Tại sao mã hóa không phá hủy cách thức hoạt động của các mạng?


8

Tôi có một sự hiểu biết rất cơ bản về cách mã hóa hoạt động.

Hiểu biết của tôi là mức độ khám phá CCNA trong các khóa học CISCO (cùng với một vài điều khác như Steve GibsonLeo Laporte trong " Security Now " trong các tập khác nhau).

Câu hỏi của tôi là (đang):

Mã hóa sẽ không phá vỡ khái niệm mạng của đích ip / mac nguồn và địa chỉ MAC trong các gói / khung?

Bởi vì...

Rõ ràng bất kỳ dữ liệu "không mã hóa" (khóa) nào cũng có thể được gửi cùng với dữ liệu, nhưng điều đó sẽ phá vỡ tính bảo mật, bên cạnh các thiết bị chuyển mạch không thể điều hướng dữ liệu và xây dựng các bảng MAC của chúng trên mạng bên trong.

Bây giờ tôi sẽ đưa ra một số giả định về những gì tôi biết. Hoặc:

  1. Các bộ chuyển mạch có thể sử dụng những gì trong tiêu đề được đóng gói của địa chỉ IP và MAC, cùng với dữ liệu được biết từ các kết nối trước đó để giải mã các gói được đóng gói với địa chỉ MAC của khung và đích.
  2. Bộ định tuyến có thể sử dụng những gì trong gói / kết nối trước dữ liệu gói dữ liệu để giải mã các gói được đóng gói với địa chỉ IP nguồn và đích.
  3. Toàn bộ khái niệm mã hóa trên internet là không thể thực hiện được (rõ ràng là không đúng sự thật)
  4. MAC / ip nguồn và đích được gửi không được mã hóa cho các gói được mã hóa. (Nếu đây là trường hợp, điều này có nghĩa là một người trung gian có thể nắm bắt tất cả dữ liệu, ghi lại dữ liệu đó, sau đó dành nhiều thời gian như họ vui lòng buộc các khóa để giải mã nó?)

Hoặc nếu không, giả định của tôi ar không có thật vì một số lý do (Tại sao họ không có thật?).

Câu hỏi này được sinh ra từ kiến ​​thức lý thuyết hoàn toàn từ việc học các khóa học này, vì vậy vui lòng đi sâu vào chi tiết như bạn hoàn toàn sẵn sàng, ngay cả khi bạn đang nghĩ rằng bạn nói rõ ràng. Tôi đang hỏi điều này vì lý do học thuật đơn thuần / sự tò mò mãnh liệt, không phải vì tôi có một vấn đề thực tế.


Họ đúng. Chỉ có dữ liệu được mã hóa (lớp ứng dụng) và có lẽ cả lớp vận chuyển nữa (một khi phiên đã được thiết lập). Mã hóa lớp liên kết hoạt động khác nhau (xem WPA2 vv hoặc IPsec (?)). Nếu bạn muốn ẩn địa chỉ IP và mac của mình, bạn sẽ phải thông qua proxy ẩn danh (đáng tin cậy) hoặc một cái gì đó.
conspitiech

Câu trả lời:


5

Giả định số 4 của bạn là một phần đúng. Thông thường trong các công nghệ như SSL / TLS, địa chỉ IP và địa chỉ MAC được gửi không được mã hóa. Cụ thể hơn, nếu chúng ta xem Mô hình mạng OSI , địa chỉ IP là một phần của cấp 3, địa chỉ MAC là một phần của cấp hai trong khi SSL / TLS ở cấp 4. Hầu hết các công nghệ mã hóa hoạt động trên cấp 3 để có thể định địa chỉ được đọc bởi các bộ định tuyến và chuyển mạch tiêu chuẩn.

Để giải quyết vấn đề trung gian, các công nghệ mã hóa phải cung cấp một số loại xác thực trước khi bắt đầu và phiên mã hóa. Trong ví dụ SSL / TLS, việc sử dụng chứng chỉ được cung cấp bởi cơ quan chứng nhận tin cậy (ví dụ Verisign) được sử dụng để xác thực.


