¿Por qué el cifrado no destruye la forma en que funcionan las redes?

8

Tengo una comprensión muy básica de cómo funciona el cifrado.

Hasta donde sé, es el nivel de descubrimiento de CCNA en los cursos de CISCO (junto con algunas otras cosas como Steve Gibson y Leo Laporte en " Security Now " en varios episodios).

Mi pregunta (s) es (son):

¿El cifrado no rompería el concepto de red de origen ip / mac destino y dirección MAC en paquetes / marcos?

Porque...

Obviamente, cualquier dato de "descifrado" (claves) podría enviarse con los datos, pero eso rompería la seguridad, además de que los conmutadores no pueden dirigir los datos y construir sus tablas MAC en una red interna.

Ahora haré algunas suposiciones sobre lo que sé. Ya sea:

  1. Los conmutadores pueden usar lo que está en el encabezado encapsulado de la dirección IP y MAC de los paquetes, junto con los datos conocidos de las conexiones anteriores para desencriptar los paquetes encapsulados con la dirección MAC de las tramas de origen y destino.
  2. Los enrutadores pueden usar lo que está en el paquete / datos de paquetes de conexiones anteriores para desencriptar los paquetes encapsulados con las direcciones IP de origen y destino.
  3. Todo el concepto de encriptación en Internet es inviable (obviamente falso)
  4. Los MAC / IP de origen y destino se envían sin cifrar para los paquetes cifrados. (Si este es el caso, ¿significa esto que un hombre en el medio podría capturar todos los datos, registrarlos y luego dedicar todo el tiempo que prefiera a las teclas de fuerza bruta para desencriptarlos?)

O bien, mis suposiciones son falsas por alguna razón (¿Por qué son falsas?).

Esta pregunta nace de un conocimiento completamente teórico al aprender estos cursos, así que por favor, ingrese tantos detalles como esté absolutamente dispuesto, incluso si está pensando que está diciendo lo obvio. Lo pregunto por razones puramente académicas / curiosidad intensa, no porque tenga un problema práctico.

Dmatig
fuente
Ellos están en lo correcto. Solo se cifran los datos (capa de aplicación) y quizás también la capa de transporte (una vez que se ha configurado la sesión). El cifrado de la capa de enlace funciona de manera diferente (consulte WPA2, etc. o IPsec (?)). Si desea ocultar sus direcciones IP y mac, deberá pasar por un proxy de anonimato (confiable), o algo así.
conspiritech

Respuestas:

5

Su suposición # 4 es en parte correcta. Con mayor frecuencia en tecnologías como SSL / TLS, las direcciones IP y las direcciones MAC se envían sin cifrar. Más específicamente, si observamos el modelo de red OSI , las direcciones IP son parte del nivel 3, las direcciones MAC son parte del nivel dos, mientras que SSL / TLS está en el nivel 4. La mayoría de las tecnologías de cifrado funcionan por encima del nivel 3 para que el direccionamiento pueda ser leído por enrutadores e interruptores estándar.

Para resolver el problema del hombre en el medio, las tecnologías de encriptación tienen que proporcionar algún tipo de autenticación antes de iniciar una sesión encriptada. En el ejemplo SSL / TLS, el uso de certificados proporcionados por una autoridad de certificación de confianza (es decir, Verisign) se utiliza para la autenticación.

pesado
fuente
6

Para entrar en detalles posiblemente no deseados: el cifrado se realiza en la capa de transporte y arriba, precisamente por las razones de su preocupación. La capa de transporte es la que está inmediatamente por encima de IP y otros esquemas de direccionamiento. Esto significa que la información requerida para estos protocolos no está encriptada, porque los datos pertenecen a una capa inferior.

Por ejemplo, TLS y su predecesor SSL cifran en la capa de transporte. Esto significa que los únicos datos que no están encriptados son los encabezados IP.

Mientras tanto, cuando elige encriptar un correo electrónico en su programa de correo electrónico favorito, solo encriptará el mensaje de correo electrónico real, mientras que los encabezados IP, TCP y SMTP no estarán encriptados. Este mensaje, a su vez, podría transmitirse a través de una conexión TLS. TLS luego encriptará las porciones TCP y SMTP, encriptando efectivamente el cuerpo del mensaje dos veces. El encabezado IP sin cifrar sería suficiente para llevarlo de su computadora al servidor de correo electrónico. El servidor de correo electrónico descifraría el TLS, permitiéndole ver que se trata de un mensaje TCP SMTP. Luego le daría eso al programa SMTP, que podría enviarlo a la bandeja de entrada correcta. Una vez allí, el lector de correo electrónico del usuario tendría la información necesaria para descifrar el cuerpo del mensaje.

jdmichal
fuente
¿Dónde se desencriptaría exactamente el paquete de correo electrónico? Me parece que si solo la capa IP no está encriptada, ¿una vez que ingresa a la red interna donde está destinado el correo electrónico, no podría pasar nada más que el enrutador de puerta de enlace predeterminado? (como se dejó en claro, soy un novato en esto y obviamente mi suposición no es cierta, sin embargo, no estoy seguro de por qué)
Dmatig
Edité mi respuesta anterior para aclarar. Avísame si te ayudó.
jdmichal
5

El número 4 es cierto. Cuando se envía un paquete cifrado, los datos se cifran, no las direcciones de origen y destino.

