Frage:
Verhindern von Ethernet über Strom
phil
2015-08-11 14:48:49 UTC
view on stackexchange narkive permalink

Ich bin Elektriker und arbeite an einem sicheren Ort. Der Client befürchtet, dass jemand eine Ethernet over Power (EOP) -Verbindung an den Switch anschließen und dann eine andere Verbindung im Gebäude herstellen könnte. Ist dies möglich und wenn ja, wie kann ich dies verhindern?

Der Raum ist mit einer dedizierten dreiphasigen Versorgung sicher und es gibt keine Stromkreise aus dem Raum.

Network Engineering Stack Exchange ist der richtige Ort für diese Frage
Was bedeutet "dedizierte 3-Phasen-Versorgung"? Hat der Raum einen eigenen Transformator? SPS können Transformatoren (AFAIK) nicht überbrücken.
@KagueiNakueka Es kann auch ein Problem für https://electronics.stackexchange.com sein, da es sich um ein Problem mit elektrischen Installationen handelt.
Ehrlich gesagt hängt dies sehr stark mit der physischen Sicherheit zusammen. Ich würde mich freuen, diese Frage hier auf Sec.se zu haben
FWIW, ich würde sagen, diese Frage hat definitiv einen soliden Sicherheitsaspekt, obwohl es möglicherweise keine perfekten Antworten gibt.
Hat Ihr Kunde ein Bedrohungsmodell? Es gibt einen großen Unterschied zwischen dem Versuch, Joe Schmoe davon abzuhalten, sich ein Standardwerkzeug zu schnappen, und dem Versuch von James Bond, Daten heimlich herauszuholen. Viele Dinge, die Joe Schmoe vor Kälte bewahren, lassen Bond nicht einmal beunruhigen. Viele Dinge, die Bond vereiteln sollen, sind zu teuer in Kauf, Wartung und Betrieb.
Ist Ihr Netzwerkraum durch dedizierte Ups geschützt? Möglicherweise werden bereits nicht benötigte Frequenzen gefiltert.
Wenn er sich solche Sorgen darüber macht, dass jemand auf sein Netzwerk zugreift, sollte er die Ports seiner Switches authentifizieren.
Obwohl dies definitiv eine interessante Frage ist, bin ich verwirrt: ** Warum kümmert es ihn **, wenn zufällige Personen im Gebäude ein Netzwerk aufbauen? Verwendet er Ethernet über Strom für sein Netzwerk?
@Lohoris Die Sorge ist, eine verstohlene Hintertür in den Serverraum über die Stromleitungen zu bauen.
@Lohoris Es kann verwendet werden, um Informationen aus einem sicheren Bereich an einen anderen Ort zu übertragen, an dem sie abgefangen werden können.
Unterbrechen sie auch WIFI und Mobilfunknetze? Was ist mit einem USB-Stick voller Daten? Wenn nicht, warum sollte ein Angreifer EOP verwenden, wenn einfachere Optionen verfügbar sind? Fühlt sich an wie ein roter Hering.
Ich stimme @Schwern: zu, es sei denn, er schützt auch vor WLAN und Mobilfunknetzen. Dies ist völlig sinnlos. USB-Sticks statt ganz anders, da es sich nicht um eine dauerhafte Verbindung handelt.
@Lohoris Einige der Kommentare zu den Antworten besagten, dass ein nicht autorisiertes WiFi-Netzwerk mit einem einfachen automatischen Scan erkannt werden kann, was wahr ist, während EOP möglicherweise unentdeckt bleibt. Mit EOP können Sie jedoch dasselbe tun, wenn Sie ein Scan-Gerät an die Schaltung anschließen.
@Schwern und keine dieser Methoden können gegen ein Mobilfunknetz verwendet werden…
Wenn ein Gegner innerhalb des gesicherten Bereichs eine nicht autorisierte Hardware mit Ihrem Netzwerk verbinden kann, ist dies bereits eine ziemlich bedeutende Sicherheitsverletzung. Der Versuch, alle möglichen Arten der Kommunikation dieses Geräts mit der Außenwelt aufzuzählen, könnte erfolglos sein. Folgendes kann ich mir vorstellen: Stromleitungen, WLAN, Mobilfunk, andere Funkkommunikation, Licht, Ultraschall, verdeckter Kanal über Ethernet, Sneakernet, oder es funktioniert einfach autonom und benötigt keine Kommunikation.
Sieben antworten:
Rory Alsop
2015-08-11 17:14:08 UTC
view on stackexchange narkive permalink