6

Để đi vào chi tiết có thể không mong muốn: Mã hóa diễn ra ở lớp vận chuyển trở lên, chính xác là lý do bạn quan tâm. Lớp vận chuyển là lớp ngay trên IP và các sơ đồ địa chỉ khác. Điều này có nghĩa là thông tin cần thiết cho các giao thức này không được mã hóa, vì dữ liệu thuộc về lớp thấp hơn.

Ví dụ, TLS và mã hóa SSL tiền nhiệm ở lớp vận chuyển. Điều này có nghĩa là dữ liệu duy nhất không được mã hóa là các tiêu đề IP.

Trong khi đó, khi bạn chọn mã hóa một email trong chương trình email yêu thích của mình, nó sẽ chỉ mã hóa thông điệp email thực tế, trong khi các tiêu đề IP, TCP và SMTP sẽ không được mã hóa. Thông báo này, đến lượt nó, có thể được truyền qua kết nối TLS. TLS sau đó sẽ mã hóa các phần TCP và SMTP, mã hóa hiệu quả phần thân thư hai lần. Tiêu đề IP không được mã hóa sau đó sẽ đủ để đưa nó từ máy tính của bạn đến máy chủ email. Sau đó, máy chủ email sẽ giải mã TLS, cho phép nó thấy rằng đây là thông điệp TCP SMTP. Sau đó, nó sẽ cung cấp cho chương trình SMTP, có thể gửi nó đến đúng hộp thư đến. Khi đó, trình đọc email của người dùng sẽ có thông tin cần thiết để giải mã nội dung thư.


Gói email sẽ không được mã hóa chính xác ở đâu? Dường như với tôi rằng nếu chỉ có lớp IP không được mã hóa, thì một khi nó xâm nhập vào mạng nội bộ nơi email được định sẵn, nó sẽ không thể vượt qua bất cứ thứ gì ngoài bộ định tuyến cổng mặc định? (như đã nói rõ, tôi là một người không biết điều này và rõ ràng suy đoán của tôi không đúng, tuy nhiên tôi không chắc tại sao)
Dmatig

Tôi chỉnh sửa câu trả lời của tôi ở trên để làm rõ. Hãy cho tôi biết nếu nó giúp.
jdmichal

5

Số 4 là đúng. Khi một gói mã hóa được gửi, dữ liệu được mã hóa, không phải địa chỉ nguồn và đích.

Hãy xem gói đăng nhập SSH này:

văn bản thay thế

Nó được hiển thị dưới dạng một gói yêu cầu được mã hóa. Như bạn có thể thấy, các chi tiết nguồn và đích được hiển thị.


Bạn có thể xem câu hỏi của tôi trong câu trả lời của jdmichal không? Tôi tự hỏi về điều này quá - địa chỉ MAC là cần thiết để truyền qua mạng nội bộ, tất cả điều này có được xử lý ở cấp bộ định tuyến cổng mặc định không? Nếu vậy, làm thế nào để gói phân biệt giữa bộ định tuyến đó và mỗi hop khác?
Dmatig

2

WEP và WPA là các thẻ cho câu hỏi dành cho các mạng không dây. Các giao thức này xử lý mã hóa cho lớp mạng, nhưng chúng được sử dụng để giữ cho mọi người không ở trên mạng không thể xem những gì mạng đang gửi.

Mọi nút trên mạng không dây phải biết khóa mã hóa để bộ định tuyến của mạng có thể giải mã tất cả lưu lượng. Tôi tin rằng điều này ngụ ý rằng bất kỳ nút nào được gắn vào mạng không dây được mã hóa có thể đánh hơi tất cả lưu lượng truy cập trên mạng đó.

Vì vậy, WEP và WPA không bảo vệ chống lại những người dùng độc hại trên cùng một mạng với bạn. Bạn vẫn cần sử dụng các lớp mã hóa khác để ẩn lưu lượng truy cập của mình khỏi chúng.

