MAC Security (MACsec) nedir ?

MAC Security (MACsec) nedir ve Tasarım yapılırken dikkat edilmesi gereken noktalar nelerdir?

Son zamanlarda network ve sistem güvenliği bir çok kurum/kuruluş için ilk sıralarda yer almaktadır. Ancak bilgi güvenliği dediğimizde bir çok insanın aklına saldırı yöntemleri (penatrasyon testi, zafiyet taraması) ya da internete açık sistemlerin/uygulamaların güvenlikleri gelmektedir. Oysaki birçok bilgi güvenliği otoritesi raporlarına göre hacking (bilgi çalma) saldırılarının büyük kısmı iç networkten yapılmaktadır. DOS, DDOS gibi saldırı yöntemleri kurumları prestij kaybına uğratmaktadır. Fakat bu tür saldırı tiplerinde herhangi bir bilgi çalınması söz konusu değildir. Network ve sistem güvenliğinin alınmaması durumunda ise saldırgan kişi, ilgili kurumun bilgilerine ulaşarak maddi ve manevi çok daha fazla zarar verebilmektedir. Günümüzde çok fazla teknik bilgi gerektirmeden, çeşitli araçlar sayesinde, networklerden sistem veya kullanıcı bilgileri toplanabilmektedir. Network ve sistem güvenliği layer 2 de hatta layer 1 de başlar ve yukarı katmanlara etkisi katlanarak çıkar. Burada bahsedeceğim 802.1x ve MACSEC güvenlik önemleri daha atakları başlamadan bitirecektir. Herhangi bir teknoloji ile atak yapılsa bile tüm datalar şifreli olacağından dolayı bilgi çalınma işleminin önüne geçilmiş olacaktır.

Resim-1

 

MACsec (802.1AE) : Mac Security, kelimesinin kısaltılmasıdır. Layer 2 katmanında, gidip gelen paketlerin hardware-based olarak cryptolanmasını (symetric key) sağlamaktadır. Cisco bu özelliğini yeni nesil X ve C switch serilerinde desteklemektedir. MACsec 802.1x ile birlikte uygunlanmaktadır. Aslında 802.1x’i daha güvenli hale getirmek için geliştirilmiş bir teknolojidir.

Cisco TrustSec Solution Architecture Yapısı:

Rsm2

 

MACsec faydalarına baktığımızda;
  •  Confidentiality : Layer 2 katmanında güçlü şifreleme sağlar.
  •  Integrity : Dataların transfer sırasında değiştirilmemesini sağlar.
  • Flexibility : Merkezi policy sayesinde tüm clientların şifreli veri göndermesini sağlayabiliriz veya istediklerimizin  şifrelenmesini de diyebiliriz.
MACsec mesajlaşmaları aşağıdaki gibidir.
MSK = Master Session Key
MKA= Macsec Key Aggrement

rsm3

MACsec olmayan bir network; Görüldüğü gibi trafik şifrelenmemiştir.

rsm4

MACsec uygulanmış bir network; Burada ise trafik şifrelenmiştir.rsm5

MACsec uygulamadan önce dikkat etmemiz gereken noktalar nelerdir? (MACsec Dizaynı)

  •  End-to-End (uçtan uça) macsec uygulanacak ise ortamdaki tüm switchlerinin macsec desteği olması gerekmektedir. Öncelikle mevcut ya da alacağımız switchlerin macsec destekleri kontrol edilmelidir. Cisco (Software Release 12.2(53)SE1) IOS unda Macsec desteklenmeye başlamıştır. Ayrıca minimum IP-BASE IOS gerekmektedir.
  •  Clientların ethernet kartlarının macsec desteğinin olması gerekiyor. Cisco AnyConnect Secure Mobility Client 3.0 ise software olarak dataların cryptolanmasını sağlamaktadır. Intel 82576 ailesinde macsec desteği vermektedir.

rsm6

 MACsec yapısının minimum gereksinimlerine baktımızda ise,

rsm7

  •  Supplicant = MACsec destekli Client
  • Authenticator = MACsec destekli Switch (maximum güvenlik için hem downlink hemde uplink kısmında macsec yapılandırılmalıdır.)
  •  Authentication Server= Cisco ACS 5.1/ Cisco ISE ya da 802.1x-2010 (MACsec) ve üzerinde “EAP Key-Name attribute” özellikleri desteklenen herhangi bir Radius Server.
  •  MACsec ilklerini seçmek;
  •  Must Not Secure: Switchin MKA yı başlamaması durumu. Switch veri trafiğini şifrelenmemiş şekilde iletir.
  •  Should Secure: Switch MKA yı başlattı. Eğer MKA başarılı olursa, switch üzerinden geçen veri trafiği cryptolanır fakat başarısız olursa şifrelenmemiş trafik akışına izin verilir.
  •  Must Secure: Switch MKA yı başlattı. Eğer MKA başarılı olursa, switch üzerinden geçen veri trafiği cryptolanır fakat başarısız olursa şifrelenmemiş trafik akışına izin vermez ve quite-time bitince authentication işlemi tekrar başlar.

 rsm8

  •  Master session key (MSK) destekli EAP seçmemiz gerekiyor.
  •  EAP-TLS =EAP Transport Layer Security
  •  PEAP-MSCHAPv2 =Protected EAP Microsoft Challenge Handshake Authentication Protocol Version 2
  •  EAP-FAST =EAP Flexible Authentication via Secure Tunneling
  •  Reauthentication mekanizmasına gerek yoktur.
  •  Open Access desteği bulunmaktadır.
  •  Multiple host desteği vardır, ancak encrypted trafik olarak cihazların yapılarına göre limitasyonlar vardır.

rsm9

  •  Multiple host desteği vardır, ancak encrypted trafik olarak bir porttan 2 adet client desteklenmektedir.
  •  Multidomain Authentication desteği vardır. Yani aynı porta bağlı MACsec destekli IP Phonelar var ise birlikte çalışabilmektedir veya macsec destekli cihaz trafiği encrypted digeri ise unencrypted şekilde çalışabilmektedir.
  •  CDP bypass özelliği vardır.
  •  Switchlerin diğer marka switchler ile düzgün çalışabilmesi için için LLDP, EAPOL-Start, LACP trafiklerini şifrelenmemiş şekilde iletilmektedir.
  •  Şuan için ortamda macsec varsa Radius Accounting verileri tutulamamaktadır.
  •  Şuan için SNMP MIB desteği yoktur.
  •  Port security ile bilrlikte kullanılması önerilmemesine rağmen birlikte çalışabilmektedir.
  •  DHCP Snooping, Arp Inspection, IP Source Guard desteği vardır.

Basit MACsec konfigurasyon örneği:
interface GigabitEthernet1/0/25
switchport access vlan 20
switchport mode access
switchport voice vlan 21
authentication port-control auto
macsec
mka default-policy
dot1x pae authenticator
spanning-tree portfast
MACsec uygulanacak noktalar:

rsm10

 

BARIŞ GENÇ
CCSI #33089
CCIE #27940
www.cliguru.com
Kaynaklar;
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6638/deploy_guide_c17-663760.html#wp9000329
http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/how_to_intro_macsec_ndac_guide.pdf
http://www.cisco.com/en/US/prod/collateral/switches/ps10902/ps12332/white_paper_c11-696802.html
http://www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns1051/solution_overview_c22-591771.html
http://en.wikipedia.org/wiki/IEEE_802.1AE

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir