在银行、军事、政府等安全性要求比较高的地方,存在大量机密文件,由于局域网容易受到各种安全风险的影响,数据泄露造成的经济损失可能是巨大的,因此除了有门卫、门锁外,还应采取措施维护网络安全。因此,接入终端、端口隔离、MACsec、IPsec、TLS等技术应运而生,目的就是防止黑客窃取敏感数据。
MACsec可以部署在这些机构的交换机中,为用户提供安全的MAC层数据传输和接收服务。
本文将介绍一下MACsec是什么,它有什么优势,并对其进行一些展望。
什么是MACsec?
MACsec,英文全称Media Access Control security,中文意思即媒体访问控制安全 ,是一种网络安全标准,被定义为IEEE 标准 802.1AE。
MACsec 协议提供以太网连接设备之间的点对点数据安全性,它可以保护两个设备之间的数据通信,而不会干扰设备或网络的数量,当启用 MACsec 时,两个连接的设备交换和验证安全密钥以建立双向安全链接,并使用数据完整性检查和加密的组合来保护传输的数据。
那么,为什么要选择MACsec?
它又是如何应用于局域网的呢?
别急,各位客官,下面会解释。
下面是一个典型的 LAN MACsec 网络图:
LAN MACsec 网络图
MACsec的优势
MACsec,依靠GCM-AES保证所有网络流量的机密性和完整性,工作在七层OSI模型的第二层,该层是跨物理层在网段上的节点之间传输数据的协议层
。与 IPsec 等作为端到端技术在第 3 层上运行的协议不同,MACsec 在每个数据包进入以太网 LAN 时对其进行解密,并在离开以太网 LAN 时对其进行验证,因此可以说第 2 层的安全性服务于作为整个网络系统的坚实基础。
上层安全机制取决于链路层活动的完整性,如果没有 MACsec,则可能无法检测通信是否已被破坏,选择第 2 层连接功能在数据中心周围移动数据包,以提高速度、最小化延迟并减少数据包中的数据开销。
相比之下,如果使用安全的第 3 层技术(如 IPsec),消息必须传递到协议的上层进行处理,这可能会增加延迟,此外,第 2 层解决方案避免了创建第 3 层安全策略的复杂任务。
简而言之,MACsec 具有以下优势:
- MACsec 支持线速加密性能(40/100Gbps+)
- MACsec可以和802.1X一起部署,更适合校园网
- MACsec 可以在逐跳设备上提供安全的数据传输
- MACsec 是可扩展的,可以以不同的方式部署
- MACsec 具有低延迟
OSI模型
MACsec 如何工作?
MACsec 功能可以在两个设备之间或客户端和设备之间实现。
MACsec在设备和客户端之间实施时如何保护安全?
MACsec 是指由网络上的节点组成的一系列可信实体 (SecY),其中每个节点或 SecY 实体都有一个唯一的密钥,链接到其以太网源地址。
MACsec 通常与IEEE 802.1X-2010结合使用或 Internet Key Exchange (IKE) 来实现网络周围的安全密钥分发,适用于星型或总线 LAN 等以太网拓扑,也支持点对点系统。
在受 MACsec 保护的网络中,每个节点都可以接收加密和明文消息,并且系统策略用于指定如何处理每个消息。
内核包括一个用于无需身份验证的纯文本消息的绕过选项。如下图所示,连接了两个开关。
重要信息在两台设备之间传输,这就需要对两台设备之间的数据通信进行保护。
在两个交换机的端口之间进行协商,然后对数据包交换进行加密和解密,比如MACsec把明文123加密成*%&,
MACsec 是如何工作的
在两台设备之间实现MACsec时,MACsec协议的工作过程可以分为三个主要阶段,即会话协商、安全通信和会话终止。
1. 会话协商
使用配置的预共享密钥 (PSK) 作为 CAK(安全连接关联密钥),通过 EAPOL-MKA(LAN-MACsec 密钥协议上的可扩展身份验证协议)消息在设备之间协商会话。设备间优先级高的端口会被选举为Key Server,负责生成和分发SAKs(Security Association Key),设备之间相互通知自己的能力和建立会话所需的各种参数(如优先级,是否需要加密会话等)通过 MKA 协议。
2. 安全通信
会话协商完成后,每个设备都有一个可用的 SAK,并使用 SAK 加密数据并开始加密通信。
3. 会话终止
当设备收到另一端的下行请求时,会立即清除该用户对应的安全会话。MKA会话超时定时器(默认为6秒,可配置)超时后,如果本端仍未收到另一端的MKA协议报文,则清除该用户对应的安全会话。
如何充分发挥MACsec,利用IPsec
1
- MACsec 用于在第 2 层 LAN 网络上对以太网上的流量进行身份验证和加密
- IPSec 用于第 3 层网络。
2
IPsec 在第 3 层处理 IP 数据包 MACsec 在第 2 层处理以太网帧。
3
- MACsec 可以保护 IPsec 不能保护的所有 DHCP 和 ARP 通信,MACsec 在某种程度上仅限于 LAN 上的交换机或终端节点
- IPsec 可以跨路由器的广域网 (WAN) 工作。
它们中的任何一个都无法帮助安全系统抵御所有攻击,在实际应用中,应根据不同情况选择合适的协议,注意加强协议之间的互操作性和互补性,进一步提高网络的安全性。
MACsec 不应该被认为是 IPSec 的替代品,而是加密工具包中的另一套工具,在某些情况下,在更大规模的部署中与 IPsec 结合部署。
总结
随着移动设备、视频流量、云服务的不断扩展,带宽需求也随之快速增长,网络环境也变得复杂,数据安全和隐私问题变得尤为重要,对数据安全和隐私要求高的机构都需要关注局域网的安全。
而交换机作为构建局域网最基本的设备,为您的企业交换机部署更合适的安全协议,可以更有效的规避数据风险,保护您的局域网安全,MACsec 是致力于下一代高速加密的企业、政府或服务提供商的新选择,如果您有这样的需求,MACsec 可能是一个很酷的选择。
关键词:啥是媒体访问控制安全MACsec(媒体访问控制的概念)