MACsec забезпечує автентифікацію, гарантуючи, що лише відомим вузлам дозволено спілкуватися в локальній мережі. Він забезпечує конфіденційність завдяки шифруванню даних тому лише кінцеві точки з правильним ключем шифрування можуть бачити вміст.

Він не забезпечує наскрізне шифрування в мережах рівня 3 або в Інтернеті. Іншим недоліком є ​​те, що оскільки MACsec використовує метод покрокового шифрування, дані розшифровуються та повторно шифруються на кожному мережевому пристрої, що, у свою чергу, потенційно розкриває дані в кожній точці.

Отже, якщо ваше апаратне забезпечення це підтримує і ваші потреби стосуються виключно локальної мережі, MACsec може заощадити вам багато важкої роботи. однак, для тих, кому потрібне наскрізне шифрування в різних сегментах мережі та через Інтернет, IPsec — це шлях, хоча й з більшими зусиллями та складністю.

Кожен учасник MACsec має захищений канал (SC). використовує для пересилання трафіку іншим учасникам. Кожен канал є односпрямованим; один учасник використовує його для надсилання трафіку, а інші учасники отримують цей трафік. Кожен канал має 8-байтовий ідентифікатор безпечного каналу (SCI).

MACsec визначається стандартом IEEE 802.1AE. Ви можете використовувати MACsec у поєднанні з іншими протоколами безпеки, такими як IP Security (IPsec) і Secure Sockets Layer (SSL), щоб забезпечити безпеку наскрізної мережі.

MACsec не тільки шифрує дані але також забезпечує цілісність через значення перевірки цілісності (ICV), яке є функцією криптографічного дайджесту, що залежить від даних і SAK. Це змушує зловмисника знати ключ для підробки даних.

– Запобігання повторам: MACsec містить механізми, які запобігають зловмисникам від повторного відтворення перехоплених пакетів, щоб порушити роботу мережі. Керуючи порядковими номерами пакетів і впроваджуючи вікно запобігання повторному відтворенню, MACsec гарантує, що пакети, що не відповідають порядку, відкидаються, таким чином пом’якшуючи можливі атаки.