¿Qué es MACsec, y por qué es importante?

El mes pasado aprobé la certificación de AWS Advanced Networking. Y sí, hay que llevar vaselina, no porque los temas sean muy amplios, si no por la profundidad de lo que se te pregunta.

Uno de los temas a evaluar, es MACsec en distintos escenarios. Pero, ¿qué es MACsec?

Antes de hablar sobre ello, primero deberíamos entender qué es el servicio Direct Connect, también conocido como DX. Pero antes, veamos un par de ejemplos 👀.

---

¿A cuántos os ha pasado esto en el pasado? 😂

---

Imagina que eres el arquitecto de redes responsable de la noche de ventas del Black Friday para una empresa online con muchos 0s en ventas.

Tienes cargas de trabajo repartidas entre tu infraestructura de on-premises y AWS.

Tu aplicación depende de conectividad VPN.

Las rebajas empiezan, pero algunos sistemas empiezan a fallar por timeouts; poco a poco, nada funciona, y los clientes no pueden navegar ni comprar...

Ahora imagínate la cantidad de pasta que la empresa va a perder por un segundo si los sistemas fallan en medio de una campaña grande de ventas. Estamos hablando de millones de euros o dólares en beneficios...

Tu jefe tendrá este temazo en la cabeza, para tu último 1&1.

---

El servicio de Direct Connect crea conexiones de red dedicadas entre la infraestructura on-premises de los clientes en los centros de datos y AWS, evitando el uso de la internet pública.

Este servicio nació en 2011 para solucionar la falta de control y transparencia en las cargas de trabajo híbridas que surgía al usar VPN a través del internet público.

Imagina que vas por una autopista privada donde tu información se mueve sin atascos, a la velocidad que tu elijas. Técnicamente hablando, te estarías conectando directamente hacia AWS mediante fibra óptica. Ya no dependes del internet público, y además cuentas con un SLA.

He preparado una pequeña comparación con los pros y contras de cada servicio.

---

VPN Por internet

En un escenario híbrido en la nube, el VPN es la forma más rápida de lograr conectarnos, pero tiene algunos inconvenientes:

• La conexión está Cifrada, pero no es privada; fluye a través de internet
• No hay SLAs de extremo a extremo
• Riesgo de DDoS
• Latencia impredecible: No hay control sobre el enrutamiento; esto impacta la latencia
• Ancho de banda limitado: hasta 1.25 Gbps por flow (Puede escalar con el uso de un transit gateway y ECMP)
• Barato de configurar, pero caro de usar. El tráfico de descarga se encarece mucho después de cierto volumen de datos

AWS Direct Connect

Esta solución no es la más rápida ni la más barata de desplegar; es más complicada de diseñar, pero ofrece algunas ventajas como:

• La conexión está libre de ataques DDoS, está fuera del internet público
• La conexión es privada, pero no está cifrada por defecto (posibilidad de cifrado con MACsec 👀 o IPsec)
• Latencia predecible y estable
• Alto ancho de banda – desde 50 Mbps hasta 400 Gbps Puedes usar LACP para crear un LAG y agrupar enlaces juntos trabajando como uno solo (hasta 4 veces 10GE y 2 veces 100GE)
• Solución rentable después de cierto volumen de datos descargados ya que el tráfico es más barato
• Se pueden lograr arquitecturas resilientes avanzadas (con un diseño adecuado)
• Conexión respaldada por un SLA de nivel empresarial

---

¿Qué elegir: VPN o Direct Connect?

Esto dependerá de las necesidades de la empresa; normalmente el SLA, la latencia, el ancho de banda y el tiempo de implementación son algunos de los factores que te pueden ayudar a tomar la decisión final.

La resiliencia y el SLA son factores críticos en nuestro ejemplo. Así que está clarísimo por qué tendríamos que haber tenido este Direct Connect en lugar de depender del VPN.

---

El servicio de Direct Connect viene en dos versiones: Hosteada o Dedicada.

• Conexiones Hosteadas: es una VLAN proporcionada por un partner de conectividad de AWS. El partner al tener los puertos contra AWS levantados, vende la "capacidad" en base a las necesidades del cliente. Estas VLANs empiezan desde 50Mbps hasta 25 Gbps. Permite mucha más flexibilidad que una conexión dedicada en cuanto a anchos de banda

• Conexiones dedicadas: es un puerto físico entero para el cliente contra AWS. Requiere que el cliente esté físicamente en un centro de datos donde AWS ofrezca el servicio de Direct Connect. Los anchos de banda disponibles son 1, 10, 100 y 400 GE.

Ok, ¿pero qué coj**** es MACsec?

MACsec (802.1AE) significa Media Access Control Security.
Es un cifrado punto a punto de Capa 2, que añade una capa de seguridad extra en los Direct Connects Dedicados (no hosteados).

MACsec está disponible en algunas localizaciones, pero no todas están soportados. Este cifrado está disponible únicamente para puertos de 10, 100 y 400GE.

