初に事前共有キーを使用して MACsec で保護されたリンクを確立します。事前共有キーには、接続アソシエーション名(CKN)と独自の接続アソシエーションキー(CAK)が含まれます。CKNとCAKは、接続アソシエーションのユーザーによって設定され、最初にMACsecを有効にするには、リンクの両端で一致する必要があります。
一致する事前共有キーの交換に成功すると、MACsec Key Agreement(MKA)プロトコルが有効になります。MKA プロトコルは、リンク上の MACsec を維持する役割を担い、ポイントツーポイント リンク上のどのスイッチがキー サーバーになるかを決定します。次に、キー サーバは、ポイントツーポイント リンクのもう一方の端でのみスイッチと共有される SAK を作成し、その SAK を使用して、リンクを通過するすべてのデータ トラフィックを保護します。キーサーバは、MACsec が有効になっている限り、ポイントツーポイントリンクを介してランダムに作成された SAK を定期的に作成して共有し続けます。
リンクの両端で接続アソシエーションを設定することで、静的CAKセキュリティモードを使用してMACsecを有効にします。すべての構成は、接続アソシエーション内で行われますが、セキュア チャネルの外部で行われます。静的 CAK セキュリティ モードを使用すると、2 つのセキュリティで保護されたチャネル (1 つは受信トラフィック用、もう 1 つは送信トラフィック受信トラフィック用) が自動的に作成されます。自動的に作成されたセキュア・チャネルには、接続の関連付けでまだ構成できないユーザー構成可能なパラメーターはありません。
静的 CAK セキュリティ モードを使用して MACsec を有効にすることをお勧めします。静的 CAK セキュリティ モードでは、新しいランダムなセキュリティ キーに頻繁に更新し、MACsec で保護されたポイントツーポイント リンク上の 2 つのデバイス間でのみセキュリティ キーを共有することで、セキュリティを確保します。また、一部のオプションの MACsec 機能(リプレイ保護、SCI タグ付け、MACsec からのトラフィックの除外機能)は、静的 CAK セキュリティ モードを使用して MACsec を有効にした場合にのみ使用できます。
SRXシリーズファイアウォールがHA制御リンクとファブリックリンクでMACsecをサポートしている場合、コマンド restart 802.1x-protocol-daemon
がプライマリノードで実行されると、シャーシクラスタ制御リンクとファブリックリンクがフラップし、クラスタノードがスプリットブレインモードになります。
MACsec に関する考慮事項
現在、すべてのタイプのスパニングツリープロトコルフレームをMACsecで暗号化することはできません。
接続の関連付けは、グローバル、ノード固有、またはMACsecインターフェイス構成から見えるものである限り、他の設定グループなど、どこでも定義できます。
MACsec 設定では、両端に同一の設定が存在する必要があります。つまり、各ノードには、他のノードと同じ設定が含まれている必要があります。もう一方のノードが構成されていないか、もう一方のノードでMACsecが不適切に設定されている場合、ポートは無効になり、トラフィックの転送を停止します。
メディアアクセス制御セキュリティ(MACsec)の設定
このトピックでは、シャーシクラスタ内のサポートされているSRXシリーズファイアウォールの制御ポートとファブリックポートでMACsecを設定して、クラスタ内のピアデバイス間のポイントツーポイントイーサネットリンクを保護する方法を説明します。MACsecを使用して保護する各ポイントツーポイントイーサネットリンクは、個別に設定する必要があります。静的接続アソシエーションキー(CAK)セキュリティモードを使用して、デバイス間リンクでMACsec暗号化を有効にできます。
両方のプロセスの設定手順は、このドキュメントで提供されています。
- シャーシ クラスタ セットアップで MACsec を設定する際の設定上の考慮事項
- 静的接続アソシエーションキーセキュリティモードを使用したMACsecの設定
- シャーシ クラスタ制御ポートでの静的 CAK の設定
- シャーシ クラスタ ファブリック ポートでの静的 CAK の設定
- SRX1600、SRX2300、および SRX4300 デバイスの制御ポートで静的 CAK を構成する
- SRX4600の制御ポートで静的 CAK を構成する
- MACSEC 設定の確認
シャーシ クラスタ セットアップで MACsec を設定する際の設定上の考慮事項
開始する前に、以下の手順に従って制御ポートにMACsecを設定してください。
- シャーシ クラスタがすでに起動している場合は、
set chassis cluster disable
コマンドを使用して無効にし、両方のノードを再起動します。 - 次のセクションで説明するように、制御ポートにその属性を使用してMACsecを設定します:シャーシ クラスタ制御ポートで静的 CAK を設定します。両方のノードは、同一の設定で独立して設定する必要があります。
- 両方のノードで
set chassis cluster cluster-id id
を使用して、シャーシ クラスタを有効にします。両方のノードを再起動します。
制御ポートの状態は、シャーシ クラスタの整合性に影響を与えます。制御ポートでMACsecを設定する場合は、次の点を考慮してください。
-
新しい MACsec シャーシ クラスタ ポート設定または既存の MACsec シャーシ クラスタ ポート設定への変更を行う場合は、シャーシ クラスタを無効にする必要があり、警告メッセージ
Modifying cluster control port CA will break chassis cluster
が表示されます。無効にすると、前述の設定を適用してシャーシ クラスタを有効にできます。 -
