Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de MACsec

Descripción general de la configuración

Media Access Control Security (MACsec) es una tecnología de seguridad estándar de la industria que proporciona una comunicación segura para casi todos los tipos de tráfico en vínculos Ethernet. MACsec proporciona seguridad punto a punto en vínculos Ethernet entre nodos conectados directamente y es capaz de identificar y prevenir la mayoría de las amenazas de seguridad, incluyendo la denegación de servicio, la intrusión, el "hombre en el medio", el enmascaramiento, las escuchas telefónicas pasivas y los ataques de reproducción. MACsec está estandarizado en IEEE 802.1AE.

Puede configurar MACsec para proteger vínculos Ethernet punto a punto que conectan conmutadores o en vínculos Ethernet que conectan un conmutador a un dispositivo host como un PC, teléfono o servidor. Cada vínculo Ethernet punto a punto que desee proteger mediante MACsec debe configurarse de forma independiente. Puede activar MACsec en vínculos de conmutador a conmutador mediante el modo de seguridad de clave de asociación de conectividad dinámica o estática (CAK). Ambos procesos se proporcionan en este documento.

Para obtener información sobre la configuración de MACsec en puertos de control y estructura de firewalls serie SRX compatibles en la configuración del clúster de chasis, consulte Seguridad de control de acceso a medios (MACsec) en clúster de chasis.

Nota:

En los firewalls de la serie SRX, puede configurar MACsec en modo enrutado; MACsec no se admite en modo transparente.

Antes de empezar

Antes de activar MACsec, debe asegurarse de que la diferencia entre la unidad de transmisión máxima de medios (MTU) de interfaz y la MTU de protocolo sea lo suficientemente grande como para dar cabida a los 32 bytes adicionales de sobrecarga de MACsec.

Para obtener información sobre cómo configurar la MTU de interfaz y la MTU de protocolo, consulte Sin título de vínculo.

Configuración de MACsec en modo CAK estático

Puede activar MACsec mediante el modo de seguridad de clave de asociación de conectividad estática (CAK) en un vínculo Ethernet punto a punto que conecte conmutadores o enrutadores. Puede ser un enlace de conmutación a conmutador, de conmutación a enrutador o de enrutador a enrutador.

Práctica recomendada:

Se recomienda activar MACsec mediante el modo de seguridad CAK estático en los vínculos que conectan conmutadores o enrutadores. El modo de seguridad CAK estático garantiza la seguridad al actualizar con frecuencia a una nueva clave de asociación segura aleatoria (SAK) y al compartir solo el SAK entre los dos dispositivos en el vínculo punto a punto protegido por MACsec.

Cuando se habilita MACsec mediante el modo de seguridad CAK estático, se intercambia una clave previamente compartida entre los dispositivos en cada extremo del vínculo Ethernet punto a punto. La clave previamente compartida incluye un nombre de asociación de conectividad (CKN) y una clave de asociación de conectividad (CAK). El CKN y el CAK deben configurarse manualmente en la asociación de conectividad y deben coincidir en ambos extremos del vínculo para habilitar MACsec inicialmente.

Después de intercambiar y verificar las claves previamente compartidas, el protocolo MACsec Key Agreement (MKA) habilita MACsec en el vínculo. El MKA es responsable de seleccionar uno de los dos dispositivos en el enlace punto a punto como servidor clave. A continuación, el servidor de claves crea una clave de seguridad aleatoria que solo comparte con el dispositivo del mismo nivel a través del vínculo protegido por MACsec. La clave de seguridad aleatoria habilita y mantiene MACsec en el vínculo punto a punto. El servidor de claves seguirá creando y compartiendo periódicamente una clave de seguridad creada aleatoriamente a través del vínculo punto a punto mientras dure la sesión MACsec.

Nota:

Si la sesión MACsec finaliza debido a un error de vínculo, el servidor de claves MKA elige un servidor de claves cuando se restaura el vínculo y genera un nuevo SAK.