Dies ist relativ einfach, wenn die beiden Enden des Netzwerkpfads entweder:

  • In zwei verschiedenen Phasen der 3-Phasen-Versorgung des Gebäudes
  • Aus verschiedenen Stromversorgungsschränken

Es ist möglich, die vom Signal verwendeten Hochfrequenzkomponenten herauszufiltern, wobei nur die 50 (oder 60) Hz-Netzversorgung übrig bleibt - tatsächlich viel Strom Glättungskomponenten tun dies standardmäßig.

In diesem Fall wird es sehr einfach, da Sie eine dedizierte Phase haben. In Wirklichkeit kreuzt sehr wenig Signal zwischen den Phasen. Es könnte einige geben, aber es wird winzig sein. Filtern Sie diese Phase, und die Wahrscheinlichkeit, ein Signal auf einem der beiden anderen zu erhalten, ist effektiv Null. Siehe meine andere Antwort unter https://security.stackexchange.com/a/9728/485

Die umfassendere Lösung besteht jedoch darin, dies in einer Richtlinie oder einem Vertrag zu definieren nicht erlaubt, und dann Verstöße gegen Richtlinien aufspüren und alles Notwendige tun - dies kann Disziplinarmaßnahmen sein.

Was das Aufspüren von Verstößen betrifft - ist es möglich, das Stromnetz auf Verkehr zu überwachen, oder geht es mehr um das Beobachten von Personen und Verhaltensweisen?
+1 für den letzten Absatz. Es ist wahrscheinlich viel billiger, nur das Stromnetz auf Verkehr zu überwachen, als das gesamte Stromnetz so zu ändern, dass die Hochfrequenzkomponenten unterdrückt werden.
@steve (ich bin nicht sehr sachkundig) Sie können eine bestimmte Frequenz möglicherweise nicht genau bestimmen - "Ethernet Over Power" wäre einfacher, aber "Broadband Over Power" verwendet Frequenzsprung. Meiner Meinung nach ist ein Filter jedoch einfach und effektiv genug - im Wesentlichen eine etwas stärkere Version des Spike-Filters in Steckdosenleisten - und es könnte einen IC enthalten, der den Verdacht auf eine solche Aktivität meldet, wenn Sie sich die Mühe machen, das Ding zu kalibrieren.
Sie können sicher nach Verkehr suchen - wenn sie ihn sehen können, können Sie sicher sehen, dass Verkehr vorhanden ist (wahrscheinlich verschlüsselt, aber immer noch), oder Sie können im Raum nach einem Powerline-Gerät suchen und es entfernen und dann die Tür abschließen. .
vsz - nein, es ist sehr billig, hohe Frequenzen von Stromleitungen zu filtern. Tatsächlich sollte dies ein Teil der meisten Netzstromkreise sein - Glättung wird für Stromleitungen als „gute Sache“ angesehen.
Eine alternative, umfassendere Lösung ist die Verwendung der Netzwerkschichtverschlüsselung, wahrscheinlich IPSec. Nur autorisierte Systeme haben einen Schlüssel, daher ist es Ihnen egal, ob ein Schurke das Netzwerk erweitert.
