O documento discute a implementação do padrão IEEE 802.1X em redes corporativas, abordando autenticação e controle de acesso, além de possíveis vulnerabilidades, como ataques man-in-the-middle. Também explora o uso do protocolo MACsec (802.1AE) para complementar a segurança oferecida pelo 802.1X, garantindo criptografia de tráfego. Diversas referências e exemplos práticos são apresentados para ilustrar as configurações e a operação dos sistemas mencionados.

1. Wilson Rogério Lopes
LACNIC 27 / GTS 29
05/2017
Uso do MacSec (802.1ae) em
complemento ao 802.1x em redes
corporativas
Controle de admissão e proteção man-in-the-middle

2. IEEE 802.1x
• Primeiro padrão - 802.1X-2001, update 802.1X-2004
• Fornece mecanismo de autenticação para LAN
• EAPoL (EAP over LAN)
• 3 entidades – Suplicante, Autenticador, Servidor de Autenticação
Porta não autorizada
Porta autorizada

3. IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado
• Tráfego permitido até queda do link ou re-autenticação periódica
Suplicante
802.1X – EAP-TLS RADIUS
GE-1/0/2
Switch
Radius
EAPoLMAC: AA:AA:AA:AA:AA:01
Datacenter

4. IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado
• Tráfego permitido até queda do link ou re-autenticação periódica
Suplicante
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
GE-1/0/2
Switch
Radius
EAPoLMAC: AA:AA:AA:AA:AA:01
Datacenter

5. IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado
• Tráfego permitido até queda do link ou re-autenticação periódica
Suplicante
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
Certificado
CN: Wilson@corp
GE-1/0/2
Switch
Radius
EAPoLMAC: AA:AA:AA:AA:AA:01
Datacenter

6. IEEE 802.1x
• Endpoint Autenticado = mac-address autorizado
• Tráfego permitido até queda do link ou re-autenticação periódica
Wilson
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
AuthC: OK
Certificado
CN: Wilson@corp
GE-1/0/2
Switch
Radius
MAC: AA:AA:AA:AA:AA:01
Datacenter

7. 802.1x – Man-in-the-middle
• HUB conectado na porta do switch
Wilson
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
Switch
Radius
HUBMAC: AA:AA:AA:AA:AA:01
Datacenter

8. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Wilson
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
Switch
Radius
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter

9. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Wilson
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
Switch
Radius
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter

10. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Switch
Radius
ATM
HUB
MAC: AA:AA:AA:AA:AA:01
Datacenter
MAC: AA:AA:AA:AA:AA:01

11. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Switch
Radius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02

12. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Switch
Radius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude

13. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Switch
Radius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
. Cópia de informação

14. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Switch
Radius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
. Cópia de informação
. Ataque às aplicações

15. • HUB conectado na porta do switch
• Cliente autenticado
• Mac-address clonado pelo atacante
• Acesso liberado até re-autenticação ou queda do link
802.1x – Man-in-the-middle
Switch
Radius
POS – Point of sale
HUB
MAC: AA:AA:AA:AA:AA:02
Datacenter
MAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:02
. Fraude
. Cópia de informação
. Ataque às aplicações
. Proliferação de malwares
. Ataques avançados (APT)

16. Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter

17. Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
SYN
SYN

18. Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
SYN + ACK
SYN + ACK
SYN + ACK

19. Efetividade
• Desconectar endpoint autorizado - TCP race condition
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
RST
RST
ACK
ACK ??

20. Mitigação
• 802.1x + VPN
• ACL no switch
• VPN only
802.1x – Man-in-the-middle
Wilson
Switch
Wilson
HUBMAC: AA:AA:AA:AA:AA:01
MAC: AA:AA:AA:AA:AA:01
Datacenter
ACL
X
VPN
VPN

21. • Publicado em 2006
• Criptografia ponto-a-ponto do payload do frame
• Usado tipicamente para criptografar links lan-to-lan entre Datacenters
• Cifra padrão - GCM-AES-128
• CAK - Connectivity Association Key – pre-shared
• SAK - Secure Association Keys – derivada da CAK, trocada periodicamente
• KEK – Key Encription Key – criptografa a SAK
• Servidor de chaves é eleito para a geração da SAK
IEEE 802.1ae - MacSec

22. • 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA)
• MKA – MacSec Key Agreement
• Depois de autenticado, inicia-se o processo MKA
• MSK - Master Session Key – gerada na autenticação EAP pelo servidor de
autenticação (Radius)
• Suplicante recebe a MSK no processo EAP
• Switch recebe a MSK em um atributo radius
• MSK usada para gerar a CAK
• Switch sempre é o servidor de chaves (SAK)
802.1x + 802.1ae
Wilson
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
AuthC: OK
MSK
Certificado
CN: Wilson@corp
Switch
Radius
MKA
CAK - SAK
MacSec

23. 802.1x-2010
• Tráfego não 802.1ae é descartado pelo switch
Wilson
802.1X – EAP-TLS RADIUS
Certificado
CN: Wilson@corp
Switch
Radius
HUB
MAC: AA:AA:AA:AA:AA:01
Datacenter
MAC: AA:AA:AA:AA:AA:01
MACSEC MASEC
x

24. 802.1x-2010
Suporte
• Suplicante
Windows - Cisco anyconnect (NAM)
Linux – WPA supplicant
• Autenticador (Switch)
Cisco 3650, 3850
• Servidor de autenticação (Radius)
Cisco ISE
FreeRadius 2.x (à confirmar)

25. Referências
Identity-Based Networking Services: MAC Security
http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-
services/deploy_guide_c17-663760.html
MACsec Switch-host Encryption with Cisco AnyConnect and ISE
Configuration Example
http://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/117277-config-anyconnect-00.html
MACsec: a different solution to encrypt network traffic
https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
802.1X-2010 - IEEE Standard for Local and metropolitan area networks
Port-Based Network Access Control
https://standards.ieee.org/findstds/standard/802.1X-2010.html