Mengapa enkripsi tidak merusak cara kerja jaringan?

Saya memiliki pemahaman yang sangat mendasar tentang cara kerja enkripsi.

Pengetahuan saya sejauh ini adalah tingkat penemuan CCNA pada kursus CISCO (bersama dengan beberapa hal lain seperti Steve Gibson dan Leo Laporte pada " Security Now " dalam berbagai episode).

Pertanyaan saya adalah:

Apakah enkripsi tidak akan merusak konsep jaringan tujuan ip / mac tujuan dan alamat MAC dalam paket / bingkai?

Karena...

Jelas setiap data "tidak terenkripsi" (kunci) dapat dikirim dengan data, tetapi itu akan merusak keamanan, di samping sakelar yang tidak dapat mengarahkan data dan membangun tabel MAC mereka di jaringan internal.

Sekarang saya akan membuat beberapa asumsi tentang apa yang saya tahu. Antara:

1. Switch dapat menggunakan apa yang ada di header IP & MAC address encapsulated address, bersama data yang dikenal dari koneksi sebelumnya untuk tidak mengenkripsi paket yang dienkapsulasi dengan frame MAC address source dan destination.
2. Router dapat menggunakan apa yang ada dalam paket / koneksi sebelumnya paket data untuk tidak mengenkripsi paket yang dienkapsulasi dengan alamat IP sumber dan tujuan.
3. Seluruh konsep enkripsi di internet tidak bisa dijalankan (jelas tidak benar)
4. sumber dan tujuan MAC / ip dikirim tidak terenkripsi untuk paket terenkripsi. (Jika ini masalahnya, apakah ini berarti bahwa seorang lelaki di tengah dapat menangkap semua data, merekamnya, lalu menghabiskan waktu sebanyak yang mereka inginkan dengan paksa memaksa kunci untuk tidak mengenkripsi itu?)

Atau yang lain, asumsi saya adalah palsu untuk beberapa alasan (Mengapa mereka palsu?).

Pertanyaan ini lahir dari pengetahuan yang sepenuhnya teoritis dari mempelajari kursus-kursus ini, jadi silakan masuk ke sedetail yang Anda benar-benar mau, bahkan jika Anda berpikir Anda menyatakan yang sudah jelas. Saya menanyakan ini semata-mata karena alasan akademis / keingintahuan yang kuat, bukan karena saya punya masalah praktis.

Asumsi # 4 Anda sebagian benar. Paling sering dalam teknologi seperti SSL / TLS, alamat IP & alamat MAC dikirim tidak terenkripsi. Lebih khusus lagi, jika kita melihat pada OSI Networking Model , alamat IP adalah bagian dari level 3, alamat MAC adalah bagian dari level dua sedangkan SSL / TLS berada di level 4. Kebanyakan teknologi enkripsi bekerja di atas level 3 sehingga pengalamatan dapat dibaca oleh router dan switch standar.

Untuk memecahkan masalah ini, teknologi enkripsi harus menyediakan semacam otentikasi sebelum memulai dan sesi terenkripsi. Dalam contoh SSL / TLS penggunaan sertifikat yang disediakan oleh otoritas sertifikat tepercaya (yaitu Verisign) digunakan untuk otentikasi.

Untuk masuk ke detail yang mungkin tidak diinginkan: Enkripsi terjadi di lapisan transport dan di atas, untuk alasan yang tepat perhatian Anda. Lapisan transport adalah yang tepat di atas IP dan skema pengalamatan lainnya. Ini berarti bahwa informasi yang diperlukan untuk protokol-protokol ini tidak dienkripsi, karena data milik lapisan bawah.

Sebagai contoh, TLS dan pendahulunya SSL mengenkripsi pada lapisan transport. Ini berarti bahwa satu-satunya data yang tidak dienkripsi adalah header IP.

Sementara itu, ketika Anda memilih untuk mengenkripsi email dalam program email favorit Anda, itu hanya akan mengenkripsi pesan email yang sebenarnya, sedangkan header IP, TCP, dan SMTP semua tidak akan dienkripsi. Pesan ini, pada gilirannya, mungkin dikirim melalui koneksi TLS. TLS kemudian akan mengenkripsi bagian TCP dan SMTP, secara efektif mengenkripsi badan pesan dua kali. Header IP yang tidak terenkripsi kemudian akan cukup untuk mendapatkannya dari komputer Anda ke server email. Server email kemudian akan mendekripsi TLS, memungkinkannya untuk melihat bahwa ini adalah pesan TCP SMTP. Kemudian akan memberikannya ke program SMTP, yang akan dapat mengirimkannya ke kotak masuk yang benar. Sesampai di sana, pembaca email pengguna akan memiliki informasi yang diperlukan untuk mendekripsi isi pesan.

Nomor 4 benar. Ketika paket terenkripsi dikirim, data dienkripsi, bukan sumber dan alamat tujuan.

Lihatlah paket masuk SSH ini:

Ini ditampilkan sebagai paket permintaan terenkripsi. Seperti yang Anda lihat, detail sumber dan tujuan terlihat.

WEP dan WPA adalah tag untuk pertanyaan, yang untuk jaringan nirkabel. Protokol-protokol ini menangani enkripsi untuk lapisan jaringan, tetapi mereka digunakan untuk menjaga orang-orang tidak pada jaringan agar tidak dapat melihat apa yang dikirim oleh jaringan.

Setiap node di jaringan nirkabel harus mengetahui kunci enkripsi, sehingga router jaringan dapat mendekode semua lalu lintas. Saya percaya ini menyiratkan bahwa setiap node yang terpasang pada jaringan nirkabel terenkripsi dapat mengendus semua lalu lintas di jaringan itu.

Jadi, WEP dan WPA tidak melindungi terhadap pengguna jahat yang berada di jaringan yang sama dengan Anda. Anda masih perlu menggunakan lapisan enkripsi lain untuk menyembunyikan traffic Anda dari mereka.

Edit:

Setelah membaca pada 802.11i (alias WEP2), saya melihat bahwa ia menggunakan kunci terpisah untuk paket broadcast dan multicast (Group Temporal Key). Lalu lintas Unicast dienkripsi menggunakan Kunci Transien Berpasangan, yang merupakan kunci yang digunakan untuk lalu lintas antara stasiun pangkalan dan satu perangkat nirkabel. WEP juga bekerja dengan cara ini. Ini berarti bahwa dua perangkat nirkabel tidak dapat saling membaca lalu lintas karena mereka tidak berbagi kunci yang sama.

Saya percaya WEP menggunakan satu kunci bersama untuk semua node.

Bagaimanapun, lingkungan perusahaan sering kali akan menggunakan teknologi VPN di atas tautan nirkabel. Enkripsi lapisan tambahan ini memberikan keamanan dari perangkat nirkabel sepanjang jalan kembali ke server VPN. Bahkan jika jaringan nirkabel diendus, paket-paket VPN akan tetap dienkripsi.