एन्क्रिप्शन नेटवर्क के काम करने के तरीके को नष्ट क्यों नहीं करता है?


8

मैं एक बहुत ही बुनियादी समझ है कि एन्क्रिप्शन कैसे काम करता है।

मेरा ज्ञान बीमाकर्ता CISCO पाठ्यक्रम पर CCNA खोज स्तर ( विभिन्न प्रकरणों में " सुरक्षा अब " पर स्टीव गिब्सन और लियो लैपॉर्ट जैसी कुछ अन्य चीजों के साथ ) है।

मेरा प्रश्न है (हैं):

क्या एन्क्रिप्शन पैकेट / फ्रेम में स्रोत आईपी / मैक गंतव्य और मैक पते की नेटवर्किंग अवधारणा को नहीं तोड़ देगा?

चूंकि...

जाहिर है कि डेटा के साथ कोई भी "अनएन्क्रिप्शन" (चाबियाँ) डेटा भेजा जा सकता है, लेकिन यह सुरक्षा को तोड़ देगा, साथ ही स्विच को सीधे डेटा में असमर्थ होने और आंतरिक नेटवर्क पर अपने मैक तालिकाओं का निर्माण करने में सक्षम होगा।

अब मैं जो कुछ भी जानता हूं उस पर कुछ धारणा बनाऊंगा। कोई एक:

  1. स्विचेस का उपयोग कर सकते हैं कि पैकेट आईपी और मैक पते के इनकैप्सुलेटेड हेडर में क्या है, पूर्व कनेक्शन से ज्ञात डेटा को स्रोत और डेस्टिनेशन फ्रेम मैक पते के साथ पैक किए गए पैकेट को अनएन्क्रिप्ट करने के लिए।
  2. राउटर उपयोग कर सकते हैं पैकेट में क्या है / पूर्व कनेक्शन पैकेट डेटा स्रोत और गंतव्य आईपी एड्रेसेज़ के साथ पैक किए गए पैकेट को अनएन्क्रिप्ट करने के लिए।
  3. इंटरनेट पर एन्क्रिप्शन की पूरी अवधारणा असाध्य है (स्पष्ट रूप से असत्य)
  4. स्रोत और गंतव्य एमएसीएस / आईपी एन्क्रिप्टेड पैकेट के लिए अनएन्क्रिप्टेड भेजे जाते हैं। (यदि यह मामला है, तो क्या इसका मतलब यह है कि एक आदमी बीच-बीच में सभी डेटा को कैप्चर कर सकता है, उसे रिकॉर्ड कर सकता है, फिर जितना संभव हो उतना समय व्यतीत करने के लिए मजबूर करने के लिए कुंजियों को भंग करने की कृपा करें?)

या फिर, किसी कारण से मेरी धारणाएँ फर्जी हैं (वे फर्जी क्यों हैं?)।

यह प्रश्न इन पाठ्यक्रमों को सीखने से पूरी तरह से सैद्धांतिक ज्ञान से पैदा हुआ है, इसलिए कृपया अधिक से अधिक विस्तार में जाएं क्योंकि आप बिल्कुल तैयार हैं, भले ही आप सोच रहे हों कि आप स्पष्ट बता रहे हैं। मैं इसे विशुद्ध रूप से अकादमिक कारणों / गहन जिज्ञासा से पूछ रहा हूं, इसलिए नहीं कि मुझे एक व्यावहारिक समस्या है।


वो सही हैं। केवल डेटा एन्क्रिप्टेड है (एप्लीकेशन लेयर) और शायद ट्रांसपोर्ट लेयर भी (एक बार सेशन सेट हो चुका है)। लिंक लेयर एन्क्रिप्शन अलग तरीके से काम करता है (WPA2 आदि या IPsec (?) देखें)। यदि आप अपने आईपी और मैक पतों को छिपाना चाहते हैं, तो आपको एक (भरोसेमंद) अज्ञात प्रॉक्सी, या कुछ के माध्यम से जाना होगा।
षड्यंत्री

