Definition MACsec Was ist MACsec?

Anbieter zum Thema

MACsec ist ein in IEEE 802.1AE spezifizierter Sicherheitsstandard. Er sorgt für Vertraulichkeit und Integrität der auf dem Layer 2 über Punkt-zu-Punkt-Ethernet-Verbindungen übertragenen Datenframes. IEEE 802.1AE lässt sich in Kombination mit den in IEEE 802.1X definierten Authentifizierungsverfahren einsetzen. Mit MACsec können beispielsweise Layer-2-LAN-Verbindungen zwischen Endgeräten und Switch oder zwischen Switch und Router abgesichert werden.

MACsec (Media Access Control Security) ist ein Sicherheitsstandard für Punkt-zu-Punkt-Ethernet-Verbindungen.
MACsec (Media Access Control Security) ist ein Sicherheitsstandard für Punkt-zu-Punkt-Ethernet-Verbindungen.
(Bild: gemeinfrei / Pixabay )

Das Kürzel MACsec steht für Media Access Control Security. Es handelt sich um einen in der IEEE-Norm 802.1AE spezifizierten Sicherheitsstandard. Er arbeitet auf dem Layer 2 des OSI-Referenzmodells und sorgt für Vertraulichkeit und Integrität der Punkt-zu-Punkt-Ethernet-Verbindungen. Mit IEEE 802.1AE lassen sich beispielsweise Layer-2-LAN-Verbindungen zwischen Endgeräten und Switch oder zwischen Switch und Router verschlüsseln und absichern. Zur Authentifizierung ist MACsec in Kombination mit den in IEEE 802.1X definierten Verfahren einsetzbar. Media Access Control Security arbeitet auf Ethernet-Links und ist unabhängig von Sicherheitsprotokollen höherer Ebenen wie IPSec oder SSL nutzbar.

Der auf dem Layer 2 übertragene Datenverkehr inklusive Protokolle wie DHCP, ARP, LLDP, NDP, CDP oder LACP ist dank IEEE 802.1AE geschützt. Die zur Verschlüsselung notwendigen Schlüssel werden entweder dynamisch erzeugt oder manuell konfiguriert. Übertragene Datenframes sind durch die Verschlüsselung gegen unbefugtes Mitlesen geschützt. Mit Media Access Control Security lassen sich Sicherheitsbedrohungen und Angriffe wie Spoofing, Replay-Angriffe, Man-in-the-Middle-Angriffe oder Masquerading und andere verhindern. Die erste Version des Standards IEEE 802.1AE erschien im Jahr 2006. Der Standard wurde mehrfach überarbeitet und erweitert. Eine neuere Version des Standards ist IEEE 802.1AE-2018.

Funktionsweise von MACsec

Ein typisches Setup für die Ethernet-Link-Sicherheit mit IEEE 802.1AE besteht aus den drei Komponenten Endgerät (Supplicant), Switch (Authenticator) und Authentication Server. Das Endgerät übernimmt die Rolle des Supplicants, der Switch die des Authenticators. Vor dem Aufbau einer verschlüsselten Verbindung findet die Authentifizierung des Supplicants durch den Authentication Server statt. Der Switch leitet die Authentifizierungsanfrage gemäß den in 802.1X definierten Verfahren per Extensible Authentication Protocol an den Authentication Server weiter. Mithilfe eines grundlegenden Master Session Keys kann die Verschlüsselung der Datenframes erfolgen.

Auf der Frame-Ebene fügt MACsec den Ethernet-Frames zusätzliche Datenfelder wie den Security-Tag als Erweiterung des EtherTypes oder den Integrity Check Value (ICV) an.

Merkmale und Vorteile von MACsec

Der Einsatz von IEEE 802.1AE auf dem Layer 2 ist gekennzeichnet durch folgende Merkmale und Vorteile:

  • stellt die Integrität und Vertraulichkeit auf dem Ethernet-Link sicher
  • in der Regel hardwarenah implementiert - hohe Performance mit Verschlüsselung in Portgeschwindigkeit
  • mit IEEE 802.1X zur Authentifizierung kombinierbar
  • schützt sämtliche Layer-2-Protokolle inklusive Unicasts, Multicasts und Broadcasts
  • arbeitet unabhängig von Sicherheitsprotokollen höherer Ebenen wie IPSec oder SSL
  • verhindert zahlreiche Sicherheitsbedrohungen und Angriffe wie Spoofing, Replay-Angriffe, Man-in-the-Middle-Angriffe oder Masquerading

(ID:48257476)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung