8

У меня есть базовое понимание того, как работает шифрование.

Насколько я знаю, это уровень открытия CCNA на курсах CISCO (наряду с несколькими другими вещами, такими как Стив Гибсон и Лео Лапорт « Безопасность сейчас » в различных эпизодах).

Мой вопрос (ы):

Не нарушит ли шифрование сетевую концепцию исходного назначения ip/mac и MAC-адреса в пакетах / кадрах?

Так как...

Очевидно, что любые "незашифрованные"(ключи) данные могут быть отправлены вместе с данными, но это нарушит безопасность, так как коммутаторы не смогут направлять данные и создавать свои таблицы MAC во внутренней сети.

Теперь я сделаю некоторые предположения о том, что я знаю. Или:

  1. Коммутаторы могут использовать то, что находится в инкапсулированном заголовке пакетов IP и MAC-адреса, наряду с данными, известными из предыдущих подключений, для дешифрования пакетов, инкапсулированных с MAC-адресами кадров источника и назначения.
  2. Маршрутизаторы могут использовать данные пакетов пакетов / предыдущих подключений для дешифрования пакетов, инкапсулированных с IP-адресами источника и назначения.
  3. Вся концепция шифрования в Интернете не работает (очевидно, не соответствует действительности)
  4. MAC-адреса источника и назначения отправляются незашифрованными для зашифрованных пакетов. (Если это так, значит ли это, что человек посередине может захватить все данные, записать их, а затем потратить столько времени, сколько потребуется, просто перебирая ключи для его расшифровки?)

Или иначе, мои предположения являются поддельными по какой-то причине (Почему они являются поддельными?).

Этот вопрос основан на теоретических знаниях, полученных в результате изучения этих курсов, поэтому, пожалуйста, вдавайтесь в подробности настолько, насколько вы абсолютно готовы, даже если вы думаете, что излагаете очевидное. Я спрашиваю это из чисто академических соображений / интенсивного любопытства, а не потому, что у меня есть практическая проблема.

4 ответа4

6

Чтобы перейти к нежелательным деталям: шифрование происходит на транспортном уровне и выше именно по тем причинам, которые вас беспокоят. Транспортный уровень - это тот, который находится непосредственно над IP и другими схемами адресации. Это означает, что информация, необходимая для этих протоколов, не зашифрована, поскольку данные принадлежат нижнему уровню.

Например, TLS и его предшественник SSL шифруют на транспортном уровне. Это означает, что единственными незашифрованными данными являются заголовки IP.

Между тем, когда вы решите зашифровать электронную почту в вашей любимой почтовой программе, она будет шифровать только реальное почтовое сообщение, тогда как заголовки IP, TCP и SMTP будут незашифрованы. Это сообщение, в свою очередь, может передаваться по соединению TLS. TLS затем зашифрует части TCP и SMTP, эффективно зашифровав тело сообщения дважды. Тогда незашифрованного IP-заголовка будет достаточно, чтобы передать его с вашего компьютера на почтовый сервер. Почтовый сервер затем расшифровывает TLS, позволяя ему увидеть, что это SMTP-сообщение TCP. Затем он передаст это программе SMTP, которая сможет отправить его в нужную папку входящих сообщений. Оказавшись там, читатель электронной почты пользователя будет иметь информацию, необходимую для расшифровки тела сообщения.

5

Номер 4 это правда. Когда отправляется зашифрованный пакет, данные шифруются, а не адреса источника и назначения.

Взгляните на этот пакет входа SSH:

альтернативный текст

Он отображается в виде зашифрованного пакета запроса. Как вы можете видеть, детали источника и назначения видны.

5

Ваше предположение № 4 отчасти верно. Чаще всего в таких технологиях, как SSL/TLS, IP-адреса и MAC-адреса отправляются в незашифрованном виде. Более конкретно, если мы посмотрим на сетевую модель OSI, IP-адреса являются частью уровня 3, MAC-адреса являются частью уровня два, тогда как SSL/TLS находится на уровне 4. Большинство технологий шифрования работают выше уровня 3, так что адресация может быть прочитана стандартными маршрутизаторами и коммутаторами.

Чтобы решить проблему посредника, технологии шифрования должны обеспечивать некоторую аутентификацию перед запуском и зашифрованный сеанс. В примере SSL/TLS использование сертификатов, которые предоставляются доверенным центром сертификации (т. Е. Verisign), используется для аутентификации.

2

WEP и WPA являются тегами для вопроса, которые предназначены для беспроводных сетей. Эти протоколы обрабатывают шифрование для сетевого уровня, но они используются, чтобы люди, не находящиеся в сети, не могли видеть, что отправляет сеть.

Каждый узел в беспроводной сети должен знать ключ шифрования, чтобы сетевой маршрутизатор мог декодировать весь трафик. Я считаю, что это означает, что любой узел, подключенный к зашифрованной беспроводной сети, может прослушивать весь трафик в этой сети.

Таким образом, WEP и WPA не защищают от злонамеренных пользователей, которые находятся в той же сети, что и вы. Вам все еще нужно использовать другие уровни шифрования, чтобы скрыть от них трафик.

Редактировать:

После прочтения стандарта 802.11i (он же WEP2) я вижу, что он использует отдельный ключ для широковещательных и многоадресных пакетов (групповой временной ключ). Одноадресный трафик шифруется с использованием парного переходного ключа, который является ключом, используемым для трафика между базовой станцией и одним беспроводным устройством. WEP также работает таким образом. Это означает, что два беспроводных устройства не могут читать трафик друг друга, поскольку они не используют один и тот же ключ.

Я считаю, что WEP использует один общий ключ для всех узлов.

В любом случае корпоративные среды часто используют технологию VPN поверх беспроводной линии связи. Этот дополнительный уровень шифрования обеспечивает безопасность от беспроводного устройства вплоть до сервера VPN. Даже если беспроводная сеть прослушивается, пакеты VPN все равно будут зашифрованы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .