Verschlüsselung auf OSI Schicht 2 – MACsec mit Cisco Nexus

/ Cisco, IT, Netzwerk, Security / Von

MACsec wird in Umgebungen kritischer Infrastruktur verwendet, um Daten auf Schicht 2 zwischen Ethernet Links zu verschlüsseln. Selbst wenn der Angreifer Daten mittels eines SPAN Ports abfängt, kann er diese nicht lesen. MACsec sorgt außerdem dafür das Daten während der Übertragung nicht unbemerkt verändert werden können.

Wie funktioniert das genau?

  1. Schlüsselaustausch: MACsec verwendet immer einen symmetrischen Schlüssel, um den Datenverkehr zu verschlüsseln. Dieser wird zwischen den Geräten über das sogenannte MKA-Protokoll (MACsec Key Agreement) ausgetauscht. Das MKA ist für den sicheren Austausch und die Verwaltung der Schlüssel zuständig.
  2. Verschlüsselung: Wenn zwei Geräte miteinander kommunizieren, werden alle Frames , die zwischen ihnen gesendet werden, verschlüsselt.
  3. Authentifizierung: MACsec stellt sicher, das der Datenverkehr auch wirklich von dem Gerät kommt, das es vorgibt zu sein. Dafür wird eine Authentifizierung durchgeführt.
  4. Sicherheit: MACsec schützt vor Angriffen wie z.B. "Man in the middle", da ein Angreifer den Verkehr nicht entschlüsseln oder manipulieren kann, ohne den Schlüssel zu besitzen.

Konfiguration Switch 1 (Key Server):

conf t

feature macsec

macsec policy MyMACsecPolicy
  encryption aes-256-cbc
  integrity sha256
  key-server   # Switch 1 ist der Key Server

interface Ethernet1/1
  macsec enable
  macsec policy MyMACsecPolicy
  macsec replay-protection 10000
  no shutdown

Konfiguration Switch 2 (Key Client):

conf t

feature macsec

macsec policy MyMACsecPolicy
  encryption aes-256-cbc
  integrity sha256

interface Ethernet1/1
  macsec enable
  macsec policy MyMACsecPolicy
  macsec replay-protection 10000
  no shutdown

Nun zu den Nachteilen, oder besser Einschränkungen, von MACsec.

  1. Begrenzte Reichweite: MACsec schützt nur den Datenverkehr zwischen zwei direkt verbundenen Geräten. Es schützt nicht den Verkehr über Layer3 oder über das Internet.
  2. Overhead und Leistungsbeeinträchtigung: Die Verschlüsselung von Frames führt zu einem gewissen Performance-Overhead. Das heißt das dieses zu einer erhöhten CPU und Speicherbelastung führt. Das kann die Netzwerk Performance beeinflussen.
  3. Lizenzkosten: Die Aktivierung des MACsec Features erfordert eine eigene Lizenz und damit verbundene Mehrkosten.
  4. Kompatibilitätsprobleme: MACsec erfordert, dass alle Geräte entlang des MACsec Pfades auch MACsec unterstützen. Bei Inkompatibilitäten kann es zu Verbindungsabbrüchen oder anderen Fehlern führen.
  5. Multicastverkehr: MACsec unterstützt Multicast Verkehr nur eingeschränkt. Das kann zu Problemen führen, falls du in deinem Netz viele Multicast Anwendungen oder Broadcast Verkehr in deinem Netzwerk hast.