Analysis and empirical evaluation of IEEE 802.1AE (MAC Security) standard

Abstract

Οι διάφορες εφαρμογές ενός τοπικού δικτύου (LAN - Local Area Network) το καθιστούν αναμφισβήτητα ένα σημαντικό και αναπόσπαστο μέρος πολλών σύγχρονων εγκαταστάσεων, όπως σχολείων, πανεπιστημίων και κτιρίων γραφείων. Σήμερα, πολλές απειλές προσπαθούν να υποβαθμίσουν την ασφάλεια του δικτύου, ενώ η τρέχουσα προσοχή των επιχειρήσεων κατευθύνεται σε εσωτερικές παραβιάσεις δεδομένων. Σημαντικές ερευνητικές μελέτες πραγματοποιούνται για να κατανοήσουμε πόσο αποτελεσματικά είναι τα πρωτόκολλα ασφαλείας έναντι αυτών των απειλών. Η παρούσα διατριβή εστιάζει στο σχετικά νέο πρωτόκολλο MACSec με στόχο (α) να ερευνήσει το πώς το MACSec προστατεύει τη συνεδρεία δύο μηχανών από έναν εσωτερικό εισβολέα, (β) να διερευνήσει τη σχέση του με το IPSec, και (γ) να αξιολογήσει εμπειρικά το φόρτο που προσθέτει το πρωτοκόλλο MACSec σε υπηρεσίες όπως η μεταφορά αρχείων. Για τους σκοπούς της μελέτης, δημιουργείται μια συνεδρία MACSec μεταξύ δύο εικονικών μηχανών (VMs). Στη συνέχεια, ορισμένα πακέτα δεδομένων ανταλλάσσονται μεταξύ των VMs ενώ ένα τρίτο VM με ρόλο εισβολέα όντας συνδεδεμένος στο ίδιο LAN επιχειρεί να συλλάβει την κυκλοφορία των πακέτων. Αργότερα, ενεργοποιούμε το FTP και το HTTP στα μηχανήματα και καταγράφουμε ξανά τα ανταλλαγμένα πακέτα χρησιμοποιώντας τη μηχανή του επιτιθέμενου. Τελικώς, αντιγράφουμε τρία αρχεία με διαφορετικά μεγέθη μεταξύ των εικονικών μηχανών και καταγράφουμε τον χρόνο της ανταλλαγής όταν η MACSec συνεδρεία ειναι απενεργοποιημένη και ενεργοποιημένη. Τα αποτελέσματα αποκαλύπτουν ότι το πρωτόκολλο MACSec διασφαλίζει την συνεδρία των δύο VM και ο εισβολέας δεν μπορεί να έχει πρόσβαση σε ιδιωτικά δεδομένα. Επιπλέον, το FTP λειτουργεί μέσω της ασφαλούς συνεδρίας του πρωτοκόλλου MACSec, ενώ το HTTP δεν σχετίζεται με τη συνεδρία του πρωτοκόλλου MACSec και τα πακέτα δεδομένων είναι ευάλωτα σε εσωτερικές επιθέσεις. Τελικώς παρατηρούμε ότι η MACSec συνεδρεία επιμηκύνει τον χρόνο για την μεταφορά αρχείων. Καταλήγουμε στο συμπέρασμα ότι το MACSec είναι αποτελεσματικό στην προστασία από έναν εσωτερικό εισβολέα που επιχειρεί να παρακολουθήσει την κυκλοφορία πακέτων και ότι διαφορετικά πρωτόκολλα είτε υποστηρίζουν είτε είναι ανεξάρτητα από το πρωτόκολλο MACSec. Μια πλήρης αξιολόγηση πρέπει να εκπληρωθεί σε συνδυασμό με τη διερεύνηση εξωτερικών επιθέσεων, άμεσων επιθέσεων, και τη συνεργασία του MACSec με άλλα πρωτόκολλα. Η προτεινόμενη προσέγγιση αποτελεί ένα σημαντικό βήμα προς μια πλήρη αξιολόγηση της αποτελεσματικότητας του πρωτοκόλλου MACSec για να αποκτήσουμε βαθύτερη κατανόηση σχετικά με τα κενά ασφαλείας των δικτύων τύπου LAN.

The various applications of a Local Area Network (LAN) have incontestably render it an important and integral part of many contemporary facilities including schools, universities, and office buildings. Nowadays, a lot of threats attempt to downgrade the network security, while enterprises' current attention is directed to internal data breaches. Considerable research studies are carried out in order to apprehend how effective are the security protocols against these threats. In this thesis, a study about MACSec protocol, a promising relatively new security protocol is conducted to (a) explore how MACSec protects the session of two machines against an internal attacker, (b) investigate its relation with IPSec, and (c) empirically assess the overhead of MACSec protocol in common services like file transfer.

For the purpose of the study, a MACSec session is established between two virtual machines (VMs). Subsequently, some packets of data are exchanged between them and a third virtual machine with a role of attacker connected to the same LAN attempts to eavesdrop and capture the network traffic. Later, we enable the FTP and HTTP on the machines and capture the exchanged packets again using the attacking machine. Finally, we copy three files with different sizes between the VMs and record the time of the transfer when the MACSec session is enabled or not.

The results reveal that the MACSec protocol effectively secures the session of the two VMs and the attacker cannot access any private data. In addition, the FTP functions through the secure session of MACSec protocol, while naturally the HTTP is not related to the session of the MACSec protocol and the packets of data are vulnerable to internal attacks. Finally, we notice that the MACSec session prolongs the time of files transfer. We conclude that the MACSec is efficient in protecting against an internal attacker attempting to monitor packets traffic and that different protocols either support or are independent of the MACSec protocol. A complete assessment must be fulfilled in tandem with investigating external attacks, immediate attacks and the cooperation of the MACSec with other protocols. The proposed approach is a first step towards a complete evaluation of the efficacy of the MACSec protocol to gain insight in security gaps of LAN.