it-swarm-eu.dev

Sind Powerline-Ethernet-Adapter von Natur aus sicher?

Ich habe 2 Zyxel PLA407 Powerline Adapter. Der Router ist unten mit einem Adapter verbunden, der andere Adapter ist oben etwa 30 Fuß entfernt und mit einem Desktop verbunden. Ich habe ein Haus, keine Wohnung oder ein Stadthaus.

Ich habe festgestellt, dass die Geschwindigkeit viel schneller ist, wenn ich nur Plug-and-Play mache, anstatt den Verschlüsselungsprozess zu durchlaufen - es ist ein wenig schwierig.

Meine Frage ist also, ob ich in einem geschlossenen Kreislauf - Strom in meinem Haus - wirklich die Verschlüsselung einrichten muss. Oder ist es durch die Natur des Systems selbst sicher? Wie viel davon tritt ohne Verschlüsselung aus?

Diese Frage war IT-Sicherheitsfrage der Woche.
Lesen Sie den 15. März 2012 Blogeintrag für weitere Details oder eigene einreichen Frage der Woche.

68
v15

Die Art und Weise, wie Ihr Sicherungskasten an das Stromnetz angeschlossen ist, bietet Ihnen Sicherheit.

Im Prinzip sollten Sie ein gutes Signal über jeden Teil der Verkabelung in Ihrem Haus erhalten, der sich in derselben Phase befindet, und Sie sollten kein Signal in den anderen Phasen erhalten.

In der Realität ist dies jedoch nicht ganz richtig - abhängig von Ihrem Sicherungskasten kann es zu Blutungen in den anderen Phasen kommen, und Sie werden fast definitiv Leckagen außerhalb Ihrer 4 Wände bekommen.

Aus diesem Grund wurde diese Art von Dingen verschlüsselt - ein Nachbar kann möglicherweise Ihren Datenverkehr abhören.

Dinge, die zur Sicherheit beitragen, weil sie die Signalstärke beeinträchtigen - Überspannungsschutz, USV usw., aber diese verhindern einen Angreifer nicht.

tl; dr

Verschlüsseln, da Sie ein Signal verlieren. Nicht so sehr drahtlos (es kann gemacht werden, aber es ist schwierig), sondern nur über die vorhandene Netzverkabelung.

40
Rory Alsop

Ich lebe in einem Einfamilienhaus in Texas. Ich habe ein Paar Trendnet TPL-303E Powerline-Adapter und habe die Signalblutung von meinem Nachbarn erfahren. Ich habe das mit den Adaptern gelieferte Powerline-Dienstprogramm ausgeführt und konnte zwei andere Powerline-Adapter mit demselben Netzwerknamen identifizieren. Ich habe einen Durchsatz zwischen 10 und 20 Mbit/s zwischen ihren und meinen Adaptern. Ich habe sogar meine Powerline-Adapter von meinem Router getrennt und sie direkt an meinen PC angeschlossen, um zu sehen, wie stark die Entlüftung war. Ich konnte auf ihren Router zugreifen, Streaming-Videos ansehen und die Computer im Netzwerk sehen. Ich bemerkte auch, dass sie auch IPs auf meinem Router bekommen hatten. Ich habe seitdem die Sicherheit aktiviert.

35
Damien

Mir ist klar, dass dies nicht das ist, wonach Sie fragen, aber es ist wichtig genug, dass ich beschlossen habe, es trotzdem zu schreiben: Wenn Sicherheit für Sie wichtig ist, sollten Sie in der Regel davon ausgehen, dass ALLE Netzwerke unsicher sind. (weil sie am Ende alle sind)

Viele der teureren Netzwerksicherheitskatastrophen in der IT gehen von der Annahme aus, dass "hinter der Firewall" alles sicher ist. Wenn dann, wie immer, ein äußerer Einfluss eindringt, ist er weit verbreitet und unkontrolliert. Ich habe dies mehrmals bei Unternehmen gesehen, die es besser wissen sollten, wie IBM.

