web-dev-qa-db-ja.com

暗号化がネットワークの動作を破壊しないのはなぜですか?

私は暗号化がどのように機能するかについて非常に基本的な理解を持っています。

私のこれまでの知識は、 CCNAディスカバリーレベルCisco コース( Steve GibsonLeo Laporte on " Security Now "さまざまなエピソードで)。

私の質問は次のとおりです。

暗号化は、送信元IP/Mac宛先とパケット/フレーム内のMACアドレスのネットワーク概念を壊しませんか?

なぜなら...

明らかに、「暗号化解除」(キー)データはデータと一緒に送信できますが、スイッチがデータを送信して内部ネットワーク上にMACテーブルを構築できないことに加えて、セキュリティが破られます。

今、私は私が知っていることについていくつかの仮定をします。どちらか:

  1. スイッチは、パケットのIPおよびMACアドレスのカプセル化されたヘッダーにあるものを使用し、以前の接続でわかったデータとともに、送信元フレームと宛先フレームのMACアドレスでカプセル化されたパケットの暗号化を解除できます。
  2. ルーターは、パケット/以前の接続のパケットデータの内容を使用して、送信元および宛先のIPアドレスでカプセル化されたパケットの暗号化を解除できます。
  3. インターネット上の暗号化の概念全体は実行不可能です(明らかに真実ではありません)
  4. 送信元および宛先のMAC/IPは、暗号化されたパケットに対して暗号化されずに送信されます。 (これが事実である場合、これは、中間者がすべてのデータをキャプチャして記録し、キーに暗号化を解除するようにブルートフォース攻撃するのにできるだけ多くの時間を費やすことができることを意味しますか?)

そうでなければ、私の仮定は何らかの理由で偽物です(なぜそれらは偽物ですか?)。

この質問は、これらのコースを学ぶことからの完全に理論的な知識から生まれます。したがって、明白なことを述べていると思っている場合でも、絶対に喜んでいる限り詳細に進んでください。私はこれを純粋に学術的な理由/強い好奇心から求めています。実際的な問題があるからではありません。

networkingencryptionwpawep
8
Dmatig

あなたの仮定#4は部分的に正しいです。ほとんどの場合、SSL/TLSなどのテクノロジーでは、IPアドレスとMACアドレスは暗号化されずに送信されます。具体的には、 OSIネットワークモデル を見ると、IPアドレスはレベル3の一部であり、MACアドレスはレベル2の一部ですが、SSL/TLSはレベル4です。ほとんどの暗号化テクノロジは上記で機能します。レベル3。これにより、アドレスは標準のルーターとスイッチで読み取ることができます。

中間者問題を解決するために、暗号化技術は、セッションを開始して暗号化する前に、ある種の認証を提供する必要があります。 SSL/TLSの例では、信頼できる認証局(Verisignなど)によって提供される証明書の使用が認証に使用されます。

5
heavyd

おそらく望ましくない詳細に入るには:暗号化は、正確に懸念の理由から、トランスポート層以上で行われます。トランスポート層は、IPおよびその他のアドレス指定スキームのすぐ上にある層です。これは、データが下位層に属しているため、これらのプロトコルに必要な情報が暗号化されていないことを意味します。

たとえば、TLSとその前身のSSLは、トランスポート層で暗号化します。これは、暗号化されていないデータはIPヘッダーのみであることを意味します。

一方、お気に入りの電子メールプログラムで電子メールを暗号化することを選択すると、実際の電子メールメッセージのみが暗号化され、IP、TCP、およびSMTPヘッダーはすべて暗号化されません。このメッセージは、TLS接続を介して送信される可能性があります。次に、TLSはTCPとSMTPの部分を暗号化し、メッセージ本文を2回効果的に暗号化します。暗号化されていないIPヘッダーは、コンピューターから電子メールサーバーに送信するのに十分です。電子メールサーバーはTLSを復号化して、これがTCP SMTPメッセージであることを確認できるようにします。SMTPプログラムにそれを渡し、正しい受信トレイに送信できるようにします。そこで、ユーザーの電子メールリーダーには、メッセージ本文を復号化するために必要な情報が含まれています。

6
jdmichal

4番目は本当です。暗号化されたパケットが送信されると、送信元アドレスと宛先アドレスではなく、データが暗号化されます。

このSSHログインパケットを見てください。

alt text

暗号化された要求パケットとして表示されます。ご覧のとおり、送信元と宛先の詳細が表示されます。

5
John T

WEPとWPAは、ワイヤレスネットワーク用の質問のタグです。これらのプロトコルは、ネットワークレイヤーの暗号化を処理しますが、ネットワークに接続していないユーザーが何を確認できないようにするために使用されます。ネットワークが送信しています。

ネットワークのルーターがすべてのトラフィックをデコードできるように、ワイヤレスネットワーク上のすべてのノードは暗号化キーを知っている必要があります。これは、暗号化されたワイヤレスネットワークに接続されているノードが、そのネットワーク上のすべてのトラフィックをスニッフィングできることを意味すると思います。

したがって、WEPとWPAは、同じネットワーク上にいる悪意のあるユーザーから保護しません。トラフィックを隠すために、他の暗号化レイヤーを使用する必要があります。

編集:

802.11i (別名WEP2)を読んだ後、ブロードキャストパケットとマルチキャストパケットに別々のキー(Group Temporal Key)を使用していることがわかりました。ユニキャストトラフィックは、基地局と1つのワイヤレスデバイス間のトラフィックに使用されるキーであるペアワイズトランジェントキーを使用して暗号化されます。 WEPもこのように機能します。これは、2つのワイヤレスデバイスが同じキーを共有していないため、互いのトラフィックを読み取ることができないことを意味します。

WEPはすべてのノードに1つの共有キーを使用すると思います。

いずれにせよ、企業環境では、ワイヤレスリンクの上にVPNテクノロジーが使用されることがよくあります。この追加された暗号化レイヤーは、ワイヤレスデバイスからVPNサーバーに至るまでのセキュリティを提供します。ワイヤレスネットワークがスニッフィングされた場合でも、VPNパケットは暗号化されたままになります。

2
Kevin Panko