Descripción de la seguridad del control de acceso a medios (MACsec)
Descripción de la seguridad del control de acceso a medios (MACsec)
La seguridad de control de acceso a medios (MACsec) proporciona seguridad punto a punto en vínculos Ethernet. MACsec está definido por el estándar IEEE 802.1AE. Puede utilizar MACsec en combinación con otros protocolos de seguridad, como Seguridad IP (IPsec) y Capa de sockets seguros (SSL), para proporcionar seguridad de red de extremo a extremo.
MACsec es capaz de identificar y prevenir la mayoría de las amenazas de seguridad, incluyendo la denegación de servicio, la intrusión, el hombre en el medio, el enmascaramiento, las escuchas telefónicas pasivas y los ataques de reproducción. MACsec protege un vínculo Ethernet para casi todo el tráfico, incluidas las tramas del protocolo de descubrimiento de capa de vínculo (LLDP), el protocolo de control de agregación de vínculos (LACP), el protocolo de configuración dinámica de host (DHCP), el protocolo de resolución de direcciones (ARP) y otros protocolos que normalmente no están protegidos en un vínculo Ethernet debido a limitaciones con otras soluciones de seguridad.
- Cómo funciona MACsec
- Asociaciones de conectividad
- Modos de seguridad MACsec
- MACsec en un chasis virtual
- Limitaciones de MACsec
- Compatibilidad con la plataforma MACsec
Cómo funciona MACsec
Cuando MACsec está habilitado en un vínculo Ethernet punto a punto, el vínculo se protege después de que las interfaces en cada extremo del vínculo intercambien y verifiquen las claves de seguridad coincidentes. La clave se puede configurar manualmente o generar dinámicamente, dependiendo del modo de seguridad utilizado para activar MACsec. Para obtener más información sobre los modos de seguridad MACsec, consulte Modos de seguridad MACsec.
MACsec utiliza una combinación de comprobaciones de integridad de datos y cifrado para proteger el tráfico que atraviesa el vínculo:
Data integrity | MACsec anexa un encabezado de 8 bytes y una cola de 16 bytes a todas las tramas Ethernet que atraviesan el vínculo protegido por MACsec. La interfaz receptora comprueba el encabezado y la cola para asegurarse de que los datos no se vieron comprometidos mientras atravesaban el vínculo. Si la comprobación de integridad de los datos detecta algo irregular en el tráfico, el tráfico se interrumpe. |
Encryption | El cifrado garantiza que nadie que supervise el tráfico en el vínculo pueda ver los datos de la trama Ethernet. El cifrado MACsec es opcional y configurable por el usuario. Si lo desea, puede habilitar MACsec para asegurarse de que se realizan comprobaciones de integridad de los datos mientras sigue enviando datos sin cifrar "sin cifrar" a través del vínculo protegido por MACsec.
Nota:
Cuando MACsec está habilitado en una interfaz lógica, las etiquetas VLAN no se cifran. Todas las etiquetas VLAN configuradas en la interfaz lógica habilitada para MACsec se envían en texto sin cifrar. |
Asociaciones de conectividad
MACsec se configura en asociaciones de conectividad. Una asociación de conectividad es un conjunto de atributos MACsec que las interfaces utilizan para crear dos canales seguros, uno para el tráfico entrante y otro para el tráfico saliente. Los canales seguros son responsables de transmitir y recibir datos en el enlace protegido por MACsec.
Los canales seguros se crean automáticamente. No tienen ningún parámetro configurable por el usuario. Toda la configuración se realiza dentro de la asociación de conectividad, pero fuera de los canales seguros.
La asociación de conectividad debe asignarse a una interfaz compatible con MACsec a cada lado del vínculo Ethernet punto a punto. Si desea habilitar MACsec en varios vínculos Ethernet, debe configurar MACsec individualmente en cada vínculo. Otros parámetros configurables por el usuario, como la dirección MAC o el puerto, también deben coincidir en las interfaces a cada lado del vínculo para habilitar MACsec.
Modos de seguridad MACsec
MACsec se puede activar mediante uno de los siguientes modos de seguridad:
Modo CAK estático
Modo CAK dinámico
Se recomienda el modo CAK estático para los vínculos que conectan conmutadores o enrutadores. El modo CAK estático garantiza la seguridad actualizando con frecuencia a una nueva clave de seguridad aleatoria y compartiendo solo la clave de seguridad entre los dos dispositivos en el vínculo punto a punto protegido por MACsec.
