メディアアクセス制御セキュリティ(MACsec)について
メディアアクセス制御セキュリティ(MACsec)について
メディアアクセス制御セキュリティ(MACsec)は、イーサネットリンク上のポイントツーポイントセキュリティを提供します。MACsec は IEEE 標準 802.1AE で定義されています。MACsecをIPsec(IP Security)や SSL(Secure Sockets Layer)などの他のセキュリティ プロトコルと組み合わせて使用することで、エンドツーエンドのネットワーク セキュリティを提供できます。
MACsecは、サービス拒否、侵入、中間者攻撃、なりすまし、受動的盗聴、プレイバック攻撃など、ほとんどのセキュリティ上の脅威を特定して防止することができます。MACsecは、LLDP(Link Layer Discovery Protocol)、LACP(Link Aggregation Control Protocol)、DHCP(Dynamic Host Configuration Protocol)、ARP(Address Resolution Protocol)からのフレームや、他のセキュリティソリューションの制限によりイーサネットリンクでは通常保護されないその他のプロトコルからのフレームを含む、ほぼすべてのトラフィックに対してイーサネットリンクを保護します。
MACsecの仕組み
ポイントツーポイントイーサネットリンクでMACsecが有効になっている場合、リンクの両端のインターフェイス間で一致するセキュリティキーが交換および検証された後、リンクは保護されます。キーは、MACsec の有効化に使用するセキュリティ モードに応じて、手動で構成することも、動的に生成することもできます。MACsec セキュリティ モードの詳細については、 MACsec セキュリティ モードを参照してください。
MACsec は、データの整合性チェックと暗号化を組み合わせて、リンクを通過するトラフィックを保護します。
Data integrity | MACsecは、MACsecで保護されたリンクを通過するすべてのイーサネットフレームに、8バイトのヘッダーと16バイトのテールを追加します。ヘッダーとテールは受信インターフェイスによってチェックされ、リンクを通過中にデータが侵害されていないことを確認します。データ整合性チェックでトラフィックに関する異常な点が検出されると、そのトラフィックはドロップされます。 |
Encryption | 暗号化により、リンク上のトラフィックを監視している人がイーサネットフレーム内のデータを見ることができないようにします。MACsec暗号化はオプションで、ユーザーが設定できます。MACsecを有効にして、データの整合性チェックを実行しながら、必要に応じて、MACsecで保護されたリンクを介して暗号化されていないデータを「クリアテキスト」で送信することができます。
手記:
論理インターフェイスでMACsecが有効になっている場合、VLANタグは暗号化されません。MACsecが有効になっている論理インターフェイスに設定されているすべてのVLANタグは、クリアテキストで送信されます。 |
接続性の関連付け
MACsec は、接続性の関連付けに設定されます。接続性の関連付けは、インターフェイスが 2 つのセキュアなチャネル(1 つはインバウンド トラフィック用、もう 1 つはアウトバウンド トラフィック用)を作成するために使用する MACsec 属性のセットです。セキュア チャネルは、MACsec で保護されたリンク上でデータを送受信する役割を担います。
セキュリティで保護されたチャネルが自動的に作成されます。ユーザーが構成可能なパラメーターはありません。すべての構成は、接続アソシエーション内で行われますが、セキュリティで保護されたチャネルの外部で行われます。
接続の関連付けは、ポイントツーポイント イーサネット リンクの両側にある MACsec 対応インターフェイスに割り当てる必要があります。複数のイーサネットリンクでMACsecを有効にする場合は、各リンクでMACsecを個別に設定する必要があります。MACsecを有効にするには、MACアドレスやポートなどのその他のユーザー設定可能なパラメーターも、リンクの両側のインターフェイスで一致する必要があります。
MACsec セキュリティ モード
MACsecは、次のいずれかのセキュリティモードを使用して有効にできます。
静的 CAK モード
ダイナミック CAK モード
静的 CAK モードは、スイッチまたはルーターを接続するリンクに推奨されます。静的CAKモードでは、新しいランダムセキュリティキーに頻繁に更新し、MACsecで保護されたポイントツーポイントリンク上の2つのデバイス間でセキュリティキーのみを共有することで、セキュリティを確保します。
静的 CAK モード
