Por que a criptografia não destrói o funcionamento das redes?

8

Eu tenho um entendimento muito básico de como a criptografia funciona.

Meu conhecimento é o do nível de descoberta do CCNA nos cursos da CISCO (juntamente com algumas outras coisas, como Steve Gibson e Leo Laporte em " Security Now " em vários episódios).

Minha (s) pergunta (s) é (são):

A criptografia não quebraria o conceito de rede do destino IP / Mac de origem e do endereço MAC em pacotes / quadros?

Porque...

Obviamente, quaisquer dados de "descriptografia" (chaves) poderiam ser enviados com os dados, mas isso prejudicaria a segurança, além de os switches serem incapazes de direcionar dados e criar suas tabelas MAC em uma rede interna.

Agora vou fazer algumas suposições sobre o que eu sei. Ou:

  1. Os comutadores podem usar o conteúdo do cabeçalho encapsulado do endereço IP e MAC dos pacotes, juntamente com os dados conhecidos das conexões anteriores para descriptografar os pacotes encapsulados com o endereço MAC dos quadros de origem e de destino.
  2. Os roteadores podem usar o conteúdo dos pacotes / conexões anteriores para descriptografar os pacotes encapsulados com os endereços IP de origem e de destino.
  3. Todo o conceito de criptografia na internet é impraticável (obviamente falso)
  4. os MACs / ip de origem e de destino são enviados sem criptografia para pacotes criptografados. (Se for esse o caso, isso significa que um homem do meio pode capturar todos os dados, registrá-los e passar o tempo que for necessário para forçar as chaves a descriptografá-los?)

Ou então, minhas suposições são falsas por algum motivo (por que são falsas?).

Esta questão nasce de um conhecimento inteiramente teórico da aprendizagem desses cursos; portanto, entre em tantos detalhes quanto você desejar, mesmo se você estiver pensando que está afirmando o óbvio. Estou perguntando isso por razões puramente acadêmicas / intensa curiosidade, não porque eu tenha um problema prático.

networking encryption wpa wep Dmatig
fonte
Eles estão certos. Somente os dados são criptografados (camada de aplicativo) e talvez também a camada de transporte (após a configuração da sessão). A criptografia da camada de link funciona de maneira diferente (consulte WPA2 etc ou IPsec (?)). Se você deseja ocultar seus endereços IP e Mac, precisará passar por um proxy anônimo (confiável) ou algo assim.
21812

Respostas:

5

Sua suposição # 4 está parcialmente correta. Geralmente, em tecnologias como SSL / TLS, endereços IP e endereços MAC são enviados sem criptografia. Mais especificamente, se olharmos para o modelo de rede OSI , os endereços IP fazem parte do nível 3, os endereços MAC fazem parte do nível dois, enquanto o SSL / TLS está no nível 4. A maioria das tecnologias de criptografia trabalha acima do nível 3, para que o endereçamento possa ser lido por roteadores e switches padrão.

Para resolver o problema do meio, as tecnologias de criptografia precisam fornecer algum tipo de autenticação antes de iniciar a sessão criptografada. No exemplo SSL / TLS, o uso de certificados fornecidos por uma autoridade de certificação confiável (por exemplo, Verisign) é usado para autenticação.

pesado
fonte
6

Para entrar em detalhes possivelmente indesejados: A criptografia ocorre na camada de transporte e acima, exatamente pelos motivos de sua preocupação. A camada de transporte é a imediatamente acima do IP e de outros esquemas de endereçamento. Isso significa que as informações necessárias para esses protocolos não são criptografadas, porque os dados pertencem a uma camada inferior.

Por exemplo, o TLS e seu SSL predecessor criptografam na camada de transporte. Isso significa que os únicos dados não criptografados são os cabeçalhos IP.

Enquanto isso, quando você escolhe criptografar um email no seu programa de email favorito, ele criptografa apenas a mensagem de email real, enquanto os cabeçalhos IP, TCP e SMTP serão todos criptografados. Esta mensagem, por sua vez, pode ser transmitida por uma conexão TLS. O TLS criptografará as partes TCP e SMTP, criptografando efetivamente o corpo da mensagem duas vezes. O cabeçalho IP não criptografado seria suficiente para transferi-lo do seu computador para o servidor de email. O servidor de email descriptografaria o TLS, permitindo ver que essa é uma mensagem TCP SMTP. Daria isso ao programa SMTP, que poderia enviá-lo para a caixa de entrada correta. Uma vez lá, o leitor de e-mail do usuário teria as informações necessárias para descriptografar o corpo da mensagem.

jdmichal
fonte
Onde o pacote de email seria descriptografado exatamente? Parece-me que, se apenas a camada IP não estiver criptografada, depois de entrar na rede interna onde o email está destinado, não será possível transmitir nada além do roteador de gateway padrão? (como deixou claro, eu sou tipo de um noob neste e, obviamente, o meu palpite não é verdade, eu não tenho certeza por que no entanto)
Dmatig
Eu editei minha resposta acima para esclarecer. Deixe-me saber se ajudou.
jdmichal
5

O número 4 é verdadeiro. Quando um pacote criptografado é enviado, os dados são criptografados, não os endereços de origem e destino.

