Почему шифрование не разрушает работу сетей?


8

У меня есть базовое понимание того, как работает шифрование.

Насколько я знаю, это уровень открытия CCNA на курсах CISCO (наряду с несколькими другими вещами, такими как Стив Гибсон и Лео Лапорт « Безопасность сейчас » в различных эпизодах).

Мой вопрос (ы):

Не нарушит ли шифрование сетевую концепцию исходного назначения ip / mac и MAC-адреса в пакетах / кадрах?

Потому что...

Очевидно, что любые «незашифрованные» (ключи) данные могут быть отправлены вместе с данными, но это нарушит безопасность, так как коммутаторы не смогут направлять данные и создавать свои таблицы MAC во внутренней сети.

Теперь я сделаю некоторые предположения о том, что я знаю. Или:

  1. Коммутаторы могут использовать то, что находится в инкапсулированном заголовке пакетов IP и MAC-адреса, наряду с данными, известными из предыдущих подключений, для дешифрования пакетов, инкапсулированных с MAC-адресами кадров источника и назначения.
  2. Маршрутизаторы могут использовать данные пакетов пакетов / предыдущих подключений для расшифровки пакетов, инкапсулированных с IP-адресами источника и назначения.
  3. Вся концепция шифрования в Интернете не работает (очевидно, не соответствует действительности)
  4. MAC-адреса источника и назначения отправляются незашифрованными для зашифрованных пакетов. (Если это так, значит ли это, что человек посередине может захватить все данные, записать их, а затем потратить столько времени, сколько потребуется, просто перебирая ключи для его расшифровки?)

Или иначе, мои предположения являются поддельными по какой-то причине (Почему они являются поддельными?).

Этот вопрос основан на теоретических знаниях, полученных в результате изучения этих курсов, поэтому, пожалуйста, углубляйтесь в детали, которые вы абсолютно готовы, даже если вы думаете, что излагаете очевидное. Я спрашиваю это из чисто академических соображений / интенсивного любопытства, а не потому, что у меня есть практическая проблема.


Они правы. Зашифрованы только данные (прикладной уровень) и, возможно, также транспортный уровень (после настройки сеанса). Шифрование на канальном уровне работает иначе (см. WPA2 и т. Д. Или IPsec (?)). Если вы хотите скрыть свои IP и mac адреса, вам придется пройти через (доверенный) анонимный прокси или что-то еще.
conspiritech

Ответы:


5

Ваше предположение № 4 отчасти верно. Чаще всего в таких технологиях, как SSL / TLS, IP-адреса и MAC-адреса отправляются в незашифрованном виде. Более конкретно, если мы посмотрим на сетевую модель OSI , IP-адреса являются частью уровня 3, MAC-адреса являются частью уровня два, тогда как SSL / TLS находится на уровне 4. Большинство технологий шифрования работают выше уровня 3, так что адресация может быть прочитанным стандартными маршрутизаторами и коммутаторами.

Чтобы решить проблему посредника, технологии шифрования должны обеспечивать некоторую аутентификацию перед запуском и зашифрованный сеанс. В примере SSL / TLS использование сертификатов, которые предоставляются доверенным центром сертификации (т. Е. Verisign), используется для аутентификации.


6

Если говорить о, возможно, нежелательных деталях: шифрование происходит на транспортном уровне и выше именно по тем причинам, которые вас беспокоят. Транспортный уровень - это тот, который находится непосредственно над IP и другими схемами адресации. Это означает, что информация, необходимая для этих протоколов, не зашифрована, поскольку данные принадлежат нижнему уровню.

Например, TLS и его предшественник SSL шифруют на транспортном уровне. Это означает, что единственными незашифрованными данными являются заголовки IP.

Между тем, когда вы выбираете шифрование электронной почты в вашей любимой почтовой программе, оно будет шифровать только реальное почтовое сообщение, тогда как заголовки IP, TCP и SMTP будут незашифрованными. Это сообщение, в свою очередь, может быть передано через соединение TLS. TLS затем зашифрует части TCP и SMTP, эффективно зашифровав тело сообщения дважды. Тогда незашифрованного IP-заголовка будет достаточно, чтобы передать его с вашего компьютера на почтовый сервер. Сервер электронной почты затем расшифровывает TLS, позволяя ему увидеть, что это TCP-сообщение SMTP. Затем он передаст это программе SMTP, которая сможет отправить его в нужную папку входящих сообщений. Оказавшись там, читатель электронной почты пользователя будет иметь информацию, необходимую для расшифровки тела сообщения.