静的 CAK モードを使用して MACsec を有効にすると、コントロール プレーンのトラフィックを保護する CAK(接続性アソシエーション キー)と、データ プレーン トラフィックを保護するランダムに生成されるセキュア アソシエーション キー(SAK)の 2 つのセキュリティ キーを使用してリンクが保護されます。リンクのセキュリティを確保するために、ポイントツーポイントイーサネットリンクの両端で、両方のデバイス間で両方のキーが定期的に交換されます。
静的 CAK セキュリティ モードを使用して MACsec を有効にする場合は、事前共有キーを使用して最初に MACsec で保護されたリンクを確立します。事前共有キーには、接続アソシエーション名(CKN)と独自の CAK が含まれます。CKN と CAK は、接続アソシエーションでユーザーによって設定され、MACsec を最初に有効にするには、リンクの両端で一致する必要があります。
一致する事前共有キーの交換に成功すると、MACsec キー アグリーメント(MKA)プロトコルが有効になります。MKA プロトコルは、リンク上の MACsec を維持する役割を担い、ポイントツーポイント リンク上のどのスイッチがキー サーバになるかを決定します。次に、鍵サーバーは、ポイントツーポイント リンクのもう一方の端でのみスイッチと共有される SAK を作成し、その SAK を使用してリンクを通過するすべてのデータ トラフィックを保護します。キー サーバーは、MACsec が有効になっている限り、ポイントツーポイント リンクを介してランダムに作成された SAK を定期的に作成して共有し続けます。
リンク障害によりMACsecセッションが終了した場合、リンクが復元されると、MKA鍵サーバーが鍵サーバーを選択し、新しいSAKを生成します。
静的 CAK セキュリティ モードの使用時に MACsec で保護された接続を確立するには、MACsec で保護されたスイッチ間リンクの両端にあるスイッチが、両方とも Junos OS リリース 14.1X53-D10 以降を使用しているか、両方が以前のバージョンの Junos を使用している必要があります。
ダイナミック CAK モード
動的 CAK モードでは、MACsec リンク上のピア ノードが、802.1X 認証プロセスの一環としてセキュリティ キーを動的に生成します。ピア ノードは、認証時に RADIUS サーバーから MACsec キー属性を受け取り、これらの属性を使用して CAK と CKN を動的に生成します。次に、キーを交換して、MACsecで保護された接続を作成します。
動的 CAK モードでは、キーを手動で構成する必要がないため、静的 CAK モードよりも管理が容易になります。また、鍵はRADIUSサーバーから一元管理できます。
ダイナミック CAK モードを使用して、スイッチとホスト間のリンク、またはスイッチやルーターを接続するリンクをセキュリティで保護できます。スイッチとホスト間のリンクでは、スイッチが 802.1X オーセンティケータで、ホストがサプリカントです。スイッチまたはルーターを接続するリンクでは、デバイスはオーセンティケータとサプリカントの両方として機能し、互いに認証できるようにする必要があります。
動的 CAK モードは、拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) を使用した証明書ベースの検証に依存します。RADIUS サーバーとスイッチング デバイスは、EAP-TLS と公開キー基盤を使用して、動的 CAK モードでの MACsec をサポートする必要があります。
バーチャルシャーシのMACsec
サポートされているスイッチ インターフェイスは、それらのスイッチが バーチャル シャーシ または VCF(バーチャル シャーシ ファブリック)で設定されている場合(MACsec をサポートしないスイッチ インターフェイスを含む混合バーチャル シャーシまたは VCF のメンバー スイッチ上にある場合など)に、サポートされているスイッチ インターフェイスで MACsec を設定できます。ただし、VCP(バーチャル シャーシ ポート)で MACsec を有効にして、バーチャル シャーシまたは VCF のメンバー スイッチ間を移動するトラフィックを保護することはできません。
MACsecの制限
現在、すべてのタイプのスパニングツリープロトコルフレームをMACsecで暗号化することはできません。
GRES のスイッチオーバー中は、MACsec トラフィックの損失が予想されます。
EX4300 スイッチでは、自動ネゴシエーションが有効になっていてPHY84756それらのポートで MACsec が設定されている場合、MACsec が 1G SFP ポートで正しく動作しない可能性があります。回避策として、PHY84756 1G SFP ポートで MACsec を設定する前に、これらのポートで
no- auto-negotiation
を設定します。
