it-swarm-es.com

¿Los adaptadores ethernet powerline son inherentemente seguros?

Tengo 2 adaptadores de línea eléctrica Zyxel PLA407. El enrutador está abajo conectado a un adaptador, otro adaptador está arriba a unos 30 pies de distancia conectado a una computadora de escritorio. Tengo una casa, no un departamento o casa adosada.

Me di cuenta de que la velocidad es mucho más rápida cuando solo conecto y juego, en lugar de pasar por el proceso de cifrado, es un poco difícil.

Entonces, mi pregunta es, en un sistema de circuito cerrado (electricidad dentro de mi casa), ¿realmente necesito configurar el cifrado? ¿O es seguro por la naturaleza del sistema mismo? ¿Cuánto se 'filtra' sin cifrado?

Esta pregunta fue Pregunta de seguridad de TI de la semana.
Lea el 15 de marzo de 2012 entrada del blog para más detalles o envíe el suyo Pregunta de la semana.

68
v15

Obtendrá cierta seguridad por la forma en que su caja de fusibles está conectada a la red eléctrica.

En principio, debería obtener una buena señal en cualquier parte del cableado de su casa que esté en la misma fase, y no debería obtener ninguna en las otras fases.

Sin embargo, en realidad, eso no es del todo cierto: dependiendo de su caja de fusibles, puede sangrar un poco en las otras fases, y casi definitivamente obtendrá fugas fuera de sus 4 paredes.

Esta es la razón por la cual se estableció el cifrado en este tipo de cosas: un vecino puede detectar su tráfico.

Cosas que ayudan con la seguridad, porque dificultan la intensidad de la señal: protectores contra sobretensiones, UPS, etc., pero eso no impide que un atacante.

tl; dr

Cifrar, porque se filtrará la señal. No tanto de forma inalámbrica (se puede hacer pero es complicado) sino solo a través del cableado de red existente.

40
Rory Alsop

Vivo en una casa familiar independiente en Texas. Tengo un par de adaptadores de línea eléctrica Trendnet TPL-303E y he experimentado el sangrado de señal de mi vecino de al lado. Ejecuté la utilidad Powerline que venía con los adaptadores y pude identificar otros dos adaptadores powerline con el mismo nombre de red. Obtuve entre 10 y 20 Mbps de rendimiento entre sus adaptadores y los míos. Incluso separé mis adaptadores de línea eléctrica de mi enrutador y los conecté directamente a mi PC para ver qué tan grave era el sangrado. Pude acceder a su enrutador, ver videos en tiempo real y ver las computadoras en la red. También noté que también tenían IP en mi enrutador. Desde entonces he habilitado la seguridad.

35
Damien

Me doy cuenta de que esto no es lo que estás preguntando, pero es lo suficientemente importante como para que decidiera escribirlo de todos modos: si la seguridad es importante para ti, entonces, por regla general, debes asumir que TODAS las redes son inseguras. (porque al final, todos lo son)

Muchos de los desastres de seguridad de red más costosos en TI provienen del supuesto de que "detrás del firewall" todo está seguro. Luego, cuando se filtra una influencia externa, como siempre sucede eventualmente, corre desenfrenada y sin control. He sido testigo de esto varias veces trabajando para empresas que deberían haberlo sabido mejor, como IBM.

En lugar de depender de un perímetro seguro, cada nodo debe ser su propia isla de seguridad con la autenticación y las verificaciones de permisos adecuadas en cada paso del camino. Su sistema debe ser tan seguro en su entorno doméstico como en Internet abierto. Obviamente, no desea exponer sus sistemas a más riesgos de los que tiene que hacerlo, pero eso también significa que no debe bajar la guardia detrás del firewall.

Además, para responder a su pregunta real: sí, estos sistemas son inherentemente inseguros, especialmente en un departamento. En general, la señal no puede pasar de manera confiable su medidor de potencia porque el equipo instalado allí no es compatible con ese tipo de señal. Pero eso generalmente se expresa más como una advertencia de "no esperes que funcione cuando quieres" en lugar de una garantía de seguridad. Los informes de campo de los usuarios con frecuencia sugieren que pueden ver la red de otras personas si están físicamente lo suficientemente cerca.

19
tylerl

Parece que los adaptadores ethernet powerline son a menudo, formalmente, un incumplimiento de su contrato con su proveedor de energía, porque las líneas eléctricas no se han diseñado y normalizado para ese tipo de uso. No tendrá problemas si tiene el tipo correcto de convertidor entre su casa y la línea de alimentación principal. Si el convertidor es antiguo, es posible que realmente esté transmitiendo sus datos a todas las casas de la calle ...

