web-dev-qa-db-fra.com

Les adaptateurs Ethernet CPL sont-ils intrinsèquement sûrs?

J'ai 2 adaptateurs CPL Zyxel PLA407. Le routeur est connecté en bas à un adaptateur, l'autre adaptateur est à l'étage à environ 30 pieds connecté à un bureau. J'ai une maison, pas un appartement ou une maison de ville.

J'ai remarqué que la vitesse est beaucoup plus rapide lorsque je branche et joue, plutôt que de passer par le processus de cryptage - c'est un peu difficile.

Donc ma question est, sur un système en boucle fermée - électricité à l'intérieur de ma maison - ai-je vraiment besoin de configurer le cryptage? Ou est-il sécurisé par la nature du système lui-même ?? Combien de "fuites" sans chiffrement?

Cette question était Question de sécurité de la semaine de la TI.
Lisez le 15 mars 2012 entrée de blog pour plus de détails ou soumettez le vôtre Question de la semaine.

68
v15

Vous obtenez une certaine sécurité de la façon dont votre boîte à fusibles est connectée au secteur.

En principe, vous devriez obtenir un bon signal sur toute partie du câblage de votre maison qui est sur la même phase, et vous ne devriez pas en obtenir sur les autres phases.

En réalité, ce n'est pas tout à fait vrai - en fonction de votre boîte à fusibles, vous pouvez avoir des saignements sur les autres phases, et vous obtiendrez presque certainement des fuites à l'extérieur de vos 4 murs.

C'est pourquoi le cryptage a été mis en place sur ce type de choses - un voisin peut être en mesure de flairer votre trafic.

Les choses qui aident à la sécurité, car elles entravent la puissance du signal - les parasurtenseurs, les onduleurs, etc., mais ceux-ci n'empêchent pas un attaquant.

tl; dr

Chiffrez, car vous fuirez un signal. Pas tellement sans fil (cela peut être fait mais c'est délicat) mais juste à travers le câblage secteur existant.

40
Rory Alsop

Je vis dans une maison familiale indépendante au Texas. J'ai une paire d'adaptateurs CPL Trendnet TPL-303E et j'ai ressenti le saignement du signal de mon voisin. J'ai exécuté l'utilitaire Powerline fourni avec les adaptateurs et j'ai pu identifier deux autres adaptateurs CPL utilisant le même nom de réseau. J'ai obtenu entre 10 et 20 Mbps de débit entre leurs adaptateurs et le mien. J'ai même séparé mes adaptateurs CPL de mon routeur et les ai connectés directement à mon PC pour voir à quel point le saignement était grave. J'ai pu accéder à leur routeur, regarder des vidéos en streaming et voir les ordinateurs sur le réseau. J'ai également remarqué qu'ils avaient également obtenu des adresses IP sur mon routeur. J'ai depuis activé la sécurité.

35
Damien

Je me rends compte que ce n'est pas ce que vous demandez, mais c'est suffisamment important pour que je décide de l'écrire de toute façon: si la sécurité est importante pour vous, alors vous devriez, en règle générale, supposer que TOUS les réseaux sont non sécurisés. (car au final, ils le sont tous)

Bon nombre des catastrophes de sécurité réseau les plus coûteuses en informatique proviennent de l'hypothèse que "derrière le pare-feu", tout est sûr. Puis, lorsqu'une influence externe s'infiltre, comme cela arrive toujours, elle s'exécute et n'est pas contrôlée. J'ai vu cela se produire plusieurs fois en travaillant pour des entreprises qui auraient dû mieux connaître, comme IBM.

Au lieu de s'appuyer sur un périmètre sécurisé, chaque nœud doit être son propre îlot de sécurité avec des vérifications d'authentification et d'autorisation appropriées à chaque étape du processus. Votre système doit être aussi sécurisé dans son environnement domestique que sur Internet ouvert. Évidemment, vous ne voulez pas exposer vos systèmes à plus de risques que vous n'en avez, mais cela signifie également que vous ne laissez pas votre garde derrière le pare-feu.

Aussi, pour répondre à votre vraie question: oui, ces systèmes sont intrinsèquement précaires, surtout dans un appartement. Généralement, le signal ne peut pas passer de manière fiable votre wattmètre car l'équipement installé là-bas n'est pas compatible avec ce type de signal. Mais cela est généralement exprimé plus comme un "ne vous attendez pas à ce que cela fonctionne lorsque vous le souhaitez" comme une sorte d'avertissement plutôt que comme une assurance de sécurité. Les rapports de terrain des utilisateurs suggèrent fréquemment qu'ils peuvent voir le réseau des autres s'ils sont physiquement assez proches.

19
tylerl

Il semble que les adaptateurs Ethernet CPL soient souvent, formellement, une violation de votre contrat avec votre fournisseur d'électricité, car les lignes électriques n'ont pas été conçues et normalisées pour ce type d'utilisation. Vous n'aurez pas de problèmes si vous avez le bon type de convertisseur entre votre maison et la ligne électrique principale. Si le convertisseur est ancien, il est possible que vous diffusiez réellement vos données dans chaque maison de la rue ...