@paj28 Sie sollten sich jedoch darum kümmern, ob einige nicht autorisierte Geräte angeschlossen sind, um legitime Geräte zu entführen, und dann das Powerline-Netzwerk verwenden, um * ihr * Netzwerk für einen einfacheren Remotezugriff zu erweitern. Ein Beispiel für eine Verwendung könnte eine WiFi-Ananas oder ein ähnliches Gerät sein, das tief in ein gut abgeschirmtes Gebäude gefallen ist - wo das Gerät WiFi oder Mobilfunkdaten nicht an seinen Besitzer von außen oder in der Nähe von außen zurücksenden kann. Alternativ könnte eine USB-Netzwerkkarte oder ein anderer sekundärer Adapter an ein "legitimes" System und dann an Powerline angeschlossen werden, um einen einfacheren Zugriff von einem anderen Raum oder von außen zu ermöglichen.
@RoryAlsop Es gibt einige Geräte / Software zur Überwachung und Identifizierung von unerwünschten WiFi-Geräten. Gibt es ähnliche für Powerline? Die Verfolgung des physischen Standorts ist möglicherweise nicht ganz so einfach wie bei WiFi (oder mehr oder weniger - ich weiß nicht), aber könnten Sie zumindest etwas angeschlossen lassen, das auf das Vorhandensein eines Schurkensignals aufmerksam machen könnte? Vielleicht sogar Gerätekennungen wie MAC-Adressen und Netzwerk-IDs erfassen?
Ich kenne eigentlich keine und obwohl ich sie vielleicht gerade verpasst habe, ist dies ein Interessensgebiet für mich, also schätze ich, dass es einfach keine Nachfrage gibt.
Ich habe gerade einen Test mit ein paar devolo dLAN 85 Mbit / s Ethernet over Power-Geräten durchgeführt. Sie hatten kein Problem miteinander zu kommunizieren, selbst wenn sie sich in zwei verschiedenen Phasen befanden. Und einer von ihnen führte sogar drei Verlängerungskabel aus der Steckdose.
@kasperd - wie sind Sie zu zwei verschiedenen Phasen gekommen?
@paj28 Die Steckdosen in meinem Haus sind gleichmäßig auf drei verschiedene Leistungsschalter verteilt, wobei in jeder Phase ein Leistungsschalter vorhanden ist. Das ist in Dänemark ziemlich normal. Es ist leicht zu erkennen, ob sich zwei Steckdosen in unterschiedlichen Phasen befinden, indem die Spannung zwischen den Phasen gemessen wird.
@kasperd: daher teilen sich 2 Stecker auf 2 verschiedenen Schaltkreisen eine Phase (φ₁ - φ₂, φ₂ - φ₃, φ₃ - φ₁). Sie sind… eingesteckt :).
feik
2015-08-11 19:51:55 UTC
view on stackexchange narkive permalink

Ich bin ein Elektrotechniker mit einem starken Hintergrund in Computer und IT. Dies ist keine völlig unvernünftige Angst, aber wahrscheinlich unwahrscheinlich, da Sie einen umfassenden physischen Zugang benötigen würden, um dies zu erreichen. Wie bereits erwähnt, kann die Netzleitung nicht über Transformatoren verlaufen. Idealerweise sollten Sie einen Transformator im sicheren Raum haben, der verhindert, dass unerwünschte Netzwerksignale den Raum verlassen. Wenn 480V-3ph in den Raum kommen, haben Sie bereits einen Abwärtstransformator. Andernfalls sollten Sie an jeder Stelle, an der der Stromkreis in den Raum eintritt, einen 1: 1-Transformator oder möglicherweise einen 1: 1-Transformator für jede Phase installieren, um zu verhindern, dass Signale den Raum verlassen. Ein Leitungsfilter könnte auch verwendet werden, um die Hochfrequenznetzwerksignale herauszufiltern. Ich habe keinen Hochleistungsfilter für einen gesamten Feeder gesehen, aber das bedeutet nicht, dass er nicht existiert.