Biên tập:

Sau khi đọc lên 802.11i (còn gọi là WEP2), tôi thấy rằng nó sử dụng một khóa riêng cho các gói quảng bá và phát đa hướng (Khóa tạm thời nhóm). Lưu lượng Unicast được mã hóa bằng Khóa tạm thời Pairwise, đây là khóa được sử dụng cho lưu lượng giữa trạm gốc và một thiết bị không dây. WEP cũng hoạt động theo cách này. Điều này có nghĩa là hai thiết bị không dây không thể đọc lưu lượng của nhau vì chúng không chia sẻ cùng một khóa.

Tôi tin rằng WEP sử dụng một khóa chung cho tất cả các nút.

Trong mọi trường hợp, môi trường công ty thường sẽ sử dụng công nghệ VPN trên đầu liên kết không dây. Lớp mã hóa được thêm này cung cấp bảo mật từ thiết bị không dây suốt từ máy chủ VPN. Ngay cả khi mạng không dây bị đánh hơi, các gói VPN vẫn sẽ được mã hóa.


Hừm. Tôi thực sự, thực sự đang vượt qua giới hạn của một "câu hỏi duy nhất" hợp pháp trên SU bây giờ ... NHƯNG. Hãy nói rằng tôi có một mạng hoàn toàn nội bộ. CNTT sử dụng ISR (Bộ định tuyến dịch vụ tích hợp) làm điểm trung tâm (thay cho hub / switch / vv). Tôi biết rằng bộ định tuyến cung cấp mã hóa. Điều đó chỉ cung cấp mã hóa cho lưu lượng EXTERNAL? Cảm ơn.
Dmatig

Tôi không hiểu câu hỏi. Tôi không lên lingo tiếp thị của tôi. :) Tôi sẽ đoán rằng nó có một mạng không được mã hóa thường xuyên ở bên trong và một liên kết VPN ở bên ngoài? Nếu vậy, thì câu trả lời là có.
Kevin Panko

Đó không phải là vấn đề Kevin. Bây giờ tôi chỉ mới đi được nửa chặng đường, và câu hỏi của tôi rất khó hiểu. Tôi sẽ đơn giản hóa tốt nhất có thể. Hãy nói rằng bạn có bộ định tuyến "linksys" được kết nối với ISP modem của bạn. Tôi đang ở Vương quốc Anh, tôi đoán nó sẽ hoạt động tương tự như ISP của các nước bạn). Mặt khác, bạn có một nhóm khách hàng (giả sử 5?). Bạn thiết lập kết nối không dây bằng cách sử dụng một số mã hóa. (Tôi cố tình là vauge. Nếu bạn muốn có ý tưởng cụ thể hơn, hãy nói điều gì đó hiện đại như WPA - Tôi chỉ đang tìm kiếm ý tưởng lý thuyết, không phải ví dụ thực tế.
Dmatig

Tôi đạt giới hạn char ^ Vì vậy, tôi tập hợp rằng bộ định tuyến linksys sẽ giải mã thông tin, và do đó toàn bộ mạng nội bộ của tôi (mọi thứ nằm sau tiêu chuẩn của tôi, bộ định tuyến mạng nhà liên kết) sẽ được tự do đọc mọi thứ trong mạng gia đình của tôi? Tôi hơi bối rối về việc bất kỳ thứ gì trong số này là "an toàn" trong môi trường công ty. Liên kết bên ngoài được chào đón.
Dmatig

1
Bộ định tuyến gia đình Linksys là bộ chuyển đổi mạng, bộ định tuyến có chức năng NAT và điểm truy cập không dây, tất cả trong cùng một hộp nhỏ. Công việc của một bộ chuyển đổi mạng là gửi các khung Ethernet đến các điểm đến của chúng dựa trên địa chỉ MAC. Điều này ngăn các thiết bị mạng có dây nhìn thấy lưu lượng truy cập không được gửi đến chúng. Khung phát sóng, tất nhiên, được gửi đến mọi thiết bị. Ngoài ra, các khung được gửi đến địa chỉ MAC mà công tắc không nhận ra (trước đây chưa thấy MAC) cũng được gửi đến mọi thiết bị.
Kevin Panko
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.