Was bedeutet MACsec und was sind die technischen Sicherheitsvorteile für Ihr Unternehmen?

Aktualisiert: Sept 16

MACsec (Media access control security) wird für die Authentifizierung und Verschlüsselung von Datenpaketen zwischen Netzwerkgeräten verwendet. Genormt ist MACsec im Standard IEEE 802.1AE als allgemein verfügbares Protokoll für die sichere Kommunikation zwischen vertrauenswürdigen Komponenten innerhalb eines LAN. (MACsec im WAN folgt später in diesem Artikel.)


Bevor wir zu den technischen Details zu MACsec kommen, beantworten wir die Frage: Warum ist MACsec ein so wichtiger Baustein in der Informationssicherheit?


Ein lokales Netzwerk „LAN“ ist eine kleine Umgebung von netzwerkfähigen Geräten, in denen sich alle Komponenten direkt „sehen“ und sich anhand ihrer MAC-Adresse (Layer 2) erkennen.

Ohne weitere Sicherheitsvorkehrungen vertrauen sich diese Geräte grundsätzlich erst einmal. Damit können alle Geräte Informationen im LAN empfangen, senden und sogar ihre MAC-Adressen abändern und Traffic unter falscher Flagge senden.

Konkret kann also die Kommunikation zwischen Client und Server im LAN belauscht werden. Ebenso kann sich ein Client im LAN als Firewall ausgeben. In solch einem Fall spricht man von MAC Adress spoofing. Genau dieses Mitlesen und diese Identitätsfälschung gilt es zu verhindern.





MACsec als Teil einer Netzzugangskontrolle im LAN schützt NAC (Network Access Control)- übertragene Daten auf unterer physikalischer Datenübertragungsebene durch eine individuelle Ende-Ende Verschlüsselung zweier miteinander verkabelter Kommunikationsteilnehmer.

Dadurch sind die Nachrichten gegen Mitlesen geschützt und zudem ist es nicht möglich, als drittes unberechtigtes Gerät, Daten in den kryptographisch gesicherten Kanal hinein zu senden.


Als Sicherheitsprotokoll auf der Netzwerkebene 2 des OSI-Referenzmodells schützt MACsec IEEE 802.1AE nicht nur den IPv4- und IPv6-Traffic, sondern auch Layer 2 Frames, wie DHCP, ARP und IPv6, NDP (Neighbor Discovery Protocol), LLDP, CDP und andere Layer 2 Protokolle.


Das MACses Key Agreement Protocol nutzt (als Teil einer NAC-Lösung) das IEEE 802.1X Extensible Authentication Protocol (EAP), um eine Verbindung aufzubauen.


Dazu wird MACsecs Key Agreement Protocol specified in IEEE Std 802.1X die MACSec Endgeräte auf Grund der gesendeten Frames erkennen, dann ein Gerät als Key-Server festlegen und nachfolgend symmetrische Schlüssel generieren. (Es wird also über eine ungesicherte Leitung ein sicherer Schlüssel generiert, so wie es bei Diffie-Hellman der Fall ist.)



Wenn ein Static Secure Association key (SAK) erfolgreich ausgehandelt und eingerichtet ist, können diese zwei Geräte von nun an verschlüsselte Daten austauschen.



Hier ist LAN MACsec 802.1AE hope-by-hope abgebildet, die VLAN-ID und ICV verschlüsselt
LAN MACsec 802.1AE, VLAN-ID und ICV verschlüsselt

Auf Grund des eingefügten Headers im Ethernet-Frame vor der VLAN-ID ist die Verschlüsselung in den meisten technischen Setups nur zwischen direkt miteinander verbundenen Komponenten möglich, man spricht von einer hop-by-hop-Verschlüsselung.


Doch auch für WAN-Strecken, an welchen die Verschlüsselungskomponenten nicht direkt miteinander verbunden sind, gibt es eine Lösung:


Das so genannte WAN MACsec ermöglicht eine Ende-Ende-Verschlüsselung über andere aktive Layer 2 Netzwerkkomponenten hinweg.

Dazu wird das VLAN-ID (802.1Q)-Feld vor dem MACsec-Header eingefügt, die VLAN-ID ist also im unverschlüsselten Bereich und damit für alle Übertragungskomponetnen sichtbar und zugänglich.



WAN MACsec 802.1AE ist abgebildet, die VLAN-ID und ICV sind unverschlüsselt.
WAN MACsec 802.1AE, VLAN-ID und ICV sind unverschlüsselt.


Der Vorteil von MACsec im WAN ist übrigens die enorme Geschwindigkeit:

Bei klassischen VPN-Verbindungen gibt es eine Abhängigkeit von der CPU-Leistung. MACsec hingegen lässt sich recht "einfach" als Hardware realisieren, damit ist die Verschlüsselung in Portgeschwindigkeit möglich.



MACSec Konfiguration:


Zur Konfiguration von MACsec sind eindeutig geeignete Switches notwendig.