Почему шифрование не разрушает работу сетей?

2286
Dmatig

У меня есть базовое понимание того, как работает шифрование.

Насколько я знаю, это уровень открытия CCNA на курсах CISCO (наряду с несколькими другими вещами, такими как Стив Гибсон и Лео Лапорт « Безопасность сейчас » в различных эпизодах).

Мой вопрос (ы):

Не нарушит ли шифрование сетевую концепцию исходного назначения ip / mac и MAC-адреса в пакетах / кадрах?

Так как...

Очевидно, что любые «незашифрованные» (ключи) данные могут быть отправлены вместе с данными, но это нарушит безопасность, так как коммутаторы не смогут направлять данные и создавать свои таблицы MAC во внутренней сети.

Теперь я сделаю некоторые предположения о том, что я знаю. Или:

  1. Коммутаторы могут использовать то, что находится в инкапсулированном заголовке пакетов IP и MAC-адреса, наряду с данными, известными из предыдущих подключений, для дешифрования пакетов, инкапсулированных с MAC-адресами кадров источника и назначения.
  2. Маршрутизаторы могут использовать данные пакетов пакетов / предыдущих подключений для расшифровки пакетов, инкапсулированных с IP-адресами источника и назначения.
  3. Вся концепция шифрования в Интернете не работает (очевидно, не соответствует действительности)
  4. MAC-адреса источника и назначения отправляются незашифрованными для зашифрованных пакетов. (Если это так, значит ли это, что человек посередине может захватить все данные, записать их, а затем потратить столько времени, сколько потребуется, просто перебирая ключи для его расшифровки?)

Или иначе, мои предположения являются поддельными по какой-то причине (Почему они являются поддельными?).

Этот вопрос основан на теоретических знаниях, полученных в результате изучения этих курсов, поэтому, пожалуйста, вдавайтесь в подробности настолько, насколько вы абсолютно готовы, даже если вы думаете, что излагаете очевидное. Я спрашиваю это из чисто академических соображений / интенсивного любопытства, а не потому, что у меня есть практическая проблема.

8
Они правы. Зашифрованы только данные (прикладной уровень) и, возможно, также транспортный уровень (после настройки сеанса). Шифрование на канальном уровне работает иначе (см. WPA2 и т. Д. Или IPsec (?)). Если вы хотите скрыть свои IP и mac адреса, вам придется пройти через (доверенный) анонимный прокси или что-то еще. conspiritech 12 лет назад 0

4 ответа на вопрос

6
jdmichal

Чтобы перейти к нежелательным деталям: шифрование происходит на транспортном уровне и выше именно по тем причинам, которые вас беспокоят. Транспортный уровень - это тот, который находится непосредственно над IP и другими схемами адресации. Это означает, что информация, необходимая для этих протоколов, не зашифрована, поскольку данные принадлежат нижнему уровню.

Например, TLS и его предшественник SSL шифруют на транспортном уровне. Это означает, что единственными незашифрованными данными являются заголовки IP.

Между тем, когда вы решите зашифровать электронную почту в вашей любимой почтовой программе, она будет шифровать только реальное почтовое сообщение, тогда как заголовки IP, TCP и SMTP будут незашифрованы. Это сообщение, в свою очередь, может передаваться по соединению TLS. TLS затем зашифрует части TCP и SMTP, эффективно зашифровав тело сообщения дважды. Тогда незашифрованного IP-заголовка будет достаточно, чтобы передать его с вашего компьютера на почтовый сервер. Сервер электронной почты затем расшифровывает TLS, позволяя ему увидеть, что это SMTP-сообщение TCP. Затем он передаст это программе SMTP, которая сможет отправить его в нужную папку входящих сообщений. Оказавшись там, читатель электронной почты пользователя будет иметь информацию, необходимую для расшифровки тела сообщения.

Где будет точно незашифрованный пакет электронной почты? Мне кажется, что если только IP-уровень не зашифрован, то, как только он войдет во внутреннюю сеть, куда направляется электронная почта, он не сможет ничего передавать, кроме шлюза по умолчанию? (как было ясно, я как бы нуб в этом и, очевидно, мое предположение неверно, однако я не уверен, почему) Dmatig 14 лет назад 0
Я отредактировал мой ответ выше, чтобы уточнить. Дайте мне знать, если это помогло. jdmichal 14 лет назад 0
5
John T

Номер 4 это правда. Когда отправляется зашифрованный пакет, данные шифруются, а не адреса источника и назначения.

Взгляните на этот пакет входа SSH:

альтернативный текст

Он отображается в виде зашифрованного пакета запроса. Как вы можете видеть, детали источника и назначения видны.

