MACsec (Media access control security) wird für die Authentifizierung und Verschlüsselung von Datenpaketen zwischen Netzwerkgeräten verwendet. Genormt ist MACsec im Standard IEEE 802.1AE als allgemein verfügbares Protokoll für die sichere Kommunikation zwischen vertrauenswürdigen Komponenten innerhalb eines LAN. (MACsec im WAN folgt später in diesem Artikel.)
Uns wird oft die Frage zur Beeinflussung von MACSec und IPv4 / IPv6 gestellt: MACsec befindet sich in der Übertragungshierarchie unterhalb von IP. Damit ist MACsec mit IPv4 und IPv6 kompatibel. Ganz genau genommen ist es MACsec egal, ob es IPv4 oder IPv6 überträgt.
Bevor wir zu den technischen Details zu MACsec kommen, beantworten wir die Frage: Warum ist MACsec ein so wichtiger Baustein in der Informationssicherheit?
Ein lokales Netzwerk „LAN“ ist eine kleine Umgebung von netzwerkfähigen Geräten, in denen sich alle Komponenten direkt „sehen“ und sich anhand ihrer MAC-Adresse (Layer 2) erkennen.
Ohne weitere Sicherheitsvorkehrungen vertrauen sich diese Geräte grundsätzlich erst einmal.
Damit können alle Geräte Informationen im LAN empfangen, senden und sogar ihre MAC-Adressen abändern und Traffic unter falscher Flagge senden.
Konkret kann also die Kommunikation zwischen Client und Server im LAN belauscht werden. Ebenso kann sich ein Client im LAN als Firewall ausgeben. In solch einem Fall spricht man von MAC Adress spoofing.
Genau dieses Mitlesen und diese Identitätsfälschung gilt es zu verhindern.
MACsec als Teil einer Netzzugangskontrolle im LAN schützt NAC (Network Access Control)- übertragene Daten auf unterer physikalischer Datenübertragungsebene durch eine individuelle Ende-Ende Verschlüsselung zweier miteinander verkabelter Kommunikationsteilnehmer.
Dadurch sind die Nachrichten gegen Mitlesen geschützt und zudem ist es nicht möglich, als drittes unberechtigtes Gerät, Daten in den kryptographisch gesicherten Kanal hinein zu senden.
Als Sicherheitsprotokoll auf der Netzwerkebene 2 des OSI-Referenzmodells schützt MACsec IEEE 802.1AE nicht nur den IPv4- und IPv6-Traffic, sondern auch Layer 2 Frames, wie DHCP, ARP und IPv6, NDP (Neighbor Discovery Protocol), LLDP, CDP und andere Layer 2 Protokolle.
Das MACses Key Agreement Protocol nutzt (als Teil einer NAC-Lösung) das IEEE 802.1X Extensible Authentication Protocol (EAP), um eine Verbindung aufzubauen.
Dazu wird MACsecs Key Agreement Protocol specified in IEEE Std 802.1X die MACSec Endgeräte auf Grund der gesendeten Frames erkennen, dann ein Gerät als Key-Server festlegen und nachfolgend symmetrische Schlüssel generieren. (Es wird also über eine ungesicherte Leitung ein sicherer Schlüssel generiert, so wie es bei Diffie-Hellman der Fall ist.)
Wenn ein Static Secure Association key (SAK) erfolgreich ausgehandelt und eingerichtet ist, können diese zwei Geräte von nun an verschlüsselte Daten austauschen.
Auf Grund des eingefügten Headers im Ethernet-Frame vor der VLAN-ID ist die Verschlüsselung in den meisten technischen Setups nur zwischen direkt miteinander verbundenen Komponenten möglich, man spricht von einer hop-by-hop-Verschlüsselung.
Doch auch für WAN-Strecken, an welchen die Verschlüsselungskomponenten nicht direkt miteinander verbunden sind, gibt es eine Lösung:
Das so genannte WAN MACsec ermöglicht eine Ende-Ende-Verschlüsselung über andere aktive Layer 2 Netzwerkkomponenten hinweg.
Dazu wird das VLAN-ID (802.1Q)-Feld vor dem MACsec-Header eingefügt, die VLAN-ID ist also im unverschlüsselten Bereich und damit für alle Übertragungskomponetnen sichtbar und zugänglich.
