MACsec 구성
MACsec(Media Access Control Security)은 이더넷 링크의 거의 모든 트래픽 유형에 대해 안전한 통신을 제공하는 업계 표준 보안 기술입니다. MACsec은 직접 연결된 노드 사이의 이더넷 링크에 포인트 투 포인트 보안을 제공하며 서비스 거부, 침입, 중간자, 가장, 수동적 도청 및 재생 공격 등 대부분의 보안 위협을 식별하고 예방할 수 있습니다. MACsec은 IEEE 802.1AE에서 표준화됩니다.
스위치를 연결하는 포인트 투 포인트 이더넷 링크 또는 스위치를 PC, 전화 또는 서버와 같은 호스트 디바이스에 연결하는 이더넷 링크에서 보안을 위해 MACsec을 구성할 수 있습니다. MACsec을 사용하여 보호하려는 각 포인트 투 포인트 이더넷 링크는 독립적으로 구성되어야 합니다. 동적 또는 정적 연결 연결 키(CAK) 보안 모드를 사용하여 스위치 투 스위치 링크에서 MACsec을 활성화할 수 있습니다. 이 문서에서는 두 프로세스 모두 제공됩니다.
섀시 클러스터 설정에서 지원되는 SRX 시리즈 디바이스의 제어 및 패브릭 포트에서 MACsec을 구성하는 방법에 대한 정보는 섀 시 클러스터의 MACsec(Media Access Control Security)을 참조하십시오.
MACsec을 활성화할 때는 인터페이스 MTU를 검사하여 32바이트인 MACsec 오버헤드에 맞게 조정하는 것이 좋습니다.
정적 CAK 모드에서 MACsec 구성
스위치 또는 라우터를 연결하는 포인트 투 포인트 이더넷 링크에서 정적 연결 연결 키(CAK) 보안 모드를 사용하여 MACsec을 활성화할 수 있습니다. 스위치 투 스위치, 스위치 투 라우터 또는 라우터 투 라우터 링크일 수 있습니다.
스위치 또는 라우터를 연결하는 링크에서 정적 CAK 보안 모드를 사용하여 MACsec을 활성화하는 것이 좋습니다. 정적 CAK 보안 모드는 새로운 SAK(Random Secure Association Key)를 자주 새로 고침하고 MACsec 보안 포인트 투 포인트 링크의 두 디바이스 간에 SAK만 공유함으로써 보안을 보장합니다.
정적 CAK 보안 모드를 사용하여 MACsec을 활성화하면 포인트 투 포인트 이더넷 링크의 각 끝 디바이스 간에 사전 공유 키가 교환됩니다. 사전 공유 키에는 CKN(Connectivity Association Name) 및 CAK(Connectivity Association Key)가 포함됩니다. CKN 및 CAK는 연결 연결에서 수동으로 구성되어야 하며 처음에 MACsec을 활성화하려면 링크의 양쪽 끝에서 일치해야 합니다.
사전 공유 키를 교환하고 확인하면 MACsec 키 계약(MKA) 프로토콜은 링크에서 MACsec을 활성화합니다. MKA는 포인트 투 포인트 링크에서 두 디바이스 중 하나를 키 서버로 선택할 책임이 있습니다. 그런 다음 키 서버는 MACsec 보안 링크를 통해 피어 디바이스와만 공유하는 무작위 보안 키를 만듭니다. 무작위 보안 키는 포인트 투 포인트 링크에서 MACsec을 활성화하고 유지합니다. 키 서버는 MACsec 세션 시간에 대해 포인트 투 포인트 링크에서 무작위로 생성된 보안 키를 주기적으로 생성하고 공유합니다.
링크 장애로 인해 MACsec 세션이 종료되면 링크가 복원되고 새 SAK를 생성할 때 MKA 키 서버가 키 서버를 선택합니다.
