続:MACSEC
検証結果
MACSECのフレーム
MACSECのセッションが張れたのは昨日までの話。
キャプチャするにあたってフレームフォーマットを確認する。
DMAC:SMAC:802.1ea:データ:ICV:CRC
となっている。
キャプチャデータも同様になっていたらOKだ。
キャプチャデータ
内容は試験室のPCにあるので貼れない。
ここは自分たちの目で見てほしい。
ただ、やったことを記載していく。
PC - 3650 - HUB - 3650 - PC
L PC
上記の構成でキャプチャを行った。
3650間についてはTrunkの設定をした状態と、VLANの設定なしの状態で実施した。
一応、暗号化されていることを確認するために生データも上記の構成で取得した。
比較対象とするためだ。
キャプチャデータの比較
802.1aeのフレームやICVがあったのでDIFFではなく目で確認したのだが、MACSECフレームのデータ部に生データと同じ配列が見受けられた。
内容を確認すると、IPアドレスである。
MACSECではIPレイヤまで暗号化するとうたっていたが、内容をよくみるとIPアドレスがしっかりと生で記載されていた・・・。
いくつかのIPアドレスで試行錯誤したが生データであった。
また、VLANの設定を実施しているデータについては、VLAN番号も生で記載されていた・・・。
ちなみにデータ部については暗号化されていた。
結論
設定がほぼデフォルトなので暗号化のレベル鍵を複雑化させようと思ったが、MACSECを名乗っている以上、IPレイヤはどんな強度でもいいので暗号化されるべきだと考えたため、これ以上はやめた。
そのため、データ部を隠蔽したいのであれば使えるがIP部やVLANなどを隠蔽したいのであれば使えないということになった。
しかし、上記で詳細は書いてないが、スループットについてはショート・ロングともに暗号化前とほぼ変化なしなので、IPSECでスループット問題に悩まされているのであれば使用価値はある。
総評
フォーマットを信用してデータ部を見てなかったら気づかなかった。
気づいたのは後輩に暗号化されていることをデータ部を見た上で教えたかったためしっかりと確認しようとしたからだ。
まぁ、IP隠れてないねってお互い顔を見合わせて笑えたのでよしとしよう。
とりあえず、Ciscoの3650においてのMACSECではIP部やVLAN部は丸見えなので妄信しないように。