J'ai une compréhension très basique du fonctionnement du cryptage.
Ma connaissance dans la mesure où c'est le niveau de découverte CCNA sur les cours CISCO (avec quelques autres choses comme Steve Gibson et Leo Laporte sur " Security Now " dans divers épisodes).
Ma (mes) question (s) est (sont):
Le chiffrement ne briserait-il pas le concept de mise en réseau de la destination ip / mac source et de l'adresse MAC dans les paquets / trames?
Parce que...
Évidemment, toutes les données de "décryptage" (clés) pourraient être envoyées avec les données, mais cela briserait la sécurité, les commutateurs étant incapables de diriger les données et de construire leurs tables MAC sur un réseau interne.
Je vais maintenant faire quelques hypothèses sur ce que je sais. Soit:
- Les commutateurs peuvent utiliser le contenu de l'en-tête encapsulé de l'adresse IP et MAC des paquets, ainsi que les données connues des connexions précédentes pour décrypter les paquets encapsulés avec l'adresse MAC des trames source et de destination.
- Les routeurs peuvent utiliser le contenu des paquets / connexions précédentes pour décrypter les paquets encapsulés avec les adresses IP source et de destination.
- Le concept entier de cryptage sur Internet est irréalisable (évidemment faux)
- les MAC / IP source et de destination sont envoyés non cryptés pour les paquets cryptés. (Si tel est le cas, cela signifie-t-il qu'un homme du milieu pourrait capturer toutes les données, les enregistrer, puis passer autant de temps qu'il le souhaite à forcer des clés à les décrypter?)
Ou bien, mes hypothèses sont fausses pour une raison quelconque (pourquoi sont-elles fausses?).
Cette question est née de connaissances entièrement théoriques tirées de l'apprentissage de ces cours, veuillez donc entrer dans le détail autant que vous le souhaitez, même si vous pensez que vous énoncez l'évidence. Je pose cette question pour des raisons purement académiques / une curiosité intense, pas parce que j'ai un problème pratique.
la source
Réponses:
Votre hypothèse n ° 4 est partiellement correcte. Le plus souvent, dans des technologies telles que SSL / TLS, les adresses IP et les adresses MAC sont envoyées non cryptées. Plus précisément, si nous examinons le modèle de réseau OSI , les adresses IP font partie du niveau 3, les adresses MAC font partie du niveau deux tandis que SSL / TLS est au niveau 4. La plupart des technologies de cryptage fonctionnent au-dessus du niveau 3 afin que l'adressage puisse être lu par des routeurs et des commutateurs standard.
Afin de résoudre l'homme au milieu, les technologies de chiffrement doivent fournir une sorte d'authentification avant de démarrer et de chiffrer la session. Dans l'exemple SSL / TLS, l'utilisation de certificats fournis par une autorité de certification de confiance (c'est-à-dire Verisign) est utilisée pour l'authentification.
la source
Pour entrer dans des détails potentiellement indésirables: le chiffrement a lieu au niveau de la couche transport et au-dessus, précisément pour les raisons de votre préoccupation. La couche de transport est celle immédiatement supérieure à IP et aux autres schémas d'adressage. Cela signifie que les informations requises pour ces protocoles ne sont pas cryptées, car les données appartiennent à une couche inférieure.
Par exemple, TLS et son prédécesseur SSL chiffrent la couche transport. Cela signifie que les seules données non chiffrées sont les en-têtes IP.
Pendant ce temps, lorsque vous choisissez de crypter un e-mail dans votre programme de messagerie préféré, il ne cryptera que le message électronique réel, tandis que les en-têtes IP, TCP et SMTP seront tous non cryptés. Ce message, à son tour, peut être transmis via une connexion TLS. TLS cryptera ensuite les parties TCP et SMTP, cryptant efficacement le corps du message deux fois. L'en-tête IP non chiffré serait alors suffisant pour le transférer de votre ordinateur vers le serveur de messagerie. Le serveur de messagerie décrypterait alors le TLS, lui permettant de voir qu'il s'agit d'un message TCP SMTP. Il donnerait ensuite cela au programme SMTP, qui serait en mesure de l'envoyer à la bonne boîte de réception. Une fois sur place, le lecteur de courrier électronique de l'utilisateur disposerait des informations nécessaires pour déchiffrer le corps du message.
la source
Le numéro 4 est vrai. Lorsqu'un paquet chiffré est envoyé, les données sont chiffrées, pas les adresses source et de destination.
Jetez un œil à ce paquet de connexion SSH:
Il est affiché sous la forme d'un paquet de demande chiffré. Comme vous pouvez le voir, les détails de la source et de la destination sont visibles.
la source
WEP et WPA sont des balises pour la question, qui concernent les réseaux sans fil. Ces protocoles gèrent le chiffrement de la couche réseau, mais ils sont utilisés pour empêcher les personnes qui ne sont pas sur le réseau de voir ce que le réseau envoie.
Chaque nœud d'un réseau sans fil doit connaître la clé de chiffrement, afin que le routeur du réseau puisse décoder tout le trafic. Je crois que cela implique que tout nœud connecté à un réseau sans fil crypté peut renifler tout le trafic sur ce réseau.
Ainsi, WEP et WPA ne protègent pas contre les utilisateurs malveillants qui sont sur le même réseau que vous. Vous devez toujours utiliser d'autres couches de cryptage pour leur cacher votre trafic.
Éditer:
Après avoir lu sur 802.11i (alias WEP2), je vois qu'il utilise une clé distincte pour les paquets de diffusion et de multidiffusion (Group Temporal Key). Le trafic monodiffusion est chiffré à l'aide d'une clé transitoire par paire, qui est une clé utilisée pour le trafic entre la station de base et un périphérique sans fil. WEP fonctionne également de cette façon. Cela signifie que deux appareils sans fil ne peuvent pas lire le trafic l'un de l'autre car ils ne partagent pas la même clé.
Je crois que WEP utilise une clé partagée pour tous les nœuds.
Dans tous les cas, les environnements d'entreprise utilisent souvent la technologie VPN en plus de la liaison sans fil. Cette couche supplémentaire de cryptage assure la sécurité de l'appareil sans fil jusqu'au serveur VPN. Même si le réseau sans fil est reniflé, les paquets VPN seront toujours cryptés.
la source