it-swarm-vi.com

Các bộ điều hợp ethernet powerline vốn đã an toàn?

Tôi có 2 bộ điều hợp powerline Zyxel PLA407. Bộ định tuyến ở tầng dưới được kết nối với một bộ chuyển đổi, bộ chuyển đổi khác ở tầng trên cách khoảng 30 feet kết nối với máy tính để bàn. Tôi có một ngôi nhà, không phải là một căn hộ hay nhà phố.

Tôi nhận thấy tốc độ nhanh hơn nhiều khi tôi chỉ cắm và chơi, thay vì trải qua quá trình mã hóa - điều đó hơi khó khăn.

Vì vậy, câu hỏi của tôi là, trên một hệ thống vòng kín - điện trong nhà tôi - tôi có thực sự cần phải thiết lập mã hóa không? Hay nó được bảo mật bởi bản chất của hệ thống ?? Bao nhiêu trong số đó 'rò rỉ ra' mà không cần mã hóa?

Câu hỏi này là Câu hỏi bảo mật CNTT trong tuần.
[.__.] Đọc ngày 15 tháng 3 năm 2012 mục blog để biết thêm chi tiết hoặc gửi câu hỏi của riêng bạn Câu hỏi trong tuần.

68
v15

Bạn nhận được một số bảo mật từ cách hộp Fuse của bạn được kết nối với nguồn điện.

Về nguyên tắc, bạn sẽ nhận được tín hiệu tốt trên bất kỳ phần nào của hệ thống dây điện trong nhà cùng pha và bạn không nên nhận bất kỳ pha nào trong các pha khác.

Tuy nhiên, trong thực tế, điều đó không hoàn toàn đúng - tùy thuộc vào hộp Fuse của bạn, bạn có thể bị chảy máu sang các pha khác và bạn gần như chắc chắn sẽ bị rò rỉ bên ngoài 4 bức tường của mình.

Đây là lý do tại sao mã hóa được áp dụng cho các loại điều này - một người hàng xóm có thể đánh hơi lưu lượng truy cập của bạn.

Những thứ giúp bảo mật, bởi vì chúng cản trở cường độ tín hiệu - những người bảo vệ đột biến, của UPS, v.v. nhưng những thứ đó không ngăn chặn kẻ tấn công.

tl; dr

Mã hóa, bởi vì bạn sẽ bị rò rỉ tín hiệu. Không quá nhiều không dây (nó có thể được thực hiện nhưng nó là khó khăn) nhưng chỉ qua hệ thống dây điện chính hiện có.

40
Rory Alsop

Tôi sống trong một gia đình biệt lập ở Texas. Tôi có một cặp bộ điều hợp dây điện Trendnet TPL-303E và đã trải nghiệm tín hiệu chảy ra từ người hàng xóm bên cạnh. Tôi đã chạy tiện ích Powerline đi kèm với các bộ điều hợp và có thể xác định hai bộ điều hợp nguồn khác sử dụng cùng tên mạng. Tôi nhận được bất cứ nơi nào giữa 10 đến 20Mbps thông lượng giữa bộ điều hợp của họ và của tôi. Tôi thậm chí đã tách bộ điều hợp nguồn điện từ bộ định tuyến của mình và kết nối chúng trực tiếp với máy tính của tôi để xem tình trạng chảy máu tồi tệ như thế nào. Tôi đã có thể truy cập bộ định tuyến của họ, xem video phát trực tuyến và xem các máy tính trên mạng. Tôi cũng nhận thấy họ cũng đã nhận được IP trên bộ định tuyến của tôi. Kể từ khi tôi kích hoạt bảo mật.

35
Damien

Tôi nhận ra rằng đây không phải là điều bạn đang hỏi, nhưng nó đủ quan trọng để tôi quyết định viết nó bằng mọi cách: Nếu bảo mật là quan trọng đối với bạn, thì theo nguyên tắc, bạn nên cho rằng TẤT CẢ các mạng đều không an toàn. (vì cuối cùng, tất cả đều như vậy)

Nhiều thảm họa an ninh mạng đắt đỏ hơn trong CNTT đã xuất phát từ giả định rằng "đằng sau tường lửa" mọi thứ đều an toàn. Sau đó, khi một ảnh hưởng bên ngoài rò rỉ, như mọi khi cuối cùng xảy ra, nó chạy lan man và không được kiểm soát. Tôi đã chứng kiến ​​điều này xảy ra nhiều lần khi làm việc cho các công ty nên biết rõ hơn, như IBM.

