Gli adattatori ethernet powerline sono intrinsecamente sicuri?

65

Ho 2 adattatori powerline Zyxel PLA407. Il router è al piano di sotto collegato a un adattatore, l'altro adattatore è al di sopra di circa 30 metri di distanza collegato a un desktop. Ho una casa, non un appartamento o una casa di città.

Ho notato che la velocità è molto più veloce quando eseguo il plug-and-play, piuttosto che passare attraverso il processo di crittografia: è un po 'difficile.

Quindi la mia domanda è, su un sistema a circuito chiuso - elettricità all'interno di casa mia - ho davvero bisogno di impostare la crittografia? O è sicuro dalla natura del sistema stesso ?? Quanto di "perde" senza crittografia?

This question was IT Security Question of the Week.
Read the Mar 15, 2012 blog entry for more details or submit your own Question of the Week.

    
posta hwp08 13.12.2011 - 19:52
fonte

8 risposte

38

Ottenete un po 'di sicurezza dal modo in cui la scatola dei fusibili è collegata alla rete elettrica.

In linea di principio dovresti ottenere un buon segnale da qualsiasi parte del cablaggio di casa che si trova nella stessa fase, e non dovresti prenderne nessuno nelle altre fasi.

In realtà però, non è del tutto vero - a seconda della tua scatola dei fusibili, potresti avere una perdita di sangue sulle altre fasi, e ti troverai quasi sicuramente fuori dalle tue 4 mura .

Questo è il motivo per cui la crittografia è stata messa in atto su questi tipi di cose: un vicino potrebbe essere in grado di annusare il tuo traffico.

Cose che aiutano la sicurezza, perché ostacolano la potenza del segnale - i dispositivi di protezione dalle sovratensioni, gli UPS ecc. ma quelli non impediscono l'attacco.

tl; dr

Encrypt, perché si verificherà una perdita di segnale. Non tanto in modalità wireless (è possibile farlo ma è complicato) ma solo attraverso il cablaggio di rete esistente.

    
risposta data 13.12.2011 - 21:18
fonte
33

Vivo in una casa unifamiliare in Texas. Ho un paio di adattatori powerline TPL-303E powerline e ho sperimentato il sanguinamento del segnale dal mio vicino di casa. Ho eseguito l'utility Powerline fornita con gli adattatori e ho potuto identificare altri due adattatori powerline usando lo stesso nome di rete. Ho ottenuto ovunque tra 10 e 20 Mbps di throughput tra i loro adattatori e il mio. Ho perfino separato i miei adattatori powerline dal mio router e li ho collegati direttamente al mio pc per vedere quanto era grave l'emorragia. Sono stato in grado di accedere al loro router, guardare video in streaming e vedere i computer sulla rete. Ho anche notato che avevano ottenuto gli IP sul mio router. Da allora ho attivato la sicurezza.

    
risposta data 07.03.2012 - 04:45
fonte
18

Mi rendo conto che questo non è quello che stai chiedendo, ma è abbastanza importante che ho deciso di scriverlo comunque: Se la sicurezza è importante per te, allora, come regola, dovresti assumere che TUTTE le reti non sono sicure. (perché alla fine sono tutti)

Molti dei più costosi disastri della sicurezza della rete nell'IT derivano dal presupposto che "dietro il firewall" tutto sia sicuro. Poi, quando un'influenza esterna si infiltra, come sempre accade alla fine, scorre veloce e incontrollata. Ho assistito a questo evento più volte lavorando per aziende che avrebbero dovuto conoscere meglio, come IBM.

Invece di affidarsi a un perimetro sicuro, ogni nodo dovrebbe essere la sua isola di sicurezza con un'autentica autenticazione e verifiche dell'autorizzazione che si verificano in ogni fase del processo. Il tuo sistema dovrebbe essere sicuro nel suo ambiente domestico così come lo è su Internet. Ovviamente non vuoi esporre i tuoi sistemi a un rischio maggiore di quello che devi, ma significa anche che non fai abbassare la guardia dietro il firewall.

Inoltre, per rispondere alla tua vera domanda: sì , questi sistemi sono intrinsecamente insicuri, specialmente in un appartamento. Generalmente il segnale non può superare in modo affidabile il misuratore di potenza perché l'apparecchiatura installata non è compatibile con quel tipo di segnale. Ma di solito è espresso più come un "non aspettarti che funzioni quando vuoi" una specie di avvertimento piuttosto che una garanzia di sicurezza. I rapporti sul campo degli utenti spesso suggeriscono che possono vedere la rete di altre persone se sono fisicamente abbastanza vicine.

    
risposta data 26.02.2012 - 23:31
fonte
9

Sembra che gli adattatori ethernet powerline siano spesso, formalmente, una violazione del contratto con il fornitore di energia elettrica, perché le linee elettriche non sono state progettate e normalizzate per quel tipo di utilizzo. Non avrai problemi se hai il giusto tipo di convertitore tra la tua casa e la linea elettrica principale. Se il convertitore è vecchio, è possibile che tu stia effettivamente trasmettendo i tuoi dati ad ogni casa in strada ...

È probabile che il tuo convertitore funzioni bene e tu emetti non in questo modo. Tuttavia, stai inviando segnali ad alta frequenza attraverso fili che non sono schermati per questo. Prendi in considerazione le sveglie con le radio FM: molti usano il loro cavo di alimentazione come antenna. Quindi i cavi di alimentazione devono essere hardware funzionante per raccogliere segnali a 100 MHz. E l'ethernet 100baseT ha un segnale di base con clock a 100 MHz! Quindi l'adattatore powerline sta inviando i tuoi preziosi dati byte in una grande struttura di fili (tutte le linee elettriche della casa) che probabilmente fungeranno da grande antenna. Questo non è difficile da rilevare da remoto.

