編輯部實體層安全被多數的 IT 專家視為比較不重要的問題,因為線路是藏在牆壁或者天花板裡面的,大部分人都碰觸不到。配線箱和資料中心通常都會上鎖,不過總是有辦法可以輕易地更改網路配置,而不必重新拉線。
所以說,如果可以保護線路上的流量,而不會導致效能驟減的話,你會不想考慮採用嗎?
隨著你周邊的交換器開始支援 2 個新的網路安全通訊協定,未來幾年內你被要求回答這個問題的機會將多得是。這 2 個通訊協定分別是 IEEE 802.1AE-2006 的媒體存取控制安全 (Media Access Control Security, MACsec),以及 802.1X 的更新版叫做 802.1X-REV,它們可以協助強化線路上第 2 層流量的安全性。 802.1AE 是一套完整的標準,很快就會出現在硬體實作當中了。至於 802.1X-REV 最快則會在明年第 1 季獲准通過。
Cisco 在其網路層級安全計畫(代號 TrustSec)的 2007 年 12 月公告裡面,宣佈將會導入 802.1AE 通訊協定。 802.1AE 可以確保第 2 層裡面端點之間資料的完整性與隱密性。而 802.1X-REV 裡面的改進部分則會自動完成 802.1AE 所需的認證和金鑰管理。
802.1AE 保護的是以節點間 (hop-by-hop) 所傳輸的資料(請參考「短距離跳躍安全」圖表),確保訊框沒有被像是交換器、路由器和主機等第 2 層設備加以修改。企業可以選擇加密經由線路傳輸的訊框資料,但是理論上會覺得這麼做是沒有必要的。我們之所以說「理論上」,是因為加密會影響到交換器的效能並增加延遲。
預設的加密演算法是 AES-GCM,需要網路基礎建設和主機網路介面卡的硬體配合進行升級。 802.1AE 的實作必須遵守此標準所定義的效能條件,802.1AE 並未指定明確的時間數據;相反地,802.1AE 在處理時的最大延遲是相對於在線路上串接位元所花費的時間而訂定的。在 100-Mbps 網路里面,處理 1 個 1,500-byte 訊框所需花費的時間小於 1 毫秒。這種程度的影響應該可以被忽略不予理會。
缺點是,任何用來處理網路流量的產品(例如負載平衡器、流量限制器和網路分析儀),都將會忽略掉經 802.1AE 保護過的流量。
802.1AE 並非第 3 層 VPN(例如 IPsec 或 PPTP)的替代品。 802.1AE 確保的是訊框受到保護,在第 2 層的端點間免於遭受竊聽與竄改。所有經過 2 臺交換器之間的流量都會使用相同的安全參數來加以保護。
另一位主角
除了 802.1AE 之外,本文還有另外一個主題,因為前者只能夠處理加密和完整性而已;而這兩者都需要搭配金鑰。至於 802.1X-REV 則提供了金鑰管理,包括對加密金鑰進行建立、發佈、刪除和更新等動作。
802.1X-REV 建構在 802.1X 之上,提供像是多個設備在單一交換器上面的認證以及為 802.1AE 設備發佈金鑰等支援。相較於手動為網路里面的設備建立和安裝金鑰,802.1X-REV 將金鑰管理當作通訊協定本身的一部分,方式就像 802.11i 或 WPA/WPA2 那樣。此外 802.1AE 也是可以擴充的,供應商可以在 802.1AE 標頭裡面加入選擇性的資訊。
許多公司的實體線路都是每張桌子或者每個隔間設置 1 個實體 LAN 連接埠,而且有線網路里面的 802.1X,其原先的設計就是以 1 臺電腦 1 個連接埠為基礎的。雖然現在許多公司裡面,1 個連接埠接好幾臺電腦是非常常見的情形。舉例而言,VoIP 網路電話設備就有自己的 LAN 連接埠可以插到桌上型或者筆記型電腦上面,形同 1 個連接埠有 2 部網路設備。倘若只有 1 個連接埠的話,只會呈現 2 種狀態的其中之一:通過認證(開放式網路)或者未通過認證(封閉式網路)。
……未完(更多內容請參閱網路資訊雜誌 2008 年 11 月號 204 期)
(作/ Mike Fratto‧譯/陳佳新)