MACsecプラットフォームのサポート
MACsecをサポートするプラットフォームの包括的なリストについては、 Feature Explorerを参照してください。
関連項目
MACsec ライセンスおよびソフトウェア要件
- MACsec機能ライセンス
- MX シリーズ ルーターの MACsec ソフトウェア要件
- EXシリーズおよびQFXシリーズスイッチのMACsecソフトウェアイメージ要件
- Junos OSソフトウェアの取得とダウンロード
MACsec機能ライセンス
EXシリーズおよびQFXシリーズスイッチでMACsecを設定するには、QFX10000-6C-DWDMおよびQFX10000-30C-Mラインカードを除き、機能ライセンスが必要です。MACsecライセンスがインストールされていない場合、MACsec機能をアクティベートすることはできません。
MACsecの機能ライセンスを購入するには、ジュニパーネットワークスの営業担当者(https://www.juniper.net/us/en/contact-us/sales-offices)にお問い合わせください。ジュニパーの営業担当者が、機能ライセンス ファイルとライセンス キーを提供します。スイッチのシャーシシリアル番号を入力するよう求められます。シリアル番号は、 show chassis hardware
コマンドを実行して取得できます。
MACsec機能ライセンスは、独立した機能ライセンスです。EXシリーズまたはQFXシリーズ スイッチで一部の機能を有効にするために購入する必要があるEFL(拡張機能ライセンス)やAFL(アドバンスト機能ライセンス)を購入しても、MACsecを有効にすることはできません。
バーチャル シャーシを導入する場合、冗長性を確保するために、プライマリ ロールのデバイスとバックアップ ロールのデバイス用の2つのMACsecライセンスキーをお勧めします。モデルと構成によって、バーチャル シャーシ ファブリック(VCF)およびバーチャル シャーシ(VC)ごとに 2 つの MACsec ライセンスが必要になる場合があります。プラットフォームと機能の詳細については、以下のライセンス文書を参照してください。
MACsec機能ライセンスは、他のスイッチライセンスと同様にインストールおよび管理されます。MACsecソフトウェアライセンスの設定と管理の詳細については、 EXシリーズスイッチのライセンス管理(CLI手順) または 新規ライセンスの追加(CLI手順) を参照してください。
MX シリーズ ルーターの MACsec ソフトウェア要件
以下は、MXシリーズルーターでのMACsecの主なソフトウェア要件の一部です。
拡張20ポートギガビットイーサネットMIC(モデル番号MIC-3D-20GE-SFP-E)を搭載したMXシリーズルーターでMACsecを設定する場合、機能ライセンスは必要ありません。
MACsecは、MACsec対応インターフェイスを搭載したMXシリーズルーターでサポートされています。
MACsecは、拡張パケット番号(XPN)の有無にかかわらず、128ビットおよび256ビットの暗号スイートをサポートします。
MACsec は、事前共有鍵を使用した静的 CAK モードで MACsec 鍵合意(MKA)プロトコルをサポートします。
MACsec は、物理ポートまたは物理インターフェイスごとに 1 つの CA(接続アソシエーション)をサポートします。
Junos OSリリース20.3R1以降、MPC7E-10Gラインカード上で論理インターフェイスレベルでメディアアクセス制御セキュリティ(MACsec)を設定できるようになりました。この設定により、単一の物理ポートで複数のMACsecキーアグリーメント(MKA)セッションが有効になります。VLANタグはクリアテキストで送信されるため、MACsecを認識しない中間スイッチはVLANタグに基づいてパケットを切り替えることができます。
Junos OSリリース15.1以降、MACsecは、集合型イーサネット(ae-
)インターフェイスバンドルのメンバーリンクと、インターフェイスバンドルの一部ではない通常のインターフェイスでサポートされています。
Junos OSリリース17.3R2以降、MACsecは、モジュラーMIC(モデル番号-JNP-MIC1-MACSEC)を備えたMX10003ルーターで、256ビット暗号スイートGCM-AES-256およびGCM-AES-XPN-256をサポートします。
Junos OS Release 18.4R2 以降、MIC-MACSEC-20GE MIC は、256 ビット暗号スイート GCM-AES-256 および GCM-AES-XPN-256 を提供します。MIC-MACSEC-20GEMIC は、以下のハードウェア構成で、20 個の 1 ギガビット イーサネット SFP ポートと 2 個の 10 ギガビット イーサネット SFP+ ポートの両方で MACsec をサポートしています。