링크의 양쪽 끝에서 연결 연결을 구성하여 정적 CAK 보안 모드를 사용하여 MACsec을 활성화합니다. 모든 구성은 연결 연결 내에서는 하지만 보안 채널 외부에 수행됩니다. 정적 CAK 보안 모드를 사용할 때 인바운드 트래픽과 아웃바운드 트래픽을 위한 두 개의 보안 채널이 자동으로 생성됩니다. 자동으로 생성된 보안 채널에는 사용자가 구성 가능한 매개 변수가 없습니다. 모든 구성은 연결 연결에서 수행됩니다.
정적 CAK 보안 모드를 사용하여 MACsec을 구성하려면,
링크의 반대쪽 끝에 있는 연결 연결도 구성되면 정적 CAK 보안 모드를 사용하는 MACsec이 활성화됩니다. 연결 연결에는 링크의 양쪽 끝에서 일치하는 사전 공유 키가 포함되어야 합니다.
더 보기
동적 CAK 모드에서 MACsec 구성
동적 CAK 모드에서 MACsec 링크의 피어 노드는 802.1X 인증 프로세스의 일부로 보안 키를 동적으로 생성합니다. 동적 CAK 모드를 사용하여 스위치 또는 라우터를 연결하는 포인트 투 포인트 링크를 보호할 수 있습니다. 스위치 투 스위치, 스위치 투 라우터 또는 라우터 투 라우터 연결이 될 수 있습니다. 디바이스는 802.1X 인증을 위해 인증자 및 요청자 역할을 하여 서로를 인증할 수 있어야 합니다.
동적 CAK 모드는 키를 수동으로 구성할 필요가 없으므로 정적 CAK 모드보다 손쉽게 관리합니다. 또한 RADIUS 서버에서 키를 중앙에서 관리할 수 있습니다. 그러나 정적 CAK 모드는 더 많은 기능을 제공합니다.
동적 CAK 모드는 논리적 인터페이스에서 지원되지 않습니다.
다음 절차는 스위치 또는 라우터 간의 링크에서 동적 CAK 모드를 구성하는 것입니다. 스위치 투 호스트 링크에서 동적 CAK 모드를 구성하려면 스위치-호스트 링크 보안으로 MACsec 구성을 참조하십시오.
동적 CAK 모드에서 MACsec을 활성화하기 전에 RADIUS 서버를 구성해야 합니다. RADIUS 서버:
-
서버측 인증서로 구성해야 합니다.
-
확장형 인증 프로토콜 전송 레이어 보안(EAP-TLS) 인증 프레임워크를 사용해야 합니다.
RADIUS 서버 구성에 대한 자세한 내용은 인증을 위한 RADIUS 서버 구성을 참조하십시오.
연결 연결 구성
인증서 구성
로컬 인증서와 인증 기관(CA) 인증서를 각 신청자 인터페이스에 할당해야 합니다. 신청자 및 RADIUS 서버는 인증서 자격 증명을 교환하여 서로 인증합니다. 로컬 인증서와 서버 인증서는 동일한 CA에 의해 서명되어야 합니다. PKI(Public Key Infrastructure) 또는 원격으로 생성한 로드 인증서를 사용하여 인증서를 로컬로 생성할 수 있습니다.
로컬 인증서 생성
CA 인증서를 생성하려면 다음을 수행합니다.
- CA 프로필을 구성합니다.
[edit] user@host# set security pki ca-profile ca_profile ca-identity ca_id
- 해지 점검 비활성화:
[edit] user@host# set security pki ca-profile ca_profile revocation-check disable
- CA에 인증서를 등록합니다.
[edit] user@host> request security pki ca-certificate enroll ca-profile ca-profile-name
로컬 인증서를 생성하려면 다음을 수행합니다.
- 퍼블릭-프라이빗 키 쌍을 생성합니다.
[edit] user@host> request security pki generate-key-pair certificate-id cert-id
- SCEP(Simple Certificate Enrollment Protocol)를 사용하여 로컬 인증서를 생성하고 등록합니다.