MACsec se habilita mediante el modo de seguridad CAK estático configurando una asociación de conectividad en ambos extremos del vínculo. Toda la configuración se realiza dentro de la asociación de conectividad, pero fuera del canal seguro. Cuando se utiliza el modo de seguridad CAK estático, se crean automáticamente dos canales seguros, uno para el tráfico entrante y otro para el saliente. Los canales seguros creados automáticamente no tienen parámetros configurables por el usuario. Toda la configuración se realiza en la asociación de conectividad.

Para configurar MACsec mediante el modo de seguridad CAK estático:

  1. Cree una asociación de conectividad. Puede omitir este paso si está configurando una asociación de conectividad existente.

    Por ejemplo, para crear una asociación de conectividad denominada ca1, escriba:

  2. Configure el modo de seguridad MACsec como static-cak para la asociación de conectividad:

    Por ejemplo, para configurar el modo de seguridad MACsec en static-cak la asociación de conectividad ca1:

  3. Cree la clave previamente compartida configurando CKN y CAK:

    Los pares conectados directamente intercambian una clave previamente compartida para establecer un vínculo seguro para MACsec. La clave precompartida incluye el CKN y el CAK. El CKN es un número hexadecimal de 64 dígitos y el CAK es un número hexadecimal de 32 dígitos. El CKN y el CAK deben coincidir en ambos extremos de un vínculo para crear un vínculo protegido por MACsec.

    Nota:

    Para maximizar la seguridad, recomendamos configurar los 64 dígitos de un CKN y los 32 dígitos de un CAK.

    Si no configura los 64 dígitos de un CKN o los 32 dígitos de un CAK, todos los dígitos restantes tendrán por defecto 0. Sin embargo, recibirá un mensaje de advertencia cuando confirme la configuración.

    Después de que ambos pares intercambien y verifiquen las claves previamente compartidas en el vínculo, el protocolo de acuerdo de claves MACsec (MKA) habilita MACsec. Luego, el protocolo MKA elige uno de los dos conmutadores conectados directamente como servidor clave. A continuación, el servidor de claves comparte una seguridad aleatoria con el otro dispositivo a través del vínculo punto a punto seguro para MACsec. El servidor de claves continuará creando y compartiendo periódicamente una clave de seguridad aleatoria con el otro dispositivo a través del vínculo punto a punto protegido por MACsec mientras MACsec esté habilitado.

    Para configurar un CKN de 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 y un CAK de en la asociación de 228ef255aa23ff6729ee664acb66e91f conectividad ca1:

    Nota:

    MACsec no se habilita hasta que se adjunta una asociación de conectividad a una interfaz. Consulte el paso final de este procedimiento para asociar una asociación de conectividad a una interfaz.
    Nota:

    En el modo FIPS, en lugar de usar set connectivity-association ca1 pre-shared-key cak comando, debe usar el siguiente comando:

    user@host# prompt connectivity-association ca1 pre-shared-key cak
  4. (Requerido en conmutadores que no sean EX4300 cuando se conecta solo a conmutadores EX4300) Habilite el etiquetado SCI:

    Debe habilitar el etiquetado SCI en un conmutador que habilite MACsec en un vínculo Ethernet que se conecte a un conmutador EX4300 o EX4600.

    Las etiquetas SCI se anexan automáticamente a los paquetes que salen de una interfaz habilitada para MACsec en un conmutador EX4300 o EX4600, por lo que esta opción no está disponible en estos conmutadores.

    Solo debe usar esta opción cuando conecte un conmutador a un conmutador EX4300 o EX4600, o a un dispositivo host que requiera etiquetado SCI. Las etiquetas SCI tienen ocho octetos, por lo que agregar una etiqueta SCI a todo el tráfico en el enlace agrega una cantidad significativa de sobrecarga innecesaria.

  5. (Opcional) Establezca la prioridad del servidor de claves MKA:

    Especifica la prioridad del servidor de claves utilizada por el protocolo MKA para seleccionar el servidor de claves. El conmutador con la parte inferior priority-number se selecciona como servidor de claves.

    El valor predeterminado priority-number es 16.

    Si es key-server-priority idéntico en ambos lados del enlace, el protocolo MKA selecciona la interfaz con la dirección MAC inferior como servidor clave. Por lo tanto, si esta instrucción no está configurada en cada extremo de un vínculo protegido por MACsec, la interfaz con la dirección MAC inferior se convierte en el servidor clave.

