Trong thời đại phát triển công nghệ thông tin, các nguy cơ lộ lọt, đánh cắp thông tin truyền tải qua mạng đang ở mức báo động. Yêu cầu về bảo mật thông tin truyền trên mạng đang được đặc biệt quan tâm. Bên cạnh giao thức bảo mật mạng phổ biến là IPSec và TLS/SSL, MACsec là một giao thức bảo mật mạng hoạt động ở tầng thứ 2 (theo mô hình OSI). Bài viết này, giới thiệu tổng quan về MACsec, điểm khác nhau với các tiêu chuẩn bảo mật (TLS/SSL, IPSec) và trình bày một số triển khai thực tế với MACsec trong một số sản phẩm mật mã dân sự để bảo mật an toàn thông tin.

Giới thiệu

MACsec là giao thức bảo mật sử dụng GCM-AES-128 để cung cấp đồng thời tính toàn vẹn, xác thực và bí mật cho thông tin qua môi trường mạng tại lớp 2 (theo mô hình OSI). MACsec có khả năng xác định và ngăn chặn hầu hết các mối đe dọa bảo mật bao gồm: từ chối dịch vụ, xâm nhập, man-in-the-middle, giả mạo, nghe lén thụ động và các cuộc tấn công phát lại, đảm bảo liên kết bảo mật Ethernet cho hầu hết tất cả giao thức bao gồm Giao thức LLDP, Giao thức LACP, Giao thức DHCP, Giao thức ARP và các giao thức khác thường không được bảo mật trên liên kết Ethernet vì những hạn chế trong các giải pháp bảo mật khác.

MACsec đã được chuẩn hóa vào năm 2006 bởi IEEE (tiêu chuẩn IEEE 802.1AE-2006), tuy nhiên việc sử dụng trong thực tế vẫn chưa được phổ biến so với các chuẩn giao thức bảo mật khác. Trong MACsec, các gói tin truyền qua "kênh an toàn" (secure channels), được hỗ trợ bởi "liên kết an toàn" (secure associations). Mỗi liên kết an toàn sử dụng một khóa riêng biệt, được tạo ngẫu nhiên.

Giao thức MACsec Key Agreement (MKA) cũng được định nghĩa trong tiêu chuẩn IEEE 802.1X-2010, thực hiện trao đổi khóa và cho phép xác thực lẫn nhau giữa các nút muốn tham gia vào liên kết kết nối MACsec. Sau khi xác thực, các khóa được thiết lập và trao đổi (qua một kênh được mã hóa) và được sử dụng để định cấu hình liên kết bảo mật MACsec.

MACsec có thể được thực thi thông qua một trong các chế độ bảo mật: Chế độ CAK tĩnh hoặc chế độ Chế độ CAK động (chi tiết về hai chế độ hoạt động xem thêm tại IEEE 802.1AE-2006). Chế độ CAK tĩnh được khuyến nghị cho các liên kết kết nối bộ chuyển mạch hoặc bộ định tuyến. Chế độ CAK tĩnh đảm bảo bảo mật bằng cách thường xuyên làm mới khóa bảo mật ngẫu nhiên và chỉ chia sẻ khóa bảo mật giữa hai thiết bị trên liên kết điểm-điểm được bảo mật bằng MACsec.

Cấu trúc của Ethernet Frame sau khi được xử lý, mã hóa theo MACsec

Trong quá trình hoạt động, sau khi thực hiện xử lý theo MACsec mỗi gói tin sẽ được bắt đầu bởi một Ethernet Header với EtherType 88E5. Tiếp theo là MACsec SecTAG, chứa thông tin giúp người nhận xác định khóa giải mã, cũng như số gói (packet number) để chống phát lại.

Trong mạng được bảo vệ bằng MACsec, mỗi nút có ít nhất một kênh truyền an toàn. Kênh truyền an toàn này được liên kết với: số định danh kênh an toàn (the secure channel identifier -SCI). Kênh truyền an toàn cũng lưu trữ các thông số cấu hình khác nhau, chẳng hạn như có thực hiện chống phát lại hay có kích hoạt mã hóa hay không?