Thay vì dựa vào một vành đai an toàn, mỗi nút nên là đảo bảo mật của riêng nó với các kiểm tra xác thực và cấp phép phù hợp xảy ra ở mỗi bước trên đường đi. Hệ thống của bạn phải được bảo mật trong môi trường gia đình như trên Internet mở. Rõ ràng là bạn không muốn làm cho hệ thống của mình gặp nhiều rủi ro hơn bạn phải làm, nhưng điều đó cũng có nghĩa là bạn không để sự cảnh giác của mình đằng sau tường lửa.

Ngoài ra, để trả lời câu hỏi thực sự của bạn: có, các hệ thống này vốn không an toàn, đặc biệt là trong một căn hộ. Nói chung, tín hiệu không thể vượt qua đồng hồ đo điện của bạn một cách đáng tin cậy vì thiết bị được lắp đặt ở đó không thân thiện với loại tín hiệu đó. Nhưng điều đó thường được thể hiện nhiều hơn là "không mong đợi nó hoạt động khi bạn muốn nó" loại cảnh báo hơn là đảm bảo an ninh. Báo cáo thực địa từ người dùng thường đề xuất rằng họ có thể xem mạng của người khác nếu họ đủ gần.

19
tylerl

Dường như các bộ điều hợp ethernet powerline thường vi phạm hợp đồng với nhà cung cấp điện của bạn, vì các đường dây điện không được thiết kế và chuẩn hóa cho loại sử dụng đó. Bạn sẽ không gặp vấn đề nếu bạn có loại bộ chuyển đổi phù hợp giữa nhà bạn và đường dây điện chính. Nếu trình chuyển đổi đã cũ, có thể bạn đang thực sự phát dữ liệu của mình đến mọi nhà trên phố ...

Rất có thể là trình chuyển đổi của bạn vẫn ổn và bạn không phát dữ liệu theo cách đó. Tuy nhiên, bạn đang gửi tín hiệu tần số cao thông qua các dây không được bảo vệ cho điều đó. Xem xét đồng hồ báo thức với radio FM: nhiều người sử dụng dây nguồn của họ làm ăng ten. Vì vậy, dây nguồn phải là phần cứng khả thi để thu tín hiệu 100 MHz. Và ethernet 100baseT có tín hiệu cơ bản ở mức ... 100 MHz! Vì vậy, bộ điều hợp powerline đang gửi các byte dữ liệu quý giá của bạn vào một cấu trúc dây lớn (tất cả các đường dây điện trong nhà) có khả năng hoạt động như một ăng ten lớn. Điều này không thể khó nhận từ xa.

Nếu các bộ điều hợp kém về tiền điện tử, bạn sẽ có thể tự kích hoạt nó trên các máy, ở cấp độ HĐH ( IPsec được nhiều HĐH hỗ trợ, kể cả Windows kể từ Windows 2000).

10
Thomas Pornin

Có rất nhiều thông tin thực hành bảo mật chung trong các câu trả lời khác, nhưng khi tôi tự nghiên cứu về việc triển khai bảo mật trong thông số HomePlug AV (được sử dụng bởi các thiết bị bạn đã đề cập và nhiều thiết bị khác), tôi nghĩ rằng tôi d thêm một chút thông tin cụ thể chưa được bảo hiểm.

Đầu tiên, không có thứ gọi là truyền dữ liệu không được mã hóa theo thông số AV của HomePlug (với một số ngoại lệ không liên quan đến bảo mật). Tất cả truyền dữ liệu được bảo mật với AES-128. ( Tham khảo ) Quá trình mã hóa/bảo mật/ghép đôi làm gì được thiết lập một khóa mạng mới (được gọi trong thông số là NMK, Khóa thành viên mạng) để thay thế khóa mặc định mà thiết bị gửi kèm . Nói cách khác, ngoài hộp, thông tin liên lạc của bạn là được mã hóa, nhưng không private (vì mọi thiết bị khác đều có thể kết nối bằng cùng một khóa mặc định ). Vì vậy, có vẻ kỳ lạ với tôi rằng bạn thấy sự khác biệt về hiệu suất trước và sau khi trải qua quá trình "mã hóa" của thiết bị.

