为什么加密不会破坏网络的工作方式?


8

我对加密的工作原理有非常基本的了解。

据我了解,只要是,CCNA发现水平CISCO课程(以及一些其他的东西,如史蒂夫·吉布森利奥·拉波特的“ 安全现在 ”在各种各样的情节)。

我的问题是:

加密会不会破坏数据包/帧中源IP / MAC目标和MAC地址的网络概念?

因为...

显然,任何“未加密”(密钥)数据都可以与数据一起发送,但这会破坏安全性,同时交换机也无法在内部网络上定向数据并建立其MAC表。

现在,我将对我所知道的做一些假设。要么:

  1. 交换机可以使用数据包IP和MAC地址的已封装报头中的内容,以及从先前连接中获知的数据,对使用源帧和目标帧MAC地址封装的数据包进行解密。
  2. 路由器可以使用数据包/先前连接数据包数据中的内容来解密使用源IP地址和目标IP地址封装的数据包。
  3. 互联网上的整个加密概念是行不通的(显然是不正确的)
  4. 对于加密的数据包,未加密地发送源和目标MAC / ip。(如果是这种情况,这是否意味着中间人可以捕获所有数据,将其记录下来,然后花费尽可能多的时间(蛮横地强迫密钥对其进行解密)?)

否则,我的假设出于某种原因是虚假的(为什么它们是虚假的?)。

这个问题来自学习这些课程的全部理论知识,因此,即使您认为自己说的是显而易见的内容,也请尽可能地进行详细介绍。我问这纯粹是出于学术原因/强烈的好奇心,而不是因为我有实际问题。


他们是对的。仅对数据进行加密(应用程序层),也可能对传输层进行加密(一旦建立了会话)。链路层加密的工作方式不同(请参阅WPA2等或IPsec(?))。如果要隐藏IP和Mac地址,则必须通过(可信的)匿名代理或其他方式。
conspiritech 2012年

Answers:


5

您的假设4部分正确。在SSL / TLS等技术中,IP地址和MAC地址通常不加密地发送。更具体地说,如果我们查看OSI网络模型,则IP地址是级别3的一部分,MAC地址是级别2的一部分,而SSL / TLS则是级别4。大多数加密技术都在级别3之上工作,以便寻址可以由标准路由器和交换机读取。

为了解决中间人的问题,加密技术必须在启动和加密会话之前提供某种身份验证。在SSL / TLS示例中,使用由受信任的证书颁发机构(即Verisign)提供的证书进行身份验证。


6

深入了解可能的细节:出于您所关注的原因,加密发生在传输层及更高层。传输层是IP和其他寻址方案的上一层。这意味着这些协议所需的信息未加密,因为数据属于较低层。

例如,TL​​S及其前身SSL在传输层进行加密。这意味着IP头是唯一未加密的数据。

同时,当您选择在自己喜欢的电子邮件程序中加密电子邮件时,它只会加密实际的电子邮件,而IP,TCP和SMTP标头将全部未加密。反过来,此消息可能通过TLS连接传输。TLS然后将对TCP和SMTP部分进行加密,从而对消息正文进行两次有效加密。这样,未加密的IP标头就足以将其从您的计算机发送到电子邮件服务器。然后,电子邮件服务器将解密TLS,从而使其可以看到这是TCP SMTP消息。然后将其提供给SMTP程序,它将能够将其发送到正确的收件箱。到达该地址后,用户的电子邮件阅读器将具有解密消息正文所需的信息。


电子邮件数据包将在哪里被完全解密?在我看来,如果仅IP层未加密,那么一旦它进入发往电子邮件的内部网络,除了默认网关路由器之外,它将无法传递任何东西吗?(已明确说明,我对此有点
菜鸟

我在上面编辑了我的答案以澄清。让我知道是否有帮助。
jdmichal

5

数字4是正确的。发送加密的数据包时,数据将被加密,而不是源地址和目标地址。

看一下这个SSH登录数据包:

替代文字

它显示为加密的请求数据包。如您所见,源和目标详细信息可见。


您能在jdmichal的回复中看看我的问题吗?我也对此感到疑惑-内部网络遍历需要MAC地址,这些都在默认网关路由器级别处理吗?如果是这样,数据包如何区分该路由器和其他每跳?
Dmatig

2

WEP和WPA是用于无线网络的问题标签。这些协议为网络层处理加密,但是它们用于防止不在网络上的人们看到网络正在发送的内容。

无线网络上的每个节点都必须知道加密密钥,以便网络的路由器可以解码所有流量。我认为这意味着连接到加密无线网络的任何节点都可以嗅探该网络上的所有流量。

因此,WEP和WPA不能防止与您位于同一网络上的恶意用户。您仍然需要使用其他加密层来隐藏通信。

编辑:

阅读802.11i(又名WEP2)后,我看到它对广播和多播数据包使用了单独的密钥(组临时密钥)。使用成对瞬态密钥对单播流量进行加密,该成对瞬态密钥是用于基站和一个无线设备之间流量的密钥。WEP也以这种方式工作。这意味着两个无线设备无法共享彼此的密钥,因此它们无法读取彼此的流量。

我相信WEP确实对所有节点都使用一个共享密钥。

无论如何,公司环境通常会在无线链路之上使用VPN技术。这种增加的加密层提供了从无线设备一直到VPN服务器的安全性。即使无线网络被嗅探,VPN数据包仍将被加密。


嗯 我现在真的,真的在SU上推动了一个合法的“单个问题”的范围……但是。可以说我有一个完全内部的网络。IT使用ISR(集成服务路由器)作为中心点(代替集线器/交换机/等)。我知道路由器提供了加密。这样是否仅对外部流量提供加密?谢谢。
Dmatig

我不明白这问题。我不了解我的思科营销术语。:)我猜想它的内部有一个常规的未加密网络,而外部有一个VPN链接?如果是这样,那么答案是肯定的。
凯文·潘科

没关系,凯文。我现在刚刚完成课程的一半,而我的问题是非常开箱即用的。我将尽可能简化。假设您有一个“ linksys”路由器连接到调制解调器ISP。我在英国,我想它将与您所在的国家/地区的ISP相似。另一方面,您有一堆客户(比如说5个?)。您使用某种加密设置了无线连接。(我故意谨慎对待。如果您确实想要更具体的想法,请说一些像WPA这样的东西-我只是在寻找理论上的想法,而不是实际的例子
。– Dmatig

我达到了char限制^因此,我收集到linksys路由器将对信息进行解密,因此,我的整个内部网络(所有落后于我的标准的linksys家用网络路由器的东西)都可以自由读取家用网络中的所有内容吗?我对公司环境中的任何“安全性”感到有些困惑。欢迎外部链接。
Dmatig

1
Linksys家用路由器是一个网络交换机,一个具有NAT功能的路由器和一个无线访问点,它们都在同一小盒子中。网络交换机的任务是根据MAC地址将以太网帧发送到它们的目的地。这样可以防止有线网络设备看到未发送给它们的流量。当然,广播帧被发送到每个设备。同样,寻址到交换机无法识别的MAC地址(以前没有看到过MAC)的帧也发送到每个设备。
凯文·潘科
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.