暗号化がネットワークの機能を破壊しないのはなぜですか？

暗号化のしくみについて、非常に基本的な理解があります。

私のこれまでの知識は、CISCOコースのCCNAディスカバリーレベルに関するものです（さまざまなエピソードの「セキュリティナウ」に関するSteve GibsonやLeo Laporteなど、他のいくつかのことも）。

私の質問は次のとおりです：

暗号化は、パケット/フレーム内の送信元IP / MAC宛先およびMACアドレスのネットワーク概念を壊しませんか？

なぜなら...

明らかに、すべての「非暗号化」（キー）データをデータと一緒に送信できますが、内部ネットワーク上でスイッチがデータを転送してMACテーブルを構築できないことに加えて、セキュリティが損なわれます。

今、私は私が知っていることについていくつかの仮定をします。どちらか：

1. スイッチは、パケットのIPとMAC​​アドレスのカプセル化されたヘッダーに含まれているものを使用して、以前の接続から既知のデータとともに、送信元フレームと宛先フレームのMACアドレスでカプセル化されたパケットの暗号化を解除できます。
2. ルーターは、パケットの内容/以前の接続のパケットデータを使用して、送信元と宛先のIPアドレスでカプセル化されたパケットの暗号化を解除できます。
3. インターネット上の暗号化の概念全体が機能しない（明らかに正しくない）
4. 送信元および宛先MAC / IPは、暗号化されたパケットに対して暗号化されずに送信されます。（これが事実である場合、これは、中間者がすべてのデータをキャプチャし、それを記録してから、キーをブルートフォースで暗号化解除するようにブルートフォースで強制的にできるだけ多くの時間を費やすことを意味しますか？）

あるいは、何らかの理由で私の仮定が偽である（なぜそれらが偽であるのか？）。

この質問は、これらのコースの学習から得られた完全に理論的な知識から生まれたものです。そのため、自明であることを表明していると考えている場合でも、絶対に進んで理解してください。これは純粋に学問的な理由/好奇心が強いからではなく、実際的な問題があるからではありません。

あなたの仮定＃4は部分的に正しいです。ほとんどの場合、SSL / TLSなどのテクノロジーでは、IPアドレスとMACアドレスは暗号化されずに送信されます。具体的には、OSIネットワーキングモデルを見ると、IPアドレスはレベル3の一部であり、MACアドレスはレベル2の一部ですが、SSL / TLSはレベル4です。ほとんどの暗号化技術はレベル3より上で機能するため、アドレス指定は標準のルーターとスイッチで読み取ることができます。

中間者問題を解決するために、暗号化テクノロジーは、セッションを開始して暗号化する前に、ある種の認証を提供する必要があります。SSL / TLSの例では、信頼できる認証局（つまり、Verisign）によって提供される証明書の使用が認証に使用されます。

望ましくない可能性のある詳細に入るには：懸念の理由から、トランスポート層以上で暗号化が行われます。トランスポート層は、IPおよびその他のアドレス指定方式のすぐ上の層です。つまり、データは下位層に属しているため、これらのプロトコルに必要な情報は暗号化されません。

たとえば、TLSとその前身のSSLはトランスポート層で暗号化します。これは、暗号化されていない唯一のデータがIPヘッダーであることを意味します。

一方、お気に入りのメールプログラムでメールを暗号化することを選択すると、実際のメールメッセージのみが暗号化され、IP、TCP、SMTPヘッダーはすべて暗号化されません。このメッセージは、TLS接続を介して送信される可能性があります。次に、TLSはTCP部分とSMTP部分を暗号化し、メッセージ本文を効果的に2回暗号化します。暗号化されていないIPヘッダーは、コンピューターから電子メールサーバーにそれを取得するのに十分です。次に、電子メールサーバーはTLSを復号化し、これがTCP SMTPメッセージであることを確認できるようにします。次に、それをSMTPプログラムに渡して、正しい受信トレイに送信できるようにします。そこに到達すると、ユーザーの電子メールリーダーは、メッセージ本文を復号化するために必要な情報を入手します。

4番は本当です。暗号化されたパケットが送信されると、送信元アドレスと宛先アドレスではなく、データが暗号化されます。

このSSHログインパケットを見てください。

暗号化された要求パケットとして表示されます。ご覧のとおり、ソースと宛先の詳細が表示されています。

WEPとWPAは質問のタグであり、ワイヤレスネットワーク用です。これらのプロトコルはネットワーク層の暗号化を処理しますが、ネットワーク上にない人々がネットワークが送信しているものを見ることができないようにするために使用されます。

ワイヤレスネットワーク上のすべてのノードは、ネットワークのルーターがすべてのトラフィックをデコードできるように、暗号化キーを知っている必要があります。これは、暗号化されたワイヤレスネットワークに接続されているすべてのノードが、そのネットワーク上のすべてのトラフィックを傍受できることを意味しています。

そのため、WEPとWPAは、あなたと同じネットワーク上にいる悪意のあるユーザーから保護しません。トラフィックを非表示にするために、他の暗号化レイヤーを使用する必要があります。

編集：

802.11i（別名WEP2）を読んだところ、ブロードキャストパケットとマルチキャストパケットに個別のキー（グループ一時キー）を使用していることがわかりました。ユニキャストトラフィックは、ペアワイズトランジェントキーを使用して暗号化されます。ペアワイズトランジェントキーは、ベースステーションと1つのワイヤレスデバイス間のトラフィックに使用されるキーです。WEPもこのように機能します。つまり、2つのワイヤレスデバイスは同じキーを共有しないため、互いのトラフィックを読み取ることができません。

WEPはすべてのノードに1つの共有キーを使用すると思います。

いずれにせよ、企業環境では多くの場合、ワイヤレスリンク上でVPNテクノロジが使用されます。この追加された暗号化層により、ワイヤレスデバイスからVPNサーバーまでのセキュリティが提供されます。ワイヤレスネットワークが傍受されても、VPNパケットは暗号化されます。