MACsec - Weryfikacja szyfrowanego ruchu

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

MACsec - Weryfikacja szyfrowanego ruchu

#1

#1 Post autor: lukewisniewski » 12 lut 2019, 20:52

Cześć,

Chciałbym zweryfikować czy ruch pomiędzy moimi Catalystami 9000 jest faktycznie szyfrowany. Mam na biurku bezpośrednio dwa połączone ze sobą Caty9300.
Po wydaniu komendy "show macsec summary" widzę narastający licznik wskazujący na utworzony kanał komunikacji. Szyfrowanie opieram o mka.
Pytanie z mojej strony jak mogę to zweryfikować?
Jak już się dowiedziałem MACsec ze względu na swoją specyfikę pracy obsługuje direct wpięte między sobą urządzenia. Zatem switch pomiędzy do SPAN'a portu odpada bo to nie działa.
Czy istnieje sposób aby faktycznie zweryfikować że transmisja między urządzeniami jest szyfrowana?

Drugie pytanie jakie do was kieruje to w jaki sposób np. jako operator mógłbym takiego MACsec'a przenieść dla klienta? Zakładając że sprzęt mam klasy operatorskiej - wystarczy MPLS/L2TPv3 i xconnect?

Dzięki i Pozdrawiam.

lbromirs
CCIE
CCIE
Posty: 4024
Rejestracja: 30 lis 2006, 08:44

Re: MACsec - Weryfikacja szyfrowanego ruchu

#2

#2 Post autor: lbromirs » 13 lut 2019, 04:11

Musisz znaleźć coś, co pozwoli Ci podsłuchać negocjację w L1/L2 bez jej zakłócania - w szczególności zależy Ci na Ethertype 0x888E (EAPoL) i 0x88E5 (MACsec). Relatywnie proste zadanie :)

Co do transportu - MPLS to transport oparty o etykiety, L2TPv3 to transport oparty o IP, xconnect to konstrukcja konfiguracji. To jakby trochę trzy różne rzeczy.

Generalnie, możesz przenieść ramki MACsec przez xconnect z data plane MPLSowym oraz z data plane L2TPv3. Można też je przetunelować (l2tunnel, względnie l2forward) jeśli to bardziej scenariusz Metro/Carrier Ethernet.

lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

Re: MACsec - Weryfikacja szyfrowanego ruchu

#3

#3 Post autor: lukewisniewski » 13 lut 2019, 16:50

Być może zadanie jest relatywnie proste, natomiast switche zarządzane Cisco/dummy switche czy nawet packet squirrel od hak5 nie radzą sobie żeby przez nie zapiąć transmisję i podsłuchać ruch. Jeżeli mógłbyś podać podać przykład jak to zrobić to byłbym wdzięczny :)

Edit1: Dodatkowo zapiąłem L2TPv3 przez ISR 4k. Xconnect zestawia się prawidłowo natomiast MACsec nie wstaje. Najprostrza możliwa konfiguracja L2TPv3.

Kod: Zaznacz cały

pseudowire-class infosec   
encapsulation l2tpv3
ip local interface Loopback0
---
interface Gi0/0/0
  xconnect 2.2.2.1 123 encapsulation l2tpv3 pw-class infosec

lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

Re: MACsec - Weryfikacja szyfrowanego ruchu

#4

#4 Post autor: lukewisniewski » 15 maja 2019, 12:46

Kończąc wątek jakby ktokolwiek był ciekawy jak ja:
Zrobiłem pasywnego TAPa do podsłuchania ruchu i wpiąłem go między dwa switche.
W wyniku "podsłuchania" zrobiłem zrzut w wiresharku i widać szyfrowany pakiety.
Zatem działa, szyfruje.

ODPOWIEDZ