לדלג לתוכן

IEEE 802.1AE

מתוך ויקיפדיה, האנציקלופדיה החופשית

802.1AE הוא תקן של IEEE שמגדיר את פרוטוקול האבטחה Media Access Control Security (ראשי תיבות: MACsec) הנועד לתת הגנה לחבילות Ethernet.

IEEE 802.1AE התפרסם לראשונה ב-2006 עם הרחבות שהתווספו במשך השנים וגרסתו האחרונה פורסמה ב-2013.

בשונה מפרוטוקול IPSec הנועד לחבילות IP בשכבת הרשת, MACsec נועד לחבילות Ethernet בשכבת הקו.

בדומה ל-IPSec, הפרוטוקול נועד למנוע ניצול של חולשות הפרוטוקול על ידי הצפנת תוכן החבילה. ההתקפה העיקרית שאותה הפרוטוקול מונע הוא רחרוח חבילות אך גם מונע גנבת זהות והתקפת שליחה מחדש (Replay Attack). התקפות אלה יכולות להיות מושגות על ידי טכניקות כגון האזנת סתר, התקפת אדם באמצע או "התחזות" כתובת MAC.

  • KAY (ראשי תיבות: "MAC Security Key Agreement Entity")- המפתח שמצפין את תוכן החבילה
  • SC (ראשי תיבות: "Secure Channel")- הערוץ הווירטואלי שאליו משויכת החבילה. המספר המזהה של הערוץ נקרא SCI (ראשי תיבות: "Secure Channel Identifier") והוא מהווה שדה בפרוטוקול. SC משויך לשולח מסוים (מעל ה-MAC יכולים להיות מספר שולחים שונים). ה-SC הוא חד צדדי, כלומר שה-SCI שבו משתמש צד אחד לקבלת חבילה לא יכול להיות זהה ל-SCI של הצד השני.
  • SA (ראשי תיבות: "Secure Association")- תת-ערוץ וירטואלי שאליו משויכת החבילה. SC יכול להכיל מספר מרובה של SA. מספר המזהה של התת-ערוץ נקרא AN (ראשי תיבות: "Association Number") והוא ייחודי בתוך ה-SC .ה-AN מהווה שדה בפרוטוקול.
  • PN (ראשי תיבות: "packet number")- מספר סידורי עולה הייחודי עבור כל חבילה שנשלחה מתת-ערוץ מסוים.

כל SA משויך ל-KAY מסוים. לכן בעזרת שילוב השדות AN ו-SCI יכול הצד המקבל לקבוע את המפתח שישמש אותו לפענוח החבילה.

אופן פעולה

[עריכת קוד מקור | עריכה]

כאשר צד שולח רוצה לשלוח חבילות MACsec, הוא צריך ליידע את הצד המקבל על המפתח (KAY) בשביל לפענח את החבילות שנשלחו (במקרה של מפתח סימטרי מדובר באותו מפתח שמשמש להצפנה, אבל MACsec לא מוגבל להצפנה סימטרית ולכן יכול לשלוח גם מפתח ציבורי). משתמש יכול לקבוע את המפתח באופן ידני בצד המקבל או לשלוח אותו בעזרת פרוטוקולים המיועדים להחלפת מפתחות. המפתח נשלח יחד עם ה-SCI וה-AN התואמים. בשלב זה יכול הצד השולח לשלוח חבילות.

שולח אחר יכול לשלוח חבילות עם SCI ו-AN ייחודיים עבורו לאותו צד מקבל. הצד המקבל יידע לפענח את החבילה עם המפתח המתאים על ידי שדות אלו.

מטעמי אבטחה, יש מספר מוגבל של חבילות שיכולות להישלח עם מפתח זהה. לכן כאשר ה-PN מגיע לסף מסוים המסמן התקרבות להגבלה זאת, ה-SC צריך להתחיל ליצור SA ו-KAY חדשים וליידע את הצד המקבל עליהם. כך, הצד השולח יכול לשלוח חבילות בלי לשנות SC. למעשה, המטרה של התת-ערוץ היא להתמודד על החלפת המפתחות כך שכל שולח יוכל להישאר עם SCI קבוע.


ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.