تا %60 تخفیف خرید برای 6 نفر با صدور مدرک فقط تا
00 00 00

دوره آموزشی CCNP Security SENSS قسمت 5: MACSec

امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد
0 پسند
26 بازدید
0 نظر
1 ماه قبل

مکانیزمی تحح عنوان MACSec که توسط استاندارد IEEE 802.1AE به منظور تامین امنیت یک ارتباط Point-To-Point از طریق Ethernet را دارد. این مکانیزم را می توان کنار مکانیزم های دیگری همچون Internet Protocol Security(IPSec) و Secure Socket Layer(SSL) به منظور تعمین امنیت ارتباطات End-Yo-End قرار داد. این مکانیزم توانایی جلوگیری از حملات مختلف درون شبکه را دارد. برخی از این حملات که MACSec توانایی Prevention آنهارا دارد به شرح زیر هستند.

  • Denial Of Service (DOS)
  • Man in the middle (MITM)
  • PlayBack
  • Passive Wiretapping
  • Masquerading

مکانیزم MACSec توانایی Securing انواع پروتکل هارا دارد. از جمله این پروتکل ها:

  • Link Layer Discovery Protocol (LLDP)
  • Link Aggregation Control Protocol (LACP)
  • Dynamic Host Configuration Protocol (DHCP)
  • Address Resolution Protocol (ARP)

دوره آموزشی CCNP Security SENSS قسمت 5: MACSec

روش کار MACSec

این پروتکل وقتی در یک ارتباط Ethernet به صورت Point-To-Point فعال می شود یک Key بین هردو ردوبدل می شود که این Key بسته به حالت MACSec هم می توانید به صورت Static تعیین شود و یا حتی به صورت Dynamic ساخته شود.

توانایی های MACSec در یک ارتباط Ethernet به صورت Point-To-Point

Data Integrity: مکانیزم MACSec به منظور Data Entergy از روش ICV مخفف Integrity Check Value به این صورت است که بروی قاب Ethernet بسته ها دو Header جدید را وارد می کند یکی 8 Bit و دیگری 16 Bit تا درصورت رسیدن به مقصد این Header ها به منظور تایید کردن بسته ها Check شوند

Encryption: رمزگذاری تضمین می کند که داده های موجود در قاب اترنت توسط کسی که ترافیک موجود در پیوند را مشاهده می کند، قابل مشاهده نباشند، رمزگذاری MACsec اختیاری می باشد و توسط کاربر قابل تنظیم است.

نکته: درصورت فعال بودن MACSec بر روی یک رابط، مقدار Vlan Tag موجود در قاب توسط این مکانیزم Encrypted نمی شود و به صورت Clear Text ارسال می شود.

حالت های MACSec

به طور معمول MACSec به سه حالت قابل پیکربندی می باشد که به شرح زیر هستند

Static connectivity association key (CAK) mode: در این حالت دو Key در سمت دو طرف ساخته می شود و در بین یک دیگر به منظور کنترل ترافیک های Data Plane ردوبدل می شوند( توصیه می شود از این روش در بین ارتباطات Switch-To-Switch استفاده کنید )

Static secure association key (SAK) mode: برای امنیت لینک های Switch-To-Switch می توان از حالت امنیتی استاتیک SAK استفاده کرد. از این حالت فقط در صورتی استفاده کنید که دلیل قانع کننده ای برای استفاده از آن به جای حالت استاتیک CAK داشته باشید

این حالت توصیه شده برای پیوندهای Switch-To-Switch است.

Dynamic secure association key (SAK) mode: از این حالت زمانی استفاده می شود که ما می خواهیم یک ارتباط Switch-To-Host داشته باشیم. دستگاه Host باید از MACsec پشتیبانی کند و باید نرم افزاری را اجرا کند که به آن امکان می دهد یک اتصال امن MACsec را فعال کند.

پیاده سازی MACSec انواع مختلف و بسیار زیادی درحالت های مختلف و طراحی های مختلف دارد که ما نمیتونیم به همه آن ها بپردازیم و در دوره CCNP SENSS نیز MACSec تحت عنوان یک توضیح در رابطه آن وجود داشت

یکی از پیاده سازی های MACSec به صورت زیر برای شما قرار می دهیم

Switch(config)# mka policy mka_policy 
Switch(config-mka-policy)# key-server priority 200 
Switch(config-mka-policy)# macsec-cipher-suite gcm-aes-128 
Switch(config-mka-policy)# confidentiality-offset 30 
Switch(config-mka-policy)# end

نویسنده: امیرحسین تنگسیری نژاد

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...