uso do macsec (802.1ae) em complemento ao 802.1x em redes...

Wilson Rogério Lopes

LACNIC 27 / GTS 29

05/2017

Uso do MacSec (802.1ae) em

complemento ao 802.1x em redes

corporativas Controle de admissão e proteção man-in-the-middle

IEEE 802.1x

• Primeiro padrão - 802.1X-2001, update 802.1X-2004• Fornece mecanismo de autenticação para LAN• EAPoL (EAP over LAN)• 3 entidades – Suplicante, Autenticador, Servidor de Autenticação

Porta não autorizada

Porta autorizada

IEEE 802.1x

• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica

Suplicante

802.1X – EAP-TLS RADIUS

GE-1/0/2

SwitchRadius

EAPoLMAC: AA:AA:AA:AA:AA:01

Datacenter

IEEE 802.1x

• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica

Suplicante

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

GE-1/0/2

SwitchRadius

EAPoLMAC: AA:AA:AA:AA:AA:01

Datacenter

IEEE 802.1x

• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica

Suplicante

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

CertificadoCN: Wilson@corp

GE-1/0/2

SwitchRadius

EAPoLMAC: AA:AA:AA:AA:AA:01

Datacenter

IEEE 802.1x

• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica

Wilson

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

AuthC: OK

CertificadoCN: Wilson@corp

GE-1/0/2

SwitchRadius

MAC: AA:AA:AA:AA:AA:01

Datacenter

802.1x – Man-in-the-middle

• HUB conectado na porta do switch

Wilson

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

SwitchRadius

HUBMAC: AA:AA:AA:AA:AA:01

Datacenter

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

Wilson

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

SwitchRadius

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

Wilson

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

SwitchRadius

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

SwitchRadius

ATM

HUB

MAC: AA:AA:AA:AA:AA:01

Datacenter

MAC: AA:AA:AA:AA:AA:01

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

SwitchRadius

POS – Point of sale

HUB

MAC: AA:AA:AA:AA:AA:02

Datacenter

MAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:02

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

SwitchRadius

POS – Point of sale

HUB

MAC: AA:AA:AA:AA:AA:02

Datacenter

MAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:02

. Fraude

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

SwitchRadius

POS – Point of sale

HUB

MAC: AA:AA:AA:AA:AA:02

Datacenter

MAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:02

. Fraude

. Cópia de informação

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

SwitchRadius

POS – Point of sale

HUB

MAC: AA:AA:AA:AA:AA:02

Datacenter

MAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:02

. Fraude

. Cópia de informação

. Ataque às aplicações

• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link

802.1x – Man-in-the-middle

SwitchRadius

POS – Point of sale

HUB

MAC: AA:AA:AA:AA:AA:02

Datacenter

MAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:02

. Fraude

. Cópia de informação

. Ataque às aplicações

. Proliferação de malwares

. Ataques avançados (APT)

Efetividade

• Desconectar endpoint autorizado - TCP race condition

802.1x – Man-in-the-middle

Wilson

Switch

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

Efetividade

• Desconectar endpoint autorizado - TCP race condition

802.1x – Man-in-the-middle

Wilson

Switch

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

SYN

SYN

Efetividade

• Desconectar endpoint autorizado - TCP race condition

802.1x – Man-in-the-middle

Wilson

Switch

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

SYN + ACK

SYN + ACK

SYN + ACK

Efetividade

• Desconectar endpoint autorizado - TCP race condition

802.1x – Man-in-the-middle

Wilson

Switch

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

RST

RST

ACK

ACK ??

Mitigação

• 802.1x + VPN• ACL no switch• VPN only

802.1x – Man-in-the-middle

Wilson

Switch

Wilson

HUBMAC: AA:AA:AA:AA:AA:01

MAC: AA:AA:AA:AA:AA:01

Datacenter

ACL

XVPN

VPN

• Publicado em 2006• Criptografia ponto-a-ponto do payload do frame• Usado tipicamente para criptografar links lan-to-lan entre Datacenters• Cifra padrão - GCM-AES-128• CAK - Connectivity Association Key – pre-shared• SAK - Secure Association Keys – derivada da CAK, trocada periodicamente• KEK – Key Encription Key – criptografa a SAK• Servidor de chaves é eleito para a geração da SAK

IEEE 802.1ae - MacSec

• 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA)• MKA – MacSec Key Agreement• Depois de autenticado, inicia-se o processo MKA• MSK - Master Session Key – gerada na autenticação EAP pelo servidor de

autenticação (Radius)• Suplicante recebe a MSK no processo EAP• Switch recebe a MSK em um atributo radius• MSK usada para gerar a CAK• Switch sempre é o servidor de chaves (SAK)

802.1x + 802.1ae

Wilson

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

AuthC: OKMSK

CertificadoCN: Wilson@corp

SwitchRadius

MKA

CAK - SAK

MacSec

802.1x-2010

• Tráfego não 802.1ae é descartado pelo switch

Wilson

802.1X – EAP-TLS RADIUS

CertificadoCN: Wilson@corp

SwitchRadius

HUBMAC: AA:AA:AA:AA:AA:01

Datacenter

MAC: AA:AA:AA:AA:AA:01

MACSEC MASEC

x

802.1x-2010

Suporte

• Suplicante

Windows - Cisco anyconnect (NAM)Linux – WPA supplicant

• Autenticador (Switch)

Cisco 3650, 3850

• Servidor de autenticação (Radius)

Cisco ISEFreeRadius 2.x (à confirmar)

Referências

Identity-Based Networking Services: MAC Securityhttp://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/deploy_guide_c17-663760.html

MACsec Switch-host Encryption with Cisco AnyConnect and ISE Configuration Examplehttp://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/117277-config-anyconnect-00.html

MACsec: a different solution to encrypt network traffichttps://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/

802.1X-2010 - IEEE Standard for Local and metropolitan area networksPort-Based Network Access Controlhttps://standards.ieee.org/findstds/standard/802.1X-2010.html