Anstatt sich auf einen sicheren Perimeter zu verlassen, sollte jeder Knoten seine eigene Sicherheitsinsel sein und bei jedem Schritt auf dem Weg eine ordnungsgemäße Authentifizierung und Berechtigungsprüfung durchführen. Ihr System sollte in seiner häuslichen Umgebung genauso sicher sein wie im offenen Internet. Natürlich möchten Sie Ihre Systeme nicht mehr Risiken aussetzen als nötig, aber das bedeutet auch, dass Sie Ihre Wache nicht hinter der Firewall hängen lassen.

Außerdem m Ihre eigentliche Frage zu beantworten: Ja sind diese Systeme von Natur aus unsicher, insbesondere in einer Wohnung. Im Allgemeinen kann das Signal nicht zuverlässig an Ihrem Leistungsmesser vorbeikommen, da die dort installierten Geräte für diese Art von Signal nicht geeignet sind. Aber das wird normalerweise eher als eine Art Warnung "Erwarten Sie nicht, dass es funktioniert, wenn Sie es wollen" ausgedrückt als als eine Zusicherung der Sicherheit. Erfahrungsberichte von Benutzern deuten häufig darauf hin, dass sie das Netzwerk anderer Personen sehen können, wenn sie physisch nahe genug sind.

19
tylerl

Es scheint, dass Powerline-Ethernet-Adapter häufig formal einen Verstoß gegen Ihren Vertrag mit Ihrem Stromversorger darstellen, da die Stromleitungen nicht für diese Art der Nutzung ausgelegt und normalisiert wurden. Sie werden keine Probleme bekommen, wenn Sie den richtigen Konverter zwischen Ihrem Haus und der Hauptstromleitung haben. Wenn der Konverter alt ist, senden Sie Ihre Daten möglicherweise tatsächlich an jedes Haus auf der Straße ...

Es besteht die Möglichkeit, dass Ihr Konverter in Ordnung ist und Sie keine Daten auf diese Weise senden. Sie senden jedoch Hochfrequenzsignale über Kabel, die dafür nicht abgeschirmt sind. Betrachten Sie Wecker mit FM-Radios: Viele verwenden ihr Netzkabel als Antenne. Netzkabel müssen also funktionsfähige Hardware für die Aufnahme von 100-MHz-Signalen sein. Und 100baseT Ethernet hat ein Basissignal, das mit ... 100 MHz getaktet ist! Der Powerline-Adapter sendet also Ihre wertvollen Datenbytes in eine große Struktur von Drähten (alle Stromleitungen im Haus), die wahrscheinlich als große Antenne fungieren. Dies kann nicht aus der Ferne schwer zu erfassen sein.

Wenn die Adapter bei Crypto schlecht sind, sollten Sie sie auf den Computern selbst aktivieren können, auf Betriebssystemebene ( IPsec wird von vielen Betriebssystemen unterstützt, einschließlich Windows seit Windows 2000).

10
Thomas Pornin

In den anderen Antworten sind viele gute Informationen zur allgemeinen Sicherheitspraxis enthalten, aber da ich gerade selbst nach der Implementierung der Sicherheit in der HomePlug AV-Spezifikation (die von den von Ihnen genannten Geräten und vielen anderen verwendet wird) recherchiert habe, dachte ich, ich ' d Fügen Sie ein paar spezifischere Informationen hinzu, die noch nicht behandelt wurden.

Erstens gibt es keine unverschlüsselte Datenübertragung unter der HomePlug AV-Spezifikation (mit einigen nicht sicherheitsrelevanten Ausnahmen). Die gesamte Datenübertragung ist mit AES-128 gesichert. ( Referenz ) Durch den Verschlüsselungs-/Sicherungs-/Pairing-Prozess wird ein neuer Netzwerkschlüssel (in der Spezifikation als NMK, Network Membership Key bezeichnet) eingerichtet, der den Standardschlüssel ersetzt, mit dem die Geräte geliefert werden . Mit anderen Worten, Ihre Kommunikation ist standardmäßig verschlüsselt, aber nicht privat (da jedes andere Gerät mit demselben Standardschlüssel eine Verbindung herstellen kann ). Daher erscheint es mir seltsam, dass Sie vor und nach dem "Verschlüsselungsprozess" der Geräte einen Leistungsunterschied feststellen.

