Estenda a criptografia MACSec pela ponte do provedor

11

Eu já fiz essa pergunta no SF, mas achei que poderia ser um ajuste melhor aqui.

É possível estender a criptografia MACSec através de uma ponte de provedor? A implementação típica do 802.1ad poderá encaminhar o quadro criptografado ou o encaminhamento quebrará a integridade do quadro?

Sei que o MACSec se destina à segurança salto a salto. Existem razões para não usar o MACSec para criptografia ponto a ponto em uma operadora ou outras considerações especiais que devem ser levadas em consideração?

A razão pela qual pergunto é que o hardware MACSec oferece criptografia de velocidade do fio a uma fração do custo típico associado à criptografia da camada 2.

Não tenho o representante para adicionar novas tags, mas fique à vontade para adicionar tags relevantes para MACSec, PBN, 802.1ad e 802.1ae etc.

ethernet security Roy
fonte

Respostas:

4

O MacSec (ou seja, 802.1ae-2006) é uma tecnologia de criptografia hop-by-hop ... Portanto, o MacSec com ponte de provedor não é possível hoje; No entanto, fala-se em relaxar a criptografia MacSec por salto

Mike Pennington
fonte
Mas se o quadro criptografado MACSec for encapsulado e marcado com S-VLAN na entrada, encaminhado pelo PBN e o encapsulamento S-VLAN será removido na saída do outro lado. Os comutadores de clientes não verão isso como um salto único, como no EoMPLS? Talvez suportado por um deslocamento de criptografia, para que a tag C-VLAN ainda esteja visível?
Roy
Obrigado pelo link, btw. Eu já tenho esse documento sentado na minha mesa, embora algumas delas são bastante incompreensível para mim :)
Roy
Se você ler a primeira página do artigo, explicará muito claramente que o PBN não é suportado atualmente ... "Esta nota explica por que o IEEE 802.1AE-2006 não inclui possibilidades de multi-salto que podem parecer 'interessantes' à primeira vista"
Mike Pennington
1
Bem, na entrada também diz "Esta nota explica por que essas pontes podem ser tratadas como um 'salto único'". Espero que você entenda por que acho isso um pouco confuso, especialmente considerando que o encapsulamento EoMPLS parece funcionar muito bem.
Roy
1

Pelo que entendi até agora, se o ponto de extremidade do MACsec onde colocar C-tag / adicionar o cabeçalho sec, o s-tag e o PBN encaminharam o quadro com base no s-tag que o endpoint do MACsec o criou deve funcionar. A imprecisão ocorre quando o PBN adiciona o tag s ao quadro que altera o FCS e possivelmente alerta o outro ponto de extremidade de que o quadro foi violado / modificado e, portanto, a integridade não pode ser validada. Eu não sou 100% nisso, mas é isso que eu acho que impede o MACsec de funcionar de ponta a ponta.

user6121
fonte
Para aqueles que apenas um pouco familiarizado com a terminologia Ethernet carrier: PBN : Provedor de Ponte de Rede , C-Tag : Cliente VLAN Tag, S-Tag : Serviço de VLAN Tag, FCS : Ethernet Frame Check Sequence
Jonathon Reinhart