Pourquoi le chiffrement ne détruit-il pas le fonctionnement des réseaux?

8

J'ai une compréhension très basique du fonctionnement du cryptage.

Ma connaissance dans la mesure où c'est le niveau de découverte CCNA sur les cours CISCO (avec quelques autres choses comme Steve Gibson et Leo Laporte sur " Security Now " dans divers épisodes).

Ma (mes) question (s) est (sont):

Le chiffrement ne briserait-il pas le concept de mise en réseau de la destination ip / mac source et de l'adresse MAC dans les paquets / trames?

Parce que...

Évidemment, toutes les données de "décryptage" (clés) pourraient être envoyées avec les données, mais cela briserait la sécurité, les commutateurs étant incapables de diriger les données et de construire leurs tables MAC sur un réseau interne.

Je vais maintenant faire quelques hypothèses sur ce que je sais. Soit:

  1. Les commutateurs peuvent utiliser le contenu de l'en-tête encapsulé de l'adresse IP et MAC des paquets, ainsi que les données connues des connexions précédentes pour décrypter les paquets encapsulés avec l'adresse MAC des trames source et de destination.
  2. Les routeurs peuvent utiliser le contenu des paquets / connexions précédentes pour décrypter les paquets encapsulés avec les adresses IP source et de destination.
  3. Le concept entier de cryptage sur Internet est irréalisable (évidemment faux)
  4. les MAC / IP source et de destination sont envoyés non cryptés pour les paquets cryptés. (Si tel est le cas, cela signifie-t-il qu'un homme du milieu pourrait capturer toutes les données, les enregistrer, puis passer autant de temps qu'il le souhaite à forcer des clés à les décrypter?)

Ou bien, mes hypothèses sont fausses pour une raison quelconque (pourquoi sont-elles fausses?).

Cette question est née de connaissances entièrement théoriques tirées de l'apprentissage de ces cours, veuillez donc entrer dans le détail autant que vous le souhaitez, même si vous pensez que vous énoncez l'évidence. Je pose cette question pour des raisons purement académiques / une curiosité intense, pas parce que j'ai un problème pratique.

Dmatig
la source
Ils ont raison. Seules les données sont cryptées (couche application) et peut-être aussi la couche transport (une fois la session établie). Le chiffrement de la couche de liaison fonctionne différemment (voir WPA2, etc. ou IPsec (?)). Si vous souhaitez masquer vos adresses IP et mac, vous devrez passer par un proxy anonyme (de confiance) ou quelque chose.
conspiritech

Réponses:

5

Votre hypothèse n ° 4 est partiellement correcte. Le plus souvent, dans des technologies telles que SSL / TLS, les adresses IP et les adresses MAC sont envoyées non cryptées. Plus précisément, si nous examinons le modèle de réseau OSI , les adresses IP font partie du niveau 3, les adresses MAC font partie du niveau deux tandis que SSL / TLS est au niveau 4. La plupart des technologies de cryptage fonctionnent au-dessus du niveau 3 afin que l'adressage puisse être lu par des routeurs et des commutateurs standard.

Afin de résoudre l'homme au milieu, les technologies de chiffrement doivent fournir une sorte d'authentification avant de démarrer et de chiffrer la session. Dans l'exemple SSL / TLS, l'utilisation de certificats fournis par une autorité de certification de confiance (c'est-à-dire Verisign) est utilisée pour l'authentification.

lourd
la source
6

Pour entrer dans des détails potentiellement indésirables: le chiffrement a lieu au niveau de la couche transport et au-dessus, précisément pour les raisons de votre préoccupation. La couche de transport est celle immédiatement supérieure à IP et aux autres schémas d'adressage. Cela signifie que les informations requises pour ces protocoles ne sont pas cryptées, car les données appartiennent à une couche inférieure.

Par exemple, TLS et son prédécesseur SSL chiffrent la couche transport. Cela signifie que les seules données non chiffrées sont les en-têtes IP.

Pendant ce temps, lorsque vous choisissez de crypter un e-mail dans votre programme de messagerie préféré, il ne cryptera que le message électronique réel, tandis que les en-têtes IP, TCP et SMTP seront tous non cryptés. Ce message, à son tour, peut être transmis via une connexion TLS. TLS cryptera ensuite les parties TCP et SMTP, cryptant efficacement le corps du message deux fois. L'en-tête IP non chiffré serait alors suffisant pour le transférer de votre ordinateur vers le serveur de messagerie. Le serveur de messagerie décrypterait alors le TLS, lui permettant de voir qu'il s'agit d'un message TCP SMTP. Il donnerait ensuite cela au programme SMTP, qui serait en mesure de l'envoyer à la bonne boîte de réception. Une fois sur place, le lecteur de courrier électronique de l'utilisateur disposerait des informations nécessaires pour déchiffrer le corps du message.

jdmichal
la source
Où le paquet e-mail serait-il décrypté exactement? Il me semble que si seulement la couche IP n'est pas chiffrée, une fois qu'elle pénètre dans le réseau interne où l'e-mail est destiné, elle ne pourra pas passer autre chose que le routeur de passerelle par défaut? (comme indiqué clairement, je suis une sorte de noob dans ce domaine et, évidemment, ma supposition n'est pas vraie, je ne
sais
J'ai modifié ma réponse ci-dessus pour clarifier. Faites-moi savoir si cela a aidé.
jdmichal
5

Le numéro 4 est vrai. Lorsqu'un paquet chiffré est envoyé, les données sont chiffrées, pas les adresses source et de destination.