Les chances sont que votre convertisseur fonctionne correctement et que vous ne diffusiez pas les données de cette façon. Cependant, vous envoyez des signaux haute fréquence via des fils qui ne sont pas blindés pour cela. Considérez les réveils avec les radios FM: beaucoup utilisent leur cordon d'alimentation comme antenne. Les cordons d'alimentation doivent donc être du matériel fonctionnel pour capter des signaux à 100 MHz. Et Ethernet 100baseT a un signal de base cadencé à ... 100 MHz! L'adaptateur CPL envoie donc vos précieux octets de données dans une grande structure de fils (toutes les lignes électriques de la maison) qui est susceptible d'agir comme une grande antenne. Cela ne peut pas être difficile à récupérer à distance.

Si les adaptateurs sont mauvais en cryptographie, vous devriez pouvoir l'activer sur les machines elles-mêmes, au niveau du système d'exploitation ( IPsec est pris en charge par de nombreux systèmes d'exploitation, y compris Windows depuis Windows 2000).

10
Thomas Pornin

Il y a beaucoup de bonnes informations générales sur les pratiques de sécurité dans les autres réponses, mais comme je viens de rechercher par moi-même l'implémentation de la sécurité dans la spécification HomePlug AV (utilisée par les appareils que vous avez mentionnés, et bien d'autres), je pensais que je '' d ajouter un peu d'informations plus spécifiques non encore couvertes.

Tout d'abord, le transfert de données non chiffré n'existe pas sous la spécification HomePlug AV (avec quelques exceptions non liées à la sécurité). Toutes les transmissions de données sont sécurisées avec AES-128. ( Référence ) Ce que fait le processus de cryptage/sécurisation/appariement est de configurer une nouvelle clé réseau (appelée dans la spécification NMK, Network Membership Key) pour remplacer la clé par défaut fournie avec les appareils. . En d'autres termes, hors de la boîte, vos communications sont cryptées, mais pas privées (car tout autre appareil pourrait se connecter en utilisant la même clé par défaut ). Il me semble donc étrange que vous constatiez une différence de performances avant et après le processus de "chiffrement" des appareils.

Dans cet esprit, le plus gros problème de sécurité dans un réseau CPL semble être de savoir comment avoir deux appareils d'accord sur un NMK et comment le distribuer aux nouvelles stations rejoignant le réseau. La spécification prend en charge quelques méthodes pour le faire, mais laisse finalement la mise en œuvre aux fabricants. Le schéma d'appariement à un bouton commun dans de nombreux équipements de réseau CPL grand public semble être cohérent avec une procédure qui utilise un protocole appelé UKE pour transférer le NMK. UKE en soi n'est pas pas sécurisé. Cependant, les propriétés de la couche physique de la spécification HomePlug AV rendent difficile pour une station d'écouter les communications entre deux autres stations. ( Référence )

Certains appareils sont livrés avec un programme utilitaire que vous pouvez exécuter pour configurer certaines propriétés avancées, qui peuvent inclure la définition manuelle d'un mot de passe réseau (NPW). C'est comme un mot de passe Wifi ... il est haché pour produire un NMK. Si vous avez cette option et pouvez définir manuellement le NPW sur chacun de vos appareils (et définir un NPW suffisamment fort), alors Je considérerais qu'un système sécurisé. (voir la mise à jour ci-dessous) Si vous ne le pouvez pas, alors vous devez décider à quel point il est probable que quelqu'un avec l'équipement et les connaissances appropriés soit suffisamment proche pour pouvoir écouter le échange de clés lorsque vous associez un nouvel appareil au réseau. Si vous êtes vraiment paranoïaque, vous pourriez essayer de faire l'appariement sur un réseau électrique isolé (comme un générateur ou un onduleur dans votre voiture), puis déplacer les appareils dans le réseau principal.

MISE À JOUR: Grattez cela. Il semble qu'il y ait une faiblesse démontrée dans l'une des clés utilisées dans HomePlug AV. Ce n'est pas en fait une faille dans la norme elle-même, mais dans une méthode que beaucoup de fournisseurs utilisent pour l'implémenter. Donc, tous les appareils ne sont pas affectés, mais la liste semble assez longue. ( Référence )

8
glibdud

Les adaptateurs PowerLAN sont essentiellement des émetteurs-récepteurs à ondes courtes à spectre étalé et à faible puissance qui utilisent votre câble d'alimentation comme système d'antenne. Avec des récepteurs sensibles, vous pouvez entendre leur "bruit" à plus de quatre kilomètres. En termes de sécurité, ne supposez pas que votre boîte à fusibles arrête complètement le signal. Le seul moyen d'obtenir une sorte de sécurité est le cryptage ... Au fait, un simple Cat. Le câble 3 est beaucoup moins cher, beaucoup plus rapide et extrêmement sécurisé qu'un réseau PowerLAN ....

2
Anton

Je ne connais pas le produit Zyxel, mais dans l'ensemble, le signal PLC est essentiellement un signal radio et doit être traité comme tel. C'est pourquoi les adaptateurs fonctionnent sur différentes phases de votre maison.

Il faudrait un équipement sophistiqué et sensible pour capter le signal PLC hors de l'air, mais cela peut être fait, et si quelqu'un peut se connecter au système électrique de votre maison, ce processus serait plus facile.

Les transformateurs bloquent le signal de l'automate, vous n'avez donc pas à vous soucier qu'il se déplace sur la ligne vers vos voisins.

0
dbasnett