5.3. wpa_supplicant 및 NetworkManager에서 MACsec 사용
Media Access Control Security (MACsec, IEEE 802.1AE)는 GCM-AES-128 알고리즘을 사용하여 LAN의 모든 트래픽을 암호화하고 인증합니다. MACsec 은 IP 뿐만 아니라 ARP(Address Resolution Protocol), ND(Nighbor Discovery) 또는 DHCP 도 보호할 수 있습니다. IPsec 은 애플리케이션 계층(계층 7)의 네트워크 계층(계층 3 및 SSL 또는 TLS )에서 작동하지만 MACsec 은 데이터 링크 계층(계층 2)에서 작동합니다. 다른 네트워킹 계층을 위해 MACsec 과 보안 프로토콜을 결합하여 이러한 표준이 제공하는 다양한 보안 기능을 활용할 수 있습니다.
사전 공유 연결 키/CAK 이름(CAK/CKN) 쌍을 사용하여 인증을 수행하는 스위치에서
MACsec 을 활성화하려면 다음을 수행합니다.
절차
- CAK/CKN 쌍을 만듭니다. 예를 들어 다음 명령은 16바이트 키를 16진수 표기법으로 생성합니다.
~]$ dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%02x"' wpa_supplicant.conf구성 파일을 생성하고 여기에 다음 행을 추가합니다.ctrl_interface=/var/run/wpa_supplicant eapol_version=3 ap_scan=0 fast_reauth=1 network={ key_mgmt=NONE eapol_flags=0 macsec_policy=1 mka_cak=0011... # 16 bytes hexadecimal mka_ckn=2233... # 32 bytes hexadecimal }이전 단계의 값을 사용하여wpa행을 완료합니다._supplicant.conf 구성 파일에서cknmka_cak및 mka_자세한 내용은wpa_supplicant.conf(5)매뉴얼 페이지를 참조하십시오.- wlp61s0 을 사용하여 네트워크에 연결하는 경우 다음 명령을 사용하여 wpa_supplicant 를 시작합니다.
~]# wpa_supplicant -i wlp61s0 -Dmacsec_linux -c wpa_supplicant.conf
wpa_supplicant.conf 파일을 만들고 편집하는 대신, Red Hat은 nmcli 명령을 사용하여 이전 단계와 동일하게 wpa_supplicant 를 구성하는 것이 좋습니다. 다음 예제에서는 16바이트 16진수 CAK($MKA_CAK) 및 32바이트 16진수 CKN($MKA_CKN)이 이미 있다고 가정합니다.
~]# nmcli connection add type macsec \ con-name test-macsec+ ifname macsec0 \ connection.autoconnect no \ macsec.parent wlp61s0 macsec.mode psk \ macsec.mka-cak $MKA_CAK \ macsec.mka-cak-flags 0 \ macsec.mka-ckn $MKA_CKN ~]# nmcli connection up test-macsec+
이 단계 후에 macsec0 장치를 구성하고 네트워킹에 사용해야 합니다.
자세한 내용은 MACsec의 새로운 기능: wpa_supplicant를 사용하여 MACsec 설정 및 (선택 사항) NetworkManager 문서를 참조하십시오. 또한 MACsec 네트워크의 아키텍처에 대한 자세한 내용은 MACsec: 네트워크 트래픽 문서를 암호화하는 다른 솔루션
, 사용 사례 시나리오 및 구성 예제를 참조하십시오.
