همانطور که بخاطر دارید در مقاله قبلی نحوه پیاده سازی، تنظیمات سرور اعتبار سنجی، تنظیمات درخواست کننده (کامپیوتر)، دستورات مورد نیاز بر روی سوییچ و بررسی صحت تنظیمات انجام شده بحث شد. پیشنهاد می شود در صورتی که مطالب قبل را بخاطر ندارید حتما مروری بر بخش اول داشته باشید. در ادامه با نحوه انجام تنظیمات بین سوییچ ها یا Uplink MACsec آشنا می شویم.
رمزگذاری Switch-to-Switch MACsec یا Uplink MACsec:
همانطور که در تصویر مشاهده می کنید عمل رمزگذاری/رمز گشایی بین دو سوییچ انجام می گیرد. به این معنی که فریم ها در اینترفیس خروجی یک سوییچ تگ می خورند و در اینترفیس ورودی سوییچ بعدی تگ آن ها برداشته می شود. یعنی هنگام رسیدن یک فریم عمل رمز گذاری و رمز گشایی در هر سوییچ انجام می گیرد.
نکته بسیار مهم این است که مکانیزم MACsec بین سوییچ هایی که پورت آن ها Aggregate شده (Etherchannel) شده است می تواند مورد استفاده قرار گیرد. یعنی استاندارد 802.1AE می تواند بر روی این پورت ها نیز به درستی منتقل و به سوییچ بعدی برسد.
مد های تنظیمات MACsec به شکل switch-to-switch:
MACsec بین دو سوییچ را می توان در دو حالت فعال کرد. حالت دستی و حالت IEEE 802.1x البته هر کدام مزایا و معایبی نیز دارند مثلا از مزایا حالت دستی می توان راحتی در پیاده سازی، عدم نیاز به زیر ساخت dot1x، برای pilot deploymentها بهتر است و از معایب آن می توان scalable نبودن، عدم توانایی در مدیریت متمرکز سیاست و هیچ اعتبار سنجی از سوییچ ها صورت نمی گیرد. اما حالت IEEE 802.1x به NDAC برای اعتبار سنجی دستگاه ها نیاز دارد. و از مزایا آن می توان به مدیریت متمرکز سیاست ها، سوییچ های قدیمی از آن پشتیبانی نمی کنند پس از باید از مدار خارج شوند و کلید اصلی به صورت متمرکز نگه داری می شود. از نکات مهمی که قبل از پیاده سازی آن باید در نظر داشته باشید می توان به مورد نیاز بودن ACS/ISE، نیاز به تنظیمات 802.1x و برای پیاده سازی در مقیاس بالا بهتر پاسخگو خواهد بود.
حالت دستی:
مزایا:
– راحت در اجرا
– نیازی به زیرساخت dot1x نیست
نکات قابل توجه:
– مقیاس پذیر نیست
– بدون مدیریت متمرکز
– بدون اعتبار سنجی از سوییچ
حالت IEEE 802.1x:
مزایا:
– مدیریت متمرکز سیاست ها
– از بین رفتن سوییچ های قدیمی
– نگه داری کلید اصلی به صورت مرکزی
نکات قابل توجه:
– ACS یا ISE مورد نیاز است
– تنظیمات 802.1x مورد نیاز است
– برای بخش های بزرگ بهترین منتخب است
تنظیم MACsec بین دو سوییچ در حالت دستی:
قدم اول تنظیم دستی هر یک از اینترفیس ها در هر طرف خواهد بود. زمانی که وضعیت یک اینترفیس به صورت up است مراودات SAP نیازمند کلیدها هستند و شروع به کدگذاری می کنند. MACsec یک رمزگذاری نقطه به نقطه (Point-to-Point) است. تنظیمات بر روی هر کدام از پورت ها مورد نیاز است. برای فعال سازی دستورات زیر را در هر پورت وارد می کنیم.
