Warum zerstört die Verschlüsselung nicht die Funktionsweise von Netzwerken?

8

Ich habe ein sehr grundlegendes Verständnis dafür, wie Verschlüsselung funktioniert.

Mein Wissen ist das des CCNA-Entdeckungsniveaus in den CISCO- Kursen (zusammen mit einigen anderen Dingen wie Steve Gibson und Leo Laporte über " Security Now " in verschiedenen Episoden).

Meine Frage (n) ist (sind):

Würde die Verschlüsselung nicht das Netzwerkkonzept des Quell-IP / Mac-Ziels und der MAC-Adresse in Paketen / Frames brechen?

Weil...

Natürlich könnten alle "Entschlüsselungs-" (Schlüssel-) Daten mit den Daten gesendet werden, aber dies würde die Sicherheit beeinträchtigen, da Switches nicht in der Lage sind, Daten zu leiten und ihre MAC-Tabellen in einem internen Netzwerk zu erstellen.

Jetzt mache ich einige Annahmen darüber, was ich weiß. Entweder:

  1. Switches können den gekapselten Header der IP- und MAC-Adresse des Pakets zusammen mit den aus früheren Verbindungen bekannten Daten verwenden, um die mit der MAC-Adresse des Quell- und Zielrahmens gekapselten Pakete zu entschlüsseln.
  2. Router können die Daten der Paket- / vorherigen Verbindungspakete verwenden, um die mit den Quell- und Ziel-IP-Adressen gekapselten Pakete zu entschlüsseln.
  3. Das gesamte Konzept der Verschlüsselung im Internet ist nicht praktikabel (offensichtlich falsch).
  4. Quell- und Ziel-MACs / IPs werden für verschlüsselte Pakete unverschlüsselt gesendet. (Wenn dies der Fall ist, bedeutet dies, dass ein Mann in der Mitte alle Daten erfassen, aufzeichnen und dann so viel Zeit wie möglich damit verbringen kann, Schlüssel zu zwingen, sie zu entschlüsseln?)

Oder meine Annahmen sind aus irgendeinem Grund falsch (warum sind sie falsch?).

Diese Frage basiert auf rein theoretischem Wissen aus dem Erlernen dieser Kurse. Gehen Sie also bitte so detailliert vor, wie Sie es unbedingt wollen, auch wenn Sie glauben, das Offensichtliche zu sagen. Ich frage dies aus rein akademischen Gründen / aus intensiver Neugier, nicht weil ich ein praktisches Problem habe.

Dmatig
quelle
Sie haben recht. Nur die Daten werden verschlüsselt (Anwendungsschicht) und möglicherweise auch die Transportschicht (sobald die Sitzung eingerichtet wurde). Die Verschlüsselung der Verbindungsschicht funktioniert anders (siehe WPA2 usw. oder IPsec (?)). Wenn Sie Ihre IP- und Mac-Adressen verbergen möchten, müssen Sie einen (vertrauenswürdigen) anonymisierenden Proxy oder etwas anderes durchlaufen.
Verschwörung

Antworten:

5

Ihre Annahme Nr. 4 ist teilweise richtig. In Technologien wie SSL / TLS werden IP-Adressen und MAC-Adressen am häufigsten unverschlüsselt gesendet. Wenn wir uns das OSI-Netzwerkmodell ansehen , sind IP-Adressen Teil von Level 3, MAC-Adressen sind Teil von Level 2, während SSL / TLS auf Level 4 ist. Die meisten Verschlüsselungstechnologien arbeiten über Level 3, so dass die Adressierung möglich ist von Standard-Routern und -Switches gelesen werden.

Um das Problem zu lösen, müssen Verschlüsselungstechnologien vor dem Start und der verschlüsselten Sitzung eine Art Authentifizierung bereitstellen. Im SSL / TLS-Beispiel wird die Verwendung von Zertifikaten verwendet, die von einer vertrauenswürdigen Zertifizierungsstelle (dh Verisign) bereitgestellt werden.

schwer
quelle
6

Um auf möglicherweise unerwünschte Details einzugehen: Die Verschlüsselung erfolgt auf der Transportschicht und darüber, genau aus den Gründen, die Sie betreffen. Die Transportschicht befindet sich unmittelbar über IP und anderen Adressierungsschemata. Dies bedeutet, dass die für diese Protokolle erforderlichen Informationen nicht verschlüsselt werden, da die Daten zu einer niedrigeren Schicht gehören.

