IEEE 802.1AE

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

802.1AE הוא תקן של IEEE שמגדיר את פרוטוקול האבטחה Media Access Control Security (ראשי תיבות: MACsec) הנועד לתת הגנה לחבילות Ethernet.

רקע

IEEE 802.1AE התפרסם לראשונה ב-2006 עם הרחבות שהתווספו במשך השנים וגרסתו האחרונה פורסמה ב-2013.

בשונה מפרוטוקול IPSec הנועד לחבילות IP בשכבת הרשת, MACsec נועד לחבילות Ethernet בשכבת הקו.

בדומה ל-IPSec, הפרוטוקול נועד למנוע ניצול של חולשות הפרוטוקול על ידי הצפנת תוכן החבילה. ההתקפה העיקרית שאותה הפרוטוקול מונע הוא רחרוח חבילות אך גם מונע גניבת זהות והתקפת שליחה מחדש (Replay Attack). התקפות אלה יכולות להיות מושגות על ידי טכניקות כגון האזנת סתר, התקפת אדם באמצע או "התחזות" כתובת MAC.

מושגים

  • KAY (ראשי תיבות: "MAC Security Key Agreement Entity")- המפתח שמצפין את תוכן החבילה
  • SC (ראשי תיבות: "Secure Channel")- הערוץ הווירטואלי שאליו משויכת החבילה. המספר המזהה של הערוץ נקרא SCI (ראשי תיבות: "Secure Channel Identifier") והוא מהווה שדה בפרוטוקול. SC משויך לשולח מסוים (מעל ה-MAC יכולים להיות מספר שולחים שונים). ה-SC הוא חד צדדי, כלומר שה-SCI שבו משתמש צד אחד לקבלת חבילה לא יכול להיות זהה ל-SCI של הצד השני.
  • SA (ראשי תיבות: "Secure Association")- תת-ערוץ וירטואלי שאליו משויכת החבילה. SC יכול להכיל מספר מרובה של SA. מספר המזהה של התת-ערוץ נקרא AN (ראשי תיבות: "Association Number") והוא ייחודי בתוך ה-SC .ה-AN מהווה שדה בפרוטוקול.
  • PN (ראשי תיבות: "packet number")- מספר סידורי עולה הייחודי עבור כל חבילה שנשלחה מתת-ערוץ מסוים.

כל SA משויך ל-KAY מסוים. לכן בעזרת שילוב השדות AN ו-SCI יכול הצד המקבל לקבוע את המפתח שישמש אותו לפענוח החבילה.

אופן פעולה

כאשר צד שולח רוצה לשלוח חבילות MACsec, הוא צריך ליידע את הצד המקבל על המפתח (KAY) בשביל לפענח את החבילות שנשלחו (במקרה של מפתח סימטרי מדובר באותו מפתח שמשמש להצפנה, אבל MACsec לא מוגבל להצפנה סימטרית ולכן יכול לשלוח גם מפתח ציבורי). משתמש יכול לקבוע את המפתח באופן ידני בצד המקבל או לשלוח אותו בעזרת פרוטוקולים המיועדים להחלפת מפתחות. המפתח נשלח יחד עם ה-SCI וה-AN התואמים. בשלב זה יכול הצד השולח לשלוח חבילות.

שולח אחר יכול לשלוח חבילות עם SCI ו-AN ייחודיים עבורו לאותו צד מקבל. הצד המקבל יידע לפענח את החבילה עם המפתח המתאים על ידי שדות אלו.

מטעמי אבטחה, יש מספר מוגבל של חבילות שיכולות להישלח עם מפתח זהה. לכן כאשר ה-PN מגיע לסף מסוים המסמן התקרבות להגבלה זאת, ה-SC צריך להתחיל ליצור SA ו-KAY חדשים וליידע את הצד המקבל עליהם. כך, הצד השולח יכול לשלוח חבילות בלי לשנות SC. למעשה, המטרה של התת-ערוץ היא להתמודד על החלפת המפתחות כך שכל שולח יוכל להישאר עם SCI קבוע.

Crystal Clear app ktalkd.png ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום למכלול ולהרחיב אותו.
Logo hamichlol 3.png
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0