IEEE 802.1AE

This article relies excessively on references to primary sources. Please improve this article by adding secondary or tertiary sources. Find sources: "IEEE 802.1AE" – news · newspapers · books · scholar · JSTOR (June 2016) (Learn how and when to remove this message)

IEEE 802.1AE (также известный как MACsec ) — это стандарт сетевой безопасности, который работает на уровне управления доступом к среде и определяет конфиденциальность и целостность данных без установления соединения для независимых от доступа к среде протоколов. Он стандартизирован рабочей группой IEEE 802.1 . ^[1]

Управление ключами и установление безопасных ассоциаций выходит за рамки 802.1AE, но определено в 802.1X-2010 .

Стандарт 802.1AE определяет реализацию MAC Security Entities (SecY), которые можно рассматривать как часть станций, подключенных к одной и той же локальной сети, предоставляя клиенту безопасный MAC-сервис. Стандарт определяет

• Формат кадра MACsec , который похож на кадр Ethernet , но включает дополнительные поля:
  • Тег безопасности , который является расширением EtherType
  • Код аутентификации сообщения ( ICV )
• Ассоциации безопасного подключения , представляющие собой группы станций, подключенных через однонаправленные безопасные каналы.
• Ассоциации безопасности в каждом защищенном канале. Каждая ассоциация использует свой собственный ключ (SAK). В канале разрешено более одной ассоциации с целью смены ключа без прерывания трафика (стандарт требует, чтобы устройства поддерживали не менее двух)
• Стандартный набор шифров GCM-AES-128 (режим Галуа/счетчика расширенного стандартного шифра с 128-битным ключом)
  • Спустя 5 лет к стандарту был добавлен GCM-AES-256 с 256-битным ключом.

Тег безопасности внутри каждого кадра в дополнение к EtherType включает в себя:

• номер ассоциации в канале
• номер пакета для предоставления уникального вектора инициализации для алгоритмов шифрования и аутентификации, а также защиты от атак повторного воспроизведения
• Дополнительный идентификатор защищенного канала (SCI) для всей локальной сети, который не требуется для соединений «точка-точка».

Стандарт IEEE 802.1AE (MACsec) определяет набор протоколов, отвечающих требованиям безопасности для защиты данных, передаваемых по локальным сетям Ethernet.

MACsec позволяет идентифицировать несанкционированные LAN-подключения и исключать их из связи в сети. Как и IPsec и TLS , MACsec определяет инфраструктуру безопасности для обеспечения конфиденциальности данных, целостности данных и аутентификации источника данных .

Гарантируя, что кадр поступает со станции, которая, как утверждается, его отправила, MACSec может смягчить атаки на протоколы уровня 2.

История публикаций:

• 2006 – Оригинальная публикация (802.1AE-2006) ^[2]
• 2011 г. – поправка к стандарту 802.1AEbn добавляет возможность использования 256-битных ключей. (802.1AEbn-2011) ^[2]
• 2013 г. – поправка 802.1AEbw определяет наборы шифров GCM-AES-XPN-128 и GCM-AES-XPN-256 с целью расширения числа пакетов до 64 бит. (802.1AEbw-2013) ^[3]
• 2017 г. – поправка 802.1AEcg определяет устройства шифрования данных Ethernet. (802.1AEcg-2017) ^[4]
• 2018 – 802.1AE-2018 ^[5]

• Kerberos — использование билетов, позволяющих узлам, взаимодействующим по незащищенной сети, подтверждать свою подлинность друг другу безопасным способом.
• Модель OSI § Уровень 2: Уровень канала передачи данных
• Виртуальная локальная сеть (VLAN) — любой широковещательный домен, который разделен и изолирован в компьютерной сети на канальном уровне.
• IEEE 802.11i-2004 (WPA2)
• Защищенный доступ Wi-Fi (WPA)
• Конфиденциальность, эквивалентная проводной связи (WEP)

• 802.1AE-2018 ( требуется регистрация )
• MACsec Toolkit — исходный код реализации инструментария IEEE 802.1X-2010 (плоскость управления MACsec) и IEEE802.1AE (плоскость данных MACsec)