Modo CAK estático
Cuando se habilita MACsec mediante el modo CAK estático, se utilizan dos claves de seguridad: una clave de asociación de conectividad (CAK) que asegura el tráfico del plano de control y una clave de asociación segura generada aleatoriamente (SAK) que protege el tráfico del plano de datos. Ambas claves se intercambian regularmente entre ambos dispositivos en cada extremo del vínculo Ethernet punto a punto para garantizar la seguridad del vínculo.
Inicialmente, se establece un vínculo protegido por MACsec mediante una clave previamente compartida cuando se utiliza el modo de seguridad CAK estático para activar MACsec. Una clave previamente compartida incluye un nombre de asociación de conectividad (CKN) y su propio CAK. El usuario configura el CKN y el CAK en la asociación de conectividad y deben coincidir en ambos extremos del vínculo para habilitar MACsec inicialmente.
Una vez que las claves precompartidas coincidentes se intercambian correctamente, se habilita el protocolo MACsec Key Agreement (MKA). El protocolo MKA es responsable de mantener MACsec en el vínculo y decide qué conmutador del vínculo punto a punto se convierte en el servidor clave. A continuación, el servidor de claves crea un SAK que se comparte con el conmutador solo en el otro extremo del vínculo punto a punto y que SAK se usa para proteger todo el tráfico de datos que atraviesa el vínculo. El servidor de claves seguirá creando y compartiendo periódicamente un SAK creado aleatoriamente a través del vínculo punto a punto mientras MACsec esté habilitado.
Si la sesión MACsec finaliza debido a un error de vínculo, cuando se restaura el vínculo, el servidor de claves MKA elige un servidor de claves y genera un nuevo SAK.
Los conmutadores en cada extremo de un vínculo de conmutador a conmutador protegido por MACsec deben utilizar Junos OS versión 14.1X53-D10 o posterior, o ambos deben utilizar una versión anterior de Junos, para establecer una conexión protegida por MACsec cuando se utiliza el modo de seguridad CAK estático.
Modo CAK dinámico
En el modo CAK dinámico, los nodos pares del vínculo MACsec generan las claves de seguridad dinámicamente como parte del proceso de autenticación 802.1X. Los nodos del mismo nivel reciben atributos de clave MACsec del servidor RADIUS durante la autenticación y utilizan estos atributos para generar dinámicamente el CAK y el CKN. Luego intercambian las claves para crear una conexión protegida por MACsec.
El modo CAK dinámico facilita la administración que el modo CAK estático, ya que no es necesario configurar las claves manualmente. Además, las claves se pueden administrar de forma centralizada desde el servidor RADIUS.
Puede usar el modo CAK dinámico para proteger un vínculo de conmutador a host o un vínculo que conecte conmutadores o enrutadores. En un vínculo de conmutación a host, el conmutador es el autenticador 802.1X y el host es el suplicante. En un vínculo que conecte conmutadores o enrutadores, los dispositivos deben actuar como autenticadores y suplicantes para que puedan autenticarse entre sí.
El modo CAK dinámico se basa en la validación basada en certificados mediante el Protocolo de autenticación extensible y seguridad de capa de transporte (EAP-TLS). El servidor RADIUS y los dispositivos de conmutación deben utilizar EAP-TLS e infraestructura de clave pública para admitir MACsec en modo CAK dinámico.
MACsec en un chasis virtual
MACsec se puede configurar en interfaces de conmutador compatibles cuando dichos conmutadores están configurados en un Virtual Chassis o Virtual Chassis Fabric (VCF), incluso cuando las interfaces compatibles con MACsec se encuentran en conmutadores miembro en un Virtual Chassis o VCF mixto que incluye interfaces de conmutador que no admiten MACsec. Sin embargo, MACsec no se puede habilitar en los puertos de Virtual Chassis (VCP) para proteger el tráfico que viaja entre conmutadores miembro en un Virtual Chassis o VCF.
Limitaciones de MACsec
Actualmente, todos los tipos de tramas del Protocolo de árbol de expansión no se pueden cifrar con MACsec.
