Mengapa enkripsi tidak merusak cara kerja jaringan?

8

Saya memiliki pemahaman yang sangat mendasar tentang cara kerja enkripsi.

Pengetahuan saya sejauh ini adalah tingkat penemuan CCNA pada kursus CISCO (bersama dengan beberapa hal lain seperti Steve Gibson dan Leo Laporte pada " Security Now " dalam berbagai episode).

Pertanyaan saya adalah:

Apakah enkripsi tidak akan merusak konsep jaringan tujuan ip / mac tujuan dan alamat MAC dalam paket / bingkai?

Karena...

Jelas setiap data "tidak terenkripsi" (kunci) dapat dikirim dengan data, tetapi itu akan merusak keamanan, di samping sakelar yang tidak dapat mengarahkan data dan membangun tabel MAC mereka di jaringan internal.

Sekarang saya akan membuat beberapa asumsi tentang apa yang saya tahu. Antara:

  1. Switch dapat menggunakan apa yang ada di header IP & MAC address encapsulated address, bersama data yang dikenal dari koneksi sebelumnya untuk tidak mengenkripsi paket yang dienkapsulasi dengan frame MAC address source dan destination.
  2. Router dapat menggunakan apa yang ada dalam paket / koneksi sebelumnya paket data untuk tidak mengenkripsi paket yang dienkapsulasi dengan alamat IP sumber dan tujuan.
  3. Seluruh konsep enkripsi di internet tidak bisa dijalankan (jelas tidak benar)
  4. sumber dan tujuan MAC / ip dikirim tidak terenkripsi untuk paket terenkripsi. (Jika ini masalahnya, apakah ini berarti bahwa seorang lelaki di tengah dapat menangkap semua data, merekamnya, lalu menghabiskan waktu sebanyak yang mereka inginkan dengan paksa memaksa kunci untuk tidak mengenkripsi itu?)

Atau yang lain, asumsi saya adalah palsu untuk beberapa alasan (Mengapa mereka palsu?).

Pertanyaan ini lahir dari pengetahuan yang sepenuhnya teoritis dari mempelajari kursus-kursus ini, jadi silakan masuk ke sedetail yang Anda benar-benar mau, bahkan jika Anda berpikir Anda menyatakan yang sudah jelas. Saya menanyakan ini semata-mata karena alasan akademis / keingintahuan yang kuat, bukan karena saya punya masalah praktis.

Dmatig
sumber
Mereka benar. Hanya data yang dienkripsi (lapisan aplikasi) dan mungkin lapisan transport juga (setelah sesi telah diatur). Enkripsi lapisan tautan berfungsi berbeda (lihat WPA2 dll atau IPsec (?)). Jika Anda ingin menyembunyikan alamat IP dan mac Anda harus melewati proksi anonim (tepercaya), atau apalah.
conspiritech

Jawaban:

5

Asumsi # 4 Anda sebagian benar. Paling sering dalam teknologi seperti SSL / TLS, alamat IP & alamat MAC dikirim tidak terenkripsi. Lebih khusus lagi, jika kita melihat pada OSI Networking Model , alamat IP adalah bagian dari level 3, alamat MAC adalah bagian dari level dua sedangkan SSL / TLS berada di level 4. Kebanyakan teknologi enkripsi bekerja di atas level 3 sehingga pengalamatan dapat dibaca oleh router dan switch standar.

Untuk memecahkan masalah ini, teknologi enkripsi harus menyediakan semacam otentikasi sebelum memulai dan sesi terenkripsi. Dalam contoh SSL / TLS penggunaan sertifikat yang disediakan oleh otoritas sertifikat tepercaya (yaitu Verisign) digunakan untuk otentikasi.

astaga
sumber
6

Untuk masuk ke detail yang mungkin tidak diinginkan: Enkripsi terjadi di lapisan transport dan di atas, untuk alasan yang tepat perhatian Anda. Lapisan transport adalah yang tepat di atas IP dan skema pengalamatan lainnya. Ini berarti bahwa informasi yang diperlukan untuk protokol-protokol ini tidak dienkripsi, karena data milik lapisan bawah.

Sebagai contoh, TLS dan pendahulunya SSL mengenkripsi pada lapisan transport. Ini berarti bahwa satu-satunya data yang tidak dienkripsi adalah header IP.

Sementara itu, ketika Anda memilih untuk mengenkripsi email dalam program email favorit Anda, itu hanya akan mengenkripsi pesan email yang sebenarnya, sedangkan header IP, TCP, dan SMTP semua tidak akan dienkripsi. Pesan ini, pada gilirannya, mungkin dikirim melalui koneksi TLS. TLS kemudian akan mengenkripsi bagian TCP dan SMTP, secara efektif mengenkripsi badan pesan dua kali. Header IP yang tidak terenkripsi kemudian akan cukup untuk mendapatkannya dari komputer Anda ke server email. Server email kemudian akan mendekripsi TLS, memungkinkannya untuk melihat bahwa ini adalah pesan TCP SMTP. Kemudian akan memberikannya ke program SMTP, yang akan dapat mengirimkannya ke kotak masuk yang benar. Sesampai di sana, pembaca email pengguna akan memiliki informasi yang diperlukan untuk mendekripsi isi pesan.

jdmichal
sumber
Di mana tepatnya paket email tidak terenkripsi? Tampak bagi saya bahwa jika hanya lapisan IP tidak terenkripsi, maka setelah memasuki jaringan internal di mana email ditakdirkan itu tidak akan bisa melewati apa pun kecuali router gateway default? (Seperti yang diperjelas, saya semacam noob dalam hal ini dan jelas dugaan saya tidak benar, namun saya tidak yakin mengapa)
Dmatig
Saya mengedit jawaban saya di atas untuk menjelaskan. Beri tahu saya jika itu membantu.
jdmichal
5

Nomor 4 benar. Ketika paket terenkripsi dikirim, data dienkripsi, bukan sumber dan alamat tujuan.

