¿Cifrado para Ethernet doméstica?

Hay dos opciones posibles a considerar: el cifrado de Capa 2 (enlace de datos) y el cifrado de Capa 3 (red o IPsec). Desafortunadamente, ambos son probablemente más caros o complicados de lo que usted quiere. Sin embargo, el cable que corre entre usted y su proveedor de servicios de Internet (o incluso más abajo) es como si no fuera más susceptible al empalme. Lo que esto significa es que la única manera de estar realmente seguro es use un cifrado sólido de extremo a extremo siempre que necesite hacer algo sensible, y ese cifrado del tráfico a través de ese pequeño enlace de su red local probablemente no lo hará más seguro . El cifrado de extremo a extremo cifrará el tráfico confidencial en su dispositivo, y no se descifra hasta que llegue al dispositivo de destino, lo que evita la mayoría de los ataques prácticos de rastreo de paquetes.

Recuerde que la seguridad costosa solo tiene sentido cuando protege algo de igual o mayor valor. Sugeriría las siguientes alternativas:

1. Seguridad física, como poner su cable externo dentro de un conducto blindado.
2. Asegúrese de usar HTTPS para cualquier cosa sensible en la web. Incluso si estos paquetes son detectados en su red, ya estarán encriptados. Esto cifra los datos entre su máquina y el servidor web de destino.
3. Utilice el cifrado de extremo a extremo siempre que se ofrezca. A diferencia de HTTPS, el cifrado de extremo a extremo mantendrá los datos cifrados más allá del servidor web de destino hasta el punto en que realmente se usan los datos.
4. Use wifi encriptada con una contraseña segura cuando esté tratando con algo sensible. Esto cifra todos los datos entre su máquina y su punto de acceso wifi.

Una solución de Capa 2 se parece más a lo que pediste en la pregunta. A estos dispositivos a veces se les llama dispositivos "bump in the wire" específicamente porque los conecta a cualquiera de los extremos de un cable físico y todo el cifrado se realiza de forma transparente y sin el conocimiento de ningún otro dispositivo en la red. Lamentablemente, en este momento estas soluciones son extremadamente caras, son costosas en términos de "precio de venta". Algunos googlings rápidos sugieren que estos dispositivos comienzan en unos pocos miles de dólares y rápidamente entran en el rango de unas pocas decenas de miles de dólares. Proporcionan alta seguridad, autenticación y pueden operar a velocidades de 10gig / 100gig.

Si busca "encriptación de capa 2" o "bump in the wire encryption" o "MACsec" obtendrá más información sobre estos dispositivos.

El cifrado de la Capa 3 es un cifrado basado en la red que normalmente utiliza IPsec. Aquí, cada host en su red autentica y / o encripta las comunicaciones entre sí en su red. Si tuviera un enrutador / conmutador habilitado para IPsec y un dispositivo lo suficientemente inteligente en el otro extremo, podría configurar IPsec para que solo funcione a través de ese cable. También sería posible cifrar todos los datos en su red local (detrás de su enrutador). Tenga en cuenta que, en general, IPsec genera una gran cantidad de procesamiento y sobrecarga de ancho de banda.

De vez en cuando, al entrar o salir de la casa, mire si alguien ha conectado el cable al empalme. Si el cable se ve bien, estás bien.

Esto no tiene requisitos de configuración en absoluto, y ningún impacto en la velocidad de su red.

Lo que básicamente configuras es dos sitios dispares. Suponiendo que conectó un cable desde su casa a un garaje separado, no importa si su garaje está a 100 pies de distancia o si está ubicado en la zona rural de Guangzhou, por motivos de seguridad, lo considera como dos sitios separados.

Para esos fines, lo que necesita es una configuración VPN de sitio a sitio, similar a cualquier LAN corporativa cuyas oficinas se extiendan por un área geográfica o el mundo. (Algunos enrutadores SOHO facilitarán esto para usted, pero eso es aventurarse en el territorio de recomendación de productos).

Todo lo que sale de su casa está encriptado, pasa por el cable externo y se descifra en el extremo receptor. Configure correctamente todo funciona como una LAN unificada y el hecho de que la mitad de la red está en el otro lado del patio es transparente para todos sus nodos.

La capa 2 puenteando sobre una VPN funcionaría. Pero será oneroso:

enlace

Trabajar en la capa 2 sería lo más transparente para las máquinas en su red.

Es probable que los dispositivos de la clase Prosumer realicen VPNs de Capa 3, lo que significa tratar con diferentes subredes, dominios de transmisión, etc. Serán más fáciles, pero no tan transparentes.

Me sorprendería si encontrara una solución barata, simple y transparente que pudiera proporcionar velocidades de gigabit.

La instalación de una cámara, la sustitución del funcionamiento externo por un cable blindado o fibra sería más rápida y probablemente menos problemática.

En términos de riesgo, a menos que esté trabajando en una embajada, o su cable Ethernet se extienda sobre las calles de una favela brasileña, me impresionaría que alguien estuviera tan interesado en interceptar su tráfico de LAN.

Esto parece una exageración. ¿Qué pasa con este cable que es lo suficientemente sensible para que alguien pueda acceder físicamente a su cable Ethernet? El tráfico de Internet sensible pasará por https. Dado que probablemente tenga un interruptor, solo el tráfico entre dispositivos en las dos áreas pasará por ese cable, no todo el tráfico.

¿Sus computadoras, servidores y dispositivos están protegidos para que las personas no puedan navegar por los recursos compartidos de archivos o acceder a los recursos? ¿Está todo totalmente arreglado? Si no, esa es probablemente la primera área a considerar.

Los esfuerzos prácticos pueden incluir:

• Coloque el cable dentro de un conducto de plástico o metal, asegúrelo físicamente
• Usa cámaras de seguridad para monitorear el área
• Revise el cable ocasionalmente