Descripción de la seguridad del control de acceso a medios en una empresa Junos Fusion
La seguridad de control de acceso a medios (MACsec) se usa ampliamente en implementaciones de campus para proteger el tráfico de red entre puntos finales y conmutadores de acceso. Puede habilitar MACsec en puertos extendidos en una topología de Junos Fusion Enterprise para proporcionar una comunicación segura entre el dispositivo satelital y los hosts conectados.
Descripción general de MacSec
MACsec es una tecnología de seguridad estándar de la industria 802.1AE IEEE que proporciona una comunicación segura en enlaces Ethernet entre nodos conectados directamente. MACsec es capaz de identificar y prevenir la mayoría de las amenazas de seguridad, incluyendo la denegación de servicio, la intrusión, el hombre en el medio, el enmascaramiento, las escuchas telefónicas pasivas y los ataques de reproducción. MACsec proporciona integridad punto a punto y se puede utilizar en combinación con otras soluciones de seguridad, como IP Security (IPsec) y Secure Sockets Layer (SSL), para proporcionar seguridad de red de extremo a extremo.
Consulte Descripción de la seguridad del control de acceso a medios ( MACsec) para obtener una descripción detallada de MACsec.
Habilitación de MACsec en Junos Fusion Enterprise
Para activar MACsec en un vínculo que conecta un dispositivo de punto de conexión (como un servidor, un teléfono o un ordenador personal) a un puerto extendido en Junos Fusion Enterprise, el dispositivo de punto de conexión debe ser compatible con MACsec y debe ejecutar software cliente que le permita habilitar una conexión protegida por MACsec. Se debe configurar una asociación segura mediante el modo de seguridad de asociación segura dinámica (SAK dinámico) en el puerto extendido que se conecta al host. Las claves de asociación segura se recuperan del servidor RADIUS como parte del proceso de autenticación 802.1X. Las claves se intercambian entre los pares MACsec para crear una conexión segura.
La configuración de MacSec en Junos Fusion se realiza en el dispositivo agregado y es idéntica para un conmutador serie EX independiente. Consulte Configuración de MACsec en dispositivos EX, QFX y SRX.
Cuando MACsec está habilitado en Junos Fusion con dispositivos de agregación dual, el intercambio de paquetes EAPoL que tiene lugar durante la sesión de autenticación 802.1X se limita a un dispositivo de agregación (AD). El protocolo MKA se activa solo en eso (AD), y las claves generadas por MKA no se sincronizan en los AD. Si se produce un error en el AD en el que se generan las claves, las sesiones MACsec deben volver a autenticarse con el otro AD.