Uso do MacSec (802.1ae) em complemento ao 802.1x em redes...
Transcript of Uso do MacSec (802.1ae) em complemento ao 802.1x em redes...
Wilson Rogério Lopes
LACNIC 27 / GTS 29
05/2017
Uso do MacSec (802.1ae) em
complemento ao 802.1x em redes
corporativas Controle de admissão e proteção man-in-the-middle
IEEE 802.1x
• Primeiro padrão - 802.1X-2001, update 802.1X-2004• Fornece mecanismo de autenticação para LAN• EAPoL (EAP over LAN)• 3 entidades – Suplicante, Autenticador, Servidor de Autenticação
Porta não autorizada
Porta autorizada
IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica
Suplicante
802.1X – EAP-TLS RADIUS
GE-1/0/2
SwitchRadius
EAPoLMAC: AA:AA:AA:AA:AA:01
Datacenter
IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica
Suplicante
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
GE-1/0/2
SwitchRadius
EAPoLMAC: AA:AA:AA:AA:AA:01
Datacenter
IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica
Suplicante
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
CertificadoCN: Wilson@corp
GE-1/0/2
SwitchRadius
EAPoLMAC: AA:AA:AA:AA:AA:01
Datacenter
IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado• Tráfego permitido até queda do link ou re-autenticação periódica
Wilson
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
AuthC: OK
CertificadoCN: Wilson@corp
GE-1/0/2
SwitchRadius
MAC: AA:AA:AA:AA:AA:01
Datacenter
802.1x – Man-in-the-middle
• HUB conectado na porta do switch
Wilson
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
SwitchRadius
HUBMAC: AA:AA:AA:AA:AA:01
Datacenter
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Wilson
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
SwitchRadius
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Wilson
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
SwitchRadius
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
SwitchRadius
ATM
HUB
MAC: AA:AA:AA:AA:AA:01
Datacenter
MAC: AA:AA:AA:AA:AA:01
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
SwitchRadius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
SwitchRadius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
SwitchRadius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
. Cópia de informação
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
SwitchRadius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
. Cópia de informação
. Ataque às aplicações
• HUB conectado na porta do switch• Cliente autenticado• Mac-address clonado pelo atacante• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
SwitchRadius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
. Cópia de informação
. Ataque às aplicações
. Proliferação de malwares
. Ataques avançados (APT)
Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
SYN
SYN
Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
SYN + ACK
SYN + ACK
SYN + ACK
Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
RST
RST
ACK
ACK ??
Mitigação
• 802.1x + VPN• ACL no switch• VPN only
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
ACL
XVPN
VPN
• Publicado em 2006• Criptografia ponto-a-ponto do payload do frame• Usado tipicamente para criptografar links lan-to-lan entre Datacenters• Cifra padrão - GCM-AES-128• CAK - Connectivity Association Key – pre-shared• SAK - Secure Association Keys – derivada da CAK, trocada periodicamente• KEK – Key Encription Key – criptografa a SAK• Servidor de chaves é eleito para a geração da SAK
IEEE 802.1ae - MacSec
• 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA)• MKA – MacSec Key Agreement• Depois de autenticado, inicia-se o processo MKA• MSK - Master Session Key – gerada na autenticação EAP pelo servidor de
autenticação (Radius)• Suplicante recebe a MSK no processo EAP• Switch recebe a MSK em um atributo radius• MSK usada para gerar a CAK• Switch sempre é o servidor de chaves (SAK)
802.1x + 802.1ae
Wilson
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
AuthC: OKMSK
CertificadoCN: Wilson@corp
SwitchRadius
MKA
CAK - SAK
MacSec
802.1x-2010
• Tráfego não 802.1ae é descartado pelo switch
Wilson
802.1X – EAP-TLS RADIUS
CertificadoCN: Wilson@corp
SwitchRadius
HUBMAC: AA:AA:AA:AA:AA:01
Datacenter
MAC: AA:AA:AA:AA:AA:01
MACSEC MASEC
x
802.1x-2010
Suporte
• Suplicante
Windows - Cisco anyconnect (NAM)Linux – WPA supplicant
• Autenticador (Switch)
Cisco 3650, 3850
• Servidor de autenticação (Radius)
Cisco ISEFreeRadius 2.x (à confirmar)
Referências
Identity-Based Networking Services: MAC Securityhttp://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/deploy_guide_c17-663760.html
MACsec Switch-host Encryption with Cisco AnyConnect and ISE Configuration Examplehttp://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/117277-config-anyconnect-00.html
MACsec: a different solution to encrypt network traffichttps://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
802.1X-2010 - IEEE Standard for Local and metropolitan area networksPort-Based Network Access Controlhttps://standards.ieee.org/findstds/standard/802.1X-2010.html