Was ist MACsec?
Sicherheit auf Ethernet-Ebene
Media Access Control Security (MACsec) ist der IEEE 802.1AE-Standard, der in Netzwerken für die portbasierte Zugriffskontrolle von Netzwerkgeräten und/oder für die Verschlüsselung und Authentifizierung von Ethernet-Frames verwendet wird. MACsec sichert den Datenverkehr zwischen Netzwerkgeräten wie Switches, Routern und Servern und schützt vor Abhör- und Man-in-the-Middle-Angriffen. Im Gegensatz zu Verschlüsselungsprotokollen wie TLS und IPsec bietet MACsec integrierten Schutz direkt auf Ethernet-Ebene und eignet sich daher ideal zum Schutz sensibler Daten in LANs, Rechenzentren oder Backbones.
Geringere Angriffsfläche im physischen Netzwerk
MACsec sichert den gesamten Datenverkehr, selbst wenn anfällige oder veraltete Protokolle noch im Einsatz sind.
MACsec verhindert Angriffe wie Sniffing, Replay oder Manipulation, ohne dass Änderungen an der bestehenden Netzwerkarchitektur erforderlich sind.
Eine sichere Grundlage für die Datenübertragung
MACsec hat aufgrund der weit verbreiteten Nutzung komplexer softwaredefinierter Netzwerke und automatisierter Infrastrukturen an Bedeutung gewonnen.
Wie funktioniert MACsec?
MACsec verschlüsselt und authentifiziert Ethernet-Frames zwischen Geräten und schützt dabei alles außer den Quell- und Ziel-MAC-Adressen. Secure Association (SA), Secure Channel (SC) und SecY (Security Entity) bilden den Kern des Modells. Eine SecY an jedem Port trennt ungesicherten von gesichertem Datenverkehr und übernimmt die Ver- und Entschlüsselung. Jeder unidirektionale SC – gekennzeichnet durch seinen Secure Channel Identifier (SCI) – hostet bis zu vier aktive SAs, sodass Schlüssel ohne Unterbrechung rotieren können. Wenn der End-to-End-Schutz mehrere öffentliche Hops umfassen muss, können VLANs unverschlüsselt bleiben (VLAN-Bypass), sodass Transitnetzwerke Frames mit dem Service Tag (S-Tag) und dem Customer Tag (C-Tag) weiterleiten können.
MACsec sichert Netzwerkverbindungen mit Verschlüsselung auf Basis von AES-GCM
Die MACsec-Implementierung unseres FSP 150 mit ConnectGuard™ verwendet ein eigenes Protokoll für die Schlüsselaushandlung und gewährleistet so einen hohen Schutz für die Ethernet-Verschlüsselung, selbst in öffentlichen Netzwerken.
Warum ist MACsec für heutige Netzwerke wichtig?
MACsec lässt sich nahtlos in SDN-Umgebungen integrieren und unterstützt automatisierte Sicherheitsrichtlinien in Edge-, Cloud- und Hybrid-Infrastrukturen. In einer Zeit von Zero Trust, Cloudifizierung und zunehmenden Cyber-Bedrohungen ist es unerlässlich, Sicherheitslücken in der physischen Netzwerkstruktur zu schließen. MACsec bietet robusten, transparenten Schutz, selbst für Umgebungen, die einst als sicher galten, wie interne LANs oder Backbones von Rechenzentren. Unternehmen profitieren von reduziertem manuellem Sicherheitsaufwand, geringerer Latenz und geringeren Kosten. Die Lösungen von Adva Network Security integrieren MACsec in das gesamte Portfolio und bieten Betreibern einen schlüsselfertigen Weg zum Layer-2-Schutz.
;