Ein 1: 1 Transformator? Werden sie so verkauft? Gibt es einen anderen Namen für sie?
Zwei Worte für jeden, der die Insider-Bedrohung herunterspielt: "Edward Snowden".
@Iszi: Ist es wirklich angemessen, auf einer Website, die sich der Informationssicherheit widmet, hässliche Begriffe wie "Insider-Bedrohung" zu verwenden, um einen Whistleblower zu beschmieren, der schwerwiegende, weit verbreitete Verstöße gegen die Informationssicherheit aufgedeckt hat?
@MasonWheeler Es ist überhaupt kein Abstrich. Er war ein autorisierter Systemadministrator, der über seine Autorität hinaus riesige Datenmengen gestohlen und offengelegt hat - genau die Definition einer "Insider-Bedrohung", unabhängig vom Ergebnis seiner Handlungen oder der Art seiner Absichten. Es ist eine einfache Tatsache, die für die vorliegende Diskussion relevant ist. Welche Charakterbewertungen aufgrund seiner Handlungen vorgenommen werden können, ist für die Wahrheit dieser Tatsache irrelevant und auch für diese Diskussion nicht von Interesse.
@StackzOfZtuff Ja, 1: 1-Transformatoren (Eins-zu-Eins) sind da draußen, aber nicht allzu häufig. Sie werden hauptsächlich verwendet, um verrauschte Leistungselektronik zu filtern oder einer Schaltung Induktivität hinzuzufügen. Ein üblicher Typ eines 1: 1-Transformators ist ein Trenntransformator. Wir haben diese ständig in Hochspannungs-HF-Umgebungen verwendet. Sie filtern das Rauschen und verhindern, dass Hochspannungskurzschlüsse über den Stromkreis und / oder die Erdungskabel laufen, daher der Name Isolation xfmr.
@bkief 1:1-Transformatoren werden ziemlich oft verwendet, jedoch für andere Zwecke, nämlich die galvanische Trennung.
Bei ebay finden Sie viele preiswerte (gebrauchte) Trenntransformatoren. Sie sind * extrem * häufig für medizinische Geräte und werden oft durch die Geräte ersetzt, obwohl dies nicht erforderlich ist.
Verlassen Sie sich nicht auf einen Isolationstransformator, um HF über Stromleitungen zu blockieren. Ich betreibe ein Heimnetzwerk über zwei Abschnitte meiner 240-V-Versorgungsleitung und es funktioniert recht gut. Ich erhalte ungefähr 25 MBit (mit Adaptern, die für 100 MBit ausgelegt sind). Ich weiß nicht, ob das Signal durch meine Serviceeinspeisung und durch den Transformator des Energieversorgungsunternehmens oder durch induktive Kopplung von Drähten in meinen Wänden geleitet wird, aber es funktioniert.
@Johnny Ich nehme Ihr Wort dafür, dass Sie entgegengesetzte Abschnitte Ihres 240-V-Split-Phase-Dienstes verwenden und ein Netzwerk-Setup erhalten, aber ein Split-Phase-Transformator hat ein anderes Design als ein Isolationstransformator, wodurch es für ein Signal viel wahrscheinlicher ist über die beiden gespaltenen Beine gehen. Ich bezweifle jedoch sehr, dass sich auf der hohen Seite des Transformators ein Signal befindet. Ich habe gesehen, dass Trenntransformatoren HF-Rauschen in Stromkabeln hervorragend blockieren.
@bkief - Ich habe bestätigt, dass es sich um gegenüberliegende Beine handelt. Die Leistungsschalter, die die Auslässe steuern, befinden sich in gegenüberliegenden Bussen auf der Schalttafel. Ich bin skeptisch, dass das Signal wirklich den ganzen Weg nach draußen durch den Serviceeingang bis zum und durch den Transformator an der Stange und zurück zum anderen Bein fließt. Es ist wahrscheinlicher, dass die Leitungen gekoppelt sind, da sie nebeneinander an der vorbei verlaufen Service-Panel, was bedeutet, dass selbst ein perfekter Trenntransformator nicht hilft, wenn die Drähte aus verschiedenen Phasen nebeneinander verlaufen.
Ich höre, dass 1: 1-Netztransformatoren, auch Isolationstransformatoren genannt, häufig für medizinische Geräte verwendet werden, die an das Stromnetz angeschlossen sind. Es ist möglicherweise einfacher, die Art von Transformatoren zu finden, mit denen Reisende nordamerikanische Geräte an 2: 1-Netztransformatoren anschließen, die an europäische Wände angeschlossen sind, und europäische Geräte an 1: 2-Netztransformatoren anschließen, die an nordamerikanische Wände angeschlossen sind. Durch Anschließen eines 1: 2-Transformators an einen 2: 1-Transformator entsteht ein kombiniertes Gerät, das effektiv ein 1: 1-Netztransformator ist.
Aron
2015-08-12 09:18:30 UTC
view on stackexchange narkive permalink