जवाबों:


5

आपकी धारणा # 4 आंशिक रूप से सही है। एसएसएल / टीएलएस, आईपी पते और मैक पते जैसी प्रौद्योगिकियों में अक्सर अनएन्क्रिप्टेड भेजे जाते हैं। अधिक विशेष रूप से, यदि हम OSI नेटवर्किंग मॉडल को देखते हैं , तो आईपी पते स्तर 3 का हिस्सा होते हैं, मैक पते स्तर दो का हिस्सा होते हैं जबकि एसएसएल / टीएलएस स्तर 4 पर। अधिकांश एन्क्रिप्शन प्रौद्योगिकियां स्तर 3 से ऊपर काम करती हैं ताकि पता चल सके मानक राउटर और स्विच द्वारा पढ़ा जा सकता है।

मध्यम समस्या में आदमी को हल करने के लिए एन्क्रिप्शन तकनीकों को शुरू और एन्क्रिप्टेड सत्र शुरू करने से पहले किसी प्रकार का प्रमाणीकरण प्रदान करना होता है। एसएसएल / टीएलएस उदाहरण में प्रमाण पत्र का उपयोग जो एक विश्वसनीय प्रमाण पत्र प्राधिकरण द्वारा प्रदान किया जाता है (अर्थात सत्यापन) प्रमाणीकरण के लिए उपयोग किया जाता है।


6

संभवतः अवांछित विस्तार में जाने के लिए: एन्क्रिप्शन आपकी चिंता के कारणों के लिए, परिवहन परत पर और ऊपर होता है। परिवहन परत आईपी और अन्य संबोधित योजनाओं के तुरंत बाद एक है। इसका मतलब है कि इन प्रोटोकॉल के लिए आवश्यक जानकारी एन्क्रिप्ट नहीं की गई है, क्योंकि डेटा एक निचली परत से संबंधित है।

उदाहरण के लिए, TLS और इसके पूर्ववर्ती एसएसएल ट्रांसपोर्ट लेयर पर एनक्रिप्ट होते हैं। इसका मतलब है कि केवल डेटा जो अनएन्क्रिप्टेड है, वह आईपी हेडर है।

इस बीच, जब आप अपने पसंदीदा ईमेल प्रोग्राम में ईमेल एन्क्रिप्ट करना चुनते हैं, तो यह केवल वास्तविक ईमेल संदेश को एन्क्रिप्ट करेगा, जबकि आईपी, टीसीपी और एसएमटीपी हेडर सभी अनएन्क्रिप्टेड होंगे। यह संदेश, बदले में, टीएलएस कनेक्शन पर प्रेषित किया जा सकता है। टीएलएस तब टीसीपी और एसएमटीपी भागों को एन्क्रिप्ट करेगा, संदेश बॉडी को दो बार प्रभावी रूप से एन्क्रिप्ट करेगा। अनएन्क्रिप्टेड IP हेडर तब आपके कंप्यूटर से ईमेल सर्वर पर लाने के लिए पर्याप्त होगा। ईमेल सर्वर तब TLS को डिक्रिप्ट करेगा, यह देखने की अनुमति देता है कि यह एक टीसीपी एसएमटीपी संदेश है। इसके बाद वह SMTP प्रोग्राम को दे देगा, जो इसे सही इनबॉक्स में भेज सकेगा। वहां पहुंचने के बाद, उपयोगकर्ता के ईमेल रीडर में संदेश निकाय को डिक्रिप्ट करने के लिए आवश्यक जानकारी होगी।


ईमेल पैकेट को कहां से खोला जाएगा? मुझे लगता है कि अगर केवल IP लेयर ही अनएन्क्रिप्टेड है, तो एक बार यह आंतरिक नेटवर्क में प्रवेश कर जाता है, जहां ईमेल को नसीब होता है, लेकिन यह डिफ़ॉल्ट गेटवे राउटर के अलावा कुछ भी नहीं दे पाएगा? (जैसा कि स्पष्ट है, मैं इस में एक noob की तरह हूँ और जाहिर है मेरा अनुमान सच नहीं है, मैं अनिश्चित क्यों हूँ, हालांकि)
Dmatig

मैंने अपना उत्तर स्पष्ट करने के लिए ऊपर संपादित किया। अगर यह मदद की मुझे पता है।
jddichal

5

नंबर 4 सच है। जब एक एन्क्रिप्टेड पैकेट भेजा जाता है, तो डेटा एन्क्रिप्ट किया जाता है, न कि स्रोत और गंतव्य पते।

इस SSH लॉगिन पैकेट पर एक नज़र डालें:

वैकल्पिक शब्द

इसे एक एन्क्रिप्टेड अनुरोध पैकेट के रूप में प्रदर्शित किया जाता है। जैसा कि आप देख सकते हैं, स्रोत और गंतव्य विवरण दिखाई दे रहे हैं।


क्या आप jdmichal की प्रतिक्रिया में मेरे प्रश्न पर एक नज़र डाल सकते हैं? मैं इस बारे में भी आश्चर्य करता हूं - आंतरिक नेटवर्क ट्रैवर्सिंग के लिए मैक पते की आवश्यकता है, क्या यह सब डिफ़ॉल्ट गेटवे राउटर स्तर पर संभाला जाता है? यदि हां, तो पैकेट उस राउटर और हर दूसरे हॉप के बीच अंतर कैसे करता है?
दमाटिग

2

WEP और WPA प्रश्न के लिए टैग हैं, जो वायरलेस नेटवर्क के लिए हैं। ये प्रोटोकॉल नेटवर्क लेयर के लिए एन्क्रिप्शन को हैंडल करते हैं, लेकिन इनका इस्तेमाल लोगों को नेटवर्क पर न रखने के लिए किया जाता है ताकि वे देख सकें कि नेटवर्क क्या भेज रहा है।

वायरलेस नेटवर्क पर प्रत्येक नोड को एन्क्रिप्शन कुंजी पता होना चाहिए, ताकि नेटवर्क का राउटर सभी ट्रैफ़िक को डिकोड कर सके। मेरा मानना ​​है कि यह एन्क्रिप्टेड वायरलेस नेटवर्क से जुड़ा कोई भी नोड उस नेटवर्क पर सभी ट्रैफ़िक को सूँघ सकता है।

तो, WEP और WPA दुर्भावनापूर्ण उपयोगकर्ताओं से रक्षा नहीं करते हैं जो आपके समान नेटवर्क पर हैं। अपने ट्रैफ़िक को उनसे छिपाने के लिए आपको अभी भी एन्क्रिप्शन की अन्य परतों का उपयोग करने की आवश्यकता है।

संपादित करें:

802.11i (उर्फ WEP2) पर पढ़ने के बाद , मैं देखता हूं कि यह प्रसारण और मल्टीकास्ट पैकेट (ग्रुप टेम्पोरल की) के लिए एक अलग कुंजी का उपयोग करता है। Unicast ट्रैफ़िक को Pairwise Transient Key का उपयोग करके एन्क्रिप्ट किया गया है, जो बेस स्टेशन और एक वायरलेस डिवाइस के बीच ट्रैफ़िक के लिए उपयोग की जाने वाली एक कुंजी है। WEP भी इस तरह से काम करता है। इसका मतलब है कि दो वायरलेस डिवाइस एक-दूसरे के ट्रैफ़िक को नहीं पढ़ सकते हैं क्योंकि वे एक ही कुंजी साझा नहीं करते हैं।

मेरा मानना ​​है कि WEP सभी नोड्स के लिए एक साझा कुंजी का उपयोग करता है।

किसी भी स्थिति में, कॉर्पोरेट वातावरण अक्सर वायरलेस लिंक के शीर्ष पर वीपीएन तकनीक का उपयोग करेगा। एन्क्रिप्शन की यह अतिरिक्त परत वायरलेस डिवाइस से सभी वीपीएन सर्वर पर वापस सुरक्षा प्रदान करती है। वायरलेस नेटवर्क सूँघने पर भी, वीपीएन पैकेट अभी भी एन्क्रिप्टेड रहेगा।


