Warum zerstört die Verschlüsselung die Funktionsweise von Netzwerken nicht?

2487
Dmatig

Ich habe ein grundlegendes Verständnis dafür, wie Verschlüsselung funktioniert.

Mein Wissen ist insoweit das der CCNA-Entdeckungsebene in den CISCO- Kursen (zusammen mit einigen anderen Dingen wie Steve Gibson und Leo Laporte über " Security Now " in verschiedenen Folgen).

Meine Frage (n) ist (sind):

Würde die Verschlüsselung nicht das Netzwerkkonzept von Quell-IP / MAC-Ziel und MAC-Adresse in Paketen / Frames durchbrechen?

Weil...

Offensichtlich können alle Daten der "Entschlüsselung" (Schlüssel) mit den Daten gesendet werden. Dies würde jedoch die Sicherheit beeinträchtigen, da Switches nicht in der Lage sind, Daten zu leiten und ihre MAC-Tabellen in einem internen Netzwerk zu erstellen.

Jetzt mache ich einige Annahmen über das, was ich weiß. Entweder:

  1. Switches können die in den Paketen der IP- und MAC-Adresse gekapselten Header sowie die aus früheren Verbindungen bekannten Daten verwenden, um die mit der MAC-Adresse des Quell- und Zielrahmens gekapselten Pakete zu entschlüsseln.
  2. Router können die Paketdaten der vorherigen Pakete verwenden, um die mit den Quell- und Ziel-IP-Adressen gekapselten Pakete zu entschlüsseln.
  3. Das gesamte Konzept der Verschlüsselung im Internet ist nicht durchführbar (offensichtlich unwahr)
  4. Quell- und Ziel-MACs / IPs werden für verschlüsselte Pakete unverschlüsselt gesendet. (Wenn dies der Fall ist, bedeutet dies, dass ein Man-in-the-Middle alle Daten erfassen, aufzeichnen und dann so viel Zeit wie möglich aufbringen kann, bis er die Schlüssel entschlüsselt, um sie zu entschlüsseln?)

Oder meine Annahmen sind aus irgendeinem Grund falsch (Warum sind sie falsch?).

Diese Frage basiert auf rein theoretischem Wissen aus dem Lernen dieser Kurse. Gehen Sie daher bitte so detailliert vor, wie Sie es wollen, auch wenn Sie denken, dass Sie das Offensichtliche angeben. Ich frage das aus rein akademischen Gründen / intensiver Neugier, nicht weil ich ein praktisches Problem habe.

8
Sie haben recht. Nur die Daten werden verschlüsselt (Anwendungsschicht) und möglicherweise auch die Transportschicht (sobald die Sitzung eingerichtet wurde). Die Verschlüsselung der Verbindungsschicht funktioniert anders (siehe WPA2 usw. oder IPsec (?)). Wenn Sie Ihre IP- und MAC-Adressen verbergen möchten, müssen Sie einen (vertrauenswürdigen) Anonymisierungs-Proxy oder etwas anderes durchlaufen. conspiritech vor 12 Jahren 0

4 Antworten auf die Frage

6
jdmichal

Um auf möglicherweise unerwünschte Details einzugehen: Die Verschlüsselung erfolgt genau auf der Transportebene und darüber, genau aus Ihrem Grund. Die Transportschicht ist die unmittelbar über IP und anderen Adressierungsschemata. Dies bedeutet, dass die für diese Protokolle erforderlichen Informationen nicht verschlüsselt werden, da die Daten zu einer niedrigeren Schicht gehören.

Beispielsweise verschlüsseln TLS und sein Vorgänger SSL auf der Transportschicht. Dies bedeutet, dass die einzigen Daten, die unverschlüsselt sind, die IP-Header sind.