Beispielsweise verschlüsseln TLS und sein Vorgänger SSL auf der Transportebene. Dies bedeutet, dass die einzigen Daten, die unverschlüsselt sind, die IP-Header sind.

Wenn Sie eine E-Mail in Ihrem bevorzugten E-Mail-Programm verschlüsseln, wird nur die eigentliche E-Mail-Nachricht verschlüsselt, während die IP-, TCP- und SMTP-Header unverschlüsselt sind. Diese Nachricht kann wiederum über eine TLS-Verbindung übertragen werden. TLS verschlüsselt dann die TCP- und SMTP-Teile und verschlüsselt den Nachrichtentext effektiv zweimal. Der unverschlüsselte IP-Header würde dann ausreichen, um ihn von Ihrem Computer auf den E-Mail-Server zu übertragen. Der E-Mail-Server entschlüsselt dann das TLS, sodass er erkennen kann, dass es sich um eine TCP-SMTP-Nachricht handelt. Dies würde es dann an das SMTP-Programm weitergeben, das es an den richtigen Posteingang senden könnte. Dort hätte der E-Mail-Reader des Benutzers die Informationen, die zum Entschlüsseln des Nachrichtentexts erforderlich sind.

jdmichal
quelle
Wo würde das E-Mail-Paket genau unverschlüsselt sein? Mir scheint, wenn nur die IP-Schicht unverschlüsselt ist, kann sie nach dem Eintritt in das interne Netzwerk, in dem die E-Mail bestimmt ist, nur den Standard-Gateway-Router weiterleiten. (Wie klargestellt, bin ich ein bisschen ein Noob in dieser und offensichtlich ist meine Vermutung nicht wahr, ich bin mir nicht sicher warum aber)
Dmatig
Ich habe meine Antwort oben bearbeitet, um dies zu verdeutlichen. Lassen Sie mich wissen, ob es geholfen hat.
jdmichal
5

Nummer 4 ist wahr. Wenn ein verschlüsseltes Paket gesendet wird, werden die Daten verschlüsselt, nicht die Quell- und Zieladresse.

Schauen Sie sich dieses SSH-Login-Paket an:

Alt-Text

Es wird als verschlüsseltes Anforderungspaket angezeigt. Wie Sie sehen können, sind die Quell- und Zieldetails sichtbar.

John T.
quelle
Könnten Sie sich meine Frage in jdmichals Antwort ansehen? Ich frage mich auch darüber - die MAC-Adresse wird für die interne Netzwerküberquerung benötigt. Wird dies alles auf der Ebene der Standard-Gateway-Router erledigt? Wenn ja, wie unterscheidet das Paket zwischen diesem Router und jedem anderen Hop?
Dmatig
2

WEP und WPA sind Tags für die Frage, die für drahtlose Netzwerke gelten. Diese Protokolle übernehmen die Verschlüsselung für die Netzwerkschicht, werden jedoch verwendet, um zu verhindern, dass Personen, die nicht im Netzwerk sind, sehen können, was das Netzwerk sendet.

Jeder Knoten in einem drahtlosen Netzwerk muss den Verschlüsselungsschlüssel kennen, damit der Router des Netzwerks den gesamten Datenverkehr entschlüsseln kann. Ich glaube, dies impliziert, dass jeder Knoten, der an ein verschlüsseltes drahtloses Netzwerk angeschlossen ist, den gesamten Datenverkehr in diesem Netzwerk abhören kann.

Daher schützen WEP und WPA nicht vor böswilligen Benutzern, die sich im selben Netzwerk wie Sie befinden. Sie müssen noch andere Verschlüsselungsebenen verwenden, um Ihren Datenverkehr vor ihnen zu verbergen.

