暗号化がネットワークの機能を破壊しないのはなぜですか?


8

暗号化のしくみについて、非常に基本的な理解があります。

私のこれまでの知識は、CISCOコースのCCNAディスカバリーレベルに関するものです(さまざまなエピソードの「セキュリティナウ」に関するSteve GibsonLeo Laporteなど、他のいくつかのことも)。

私の質問は次のとおりです:

暗号化は、パケット/フレーム内の送信元IP / MAC宛先およびMACアドレスのネットワーク概念を壊しませんか?

なぜなら...

明らかに、すべての「非暗号化」(キー)データをデータと一緒に送信できますが、内部ネットワーク上でスイッチがデータを転送してMACテーブルを構築できないことに加えて、セキュリティが損なわれます。

今、私は私が知っていることについていくつかの仮定をします。どちらか:

  1. スイッチは、パケットのIPとMAC​​アドレスのカプセル化されたヘッダーに含まれているものを使用して、以前の接続から既知のデータとともに、送信元フレームと宛先フレームのMACアドレスでカプセル化されたパケットの暗号化を解除できます。
  2. ルーターは、パケットの内容/以前の接続のパケットデータを使用して、送信元と宛先のIPアドレスでカプセル化されたパケットの暗号化を解除できます。
  3. インターネット上の暗号化の概念全体が機能しない(明らかに正しくない)
  4. 送信元および宛先MAC / IPは、暗号化されたパケットに対して暗号化されずに送信されます。(これが事実である場合、これは、中間者がすべてのデータをキャプチャし、それを記録してから、キーをブルートフォースで暗号化解除するようにブルートフォースで強制的にできるだけ多くの時間を費やすことを意味しますか?)

あるいは、何らかの理由で私の仮定が偽である(なぜそれらが偽であるのか?)。

この質問は、これらのコースの学習から得られた完全に理論的な知識から生まれたものです。そのため、自明であることを表明していると考えている場合でも、絶対に進んで理解してください。これは純粋に学問的な理由/好奇心が強いからではなく、実際的な問題があるからではありません。


その人たちは正しいです。データのみが暗号化され(アプリケーションレイヤー)、トランスポートレイヤーも同様に暗号化されます(セッションがセットアップされた後)。リンク層の暗号化は異なる動作をします(WPA2などまたはIPsec(?)を参照)。IPアドレスとMACアドレスを非表示にする場合は、(信頼された)匿名化プロキシなどを経由する必要があります。
conspiritech 2012年

回答:


5

あなたの仮定#4は部分的に正しいです。ほとんどの場合、SSL / TLSなどのテクノロジーでは、IPアドレスとMACアドレスは暗号化されずに送信されます。具体的には、OSIネットワーキングモデルを見ると、IPアドレスはレベル3の一部であり、MACアドレスはレベル2の一部ですが、SSL / TLSはレベル4です。ほとんどの暗号化技術はレベル3より上で機能するため、アドレス指定は標準のルーターとスイッチで読み取ることができます。

中間者問題を解決するために、暗号化テクノロジーは、セッションを開始して暗号化する前に、ある種の認証を提供する必要があります。SSL / TLSの例では、信頼できる認証局(つまり、Verisign)によって提供される証明書の使用が認証に使用されます。


6

望ましくない可能性のある詳細に入るには:懸念の理由から、トランスポート層以上で暗号化が行われます。トランスポート層は、IPおよびその他のアドレス指定方式のすぐ上の層です。つまり、データは下位層に属しているため、これらのプロトコルに必要な情報は暗号化されません。

たとえば、TLSとその前身のSSLはトランスポート層で暗号化します。これは、暗号化されていない唯一のデータがIPヘッダーであることを意味します。

一方、お気に入りのメールプログラムでメールを暗号化することを選択すると、実際のメールメッセージのみが暗号化され、IP、TCP、SMTPヘッダーはすべて暗号化されません。このメッセージは、TLS接続を介して送信される可能性があります。次に、TLSはTCP部分とSMTP部分を暗号化し、メッセージ本文を効果的に2回暗号化します。暗号化されていないIPヘッダーは、コンピューターから電子メールサーバーにそれを取得するのに十分です。次に、電子メールサーバーはTLSを復号化し、これがTCP SMTPメッセージであることを確認できるようにします。次に、それをSMTPプログラムに渡して、正しい受信トレイに送信できるようにします。そこに到達すると、ユーザーの電子メールリーダーは、メッセージ本文を復号化するために必要な情報を入手します。


電子メールパケットはどこで正確に暗号化されませんか?IPレイヤーのみが暗号化されていない場合、電子メールが送信される内部ネットワークに入ると、デフォルトゲートウェイルーター以外は通過できないように思えます。(明確にされているように、私はこれの一種の初心者であり、明らかに私の推測は真実ではありませんが、理由は
わかり