-
MX80およびMX104ルーターに直接インストール
-
MX240、MX480、MX960ルーターのMPC1、MPC2、MPC3、MPC2E、MPC2E-NG、MPC3E-NGラインカードにインストール
詳細については、 MIC-MACSEC-20GEのインターフェイスの命名規則 と ルーティングデバイスのポート速度 を参照してください。
EXシリーズおよびQFXシリーズスイッチのMACsecソフトウェアイメージ要件
Junos OS リリース 16.1 以降
Junos OSリリース16.1以降では、MACsecを有効にするには、標準のJunosイメージをダウンロードする必要があります。MACsecは制限付きイメージではサポートされていません。
Junos OSソフトウェアの標準バージョンは暗号化されているため、地域によってはご利用いただけません。このJunos OSソフトウェアの輸出および再輸出は、米国の輸出法により厳格に管理されています。このJunos OSソフトウェアの輸出入、および使用も、他の国の法律の下で課せられる規制の対象となります。このバージョンのJunos OSソフトウェアの取得に関してご質問がある場合は、 mailto:compliance_helpdesk@juniper.net のジュニパーネットワークス貿易コンプライアンスグループにお問い合わせください。
Junos OS リリース 16.1 より前
Junos OSリリース16.1より前のリリースでは、MACsecを有効にするには、Junos OSソフトウェアの制御バージョンをダウンロードする必要があります。Junos OSリリース16.1より前のリリースのJunos OSソフトウェアの国内バージョンでは、MACsecサポートは利用できません。
Junos OSソフトウェアの制御バージョンには、国内バージョンのJunos OSで利用可能なすべての機能が含まれ、MACsecもサポートされています。Junos OSソフトウェアの国内バージョンは、MACsecをサポートするすべてのスイッチに同梱されているため、MACsecを有効にする前に、スイッチ用の制御バージョンのJunos OSソフトウェアをダウンロードしてインストールする必要があります。
Junos OSソフトウェアの制御バージョンには暗号化が含まれているため、すべての地域のお客様が利用できるわけではありません。Junos OSソフトウェアの規制バージョンの輸出および再輸出は、米国の輸出法により厳格に管理されています。また、制御バージョンの Junos OS ソフトウェアの輸出入、使用も、他国の法律で規定されている規制の対象となります。Junos OSソフトウェアの規制バージョンの入手に関してご質問がある場合は、 mailto:compliance_helpdesk@juniper.net のジュニパーネットワークス貿易コンプライアンスグループにお問い合わせください。
Junos OSソフトウェアの取得とダウンロード
パッケージ名を表示することで、ソフトウェア パッケージが Junos OS の標準バージョンか制御バージョンかを識別できます。Junos OSの制御バージョン用のソフトウェアパッケージは、次の形式を使用して名前が付けられます。
package-name-m.nZx.y-controlled-signed.tgz
Junos OSの標準バージョン用のソフトウェアパッケージの名前は、次の形式を使用しています。
package-name-m.nZx.y-.tgz
スイッチで実行されているJunos OSのバージョンを確認するには、 show version
コマンドを入力します。 JUNOS Crypto Software Suite
の説明が出力に表示される場合は、Junos OSの制御対象バージョンを実行しています。制御バージョンの Junos OS を実行している場合、 show system software
コマンドを入力してバージョンを表示します。出力には、ロードされたすべてのソフトウェアパッケージのバージョンも表示されます。
制御バージョンのJunos OSソフトウェアまたは標準バージョンのJunos OSソフトウェアをスイッチにインストールする手順は、他のバージョンのJunos OSソフトウェアのインストールと同じです。アップグレード手順を完了するには、Junos OSイメージをダウンロードするには request system software add
ステートメントを入力し、スイッチを再起動するには request system reboot
ステートメントを入力する必要があります。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
ae-
)インターフェイスバンドルのメンバーリンクと、インターフェイスバンドルの一部ではない通常のインターフェイスでサポートされています。