802.1AE
무연결 데이터 기밀성과 매체 접근 독립 프토로콜을 위한 무결성을 정의하는 보안 표준으로 MACsec을 정의한다.
이 표준은 mac 클라이언트에게 투명하게 작동하는 미디어 액세스 도립 프로토콜 및 entity에 의한 연결 없는 사용자 데이터 기밀성, 데이터 무결성 및 데이터 출처 인증을 규정한다. IEEE Std 802.1X에 지정된 MACsec 키 계약 프로토콜(MKA)은 상호 인증된 MACsec 피어를 검색하고 프레임 보호를 위해 MACsec에서 사용하는 대칭 보안 연결 키(SAK)를 배포하는 키 서버로 하나를 선택한다.
802.1AE: MAC Security (MACsec)
802.1AE: MAC Security (MACsec) |
Full title: IEEE Standard for Local and metropolitan area networks–Media Access Control (MAC) Security IEEE 802 Local Area Networks (LANs) are deployed in networks that support mission-critical applications and a wide variety of devices, implemented and
1.ieee802.org
MACsec
이더넷 링크에서 p2p 보안을 제공하는 MACsec은 802.1AE에 의해 정의되어 있는 2계층에서의 좋은 보안 프로토콜이다. IPsec과 SSL같은 보안 프로토콜들과 함께 사용하여 엔드 투 엔드 네트워크 보안을 제공할 수 있다.
MACsec은 DoS, MITM, 침입, 스니핑 등 대부분의 보안 위협을 식별하고 예방할 수 있으며 LLDP,LACP,DHCP,ARP 및 기타 보안 솔루션과의 제한으로 인해 일반적으로 이더넷 링크에서 보호되지 않는 기타 프로토콜을 비롯한 거의 모든 트래픽에 대한 이더넷 링크를 보호한다.
작동 방식
지점간 이더넷 링크에서 MACsec이 활성화 되면 링크의 종단에 있는 인터페이스 간에 일치하는 보안 키가 교환되고(MKA를 이용한.) 확인된 후 링크가 보호된다. 이 때 활성화 하는데 사용한 모드에 따라 키를 수동으로 구성하거나 자동으로 구성할 수 있다.
MACsec은 데이터 무결성 검사화 암호화의 조합을 사용하여 링크를 통과하는 트래픽을 보호하는데 그 구조는 아래와 같다
데이터 무결성
링크를 통과하는 모든 이더넷 프레임에 8바이트 헤더와 16바이트 테일을 추가한다. 헤더와 테일은 수신 인터페이스에서 확인하여 링크를 통과하는 동안 데이터가 손상되지 않았는지 무결성 검사를 진행하고 이때 불규칙한 것이 감지되면 트래픽을 드랍한다.
암호화
말 그대로 암호화해 이더넷 프레임의 데이터를 볼 수 없도록 한다. 하지만 선택 사항으로 사용자가 구성할 수 있다. VLAN태그와 소스 및 대상 MAC 주소를 제외한 전체 이더넷 패킷을 암호화합니다
Connectivity Associations
Connectivity Associations는 인터페이스가 두 개의 보안 채널(인바운드 , 아웃바운드)을 생성하는 데 사용하는 MACsec의 특성집합으로 보안 채널은 보안 링크에서 데이터 송수신을 담당하게 된다. 보안 채널은 자동으로 생성되는데 모든 구성은 Connectivity Associations 내에서 수행되기 때문에 사용자가 구성할 수 있는 매개변수는 없다. P2P 이더넷 링크의 양쪽에 있는 MACsec 가능 인터페이스에 지정해주어야 하면 여러 이더넷 링크에서 활성화 하고 싶다면 각각의 링크에 개별적으로 구성해야 한다.
MACsec 보안 모드
정적 CAK 모드
컨트롤 플레인 트래픽을 보호하는 CAK와 데이터 플레인 트래픽을 보호하기 위해 임의로 생성된 SAK의 두 가지 보안 키가 링크를 보호하는 데 사용된다. 두 키는 링크 보안을 보장하기 위해 P2P 이더넷 링크의 각 끝에 있는 두 장치 간에 정기적으로 교환된다.
사전 공유 키를 통해 보안 링크를 설정하는데 이때 사전에 공유된 키에는 관리자가 구성한 양쪽 끝 모두 일치하는 CKN과 CAK가 포함된다. 일치하는 사전 공유 키가 성공적으로 교환되면 MKA 프로토콜이 활성화되어 키 서버가 될 스위치를 결정한다. 지정된 키 서버는 종단에서 공유되는 SAK를 생성하고 SAK는 링크를 통과하는 모든 데이터 트래픽을 보호하는데 사용한다.