Se gli adattatori non funzionano correttamente in crypto, dovresti essere in grado di attivarlo sulle macchine stesse, a livello di sistema operativo ( IPsec è supportato da molti sistemi operativi, incluso Windows da Windows 2000).

    
risposta data 03.09.2012 - 04:42
fonte
6

Nelle altre risposte ci sono molte buone informazioni sulle pratiche di sicurezza generale, ma come ho appena iniziato a cercare l'implementazione della sicurezza nelle specifiche AV HomePlug (utilizzate dai dispositivi che hai citato e molti altri), I ho pensato di aggiungere un po 'di informazioni più specifiche non ancora trattate.

Innanzitutto, non esistono trasferimenti di dati non crittografati con le specifiche AV HomePlug (con alcune eccezioni relative alla sicurezza). Tutta la trasmissione dei dati è garantita con AES-128. ( Riferimento ) Cosa il processo di crittografia / messa in sicurezza / accoppiamento è impostato su una nuova chiave di rete (indicata nella specifica come NMK, Chiave di appartenenza alla rete) per sostituire la chiave predefinita con cui i dispositivi vengono spediti. In altre parole, le comunicazioni sono crittografate , ma non private (poiché qualsiasi altro dispositivo potrebbe connettersi utilizzando la stessa chiave predefinita). Quindi mi sembra strano che tu veda una differenza di prestazioni prima e dopo aver attraversato il processo di "crittografia" dei dispositivi.

Con questo in mente, il più grande problema di sicurezza in una rete powerline sembra essere il modo di avere due dispositivi in accordo su un NMK e come distribuirlo a nuove stazioni che si uniscono alla rete. Le specifiche supportano alcuni metodi per farlo, ma alla fine lascia l'implementazione ai produttori. Lo schema di pairing comune a un pulsante in molte apparecchiature di rete powerline consumer sembra essere coerente con una procedura che utilizza un protocollo chiamato UKE per trasferire NMK. UKE di per sé è not secure. Tuttavia, le proprietà del livello fisico delle specifiche AV HomePlug rendono difficile per una stazione intercettare le comunicazioni tra due altre stazioni. ( Riferimento )

Alcuni dispositivi sono dotati di un programma di utilità che è possibile eseguire per configurare alcune proprietà avanzate, che possono includere l'impostazione manuale di una password di rete (NPW). Questa è come una password Wifi ... è sottoposta a hash per produrre un NMK. Se disponi di questa opzione e puoi impostare manualmente l'NPW su ciascuno dei tuoi dispositivi (e impostare un NPW sufficientemente potente), allora considererei un sistema sicuro . (vedi aggiornamento sotto) Se non puoi, allora devi decidere quanto è probabile che qualcuno con le attrezzature e le conoscenze adeguate sia abbastanza vicino da poter ascoltare lo scambio di chiavi quando si associa un nuovo dispositivo alla rete. Se sei davvero paranoico, potresti provare a eseguire l'accoppiamento su una rete di alimentazione isolata (come un generatore o un inverter in auto) e poi spostare i dispositivi nella rete principale.

AGGIORNAMENTO: gratta quello. Sembra che ci sia una debolezza dimostrata in uno dei tasti usati in HomePlug AV. In realtà non è un difetto nello standard stesso, ma in un metodo che molti venditori utilizzano per implementarlo. Quindi non tutti i dispositivi sono interessati, ma l'elenco sembra abbastanza grande. ( Riferimento )

    
risposta data 17.12.2014 - 17:48
fonte
2

Gli adattatori PowerLAN sono essenzialmente ricetrasmettitori a onde corte a spettro ridotto a bassa potenza che utilizzano il cavo di alimentazione come sistema di antenna. Con i ricevitori sensibili è possibile ascoltare il loro "rumore" a più di quattro chilometri di distanza. In termini di sicurezza, non dare per scontato che il tuo fusebox arresti completamente il segnale. L'unico modo per ottenere un qualche tipo di sicurezza è la crittografia ... A proposito, un semplice gatto. Il cavo 3 è molto più economico, molto più veloce ed estremamente sicuro rispetto a una rete PowerLAN ....

    
risposta data 10.12.2013 - 15:47
fonte
0

Non ho familiarità con il prodotto di Zyxel, ma nel complesso il segnale PLC è fondamentalmente un segnale radio e dovrebbe essere trattato come tale. Questo è il motivo per cui gli adattatori funzionano in diverse fasi della tua casa.

Ci vorranno alcune apparecchiature sofisticate e sensibili per prelevare il segnale PLC dall'aria, ma può essere fatto, e se qualcuno può collegare al tuo impianto elettrico di casa quel processo sarebbe più semplice.

I trasformatori bloccano il segnale del PLC, quindi non ti devi preoccupare di spostarti lungo la linea verso i tuoi vicini.

    
risposta data 13.12.2011 - 21:15
fonte
-5

Direi che staresti cercando di essere sicuro come un cavo Ethernet standard. Questo è ciò che WEP originariamente rappresentava, Wired Equivalency Protocol, quindi quello che stava dicendo è che la sicurezza è buona come quella di essere su un filo (che richiede che qualcuno tocchi fisicamente per ottenere il segnale). Mentre quello era BS totale per quanto riguarda il Wireless è andato ... il concetto qui dovrebbe corrispondere piuttosto bene. IE ... a meno che qualcuno non sia fisicamente inserito nel tuo impianto elettrico domestico chiuso, allora sei sicuro con zero necessità di crittografia.

    
risposta data 13.12.2011 - 20:09
fonte

Leggi altre domande sui tag