Почему шифрование не разрушает работу сетей?

У меня есть базовое понимание того, как работает шифрование.

Насколько я знаю, это уровень открытия CCNA на курсах CISCO (наряду с несколькими другими вещами, такими как Стив Гибсон и Лео Лапорт « Безопасность сейчас » в различных эпизодах).

Мой вопрос (ы):

Не нарушит ли шифрование сетевую концепцию исходного назначения ip / mac и MAC-адреса в пакетах / кадрах?

Потому что...

Очевидно, что любые «незашифрованные» (ключи) данные могут быть отправлены вместе с данными, но это нарушит безопасность, так как коммутаторы не смогут направлять данные и создавать свои таблицы MAC во внутренней сети.

Теперь я сделаю некоторые предположения о том, что я знаю. Или:

1. Коммутаторы могут использовать то, что находится в инкапсулированном заголовке пакетов IP и MAC-адреса, наряду с данными, известными из предыдущих подключений, для дешифрования пакетов, инкапсулированных с MAC-адресами кадров источника и назначения.
2. Маршрутизаторы могут использовать данные пакетов пакетов / предыдущих подключений для расшифровки пакетов, инкапсулированных с IP-адресами источника и назначения.
3. Вся концепция шифрования в Интернете не работает (очевидно, не соответствует действительности)
4. MAC-адреса источника и назначения отправляются незашифрованными для зашифрованных пакетов. (Если это так, значит ли это, что человек посередине может захватить все данные, записать их, а затем потратить столько времени, сколько потребуется, просто перебирая ключи для его расшифровки?)

Или иначе, мои предположения являются поддельными по какой-то причине (Почему они являются поддельными?).

Этот вопрос основан на теоретических знаниях, полученных в результате изучения этих курсов, поэтому, пожалуйста, углубляйтесь в детали, которые вы абсолютно готовы, даже если вы думаете, что излагаете очевидное. Я спрашиваю это из чисто академических соображений / интенсивного любопытства, а не потому, что у меня есть практическая проблема.

Ваше предположение № 4 отчасти верно. Чаще всего в таких технологиях, как SSL / TLS, IP-адреса и MAC-адреса отправляются в незашифрованном виде. Более конкретно, если мы посмотрим на сетевую модель OSI , IP-адреса являются частью уровня 3, MAC-адреса являются частью уровня два, тогда как SSL / TLS находится на уровне 4. Большинство технологий шифрования работают выше уровня 3, так что адресация может быть прочитанным стандартными маршрутизаторами и коммутаторами.

Чтобы решить проблему посредника, технологии шифрования должны обеспечивать некоторую аутентификацию перед запуском и зашифрованный сеанс. В примере SSL / TLS использование сертификатов, которые предоставляются доверенным центром сертификации (т. Е. Verisign), используется для аутентификации.

Если говорить о, возможно, нежелательных деталях: шифрование происходит на транспортном уровне и выше именно по тем причинам, которые вас беспокоят. Транспортный уровень - это тот, который находится непосредственно над IP и другими схемами адресации. Это означает, что информация, необходимая для этих протоколов, не зашифрована, поскольку данные принадлежат нижнему уровню.

Например, TLS и его предшественник SSL шифруют на транспортном уровне. Это означает, что единственными незашифрованными данными являются заголовки IP.

Между тем, когда вы выбираете шифрование электронной почты в вашей любимой почтовой программе, оно будет шифровать только реальное почтовое сообщение, тогда как заголовки IP, TCP и SMTP будут незашифрованными. Это сообщение, в свою очередь, может быть передано через соединение TLS. TLS затем зашифрует части TCP и SMTP, эффективно зашифровав тело сообщения дважды. Тогда незашифрованного IP-заголовка будет достаточно, чтобы передать его с вашего компьютера на почтовый сервер. Сервер электронной почты затем расшифровывает TLS, позволяя ему увидеть, что это TCP-сообщение SMTP. Затем он передаст это программе SMTP, которая сможет отправить его в нужную папку входящих сообщений. Оказавшись там, читатель электронной почты пользователя будет иметь информацию, необходимую для расшифровки тела сообщения.

Номер 4 это правда. При отправке зашифрованного пакета данные шифруются, а не адреса источника и назначения.

Взгляните на этот пакет входа SSH:

Он отображается в виде зашифрованного пакета запроса. Как видите, детали источника и назначения видны.

WEP и WPA являются тегами для вопроса, которые предназначены для беспроводных сетей. Эти протоколы обрабатывают шифрование для сетевого уровня, но они используются, чтобы люди, не находящиеся в сети, не могли видеть, что отправляет сеть.

Каждый узел в беспроводной сети должен знать ключ шифрования, чтобы сетевой маршрутизатор мог декодировать весь трафик. Я считаю, что это означает, что любой узел, подключенный к зашифрованной беспроводной сети, может прослушивать весь трафик в этой сети.

Таким образом, WEP и WPA не защищают от злонамеренных пользователей, которые находятся в той же сети, что и вы. Вам все еще нужно использовать другие уровни шифрования, чтобы скрыть свой трафик от них.

Редактировать:

После прочтения стандарта 802.11i (он же WEP2) я вижу, что он использует отдельный ключ для широковещательных и многоадресных пакетов (групповой временной ключ). Одноадресный трафик шифруется с использованием парного переходного ключа, который является ключом, используемым для трафика между базовой станцией и одним беспроводным устройством. WEP также работает таким образом. Это означает, что два беспроводных устройства не могут читать трафик друг друга, поскольку они не используют один и тот же ключ.

Я считаю, что WEP использует один общий ключ для всех узлов.

В любом случае корпоративные среды часто используют технологию VPN поверх беспроводной линии связи. Этот дополнительный уровень шифрования обеспечивает безопасность от беспроводного устройства вплоть до сервера VPN. Даже если беспроводная сеть прослушивается, пакеты VPN все равно будут зашифрованы.