Der einfachste Weg, um dieses "Problem" zu lösen, besteht darin, zu vermeiden, dass in sensiblen Bereichen direkte Netzspannung anliegt.

Ich gehe zunächst davon aus, dass Ihr Rechenzentrum über einen vollständigen Faradayschen Käfig in der gesamten Einrichtung verfügt gegeben und Ihre Mitarbeiter tragen alle Zinnfolienhüte, wenn Sie an den Servern arbeiten. Da es wohl einfacher ist, einen einzelnen Wifi-AP in Ihrem Netzwerk zu installieren, als zwei separate HomePlugs in Ihrem Gebäude.

Nun zurück zur Antwort. Alles, was Sie wirklich tun müssen, ist, den gesamten Serverraum über eine AC-DC-AC-Brücke vom Stromnetz zu trennen. Das klingt vielleicht nach einer wahnsinnigen Ausgabe, aber wahrscheinlich haben Sie diese bereits. Viele USV-Designs basieren auf einer AC-DC-AC-Brücke, deren DC-Seite an eine Batteriebank angeschlossen ist.

"Alles, was Sie tun müssen, ist, alle USV-Geräte in einen abgeschirmten Raum zu bringen ( ohne Netzwerkzugriff) und verdrahten Sie dann Ihren Serverraum neu, um nur direkt mit der USV verbunden zu werden.

WLAN-Zugangspunkte sind laut und erkennbar, EoP ist leise und verstohlen
-1 für den zweiten Absatz. Jeder Angreifer, der versucht, Daten aus einer sicheren Einrichtung abzurufen, benötigt einen Übertragungspfad. Wechselstromleitungen sind seit Jahrzehnten ein gängiger Weg, dies zu tun (selbst damals, als es sich normalerweise nur um analoges Audio von einem verdeckten Mikrofon handelte). Außerdem überwachen sichere Installationen normalerweise Rouge-Wi-Fi-APs (häufig nur Wi-). Fi-APs, da die meisten Hochsicherheitsumgebungen Wi-Fi vollständig verbieten.)
armb
2015-08-12 15:57:48 UTC
view on stackexchange narkive permalink

Ein etwas anderer Ansatz: Durchsuchen Sie jeden, der den Raum betritt, nach Netzwerkgeräten und lassen Sie diese nicht zu. Speichergeräte, Kameras und andere Methoden zum Kopieren von Informationen müssen aus dem Raum entfernt werden.

Natürlich können Sie dies mit Filtern auf der Stromleitung kombinieren, aber wenn es jemandem möglich ist, die Maschinen im Raum mit einem nicht autorisierten Netzwerk zu verbinden, und dies ein Problem ist, kann es ebenso ein Problem sein, wenn sie ein vernetztes Laufwerk und ein Netzwerk mit sich führen geh später damit raus. (Oder stecken Sie einfach ein USB-Laufwerk ein, aber Sie können die USB-Anschlüsse physisch blockieren. Wenn die Computer im Inneren kein Netzwerk benötigen, können Sie natürlich auch deren Netzwerkanschlüsse blockieren.)

Andererseits Offensichtlich ist es teuer. Aber in dem einzigen isolierten Serverraum in Faraday, dem ich begegnet bin, war ein Wachmann an der Tür.

