Dlaczego szyfrowanie nie niszczy sposobu działania sieci?

8

Bardzo dobrze rozumiem, jak działa szyfrowanie.

Mam do tej pory wiedzę na temat poziomu odkrywania CCNA na kursach CISCO (wraz z kilkoma innymi rzeczami, takimi jak Steve Gibson i Leo Laporte w „ Security Now ” w różnych odcinkach).

Moje pytanie (pytania) brzmi:

Czy szyfrowanie nie złamałoby koncepcji sieci źródłowego adresu IP / MAC i adresu MAC w pakietach / ramkach?

Ponieważ...

Oczywiście dane „klucze odszyfrowujące” (klucze) mogą być przesyłane z danymi, ale to zepsuje bezpieczeństwo, a przełączniki nie będą w stanie skierować danych i zbudować swoich tabel MAC w sieci wewnętrznej.

Teraz poczynię pewne założenia dotyczące tego, co wiem. Zarówno:

  1. Przełączniki mogą korzystać z zawartości nagłówka w hermetyzowanym adresie IP i MAC, a także danych znanych z wcześniejszych połączeń, aby odszyfrować pakiety zamknięte w adresie MAC ramki źródłowej i docelowej.
  2. Routery mogą korzystać z danych zawartych w danych pakietów / wcześniejszych połączeń, aby odszyfrować pakiety zamknięte w źródłowym i docelowym adresie IP.
  3. Cała koncepcja szyfrowania w Internecie jest niewykonalna (oczywiście nieprawdziwa)
  4. źródłowe i docelowe adresy MAC / ip są wysyłane niezaszyfrowane dla zaszyfrowanych pakietów. (Jeśli tak jest, czy to oznacza, że ​​człowiek w środku może przechwycić wszystkie dane, nagrać je, a następnie spędzić tyle czasu, ile zechce brutalnie wymuszając klucze, aby je odszyfrować?)

Albo też moje założenia są fałszywe z jakiegoś powodu (dlaczego są fałszywe?).

To pytanie zrodziło się z całkowicie teoretycznej wiedzy związanej z nauką tych kursów, więc proszę podać tyle szczegółów, na ile jesteś absolutnie chętny, nawet jeśli myślisz, że mówisz coś oczywistego. Pytam o to z czysto akademickich powodów / intensywnej ciekawości, nie dlatego, że mam praktyczny problem.

Dmatig
źródło
Oni mają rację. Tylko dane są szyfrowane (warstwa aplikacji) i być może także warstwa transportowa (po skonfigurowaniu sesji). Szyfrowanie warstwy łącza działa inaczej (patrz WPA2 itp. Lub IPsec (?)). Jeśli chcesz ukryć adresy IP i mac, musisz przejść przez (zaufany) anonimowy serwer proxy lub coś takiego.
conspiritech

Odpowiedzi:

5

Twoje założenie nr 4 jest częściowo poprawne. Najczęściej w technologiach takich jak SSL / TLS, adresy IP i adresy MAC wysyłane są niezaszyfrowane. Mówiąc dokładniej, jeśli przyjrzymy się modelowi sieciowemu OSI , adresy IP są częścią poziomu 3, adresy MAC są częścią poziomu drugiego, podczas gdy SSL / TLS jest na poziomie 4. Większość technologii szyfrowania działa powyżej poziomu 3, dzięki czemu adresowanie może być czytane przez standardowe routery i przełączniki.

W celu rozwiązania problemu pośredniego technologie szyfrowania muszą zapewnić pewnego rodzaju uwierzytelnienie przed uruchomieniem i zaszyfrowaną sesją. W przykładzie SSL / TLS do uwierzytelnienia wykorzystywane są certyfikaty dostarczane przez zaufany urząd certyfikacji (tj. Verisign).

ciężki
źródło
6

Przechodząc do możliwie niechcianych szczegółów: Szyfrowanie odbywa się w warstwie transportowej i wyżej, właśnie z powodów twojego zainteresowania. Warstwa transportowa to ta znajdująca się bezpośrednio powyżej adresu IP i innych schematów adresowania. Oznacza to, że informacje wymagane dla tych protokołów nie są szyfrowane, ponieważ dane należą do niższej warstwy.

Na przykład TLS i jego poprzednik SSL szyfrują w warstwie transportowej. Oznacza to, że jedynymi niezaszyfrowanymi danymi są nagłówki IP.

W międzyczasie, gdy zdecydujesz się zaszyfrować wiadomość e-mail w ulubionym programie pocztowym, będzie ona szyfrować tylko rzeczywistą wiadomość e-mail, a nagłówki IP, TCP i SMTP będą niezaszyfrowane. Ten komunikat z kolei może być przesyłany przez połączenie TLS. TLS następnie zaszyfruje części TCP i SMTP, skutecznie szyfrując treść wiadomości dwukrotnie. Nieszyfrowany nagłówek IP wystarczyłby wtedy, aby przenieść go z komputera na serwer e-mail. Serwer e-mail odszyfruje następnie TLS, pozwalając mu zobaczyć, że jest to wiadomość TCP SMTP. Dałoby to następnie programowi SMTP, który byłby w stanie wysłać go do właściwej skrzynki odbiorczej. Tam czytnik e-mail użytkownika będzie miał informacje niezbędne do odszyfrowania treści wiadomości.

jdmichal
źródło
Gdzie dokładnie byłby zaszyfrowany pakiet e-mail? Wydaje mi się, że jeśli tylko warstwa IP jest niezaszyfrowana, to kiedy wejdzie do wewnętrznej sieci, do której adresowany jest e-mail, nie będzie w stanie przekazać niczego poza domyślnym routerem bramy? (jak wyjaśniono, jestem w tym rodzaju noobem i oczywiście moje przypuszczenie nie jest prawdą, nie jestem jednak pewien dlaczego)
Dmatig
Zredagowałem moją odpowiedź powyżej, aby wyjaśnić. Daj mi znać, czy to pomogło.
jdmichal
5

Liczba 4 jest prawdziwa. Gdy wysyłany jest zaszyfrowany pakiet, dane są szyfrowane, a nie adresy źródłowy i docelowy.