Để nhận được thông tin gửi qua kênh an toàn cụ thể, mỗi nút được cấu hình phù hợp kênh bảo mật nhận. Kênh bảo mật nhận phải có SCI tương ứng với SCI của kênh bảo mật truyền tương ứng.

Các liên kết an toàn được định nghĩa trong mỗi kênh an toàn (cả truyền và nhận). Các liên kết an toàn giữ các khóa mã hóa và được xác định bằng giá trị association number của chúng. Một tham số quan trọng khác được liên kết với mỗi liên kết an toàn: packet number. Ở phía truyền, packet number được đưa vào MACsec Header và được sử dụng trong quá trình mã hóa. Ở phía nhận, packet number từ MACsec Header có thể được kiểm tra với packet number được lưu trữ cục bộ trong liên kết an toàn tương ứng để thực hiện bảo vệ chống tấn công phát lại.

Tiếp theo, phía sau SecTAG là tải trọng (payload) đã được mã hóa và Giá trị kiểm tra tính toàn vẹn - ICV, được tạo bởi GCM-AES và đảm bảo rằng gói thực sự được tạo bởi một nút sở hữu khóa và không bị sửa đổi trên đường truyền.

Hình 1: Ethernet Frame trước (phía trên) và sau (phía dưới)
xử lý và mã hóa MACsec

Ứng dụng MACsec trong bảo mật thông tin

Sử dụng trong bảo mật mạng LAN

Ứng dụng chính MACsec là bảo vệ một mạng LAN tiêu chuẩn. Trong thiết lập này, các máy cần bảo vệ được kết nối với cùng một mạng LAN được cấu hình để tất cả các gói tin trao đổi giữa các máy tính được mã hóa và chỉ những nút (máy tính) này mới có thể nhận được.

Trong các hình dưới đây, vùng màu đỏ là liên kết các gói không được MACSec bảo vệ. Các vùng liên kết màu xám được MACsec bảo mật.

Hình 2: Thiết lập mạng LAN với Switch tiêu chuẩn

Switch tiêu chuẩn không có khả năng mã hóa các khung trong cách thức thiết lập này này, nhưng nó có thể chuyển tiếp các khung được bảo vệ bằng MACsec giữa các cổng. Ở đây máy chủ là các điểm đầu cuối trong kết nối MACsec.

Một giải pháp khác thay thế là sử dụng Switch hỗ trợ MACsec. Trong trường hợp đó, MACsec được thực thi trên các máy khách cũng như trên các cổng chuyển đổi mà các máy này được kết nối. Các thiết bị chuyển mạch truy cập đó cũng thường cung cấp các dịch vụ 802.1X để cho phép xác thực, ủy quyền và tính toán mạnh mẽ trước khi cho phép máy khách tham gia vào mạng.

Hình 3: Thiết lập mạng LAN với Switch hỗ trợ MACsec

Trong cách thiết lập mạng LAN này sử dụng bộ chuyển mạch hỗ trợ MACsec, nhưng các máy chủ 3 và 4 không sử dụng MACsec. Các điểm đầu cuối của MACsec ở tại các cổng chuyển mạch.

Triển khai trong VXLAN

MACsec tương thích với VXLAN và các công nghệ đường hầm khác như GENEVE và GRETAP. Khi một khách hàng sử dụng dịch vụ đám mây có mạng LAN riêng ảo có thể sử dụng MACsec để mã hóa tất cả lưu lượng nội bộ trước khi nó rời khỏi máy ảo. Bằng cách đó, nhà cung cấp dịch vụ đám mây không thể xem trộm thông tin liên lạc giữa các máy ảo.

