IEEE 802.1ae / MACsec - Media Access Control Security
Media Access Control Security, kurz MACsec, ist ein Protokoll zur Verschlüsselung auf Schicht 2 (OSI-Schichtenmodell) und wird zur Absicherung in kabelgebundenen lokalen Netzwerken mit Ethernet verwendet.
Während sich der Standard IEEE 802.1x nur um die Authentifizierung beim Zugang eines Netzwerks kümmert, ist mit dem Standard IEEE 802.1ae zusätzlich die Verschlüsselung der Datenübertragung definiert.
MACsec schützt vor Angriffen wie Session Spoofing und Replay-Angriffen, die innerhalb von Netzwerken auf Schicht 2 stattfinden können, wenn der Angreifer sich im lokalen Netzwerk befindet. Durch die Implementierung von MACsec wird die Vertraulichkeit und Integrität der Datenübertragung gewährleistet.
Trotz der Sicherheitsvorteile ist zu beachten, dass MACsec keine Ende-zu-Ende-Verschlüsselung bietet, sondern jedes MACsec-System die Daten im Klartext lesen und auswerten kann. Daher sollten die MACsec-Endpunkte im eigenen Zuständigkeitsbereich liegen.
Funktionsweise und Anwendung von MACsec
Das Protokoll MACsec arbeitet portbasiert auf Switches und Routern. Die hardwarenahe Implementierung ermöglicht eine hohe Geschwindigkeit, was eine Verschlüsselung mit maximaler Übertragungskapazität ermöglicht.
MACsec kann in zwei Hauptszenarien eingesetzt werden:
- Verschlüsselte Übertragung zwischen Supplicant und Authenticator.
- Verschlüsselung des Datenverkehrs zwischen einem Switch und einem Router.
1. Verschlüsselte Übertragung zwischen Supplicant und Authenticator
Im Rahmen der Authentifizierung von Endgeräten an einem Netzwerk sind im Standard IEEE 802.1x ein Supplicant (z. B. Endgerät oder Client) und ein Authenticator (z. B. Switch) definiert. Der Datenverkehr zwischen einem Supplicant und einem Authenticator wird mit MACsec verschlüsselt. Zuvor erfolgt die Authentifizierung über den Authenticator zum Authentication Server.
2. Port-basiert Verschlüsselung zwischen Switch und Router
Verbindet man Netzwerk auf Schicht 2 (mit Ethernet) verwendet man dafür fremde Leitungsnetze oder angemietete Glasfasern (Dark Fibre), die außerhalb des eigenen Zuständigkeitsbereichs liegen. Mit MACsec kann man diese Verbindungen absichern.
Schlüsselverteilung
Zur Verschlüsselung der Datenübertragung müssen beide Seiten über Schlüssel zum Ver- und Entschlüsseln verfügen. Die Schlüsselverteilung für MACsec kann entweder statisch oder dynamisch erfolgen.
- Bei der statischen Schlüsselverteilung werden fest konfigurierte Schlüssel verwendet, die auf beiden Seiten eines Links übereinstimmen müssen.
- Die dynamische Schlüsselverteilung erfolgt über das MACsec Key Agreement (MKA), das nach erfolgreicher Authentifizierung zwischen Supplicant und Authenticator Sicherheitsschlüssel aushandelt.
MACsec-Frame
Zur Nutzung von MACsec ist das Ethernet-Frame angepasst. Ein MACsec-Frame ähnelt einem Ethernet-Frame, enthält jedoch zusätzliche Header für die Verschlüsselungsinformationen, darunter ein „Security Tag“ und den „Integrity Check Value“ (ICV).
Weitere verwandte Themen:
- IEEE 802.3 / Ethernet-Grundlagen
- Ethernet-Standards von IEEE 802.3
- Ethernet-Frame
- IEEE 802.1x / RADIUS
Lernen mit Elektronik-Kompendium.de
Noch Fragen?
Bewertung und individuelles Feedback erhalten
Aussprache von englischen Fachbegriffen
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Alles was du über Netzwerktechnik wissen solltest.
