Em reuniões que participo com alguns clientes estratégicos, a sua principal narrativa é: "Eu quero uma rede IP/MPLS onde eu conecto minhas Filias à Matriz em circuitos privados, e assim não preciso me preocupar com a segurança do tráfego oriundo das filiais. Uma vez que todo tráfego é redirecionado para o ponto concentrador, meu FIREWALL fica responsável por controlar todo o acesso à Internet, assim eu administro quem entra e que saia da rede."
Parece uma boa solução, entretanto, eu faço algumas perguntas: "Você controla o acesso físico de todos os elementos de rede da sua empresa?", "Possui pelo menos alguma política de 'port-security' (ou similar) aplicada no Switches?" Ou ainda "Já possui 802.1x na sua LAN ?".
A resposta para quase todas é "SIM".
Parece clichê, mas o que fazer quando o 802.1x (sozinho) não consegue me proteger?
Por isso meu tema é: Como o 802.1x e 802.1ae reforçam a segurança das redes corporativas.
Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...
802.1X 802.1AE segurança redes
1. Como o 802.1X & 802.1AE reforçam a
segurança das redes corporativas
2. • Graduado em Redes de computadores.
Profissional certificado FreeBSD
S.S.A, e Linux LPI-C, Instrutor
Cisco Network Academy (CCNA-ITQ).
• Atualmente trabalha como Analista
de Redes e Analista comercial na
CEMIGTelecom, uma operadora de
telecomunicações que pertence ao
Grupo CEMIG (um dos mais sólidos e
importantes grupos do segmento de
energia elétrica do Brasil)
• Instrutor do Curso Técnico em
Redes de computadores no SENAC-MG.
2
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
root@localhost:~ % pw user show -n lucas.franca -P
Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
3. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
3
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
• Funcionamento do 802.1X
• Escopo, responsabilidades e limitações do 802.1X
• Vuln – Man in the Middle Attack
• 802.1AE MACsec
• 802.1X + 802.1AE
• Resolvendo problemas de MITM com 802.1X-2010
• MACsec, uma breve comparação com IPsec
4. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
4
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
5. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
5
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
6. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
6
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
7. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
7
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
8. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
8
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
9. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
9
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
10. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
10
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
11. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
11
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1X
Port-based Network Access Control (PNAC)
• Criado em 2001
• Extensible Authentication Protocol (EAP) – (framework)
• Remote Authentication Dial-IN User Service(RADIUS)
EAPoL (EAP over LAN) – Encapsulado em frame Ethernet
Fonte: Imagens ¹ ² retiradas da Internet - https://www.cisco.com/
12. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
12
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Inicialização
(sem tráfego)
13. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
13
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Alguém
novo por aí ?
EAP- Request
14. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
14
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Olá, eu sou o
Coruja
EAP-Response
15. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
15
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Olá Server, o Coruja
está aqui
RADIUS
16. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
16
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
RADIUS
Pergunta se nós
podemos
conversar no
Privado
17. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
17
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
E aí Coruja,
você pode?
18. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
18
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Claro, aqui estão
minhas
credenciais
19. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
19
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
RADIUS
Aqui estão as
credenciais do
Coruja
20. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
20
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
RADIUS
Eu verifiquei aqui
e está tudo certo!