Lihatlah paket masuk SSH ini:

teks alternatif

Ini ditampilkan sebagai paket permintaan terenkripsi. Seperti yang Anda lihat, detail sumber dan tujuan terlihat.

John T
sumber
Bisakah Anda melihat pertanyaan saya dalam tanggapan jdmichal? Saya bertanya-tanya tentang hal ini juga - alamat MAC diperlukan untuk melintasi jaringan internal, apakah ini semua ditangani pada tingkat router gateway default? Jika demikian, bagaimana paket membedakan antara router itu dan setiap hop lainnya?
Dmatig
2

WEP dan WPA adalah tag untuk pertanyaan, yang untuk jaringan nirkabel. Protokol-protokol ini menangani enkripsi untuk lapisan jaringan, tetapi mereka digunakan untuk menjaga orang-orang tidak pada jaringan agar tidak dapat melihat apa yang dikirim oleh jaringan.

Setiap node di jaringan nirkabel harus mengetahui kunci enkripsi, sehingga router jaringan dapat mendekode semua lalu lintas. Saya percaya ini menyiratkan bahwa setiap node yang terpasang pada jaringan nirkabel terenkripsi dapat mengendus semua lalu lintas di jaringan itu.

Jadi, WEP dan WPA tidak melindungi terhadap pengguna jahat yang berada di jaringan yang sama dengan Anda. Anda masih perlu menggunakan lapisan enkripsi lain untuk menyembunyikan traffic Anda dari mereka.

Edit:

Setelah membaca pada 802.11i (alias WEP2), saya melihat bahwa ia menggunakan kunci terpisah untuk paket broadcast dan multicast (Group Temporal Key). Lalu lintas Unicast dienkripsi menggunakan Kunci Transien Berpasangan, yang merupakan kunci yang digunakan untuk lalu lintas antara stasiun pangkalan dan satu perangkat nirkabel. WEP juga bekerja dengan cara ini. Ini berarti bahwa dua perangkat nirkabel tidak dapat saling membaca lalu lintas karena mereka tidak berbagi kunci yang sama.

Saya percaya WEP menggunakan satu kunci bersama untuk semua node.

Bagaimanapun, lingkungan perusahaan sering kali akan menggunakan teknologi VPN di atas tautan nirkabel. Enkripsi lapisan tambahan ini memberikan keamanan dari perangkat nirkabel sepanjang jalan kembali ke server VPN. Bahkan jika jaringan nirkabel diendus, paket-paket VPN akan tetap dienkripsi.

Kevin Panko
sumber
Hmmm. Saya benar-benar mendorong batasan dari apa yang merupakan "pertanyaan tunggal" yang sah pada SU sekarang ... TAPI. Katakanlah saya memiliki jaringan yang sepenuhnya internal. TI menggunakan ISR (Intergrated Services Router) sebagai titik pusat (sebagai pengganti hub / switch / dll). Saya tahu router menyediakan enkripsi. Apakah itu hanya menyediakan enkripsi untuk lalu lintas EKSTERNAL? Terima kasih.
Dmatig
Saya tidak mengerti pertanyaannya. Saya tidak mengerti istilah pemasaran cisco saya. :) Saya akan menebak bahwa ia memiliki jaringan tidak terenkripsi reguler di sisi internal, dan tautan VPN di sisi eksternal? Jika demikian, maka jawabannya adalah ya.
Kevin Panko
Itu tidak masalah Kevin. Saya hanya setengah jalan di kursus sekarang, dan pertanyaan saya sangat luar biasa untuk itu selain itu. Saya akan menyederhanakan sebaik mungkin. Katakanlah Anda memiliki router "linksys" yang terhubung ke ISP modem Anda. Saya di Inggris, saya kira itu akan bekerja sama dengan ISP negara Anda). Di sisi lain, Anda memiliki banyak klien (misalkan 5?). Anda mengatur konektivitas nirkabel menggunakan beberapa enkripsi. (Saya sengaja menjadi vauge. Jika Anda ingin ide-ide yang lebih spesifik, katakanlah sesuatu yang lebih modern seperti WPA - Saya hanya mencari ide-ide teoretis, bukan contoh-contoh aktual.
Dmatig,
Saya mencapai batas char ^ Jadi saya mengetahui bahwa router linksys akan mendekripsi informasi, dan oleh karena itu seluruh jaringan internal saya (semua di belakang standar saya, router jaringan rumah linksys) akan bebas untuk membaca semua yang ada di jaringan rumah saya? Saya agak bingung bagaimana semua ini "aman" di lingkungan perusahaan. Tautan eksternal dipersilakan.
Dmatig
1
Router rumah Linksys adalah switch jaringan, router dengan fungsi NAT, dan titik akses nirkabel, semuanya dalam kotak kecil yang sama. Tugas switch jaringan adalah mengirim frame Ethernet ke tujuan mereka berdasarkan alamat MAC. Ini mencegah perangkat jaringan kabel dari melihat lalu lintas tidak ditujukan kepada mereka. Frame siaran, tentu saja, dikirim ke setiap perangkat. Selain itu, frame yang ditujukan ke alamat MAC yang tidak dikenali oleh sakelar (belum melihat MAC sebelumnya) juga dikirim ke setiap perangkat.
Kevin Panko