¿Los adaptadores Ethernet de línea de alimentación son intrínsecamente seguros?

Obtiene algo de seguridad por la forma en que su caja de fusibles está conectada a la red eléctrica.

En principio, debería obtener una buena señal a través de cualquier parte del cableado de su casa que se encuentre en la misma fase, y no debería obtener ninguna en las otras fases.

Sin embargo, en realidad, eso no es del todo cierto. Dependiendo de la caja de fusibles, es posible que se derrame un poco en las otras fases, y casi definitivamente habrá fugas fuera de sus 4 paredes .

Esta es la razón por la que se implementó el cifrado en este tipo de cosas: un vecino puede ser capaz de detectar su tráfico.

Cosas que ayudan con la seguridad, ya que dificultan la intensidad de la señal: protectores de sobrevoltaje, UPS, etc., pero no impiden que un atacante.

tl;dr

Cifre, porque perderá señal. No tanto de forma inalámbrica (se puede hacer, pero es complicado) sino a través del cableado de red existente.

Vivo en una casa unifamiliar aislada en Texas. Tengo un par de adaptadores de línea de corriente Trendnet TPL-303E y he experimentado el sangrado de la señal de mi vecino de al lado. Ejecuté la utilidad Powerline que venía con los adaptadores y pude identificar otros dos adaptadores de línea de poder usando el mismo nombre de red. Obtuve entre 10 y 20 Mbps de rendimiento entre sus adaptadores y los míos. Incluso separé mis adaptadores de línea eléctrica de mi enrutador y los conecté directamente a mi PC para ver qué tan grave era el sangrado. Pude acceder a su enrutador, ver videos en tiempo real y ver las computadoras en la red. También noté que también habían obtenido direcciones IP en mi enrutador. Desde entonces he habilitado la seguridad.

Me doy cuenta de que esto no es lo que estás preguntando, pero es lo suficientemente importante como para que decidiera escribirlo de todos modos: Si la seguridad es importante para usted, entonces, como norma, debe asumir que TODAS las redes son inseguras. (porque al final, todos lo son)

Muchos de los desastres de seguridad de red más costosos en TI provienen de la suposición de que "detrás del firewall" todo es seguro. Luego, cuando una influencia externa se filtra, como siempre sucede, se ejecuta desenfrenada y sin control. He sido testigo de que esto ha sucedido varias veces, trabajando para compañías que deberían haber conocido mejor, como IBM.

En lugar de confiar en un perímetro seguro, cada nodo debe ser su propia isla de seguridad, con la autenticación adecuada y las comprobaciones de permisos en cada paso del camino. Su sistema debe ser tan seguro en su entorno doméstico como lo es en Internet abierto. Obviamente, no desea exponer sus sistemas a más riesgos de los que tiene que hacerlo, pero eso también significa que no baja la guardia detrás del firewall.

También, para responder a su pregunta real: sí , estos sistemas son intrínsecamente inseguros, especialmente en un apartamento. En general, la señal no puede pasar de manera confiable más allá de su medidor de potencia porque el equipo instalado allí no es amigable para ese tipo de señal. Pero eso generalmente se expresa más como un "no espere que funcione cuando usted quiere" una especie de advertencia en lugar de una garantía de seguridad. Los informes de campo de los usuarios a menudo sugieren que pueden ver la red de otras personas si están lo suficientemente cerca físicamente.

Parece que los adaptadores Ethernet de línea eléctrica a menudo son, formalmente, un incumplimiento de su contrato con su proveedor de energía, porque las líneas eléctricas no se han diseñado y normalizado para ese tipo de uso. No tendrá problemas si tiene el tipo correcto de convertidor entre su casa y la línea de alimentación principal. Si el convertidor es antiguo, es posible que esté transmitiendo sus datos a todas las casas de la calle ...

Es probable que su convertidor esté bien y usted no transmita datos de esa manera. Sin embargo, está enviando señales de alta frecuencia a través de cables que no están protegidos para eso. Considere los relojes de alarma con radios FM: muchos usan su cable de alimentación como antena. Por lo tanto, los cables de alimentación deben ser hardware viable para captar señales de 100 MHz. Y 100baseT Ethernet tiene una señal base sincronizada a ... ¡100 MHz! Por lo tanto, el adaptador de línea eléctrica está enviando sus bytes de datos preciosos a una gran estructura de cables (todas las líneas eléctricas de la casa) que probablemente actúe como una gran antena. Este no puede ser difícil de recoger de forma remota.

Si los adaptadores son malos en criptografía, debería poder activarlo en las propias máquinas, a nivel del sistema operativo ( IPsec es compatible con muchos sistemas operativos, incluido Windows desde Windows 2000).