デフォルトでは、シャーシ クラスタはすべての設定を同期します。これに対応して、同期によって MACsec 設定が失われないことを監視する必要があります。そうしないと、シャーシ クラスタが壊れます。たとえば、非対称のノード固有のMACsec構成では、両端に同じ構成が存在する必要があります。つまり、各ノードには、他のノードと同じ設定が含まれている必要があります。
制御ポートのMACsec設定を変更する場合は、上記の手順を繰り返す必要があります。
ファブリックポートでMACsecを設定する場合は、次の点を考慮してください。
MACsecを設定すると、リンクの状態が変更され、リンクのトラフィック機能に影響を与える可能性があります。ファブリックポートを設定する際は、有効なリンク状態を念頭に置いてください。ファブリックリンクの両端のMACsec設定が正しくないと、リンクが不適格な状態に移行する可能性があります。ファブリックリンクの設定については、次の重要な点に注意してください。
-
シャーシ クラスタを形成する場合、リンクの両端を同時に設定する必要があります。
-
設定が正しくないと、ファブリックの障害やファブリックのリカバリロジックのエラーにつながる可能性があります。
リンク障害が発生する可能性があるため、シャーシ クラスタの形成時にファブリック リンクを設定することを推奨します。
静的接続アソシエーションキーセキュリティモードを使用したMACsecの設定
デバイスを接続するポイントツーポイントイーサネットリンクで、静的接続アソシエーションキー(CAK)セキュリティモードを使用して、MACsec暗号化を有効にすることができます。この手順では、静的 CAK セキュリティ モードを使用して MACsec を設定する方法を示します。
デュアル制御リンクのMACsecは、制御ポート0[em0]と制御ポート1[em1]で設定されています。収益インターフェイスで設定されたMACsecは、ファブリックリンクの形成に使用されます。ファブリック リンクは、ファブリック ポート(mge-0/0/1 および mge-7/0/1)で設定します。
静的CAKセキュリティモードを使用してMACsecを設定し、デバイス間のイーサネットリンクを保護するには:
静的 CAK セキュリティ モードを使用した MACsec は、リンクの反対側の接続アソシエーションも設定され、リンクの両端で一致する事前共有キーが含まれるまで有効になりません。
シャーシ クラスタ制御ポートでの静的 CAK の設定
2台のSRX345デバイス上でシャーシクラスタ制御リンク上にCAを確立するには。
シャーシ クラスタ ファブリック ポートでの静的 CAK の設定
2台のSRX345デバイスでシャーシ クラスタ ファブリック リンクを介して接続アソシエーションを確立するには、次の手順に従います。
SRX1600、SRX2300、および SRX4300 デバイスの制御ポートで静的 CAK を構成する
2台のSRX1600デバイス、または2台のSRX2300デバイスまたはSRX4300デバイス上にシャーシ クラスタ制御リンクを介した接続の関連付けを設定するには、次の手順に従います。
アクティブなMACsec接続のステータスを表示するには、 show security macsec connections コマンドを実行します。
user@host> show security macsec connections Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1914287 Secure associations AN: 0 Status: inuse Create time: 07:33:26 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 0 Status: inuse Create time: 07:33:26 Interface name: em1 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:01:01:01:04/1 Outgoing packet number: 108885 Secure associations AN: 0 Status: inuse Create time: 07:33:26 Inbound secure channels SC Id: 02:00:01:02:01:04/1 Secure associations AN: 0 Status: inuse Create time: 07:33:26
MACsec 鍵契約セッション情報を表示するには、 show security mka sessions コマンドを実行します。
user@host> show security mka sessions Interface name: em0 Interface State: Secured - Primary Member identifier: 7A3FC14B77F5296124A8D22A CAK name: 12345678 CAK type: primary Security mode: static MKA suspended: 0(s) Transmit interval: 10000(ms) SAK rekey interval: 0(s) Preceding Key: enabled Bounded Delay: disabled Outbound SCI: 02:00:00:01:01:04/1 Message number: 2713 Key number: 1 MKA ICV Indicator: enabled Key server: yes Key server priority: 16 Latest SAK AN: 0 Latest SAK KI: 7A3FC14B77F5296124A8D22A/1 MKA Suspend For: disabled MKA Suspend On Request: disabled Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0 Peer list 1. Member identifier: 6A9B3CC75376160D74AAA1E7 (live) Message number: 2711 Hold time: 57000 (ms) SCI: 02:00:00:02:01:04/1 Uptime: 07:31:39 Lowest acceptable PN: 1674733 Interface name: em1 Interface State: Secured - Primary Member identifier: 989CB809BF3759C9EAC10F5A CAK name: 12345678 CAK type: primary Security mode: static MKA suspended: 0(s) Transmit interval: 10000(ms) SAK rekey interval: 0(s) Preceding Key: enabled Bounded Delay: disabled Outbound SCI: 02:00:01:01:01:04/1 Message number: 2713 Key number: 1 MKA ICV Indicator: enabled Key server: yes Key server priority: 16 Latest SAK AN: 0 Latest SAK KI: 989CB809BF3759C9EAC10F5A/1 MKA Suspend For: disabled MKA Suspend On Request: disabled Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0 Peer list 1. Member identifier: 16015BCD3844F12DFA89AB7F (live) Message number: 2711 Hold time: 57000 (ms) SCI: 02:00:01:02:01:04/1 Uptime: 07:31:39 Lowest acceptable PN: 111017
制御ポートとファブリックポートのセキュリティステータスを表示します。制御ポート0と制御ポート1の両方でMACsecが有効になっている場合は、 show chassis cluster interfaces コマンドを実行します。
user@host> show chassis cluster interfaces Control link status: Up Control interfaces: Index Interface Monitored-Status Internal-SA Security 0 em0 Up Disabled Enabled 1 em1 Up Disabled Enabled Fabric link status: Up Fabric interfaces: Name Child-interface Status Security (Physical/Monitored) fab0 et-0/3/0 Up / Up Disabled fab0 et-0/3/1 Up / Up Disabled fab1 et-7/3/0 Up / Up Disabled fab1 et-7/3/1 Up / Up Disabled Redundant-pseudo-interface Information: Name Status Redundancy-group lo0 Up 0
SRX4600の制御ポートで静的 CAK を構成する
2台のSRX4600デバイス上でシャーシクラスタ制御リンク上にCAを確立するには、この手順を使用します。
MACSEC 設定の確認
SRX4600 の制御ポートで静的 CAK を設定するに記載されている設定が正しく動作していることを確認するには、以下のタスクを実行します。
- デバイス上のアクティブなMACsec接続のステータスを表示します
- MACsec Key Agreement(MKA)セッション情報の表示
- MACsecで保護されたトラフィックがインターフェイスを通過していることを確認します
- シャーシ クラスタ ポートが MACsec 設定で保護されていることを確認
デバイス上のアクティブなMACsec接続のステータスを表示します
目的
シャーシ クラスタ設定で MACsec が動作していることを確認します。
アクション
動作モードから、シャーシ クラスタ セットアップのノードの 1 つまたは両方で show security macsec connections interface interface-name
コマンドを入力します。
{primary:node0}[edit]
user@host# show security macsec connections
Interface name: em0 CA name: ca1 Cipher suite: GCM-AES-128 Encryption: on Key server offset: 0 Include SCI: no Replay protect: off Replay window: 0 Outbound secure channels SC Id: 02:00:00:01:01:04/1 Outgoing packet number: 1 Secure associations AN: 3 Status: inuse Create time: 00:01:43 Inbound secure channels SC Id: 02:00:00:02:01:04/1 Secure associations AN: 3 Status: inuse Create time: 00:01:43
意味
Interface name
とCA name
