1
MACsec in IEEE 802.X-2010 erforderlich?
Hallo,
generell wird IEEE 802.1X ja hauptsächlich zur Zugriffskontrolle in Netzwerken auf Switches oder Router umgesetzt. Nachdem ein Angriff darauf bekannt wurde, wurde in 2010 Mechanismen für eine sichere Verbindung hinzugefügt. Ganz explizit wird entweder ein "physikalisch sicheres" Netzwerk gefordert oder aber eine sichere Kommunikation, wobei sich die IEEE 802.1X-2010 Spezifikation dabei ausschließlich auf MACsec fokussiert und ein entsprechendes Key Management definiert.
Der Veröffentlicher des Angriffs auf IEEE 802.1X hatte als Gegenmaßnahme zu seinem Angriff auch IPsec erwähnt. Natürlich bin ich mir darüber im Klaren, dass bei IPsec die Pakete auf nur IP Layer gesichert werden, während MACsec das komplette Ethernet frame umfasst. Dennoch wollte ich fragen, ob - laut IEEE 802.1X-2010 - MACsec zwingend erforderlich ist oder allgemein eine "sichere Kommunikation" gefordert wird.
Viele Grüße und besten Dank im Voraus!
generell wird IEEE 802.1X ja hauptsächlich zur Zugriffskontrolle in Netzwerken auf Switches oder Router umgesetzt. Nachdem ein Angriff darauf bekannt wurde, wurde in 2010 Mechanismen für eine sichere Verbindung hinzugefügt. Ganz explizit wird entweder ein "physikalisch sicheres" Netzwerk gefordert oder aber eine sichere Kommunikation, wobei sich die IEEE 802.1X-2010 Spezifikation dabei ausschließlich auf MACsec fokussiert und ein entsprechendes Key Management definiert.
Der Veröffentlicher des Angriffs auf IEEE 802.1X hatte als Gegenmaßnahme zu seinem Angriff auch IPsec erwähnt. Natürlich bin ich mir darüber im Klaren, dass bei IPsec die Pakete auf nur IP Layer gesichert werden, während MACsec das komplette Ethernet frame umfasst. Dennoch wollte ich fragen, ob - laut IEEE 802.1X-2010 - MACsec zwingend erforderlich ist oder allgemein eine "sichere Kommunikation" gefordert wird.
Viele Grüße und besten Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291660
Url: https://administrator.de/contentid/291660
Printed on: April 25, 2024 at 00:04 o'clock
1 Comment
Nein, das ist nicht zwingend erforderlich. Derzeit hat keiner der Hersteller am Markt die verabschiedete 802.1X-2010-Spezifikation umgesetzt die die .1x Daten per Macsec verschlüsselt. In so fern stellt sich die Frage gar nicht erst.
Die Umsetzung der 802.1X-2010-Spezifikation setzt aber die Macsec Verschlüsselung der Userdaten zwingend voraus.
Als Interims Lösung nutzen Hersteller den Support von gleichzeitigen Authentifizierungssitzungen auf einem einzelnen Port. Das löst das Man in the Middle Problem aber nur halbherzig, denn es ist weiterhin möglich die authentifizierte MAC-Adresse anzunehmen oder einen EAPOL-Logoff-Angriff durchzuführen.
Da muss man warten bis das entsprechend umgesetzt ist. Das ist sehr stark Hardware abhängig (Chipset) deshalb wird man da wohl immer den einen oder anderen HW Zyklus abwarten.
Die Umsetzung der 802.1X-2010-Spezifikation setzt aber die Macsec Verschlüsselung der Userdaten zwingend voraus.
Als Interims Lösung nutzen Hersteller den Support von gleichzeitigen Authentifizierungssitzungen auf einem einzelnen Port. Das löst das Man in the Middle Problem aber nur halbherzig, denn es ist weiterhin möglich die authentifizierte MAC-Adresse anzunehmen oder einen EAPOL-Logoff-Angriff durchzuführen.
Da muss man warten bis das entsprechend umgesetzt ist. Das ist sehr stark Hardware abhängig (Chipset) deshalb wird man da wohl immer den einen oder anderen HW Zyklus abwarten.
1
