Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle

Tamanho: px

Começar a partir da página:

Download "Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle"

Derek Azeredo Damásio
6 Há anos
Visualizações:

1 Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle Rogério Lopes LACNIC 27 / GTS 29 05/2017

2 IEEE 802.1x Primeiro padrão X-2001, update 802.1X-2004 Fornece mecanismo de autenticação para LAN EAPoL (EAP over LAN) 3 entidades Suplicante, Autenticador, Servidor de Autenticação Porta não autorizada Porta autorizada

3 IEEE 802.1x Endpoint Autenticado = mac-address autorizado Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X EAP-TLS RADIUS GE-1/0/2 EAPoL

4 IEEE 802.1x Endpoint Autenticado = mac-address autorizado Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X EAP-TLS RADIUS Certificado GE-1/0/2 EAPoL

5 IEEE 802.1x Endpoint Autenticado = mac-address autorizado Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X EAP-TLS RADIUS Certificado Certificado GE-1/0/2 EAPoL

6 IEEE 802.1x Endpoint Autenticado = mac-address autorizado Tráfego permitido até queda do link ou re-autenticação periódica 802.1X EAP-TLS RADIUS Certificado Certificado GE-1/0/2 AuthC: OK

7 conectado na porta do switch 802.1X EAP-TLS RADIUS Certificado

8 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link 802.1X EAP-TLS RADIUS Certificado

9 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link 802.1X EAP-TLS RADIUS Certificado

10 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link ATM

11 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link MAC: AA:AA:AA:AA:AA:02 POS Point of sale MAC: AA:AA:AA:AA:AA:02

12 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link. Fraude MAC: AA:AA:AA:AA:AA:02 POS Point of sale MAC: AA:AA:AA:AA:AA:02

13 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link. Fraude. Cópia de informação MAC: AA:AA:AA:AA:AA:02 POS Point of sale MAC: AA:AA:AA:AA:AA:02

14 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link. Fraude. Cópia de informação. Ataque às aplicações MAC: AA:AA:AA:AA:AA:02 POS Point of sale MAC: AA:AA:AA:AA:AA:02

15 conectado na porta do switch Cliente autenticado Mac-address clonado pelo atacante Acesso liberado até re-autenticação ou queda do link MAC: AA:AA:AA:AA:AA:02 POS Point of sale. Fraude. Cópia de informação. Ataque às aplicações. Proliferação de malwares. Ataques avançados (APT) MAC: AA:AA:AA:AA:AA:02

16 Efetividade Desconectar endpoint autorizado - TCP race condition

17 Efetividade Desconectar endpoint autorizado - TCP race condition SYN SYN

18 Efetividade Desconectar endpoint autorizado - TCP race condition SYN + ACK SYN + ACK SYN + ACK

19 Efetividade Desconectar endpoint autorizado - TCP race condition ACK RST RST ACK??

20 Mitigação 802.1x + VPN ACL no switch VPN only VPN ACL X VPN

Connectivity Association Key pre-shared SAK - Secure

21 IEEE 802.1ae - MacSec Publicado em 2006 Criptografia ponto-a-ponto do payload do frame Usado tipicamente para criptografar links lan-to-lan entre s Cifra padrão - GCM-AES-128 CAK - Connectivity Association Key pre-shared SAK - Secure Association Keys derivada da CAK, trocada periodicamente KEK Key Encription Key criptografa a SAK Servidor de chaves é eleito para a geração da SAK

22 802.1x ae 802.1x EAPoL packet type 5 (EAPoL-MKA) MKA MacSec Key Agreement Depois de autenticado, inicia-se o processo MKA MSK - Master Session Key gerada na autenticação EAP pelo servidor de autenticação () Suplicante recebe a MSK no processo EAP recebe a MSK em um atributo radius MSK usada para gerar a CAK sempre é o servidor de chaves (SAK) 802.1X EAP-TLS RADIUS Certificado Certificado MKA CAK - SAK AuthC: OK MSK MacSec

23 802.1x-2010 Tráfego não 802.1ae é descartado pelo switch 802.1X EAP-TLS RADIUS Certificado MACSEC MASEC x

24 802.1x-2010 Suporte Suplicante Windows - Cisco anyconnect (NAM) Linux WPA supplicant Autenticador () Cisco 3650, 3850 Servidor de autenticação () Cisco ISE Free 2.x (à confirmar)

25 Referências Identity-Based Networking Services: MAC Security MACsec -host Encryption with Cisco AnyConnect and ISE Configuration Example MACsec: a different solution to encrypt network traffic X IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control

Documentos relacionados

Autenticação 802.1x em redes com fio: Estudo de caso do DCC

Autenticação 802.1x em redes com fio: Estudo de caso do DCC Alison Carmo Arantes CSIRT PoP-MG/RNP - DCC/ICEX/UFMG 30/06/2017 OBJETIVOS DESTA APRESENTAÇÃO Mostrar a motivação para o uso de 802.1x em redes