6장. MACsec을 사용하여 동일한 물리적 네트워크에서 계층 2 트래픽 암호화
MACsec을 사용하여 두 장치 (point-to-point) 간의 통신을 보호할 수 있습니다. 예를 들어, 지사 사무실은 중앙 사무실과 Metro-Ethernet 연결을 통해 연결되어 있으며, 사무실을 연결하는 두 호스트에서 MACsec을 구성하여 보안을 강화할 수 있습니다.
6.1. MACsec을 통한 보안 향상 방법
MACsec(Media Access Control Security)은 다음과 같이 이더넷 링크를 통해 다양한 트래픽 유형을 보호하는 계층 2 프로토콜입니다.
- DHCP(Dynamic Host Configuration Protocol)
- 주소 확인 프로토콜 (ARP)
- IPv4 및 IPv6 트래픽
- TCP 또는 UDP와 같은 IP를 통한 모든 트래픽
MACsec은 기본적으로 GCM-AES-128 알고리즘을 사용하여 LAN의 모든 트래픽을 암호화하고 인증하며, 사전 공유 키를 사용하여 참가자 호스트 간 연결을 설정합니다. 사전 공유 키를 변경하려면 MACsec을 사용하는 모든 네트워크 호스트에서 NM 구성을 업데이트해야 합니다.
MACsec 연결은 이더넷 네트워크 카드, VLAN 또는 터널 장치와 같은 이더넷 장치를 상위로 사용합니다. 암호화된 연결을 사용하여 다른 호스트와만 통신하도록 MACsec 장치에서만 IP 구성을 설정하거나 상위 장치에 IP 구성을 설정할 수도 있습니다. 후자의 경우, 암호화되지 않은 연결을 사용하고 MACsec 장치를 사용하여 암호화된 연결에 MACsec 장치를 사용하여 다른 호스트와 통신하는 데 상위 장치를 사용할 수 있습니다.
MACsec에는 특별한 하드웨어가 필요하지 않습니다. 예를 들어 호스트와 스위치 간의 트래픽만 암호화하려는 경우를 제외하고 모든 스위치를 사용할 수 있습니다. 이 시나리오에서는 스위치에서 MACsec도 지원해야 합니다.
즉, 두 가지 일반적인 시나리오에 대해 MACsec을 구성할 수 있습니다.
- host-to-host
- host-to-switch 및 switch-to-other-hosts
MACsec은 동일한 물리적 LAN 또는 가상 LAN에 있는 호스트 간에만 사용할 수 있습니다.