Der Vorteil von MACsec im WAN ist übrigens die enorme Geschwindigkeit:
Bei klassischen VPN-Verbindungen gibt es eine Abhängigkeit von der CPU-Leistung. MACsec hingegen lässt sich recht "einfach" als Hardware realisieren, damit ist die Verschlüsselung in Portgeschwindigkeit möglich.
MACSec Konfiguration:
Zur Konfiguration von MACsec sind eindeutig geeignete Switches notwendig.
Neben allen aktuell gängigen Switches von Cisco Systems haben wir MACsec an einem Huawei Switch S6720-30C-EI-24S-AC im Lab getestet.
Auf Grund der Verschlüsselung auf unterster Ebene können Trunk (mit VLAN-IDs), Access Leitungen (ohne VLAN-IDs) oder auch LACP-Channels (jede physikalische Leitung wird einzeln verschlüsselt) mit MACsec gesichert werden.
Nachfolgend haben wir zum Verständnis eine MACSec Konfiguration am Beispiel eines Huawei Switches erstellt. Auf die einzelnen Konfigurationsschritte gehen wir später ein.
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mka cryptographic-algorithm AES-CMAC-256
mka enable
mka cak-mode static ckn <value> cak <value>
mka keyserver priority 1
macsec mode normal
macsec replay-window 100
macsec cipher-suite GCM-AES-256Der erste Befehl macht aus dem Link ein Trunk, es werden also VLAN-IDs übertragen.
(MACsec ist genauso an Access-Ports und ebenfalls an zusammengefassten LACP-Channels möglich).
Danach werden die Cipher Suites, also die kryptographischen Parameter, definiert. Ganz klar, diese Werte müssen an beiden beteiligten Enden identisch sein.
Mit dem Befehl „MKA enable“ wird die MKA-Session aktiviert bzw. mit „no/undo“ auch wieder deaktiviert.
Der MACsec Key zu ver- und entschlüsseln der Datenpakete wird vom Keyserver generiert und verteilt. Da der Keyserver der MACsec-Switch selbst ist, werden Connectivity Association Key (CAK) und der Connectivity Association Key Name (CKN) statisch vergeben, daraus wird der synchrone Schlüssel berechnet.
Mit diesem Schlüssel erfolgt dann die Ver- und Entschlüsselung. Dieser Sitzungsschlüssel wird regelmässig neu generiert, um die Sicherheit zu erhöhen.
Der MACsec Mode lässt verschiedene Verschlüsselungen und/oder nur Validierung zu, also das Prüfen auf Änderungen der Daten ohne sie zu verschlüsseln. Da eine Verschlüsselung der üblicherweise bei MACsec gewünschte Modus ist, setzen wir auf beide Seiten den Parameter auf „normal“.
Der Befehl "reply-window" erwirkt, das Frames auch mal in der falschen Reihenfolge ankommen dürfen, dies kann bei LACP oder bei QoS der Fall sein.
Nachdem MACSec 802.1AE auf den Switches nun konfiguriert wurde, kann man den MKA Sessionstatus der Sitzung durch verschiedene „show“ - oder ähnliche „display“-Befehle (je nach Switch Hersteller und Modell) überprüfen. Ist die MKA Session nicht erfolgreich aufgebaut, gilt es, beide Portkonfiguration zu überprüfen und die Konfigs bei Bedarf anzugleichen.
In wenigen Fällen ist die Leitung zwischen den Geräten auf Grund aktiver Komponenten nicht in der Lage, den MACsec Etherype 0x88e5 zu interpretieren, der Verbindungsaufbau ist dann nicht möglich. In diesem Fall kann der oben erwähnte WAN-Modus von MACsec helfen, dort werden die VLAN-IDs als Klartext vor der Verschlüsselung eingefügt. Bei normalen direkten Verkabelungen, also bspw. bei einem Patchkabel zwischen zwei Geräten, ist dieses Problem grundsätzlich nicht vorhanden.
Wenn alle Parameter korrekt konfiguriert sind, zeigt die MKA-Sitzungsinformation den aktiven und „grünen“ Status der MKA-Sitzung an und alle Frames sind fortan verschlüsselt.
Das Messen der Verschlüsselung ist hingegen nicht so einfach, hier sind spezielle Portreplikatoren notwendig. Switches mit einem Port-Mirroring eignen sich nicht zum messen, da diese Switches den MACSec-Header 0x88e5 selbst interpretieren, anstatt die gesamten Frames an den Sniffer zu leiten.