    Para cambiar la prioridad del servidor de claves a 0 para aumentar la probabilidad de que se seleccione el dispositivo actual como servidor de claves cuando MACsec está habilitado en la interfaz mediante la asociación ca1de conectividad:

    Para cambiar la prioridad del servidor clave a 255 para disminuir la probabilidad de que el dispositivo actual sea seleccionado como servidor clave en la asociación de conectividad ca1:

  6. (Opcional) Establezca el intervalo de transmisión MKA:

    La configuración del intervalo de transmisión MKA es la frecuencia con la que se envía la unidad de datos del protocolo (PDU) del acuerdo de claves MACsec al dispositivo conectado para mantener la conectividad en el vínculo. Una menor interval aumenta la sobrecarga del ancho de banda en el enlace; una mayor interval optimiza la comunicación del protocolo MKA.

    El valor predeterminado interval es 2000ms. Se recomienda aumentar el intervalo a 6000 ms en entornos de carga de alto tráfico. La configuración del intervalo de transmisión debe ser idéntica en ambos extremos del vínculo cuando MACsec con el modo de seguridad CAK estático está activado.

    Por ejemplo, si desea aumentar el intervalo de transmisión MKA a 6000 ms cuando la asociación de conectividad ca1 está conectada a una interfaz:

  7. (Opcional) Excluya un protocolo de MACsec:

    Cuando esta opción está habilitada, MACsec se deshabilita para todos los paquetes del protocolo especificado que se envían o reciben en el vínculo. Por ejemplo, si no desea que el Protocolo de detección de nivel de vínculo (LLDP) se proteja mediante MACsec:

    Cuando esta opción está habilitada, MACsec se deshabilita para todos los paquetes del protocolo especificado (en este caso, LLDP) que se envían o reciben en el vínculo. Puede utilizar esta opción para permitir que el tráfico de control de algunos protocolos pase a través de la conexión protegida por MACsec sin etiquetas MACsec. Esto proporciona interoperabilidad con dispositivos, como teléfonos IP, que no admiten MACsec.

  8. Asigne la asociación de conectividad a una interfaz:

    Por ejemplo, para asignar la asociación de conectividad ca1 a la interfaz xe-0/0/1:

    Para asignar una asociación de conectividad a una interfaz lógica, utilice el siguiente comando:

    Nota:

    Al asignar una CA a una interfaz lógica, se aplican las siguientes limitaciones:

    • La configuración de una CA en una interfaz física y una interfaz lógica es mutuamente excluyente.

    • Las interfaces lógicas con una configuración de VLAN nativa no admiten MACsec.

    • Las interfaces lógicas agregadas no admiten MACsec.

    Nota:

    En un módulo de enlace ascendente EX4300, el primer transceptor conectado al módulo de enlace ascendente determina el modo PIC, ya que el PIC reconoce el tipo de SFP y programa que todos los puertos sean ge o xe. Asegúrese de que la configuración de MACsec en la interfaz coincida con la velocidad del vínculo para los puertos del módulo de enlace ascendente.

    Asignar la asociación de conectividad a una interfaz es el paso de configuración final para habilitar MACsec en una interfaz.

MACsec mediante el modo de seguridad CAK estático se habilita cuando también se configura una asociación de conectividad en el extremo opuesto del vínculo. La asociación de conectividad debe contener claves previamente compartidas que coincidan en ambos extremos del vínculo.

Ver también

Configuración de MACsec en modo CAK dinámico

En el modo CAK dinámico, los nodos pares del vínculo MACsec generan las claves de seguridad dinámicamente como parte del proceso de autenticación 802.1X. Puede usar el modo CAK dinámico para proteger un vínculo punto a punto que conecte conmutadores o enrutadores. Puede ser una conexión de conmutador a conmutador, de conmutador a enrutador o de enrutador a enrutador. Los dispositivos deben actuar como autenticadores y suplicantes para la autenticación 802.1X para que puedan autenticarse entre sí.

