As postagens anteriores mencionam 802.1x mas não entram em muitos detalhes. O 802.1x existe há muito tempo (grande especificação do IEEE em 2004), mas sempre houve uma preocupação em garantir a pós-autenticação da integridade do cliente. A injeção e monitoração de pacotes não autorizadas após a autenticação usando um hub com fio sempre foi uma possibilidade (boa sorte em colocar uma caixa de ataque + hub de envelhecimento despercebida na mesa de alguém, no entanto). O NAC como um conceito foi em parte destinado a resolver isso, mas nunca o fez tão bem quanto o 802.11i.
O 802.1x teve uma revisão de padrões em 2010 (802.1x-2010, também conhecida como 802.1x-REV), que incorporou um padrão de 2006 (802.11AE) abordando os requisitos específicos de Alex. Confira a criptografia MacSec. O IEEE agora tem acesso gratuito às especificações, que são interessantes.
O MacSec é projetado como um paralelo à segurança fornecida pelo WPA2-AES (802.11i), com ambos os esquemas de criptografia sendo conduzidos pela autenticação 802.1x EAP (Extensible Authentication Protocol) para um servidor RADIUS. O MacSec garante a integridade do pacote na camada de link e protege contra a injeção e monitoramento de pacotes.
A Cisco é, neste post, a mais avançada no que diz respeito à implementação e suporte do 802.1x-2010, mas estou vendo dicas de suporte pendente de outros fornecedores de hardware (alguns switches Juniper estão prontos para MacSec). Existem três bits necessários para que tudo funcione e, no momento, somente a Cisco possui todos os três bits em um estado comercial:
- Um suplicante 802.1x que pode fazer autenticação EAP e criptografia MacSec em software e / ou trabalhar com uma NIC de hardware que suporte MacSec em hardware.
- Um switch que pode ser configurado para o MacSec Encryption em uma porta.
- Um servidor AAA que pode entregar todo o material de chave como parte da resposta Aceitar EAP.
O valor real do MacSec está aberto ao debate. Se alguém conseguir se aproximar o suficiente para tocar em um cabo de rede, estará em maior conflito de segurança.