Tại sao mã hóa không phá hủy cách thức hoạt động của các mạng?

Tôi có một sự hiểu biết rất cơ bản về cách mã hóa hoạt động.

Hiểu biết của tôi là mức độ khám phá CCNA trong các khóa học CISCO (cùng với một vài điều khác như Steve Gibson và Leo Laporte trong " Security Now " trong các tập khác nhau).

Câu hỏi của tôi là (đang):

Mã hóa sẽ không phá vỡ khái niệm mạng của đích ip / mac nguồn và địa chỉ MAC trong các gói / khung?

Bởi vì...

Rõ ràng bất kỳ dữ liệu "không mã hóa" (khóa) nào cũng có thể được gửi cùng với dữ liệu, nhưng điều đó sẽ phá vỡ tính bảo mật, bên cạnh các thiết bị chuyển mạch không thể điều hướng dữ liệu và xây dựng các bảng MAC của chúng trên mạng bên trong.

Bây giờ tôi sẽ đưa ra một số giả định về những gì tôi biết. Hoặc:

1. Các bộ chuyển mạch có thể sử dụng những gì trong tiêu đề được đóng gói của địa chỉ IP và MAC, cùng với dữ liệu được biết từ các kết nối trước đó để giải mã các gói được đóng gói với địa chỉ MAC của khung và đích.
2. Bộ định tuyến có thể sử dụng những gì trong gói / kết nối trước dữ liệu gói dữ liệu để giải mã các gói được đóng gói với địa chỉ IP nguồn và đích.
3. Toàn bộ khái niệm mã hóa trên internet là không thể thực hiện được (rõ ràng là không đúng sự thật)
4. MAC / ip nguồn và đích được gửi không được mã hóa cho các gói được mã hóa. (Nếu đây là trường hợp, điều này có nghĩa là một người trung gian có thể nắm bắt tất cả dữ liệu, ghi lại dữ liệu đó, sau đó dành nhiều thời gian như họ vui lòng buộc các khóa để giải mã nó?)

Hoặc nếu không, giả định của tôi ar không có thật vì một số lý do (Tại sao họ không có thật?).

Câu hỏi này được sinh ra từ kiến ​​thức lý thuyết hoàn toàn từ việc học các khóa học này, vì vậy vui lòng đi sâu vào chi tiết như bạn hoàn toàn sẵn sàng, ngay cả khi bạn đang nghĩ rằng bạn nói rõ ràng. Tôi đang hỏi điều này vì lý do học thuật đơn thuần / sự tò mò mãnh liệt, không phải vì tôi có một vấn đề thực tế.

Giả định số 4 của bạn là một phần đúng. Thông thường trong các công nghệ như SSL / TLS, địa chỉ IP và địa chỉ MAC được gửi không được mã hóa. Cụ thể hơn, nếu chúng ta xem Mô hình mạng OSI , địa chỉ IP là một phần của cấp 3, địa chỉ MAC là một phần của cấp hai trong khi SSL / TLS ở cấp 4. Hầu hết các công nghệ mã hóa hoạt động trên cấp 3 để có thể định địa chỉ được đọc bởi các bộ định tuyến và chuyển mạch tiêu chuẩn.

Để giải quyết vấn đề trung gian, các công nghệ mã hóa phải cung cấp một số loại xác thực trước khi bắt đầu và phiên mã hóa. Trong ví dụ SSL / TLS, việc sử dụng chứng chỉ được cung cấp bởi cơ quan chứng nhận tin cậy (ví dụ Verisign) được sử dụng để xác thực.

Để đi vào chi tiết có thể không mong muốn: Mã hóa diễn ra ở lớp vận chuyển trở lên, chính xác là lý do bạn quan tâm. Lớp vận chuyển là lớp ngay trên IP và các sơ đồ địa chỉ khác. Điều này có nghĩa là thông tin cần thiết cho các giao thức này không được mã hóa, vì dữ liệu thuộc về lớp thấp hơn.

Ví dụ, TLS và mã hóa SSL tiền nhiệm ở lớp vận chuyển. Điều này có nghĩa là dữ liệu duy nhất không được mã hóa là các tiêu đề IP.

Trong khi đó, khi bạn chọn mã hóa một email trong chương trình email yêu thích của mình, nó sẽ chỉ mã hóa thông điệp email thực tế, trong khi các tiêu đề IP, TCP và SMTP sẽ không được mã hóa. Thông báo này, đến lượt nó, có thể được truyền qua kết nối TLS. TLS sau đó sẽ mã hóa các phần TCP và SMTP, mã hóa hiệu quả phần thân thư hai lần. Tiêu đề IP không được mã hóa sau đó sẽ đủ để đưa nó từ máy tính của bạn đến máy chủ email. Sau đó, máy chủ email sẽ giải mã TLS, cho phép nó thấy rằng đây là thông điệp TCP SMTP. Sau đó, nó sẽ cung cấp cho chương trình SMTP, có thể gửi nó đến đúng hộp thư đến. Khi đó, trình đọc email của người dùng sẽ có thông tin cần thiết để giải mã nội dung thư.

Số 4 là đúng. Khi một gói mã hóa được gửi, dữ liệu được mã hóa, không phải địa chỉ nguồn và đích.

Hãy xem gói đăng nhập SSH này:

Nó được hiển thị dưới dạng một gói yêu cầu được mã hóa. Như bạn có thể thấy, các chi tiết nguồn và đích được hiển thị.

WEP và WPA là các thẻ cho câu hỏi dành cho các mạng không dây. Các giao thức này xử lý mã hóa cho lớp mạng, nhưng chúng được sử dụng để giữ cho mọi người không ở trên mạng không thể xem những gì mạng đang gửi.

Mọi nút trên mạng không dây phải biết khóa mã hóa để bộ định tuyến của mạng có thể giải mã tất cả lưu lượng. Tôi tin rằng điều này ngụ ý rằng bất kỳ nút nào được gắn vào mạng không dây được mã hóa có thể đánh hơi tất cả lưu lượng truy cập trên mạng đó.

Vì vậy, WEP và WPA không bảo vệ chống lại những người dùng độc hại trên cùng một mạng với bạn. Bạn vẫn cần sử dụng các lớp mã hóa khác để ẩn lưu lượng truy cập của mình khỏi chúng.

Biên tập:

Sau khi đọc lên 802.11i (còn gọi là WEP2), tôi thấy rằng nó sử dụng một khóa riêng cho các gói quảng bá và phát đa hướng (Khóa tạm thời nhóm). Lưu lượng Unicast được mã hóa bằng Khóa tạm thời Pairwise, đây là khóa được sử dụng cho lưu lượng giữa trạm gốc và một thiết bị không dây. WEP cũng hoạt động theo cách này. Điều này có nghĩa là hai thiết bị không dây không thể đọc lưu lượng của nhau vì chúng không chia sẻ cùng một khóa.

Tôi tin rằng WEP sử dụng một khóa chung cho tất cả các nút.

Trong mọi trường hợp, môi trường công ty thường sẽ sử dụng công nghệ VPN trên đầu liên kết không dây. Lớp mã hóa được thêm này cung cấp bảo mật từ thiết bị không dây suốt từ máy chủ VPN. Ngay cả khi mạng không dây bị đánh hơi, các gói VPN vẫn sẽ được mã hóa.