Wenn Sie sich dafür entscheiden, eine E-Mail in Ihrem bevorzugten E-Mail-Programm zu verschlüsseln, wird nur die eigentliche E-Mail-Nachricht verschlüsselt, während die IP-, TCP- und SMTP-Header unverschlüsselt sind. Diese Nachricht kann wiederum über eine TLS-Verbindung übertragen werden. TLS verschlüsselt dann die TCP- und SMTP-Teile und verschlüsselt so effektiv den Nachrichtentext. Der unverschlüsselte IP-Header reicht dann aus, um ihn von Ihrem Computer an den E-Mail-Server zu senden. Der E-Mail-Server entschlüsselt dann das TLS und zeigt an, dass es sich um eine TCP-SMTP-Nachricht handelt. Das würde dann das SMTP-Programm geben, das es an den richtigen Posteingang schicken könnte. Dort angekommen, verfügt der E-Mail-Reader des Benutzers über die erforderlichen Informationen, um den Nachrichtentext zu entschlüsseln.

Wo wäre das E-Mail-Paket genau unverschlüsselt? Scheint mir, dass, wenn nur die IP-Schicht unverschlüsselt ist, dann, sobald sie in das interne Netzwerk gelangt, in dem die E-Mail bestimmt ist, sie nichts weiter als den Standard-Gateway-Router passieren kann? (Wie klar gesagt, ich bin ein bisschen noob in dieser Sache und offensichtlich ist meine Vermutung nicht wahr, ich bin mir nicht sicher, warum) Dmatig vor 14 Jahren 0
Ich habe meine Antwort oben zur Klarstellung bearbeitet. Sag mir, ob es geholfen hat. jdmichal vor 14 Jahren 0
5
John T

Nummer 4 ist wahr. Wenn ein verschlüsseltes Paket gesendet wird, werden die Daten verschlüsselt, nicht die Quell- und Zieladresse.

Schauen Sie sich dieses SSH-Anmeldepaket an:

Alt-Text

Es wird als verschlüsseltes Anforderungspaket angezeigt. Wie Sie sehen, sind die Quell- und Zieldetails sichtbar.

Könnten Sie sich meine Frage in jdmichals Antwort ansehen? Ich wundere mich auch darüber - die MAC-Adresse wird für das interne Netzwerk-Traversing benötigt. Wird dies auf der Ebene der Standard-Gateway-Router erledigt? Wenn ja, wie unterscheidet sich das Paket zwischen diesem Router und jedem anderen Hop? Dmatig vor 14 Jahren 0
5
heavyd

Ihre Annahme Nr. 4 ist teilweise richtig. In Technologien wie SSL / TLS werden IP-Adressen und MAC-Adressen meistens unverschlüsselt gesendet. Wenn wir das OSI-Netzwerkmodell betrachten, sind IP-Adressen Teil der Ebene 3, MAC-Adressen Teil der Ebene 2, während sich SSL / TLS auf Ebene 4 befindet. Die meisten Verschlüsselungstechnologien arbeiten über Ebene 3, sodass die Adressierung möglich ist von Standard-Routern und Switches gelesen werden.

Um das mittlere Problem zu lösen, müssen Verschlüsselungstechnologien eine Art Authentifizierung bereitstellen, bevor sie eine verschlüsselte Sitzung starten. Im SSL / TLS-Beispiel wird für die Authentifizierung die Verwendung von Zertifikaten verwendet, die von einer vertrauenswürdigen Zertifizierungsstelle (dh Verisign) bereitgestellt werden.

2
Kevin Panko

WEP und WPA sind Tags für die Frage, die sich auf drahtlose Netzwerke beziehen. Diese Protokolle behandeln die Verschlüsselung für die Netzwerkschicht. Sie werden jedoch verwendet, um Personen außerhalb des Netzwerks davon abzuhalten, zu sehen, was das Netzwerk sendet.

Jeder Knoten in einem drahtlosen Netzwerk muss den Verschlüsselungsschlüssel kennen, damit der Router des Netzwerks den gesamten Datenverkehr dekodieren kann. Ich glaube, das bedeutet, dass jeder Knoten, der an ein verschlüsseltes drahtloses Netzwerk angeschlossen ist, den gesamten Datenverkehr in diesem Netzwerk erfassen kann.

Daher schützen WEP und WPA nicht vor böswilligen Benutzern, die sich in demselben Netzwerk befinden wie Sie. Sie müssen noch andere Verschlüsselungsebenen verwenden, um Ihren Datenverkehr vor ihnen zu verbergen.