Dê uma olhada neste pacote de login SSH:

texto alternativo

É exibido como um pacote de solicitação criptografado. Como você pode ver, os detalhes de origem e destino são visíveis.

John T
fonte
Você poderia dar uma olhada na minha pergunta na resposta de jdmichal? Eu me pergunto sobre isso também - o endereço MAC é necessário para o deslocamento interno da rede, isso tudo é tratado no nível de roteadores de gateway padrão? Se sim, como o pacote diferencia esse roteador e todos os outros saltos?
Dmatig
2

WEP e WPA são tags para a pergunta, que são para redes sem fio. Esses protocolos lidam com a criptografia da camada de rede, mas são usados ​​para impedir que as pessoas que não estão na rede possam ver o que a rede está enviando.

Cada nó em uma rede sem fio deve conhecer a chave de criptografia, para que o roteador da rede possa decodificar todo o tráfego. Acredito que isso implica que qualquer nó conectado a uma rede sem fio criptografada pode cheirar todo o tráfego nessa rede.

Portanto, o WEP e o WPA não protegem contra usuários mal-intencionados que estão na mesma rede que você. Você ainda precisa usar outras camadas de criptografia para ocultar o tráfego delas.

Editar:

Depois de ler sobre o 802.11i (também conhecido como WEP2), vejo que ele usa uma chave separada para pacotes de difusão e multicast (chave temporal do grupo). O tráfego unicast é criptografado usando uma Chave de Transição Pairwise, que é uma chave usada para o tráfego entre a estação base e um dispositivo sem fio. O WEP também funciona dessa maneira. Isso significa que dois dispositivos sem fio não conseguem ler o tráfego um do outro, pois não compartilham a mesma chave.

Eu acredito que o WEP usa uma chave compartilhada para todos os nós.

De qualquer forma, os ambientes corporativos geralmente usam a tecnologia VPN em cima do link sem fio. Essa camada adicional de criptografia fornece segurança desde o dispositivo sem fio até o servidor VPN. Mesmo que a rede sem fio seja detectada, os pacotes VPN ainda serão criptografados.

Kevin Panko
fonte
Hummm. Estou realmente empurrando os limites do que é uma "pergunta única" legítima no SU agora ... MAS. Vamos dizer que eu tenho uma rede totalmente interna. A TI usa um ISR (roteador de serviços integrados) como ponto central (no lugar de um hub / switch / etc). Eu sei que o roteador fornece a criptografia. Isso fornece apenas criptografia para tráfego EXTERNO? Obrigado.
Dmatig
Eu não entendi a pergunta. Eu não estou no meu jargão de marketing da Cisco. :) Vou adivinhar que ele tem uma rede não criptografada regular no lado interno e um link VPN no lado externo? Se sim, então a resposta é sim.
22610 Kevin Panko
Isso não é problema, Kevin. Estou apenas no meio do curso agora, e minha pergunta está muito fora da caixa para isso. Vou simplificar o melhor possível. Digamos que você tenha um roteador "linksys" conectado ao ISP do seu modem. Estou no Reino Unido, acho que funcionará de maneira semelhante ao ISP do seu país). Por outro lado, você tem vários clientes (digamos 5?). Você configura a conectividade sem fio usando alguma criptografia. (Estou deliberadamente sendo cauteloso. Se você quiser idéias mais específicas, digamos algo mais mordern como o WPA - só estou procurando idéias teóricas, não exemplos reais.
Dmatig
Atingi o limite de caracteres ^ Então, eu entendo que o roteador linksys descriptografaria as informações e, portanto, toda a minha rede interna (tudo por trás do meu roteador de rede doméstica linksys) estaria livre para ler tudo o que estiver na minha rede doméstica? Estou um pouco confuso sobre como isso é "seguro" em um ambiente corporativo. Links externos são bem-vindos.
Dmatig
1
Um roteador doméstico da Linksys é um comutador de rede, um roteador com funcionalidade NAT e um ponto de acesso sem fio, tudo na mesma caixinha. O trabalho de um comutador de rede é enviar quadros Ethernet para seus destinos com base no endereço MAC. Isso impede que os dispositivos de rede com fio vejam o tráfego não endereçado a eles. Os quadros de transmissão, é claro, são enviados para todos os dispositivos. Além disso, os quadros endereçados a um endereço MAC que o switch não reconhece (ele nunca viu o MAC antes) também são enviados para todos os dispositivos.
precisa