ИЭЭЭ 802.1АЕ

Данная статья чрезмерно опирается на ссылки на первоисточники . Пожалуйста, улучшите эту статью, добавив вторичные или третичные источники . Найдите источники:   «IEEE 802.1AE» — новости   · газеты   · книги   · ученые   · JSTOR ( июнь 2016 г. ) ( Узнайте, как и когда удалить это сообщение )

IEEE 802.1AE (также известный как MACsec ) — это стандарт сетевой безопасности, который работает на уровне управления доступом к среде и определяет конфиденциальность и целостность данных без установления соединения для независимых протоколов доступа к среде. Он стандартизирован рабочей группой IEEE 802.1 . ^[1]

Управление ключами и создание безопасных ассоциаций выходят за рамки 802.1AE, но определены 802.1X-2010 .

Стандарт 802.1AE определяет реализацию объектов безопасности MAC (SecY), которые можно рассматривать как часть станций, подключенных к одной и той же локальной сети, обеспечивая клиенту безопасный сервис MAC. Стандарт определяет

• Формат кадра MACsec , который аналогичен кадру Ethernet , но включает дополнительные поля:
  • Security Tag , который является расширением EtherType .
  • Код аутентификации сообщения ( ICV )
• Ассоциации безопасного подключения , которые представляют группы станций, подключенных через однонаправленные защищенные каналы.
• Ассоциации безопасности внутри каждого безопасного канала. Каждая ассоциация использует свой собственный ключ (SAK). Внутри канала допускается более одной ассоциации с целью смены ключа без прерывания трафика (стандарт требует, чтобы устройства поддерживали как минимум две)
• по умолчанию шифров Набор GCM-AES-128 (режим Галуа/счетчик стандартного шифрования расширенного шифрования со 128-битным ключом)
  • GCM-AES-256 с использованием 256-битного ключа был добавлен в стандарт 5 лет спустя.

Тег безопасности внутри каждого кадра помимо EtherType включает в себя:

• номер ассоциации внутри канала
• номер пакета для обеспечения уникального вектора инициализации для алгоритмов шифрования и аутентификации, а также защиты от атаки повторного воспроизведения.
• дополнительный идентификатор безопасного канала (SCI) в масштабе всей локальной сети, который не требуется для соединений «точка-точка».

Стандарт IEEE 802.1AE (MACsec) определяет набор протоколов, отвечающих требованиям безопасности для защиты данных, проходящих через локальные сети Ethernet.

MACsec позволяет идентифицировать несанкционированные подключения к локальной сети и исключить их из связи внутри сети. Как и IPsec и TLS , MACsec определяет инфраструктуру безопасности, обеспечивающую конфиденциальность, целостность данных и аутентификацию источника данных .

Гарантируя, что кадр приходит от станции, которая заявила, что его отправила, MACSec может смягчить атаки на протоколы уровня 2.

История публикации:

• 2006 г. – Оригинальная публикация (802.1AE-2006). ^[2]
• 2011 г. - поправка 802.1AEbn добавляет к стандарту возможность использовать 256-битные ключи. (802.1AEbn-2011) ^[2]
• 2013 г. - поправка 802.1AEbw определяет наборы шифров GCM-AES-XPN-128 и GCM-AES-XPN-256, чтобы расширить номер пакета до 64 бит. (802.1AEbw-2013) ^[3]
• 2017 г. — поправка 802.1AEcg определяет устройства шифрования данных Ethernet. (802.1AEcg-2017) ^[4]
• 2018 – 802.1АЭ-2018 ^[5]

• Kerberos – использование билетов, позволяющее узлам, взаимодействующим через незащищенную сеть, безопасно подтверждать свою идентичность друг другу.
• Модель OSI § Уровень 2: Уровень канала передачи данных
• Виртуальная локальная сеть (VLAN) – любой широковещательный домен, разделенный и изолированный в компьютерной сети на уровне канала передачи данных.
• IEEE 802.11i-2004 (WPA2)
• Защищенный доступ Wi-Fi (WPA)
• Проводной эквивалент конфиденциальности (WEP)

• 802.1AE-2018 ( требуется регистрация )
• MACsec Toolkit — реализация набора инструментов исходного кода IEEE 802.1X-2010 (плоскость управления MACsec) и IEEE802.1AE (плоскость данных MACsec).