IEEE 802.1AE

IEEE 802.1AE (znany również jako MACsec ) to standard bezpieczeństwa sieci, który działa w warstwie kontroli dostępu do nośnika i definiuje poufność i integralność danych bezpołączeniowych dla protokołów niezależnych od dostępu do mediów. Jest standaryzowany przez IEEE 802.1 .

Detale

Zarządzanie kluczami i ustanawianie bezpiecznych powiązań wykracza poza zakres 802.1AE, ale jest określone przez 802.1X-2010 .

Standard 802.1AE określa implementację MAC Security Entities (SecY), która może być traktowana jako część stacji podłączonych do tej samej sieci LAN, zapewniając klientowi bezpieczną usługę MAC. Norma określa

• Format ramki MACsec , który jest podobny do ramki Ethernet , ale zawiera dodatkowe pola:
  • Security Tag , który jest rozszerzeniem EtherType
  • Kod uwierzytelniający wiadomość ( ICV )
• bezpiecznej łączności , które reprezentują grupy stacji połączonych za pośrednictwem jednokierunkowych bezpiecznych kanałów
• Powiązania bezpieczeństwa w każdym bezpiecznym kanale. Każde powiązanie używa własnego klucza (SAK). Dozwolone jest więcej niż jedno skojarzenie w kanale w celu zmiany klucza bez przerywania ruchu (standard wymaga, aby urządzenia obsługiwały co najmniej dwa)
• Domyślny zestaw szyfrów GCM-AES-128 (Galois/Counter Mode of Advanced Encryption Standard szyfr z kluczem 128-bitowym)
  • GCM-AES-256 wykorzystujący klucz 256-bitowy został dodany do standardu 5 lat później.

Znacznik bezpieczeństwa wewnątrz każdej ramki oprócz EtherType zawiera:

• numer skojarzenia w kanale
• numer pakietu w celu zapewnienia unikalnego wektora inicjalizacji dla algorytmów szyfrowania i uwierzytelniania, a także ochrony przed atakiem powtórkowym
• opcjonalny identyfikator bezpiecznego kanału w całej sieci LAN (niewymagany w przypadku łączy punkt-punkt).

Standard IEEE 802.1AE (MACsec) określa zestaw protokołów spełniających wymagania bezpieczeństwa dotyczące ochrony danych przesyłanych przez sieci Ethernet LAN.

MACsec umożliwia identyfikację nieautoryzowanych połączeń LAN i wykluczenie ich z komunikacji w sieci. Podobnie jak IPsec i TLS , MACsec definiuje infrastrukturę bezpieczeństwa zapewniającą poufność danych, integralność danych i uwierzytelnianie pochodzenia danych .

Zapewniając, że ramka pochodzi ze stacji, która twierdzi, że ją wysłała, MACSec może złagodzić ataki na protokoły warstwy 2.

Historia publikacji:

• 2006 – Oryginalna publikacja (802.1AE-2006)
• 2011 – poprawka 802.1AEbn dodaje do standardu opcję użycia kluczy 256-bitowych. (802.1AEbn-2011)
• 2013 – poprawka 802.1AEbw definiuje zestawy szyfrów GCM-AES-XPN-128 i GCM-AES-XPN-256 w celu rozszerzenia liczby pakietów do 64 bitów. (802.1AEbw-2013)
• 2017 – poprawka 802.1AEcg określa urządzenia do szyfrowania danych Ethernet. (802.1AEcg-2017)
• 2018 – 802.1AE-2018

Zobacz też

• Kerberos – używanie biletów w celu umożliwienia węzłom komunikującym się przez niezabezpieczoną sieć wzajemnego potwierdzania swojej tożsamości w bezpieczny sposób
• Model OSI § Warstwa 2: Warstwa łącza danych
• Wirtualna sieć LAN (VLAN) – dowolna domena rozgłoszeniowa, która jest podzielona na partycje i odizolowana w sieci komputerowej w warstwie łącza danych
• IEEE 802.11i-2004 (WPA2)
• Dostęp chroniony Wi-Fi (WPA)
• Równoważna prywatność przewodowa (WEP)

Linki zewnętrzne

• 802.1AE-2018 ( wymagana rejestracja )
• MACsec Toolkit - implementacja zestawu narzędzi kodu źródłowego IEEE 802.1X-2010 (płaszczyzna kontroli MACsec) i IEEE802.1AE (płaszczyzna danych MACsec)