Ycharbi : Correction de la commande d'ajout d'IP sur les deux machines

2023-09-23T17:22:01Z

Correction de la commande d'ajout d'IP sur les deux machines

← Version précédente		Version du 23 septembre 2023 à 17:22
Ligne 89 :		Ligne 89 :

	Comme précisé plus haut, le trafic ne sera chiffré entre les deux pairs que si l'interface source de l'échange est <syntaxhighlight lang="bash" inline>macsec0</syntaxhighlight>, aussi, il convient de lui attribuer une adresse ''IP''		Comme précisé plus haut, le trafic ne sera chiffré entre les deux pairs que si l'interface source de l'échange est <syntaxhighlight lang="bash" inline>macsec0</syntaxhighlight>, aussi, il convient de lui attribuer une adresse ''IP''
	ip address add ~~macsec0~~ 10.0.0.1/24 dev macsec0		ip address add 10.0.0.1/24 dev macsec0

	==Machine 2==		==Machine 2==
Ligne 102 :		Ligne 102 :

	ip link set macsec0 up		ip link set macsec0 up
	ip address add ~~macsec0~~ 10.0.0.2/24 dev macsec0		ip address add 10.0.0.2/24 dev macsec0

	=Sources=		=Sources=

Ycharbi : Page créée avec « Category:Réseaux_linux ''MACsec'' ou [https://fr.wikipedia.org/wiki/IEEE_802.1AE IEEE 802.1AE] est la norme de sécurisation de la [https://fr.wikipedia.org/wiki/Couche_liaison_de_donn%C3%A9es couche] [https://fr.wikipedia.org/wiki/Media_access_control MAC] de l{{'}}[https://fr.wikipedia.org/wiki/IEEE IEEE]. Il permet le chiffrement des trames ''Ethernet'' (entre deux pairs sur un [https://fr.wikipedia.org/wiki/R%C3%A9seau_local LAN]) au sein d'un même réseau... »

2023-07-23T14:37:12Z

Page créée avec « Category:Réseaux_linux ''MACsec'' ou [https://fr.wikipedia.org/wiki/IEEE_802.1AE IEEE 802.1AE] est la norme de sécurisation de la [https://fr.wikipedia.org/wiki/Couche_liaison_de_donn%C3%A9es couche] [https://fr.wikipedia.org/wiki/Media_access_control MAC] de l{{'}}[https://fr.wikipedia.org/wiki/IEEE IEEE]. Il permet le chiffrement des trames ''Ethernet'' (entre deux pairs sur un [https://fr.wikipedia.org/wiki/R%C3%A9seau_local LAN]) au sein d'un même réseau... »

Nouvelle page

[[Category:Réseaux_linux]]

''MACsec'' ou [https://fr.wikipedia.org/wiki/IEEE_802.1AE IEEE 802.1AE] est la norme de sécurisation de la [https://fr.wikipedia.org/wiki/Couche_liaison_de_donn%C3%A9es couche] [https://fr.wikipedia.org/wiki/Media_access_control MAC] de l{{'}}[https://fr.wikipedia.org/wiki/IEEE IEEE]. Il permet le chiffrement des trames ''Ethernet'' (entre deux pairs sur un [https://fr.wikipedia.org/wiki/R%C3%A9seau_local LAN]) au sein d'un même réseau local et, par extension, dans n'importe quel protocole d{{'}}[[:Category:Tunnelisation|encapsulation en surcouche]] de niveau 2.

Publié en 2006 (''802.1AE-2006''), la norme prévoyait un chiffrement des trames via le protocole ''GCM-AES-128'' (128 bits) et un amendement de 2011 (''802.1AEbn-2011'') a apporté le support des clés de 256 bits. Il a par la suite été complété en 2013 (''802.1AEbw-2013'') par l'ajout des suites cryptographiques ''GCM-AES-XPN-128'' et ''GCM-AES-XPN-256''. Intégré depuis le noyau ''Linux'' 4.6 (2016), ''IEEE 802.1AE'' est utilisable via le paquet <syntaxhighlight lang="bash" inline>iproute2</syntaxhighlight>.

''MACSec'' vient se substituer à la trame ''Ethernet'' standard en reprenant ses champs d'origines et en y ajoutant deux supplémentaires :
* '''Security Tag''' : extension du champ [https://fr.wikipedia.org/wiki/EtherType EtherType]
* '''Message Authentication Code''' (''Integrity Check Value'' ou ''ICV'') : somme de contrôle de la trame déchiffrée

Une trame 802.1Q passe donc de la structure :
{| class="wikitable"

|-----
| adresse MAC dst.
| adresse MAC src.
| 802.1Q
| EtherType/Size
| Data
| [https://fr.wikipedia.org/wiki/Frame_check_sequence FCS]
|}

à la suivante :
{| class="wikitable"
|-----
| colspan="6" align="center" | Authentifié || ||
|-----
|| || || || colspan="3" align="center" | Chiffré || ||
|-----
| adresse MAC dst.
| adresse MAC src.
| MACSec Security Tag
| 802.1Q
| EtherType/Size
| Data
| ICV
| FCS
|}

=Mise en œuvre=
Deux machines seront utilisées dans l'exemple qui suit. Elles comportent chacune les adresses ''MAC'' suivantes :
* '''Machine 1''' : 44:9a:5b:fe:64:cc
* '''Machine 2''' : 44:9a:5b:ea:2b:08

==Machine 1==
Création de l'interface virtuel de chiffrement du trafic
ip link add link eth0 macsec0 type macsec encrypt on

Dans la mesure où les trames sont bornées au domaine de diffusion local d'une interface existante, celle nouvellement créée y est attachée et sera à utiliser lorsque les trames devront êtres chiffrées avant envoi (la communication sortant directement d{{'}}''eth0'' est toujours en clair).

La commande suivante détail les informations des interfaces ''MACSec''. Plusieurs appairages chiffrés peuvent êtres configurés afin de réaliser une topologie en étoile confidentielle
ip macsec show

Retour de la commande

<syntaxhighlight lang="bash">
3: macsec0: protect on validate strict sc off sa off encrypt on send_sci on end_station off scb off replay off
cipher suite: GCM-AES-128, using ICV length 16
TXSC: 449a5bfe64cc0001 on SA 0
offload: off
</syntaxhighlight>

Ajout d'un pair
ip macsec add macsec0 rx port 1 address 44:9a:5b:ea:2b:08

ip macsec show

Une ligne <syntaxhighlight lang="bash" inline>RXSC</syntaxhighlight> a été ajouté

<syntaxhighlight lang="bash">
3: macsec0: protect on validate strict sc off sa off encrypt on send_sci on end_station off scb off replay off
cipher suite: GCM-AES-128, using ICV length 16
TXSC: 449a5bfe64cc0001 on SA 0
RXSC: 449a5bea2b080001, state on
offload: off
</syntaxhighlight>

Création d'une clé destinée au chiffrement symétrique
dd if=/dev/urandom count=16 bs=1 2>/dev/null | hexdump | cut -c 9- | tr -d ' \n'

Attribution de cette clé dans la configuration d'appairage avec la machine 2 pour l'interface <syntaxhighlight lang="bash" inline>macsec0</syntaxhighlight>
ip macsec add macsec0 tx sa 0 pn 1 on key 00 a150a57510be82fc8c732aa899a28c17

Injection de la clé du pair dans cette même configuration
ip macsec add macsec0 rx port 1 address 44:9a:5b:ea:2b:08 sa 0 pn 1 on key 01 ff4c9f44769823abe910326dd8cc8d77

Allumage de l'interface
ip link set macsec0 up

Comme précisé plus haut, le trafic ne sera chiffré entre les deux pairs que si l'interface source de l'échange est <syntaxhighlight lang="bash" inline>macsec0</syntaxhighlight>, aussi, il convient de lui attribuer une adresse ''IP''
ip address add macsec0 10.0.0.1/24 dev macsec0

==Machine 2==
Les étapes sont les mêmes en adaptant les spécificités liées au pair différent

ip link add link eth0 macsec0 type macsec encrypt on
ip macsec add macsec0 rx port 1 address 44:9a:5b:fe:64:cc

dd if=/dev/urandom count=16 bs=1 2>/dev/null | hexdump | cut -c 9- | tr -d ' \n'
ip macsec add macsec0 tx sa 0 pn 1 on key 01 ff4c9f44769823abe910326dd8cc8d77
ip macsec add macsec0 rx port 1 address 44:9a:5b:fe:64:cc sa 0 pn 1 on key 00 a150a57510be82fc8c732aa899a28c17

ip link set macsec0 up
ip address add macsec0 10.0.0.2/24 dev macsec0

=Sources=
* https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic
* https://www.man7.org/linux/man-pages/man8/ip-macsec.8.html
* https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9200/software/release/16-10/configuration_guide/sec/b_1610_sec_9200_cg/macsec_encryption.html

Macsec - linux - Historique des versions

Ycharbi : Correction de la commande d'ajout d'IP sur les deux machines

Ycharbi : Correction de la commande d'ajout d'IP sur les deux machines