MACSEC と 検証
MACSEC
MACSECとは
MACSECとは一言でいうとL2で暗号化する技術です。
端末からSWやSW同士の接続間を暗号化するために用います。
暗号化や複合化を実施するためにICVの検証をするため、ピア間の認証も事実上、実施でき、また、リプレイ攻撃やWindowsize攻撃などにも設定で対応できたりします。
なぜMACSECか
MACSECを採用された理由はわかりません(´・ω・`)
ただ、上からMACSECを利用したいので検証してこいと雑な命を受けたので検証しました。
L2延伸するために利用すると聞き、また、スループットは求めないしセッション数も多くないと聞いたのでNATやIPSECも提案したのですが却下されました。
そのため検証することとなりました。
設定はCiscoの3650
暗号化されていることを確認しないといけないので、3650-2960-3650と接続し、2960にポートミラーリングの設定を行いました。
まずは設定方法なんですが、調べてもでてこない。
端末向けとTrustSecコラボのもの、またはASRしかでてこない。
シンプルに鍵交換して認証するだけなはずなので複雑なことはしたくないということで、いろいろ調査したら、Configuring MACsec MKA on an Interface using PSK ででてきた。
MKAとはMACsec Key Agreement のこと。
PSKとはPre Shared Keyのこと。
要はMACSEC用の鍵ポリシーと事前の共有鍵でできるということ。
なので、事前共有鍵さえやっておけばほぼデフォルトで検証できるってわけです。
詳細は以下
しかしつながらない
設定どおり実施するがつながらない。
そのため、2960を切り離して接続すると接続された。
2960が悪さをしているのはわかったがなんでだということで調査開始。
MACSECの認証フェーズの一部で802.1xのEAPOLを使っているっぽい・・・。
01-80-C2-00-00シリーズはSWは透過転送しないので2960で破棄されていたということだ。
というより、SW同士で終端するんだからSWが間に挟まったらだめですよね・・・。
それでもキャプチャはしたい
ということでばかHUBを用意したので明日キャプチャしてきます。
総評
仕組みを理解してないとはまります。
ってか当然だよなぁ。
ただ、マルチ認証もできると書いていたのでSWで終端しなくてもいいと思ってたんだが、CiscoのSWとかじゃなくMPLSやL2VPN上の話っぽいですね。
思い込みは厳禁です。