Чому шифрування не руйнує спосіб роботи мереж?

У мене дуже базове розуміння того, як працює шифрування.

Я знаю, наскільки це рівень виявлення CCNA на курсах CISCO (разом із кількома іншими речами, такими як Стів Гібсон та Лео Лапорт у " Безпеці зараз " у різних серіях).

Мої питання: (є):

Чи шифрування не порушило б концепцію мережі вихідного ip / mac призначення та MAC-адреси у пакетах / кадрах?

Тому що...

Очевидно, будь-які "незашифровані" (ключі) дані можуть бути надіслані з даними, але це порушить захист, поряд з комутаторами не в змозі направляти дані та будувати свої таблиці MAC у внутрішній мережі.

Зараз я зроблю деякі припущення щодо того, що я знаю. Або:

1. Комутатори можуть використовувати те, що знаходиться в капсульованому заголовку IP та MAC-адреси пакетів разом з даними, відомими з попередніх з'єднань, щоб розшифрувати пакети, інкапсульовані з MAC-адресою джерела та призначення.
2. Маршрутизатори можуть використовувати дані пакетів / попередні з'єднання даних для розшифрування пакетів, інкапсульованих IP-адресами джерела та призначення.
3. Вся концепція шифрування в Інтернеті нездійсненна (очевидно, неправда)
4. вихідні та призначення MAC / ip надсилаються незашифрованими для зашифрованих пакетів. (Якщо це так, чи означає це, що людина-посередник міг захоплювати всі дані, записувати їх, а потім витрачати стільки часу, скільки їм потрібно, жорстоко примушуючи клавіші, щоб розшифрувати їх?)

Або ж, мої припущення є нечесними з якихось причин (Чому вони неправдиві?).

Це питання народжується цілком теоретичними знаннями з вивчення цих курсів, тому, будь ласка, детально розкажіть, наскільки ви абсолютно готові, навіть якщо ви думаєте, що ви заявляєте очевидне. Я прошу це з суто академічних причин / сильної цікавості, а не тому, що у мене є практична проблема.

Ваше припущення №4 частково правильне. Найчастіше в таких технологіях, як SSL / TLS, IP-адреси та MAC-адреси надсилаються незашифрованими. Більш конкретно, якщо ми подивимось на мережеву модель OSI , IP-адреси є частиною рівня 3, MAC-адреси є частиною другого рівня, тоді як SSL / TLS знаходиться на рівні 4. Більшість технологій шифрування працюють вище рівня 3, щоб адресація могла читати стандартними маршрутизаторами та комутаторами.

Для того, щоб вирішити людину в середині проблеми, технології шифрування повинні надати певну автентифікацію перед запуском та зашифрованим сеансом. У прикладі SSL / TLS для сертифікації використовується сертифікати, які надаються довіреним органом сертифікації (тобто Verisign).

Перейти до можливих небажаних деталей: Шифрування відбувається на транспортному шарі і вище саме з причин, що викликають занепокоєння. Транспортний шар - це безпосередньо над IP-адресою та іншими схемами адресації. Це означає, що інформація, необхідна для цих протоколів, не шифрується, оскільки дані належать до нижнього рівня.

Наприклад, TLS та його попередник SSL шифрують на транспортному шарі. Це означає, що єдиними даними, незашифрованими, є заголовки IP.

Тим часом, коли ви вирішите зашифрувати електронну пошту у вашій улюбленій програмі електронної пошти, вона зашифрує лише фактичне повідомлення електронної пошти, тоді як заголовки IP, TCP та SMTP усі будуть незашифровані. Це повідомлення, в свою чергу, може передаватися через TLS-з'єднання. Потім TLS зашифрує частини TCP та SMTP, ефективно шифруючи тіло повідомлення двічі. Потім незашифрованого заголовка IP буде достатньо, щоб перенести його з комп'ютера на сервер електронної пошти. Потім сервер електронної пошти розшифрує TLS, дозволяючи йому побачити, що це повідомлення TCP SMTP. Потім він дасть це програмі SMTP, яка змогла б надіслати її до правильної папки "Вхідні". Потрапивши туди, читач електронної пошти користувача отримає інформацію, необхідну для розшифрування тіла повідомлення.

Число 4 - це правда. Коли надсилається зашифрований пакет, дані шифруються, а не адреси джерела та місця призначення.

Подивіться на цей пакет входу в SSH:

Він відображається як зашифрований пакет запиту. Як бачите, видно деталі джерела та місця призначення.

WEP та WPA - це теги для запитання, які призначені для бездротових мереж. Ці протоколи обробляють шифрування для мережевого рівня, але вони використовуються для того, щоб люди, які не перебувають у мережі, не могли бачити, що мережа надсилає.

Кожен вузол бездротової мережі повинен знати ключ шифрування, щоб маршрутизатор мережі міг декодувати весь трафік. Я вважаю, що це означає, що будь-який вузол, приєднаний до зашифрованої бездротової мережі, може нюхати весь трафік у цій мережі.

Отже, WEP та WPA не захищають від зловмисних користувачів, які перебувають у тій самій мережі, що і ви. Ще потрібно використовувати інші шари шифрування, щоб приховати від них трафік.

Редагувати:

Прочитавши 802.11i (він же WEP2), я бачу, що він використовує окремий ключ для трансляції та багатоадресних пакетів (груповий тимчасовий ключ). Одноразовий трафік шифрується за допомогою перехідного ключа, який використовується для пари, який використовується для руху між базовою станцією та одним бездротовим пристроєм. WEP також працює таким чином. Це означає, що два бездротові пристрої не можуть читати трафік один одного, оскільки вони не мають спільного ключа.

Я вважаю, що WEP використовує один загальний ключ для всіх вузлів.

У будь-якому випадку, корпоративне середовище часто використовуватиме VPN-технологію поверх бездротового зв'язку. Цей доданий рівень шифрування забезпечує безпеку від бездротового пристрою аж до сервера VPN. Навіть якщо бездротова мережа нюхається, пакети VPN все одно будуть зашифровані.