IEEE 802.1AE - IEEE 802.1AE

IEEE 802.1AE (také známý jako MACsec) je standard zabezpečení sítě, který funguje na střední kontrola přístupu vrstva a definuje důvěrnost a integritu dat bez připojení pro protokoly nezávislé na přístupu k médiím. Je standardizován IEEE 802.1 pracovní skupina.^[1]

Detaily

Správa klíčů a vytváření bezpečných přidružení je mimo rozsah 802.1AE, ale je specifikována 802.1X-2010.

Standard 802.1AE specifikuje implementaci a Subjekty zabezpečení MAC (SecY), o kterém lze uvažovat jako o části stanic připojených ke stejné síti LAN, poskytujících klientovi zabezpečenou službu MAC. Standard definuje

Formát rámce MACsec, který je podobný Ethernet rámeček, ale obsahuje další pole:
- Bezpečnostní značka, což je rozšíření EtherType
- Ověřovací kód zprávy (ICV)
Zajistit Asociace pro připojení které představují skupiny stanic připojených jednosměrně Zabezpečené kanály
Sdružení pro zabezpečení v každém zabezpečeném kanálu. Každá asociace používá svůj vlastní klíč (SAK). V rámci kanálu je povoleno více než jedno přidružení za účelem změny klíče bez přerušení provozu (standard vyžaduje, aby zařízení podporovala alespoň dvě)
Výchozí šifra sada GCM-AES-128 (Galois / Counter Mode of Advanced Encryption Standard šifra se 128bitovým klíčem)
- GCM-AES-256 použití 256bitového klíče bylo přidáno do standardu o 5 let později.

Bezpečnostní značka uvnitř každého rámečku kromě EtherType zahrnuje:

číslo přidružení v kanálu
číslo paketu poskytnout jedinečný inicializační vektor pro šifrovací a autentizační algoritmy i ochranu proti přehrát útok
volitelný identifikátor zabezpečeného kanálu v celé LAN (u odkazů point-to-point není vyžadován).

Standard IEEE 802.1AE (MACsec) specifikuje sadu protokolů, které splňují bezpečnostní požadavky na ochranu dat procházejících ethernetovými LAN.

MACsec umožňuje identifikovat neautorizovaná připojení LAN a vyloučit je z komunikace v síti. Společné s IPsec a TLS, MACsec definuje bezpečnostní infrastrukturu pro zajištění důvěrnosti dat, integrita dat a ověření původu dat.

Zajištěním toho, že rámec pochází ze stanice, která tvrdila, že jej odesílá, může MACSec zmírnit útoky na protokoly vrstvy 2.

Historie publikování:

2006 - Původní publikace (802.1AE-2006)^[2]
2011 - Dodatek 802.1AEbn přidává do standardu možnost používat 256bitové klíče. (802.1AEbn-2011)^[2]
2013 - Dodatek 802.1AEbw definuje šifrovací sady GCM-AES-XPN-128 a GCM-AES-XPN-256 za účelem rozšíření počtu paketů na 64 bitů. (802.1AEbw-2013)^[3]
2017 - Dodatek 802.1AEcg specifikuje zařízení pro šifrování dat Ethernet. (802.1AEcg-2017)^[4]
2018 - 802.1AE-2018^[5]

Viz také

Kerberos - používání lístků umožňujících uzlům komunikujícím přes nezabezpečenou síť, aby si navzájem bezpečně prokázali svoji totožnost
Model OSI § vrstva 2: vrstva datového spojení
Virtuální LAN (VLAN) - jakákoli vysílací doména, která je rozdělena a izolována v počítačové síti ve vrstvě datového spojení
IEEE 802.11i-2004 (WPA2)
Chráněný přístup Wi-Fi (WPA)
Drátové ekvivalentní soukromí (WEP)

Reference

^ „802.1AE - zabezpečení přístupu k médiím (MAC)“. IEEE 802.1 pracovní skupina. 2015-09-25.
^ ^A ^b „Zpráva o stavu standardů IEEE: 802.1AE“. IEEE. Citováno 2016-04-25.
^ „802.1AEbw - Dodatek k zabezpečení MAC: Rozšířené číslování paketů“. Pracovní skupina IEEE 802.1. 18. 07. 2014.
^ „Standard IEEE pro místní a metropolitní sítě - Zabezpečení kontroly přístupu k médiím (MAC) - Změna 3: Zařízení pro šifrování dat Ethernet“. IEEE STD 802.1AEcg-2017 (dodatek k IEEE STD 802.1AE-2006 ve znění IEEE STD 802.1AEbn-2011 a IEEE STD 802.1AEbw-2013): 1–143. Květen 2017. doi:10.1109 / ieeestd.2017.7932238. ISBN 978-1-5044-3725-7.
^ Standard IEEE pro místní a metropolitní sítě - zabezpečení přístupu k médiím (MAC). IEEE. Prosince 2018. doi:10.1109 / IEEESTD.2018.8585421. ISBN 978-1-5044-5215-1.

externí odkazy

802.1AE-2018 (registrace nutná)
Sada nástrojů MACsec - Implementace sady nástrojů zdrojového kódu IEEE 802.1X-2010 (řídicí rovina MACsec) a IEEE802.1AE (datová rovina MACsec)

[1] „802.1AE - zabezpečení přístupu k médiím (MAC)“. IEEE 802.1 pracovní skupina. 2015-09-25.

[ieee_status-2] A ^b „Zpráva o stavu standardů IEEE: 802.1AE“. IEEE. Citováno 2016-04-25.

[3] „802.1AEbw - Dodatek k zabezpečení MAC: Rozšířené číslování paketů“. Pracovní skupina IEEE 802.1. 18. 07. 2014.

[4] „Standard IEEE pro místní a metropolitní sítě - Zabezpečení kontroly přístupu k médiím (MAC) - Změna 3: Zařízení pro šifrování dat Ethernet“. IEEE STD 802.1AEcg-2017 (dodatek k IEEE STD 802.1AE-2006 ve znění IEEE STD 802.1AEbn-2011 a IEEE STD 802.1AEbw-2013): 1–143. Květen 2017. doi:10.1109 / ieeestd.2017.7932238. ISBN 978-1-5044-3725-7.

[5] Standard IEEE pro místní a metropolitní sítě - zabezpečení přístupu k médiím (MAC). IEEE. Prosince 2018. doi:10.1109 / IEEESTD.2018.8585421. ISBN 978-1-5044-5215-1.

[1]

[2]

[3]

[4]

[5]