Bearbeiten:

Nach dem Lesen von 802.11i (auch bekannt als WEP2) sehe ich, dass es einen separaten Schlüssel für Broadcast- und Multicast-Pakete (Group Temporal Key) verwendet. Der Unicast-Verkehr wird mit einem Pairwise Transient Key verschlüsselt, der für den Verkehr zwischen der Basisstation und einem drahtlosen Gerät verwendet wird. WEP funktioniert auch auf diese Weise. Dies bedeutet, dass zwei drahtlose Geräte den Datenverkehr des anderen Benutzers nicht lesen können, da sie nicht denselben Schlüssel verwenden.

Ich glaube, WEP verwendet einen gemeinsamen Schlüssel für alle Knoten.

In jedem Fall verwenden Unternehmensumgebungen häufig die VPN-Technologie über der drahtlosen Verbindung. Diese zusätzliche Verschlüsselungsebene bietet Sicherheit vom drahtlosen Gerät bis zum VPN-Server. Selbst wenn das drahtlose Netzwerk entdeckt wird, werden die VPN-Pakete immer noch verschlüsselt.

Hmmm. Ich treibe wirklich die Grenzen einer legitimen "Einzelfrage" für SU jetzt aus ... ABER. Nehmen wir an, ich habe ein vollständig internes Netzwerk. Die IT verwendet einen ISR (Intergrated Services Router) als zentralen Punkt (anstelle eines Hubs / Switches usw.). Ich weiß, dass der Router die Verschlüsselung bereitstellt. Bietet das nur Verschlüsselung für den externen Verkehr? Vielen Dank. Dmatig vor 14 Jahren 0
Ich verstehe die Frage nicht. Ich bin nicht auf meinem Cisco-Marketing-Jargon. :) Ich gehe davon aus, dass es auf der internen Seite ein regelmäßiges unverschlüsseltes Netzwerk und auf der externen Seite einen VPN-Link gibt. Wenn ja, dann ist die Antwort ja. Kevin Panko vor 14 Jahren 0
Das ist kein Problem, Kevin. Ich bin gerade erst auf halbem Weg durch den Kurs und meine Frage ist außerdem sehr out-of-the-box für ihn. Ich werde so gut wie möglich vereinfachen. Nehmen wir an, Sie haben einen "Linksys" -Router, der mit Ihrem ISP-Modem verbunden ist. Ich bin in Großbritannien, ich denke, es wird ähnlich funktionieren wie in Ihrem Land (ISP). Auf der anderen Seite haben Sie eine Reihe von Kunden (sagen wir 5?). Sie können die drahtlose Verbindung mithilfe einer Verschlüsselung einrichten. (Ich bin absichtlich Messlatte. Wenn Sie spezifischere Ideen wünschen, sagen wir etwas Modernes wie WPA - ich suche nur nach theoretischen Ideen, nicht nach konkreten Beispielen. Dmatig vor 14 Jahren 0
Ich stoße auf char limit ^ Also habe ich festgestellt, dass der Linksys-Router die Informationen entschlüsseln würde, und daher wäre mein gesamtes internes Netzwerk (alles hinter meinem Standard, Linksys-Heimnetzwerk-Router) frei, um alles in meinem Heimnetzwerk zu lesen? Ich bin etwas verwirrt darüber, wie dies in einer Unternehmensumgebung "sicher" ist. Externe Links sind willkommen. Dmatig vor 14 Jahren 0
Ein Linksys Home-Router ist ein Netzwerk-Switch, ein Router mit NAT-Funktion und ein drahtloser Zugangspunkt, die sich alle in derselben kleinen Box befinden. Die Aufgabe eines Netzwerk-Switches ist es, Ethernet-Frames basierend auf der MAC-Adresse an ihre Ziele zu senden. Dadurch wird verhindert, dass kabelgebundene Netzwerkgeräte Datenverkehr erhalten, der nicht an sie gerichtet ist. Broadcast-Frames werden natürlich an jedes Gerät gesendet. Außerdem werden Frames, die an eine MAC-Adresse adressiert sind, die der Switch nicht erkennt (der MAC war noch nicht bekannt), auch an jedes Gerät gesendet. Kevin Panko vor 14 Jahren 1

Verwandte Probleme