Lo más probable es que su convertidor esté bien y usted no transmita datos de esa manera. Sin embargo, está enviando señales de alta frecuencia a través de cables que no están protegidos para eso. Considere los relojes de alarma con radios FM: muchos usan su cable de alimentación como antena. Por lo tanto, los cables de alimentación deben ser hardware funcional para captar señales de 100 MHz. Y Ethernet 100baseT tiene una señal base sincronizada a ... ¡100 MHz! Por lo tanto, el adaptador de línea eléctrica está enviando sus preciosos bytes de datos a una gran estructura de cables (todas las líneas eléctricas de la casa) que probablemente actúen como una gran antena. Esto no puede ser difícil de detectar de forma remota.

Si los adaptadores son malos en criptografía, debería poder activarlo en las máquinas mismas, a nivel del sistema operativo ( IPsec es compatible con muchos sistemas operativos, incluido Windows desde Windows 2000).

10
Thomas Pornin

Hay mucha buena información general sobre prácticas de seguridad en las otras respuestas, pero como acabo de investigar por mí mismo la implementación de seguridad en la especificación HomePlug AV (utilizada por los dispositivos que mencionó y muchos otros), pensé que ' d agregue un poco más de información específica no cubierta todavía.

Primero, no existe tal cosa como la transferencia de datos sin cifrar bajo la especificación HomePlug AV (con algunas excepciones no relacionadas con la seguridad). Toda la transmisión de datos está asegurada con AES-128. ( Referencia ) Lo que hace el proceso de cifrado/seguridad/emparejamiento es configurar una nueva clave de red (denominada en la especificación NMK, clave de membresía de red) para reemplazar la clave predeterminada con la que se envían los dispositivos . En otras palabras, fuera de la caja, sus comunicaciones son ¡encriptadas, pero no ¡privadas (ya que cualquier otro dispositivo podría conectarse usando la misma clave predeterminada) ) Por lo tanto, me parece extraño que vea una diferencia de rendimiento antes y después de pasar por el proceso de "cifrado" de los dispositivos.

Con eso en mente, la mayor preocupación de seguridad en una red de línea eléctrica parece ser cómo hacer que dos dispositivos acuerden un NMK y cómo distribuirlo a las nuevas estaciones que se unen a la red. La especificación admite algunos métodos para hacerlo, pero finalmente deja la implementación a los fabricantes. El esquema común de emparejamiento con un solo botón en muchos equipos de redes de línea eléctrica para consumidores parece ser consistente con un procedimiento que utiliza un protocolo llamado UKE para transferir el NMK. UKE en sí mismo es no seguro. Sin embargo, las propiedades de la capa física de la especificación HomePlug AV dificultan que una estación escuche las comunicaciones entre otras dos estaciones. ( Referencia )

Algunos dispositivos vienen con un programa de utilidad que puede ejecutar para configurar algunas propiedades avanzadas, que pueden incluir la configuración manual de una contraseña de red (NPW). Esto es como una contraseña de Wifi ... está codificada para producir un NMK. Si tiene esta opción y puede configurar manualmente el NPW en cada uno de sus dispositivos (y establecer un NPW adecuadamente fuerte), entonces Consideraría que un sistema seguro. (¡vea la actualización a continuación Si no puede, entonces tiene que decidir qué tan probable es que alguien con el equipo y los conocimientos adecuados esté lo suficientemente cerca como para poder escuchar el intercambio de claves cuando empareja un nuevo dispositivo a la red. Si eres realmente paranoico, podrías intentar hacer el emparejamiento a través de una red de energía aislada (como un generador o un inversor en tu automóvil) y luego mover los dispositivos a la red principal.

ACTUALIZACIÓN: Rasca eso. Parece que hay una debilidad demostrada en una de las claves utilizadas en HomePlug AV. En realidad, no es un defecto en el estándar en sí, sino en un método que muchos de los proveedores usan para implementarlo. Entonces, no todos los dispositivos se ven afectados, pero la lista parece bastante grande. ( Referencia )

8
glibdud

Los adaptadores PowerLAN son básicamente transceptores de onda corta de espectro expandido de baja potencia que utilizan su cable de alimentación como un sistema de antena. Con receptores sensibles puede escuchar su "ruido" a más de cuatro kilómetros de distancia. En términos de seguridad, no asuma que su caja de fusibles detiene la señal por completo. La única forma de obtener algún tipo de seguridad es el cifrado ... Por cierto, un simple Cat. 3 cable es mucho más barato, mucho más rápido y extremadamente seguro en comparación con una red PowerLAN ...

2
Anton

No estoy familiarizado con el producto de Zyxel pero, en general, la señal del PLC es básicamente una señal de radio y debe tratarse como tal. Es por eso que los adaptadores trabajan en diferentes fases en su casa.

Se necesitaría un equipo sofisticado y sensible para recoger la señal del PLC del aire, pero se puede hacer, y si alguien puede conectarse al sistema eléctrico de su hogar, ese proceso sería más fácil.

Los transformadores bloquean la señal del PLC, por lo que no tiene que preocuparse de que viaje por la línea hacia sus vecinos.

0
dbasnett