Deixe ele entrar
21. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
21
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Porta UP
(Todo tráfego liberado)
22. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
22
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Fora do escopo do 802.1X
• Endpoint Autenticado = Porta Autenticada = MAC autorizado
• Tráfego permitido
• Man in the Middle
Fonte: Imagem retirada da Internet - https://www.ssldragon.com/
30. • Publicado em 2006
• Criptografia ponto-a-ponto do Payload do frame
• Criptografar links Lan-to-Lan entre Datacenters
• Cifra padrão GCM-AES-128 (recomendável AES-256)
• CAK – Connectivity Association Key – (Pre-shared)
• SAK – Secure Association Keys – (derivada da CAK, trocada periodicamente – x segundos)
• KEK – Key Encription Key – (criptografa a SAK)
• ICK – Integrity Check Key (usado para autorizar estabelecimento de um peer)
• KS – Key Server – (Servidor de chaves é eleito para a geração da SAK – Normalmente o Switch-to-Switch)
Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
30
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE - MACsec
CAK
SAK ICK KEK
31. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
31
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
32. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
32
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
DMAC SMAC 802.1AE Header 802.1Q Ethertype PAYLOAD ICV CRC
16 Bytes 16 Bytes
33. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
33
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
DMAC SMAC 802.1AE Header 802.1Q Ethertype ICV CRC
MACsec EtherType TCI / AN SL Packet Number SCI
Criptografado
16 Bytes 16 Bytes
PAYLOAD
0x88e5
34. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
34
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
DMAC SMAC 802.1AE Header 802.1Q Ethertype ICV CRC
MACsec EtherType TCI / AN SL Packet Number SCI
Criptografado
16 Bytes 16 Bytes
DMAC
802.1AE
Header
i%h3£=-12fAD’$%*7(‘#@!¬¢£2}º25+sfT%²³K,Csd/,;q1*//*@5r&¨¬
PAYLOAD
0x88e5
SMAC ICV CRC
35. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
35
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1x + 802.1ae 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA)
Fonte: Imagem retirada da Internet - https://www.cisco.com/
• MKA – MacSec Key Agreement
• Depois do 802.1X, inicia-se o processo MKA
• MSK - Master Session Key
Gerada na autenticação EAP pelo Radius – O
Switch recebe a MSK usando parte do
Handshake (através do EAP-TLS) AAA com o
servidor Radius
• Suplicante recebe a MSK no processo EAP
• Instalação da SAK no Supplicant
• Tráfego criptografado
37. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
37
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
MACsec x IPsec - Encryption Speed
Fonte- https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/white-paper-c11-737544.html
• Teste com IPsec feito em um Cisco ESP-200
• A velocidade para criptografar NÃO é associado à
interface
• Em uma interface 100 Gbps, os IPsec engines de
Maior desempenho conseguem um Throughput de 75
Gbps em pacotes de 1400 bytes Unidirecional, se
considerar Full-Duplex: ~37Gbps
• MACSec oferece Line-rate por porta (1/10/40/100Gbps)
Bidirecional (Full-Duplex) independente do tamanho do
pacote.
• Ao contrário do IPsec que utiliza Circuitos integrados de
aplicação específica (ASICs), o MACsec pode ser
habilitado na própria interface, através do Tomahawk
Network Processors.
• MACsec não substitui o IPsec, principalmente quando
tráfego precisa ser roteado pelo tráfego público
(Internet).
• MACsec poderá ser útil com a “Internet das Coisas”
38. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
38
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Fonte: Imagens retiradas da Internet - https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/white-paper-c11-737544.html
MACsec x IPsec - Encryption Speed
39. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
39
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
supplicant
40. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
40
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Supplicant – ajustes no Linux
- Subir o módulo API for Authenticated Encryption with Additional DATA (AEAD)
- Ideal usar o HW Acceleration (aesni) se disponível
- Criar um Netdevice para cada canal (SCI)
Fonte: - https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
41. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
41
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Authenticator
42. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
42
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Authentication Server
Cisco Identity Services Engine (ISE)
Juniper SRX345 Services Gateway (SRX)
Cisco (ISE)
43. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
43
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Referências
• 802.1X-2010 -IEEE Standard : https://standards.ieee.org/findstds/standard/802.1X-2010.html
• 802.1AE -IEEE Standard : https://standards.ieee.org/findstds/standard/802.1AE-2006.html
• Innovations in Ethernet Encryption (802.1AE - MACsec) for Securing High Speed (1-100GE) WAN Deployments White Paper
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/white-paper-c11-737544.html
• Configuring MACsec Encryption
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_1_se/configuration/guide/3750xcg/swmacsec.pdf
• Understanding Media Access Control Security (MACsec)
https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
• Innovations in Ethernet Encryption (802.1AE - MACsec) for Securing High Speed (1-100GE) WAN Deployments
https://www.cisco.com/c/dam/en/us/td/docs/solutions/Enterprise/Security/MACsec/WP-High-Speed-WAN-Encrypt-MACsec.pdf
• Configurando FreeRadius+CA no FreeBSD
https://forums.freebsd.org/threads/28467/
• Configurando MacSec no Linux
https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
44. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
44
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Contato
lucas.franca@bsd.com.br
Obrigado!