Ich habe ein sehr grundlegendes Verständnis dafür, wie Verschlüsselung funktioniert.
Mein Wissen ist das des CCNA-Entdeckungsniveaus in den CISCO- Kursen (zusammen mit einigen anderen Dingen wie Steve Gibson und Leo Laporte über " Security Now " in verschiedenen Episoden).
Meine Frage (n) ist (sind):
Würde die Verschlüsselung nicht das Netzwerkkonzept des Quell-IP / Mac-Ziels und der MAC-Adresse in Paketen / Frames brechen?
Weil...
Natürlich könnten alle "Entschlüsselungs-" (Schlüssel-) Daten mit den Daten gesendet werden, aber dies würde die Sicherheit beeinträchtigen, da Switches nicht in der Lage sind, Daten zu leiten und ihre MAC-Tabellen in einem internen Netzwerk zu erstellen.
Jetzt mache ich einige Annahmen darüber, was ich weiß. Entweder:
- Switches können den gekapselten Header der IP- und MAC-Adresse des Pakets zusammen mit den aus früheren Verbindungen bekannten Daten verwenden, um die mit der MAC-Adresse des Quell- und Zielrahmens gekapselten Pakete zu entschlüsseln.
- Router können die Daten der Paket- / vorherigen Verbindungspakete verwenden, um die mit den Quell- und Ziel-IP-Adressen gekapselten Pakete zu entschlüsseln.
- Das gesamte Konzept der Verschlüsselung im Internet ist nicht praktikabel (offensichtlich falsch).
- Quell- und Ziel-MACs / IPs werden für verschlüsselte Pakete unverschlüsselt gesendet. (Wenn dies der Fall ist, bedeutet dies, dass ein Mann in der Mitte alle Daten erfassen, aufzeichnen und dann so viel Zeit wie möglich damit verbringen kann, Schlüssel zu zwingen, sie zu entschlüsseln?)
Oder meine Annahmen sind aus irgendeinem Grund falsch (warum sind sie falsch?).
Diese Frage basiert auf rein theoretischem Wissen aus dem Erlernen dieser Kurse. Gehen Sie also bitte so detailliert vor, wie Sie es unbedingt wollen, auch wenn Sie glauben, das Offensichtliche zu sagen. Ich frage dies aus rein akademischen Gründen / aus intensiver Neugier, nicht weil ich ein praktisches Problem habe.
quelle
Antworten:
Ihre Annahme Nr. 4 ist teilweise richtig. In Technologien wie SSL / TLS werden IP-Adressen und MAC-Adressen am häufigsten unverschlüsselt gesendet. Wenn wir uns das OSI-Netzwerkmodell ansehen , sind IP-Adressen Teil von Level 3, MAC-Adressen sind Teil von Level 2, während SSL / TLS auf Level 4 ist. Die meisten Verschlüsselungstechnologien arbeiten über Level 3, so dass die Adressierung möglich ist von Standard-Routern und -Switches gelesen werden.
Um das Problem zu lösen, müssen Verschlüsselungstechnologien vor dem Start und der verschlüsselten Sitzung eine Art Authentifizierung bereitstellen. Im SSL / TLS-Beispiel wird die Verwendung von Zertifikaten verwendet, die von einer vertrauenswürdigen Zertifizierungsstelle (dh Verisign) bereitgestellt werden.
quelle
Um auf möglicherweise unerwünschte Details einzugehen: Die Verschlüsselung erfolgt auf der Transportschicht und darüber, genau aus den Gründen, die Sie betreffen. Die Transportschicht befindet sich unmittelbar über IP und anderen Adressierungsschemata. Dies bedeutet, dass die für diese Protokolle erforderlichen Informationen nicht verschlüsselt werden, da die Daten zu einer niedrigeren Schicht gehören.
Beispielsweise verschlüsseln TLS und sein Vorgänger SSL auf der Transportebene. Dies bedeutet, dass die einzigen Daten, die unverschlüsselt sind, die IP-Header sind.
Wenn Sie eine E-Mail in Ihrem bevorzugten E-Mail-Programm verschlüsseln, wird nur die eigentliche E-Mail-Nachricht verschlüsselt, während die IP-, TCP- und SMTP-Header unverschlüsselt sind. Diese Nachricht kann wiederum über eine TLS-Verbindung übertragen werden. TLS verschlüsselt dann die TCP- und SMTP-Teile und verschlüsselt den Nachrichtentext effektiv zweimal. Der unverschlüsselte IP-Header würde dann ausreichen, um ihn von Ihrem Computer auf den E-Mail-Server zu übertragen. Der E-Mail-Server entschlüsselt dann das TLS, sodass er erkennen kann, dass es sich um eine TCP-SMTP-Nachricht handelt. Dies würde es dann an das SMTP-Programm weitergeben, das es an den richtigen Posteingang senden könnte. Dort hätte der E-Mail-Reader des Benutzers die Informationen, die zum Entschlüsseln des Nachrichtentexts erforderlich sind.
quelle
Nummer 4 ist wahr. Wenn ein verschlüsseltes Paket gesendet wird, werden die Daten verschlüsselt, nicht die Quell- und Zieladresse.
Schauen Sie sich dieses SSH-Login-Paket an:
Es wird als verschlüsseltes Anforderungspaket angezeigt. Wie Sie sehen können, sind die Quell- und Zieldetails sichtbar.
quelle
WEP und WPA sind Tags für die Frage, die für drahtlose Netzwerke gelten. Diese Protokolle übernehmen die Verschlüsselung für die Netzwerkschicht, werden jedoch verwendet, um zu verhindern, dass Personen, die nicht im Netzwerk sind, sehen können, was das Netzwerk sendet.
Jeder Knoten in einem drahtlosen Netzwerk muss den Verschlüsselungsschlüssel kennen, damit der Router des Netzwerks den gesamten Datenverkehr entschlüsseln kann. Ich glaube, dies impliziert, dass jeder Knoten, der an ein verschlüsseltes drahtloses Netzwerk angeschlossen ist, den gesamten Datenverkehr in diesem Netzwerk abhören kann.
Daher schützen WEP und WPA nicht vor böswilligen Benutzern, die sich im selben Netzwerk wie Sie befinden. Sie müssen noch andere Verschlüsselungsebenen verwenden, um Ihren Datenverkehr vor ihnen zu verbergen.
Bearbeiten:
Nach dem Lesen von 802.11i (auch bekannt als WEP2) sehe ich, dass es einen separaten Schlüssel für Broadcast- und Multicast-Pakete verwendet (Group Temporal Key). Unicast-Verkehr wird mit einem Pairwise Transient Key verschlüsselt, einem Schlüssel, der für den Verkehr zwischen der Basisstation und einem drahtlosen Gerät verwendet wird. WEP funktioniert auch so. Dies bedeutet, dass zwei drahtlose Geräte den Datenverkehr des anderen nicht lesen können, da sie nicht denselben Schlüssel verwenden.
Ich glaube, WEP verwendet einen gemeinsamen Schlüssel für alle Knoten.
In jedem Fall verwenden Unternehmensumgebungen häufig VPN-Technologie zusätzlich zur drahtlosen Verbindung. Diese zusätzliche Verschlüsselungsebene bietet Sicherheit vom drahtlosen Gerät bis zum VPN-Server. Selbst wenn das drahtlose Netzwerk abgehört wird, werden die VPN-Pakete weiterhin verschlüsselt.
quelle