Estendi la crittografia MACSec sul bridge del provider

11

Ho già fatto questa domanda su SF, ma ho pensato che potesse adattarsi meglio qui.

È possibile estendere la crittografia MACSec su un bridge provider? La tipica implementazione 802.1ad sarà in grado di inoltrare il frame crittografato o l'inoltro interromperà l'integrità del frame?

Realizzo che MACSec è destinato alla sicurezza hop-by-hop. Esistono motivi per non utilizzare MACSec per la crittografia punto a punto su un operatore telefonico o altre considerazioni speciali da tenere in considerazione?

Il motivo per cui lo chiedo è che l'hardware MACSec offre la crittografia wirepeed a una frazione del costo tipico associato alla crittografia layer 2.

Non ho il rappresentante per aggiungere nuovi tag, ma sentiti libero di aggiungere tag rilevanti per MACSec, PBN, 802.1ad e 802.1ae ecc

ethernet  security 
Roy
fonte

Risposte:

4

MacSec (ovvero 802.1ae-2006) è una tecnologia di crittografia hop-by-hop ... Pertanto MacSec con bridge provider non è possibile oggi; tuttavia, si parla di una rilassante crittografia MacSec per hop

Mike Pennington
fonte
Ma se il frame crittografato MACSec viene incapsulato e taggato con S-VLAN all'ingresso, inoltrato attraverso il PBN e l'incapsulamento S-VLAN viene rimosso all'uscita dall'altro lato. Gli switch dei clienti non vedranno questo come un singolo hop, proprio come con EoMPLS? Forse supportato da un offset di crittografia, quindi il tag C-VLAN è ancora visibile?
Roy,
Grazie per il link, a proposito. Ho già quel documento seduto sulla mia scrivania, anche se in parte è abbastanza incomprensibile per me :)
Roy
Se leggi la prima pagina del documento, spiega molto chiaramente che PBN non è supportato oggi ... "Questa nota spiega perché IEEE 802.1AE – 2006 non include possibilità multi-hop che potrebbero sembrare" interessanti "a prima vista"
Mike Pennington,
1
Bene, nell'ingresso si dice anche "Questa nota spiega perché questi ponti possono essere trattati come un 'hop singolo'". Spero che tu possa capire perché lo trovo un po 'confuso, soprattutto considerando che l'incapsulamento EoMPLS sembra funzionare bene.
Roy,
1

Da quello che raccolgo finora se l'endpoint MACsec dove aggiungere il tag C / quindi aggiungere l'intestazione sec, quindi l's-tag e il PBN hanno inoltrato il frame in base all'etichetta s che l'endpoint MACsec ha creato dovrebbe funzionare. La confusione arriva quando il PBN aggiunge il tag s al frame che cambia l'FCS e probabilmente avvisa l'altro endpoint che il frame è stato manomesso / modificato e quindi l'integrità non può essere convalidata. Non ci credo al 100%, ma è quello che penso che MACsec continui a funzionare.

user6121
fonte
Per chi ha una certa familiarità con la terminologia Ethernet del vettore: PBN : Provider Bridge Network , Tag C : Tag VLAN cliente, Tag S : Tag VLAN servizio, FCS : Sequenza di controllo frame
Jonathon Reinhart
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.