Perché la crittografia non distrugge il modo in cui funzionano le reti?


8

Ho una conoscenza di base su come funziona la crittografia.

La mia conoscenza nella misura in cui è quella del livello di scoperta del CCNA nei corsi CISCO (insieme ad alcune altre cose come Steve Gibson e Leo Laporte su " Security Now " in vari episodi).

Le mie domande sono (sono):

La crittografia non spezzerebbe il concetto di rete della destinazione ip / mac sorgente e dell'indirizzo MAC in pacchetti / frame?

Perché...

Ovviamente qualsiasi dato di "non crittografia" (chiavi) potrebbe essere inviato con i dati, ma ciò danneggerebbe la sicurezza, insieme agli switch non essendo in grado di dirigere i dati e costruire le loro tabelle MAC su una rete interna.

Ora farò alcune ipotesi su ciò che so. O:

  1. Gli switch possono utilizzare ciò che è contenuto nell'intestazione incapsulata dell'indirizzo IP e MAC dei pacchetti, insieme ai dati noti dalle connessioni precedenti per decodificare i pacchetti incapsulati con l'indirizzo MAC dei frame di origine e di destinazione.
  2. I router possono utilizzare i dati dei pacchetti / connessioni precedenti per decodificare i pacchetti incapsulati con gli indirizzi IP di origine e destinazione.
  3. L'intero concetto di crittografia su Internet non è realizzabile (ovviamente falso)
  4. i MAC / IP di origine e di destinazione vengono inviati non crittografati per i pacchetti crittografati. (Se questo è il caso, ciò significa che un man-in-the-middle potrebbe acquisire tutti i dati, registrarli, quindi passare tutto il tempo che desiderano forzando brutalmente le chiavi per decifrarli?)

Altrimenti, i miei presupposti sono falsi per qualche motivo (perché sono falsi?).

Questa domanda nasce da una conoscenza del tutto teorica dall'apprendimento di questi corsi, quindi per favore entra nei dettagli che sei assolutamente disposto, anche se stai pensando di affermare l'ovvio. Lo sto chiedendo per motivi puramente accademici / intensa curiosità, non perché ho un problema pratico.


Hanno ragione. Solo i dati sono crittografati (livello applicazione) e forse anche il livello trasporto (una volta impostata la sessione). La crittografia del livello di collegamento funziona in modo diverso (vedere WPA2 ecc. O IPsec (?)). Se vuoi nascondere i tuoi indirizzi IP e mac, dovrai passare attraverso un proxy (anonimo) di fiducia o qualcosa del genere.
conspiritech,

Risposte:


5

La tua ipotesi n. 4 è in parte corretta. Molto spesso in tecnologie come SSL / TLS, gli indirizzi IP e gli indirizzi MAC vengono inviati non crittografati. Più specificamente, se osserviamo il modello di rete OSI , gli indirizzi IP fanno parte del livello 3, gli indirizzi MAC fanno parte del livello due mentre SSL / TLS è al livello 4. La maggior parte delle tecnologie di crittografia funzionano al di sopra del livello 3 in modo che l'indirizzamento possa essere letto da router e switch standard.

Al fine di risolvere l'uomo nel mezzo, le tecnologie di crittografia devono fornire una sorta di autenticazione prima di avviare una sessione crittografata. Nell'esempio SSL / TLS, per l'autenticazione viene utilizzato l'uso di certificati forniti da un'autorità di certificazione attendibile (ad es. Verisign).


6

Per entrare in dettagli eventualmente indesiderati: la crittografia avviene a livello di trasporto e superiore, proprio per i motivi della tua preoccupazione. Il livello di trasporto è quello immediatamente sopra l'IP e altri schemi di indirizzamento. Ciò significa che le informazioni richieste per questi protocolli non sono crittografate, poiché i dati appartengono a un livello inferiore.

Ad esempio, TLS e il suo predecessore SSL crittografano a livello di trasporto. Ciò significa che gli unici dati non crittografati sono le intestazioni IP.

Nel frattempo, quando scegli di crittografare un'email nel tuo programma di posta elettronica preferito, crittograferà solo il messaggio di posta elettronica effettivo, mentre le intestazioni IP, TCP e SMTP non saranno tutte crittografate. Questo messaggio, a sua volta, potrebbe essere trasmesso su una connessione TLS. TLS crittograferà quindi le parti TCP e SMTP, crittografando efficacemente il corpo del messaggio due volte. L'intestazione IP non crittografata sarebbe quindi sufficiente per trasferirla dal tuo computer al server di posta elettronica. Il server di posta decodifica quindi il TLS, consentendogli di vedere che si tratta di un messaggio TCP SMTP. Lo darebbe quindi al programma SMTP, che sarebbe in grado di inviarlo alla posta in arrivo corretta. Una volta lì, il lettore e-mail dell'utente avrebbe le informazioni necessarie per decrittografare il corpo del messaggio.