Eche un vistazo a este paquete de inicio de sesión SSH:

texto alternativo

Se muestra como un paquete de solicitud cifrado. Como puede ver, los detalles de origen y destino son visibles.

John T
fuente
¿Podrías echar un vistazo a mi pregunta en la respuesta de jdmichal? También me pregunto sobre esto: la dirección MAC es necesaria para atravesar la red interna, ¿se maneja todo en el nivel de enrutador de puerta de enlace predeterminado? Si es así, ¿cómo diferencia el paquete entre ese enrutador y cualquier otro salto?
Dmatig
2

WEP y WPA son etiquetas para la pregunta, que son para redes inalámbricas. Estos protocolos manejan el cifrado para la capa de red, pero se usan para evitar que las personas que no están en la red puedan ver lo que la red está enviando.

Cada nodo en una red inalámbrica debe conocer la clave de cifrado, para que el enrutador de la red pueda decodificar todo el tráfico. Creo que esto implica que cualquier nodo conectado a una red inalámbrica encriptada puede detectar todo el tráfico en esa red.

Entonces, WEP y WPA no protegen contra usuarios maliciosos que están en la misma red que usted. Aún necesita usar otras capas de cifrado para ocultarles el tráfico.

Editar:

Después de leer en 802.11i (también conocido como WEP2), veo que usa una clave separada para paquetes de difusión y multidifusión (clave temporal de grupo). El tráfico de unidifusión se cifra utilizando una clave transitoria por pares, que es una clave utilizada para el tráfico entre la estación base y un dispositivo inalámbrico. WEP también funciona de esta manera. Esto significa que dos dispositivos inalámbricos no pueden leer el tráfico del otro, ya que no comparten la misma clave.

Creo que WEP usa una clave compartida para todos los nodos.

En cualquier caso, los entornos corporativos a menudo utilizarán la tecnología VPN además del enlace inalámbrico. Esta capa adicional de encriptación proporciona seguridad desde el dispositivo inalámbrico hasta el servidor VPN. Incluso si se detecta la red inalámbrica, los paquetes VPN seguirán encriptados.

Kevin Panko
fuente
Hmmm Estoy realmente, realmente empujando los límites de lo que es una "pregunta única" legítima en SU ​​ahora ... PERO. Digamos que tengo una red completamente interna. TI utiliza un ISR (enrutador de servicios integrados) como punto central (en lugar de un concentrador / conmutador / etc.). Sé que el enrutador proporciona el cifrado. ¿Eso solo proporciona cifrado para el tráfico EXTERNO? Gracias.
Dmatig
No entiendo la pregunta. No estoy en mi jerga de marketing de Cisco. :) ¿Voy a adivinar que tiene una red normal sin cifrar en el lado interno y un enlace VPN en el lado externo? Si es así, entonces la respuesta es sí.
Kevin Panko
Eso no es problema Kevin. Ahora mismo estoy a la mitad del curso y, además, mi pregunta es muy original. Simplificaré lo mejor posible. Digamos que tiene un enrutador "linksys" conectado a su ISP de módems. Estoy en el Reino Unido, supongo que funcionará de manera similar al ISP de su país). Por otro lado, tienes un montón de clientes (digamos 5?). Configura la conectividad inalámbrica utilizando algún cifrado. (Deliberadamente estoy siendo vagabundo. Si quieres ideas más específicas, digamos algo más moderno como WPA, estoy buscando ideas teóricas, no ejemplos reales.
Dmatig
Llegué al límite de caracteres ^ ¿Entonces deduzco que el enrutador Linksys descifrará la información y, por lo tanto, toda mi red interna (todo lo que está detrás de mi enrutador de red doméstica Linksys estándar) sería libre de leer todo lo que está en mi red doméstica? Estoy un poco confundido acerca de cómo algo de esto es "seguro" en un entorno corporativo. Los enlaces externos son bienvenidos.
Dmatig
1
Un enrutador doméstico Linksys es un conmutador de red, un enrutador con funcionalidad NAT y un punto de acceso inalámbrico, todo en la misma caja pequeña. El trabajo de un conmutador de red es enviar tramas Ethernet a sus destinos en función de la dirección MAC. Esto evita que los dispositivos de red cableados vean el tráfico no dirigido a ellos. Los marcos de transmisión, por supuesto, se envían a todos los dispositivos. Además, las tramas dirigidas a una dirección MAC que el conmutador no reconoce (no ha visto esa MAC antes) también se envían a todos los dispositivos.
Kevin Panko