Где будет точно незашифрованный пакет электронной почты? Сдается мне, что если только IP-уровень не зашифрован, то, как только он войдет во внутреннюю сеть, куда направляется электронная почта, он не сможет ничего пропустить, кроме шлюза по умолчанию? (как было ясно, я как бы нуб в этом, и, очевидно, мое предположение неверно, однако я не уверен почему)
Dmatig

Я отредактировал свой ответ выше, чтобы уточнить. Дайте мне знать, если это помогло.
jdmichal

5

Номер 4 это правда. При отправке зашифрованного пакета данные шифруются, а не адреса источника и назначения.

Взгляните на этот пакет входа SSH:

альтернативный текст

Он отображается в виде зашифрованного пакета запроса. Как видите, детали источника и назначения видны.


Не могли бы вы взглянуть на мой вопрос в ответе jdmichal? Мне тоже интересно об этом - MAC-адрес необходим для обхода внутренней сети, все ли это обрабатывается на уровне маршрутизаторов шлюза по умолчанию? Если да, то как пакет различает этот маршрутизатор и каждый другой переход?
Дматиг

2

WEP и WPA являются тегами для вопроса, которые предназначены для беспроводных сетей. Эти протоколы обрабатывают шифрование для сетевого уровня, но они используются, чтобы люди, не находящиеся в сети, не могли видеть, что отправляет сеть.

Каждый узел в беспроводной сети должен знать ключ шифрования, чтобы сетевой маршрутизатор мог декодировать весь трафик. Я считаю, что это означает, что любой узел, подключенный к зашифрованной беспроводной сети, может прослушивать весь трафик в этой сети.

Таким образом, WEP и WPA не защищают от злонамеренных пользователей, которые находятся в той же сети, что и вы. Вам все еще нужно использовать другие уровни шифрования, чтобы скрыть свой трафик от них.

Редактировать:

После прочтения стандарта 802.11i (он же WEP2) я вижу, что он использует отдельный ключ для широковещательных и многоадресных пакетов (групповой временной ключ). Одноадресный трафик шифруется с использованием парного переходного ключа, который является ключом, используемым для трафика между базовой станцией и одним беспроводным устройством. WEP также работает таким образом. Это означает, что два беспроводных устройства не могут читать трафик друг друга, поскольку они не используют один и тот же ключ.

Я считаю, что WEP использует один общий ключ для всех узлов.

В любом случае корпоративные среды часто используют технологию VPN поверх беспроводной линии связи. Этот дополнительный уровень шифрования обеспечивает безопасность от беспроводного устройства вплоть до сервера VPN. Даже если беспроводная сеть прослушивается, пакеты VPN все равно будут зашифрованы.


Хммм. Я действительно, действительно раздвигаю границы того, что является законным "единственным вопросом" о SU сейчас ... НО. Допустим, у меня есть полностью внутренняя сеть. ИТ использует ISR (Intergrated Services Router) в качестве центральной точки (вместо концентратора / коммутатора / и т. Д.). Я знаю, что маршрутизатор обеспечивает шифрование. Это обеспечивает только шифрование для ВНЕШНЕГО трафика? Спасибо.
Дматиг

Я не понимаю вопрос. Я не знаком со своим маркетинговым языком cisco. :) Я собираюсь догадаться, что у него есть обычная незашифрованная сеть на внутренней стороне и VPN-канал на внешней стороне? Если так, то ответ - да.
Кевин Панко

Это не проблема, Кевин. Я сейчас только на полпути к курсу, и, к тому же, мой вопрос для него очень нестандартный. Я буду упрощать как можно лучше. Допустим, у вас есть маршрутизатор "linksys", подключенный к вашему модему ISP. Я нахожусь в Великобритании, я думаю, что это будет работать аналогично интернет-провайдеру вашей страны). С другой стороны, у вас есть группа клиентов (скажем, 5?). Вы устанавливаете беспроводное соединение, используя некоторое шифрование. (Я сознательно не согласен. Если вам нужны более конкретные идеи, давайте скажем что-то более современное, например, WPA - я просто ищу теоретические идеи, а не реальные примеры.
Dmatig

Я установил предел char ^ Итак, я понял, что маршрутизатор Linksys расшифровывает информацию, и, следовательно, вся моя внутренняя сеть (все, что находится за моим стандартным маршрутизатором домашней сети Linksys) может свободно читать все, что находится в моей домашней сети? Я немного озадачен тем, насколько все это «безопасно» в корпоративной среде. Внешние ссылки приветствуются.
Дматиг

1
Домашний маршрутизатор Linksys - это сетевой коммутатор, маршрутизатор с функциями NAT и точка беспроводного доступа, все в одной маленькой коробке. Задача сетевого коммутатора - отправлять кадры Ethernet по назначению на основе MAC-адреса. Это препятствует тому, чтобы устройства проводной сети видели трафик, не адресованный им. Широковещательные кадры, разумеется, отправляются на каждое устройство. Кроме того, кадры, адресованные MAC-адресу, который коммутатор не распознает (он не видел этот MAC раньше), также отправляются каждому устройству.
Кевин Панко
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.