---

MACsec da:

• Confidencialidad: cifrando la información que se envía (el payload se cifra).
• Integridad de los datos: añadiendo mecanismos adicionales para asegurar que los datos no puedan ser modificados durante el tránsito sin ser detectados.
• Autenticidad del origen de los datos: ambas partes pueden ver que los frames han sido enviados por el otro dispositivo y verificarlo.
• Replay protection: los atacantes no pueden capturar y reenviar frames antiguos para engañar al sistema.
• Super alta velocidad: está diseñado para funcionar a lo que de el puerto

---

Conceptos de MACsec:

• El MACsec Key Agreement Protocol (MKA) gestiona el descubrimiento de sistemas, la autenticación y la generación de claves de cifrado

---

• Ambos routers deben estar asociados con una Connectivity Association Key (CAK) y un Connection Key Name (CKN). La CAK es una clave secreta compartida, mientras que el CKN es un identificador para la CAK. La misma CAK/CKN debe configurarse en ambos dispositivos.

• Secure Association Key (SAK): Esta es la clave generada por el MKA utilizando el par CKN/CAK proporcionado. La SAK generada cifra el payload del frame.

---

• Secure Channel: Cada router crea un Canal Seguro para enviar tráfico al otro participante. Dado que son unidireccionales, un canal se usa para enviar y el otro para recibir. Los Canales Seguros se asignan un Identificador, el Secure Channel Identifier (SCI).

---

¿Cómo MACsec encapsula un frame?

MACsec modifica los Ethernet frames, insertando un Security Tag (SecTAG) y un Integrity Check Value (ICV). El Ethertype y el Payload se encapsulan y cifran mediante la SAK.

El SecTAG contiene información sobre el Número de Paquete (Packet Number), el Secure Channel Identifier (SCI) utilizado para enviar tráfico entre los dispositivos, y otros flags de control.

El ICV permite al dispositivo receptor verificar la integridad y autenticidad del frame. Si, por alguna razón, se recibe un valor diferente al esperado, el frame será descartado.

La información (Payload) no puede ser descifrada sin la SAK, y con todos estos mecanismos, el intercambio de información es seguro.

---

¿Cómo funciona?

MACsec realiza tres fases :

• Negociación de sesión: Ambos routers usarán MKA y generarán la misma SAK para cifrar la información. Huawei tiene una excelente guía en cómo se negocia la sesión en este paso: MACsec Key System

• Comunicación segura: El emisor usa la SAK para cifrar los datos, y el receptor la usa para descifrarlos. Si el frame ha sido alterado, o el número del paquete es repetido o incorrecto, el frame será descartado.

• Mantenimiento de la sesión: El protocolo MKA define un temporizador de sesión (session keepalive). Si, después del límite, no hay comunicación entre los dispositivos, la sesión se declarará insegura y el proceso de negociación comenzará de nuevo.

---

¿Cómo se configura?

Tan fácil como seguir la guía de 5 pasos de AWS.

---

¿A quién le puede interesar esto?

Las empresas que manejan información sensible o confidencial requieren cifrado punto a punto para evitar la interceptación de datos y asegurar la integridad de la información durante su transmisión.

---

¿Cuales son los pros comparado con VPN IPsec?

• Debido a que la información está cifrada en Capa 2, MACsec escala desde megabits hasta terabits por segundo. Con MACsec, podemos alcanzar velocidades cercanas al ancho de banda total del puerto.
• MACsec es más fácil de configurar y gestionar que un VPN IPsec.
• MACsec funciona en la Capa 2, siendo agnóstico a los protocolos de capas superiores. Las aplicaciones y configuraciones de red no necesitan estar al tanto de MACsec.

¿Y las contras?

• MACsec requiere Direct Connect Dedicado, que tiene costos iniciales más altos que usar una VPN por internet.

• Dado que MACsec solo está disponible en DX Dedicados, debes de encontrarte en un PoP (Punto de Presencia) de AWS para el servicio de Direct Connect. También puedes depender de un partner de conectividad capaz de extender los frames MACsec desde tu PoP hasta AWS, como DE-CIX. Esto limita la flexibilidad en comparación con IPsec, que funciona sobre cualquier conexión a internet.

• Aunque MACsec sea un estándar, no todos los dispositivos de red lo soportan. Esto puede incluir en costes para adquirir nuevos equipos que sean compatibles.

• MACsec es un cifrado punto a punto que solo protege el enlace entre dos dispositivos. Si tus datos viajan más allá del Direct Connect, MACsec no puede asegurarlos.

---

En conclusión, MACsec proporciona la seguridad que le faltaba al servicio de Direct Connect, cifrando en Capa 2 y garantizando la integridad y privacidad de los datos a través de conexiones dedicadas a toda velocidad.

Es la alternativa perfecta al VPN para conexiones de alto ancho de banda.

Ahora que sabes cómo asegurar tus cargas de trabajo híbridas, evita hacer esto en tu aplicación 🌚

Si te gustó este artículo, dale ❤️ y asegúrate de seguirme en dev.to, ¡nos vemos en mi próxima ida de olla!