Crittografia per home Ethernet?

2

Recentemente ho avuto la mia casa cablata per gigabit ethernet, che è fantastica, ma mi ha lasciato con una breve esecuzione ethernet che è in realtà fuori dalle mura di casa mia. Come posso proteggere questo collegamento da qualcuno che esegue lo splicing? Idealmente mi piacerebbe collegare qualcosa a ciascuna estremità dell'esecuzione cat6 che crittografa il traffico in modo trasparente agli altri dispositivi sulla rete, ma sono interessato anche alle soluzioni software (purché funzionino bene e non siano troppo oneroso da configurare)

    
posta Drew Shafer 06.06.2017 - 16:53
fonte

5 risposte

3

Ci sono due opzioni possibili da considerare: crittografia Layer 2 (data-link) e Layer 3 (network o IPsec). Sfortunatamente entrambi sono probabilmente più costosi o complicati di quelli in cui vuoi entrare. Tuttavia, il cavo tra te e il tuo fornitore di servizi Internet (o anche più a valle) è come se non fosse più suscettibile allo splicing. Ciò significa che l'unico modo per essere veramente sicuri è utilizza una solida crittografia end-to-end ogni volta che devi fare qualcosa di sensibile e che crittografare il traffico su quel piccolo link della tua rete locale probabilmente non ti renderà più sicuro . La crittografia end-to-end crittograferà il traffico sensibile sul tuo dispositivo e non verrà decodificato fino a quando non raggiunge il dispositivo di destinazione, evitando così la maggior parte degli attacchi pratici di sniffing dei pacchetti.

Ricorda che la sicurezza costosa ha senso solo quando protegge qualcosa di valore uguale o superiore. Suggerirei le seguenti alternative:

  1. Sicurezza fisica, come mettere il cavo esterno all'interno di un condotto corazzato.
  2. Assicurati di utilizzare HTTPS per qualsiasi cosa sensibile sul web. Anche se questi pacchetti vengono annusati nella tua rete, saranno già crittografati. Questo crittografa i dati tra la macchina e il server Web di destinazione.
  3. Utilizza la crittografia end-to-end ogni volta che viene offerta. Al contrario di HTTPS, la crittografia end-to-end manterrà i dati crittografati oltre il server Web di destinazione fino al punto in cui i dati vengono effettivamente utilizzati.
  4. Utilizza il Wi-Fi crittografato con una password sicura ogni volta che hai a che fare con qualcosa di sensibile. Questo crittografa tutti i dati tra la macchina e il punto di accesso Wi-Fi.

Una soluzione Layer 2 assomiglia più da vicino a ciò che hai chiesto nella domanda. Questi dispositivi sono a volte chiamati dispositivi "bump in the wire", in particolare perché li si collega ad entrambe le estremità di un cavo fisico e tutta la crittografia avviene in modo trasparente e all'insaputa di qualsiasi altro dispositivo sulla rete. Sfortunatamente in questo momento queste soluzioni sono estremamente costose - sono costose "call for price". Alcuni googling veloci suggeriscono che questi dispositivi partono da poche migliaia di dollari e vanno rapidamente in poche decine di migliaia di dollari. Forniscono alta sicurezza, autenticazione e possono operare a velocità di 10gig / 100gig.

La ricerca di "crittografia layer 2" o "bump in the wire encryption" o "MACsec" ti darà più informazioni su questi dispositivi.

La crittografia del livello 3 è una crittografia basata sulla rete che utilizza in genere IPsec. Qui, ogni host sulla rete autentica e / o crittografa le comunicazioni con ogni altro host sulla rete. Se disponevi di un router / switch abilitato IPsec e di un dispositivo sufficientemente intelligente sull'altro lato, potresti essere in grado di configurare IPsec in modo che funzioni solo su quel filo. Sarebbe anche possibile crittografare tutti i dati sulla rete locale (dietro il router). Fai attenzione che IPsec in generale genera un sacco di elaborazione e larghezza di banda.

    
risposta data 07.06.2017 - 18:25
fonte
3

Una volta ogni tanto, quando entri o esci da casa, guarda se qualcuno ha inserito il cavo. Se il cavo sembra OK, stai bene.

Questo non ha requisiti di configurazione e ha un impatto zero sulla velocità della tua rete.

    
risposta data 07.06.2017 - 14:41
fonte
2

Ciò che hai impostato fondamentalmente sono due siti diversi. Supponendo che tu abbia percorso un cavo da casa tua a un garage distaccato, non importa se il tuo garage è a 100 piedi di distanza o si trova nella zona rurale di Guangzhou, per motivi di sicurezza lo consideri come due siti separati.

A tal fine, ciò di cui hai bisogno è una configurazione VPN da sito a sito, simile a qualsiasi LAN aziendale i cui uffici siano distribuiti su un'area geografica o sul globo. (Alcuni router SOHO faciliteranno questo per te, ma si stanno avventurando nel territorio dei prodotti consigliati.)

Tutto ciò che esce di casa è crittografato, passa attraverso il filo esterno e viene decodificato sul lato ricevente. Imposta correttamente tutto funziona come una LAN unificata e il fatto che metà della rete si trovi dall'altra parte del cortile è trasparente per tutti i tuoi nodi.

    
risposta data 06.06.2017 - 18:18
fonte
0

Il livello 2 che si collega a una rete VPN funzionerebbe. Ma sarà oneroso:

link

Lavorare al livello 2 sarebbe il più trasparente per le macchine sulla tua rete.

I dispositivi di classe prosumer probabilmente faranno VPN Layer 3, il che significa gestire diverse sottoreti, domini broadcast, ecc. Saranno più facili, ma non così trasparenti.

Sarei sorpreso se tu trovassi una soluzione economica, semplice e trasparente che potrebbe fornire velocità gigabit.

Installare una videocamera, sostituire la corsa esterna con cavo armato o fibra sarebbe più veloce e probabilmente meno problematico.

In termini di rischio, a meno che tu non stia lavorando in un'ambasciata, o il tuo cavo ethernet stia cavalcando per le strade di una favela brasiliana, rimarrai colpito se qualcuno fosse così interessato a intercettare il tuo traffico LAN.

    
risposta data 06.06.2017 - 19:14
fonte
0

Questo sembra eccessivo. Cosa succede a questo cavo che è davvero abbastanza sensibile da permettere a qualcuno di accedere fisicamente al cavo Ethernet? Il traffico internet sensibile passerà sopra https. Dal momento che probabilmente hai un interruttore è solo il traffico tra i dispositivi nelle due aree che andranno su quel cavo, non tutto il traffico.

I tuoi computer, server e dispositivi sono protetti in modo che le persone non possano sfogliare le condivisioni di file o accedere alle risorse? Tutto è completamente patchato? Se no, quella è probabilmente la prima area da considerare.

Gli sforzi pratici potrebbero includere:

  • Inserire il cavo all'interno di un tubo di plastica o metallo, fisicamente fissarlo
  • Utilizza le telecamere di sicurezza per monitorare l'area
  • Controlla occasionalmente il cavo
risposta data 07.06.2017 - 01:19
fonte

Leggi altre domande sui tag