Se esperan caídas del tráfico MACsec durante la transición de GRES.
En los conmutadores EX4300, es posible que MACsec no funcione correctamente en puertos SFP de 1G PHY84756 si la negociación automática está habilitada y MACsec está configurado en esos puertos. Como solución alternativa, configure
no- auto-negotiation
en puertos SFP de PHY84756 1G antes de configurar MACsec en esos puertos.
Compatibilidad con la plataforma MACsec
Para obtener una lista completa de las plataformas compatibles con MACsec, consulte el Explorador de características.
Ver también
Requisitos de licencia y software de MACsec
- Licencias de funciones MACsec
- Requisitos de software de MACsec para enrutadores de la serie MX
- Requisitos de imagen del software MACsec para conmutadores serie EX y QFX
- Adquisición y descarga del software Junos OS
Licencias de funciones MACsec
Se requiere una licencia de función para configurar MACsec en conmutadores serie EX y QFX, con excepción de las tarjetas de línea QFX10000-6C-DWDM y QFX10000-30C-M. Si la licencia MACsec no está instalada, no se puede activar la funcionalidad MACsec.
Para adquirir una licencia de función para MACsec, comuníquese con su representante de ventas de Juniper Networks (https://www.juniper.net/us/en/contact-us/sales-offices). El representante de ventas de Juniper le proporcionará un archivo de licencia de función y una clave de licencia. Se le pedirá que proporcione el número de serie del chasis del conmutador; Puede obtener el número de serie ejecutando el show chassis hardware
comando.
La licencia de función MACsec es una licencia de función independiente. Las licencias de funciones mejoradas (EFL) o las licencias de funciones avanzadas (AFL) que se deben adquirir para activar algunas funciones de los conmutadores serie EX o QFX no se pueden adquirir para activar MACsec.
Para una implementación de Virtual Chassis, se recomiendan dos claves de licencia MACsec para la redundancia: una para el dispositivo en el rol principal y el otro para el dispositivo en el rol de respaldo. Es posible que se necesiten dos licencias MACsec por Virtual Chassis Fabric (VCF) y por Virtual Chassis (VC), según el modelo y la configuración. Consulte los documentos de licencia a continuación para obtener detalles específicos de la plataforma y las características.
Una licencia de función MACsec se instala y mantiene como cualquier otra licencia de conmutador. Consulte Administración de licencias para conmutadores de la serie EX (procedimiento de CLI) o Agregar licencias nuevas (procedimiento de CLI) para obtener información más detallada sobre la configuración y administración de la licencia de software de MACsec.
Requisitos de software de MACsec para enrutadores de la serie MX
Los siguientes son algunos de los requisitos de software clave para MACsec en enrutadores de la serie MX:
No se requiere una licencia de función para configurar MACsec en enrutadores de la serie MX con el MIC Gigabit Ethernet de 20 puertos mejorado (número de modelo MIC-3D-20GE-SFP-E).
MACsec es compatible con enrutadores de la serie MX con interfaces compatibles con MACsec.
MACsec admite conjuntos de cifrado de 128 y 256 bits con y sin numeración extendida de paquetes (XPN).
MACsec admite el protocolo MACsec Key Agreement (MKA) con modo Static-CAK mediante claves previamente compartidas.
MACsec admite una única asociación de conectividad (CA) por puerto físico o interfaz física.
A partir de Junos OS versión 20.3R1, puede configurar Media Access Control Security (MACsec) en el nivel de interfaz lógica en la tarjeta de línea MPC7E-10G. Esta configuración permite múltiples sesiones de acuerdo de clave MACsec (MKA) en un único puerto físico. Las etiquetas VLAN se transmiten en texto sin cifrar, lo que permite que los conmutadores intermedios que no son conscientes de MACsec cambien los paquetes según las etiquetas VLAN.
A partir de Junos OS versión 15.1, MACsec se admite en vínculos de miembro de un paquete de interfaz Ethernet (ae-
) agregado y también en interfaces normales que no forman parte de un paquete de interfaz.
A partir de Junos OS versión 17.3R2, MACsec admite el conjunto de cifrado de 256 bits GCM-AES-256 y GCM-AES-XPN-256 en enrutadores MX10003 con el MIC modular (número de modelo-JNP-MIC1-MACSEC).