[edit] user@host> request security pki local-certificate enroll ca-profile ca-profile-name certificate-id cert-id challenge-password password domain-name domain-name subject subject-distinguished-name
원격으로 생성된 인증서 로드하기
원격으로 생성된 인증서를 로드하려면 다음을 수행합니다.
- CA 프로필을 로드합니다.
[edit] user@host# run request security pki ca-certificate load filename ca_cert ca-profile ca_prof
- 로컬 인증서 로드:
[edit] user@host# run request security pki local-certificate load certificate-id cert-id filename path key client-key passphrase string
802.1X 인증 구성
포인트 투 포인트 링크의 각 끝에서 인터페이스에 EAP-TLS로 802.1X 인증을 구성합니다. 디바이스가 서로를 인증할 수 있도록 인터페이스는 인증자 및 서플리컨트 모두 역할을 해야 합니다.
스위치-호스트 링크 보안을 위한 MACsec 구성
스위치-호스트 링크에서 MACsec을 구성할 때 802.1X 인증의 일부로 포함된 MACsec 키 계약(MKA) 키는 AAA 핸드셰이크의 일부로 RADIUS 서버에서 검색됩니다. 주요 키는 RADIUS 서버에서 스위치로, RADIUS 서버에서 독립적인 인증 트랜잭션의 호스트로 전달됩니다. 그런 다음 주요 키는 스위치와 호스트 간에 전달되어 MACsec 보안 연결을 생성합니다.
호스트 디바이스를 스위치에 연결하는 링크에서 MACsec을 활성화하려면 다음 요구 사항을 충족해야 합니다.
호스트 디바이스:
-
MACsec을 지원해야 하며 스위치와의 MACsec 보안 연결을 활성화할 수 있는 소프트웨어를 실행해야 합니다.
스위치:
-
MACsec을 지원해야 합니다.
-
동적 연결 연결 키(CAK) 보안 모드로 구성해야 합니다.
-
RADIUS 서버와 통신하려면 802.1X 인증을 사용해야 합니다.
스위치-호스트 링크에서 MACsec을 활성화하기 전에 다음을 수행합니다.
-
RADIUS 서버를 구성합니다. RADIUS 서버:
-
802.1X 인증을 위한 사용자 데이터베이스로 구성해야 합니다.
-
확장형 인증 프로토콜 전송 레이어 보안(EAP-TLS) 인증 프레임워크를 사용해야 합니다.
-
스위치와 호스트에 연결해야 합니다. RADIUS 서버는 스위치나 호스트의 여러 홉일 수 있습니다.
-
-
호스트 디바이스에서 MACsec을 활성화합니다.
호스트 디바이스에서 MACsec을 활성화하는 절차는 호스트 디바이스에 따라 다르며 이 문서의 범위를 벗어나 있습니다.
동적 CAK 보안 모드를 사용하여 MACsec을 구성하여 스위치-호스트 이더넷 링크를 보호하려면:
[edit interfaces interface- name gigether-options]
활성화되면 계층 수준에서 문을 사용하여
(flow-control | no-flow-control)
설정한 구성에 관계없이 인터페이스 플로우 제어 기능이 기본적으로 활성화됩니다. MACsec이 활성화되면 MACsec PHY에 의해 추가 헤더 바이트가 패킷에 추가됩니다. 회선 속도 트래픽의 경우 MACsec이 활성화되고 플로우 제어가 비활성화되면 MACsec PHY에 의해 전송된 일시 중지 프레임은 MIC의 MAC(MX 시리즈 라우터의 향상된 20포트 기가비트 이더넷 MIC)에 의해 종료되고 패킷 전달 엔진 전송되지 않아 프레이밍 오류가 발생합니다. 따라서 MACsec이 인터페이스에서 활성화되면 이러한 인터페이스에서도 플로우 제어가 자동으로 활성화됩니다.