Standard 802.1ae

Sieć komputerowa może odmówić posłuszeństwa z wielu przyczyn: może być źle skonfigurowana, administrator mógł źle podłączyć kable czy z powodu ataku włamywacza.

Sieć komputerowa może odmówić posłuszeństwa z wielu przyczyn: może być źle skonfigurowana, administrator mógł źle podłączyć kable czy z powodu ataku włamywacza.

Każdy dłuższy przestój sieci może unieruchomić firmę i zagrozić jej egzystencji. Stąd potrzeba opracowania mechanizmów, które gwarantują bezpieczeństwo danym, aplikacjom i samej sieci. Właśnie taką funkcjonalność oferuje standard IEEE 802.1ae, zapobiegający uszkodzeniom sieci Ethernet, chroniący zainstalowane w niej urządzenia LAN przed różnego rodzaju niebezpieczeństwami.

Grupa robocza IEEE 802.1 Security Task Group pracuje obecnie nad protokołami, które zapewniają sieciom LAN bezpieczeństwo. Najważniejszy z nich oznaczono jako IEEE 802.1ae Media Access Control Security (MACSec). Integruje on mechanizmy bezpieczeństwa stosowane w kablowych sieciach Ethernet. Prace nad protokołem MACSec dobiegają końca i oczekuje się, że zostanie on niebawem opublikowany.

MACSec zapewnia operacjom sieciowym bezpieczeństwo, identyfikując w sieci LAN nieautoryzowane stacje. Po wykryciu takiej stacji MACSec blokuje ją, tak aby nikt nie mógł się z nią komunikować. MACSec chroni protokoły zarządzające siecią oraz dane generowane przez te protokoły, wykorzystując do tego celu techniki kryptograficzne, pozwalające stwierdzić, czy mamy do czynienia z oryginalnymi danymi. MACSec kontroluje komunikaty wymieniane między stacjami (zapewniając im integralność) oraz gwarantuje, że odpowiedzi generowane przez stacje są autentyczne, a zawarte w nich treści pozostaną poufne. MACSec zapobiega atakom na protokoły funkcjonujące w drugiej warstwie OSI, sprawdzając czy ramka została wysłana rzeczywiście przez właściwe urządzenie (a nie przez podstawione).

Standard gwarantuje bezpieczną komunikację między zaufanymi podmiotami sieci, wykorzystując do tego celu mechanizm bezpieczeństwa hop-by-hop. Jest to inne rozwiązanie niż stosowane przez protokół IPSec, który chroni aplikacje przy użyciu mechanizmu end-to-end.

Standard 802.1ae

Standard 802.1ae

Administrator konfiguruje na początku urządzenia sieciowe zainstalowane w sieci, tak aby obsługiwały protokół MACSec. Gdy do stacji MACSec przychodzi ramka, MACSec Security Entity (SecY) deszyfruje ją, oblicza wartość ICV (Integrity Check Value) i następnie porównuje ją z wartością ICV towarzyszącą ramce. Jeśli obie są identyczne, ramka jest akceptowana. Jeśli się różnią, ramka jest odrzucana albo port obsługuje ją zgodnie z ustaloną wcześniej regułą postępowania.

802.1ae chroni sieci Ethernet, wykorzystując do tego celu kryptografię i kapsułkowanie. Standard wspiera dodatkowe protokoły, które są używane do zarządzania kluczami szyfrowania i autoryzacji. Aby sprostać takim wymaganiom, IEEE opracowuje dodatkowy standard - 802.1af MAC Key Security. To rozszerzenie standardu 802.1x, które zarządza kluczami używanymi przez krótkotrwałe sesje.

Są to sesje, które kodują i dekodują komunikaty. Klucz początkowy (tzw. klucz główny) jest wtedy pozyskiwany przy użyciu zewnętrznych metod, takich jak 802.1x i Extensible Authentication Protocol (IETF). Trzeci protokół, nad którym pracuje IEEE 802.1 Security Task Group, nosi nazwę 802.1ar Secure Device Identity.

MACSec korzysta z mechanizmu szyfrowania Galois/Counter Mode (GCM) for AES 128, zaaprobowanego przez National Institute of Standards and Technology. Mechanizm może być wykorzystany do szyfrowania komunikatów i zapewniania im integralności albo tylko do zapewniania im integralności.

MACSec nie zastępuje standardu 802.11i (protokół bezpieczeństwa dla bezprzewodowych sieci LAN). Nie jest też rozwiązaniem podobnym do tych protokołów bezpieczeństwa chroniących aplikacje, które pracują w trybie end-to-end. Standard MACSec koncentruje się wyłącznie na kwestii zapewnienia bezpieczeństwa operacjom sieciowym LAN.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200