明確にするために、上記の回答を編集しました。それが役に立ったかどうか私に知らせてください。
jdmichal 2009

5

4番は本当です。暗号化されたパケットが送信されると、送信元アドレスと宛先アドレスではなく、データが暗号化されます。

このSSHログインパケットを見てください。

代替テキスト

暗号化された要求パケットとして表示されます。ご覧のとおり、ソースと宛先の詳細が表示されています。


jdmichalの応答にある私の質問を見てください。これも不思議です-MACアドレスは内部ネットワークトラバースに必要です。これはすべてデフォルトゲートウェイルーターレベルで処理されますか?もしそうなら、パケットはそのルーターと他のすべてのホップをどのように区別しますか?
Dmatig 2009

2

WEPとWPAは質問のタグであり、ワイヤレスネットワーク用です。これらのプロトコルはネットワーク層の暗号化を処理しますが、ネットワーク上にない人々がネットワークが送信しているものを見ることができないようにするために使用されます。

ワイヤレスネットワーク上のすべてのノードは、ネットワークのルーターがすべてのトラフィックをデコードできるように、暗号化キーを知っている必要があります。これは、暗号化されたワイヤレスネットワークに接続されているすべてのノードが、そのネットワーク上のすべてのトラフィックを傍受できることを意味しています。

そのため、WEPとWPAは、あなたと同じネットワーク上にいる悪意のあるユーザーから保護しません。トラフィックを非表示にするために、他の暗号化レイヤーを使用する必要があります。

編集:

802.11i(別名WEP2)を読んだところ、ブロードキャストパケットとマルチキャストパケットに個別のキー(グループ一時キー)を使用していることがわかりました。ユニキャストトラフィックは、ペアワイズトランジェントキーを使用して暗号化されます。ペアワイズトランジェントキーは、ベースステーションと1つのワイヤレスデバイス間のトラフィックに使用されるキーです。WEPもこのように機能します。つまり、2つのワイヤレスデバイスは同じキーを共有しないため、互いのトラフィックを読み取ることができません。

WEPはすべてのノードに1つの共有キーを使用すると思います。

いずれにせよ、企業環境では多くの場合、ワイヤレスリンク上でVPNテクノロジが使用されます。この追加された暗号化層により、ワイヤレスデバイスからVPNサーバーまでのセキュリティが提供されます。ワイヤレスネットワークが傍受されても、VPNパケットは暗号化されます。


うーん。私は本当に、本当にSUの正当な「単一の質問」の境界を押し広げています...しかし。完全に内部ネットワークがあるとしましょう。ITは、ISR(統合サービスルーター)を(ハブ/スイッチなどの代わりに)中心点として使用します。ルーターが暗号化を提供することを知っています。それは外部トラフィックの暗号化のみを提供しますか?ありがとう。
Dmatig 2009

質問が理解できません。シスコマーケティングの専門用語を使っていません。:)私は、内部に通常の暗号化されていないネットワークがあり、外部にVPNリンクがあると思いますか?もしそうなら、答えはイエスです。
Kevin Panko、

それは問題ありませんケビン。私は今、コースの途中であり、私の質問はそれ以外に非常に独創的です。できる限り簡略化します。モデムISPに接続された「linksys」ルーターがあるとします。私は英国にいるので、あなたの国のISPと同じように機能します。反対側には、たくさんのクライアントがあります(5としましょう)。暗号化を使用してワイヤレス接続をセットアップします。(私はdeliberetely vaugeされていますが、より具体的なアイデアをしたいならば、WPAのようなもののmordernを言うことができます- 。私はちょっと理論的なアイデアではなく、実際の例を探しています。
Dmatig

char制限に達しました^それで、linksysルーターが情報を復号化するため、内部ネットワーク全体(標準のlinksysホームネットワークルーターの背後にあるすべてのもの)は、ホームネットワークにあるすべてのものを自由に読み取ることができますか?これが企業環境でどのように「安全」であるかについて、私は少し混乱しています。外部リンクは大歓迎です。
Dmatig 2009

1
Linksysホームルーターは、ネットワークスイッチ、NAT機能を備えたルーター、およびワイヤレスアクセスポイントであり、すべて同じ小さな箱に入っています。ネットワークスイッチの役割は、MACアドレスに基づいてイーサネットフレームを宛先に送信することです。これにより、有線ネットワークデバイスは、自分宛でないトラフィックを見ることができなくなります。もちろん、ブロードキャストフレームはすべてのデバイスに送信されます。また、スイッチが認識しない(以前にそのMACを見たことがない)MACアドレス宛のフレームもすべてのデバイスに送信されます。
Kevin Panko
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.