Не могли бы вы взглянуть на мой вопрос в ответе jdmichal? Мне тоже интересно об этом - MAC-адрес необходим для обхода внутренней сети, все ли это обрабатывается на уровне маршрутизаторов шлюза по умолчанию? Если да, то как пакет различает этот маршрутизатор и каждый другой переход? Dmatig 14 лет назад 0
5
heavyd

Ваше предположение № 4 отчасти верно. Чаще всего в таких технологиях, как SSL / TLS, IP-адреса и MAC-адреса отправляются в незашифрованном виде. Более конкретно, если мы посмотрим на сетевую модель OSI, IP-адреса являются частью уровня 3, MAC-адреса являются частью уровня два, тогда как SSL / TLS находится на уровне 4. Большинство технологий шифрования работают выше уровня 3, так что адресация может быть прочитанным стандартными маршрутизаторами и коммутаторами.

Чтобы решить проблему посредника, технологии шифрования должны обеспечивать некоторую аутентификацию перед запуском и зашифрованный сеанс. В примере SSL / TLS использование сертификатов, которые предоставляются доверенным центром сертификации (т. Е. Verisign), используется для аутентификации.

2
Kevin Panko

WEP и WPA являются тегами для вопроса, которые предназначены для беспроводных сетей. Эти протоколы обрабатывают шифрование для сетевого уровня, но они используются, чтобы люди, не находящиеся в сети, не могли видеть, что отправляет сеть.

Каждый узел в беспроводной сети должен знать ключ шифрования, чтобы маршрутизатор сети мог декодировать весь трафик. Я считаю, что это означает, что любой узел, подключенный к зашифрованной беспроводной сети, может прослушивать весь трафик в этой сети.

Таким образом, WEP и WPA не защищают от злонамеренных пользователей, которые находятся в той же сети, что и вы. Вам все еще нужно использовать другие уровни шифрования, чтобы скрыть от них трафик.

Редактировать:

После прочтения стандарта 802.11i (он же WEP2) я вижу, что он использует отдельный ключ для широковещательных и многоадресных пакетов (групповой временной ключ). Одноадресный трафик шифруется с использованием парного переходного ключа, который является ключом, используемым для трафика между базовой станцией и одним беспроводным устройством. WEP также работает таким образом. Это означает, что два беспроводных устройства не могут читать трафик друг друга, поскольку они не используют один и тот же ключ.

Я считаю, что WEP использует один общий ключ для всех узлов.

В любом случае корпоративные среды часто используют технологию VPN поверх беспроводной линии связи. Этот дополнительный уровень шифрования обеспечивает безопасность от беспроводного устройства вплоть до сервера VPN. Даже если беспроводная сеть прослушивается, пакеты VPN все равно будут зашифрованы.

Хммм. Я действительно, действительно раздвигаю границы того, что является законным "единственным вопросом" о SU сейчас ... НО. Допустим, у меня есть полностью внутренняя сеть. ИТ использует ISR (Intergrated Services Router) в качестве центральной точки (вместо концентратора / коммутатора / и т. Д.). Я знаю, что маршрутизатор обеспечивает шифрование. Это обеспечивает только шифрование для ВНЕШНЕГО трафика? Благодарю. Dmatig 14 лет назад 0
Я не понимаю вопрос. Я не знаком со своим маркетинговым языком cisco. :) Я собираюсь догадаться, что у него есть обычная незашифрованная сеть на внутренней стороне и VPN-канал на внешней стороне? Если так, то ответ - да. Kevin Panko 14 лет назад 0
Это не проблема, Кевин. Я сейчас только на полпути к курсу, и, к тому же, мой вопрос для него очень нестандартный. Я буду упрощать как можно лучше. Допустим, у вас есть маршрутизатор "linksys", подключенный к вашему модему ISP. Я нахожусь в Великобритании, я думаю, что это будет работать аналогично интернет-провайдеру вашей страны). С другой стороны, у вас есть группа клиентов (скажем, 5?). Вы устанавливаете беспроводное соединение, используя некоторое шифрование. (Я сознательно не согласен. Если вам нужны более конкретные идеи, давайте скажем что-нибудь более современное, например, WPA - я просто ищу теоретические идеи, а не реальные примеры. Dmatig 14 лет назад 0
Я установил предел char ^ Итак, я понял, что маршрутизатор Linksys расшифровывает информацию, и, следовательно, вся моя внутренняя сеть (все, что находится за моим стандартным маршрутизатором домашней сети Linksys) может свободно читать все, что находится в моей домашней сети? Я немного озадачен тем, насколько все это «безопасно» в корпоративной среде. Внешние ссылки приветствуются. Dmatig 14 лет назад 0
Домашний маршрутизатор Linksys - это сетевой коммутатор, маршрутизатор с функциями NAT и точка беспроводного доступа, все в одной маленькой коробке. Задача сетевого коммутатора - отправлять кадры Ethernet в их места назначения на основе MAC-адреса. Это препятствует тому, чтобы устройства проводной сети видели трафик, не адресованный им. Широковещательные кадры, разумеется, отправляются на каждое устройство. Кроме того, кадры, адресованные MAC-адресу, который коммутатор не распознает (ранее он не видел этот MAC-адрес), также отправляются каждому устройству. Kevin Panko 14 лет назад 1

Похожие вопросы