Spójrz na ten pakiet logowania SSH:

alternatywny tekst

Jest wyświetlany jako zaszyfrowany pakiet żądania. Jak widać, szczegóły źródła i celu są widoczne.

John T.
źródło
Czy mógłbyś rzucić okiem na moje pytanie w odpowiedzi jdmichala? Zastanawiam się również nad tym - adres MAC jest potrzebny do przeszukiwania sieci wewnętrznej, czy to wszystko jest obsługiwane na domyślnym poziomie routera bramy? Jeśli tak, w jaki sposób pakiet rozróżnia ten router i każdy inny przeskok?
Dmatig,
2

WEP i WPA to tagi pytania, które dotyczą sieci bezprzewodowych. Te protokoły obsługują szyfrowanie dla warstwy sieci, ale są używane, aby uniemożliwić ludziom nieobecnym w sieci zobaczenie, co sieć wysyła.

Każdy węzeł sieci bezprzewodowej musi znać klucz szyfrowania, aby router sieci mógł dekodować cały ruch. Uważam, że oznacza to, że każdy węzeł podłączony do zaszyfrowanej sieci bezprzewodowej może wąchać cały ruch w tej sieci.

Dlatego WEP i WPA nie chronią przed złośliwymi użytkownikami, którzy są w tej samej sieci co Ty. Nadal musisz użyć innych warstw szyfrowania, aby ukryć przed nimi ruch.

Edytować:

Po przeczytaniu w 802.11i (aka WEP2) widzę, że używa on osobnego klucza dla pakietów rozgłoszeniowych i multiemisji (Group Temporal Key). Ruch Unicast jest szyfrowany przy użyciu klucza przemijającego parami, który jest kluczem używanym do ruchu między stacją bazową a jednym urządzeniem bezprzewodowym. WEP działa również w ten sposób. Oznacza to, że dwa urządzenia bezprzewodowe nie mogą odczytać ruchu, ponieważ nie współużytkują tego samego klucza.

Uważam, że WEP używa jednego klucza wspólnego dla wszystkich węzłów.

W każdym razie środowiska korporacyjne często wykorzystują technologię VPN jako uzupełnienie łącza bezprzewodowego. Ta dodatkowa warstwa szyfrowania zapewnia bezpieczeństwo od urządzenia bezprzewodowego aż do serwera VPN. Nawet jeśli sieć bezprzewodowa jest wąchana, pakiety VPN nadal będą szyfrowane.

Kevin Panko
źródło
Hmmm. Naprawdę, naprawdę przekraczam granice tego, co jest uzasadnionym „pojedynczym pytaniem” na SU teraz… ALE. Powiedzmy, że mam całkowicie wewnętrzną sieć. IT wykorzystuje ISR (zintegrowany router usług) jako punkt centralny (zamiast koncentratora / przełącznika / itp.). Wiem, że router zapewnia szyfrowanie. Czy to zapewnia szyfrowanie tylko dla ruchu ZEWNĘTRZNEGO? Dzięki.
Dmatig,
Nie rozumiem pytania. Nie podoba mi się moje żargon marketingowy Cisco. :) Zgaduję, że ma regularną nieszyfrowaną sieć po stronie wewnętrznej i łącze VPN po stronie zewnętrznej? Jeśli tak, to odpowiedź brzmi tak.
Kevin Panko,
To żaden problem, Kevin. Jestem dopiero w połowie kursu, a moje pytanie jest poza tym gotowe. Uproszczę jak najlepiej. Powiedzmy, że masz router „linksys” podłączony do twojego modemu ISP. Jestem w Wielkiej Brytanii, myślę, że będzie działać podobnie do twojego kraju ISP). Z drugiej strony masz grupę klientów (powiedzmy 5?). Łączność bezprzewodową konfigurujesz za pomocą szyfrowania. (Rozumiem, że jestem czujny. Jeśli chcesz bardziej szczegółowych pomysłów, powiedzmy coś bardziej mordernego, takiego jak WPA - Po prostu szukam teoretycznych pomysłów, a nie rzeczywistych przykładów.
Dmatig
Osiągnąłem limit limitu ^ Więc rozumiem, że router linksys odszyfruje informacje, a zatem cała moja sieć wewnętrzna (wszystko za moim standardowym routerem sieci domowej Linksys) będzie mogła czytać wszystko, co jest w mojej sieci domowej? Jestem trochę zdezorientowany, jak to wszystko jest „bezpieczne” w środowisku korporacyjnym. Linki zewnętrzne są mile widziane.
Dmatig,
1
Router domowy Linksys to przełącznik sieciowy, router z funkcją NAT i bezprzewodowy punkt dostępu - wszystko w tym samym małym pudełku. Zadaniem przełącznika sieciowego jest wysyłanie ramek Ethernet do ich miejsc docelowych na podstawie adresu MAC. Zapobiega to wyświetlaniu przez urządzenia sieci przewodowej ruchu, który nie jest do nich adresowany. Ramki rozgłoszeniowe są oczywiście wysyłane do każdego urządzenia. Również ramki adresowane na adres MAC, którego przełącznik nie rozpoznaje (wcześniej nie widział tego MAC), są również wysyłane do każdego urządzenia.
Kevin Panko