Hay mucha información de buenas prácticas de seguridad general en las otras respuestas, pero como acabo de investigar por mí mismo la implementación de la seguridad en la especificación HomePlug AV (utilizada por los dispositivos que mencionaste y muchos otros), Pensé que agregaría un poco de información más específica que aún no está cubierta.

Primero, no existe la transferencia de datos sin cifrar bajo la especificación AV de HomePlug (con algunas excepciones no relacionadas con la seguridad). Toda la transmisión de datos está asegurada con AES-128. ( Reference ) What el proceso de encriptación / seguridad / emparejamiento es configurar una nueva clave de red (referida en la especificación como NMK, Clave de membresía de red) para reemplazar la clave predeterminada con la que se envían los dispositivos. En otras palabras, fuera de la caja, sus comunicaciones están encriptadas , pero no privadas (ya que cualquier otro dispositivo podría conectarse utilizando la misma clave predeterminada). Entonces me parece extraño que vea una diferencia de rendimiento antes y después de pasar por el proceso de "cifrado" de los dispositivos.

Con esto en mente, la mayor preocupación de seguridad en una red de línea eléctrica parece ser cómo tener dos dispositivos de acuerdo en un NMK y cómo distribuirlo a nuevas estaciones que se unen a la red. La especificación admite algunos métodos para hacerlo, pero finalmente deja la implementación en manos de los fabricantes. El esquema común de emparejamiento con un solo botón en muchos de los equipos de red de línea eléctrica de consumo parece ser consistente con un procedimiento que utiliza un protocolo llamado UKE para transferir el NMK. UKE en sí mismo no es seguro. Sin embargo, las propiedades de la capa física de la especificación HomePlug AV dificultan que una estación escuche las comunicaciones entre otras dos estaciones. ( Referencia )

Algunos dispositivos vienen con un programa de utilidad que puede ejecutar para configurar algunas propiedades avanzadas, que pueden incluir la configuración manual de una contraseña de red (NPW). Esto es como una contraseña de Wifi ... es hash para producir un NMK. Si tiene esta opción y puede configurar manualmente el NPW en cada uno de sus dispositivos (y establecer un NPW adecuadamente sólido), entonces consideraría que es un sistema seguro . (vea la actualización a continuación) Si no puede, debe decidir qué tan probable es que alguien con el equipo y los conocimientos adecuados esté lo suficientemente cerca como para poder escuchar el intercambio de claves. cuando se empareja un nuevo dispositivo a la red. Si está realmente paranoico, podría intentar hacer el emparejamiento a través de una red eléctrica aislada (como un generador o un inversor en su automóvil) y luego mover los dispositivos a la red principal.

ACTUALIZACIÓN: rasca eso. Parece que hay una debilidad demostrada en una de las teclas utilizadas en HomePlug AV. En realidad, no es un defecto en el estándar en sí, sino en un método que muchos proveedores utilizan para implementarlo. Así que no todos los dispositivos están afectados, pero la lista parece bastante grande. ( Reference )

Los adaptadores PowerLAN son básicamente transceptores de onda corta con espectro de propagación de baja potencia que utilizan su cable de alimentación como sistema de antena. Con receptores sensibles puedes escuchar su "ruido" a más de cuatro kilómetros de distancia. En términos de seguridad, no asuma que su caja de fusibles detiene la señal completamente. La única forma de obtener algún tipo de seguridad es mediante el cifrado ... Por cierto, un gato sencillo. El cable 3 es mucho más barato, mucho más rápido y extremadamente seguro en comparación con una red PowerLAN ...

No estoy familiarizado con el producto de Zyxel, pero en general, la señal del PLC es básicamente una señal de radio y debe tratarse como tal. Es por esto que los adaptadores funcionan en diferentes fases en su casa.

Se necesitaría un equipo sofisticado y sensible para que la señal del PLC salga del aire, pero se puede hacer, y si alguien puede conectarse al sistema eléctrico de su hogar, ese proceso sería más fácil.

Los transformadores bloquean la señal del PLC, por lo que no tiene que preocuparse por que viaje por la línea hacia sus vecinos.

Yo diría que estaría pensando en ser tan seguro como un cable Ethernet estándar. Eso es lo que WEP originalmente representaba, Wired Equivalency Protocol, de modo que lo que decía era que la seguridad es tan buena como la de un cable (que requiere que alguien se conecte físicamente para obtener su señal). Si bien ese fue el BS total en cuanto a la tecnología inalámbrica ... el concepto aquí debería coincidir bastante bien. IE ... a menos que alguien esté conectado físicamente a su sistema eléctrico cerrado, entonces estará seguro de que no necesita cifrado.