Стандарт сетевой безопасности IEEE
IEEE 802.1AE (также известный как MACsec ) — это стандарт сетевой безопасности, который работает на уровне управления доступом к среде и определяет конфиденциальность и целостность данных без установления соединения для независимых протоколов доступа к среде. Он стандартизирован рабочей группой IEEE 802.1 . [1]
Подробности
Управление ключами и создание безопасных ассоциаций выходят за рамки 802.1AE, но определены 802.1X-2010 .
Стандарт 802.1AE определяет реализацию объектов безопасности MAC (SecY), которые можно рассматривать как часть станций, подключенных к одной и той же локальной сети, обеспечивая клиенту безопасный сервис MAC. Стандарт определяет
- Формат кадра MACsec , который аналогичен кадру Ethernet , но включает дополнительные поля:
- Ассоциации безопасного подключения , которые представляют группы станций, подключенных через однонаправленные защищенные каналы.
- Ассоциации безопасности внутри каждого безопасного канала. Каждая ассоциация использует свой собственный ключ (SAK). Внутри канала допускается более одной ассоциации с целью смены ключа без прерывания трафика (стандарт требует, чтобы устройства поддерживали как минимум две)
- Набор шифров по умолчанию GCM-AES-128 (режим Галуа/счетчик стандартного шифрования расширенного шифрования со 128-битным ключом)
- GCM-AES-256 с использованием 256-битного ключа был добавлен в стандарт 5 лет спустя.
Тег безопасности внутри каждого кадра помимо EtherType включает в себя:
- номер ассоциации внутри канала
- номер пакета для обеспечения уникального вектора инициализации для алгоритмов шифрования и аутентификации, а также защиты от атаки повторного воспроизведения.
- дополнительный идентификатор безопасного канала в масштабе всей локальной сети (не требуется для каналов «точка-точка»).
Стандарт IEEE 802.1AE (MACsec) определяет набор протоколов, отвечающих требованиям безопасности для защиты данных, проходящих через локальные сети Ethernet.
MACsec позволяет выявлять несанкционированные подключения к локальной сети и исключать их из связи внутри сети. Как и IPsec и TLS , MACsec определяет инфраструктуру безопасности, обеспечивающую конфиденциальность, целостность данных и аутентификацию источника данных .
Гарантируя, что кадр приходит от станции, которая заявила, что его отправила, MACSec может смягчить атаки на протоколы уровня 2.
История публикации:
- 2006 г. - Оригинальная публикация (802.1AE-2006) [2]
- 2011 г. – поправка 802.1AEbn добавляет к стандарту возможность использовать 256-битные ключи. (802.1AEbn-2011) [2]
- 2013 г. - поправка 802.1AEbw определяет наборы шифров GCM-AES-XPN-128 и GCM-AES-XPN-256, чтобы расширить номер пакета до 64 бит. (802.1AEbw-2013) [3]
- 2017 г. — поправка 802.1AEcg определяет устройства шифрования данных Ethernet. (802.1AEcg-2017) [4]
- 2018 – 802.1AE-2018 [5]
Смотрите также
Рекомендации
- ^ «802.1AE - Безопасность управления доступом к среде передачи (MAC)» . Рабочая группа IEEE 802.1 . 25 сентября 2015 г.
- ^ ab «Отчет о состоянии стандартов IEEE: 802.1AE». ИИЭЭ . Проверено 25 апреля 2016 г.[ постоянная мертвая ссылка ]
- ^ «802.1AEbw — Поправка к безопасности MAC: расширенная нумерация пакетов» . Рабочая группа IEEE 802.1. 18 июля 2014 г.
- ^ «Стандарт IEEE для локальных и городских сетей - Безопасность управления доступом к среде (MAC) - Поправка 3: Устройства шифрования данных Ethernet» . IEEE STD 802.1AEcg-2017 (поправка к IEEE STD 802.1AE-2006 с поправками, внесенными IEEE STD 802.1AEbn-2011 и IEEE STD 802.1AEbw-2013) : 1–143. Май 2017 г. doi : 10.1109/ieeeestd.2017.7932238. ISBN 978-1-5044-3725-7.
- ^ Стандарт IEEE для локальных и городских сетей — Безопасность управления доступом к среде передачи (MAC) . IEEE. Декабрь 2018 г. doi : 10.1109/IEESTD.2018.8585421. ISBN 978-1-5044-5215-1.
Внешние ссылки
- 802.1AE-2018 ( требуется регистрация )
- MACsec Toolkit — реализация набора инструментов исходного кода IEEE 802.1X-2010 (плоскость управления MACsec) и IEEE802.1AE (плоскость данных MACsec).