我对加密的工作原理只有非常基本的了解。
我所知道的是CCNA 发现级别在思科课程(以及其他一些事情,例如史蒂夫吉布森和利奥·拉波特在 ”立即安全“在各集中)。
我的问题是:
加密不会破坏数据包/帧中的源 ip/mac 目标和 MAC 地址的网络概念吗?
因为...
显然,任何“未加密”(密钥)数据都可以与数据一起发送,但这会破坏安全性,同时交换机无法在内部网络上定向数据和构建其 MAC 表。
现在我将根据我所知道的内容做出一些假设。可以:
- 交换机可以使用数据包 IP 和 MAC 地址封装头中的内容以及从先前连接中已知的数据来解密封装有源和目标帧 MAC 地址的数据包。
- 路由器可以使用数据包/先前连接数据包的数据来解密封装有源和目标 IP 地址的数据包。
- 互联网上的整个加密概念是行不通的(显然是不真实的)
- 对于加密数据包,源和目标 MAC/ip 以未加密形式发送。(如果是这样,这是否意味着中间人可以捕获所有数据,记录下来,然后花费尽可能多的时间强制密钥解密?)
否则,我的假设由于某种原因就是错误的(为什么它们是错误的?)。
这个问题完全源于学习这些课程所获得的理论知识,因此请尽可能详细地说明,即使您认为自己在陈述显而易见的事实。我问这个问题纯粹是出于学术原因/强烈的好奇心,而不是因为我有实际问题。
答案1
您的假设 4 部分正确。在 SSL/TLS 等技术中,IP 地址和 MAC 地址通常是以未加密的形式发送的。更具体地说,如果我们查看OSI 网络模型,IP 地址属于第 3 级,MAC 地址属于第 2 级,而 SSL/TLS 位于第 4 级。大多数加密技术在第 3 级以上工作,以便标准路由器和交换机可以读取寻址。
为了解决中间人问题,加密技术必须在启动和加密会话之前提供某种身份验证。在 SSL/TLS 示例中,使用由受信任的证书颁发机构(即 Verisign)提供的证书进行身份验证。
答案2
再说一些可能不必要细节:加密发生在传输层及以上,这正是您所担心的原因。传输层位于 IP 和其他寻址方案的正上方。这意味着这些协议所需的信息未加密,因为数据属于较低层。
例如,TLS 及其前身 SSL 在传输层加密。这意味着唯一未加密的数据是 IP 标头。
同时,当您选择在您最喜欢的电子邮件程序中加密电子邮件时,它只会加密实际的电子邮件消息,而 IP、TCP 和 SMTP 标头都将未加密。反过来,此消息可能会通过 TLS 连接传输。然后,TLS 将加密 TCP 和 SMTP 部分,有效地对消息正文进行两次加密。未加密的 IP 标头足以将其从您的计算机发送到电子邮件服务器。然后,电子邮件服务器将解密 TLS,使其能够看到这是一条 TCP SMTP 消息。然后它会将其提供给 SMTP 程序,该程序将能够将其发送到正确的收件箱。到达那里后,用户的电子邮件阅读器将拥有解密消息正文所需的信息。
答案3
第 4 条是正确的。发送加密数据包时,数据会被加密,而不是源地址和目标地址。
看一下这个SSH登录包:
它显示为一个加密的请求数据包。如您所见,源和目标详细信息均清晰可见。
答案4
WEP 和 WPA 是该问题的标签,适用于无线网络。这些协议负责处理网络层的加密,但它们用于防止网络上的其他人看到网络正在发送的内容。
无线网络上的每个节点都必须知道加密密钥,这样网络路由器才能解码所有流量。我相信这意味着连接到加密无线网络的任何节点都可以嗅探该网络上的所有流量。
因此,WEP 和 WPA 无法防御与您在同一网络上的恶意用户。您仍需要使用其他加密层来隐藏您的流量。
编辑:
在阅读802.11i(又名 WEP2),我发现它对广播和多播数据包使用单独的密钥(组临时密钥)。单播流量使用成对临时密钥加密,该密钥用于基站与一个无线设备之间的流量。WEP 也以这种方式工作。这意味着两个无线设备无法读取彼此的流量,因为它们不共享相同的密钥。
我相信 WEP 确实对所有节点使用一个共享密钥。
无论如何,企业环境通常会在无线链路上使用 VPN 技术。这一额外的加密层为从无线设备到 VPN 服务器的整个过程提供了安全性。即使无线网络被嗅探,VPN 数据包仍将被加密。