حالت های مذاکره MACsec SAP بین سوییچ ها:
gcm-encrypt:
– آغاز کننده ارتباط را اعتبار سنجی و شروع به رمزگذاری داده می کند.
– زمانی استفاده می شود که محرمانگی مورد نیاز است.
gmac:
– آغاز کننده ارتباط را اعتبار سنجی می کند و رمزگذاری انجام نمی دهد.
– زمانی استفاده می شود که یکپارچگی مورد نیاز است.
no-encap:
– بدون کپسوله سازی. صرفا زمانی این حالت فعال است که سخت افزار از ویژگی MACsec پشتیبانی نکند.
null:
– صرفا encap. نه اعتبار سنجی و نه رمزگذاری انجام می گیرد. برای Security group access tagging مورد استفاده قرار می گیرد.
نحوه بررسی و تصدیق فعال بودن MACsec بر روی سوییچ ها در حالت دستی:
Show cts int t5/1
Global Dot1x feature is Enabled
Interface TenGigabitEthernet 5/1
CTS is enabled, mode: MANUAL
IFC State: OPEN
Authentication Status: NOT APPLICABLE
Peer identity: “unknown”
Peer’s advertised capabilities: “sap”
Authorization Status: NOT APPLICABLE
SAP Status: SUCCEEDED
Version: 2
Configured pairwise ciphers
gcm-encrypt
gmac
null
no-encap
Replay protection: enabled
Replay protection mode: STRICT
Selected cipher: gcm-encrypt
تنظیم MACsec بین دو سوییچ در حالت IEEE 802.1x:
همانطور که در تصویر زیر مشاهده می کنید ویژگی ها در حالت dot1x بسیار بیشتر و نیازمند زمان بیشتری برای پیاده سازی خواهد بود. در ادامه به توضیح عوامل و پارامتر های شرکت کننده در ارتباط می پردازیم.
درخواست کننده NDAC: یک سوییچ که به عنوان درخواست کننده عمل می کند و اعتبار سنجی می شود قبل از اینکه خود به یک اعتبار سنج تبدیل شود.
سرور اعتباری سنجی: یک RADIUS سرور گواهی نامه درخواست کننده را تایید و به عنوان قسمتی از NDAC سطح دسترسی که در خواست کننده باید دریافت کند را تعیین می کند. مواد کلید زدن اصلی را به درخواست کننده توزیع می کند.
دستورات فعال سازی بر روی سوییچ در حالت dot1x:
قدم اول: NDAC را فعال می کنیم. (اعتبار سنجی و تبادل کلید اصلی)
– NDAC (Network Device Admission Control) برای اعتبار سنجی دستگاه
– می تواند به عنوان یک ویژگی مستقل مورد استفاده قرار بگیرد زمانی که:
o صرفا اعتبار سنجی دستگاه مورد نیاز است.
o سخت افزاری که دارای ویژگی MACsec است در دسترس نباشد.
قدم دوم: فعال سازی MACsec (مذاکرات SAP برای تبادل کلیدها)
– پس از اعتبار سنجی SAP کلید های نشست و کلید های رمزگذاری را تبادل می کند.
– SAP بر روی مجموعه رمز مذاکره می کند.
اما اکنون این سوال پیش می آید که NDAC چیست و اساسا چه کاری انجام می دهد؟
– NDAC اعتبار سنج را اعتبار سنجی می کند.
– NDAC از 802.1x با EAP-FAST استفاده می کند.
– بهبود EAP-FAST:
o اعتبار سنجی اعتبار سنج
o به هر دستگاه از هویت دستگاه نظیرش اطلاع می دهد. (با استفاده از پیغام های RADIUS TLV)
– ابتدا دستگاه Seed اعتبار سنجی می شود سپس دستگاه های Non-Seed را اعتبار سنجی می کند.
چگونه NDAC را فعال کنیم؟
دستورات تنظیم سوییچ Seed:
aaa new-model
radius server ise
address ipv4 <ip address> auth-port 1812 acct-port 18-13
pac key <password>
aaa authentication dot1x default group radius
aaa authorization network cts group radius
aaa session-id common
cts authorization list cts
dot1x system-auth-control
!