A partir de Junos OS versión 18.4R2, el MIC MIC-MACSEC-20GE proporciona un conjunto de cifrado de 256 bits GCM-AES-256 y GCM-AES-XPN-256. El MIC MIC-MACSEC-20GE admite MACsec en veinte puertos SFP de 1 Gigabit Ethernet y en dos puertos SFP+ de 10 Gigabit Ethernet en las siguientes configuraciones de hardware:
-
Instalado directamente en los enrutadores MX80 y MX104
-
Instalado en tarjetas de línea MPC1, MPC2, MPC3, MPC2E, MPC3E, MPC2E-NG y MPC3E-NG en los enrutadores MX240, MX480 y MX960
Consulte Convenciones de nomenclatura de interfaz para MIC-MACSEC-20GE y Velocidad de puerto para dispositivos de enrutamiento para obtener más información.
Requisitos de imagen del software MACsec para conmutadores serie EX y QFX
Junos OS versión 16.1 y posteriores
Para Junos OS versión 16.1 y posteriores, debe descargar la imagen estándar de Junos para habilitar MACsec. MACsec no se admite en la imagen limitada.
La versión estándar del software Junos OS contiene cifrado y, por lo tanto, no está disponible para los clientes en todas las geografías. La exportación y reexportación de este software de Junos OS está estrictamente controlada por las leyes de exportación de Estados Unidos. La exportación, importación y uso de este software de Junos OS también están sujetos a controles impuestos por la legislación de otros países. Si tiene preguntas sobre la adquisición de esta versión del software Junos OS, comuníquese con el grupo de cumplimiento comercial de Juniper Networks en mailto:compliance_helpdesk@juniper.net.
Versiones anteriores a la 16.1 de Junos OS
Para versiones anteriores a Junos OS versión 16.1, debe descargar la versión controlada del software Junos OS para activar MACsec. La compatibilidad con MACsec no está disponible en la versión doméstica del software Junos OS en versiones anteriores a Junos OS versión 16.1.
La versión controlada del software Junos OS incluye todas las características y funcionalidades disponibles en la versión doméstica de Junos OS, a la vez que es compatible con MACsec. La versión doméstica del software Junos OS se incluye en todos los conmutadores compatibles con MACsec, por lo que debe descargar e instalar una versión controlada del software de Junos OS para el conmutador antes de poder activar MACsec.
La versión controlada del software Junos OS contiene cifrado y, por lo tanto, no está disponible para los clientes en todas las regiones geográficas. La exportación y reexportación de la versión controlada del software Junos OS está estrictamente controlada por las leyes de exportación de Estados Unidos. La exportación, importación y uso de la versión controlada del software Junos OS también están sujetos a controles impuestos por la legislación de otros países. Si tiene preguntas sobre la adquisición de la versión controlada de su software Junos OS, comuníquese con el grupo de cumplimiento comercial de Juniper Networks en mailto:compliance_helpdesk@juniper.net.
Adquisición y descarga del software Junos OS
Puede identificar si un paquete de software es la versión estándar o controlada de Junos OS viendo el nombre del paquete. Un paquete de software para una versión controlada de Junos OS se denomina con el siguiente formato:
package-name-m.nZx.y-controlled-signed.tgz
Un paquete de software para una versión estándar de Junos OS se denomina con el siguiente formato:
package-name-m.nZx.y-.tgz
Para comprobar qué versión de Junos OS se está ejecutando en el conmutador, ingrese el show version
comando. Si la JUNOS Crypto Software Suite
descripción aparece en el resultado, significa que está ejecutando la versión controlada de Junos OS. Si está ejecutando una versión controlada de Junos OS, escriba el show system software
comando para mostrar la versión. El resultado también muestra la versión de todos los paquetes de software cargados.
El proceso para instalar la versión controlada o estándar del software Junos OS en el conmutador es idéntico al de instalar cualquier otra versión del software Junos OS. Debe introducir la request system software add
instrucción para descargar la imagen de Junos OS y la request system reboot
instrucción para reiniciar el conmutador a fin de completar el procedimiento de actualización.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
ae-
) agregado, así como en interfaces normales que no forman parte de un paquete de interfaces.