Với ý nghĩ đó, mối quan tâm bảo mật lớn nhất trong mạng lưới đường dây điện dường như là làm thế nào để hai thiết bị đồng ý với NMK và cách phân phối nó đến các trạm mới tham gia mạng. Thông số kỹ thuật hỗ trợ một vài phương pháp để làm như vậy, nhưng cuối cùng vẫn để việc thực hiện cho các nhà sản xuất. Sơ đồ ghép nối một nút chung trong nhiều thiết bị kết nối đường dây điện của người tiêu dùng dường như phù hợp với quy trình sử dụng giao thức có tên UKE để chuyển NMK. Bản thân UKE là không an toàn. Tuy nhiên, các thuộc tính của lớp vật lý của thông số HomePlug AV khiến một trạm khó nghe lén thông tin liên lạc giữa hai trạm khác. ( Tham khảo )

Một số thiết bị đi kèm với chương trình tiện ích mà bạn có thể chạy để định cấu hình một số thuộc tính nâng cao, có thể bao gồm cài đặt thủ công Mật khẩu mạng (NPW) theo cách thủ công. Đây giống như một mật khẩu Wifi ... nó được băm để tạo ra một NMK. Nếu bạn có tùy chọn này và có thể đặt NPW theo cách thủ công trên mỗi thiết bị của mình (và đặt NPW mạnh phù hợp), thì Tôi sẽ xem xét rằng một hệ thống an toàn. (xem cập nhật bên dưới) Nếu bạn không thể, thì bạn phải quyết định khả năng ai đó có thiết bị và kiến ​​thức phù hợp sẽ đủ gần để có thể lắng nghe trao đổi khóa khi bạn ghép nối một thiết bị mới với mạng. Nếu bạn thực sự hoang tưởng, bạn có thể thử ghép nối qua một số mạng điện bị cô lập (như máy phát điện hoặc biến tần trong xe hơi) và sau đó di chuyển các thiết bị vào mạng chính.

CẬP NHẬT: Cào đó. Có vẻ như có một điểm yếu được chứng minh ở một trong các phím được sử dụng trong HomePlug AV. Bản thân nó không phải là một lỗ hổng trong tiêu chuẩn, nhưng trong một phương pháp mà rất nhiều nhà cung cấp sử dụng để thực hiện nó. Vì vậy, không phải tất cả các thiết bị đều bị ảnh hưởng, nhưng danh sách có vẻ khá lớn. ( Tham khảo )

8
glibdud

Bộ điều hợp Powerlan về cơ bản là các bộ thu phát sóng ngắn phổ phổ công suất thấp sử dụng cáp nguồn của bạn làm hệ thống ăng ten. Với các máy thu nhạy, bạn có thể nghe thấy "tiếng ồn" của chúng cách xa hơn bốn km. Về mặt bảo mật, đừng cho rằng fusebox của bạn dừng tín hiệu hoàn toàn. Cách duy nhất để có được một số loại bảo mật là mã hóa ... Nhân tiện, một con mèo đơn giản. 3 cáp rẻ hơn nhiều, nhanh hơn nhiều và cực kỳ an toàn so với mạng Powerlan ....

2
Anton

Tôi không quen thuộc với sản phẩm của Zyxel nhưng về cơ bản, tín hiệu PLC về cơ bản là tín hiệu vô tuyến và nên được xử lý như vậy. Đây là lý do tại sao bộ điều hợp làm việc trên các giai đoạn khác nhau trong nhà của bạn.

Sẽ cần một số thiết bị tinh vi và nhạy cảm để thu tín hiệu PLC ra khỏi không khí, nhưng điều đó có thể được thực hiện và nếu ai đó có thể cắm vào hệ thống điện trong nhà của bạn thì quá trình đó sẽ dễ dàng hơn.

Máy biến áp chặn tín hiệu PLC, vì vậy bạn không phải lo lắng về việc nó truyền xuống hàng xóm của bạn.

0
dbasnett