Interface t5/1
Switchport mode trunk
cts dot1x
!
<exec mode> cts credentials id <userid> password <password>
دستورات تنظیم سوییچ non-seed:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa session-id common
dot1x system-auth-control
!
Interface t5/1
Switchport mode trunk
cts dot1x
!
<exec mode> cts credentials id <user id> password <password>
نحوه فعال سازی NDAC و تنظیمات آن بر روی ISE:
همانطور که گفته شد برای پیاده سازی در حالت IEEE 802.1x نیاز به ISE خواهد بود در اینجا نحوه فعال سازی NDAC بر روی آن گفته می شود با این پیشفرض که شما دارای این زیر ساخت هستید.
نحوه فعال سازی MACsec بر روی سوییچ های Seed:
aaa new-model
radius server ise
address ipv4 <ip address> auth-port 1812 acct-port 1813
pac key <password>
aaa authentication dot1x default group radius
aaa authorization network cts group radius
aaa session-id common
cts authorization list cts
dot1x system-auth-control
!
Interface t5/1
Switchport mode trunk
cts dot1x
sap mode-list gcm-encrypt gmac null no-encap
!
<exec mode> cts credentials id <userid> password <password>
نحوه فعال سازی MACsec بر روی سوییچ های non-Seed:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa session-id common
dot1x system-auth-control
!
Interface t5/1
Switchport mode trunk
cts dot1x
sap mode-list gcm-encrypt gmac null no-encap
!
<exec mode> cts credentials id <userid> password <password>
نحوه بررسی و تصدیق فعال بودن MACsec بر روی سوییچ ها در حالت IEEE 802.1x:
اکنون به مزایا و معایب MAC sec می پردازیم:
مزایا:
– محرمانگی: MACsec با فراهم کردن رمزگذاری لایه ۲ بسیار قوی محرمانگی داده های ما را تضمین می کند.
– صحت: MACsec با بررسی های مکرر تمامیت داده ها باعث می شود که از عدم تغییر داده در مسیر اطمینان حاصل پیدا کنیم.
– انعطاف پذیری: شما می توانید به انتخاب خود MACsec را با استفاده از سیاست های متمرکز فعال کنید. در نتیجه با کمک این ویژگی می تواند به دستگاه های دیگری که امکان پیشتیبانی از MACsec را ندارند هم امکان داشتن دیگر مکانیزم های امنیتی داده می شود.
– هوش شبکه: بر عکس تکنیک های رمزگذاری لایه سه که اصطلاحا end-to-end هستند و محتوای پکت ها از دستگاه هایی که در مسیر از آن می گذرند پنهان می شود. MACsec پکت ها را در یک مکانیزم بین سوییچ ها در لایه ۲ رمزگذاری می کند. به شبکه اجازه می دهد که داده را بررسی و نظارت و نشانه گذاری کند و انتقال ترافیک بر اساس سیاست های از پیش تعریف شده انجام گیرد.
با وجود اینکه بوسیله MACsec امنیت داده قابل ملاحضه ای در اختیار ما قرار می گیرد اما محدودیت های نیز دارد که باید بر روی طراحی شبکه خود در نظر داشته باشید.
معایب:
– پشتیبانی توسط Endpointها: ویژگی MACsec بر روی همه Endpoint ها پشتیبانی نمی شود.
– پشتیبانی سخت افزاری: معمولا رمزگذاری Line-rate به سخت افزارهای به روز در سوییچ های لایه access نیاز دارد.
– یکپارچگی تکنولوژی: فعال کردن MACsec ممکن است بر روی عملکرد دیگر تکنولوژی ها که آن ها هم به سوییچ access متصل هستند تاثیر بگذارد مانند IP telephony. فهمیدن و تظبیق دادن این تکنولوژی ها برای یک استقرار موفق ضروری است.