Jetez un œil à ce paquet de connexion SSH:

texte alternatif

Il est affiché sous la forme d'un paquet de demande chiffré. Comme vous pouvez le voir, les détails de la source et de la destination sont visibles.

John T
la source
Pourriez-vous jeter un œil à ma question dans la réponse de Jdmichal? Je me pose également des questions à ce sujet - l'adresse MAC est nécessaire pour la traversée du réseau interne, est-ce que tout est géré au niveau des routeurs de passerelle par défaut? Si c'est le cas, comment le paquet fait-il la différence entre ce routeur et tous les autres sauts?
Dmatig
2

WEP et WPA sont des balises pour la question, qui concernent les réseaux sans fil. Ces protocoles gèrent le chiffrement de la couche réseau, mais ils sont utilisés pour empêcher les personnes qui ne sont pas sur le réseau de voir ce que le réseau envoie.

Chaque nœud d'un réseau sans fil doit connaître la clé de chiffrement, afin que le routeur du réseau puisse décoder tout le trafic. Je crois que cela implique que tout nœud connecté à un réseau sans fil crypté peut renifler tout le trafic sur ce réseau.

Ainsi, WEP et WPA ne protègent pas contre les utilisateurs malveillants qui sont sur le même réseau que vous. Vous devez toujours utiliser d'autres couches de cryptage pour leur cacher votre trafic.

Éditer:

Après avoir lu sur 802.11i (alias WEP2), je vois qu'il utilise une clé distincte pour les paquets de diffusion et de multidiffusion (Group Temporal Key). Le trafic monodiffusion est chiffré à l'aide d'une clé transitoire par paire, qui est une clé utilisée pour le trafic entre la station de base et un périphérique sans fil. WEP fonctionne également de cette façon. Cela signifie que deux appareils sans fil ne peuvent pas lire le trafic l'un de l'autre car ils ne partagent pas la même clé.

Je crois que WEP utilise une clé partagée pour tous les nœuds.

Dans tous les cas, les environnements d'entreprise utilisent souvent la technologie VPN en plus de la liaison sans fil. Cette couche supplémentaire de cryptage assure la sécurité de l'appareil sans fil jusqu'au serveur VPN. Même si le réseau sans fil est reniflé, les paquets VPN seront toujours cryptés.

Kevin Panko
la source
Hmmm. Je repousse vraiment, vraiment les limites de ce qui est une "question unique" légitime sur SU maintenant ... MAIS. Disons que j'ai un réseau entièrement interne. Le service informatique utilise un ISR (Intergrated Services Router) comme point central (à la place d'un concentrateur / commutateur / etc.). Je sais que le routeur fournit le cryptage. Est-ce que cela fournit uniquement un cryptage pour le trafic EXTERNE? Merci.
Dmatig
Je ne comprends pas la question. Je ne suis pas sur mon jargon marketing cisco. :) Je vais deviner qu'il a un réseau non chiffré régulier du côté interne et une liaison VPN du côté externe? Si oui, alors la réponse est oui.
Kevin Panko
Ce n'est pas un problème, Kevin. Je ne suis qu'à mi-parcours du cours en ce moment, et ma question est très hors de propos d'ailleurs. Je vais simplifier au mieux. Disons que vous avez un routeur "linksys" connecté à votre modem ISP. Je suis au Royaume-Uni, je suppose que cela fonctionnera de la même manière que le FAI de votre pays). De l'autre côté, vous avez un tas de clients (disons 5?). Vous configurez la connectivité sans fil à l'aide d'un chiffrement. (Je suis délibérément mesquin. Si vous voulez des idées plus spécifiques, disons quelque chose de plus moderne comme WPA - je suis juste à la recherche d'idées théoriques, pas d'exemples réels.
Dmatig
J'ai atteint la limite de caractères ^ Donc je suppose que le routeur linksys décrypterait les informations, et donc tout mon réseau interne (tout ce qui se trouve derrière mon routeur réseau domestique linksys) serait libre de lire tout ce qui se trouve dans mon réseau domestique? Je suis un peu confus quant à la façon dont tout cela est «sécurisé» dans un environnement d'entreprise. Les liens externes sont les bienvenus.
Dmatig
1
Un routeur domestique Linksys est un commutateur réseau, un routeur avec fonctionnalité NAT et un point d'accès sans fil, le tout dans la même petite boîte. La tâche d'un commutateur réseau consiste à envoyer des trames Ethernet à leurs destinations en fonction de l'adresse MAC. Cela empêche les périphériques réseau câblés de voir le trafic qui ne leur est pas adressé. Les trames de diffusion, bien sûr, sont envoyées à chaque appareil. De plus, les trames adressées à une adresse MAC que le commutateur ne reconnaît pas (il n'a jamais vu que MAC auparavant) sont également envoyées à chaque périphérique.
Kevin Panko