Vor diesem Hintergrund scheint das größte Sicherheitsrisiko in einem Powerline-Netzwerk darin zu bestehen, wie zwei Geräte eine NMK vereinbaren und diese an neue Stationen verteilen können, die dem Netzwerk beitreten. Die Spezifikation unterstützt einige Methoden, überlässt dies jedoch letztendlich den Herstellern. Das übliche Ein-Tasten-Pairing-Schema in vielen Powerline-Netzwerkgeräten für Endverbraucher scheint mit einem Verfahren übereinzustimmen, bei dem ein Protokoll namens UKE zum Übertragen des NMK verwendet wird. UKE an sich ist nicht sicher. Die Eigenschaften der physischen Schicht der HomePlug AV-Spezifikation machen es jedoch für eine Station schwierig, die Kommunikation zwischen zwei anderen Stationen zu belauschen. ( Referenz )

Einige Geräte verfügen über ein Hilfsprogramm, mit dem Sie einige erweiterte Eigenschaften konfigurieren können. Dazu gehört möglicherweise das manuelle Festlegen eines Netzwerkkennworts (NPW). Dies ist wie ein Wifi-Passwort ... es wird gehasht, um ein NMK zu erzeugen. Wenn Sie diese Option haben und den NPW auf jedem Ihrer Geräte manuell einstellen können (und einen entsprechend starken NPW einstellen können), dann Ich würde das als sicheres System betrachten. (siehe Update unten) Wenn Sie nicht können, müssen Sie entscheiden, wie wahrscheinlich es ist, dass jemand mit der richtigen Ausrüstung und dem richtigen Wissen nah genug ist, um das mithören zu können Schlüsselaustausch, wenn Sie ein neues Gerät mit dem Netzwerk koppeln. Wenn Sie wirklich paranoid sind, können Sie möglicherweise versuchen, das Pairing über ein isoliertes Stromnetz (wie einen Generator oder einen Wechselrichter in Ihrem Auto) durchzuführen und die Geräte dann in das Hauptnetzwerk zu verschieben.

UPDATE: Scratch das. Es sieht so aus, als ob eine der in HomePlug AV verwendeten Tasten eine nachgewiesene Schwäche aufweist. Es ist eigentlich kein Fehler im Standard selbst, sondern in einer Methode, die viele Anbieter verwenden, um ihn zu implementieren. Es sind also nicht alle Geräte betroffen, aber die Liste sieht ziemlich groß aus. ( Referenz )

8
glibdud

PowerLAN-Adapter sind im Grunde genommen Kurzwellen-Transceiver mit geringem Leistungsspreizspektrum, die Ihr Stromkabel als Antennensystem verwenden. Bei empfindlichen Empfängern können Sie deren "Rauschen" mehr als vier Kilometer entfernt hören. Gehen Sie aus Sicherheitsgründen nicht davon aus, dass Ihr Sicherungskasten das Signal vollständig stoppt. Der einzige Weg, um irgendeine Art von Sicherheit zu erhalten, ist die Verschlüsselung ... Übrigens eine einfache Katze. 3 Kabel sind viel billiger, viel schneller und extrem sicher im Vergleich zu einem PowerLAN-Netzwerk ....

2
Anton

Ich bin mit dem Produkt von Zyxel nicht vertraut, aber insgesamt ist das SPS-Signal im Grunde ein Funksignal und sollte als solches behandelt werden. Aus diesem Grund arbeiten Adapter in verschiedenen Phasen Ihres Hauses.

Es würde einige hochentwickelte und empfindliche Geräte erfordern, um das SPS-Signal aus der Luft aufzunehmen, aber es kann getan werden, und wenn jemand das elektrische System Ihres Hauses anschließen kann, wäre dieser Prozess einfacher.

Transformatoren blockieren das SPS-Signal, sodass Sie sich keine Sorgen machen müssen, dass es die Linie zu Ihren Nachbarn hinunter wandert.

0
dbasnett