Bearbeiten:

Nach dem Lesen von 802.11i (auch bekannt als WEP2) sehe ich, dass es einen separaten Schlüssel für Broadcast- und Multicast-Pakete verwendet (Group Temporal Key). Unicast-Verkehr wird mit einem Pairwise Transient Key verschlüsselt, einem Schlüssel, der für den Verkehr zwischen der Basisstation und einem drahtlosen Gerät verwendet wird. WEP funktioniert auch so. Dies bedeutet, dass zwei drahtlose Geräte den Datenverkehr des anderen nicht lesen können, da sie nicht denselben Schlüssel verwenden.

Ich glaube, WEP verwendet einen gemeinsamen Schlüssel für alle Knoten.

In jedem Fall verwenden Unternehmensumgebungen häufig VPN-Technologie zusätzlich zur drahtlosen Verbindung. Diese zusätzliche Verschlüsselungsebene bietet Sicherheit vom drahtlosen Gerät bis zum VPN-Server. Selbst wenn das drahtlose Netzwerk abgehört wird, werden die VPN-Pakete weiterhin verschlüsselt.

Kevin Panko
quelle
Hmmm. Ich überschreite jetzt wirklich die Grenzen einer legitimen "Einzelfrage" zu SU ... ABER. Nehmen wir an, ich habe ein vollständig internes Netzwerk. Die IT verwendet einen ISR (Intergrated Services Router) als zentralen Punkt (anstelle eines Hubs / Switches usw.). Ich weiß, dass der Router die Verschlüsselung bereitstellt. Bietet das nur Verschlüsselung für EXTERNEN Verkehr? Vielen Dank.
Dmatig
Ich verstehe die Frage nicht. Ich bin nicht in meinem Cisco Marketing-Jargon. :) Ich werde vermuten, dass es ein reguläres unverschlüsseltes Netzwerk auf der internen Seite und eine VPN-Verbindung auf der externen Seite hat? Wenn ja, lautet die Antwort ja.
Kevin Panko
Das ist kein Problem, Kevin. Ich bin gerade erst in der Mitte des Kurses und meine Frage ist außerdem sehr unkonventionell. Ich werde so gut wie möglich vereinfachen. Nehmen wir an, Sie haben einen "linksys" -Router an den ISP Ihres Modems angeschlossen. Ich bin in Großbritannien, ich denke, es wird ähnlich funktionieren wie der ISP Ihres Landes. Auf der anderen Seite haben Sie eine Reihe von Kunden (sagen wir 5?). Sie richten die drahtlose Verbindung mithilfe einer Verschlüsselung ein. (Ich bin absichtlich ein Messgerät. Wenn Sie spezifischere Ideen wollen, sagen wir etwas Modernes wie WPA - ich suche nur nach theoretischen Ideen, nicht nach tatsächlichen Beispielen.
Dmatig
Ich habe das Zeichenlimit erreicht ^ Also habe ich festgestellt, dass der Linksys-Router die Informationen entschlüsseln würde und daher mein gesamtes internes Netzwerk (alles hinter meinem Standard, Linksys-Heimnetzwerk-Router) frei wäre, alles zu lesen, was sich in meinem Heimnetzwerk befindet? Ich bin ein wenig verwirrt darüber, wie "all dies" in einer Unternehmensumgebung "sicher" ist. Externe Links sind willkommen.
Dmatig
1
Ein Linksys-Heimrouter ist ein Netzwerk-Switch, ein Router mit NAT-Funktionalität und ein drahtloser Zugangspunkt, alle in derselben kleinen Box. Die Aufgabe eines Netzwerk-Switches besteht darin, Ethernet-Frames basierend auf der MAC-Adresse an ihre Ziele zu senden. Dies verhindert, dass kabelgebundene Netzwerkgeräte Datenverkehr sehen, der nicht an sie adressiert ist. Broadcast-Frames werden natürlich an jedes Gerät gesendet. Außerdem werden Frames, die an eine MAC-Adresse adressiert sind, die der Switch nicht erkennt (er hat diesen MAC zuvor noch nicht gesehen), an jedes Gerät gesendet.
Kevin Panko