Hình 4: Cấu trúc liên kết đám mây với VXLAN

So sánh với các giao thức bảo mật khác

IPsec

Trước hết, MACsec và IPsec hoạt động trên các lớp mạng khác nhau. IPsec hoạt động trên các gói IP (ở lớp 3- Mô hình OSI) trong khi MACsec hoạt động trên các Ethernet Frame (ở lớp 2- Mô hình OSI). Do đó, MACsec có thể bảo vệ tất cả lưu lượng DHCP và ARP, điều mà IPsec không thể can thiệp bảo mật. Mặt khác, IPsec có thể hoạt động trên các bộ định tuyến, trong khi MACsec bị giới hạn trong một mạng LAN.

Với cả MACsec và IPsec, các ứng dụng của người dùng không cần phải sửa đổi để tận dụng các đảm bảo an ninh mà các tiêu chuẩn này cung cấp.

SSL/TLS

Theo hệ thống tầng cấp của mô hình OSI, SSL/TLS được khởi chạy ở tầng 5 (tầng phiên) rồi hoạt động trên tầng 6 (tầng trình diễn): trước tiên tầng phiên bắt tay dùng mật mã bất đối xứng để thỏa thuận hình mật mã và khóa chia sẻ dành cho phiên liên lạc; sau đó, tại tầng trình diễn sử dùng mật mã khóa xứng và khóa của phiên mã hóa phần còn lại của thông điệp. TLS/SSL phục vụ mã hóa, bảo mật dữ liệu tầng giao vận bên dưới. Do đó, việc bảo mật các ứng dụng có thể yêu cầu thay đổi ứng dụng. Mặt khác, việc nhúng trực tiếp lớp mật mã vào các ứng dụng cũng mang lại một số lợi thế. Phần mềm có khả năng tự kiểm tra trạng thái mã hóa và tính xác thực dựa trên các chính sách và có thể có phản hồi tương ứng. Việc xác minh các thuộc tính bảo mật trực tiếp trong ứng dụng có thể cung cấp bảo mật đầu cuối.

Kết luận

Hiên nay, việc bảo mật thông tin truyền qua internet trở thành một vấn đề hết sức quan trọng, nhất là trong thời kỳ các nguy cơ về tấn công mạng ngày một tăng cao. Theo mặc định, giao thức mạng TCP/IP không cung cấp bất kỳ bảo đảm bảo mật nào. Các giao thức bảo mật mạng còn khá ít và hầu hết là độc quyền. Bên cạnh hai giao thức phổ biến khác là TLS/SSL và IPSec, MACsec là một giao thức bảo mật mạng ở lớp 2. Hiện nay đã có nhiều sản phẩm mật mã dân sự ứng dụng công nghệ MACsec để bảo mật an toàn thông tin, có thể kể đến các dòng sản phẩm Juniper: EX 4100, EX 4400, EX 4300, EX 9200… Hiện nay, mức độ phổ biến còn hạn chế so với các giao thức TLS/SSL, IPSec nhưng với những ưu điểm của mình trong tương lai MACsec sẽ có thể trở thành giao thức được sử dụng rộng rãi. Bài viết đã giới thiệu tổng quan về giao thức MACsec, ứng dụng của MACsec trong các sản phẩm mật mã dân sự để bảo mật thông tin cũng như so sánh MACsec với những chuẩn giao thức bảo mật khác (chi tiết hơn xem thêm tại tiêu chuẩn IEEE 802.1AE-2006). Từ đó cung cấp cái nhìn tổng quan, kiến thức cơ bản về MACsec cho độc giả khi nghiên cứu, tìm hiểu, hay sử dụng các sản phẩm mật mã dân sự ứng dụng giao thức MACsec để bảo mật thông tin.

Ths. Nguyễn Thanh Sơn

Tài liệu tham khảo

[1] IEEE 802.1AE-2006: IEEE Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Security

[2] MACsec: a different solution to encrypt network traffic,

https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic#

[3] Innovations in Ethernet Encryption (802.1AE - MACsec) for Securing High Speed (1-100GE) WAN Deployments

https://www.cisco.com/c/dam/en/us/td/docs/solutions/Enterprise/Security/MACsec/WP-High-Speed-WAN-Encrypt-MACsec.pdf