の出力は、MACsec接続アソシエーションがインターフェイスem0で動作していることを示しています。接続アソシエーションがインターフェイスで動作していない場合、出力は表示されません。
MACsec Key Agreement(MKA)セッション情報の表示
目的
すべてのインターフェイスの MACsec Key Agreement(MKA)セッション情報を表示します。
アクション
動作モードから、 show security mka sessions
コマンドを入力します。
user@host> show security mka sessions
Interface name: em0
Member identifier: B51CXXXX2678A7F5F6C12345
CAK name: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Transmit interval: 10000(ms)
Outbound SCI: 02:00:00:01:01:04/1
Message number: 270 Key number: 8
Key server: yes Key server priority: 16
Latest SAK AN: 3 Latest SAK KI: B51C8XXX2678A7A5B6C54321/8
Previous SAK AN: 0 Previous SAK KI: 000000000000000000000000/0
Peer list
1. Member identifier: 0413427B38817XXXXF054321 (live)
Message number: 8 Hold time: 59000 (ms)
SCI: 02:00:00:02:01:04/1
Lowest acceptable PN: 0
意味
出力は、MKA セッションのステータスを示します。
MACsecで保護されたトラフィックがインターフェイスを通過していることを確認します
目的
インターフェイスを通過するトラフィックがMACsecで保護されていることを確認します。
アクション
動作モードから、 show security macsec statistics
コマンドを入力します。
user@host> show security macsec statistics interface em0 detail
Interface name: em0
Secure Channel transmitted
Encrypted packets: 2397305
Encrypted bytes: 129922480
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 2397305
Protected packets: 0
Secure Channel received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 131715088
Secure Association received
Accepted packets: 2395850
Validated bytes: 0
Decrypted bytes: 0
意味
Secure Channel transmitted
フィールドの下のEncrypted packets
行は、MACsecによって保護および暗号化されたインターフェイスからパケットが送信されるたびに増分される値です。
Secure Association received
フィールドの下のAccepted packets
行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびに増分される値です。Secure Association received
出力の下のDecrypted bytes
行は、暗号化されたパケットが受信および復号化されるたびにインクリメントされます。
シャーシ クラスタ ポートが MACsec 設定で保護されていることを確認
目的
シャーシ クラスタ ポートに MACsec が設定されていることを確認します。
アクション
動作モードから、 show chassis cluster interfaces
コマンドを入力します。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 em0 Up Disabled Enabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 xe-1/1/6 Up / Up Enabled
fab0
fab1 xe-8/1/6 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 2
reth2 Down Not configured
reth3 Down Not configured
reth4 Down Not configured
reth5 Down Not configured
reth6 Down Not configured
reth7 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
意味
Secured
として示されているem0インターフェイスのControl interfaces
出力の下にあるSecurity
行は、em0インターフェイスから送信されたトラフィックがMACsecによって保護および暗号化されていることを意味します。
また、 show chassis cluster status
コマンドを使用して、シャーシ クラスタの現在のステータスを表示することもできます。
プラットフォーム固有の MACsec 動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
プラットホーム |
差 |
---|---|
SRX シリーズ |
|
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。