Security Wireless

MACSec per il controllo dei nodi di rete

News / News
Inviato da d.damato 23 Nov 2005 - 08:59

Dato che le reti sono vulnerabili a errori di configurazione, cablaggi errati e attacchi mirati che possono bloccare l'operatività di aziende e service provider, è essenziale che gli utenti applichino più meccanismi di sicurezza per proteggere dati, applicazioni e funzioni di rete.


In questo senso si muove il futuro standard IEEE 802.1AE, che mira proprio a evitare malfunzionamenti alla reti Ethernet proteggendo i dispositivi di rete da comunicazioni non autorizzate. Si tratta in realtà di una suite protocollare il cui componente principale è 802.1AE Media Access Control Security (MACSec, la sua ratificazione è attesa per inizio 2006), studiato per evitare attacchi come il wiretapping passivo e alcuni tipi di Denial of Service.


<font color="#0000ff">Identificare le postazioni

<font face="Verdana, sans-serif"><font size="2">Per fare questo identifica le postazioni non autorizzate in rete e blocca le loro comunicazioni. Protegge anche i protocolli di controllo che gestiscono le reti bridged utilizzando funzioni di cifratura che autenticano l'origine dei dati e l'integrità dei messaggi. Garantendo che un frame venga dalla postazione che afferma di averlo mandato, MACSec può ridurre il rischio di attacchi ai protocolli Layer 2. La sicurezza viene gestita hop-by-hop, una differenza sostanziale rispetto a IPSec, che lo fa a livello end-to-end.
<font face="Verdana, sans-serif"><font size="2">Quando un frame arriva a un nodo MACSec, la MACSec Security Entity (SecY) la decifra se necessario e calcola un suo integrity check value (ICV) che va confrontato con quello incluso nella frame medesima. Se corrispondono, la postazione elabora la frame in modo tradizionale. In caso contrario vengono eseguite le operazioni previste da una policy specifica, ad esempio scartandola.
<font face="Verdana, sans-serif"><font size="2">Le operazioni di Web caching e di network traffic management funzionano senza modifiche perché i dati sono in chiaro quando passano tra le stazioni della LAN. E' all'uscita da questa che la SecY calcola e allega una nuova ICV alla frame e la cifra, eventualmente, prima di inviarla fuori dalla LAN.

<font face="Verdana, sans-serif"><font size="2">


<font color="#0000ff">Non da solo

A 802.1AE devono però essere affiancati dei protocolli di supporto per la gestione delle chiavi, l'autenticazione e l'autorizzazione. Per questo la IEEE sta definendo uno standard aggiuntivo, 802.1af MAC Key Security, che di fatto è un'estensione di 802.1X in grado di gestire chiavi per sessioni di durata molto limitata nella codifica/decodifica dei messaggi. Un altro protocollo aggiuntivo in fase di sviluppo è 802.1AR Secure Device Identity, che garantisce l'identità dei nodi di rete 'fidati'. Per lo standard MACSec è stato scelto un sistema di autenticazione e cifratura (Galois/Counter Mode per AES 128, un approccio approvato dal National Institute of Standards and Technology americano) che può essere usato sia per gestire l'integrità dei messaggi più la loro cifratura, sia per la sola gestione dell'integrità. Altro vantaggio di GCM sta nel fatto che può arrivare facilmente a velocità di trasmissione multigigabit anche con hardware economico.
<font face="Verdana, sans-serif"><font size="2">MACSec non prende il posto di 802.11i, il protocollo di sicurezza studiato per le wireless LAN, e non è neanche una soluzione alternativa alla protezione delle applicazioni con approcci più trasversali. E' mirato solo alle operazioni di rete.

<font face="Verdana" size="2">Fonte:www.nwi.it



Questo articolo è stato inviato da Security Wireless
  http://www.securitywireless.info/

La URL di questo articolo è:
  http://www.securitywireless.info/modules.php?op=modload&name=News&file=article&sid=14753