हममम। मैं वास्तव में, वास्तव में एसयू पर एक वैध "एकल प्रश्न" क्या है की सीमा को आगे बढ़ा रहा हूं ... लेकिन। आइए हम एक पूरी तरह से आंतरिक नेटवर्क है कहते हैं। आईटी एक ISR (इंटरग्रेटेड सर्विसेज राउटर) को केंद्रीय बिंदु (हब / स्विच / आदि के स्थान पर) के रूप में उपयोग करता है। मुझे पता है कि राउटर एन्क्रिप्शन प्रदान करता है। क्या यह केवल बाहरी यातायात के लिए एन्क्रिप्शन प्रदान करता है? धन्यवाद।
दमाटिग

मुझे सवाल समझ में नहीं आया। मैं अपने सिस्को मार्केटिंग लिंगो पर नहीं हूं। :) मैं अनुमान लगाने जा रहा हूं कि इसका आंतरिक तरफ एक नियमित रूप से अनएन्क्रिप्टेड नेटवर्क है, और बाहरी तरफ एक वीपीएन लिंक है? यदि हां, तो इसका जवाब हां में है।
केविन पेंको

यह कोई समस्या नहीं है केविन। मैं अभी पाठ्यक्रम से केवल आधे रास्ते पर हूं, और मेरा प्रश्न इसके अलावा बहुत ही आउट-ऑफ-द-बॉक्स है। मैं यथासंभव सर्वोत्तम सरलीकरण करूंगा। कहते हैं कि आपके पास अपने मॉडेम ISP से जुड़ा एक "लिंकसी" राउटर है। मैं यूके में हूं, मुझे लगता है कि यह आपके देशों आईएसपी के समान काम करेगा)। दूसरी तरफ, आपके पास ग्राहकों का एक समूह है (5 कहते हैं?)। आपने कुछ एन्क्रिप्शन का उपयोग करके वायरलेस कनेक्टिविटी स्थापित की है। (मैं जानबूझकर व्यर्थ हो रहा हूं। यदि आप अधिक विशिष्ट विचार चाहते हैं, तो WPA जैसे कुछ मॉडर्न बता सकते हैं - मैं सिर्फ थोड़े सैद्धांतिक विचारों की तलाश कर रहा हूं, वास्तविक उदाहरण नहीं।
Dmatig

मैंने चार सीमाओं को मारा ^ तो मैं इकट्ठा करता हूं कि लिंक्सिस राउटर जानकारी को डिक्रिप्ट करेगा, और इसलिए मेरा पूरा आंतरिक नेटवर्क (मेरे मानक के पीछे सब कुछ, होम नेटवर्क राउटर से लिंक) मेरे घर नेटवर्क में मौजूद हर चीज को पढ़ने के लिए स्वतंत्र होगा? मैं थोड़ा भ्रमित हूं कि कॉर्पोरेट वातावरण में यह कैसे "सुरक्षित" है। बाहरी लिंक का स्वागत है।
दमाटिग

1
एक Linksys होम राउटर एक नेटवर्क स्विच, NAT कार्यक्षमता वाला एक राउटर और एक वायरलेस एक्सेस पॉइंट है, जो सभी एक ही छोटे बॉक्स में हैं। नेटवर्क स्विच का काम मैक पते के आधार पर ईथरनेट फ़्रेमों को अपने गंतव्य पर भेजना है। यह वायर्ड नेटवर्क उपकरणों को ट्रैफ़िक को न देखने से रोकता है। प्रसारण फ्रेम, ज़ाहिर है, हर डिवाइस पर भेजे जाते हैं। इसके अलावा, एक मैक पते को संबोधित फ्रेम कि स्विच पहचान नहीं करता है (यह नहीं देखा है कि मैक से पहले) भी हर डिवाइस के लिए भेजा जाता है।
केविन पेंको
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.