동적 CAK 모드
802.1X를 이용해 동적으로 보안 키를 생성한다. 인증 중에 radius 서버로부터 키 속성을 수신하고 이러한 속성을 사용하여 cak 및 ckn을 동적으로 생성한다. 동적 cak 모드는 수동으로 구성할 필요가 없고 radius 서버 중앙에서 관리할 수 있기 때문에 정적 cak 모드보다 더 관리가 쉽다.
스위치와 호스트 간 MACsec 구성
다운링크 MACsec 이라고도 하며 MACsec 호스트가 먼저 EAP-TLS 암호화 키를 생성할 수 있는 EAP 방법을 사용하여 802.1X 인증 프로세스를 거쳐야 한다. 키 분배는 MKA 프로토콜을 통해 이루어진다.
aaa new-model
!
dot1x system-auth-control
!
aaa group server radius MyRADIUS
server-private 10.10.10.10 key RADIUSPRESHAREKEY
ip radius source-interface Loopback0
!
aaa authentication dot1x default group MyRADIUS
aaa authorization network default group MyRADIUS
!
interface GigabitEthernet1/0/1
authentication host-mode single-host
authentication port-control auto
dot1x pae authenticator
macsec
mka default-policy
authentication linksec policy must-not-secure
authentication event linksec fail action authorize vlan 999
!
- 스위치에 AAA 802.1X인증을 활성화한다.
- RADIUS/ACS/ISE 서버의 개체를 정의한다. (위 예에서는 MyRADIUS)
- 포트 수준에서 dot1x를 활성화하고 MACsec을 활성화한다.
- MKA 정책을 정의하고 지정한다. 3가지 정책이 존재한다.
- must-secure : MACsec 협상에서 공하지 못한 트래픽은 삭제된다.
- should-secure : 협상이 성공적이었는지 확인할 순 있지만 트래픽을 삭제하진 않는다
- must-not-secure : MACsec 비활성화
스위치 간 MACsec
업링크 MAsec이라고 하며 스위치 간 링크에 적용된다. 위 보안 모드에서도 설명했다 싶이 키 교환은 수동으로 또는 동적으로 구성할 수 있으며 Cisco 에서는 SAP(Security Association Protocol)을 통해 이루어지며 Cisco 장비가 아닐 시에는 802.1af 에 정의된 표준 MKA가 된다.
SW1:
interface GigabitEthernet1/0/10
switchport mode trunk
cts manual
sap pmk 101 mode-list gcm-encrypt
SW2:
interface GigabitEthernet1/0/10
switchport mode trunk
cts manual
sap pmk 101 mode-list gcm-encrypt
가장 간단하고 정적인 구성 예
- 인터페이스 수준에서 수동 모드로 CTS를 활성화한 다음 키를 생성하기 위해 동일한 PMK 16진수 코드 정의
- 인증 및 암호화를 가능하게 하는 gcm-encrypt를 위한 SAP 구성
MACsec 장점
- 확장성 : 위에서 말했다 싶이 tls나 ipsec을 통해 다른 방식으로 배포할 수 있고 macsec의 알고리즘은 높은 네트워크 속도에 매우 적합하다.
- 소프트웨어 개입 없음 : IPsec, TLS와는 다르게 소프트웨어의 필요 없이 하드웨어에서 완전히 구현될 수 있다.
- 최대 속도 작동 :
- 장치 간 보안 Device-to-device security
- 연결 없는 데이터 무결성? Connectionless data integrity
- 데이터 출처 진위 : 수신된 프레임은 인증된 장치에서 보낸 것으로 보장함
- 기밀성
- 재생 보호 Replay protection
- 제한된 수신 지연 Bounded receive delay
번외
MACsec은 2계층 통신의 모든 트래픽을 암호화 하지만 지원하지 않는 장비를 사용하고 있을 수 있음 이때의 임시 해결책은 IPsec과 L2TP를 함께 사용하는 것임
구성에 관한 내용은 보던 자료의 예시를 그대로 올려놨는데 자료를 좀 더 찾아서 더 실습해보고 올리도록 하겠습니다
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| VRF(Virtual routing and forwarding)-lite (0) | 2023.02.16 |
|---|---|
| 라우팅 보안 설정 (0) | 2023.01.25 |
| NTP STRATUM (0) | 2023.01.21 |
| jitter (0) | 2023.01.19 |
| IP SLA (0) | 2023.01.13 |