Dove sarebbe il pacchetto di posta elettronica non essere crittografato esattamente? Mi sembra che se solo il livello IP non è crittografato, una volta entrato nella rete interna a cui è destinata l'e-mail non sarebbe in grado di passare altro che il router gateway predefinito? (come chiarito, sono un po 'un noob in questo e ovviamente la mia ipotesi non è vera, non sono sicuro del perché comunque)
Dmatig

Ho modificato la mia risposta sopra per chiarire. Fammi sapere se mi ha aiutato.
jdmichal,

5

Il numero 4 è vero. Quando viene inviato un pacchetto crittografato, i dati vengono crittografati, non gli indirizzi di origine e di destinazione.

Dai un'occhiata a questo pacchetto di login SSH:

testo alternativo

Viene visualizzato come pacchetto di richiesta crittografato. Come puoi vedere, i dettagli di origine e destinazione sono visibili.


Potresti dare un'occhiata alla mia domanda nella risposta di jdmichal? Mi chiedo anche questo: l'indirizzo MAC è necessario per attraversare la rete interna, è tutto gestito a livello di router gateway predefinito? In tal caso, in che modo il pacchetto distingue tra quel router e ogni altro hop?
Dmatig,

2

WEP e WPA sono tag per la domanda, che sono per reti wireless. Questi protocolli gestiscono la crittografia per il livello di rete, ma vengono utilizzati per impedire alle persone che non sono in rete di vedere ciò che la rete sta inviando.

Ogni nodo su una rete wireless deve conoscere la chiave di crittografia, in modo che il router della rete possa decodificare tutto il traffico. Credo che ciò implichi che qualsiasi nodo collegato a una rete wireless crittografata può annusare tutto il traffico su quella rete.

Pertanto, WEP e WPA non proteggono da utenti malintenzionati che si trovano sulla stessa rete dell'utente. Devi ancora utilizzare altri livelli di crittografia per nascondere il tuo traffico.

Modificare:

Dopo aver letto su 802.11i (aka WEP2), vedo che utilizza una chiave separata per i pacchetti broadcast e multicast (Group Temporal Key). Il traffico unicast viene crittografato utilizzando una chiave transitoria Pairwise, che è una chiave utilizzata per il traffico tra la stazione base e un dispositivo wireless. Anche WEP funziona in questo modo. Ciò significa che due dispositivi wireless non possono leggere reciprocamente il traffico poiché non condividono la stessa chiave.

Credo che WEP usi una chiave condivisa per tutti i nodi.

In ogni caso, gli ambienti aziendali utilizzeranno spesso la tecnologia VPN in cima al collegamento wireless. Questo ulteriore livello di crittografia fornisce sicurezza dal dispositivo wireless fino al server VPN. Anche se la rete wireless viene sniffata, i pacchetti VPN verranno comunque crittografati.


Hmmm. Sto davvero, spingendo davvero i limiti di quella che è una "singola domanda" legittima su SU ora ... MA. Diciamo che ho una rete interamente interna. L'IT utilizza un ISR (Intergrated Services Router) come punto centrale (al posto di un hub / switch / ecc.). So che il router fornisce la crittografia. Ciò fornisce solo la crittografia per il traffico ESTERNO? Grazie.
Dmatig,

Non capisco la domanda. Non sono all'altezza del mio gergo di marketing Cisco. :) Immagino che abbia una normale rete non crittografata sul lato interno e un collegamento VPN sul lato esterno? In tal caso, la risposta è sì.
Kevin Panko,

Non è un problema Kevin. Sono solo a metà del corso in questo momento, e la mia domanda è molto pronta all'uso per il resto. Semplificherò al meglio. Supponiamo che tu abbia un router "linksys" collegato all'ISP del tuo modem. Sono nel Regno Unito, immagino che funzionerà in modo simile all'ISP del tuo paese). Dall'altro lato, hai un sacco di clienti (diciamo 5?). Puoi impostare la connettività wireless usando un po 'di crittografia. (Sono volutamente deliberatamente. Se vuoi idee più specifiche, diciamo qualcosa di moderno come il WPA - Sto solo cercando idee teoriche, non esempi reali.
Dmatig,

Colpisco il limite di caratteri ^ Quindi mi accorgo che il router Linksys decifrerebbe le informazioni e quindi tutta la mia rete interna (tutto dietro il mio router di rete domestica Linksys standard) sarebbe libera di leggere tutto ciò che è nella mia rete domestica? Sono un po 'confuso su come tutto ciò sia "sicuro" in un ambiente aziendale. I link esterni sono i benvenuti.
Dmatig,

1
Un router domestico Linksys è uno switch di rete, un router con funzionalità NAT e un punto di accesso wireless, tutto nella stessa piccola scatola. Il compito di uno switch di rete è inviare frame Ethernet alle loro destinazioni in base all'indirizzo MAC. Ciò impedisce ai dispositivi di rete cablati di vedere il traffico non indirizzato a loro. I frame di trasmissione, ovviamente, vengono inviati a tutti i dispositivi. Inoltre, i frame indirizzati a un indirizzo MAC che lo switch non riconosce (non ha mai visto MAC in precedenza) vengono inviati a tutti i dispositivi.
Kevin Panko,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.