El modo CAK dinámico facilita la administración que el modo CAK estático, ya que no es necesario configurar las claves manualmente. Además, las claves se pueden administrar de forma centralizada desde el servidor RADIUS. Sin embargo, el modo CAK estático proporciona más funcionalidad.

Nota:

El modo CAK dinámico no se admite en interfaces lógicas.

El siguiente procedimiento sirve para configurar el modo CAK dinámico en vínculos entre conmutadores o enrutadores. Para configurar el modo CAK dinámico en vínculos de conmutador a host, consulte Configuración de MACsec para proteger un vínculo de conmutador a host.

Antes de empezar a habilitar MACsec en el modo CAK dinámico, debe configurar un servidor RADIUS. El servidor RADIUS:

  • Debe configurarse con un certificado del lado del servidor.

  • Debe usar el marco de autenticación del Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS).

Para obtener información sobre cómo configurar el servidor RADIUS, consulte Configuración del servidor RADIUS para la autenticación.

Configurar la asociación de conectividad

  1. Cree una asociación de conectividad. Puede omitir este paso si está configurando una asociación de conectividad existente.

    Por ejemplo, para crear una asociación de conectividad denominada ca1, escriba:

  2. Configure el modo de seguridad MACsec como dynamic para la asociación de conectividad:

    Por ejemplo, para configurar el modo de seguridad MACsec en dynamic la asociación de conectividad ca1:

  3. Asigne la asociación de conectividad a una interfaz:

    Por ejemplo, para asignar la asociación de conectividad ca1 a la interfaz xe-0/0/1:

Configurar certificados

Debe asignar un certificado local y un certificado de entidad de certificación (CA) a cada interfaz suplicante. El suplicante y el servidor RADIUS se autentican mutuamente mediante el intercambio de credenciales de certificado. El certificado local y el certificado de servidor deben estar firmados por la misma CA. Puede generar los certificados localmente mediante la infraestructura de clave pública (PKI) o cargar certificados que se generaron de forma remota.

Generación de certificados localmente

Para generar un certificado de CA:

  1. Configure el perfil de CA:
  2. Desactivar comprobación de revocación:
  3. Inscriba el certificado con la CA:

Para generar un certificado local:

  1. Generar un par de claves pública-privada:
  2. Genere e inscriba el certificado local mediante el Protocolo simple de inscripción de certificados (SCEP):

Carga de certificados generados remotamente

Para cargar certificados generados de forma remota:

  1. Cargue el perfil de CA:
  2. Cargue el certificado local:

Configurar la autenticación 802.1X

Configure la autenticación 802.1X con EAP-TLS en las interfaces de cada extremo del vínculo punto a punto. Las interfaces deben actuar como autenticadores y suplicantes para que los dispositivos puedan autenticarse entre sí.

  1. Configure la interfaz como autenticador con la opción sin reautenticación:
  2. Configure la interfaz como suplicante.
  3. Configure el método de autenticación como EAP-TLS:
  4. Asigne un certificado local a la interfaz:

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
16.1R2
A partir de Junos OS versión 16.1R2, cuando Media Access Control Security (MACsec) está habilitada en una interfaz, la capacidad de control de flujo de interfaz se habilita de forma predeterminada, independientemente de la configuración que establezca mediante la (flow-control | no-flow-control) instrucción en el [edit interfaces interface- name gigether-options] nivel de jerarquía. Cuando MACsec está habilitado, MACsec PHY agrega bytes de encabezado adicionales al paquete. Con el tráfico de velocidad de línea, cuando MACsec está activado y el control de flujo está desactivado, las tramas de pausa enviadas por la PHY de MACsec terminan en el MAC del MIC (MIC mejoradas de 20 puertos Gigabit Ethernet en enrutadores de la serie MX) y no se transfieren al motor de reenvío de paquetes, lo que provoca errores de trama. Por lo tanto, cuando MACsec está habilitado en una interfaz, el control de flujo también se habilita automáticamente en dicha interfaz.
15.1
A partir de Junos OS versión 15.1, puede configurar MACsec para proteger los vínculos Ethernet punto a punto que conectan enrutadores serie MX con MIC compatibles con MACsec, o en vínculos Ethernet que conectan un conmutador a un dispositivo host, como un PC, teléfono o servidor.