(Natürlich wird auch davon ausgegangen, dass autorisierte Benutzer des Raums diese Art der Behandlung tolerieren.)
Oder beides. Mehrschichtige Sicherheit ist eine gute Sache.
Deshalb habe ich gesagt "Natürlich können Sie dies mit Filtern auf der Stromleitung kombinieren" :-)
Und Kameras? Die letzte Firma, bei der ich gearbeitet habe, hatte einen sicheren Serverraum mit vollständiger Kameraabdeckung. Scheint so, kombiniert mit einer physischen Überprüfung, würde eine Menge mildern. Das Problem ist, dass das OP nie wirklich definiert hat, wie sicher diese Umgebung sein muss. Wie bereits auf anderen Postern erwähnt, ist dieses Sicherheitsniveau für Benutzer möglicherweise unerträglich. Andererseits würde ich so etwas erwarten, wenn ich im Weißen Haus arbeiten würde.
Obwohl Sie dann das Problem haben, dass jeder, der einen Live-Feed von den Kameras überwacht, gelöscht werden muss, um alles zu sehen, was sichtbar werden könnte, und der Feed ist eine andere Sache, die die Raumgrenze durchdringt, um sich Sorgen zu machen . Aufnahmekameras, bei denen die Aufnahme im Raum (oder an einem anderen sicheren Ort) angezeigt werden kann, wenn etwas später überprüft werden muss, sind eine weitere Option, helfen aber zu diesem Zeitpunkt nicht. Wenn es wirklich so sicher sein muss, darf das OP wahrscheinlich keine Details angeben.
(Kameras überwachen nur die Tür, damit Sie überprüfen können, wer sie möglicherweise verlassen hat, wenn später etwas Unerwünschtes gefunden wird. Dies ist jedoch viel billiger als ein Wachmann. Es sei denn, Tom Cruise baumelt an Ihren Lüftungsschlitzen, um Tür und Kameras auszuweichen.)
reirab
2015-08-13 03:03:16 UTC
view on stackexchange narkive permalink

Ist es möglich?

Ist es möglich, Informationen über A / C-Stromleitungen zu übertragen? Sicher. Verdeckte Überwachungsangreifer machen seit Jahrzehnten verschiedene Versionen davon (lange bevor Ethernet over Power auf den Markt kam).

Ein verdeckter Überwachungsangreifer (dh ein Spion) benötigt drei Dinge, um Informationen aus einer sicheren Einrichtung zu erhalten:

    Etwas zum Sammeln der Daten (z. B. ein Mikrofon für Audio, eine Kamera für Video oder eine Verbindung zum LAN in dem vom OP erwähnten Fall einer nicht autorisierten Verbindung zu einem sicheren Netzwerk.)

  1. Ein Übertragungsweg, der aus dem überwachten Bereich herausführt. Dies ist in diesem Fall Ihre Wechselstromleitung. Andere gängige Beispiele sind HF-Sendungen (von einem FM-Radiosender über einen Wi-Fi-AP oder eine Station bis hin zu Bluetooth) sowie Frequenzsprung- und / oder Spreizspektrumsender, die zur Vermeidung von Erkennung entwickelt wurden ,) Telefonleitungen, Ethernet-Leitungen, Laser, IR-Strahler, moduliertes sichtbares Licht, Rohre oder sogar die Stahlträger in Ihrem Gebäude. Beachten Sie, dass die letzteren Fälle in einigen Fällen als Leiter verwendet werden können, sie können jedoch auch direkt zur Übertragung von Audio über Druckwellen verwendet werden. Ein Stahlträger, der durch einen sicheren Raum verläuft, ermöglicht es jedem, der auf diesen Träger zugreifen kann, beispielsweise alles zu hören, was im Raum vor sich geht.

  2. Zugriff auf das andere Ende

    3. ol>

    Was tun?

    Die vorherigen Vorschläge zur Installation von Filtern oder Trenntransformatoren in den Leitungen sind gute Ideen, aber Sie müssen sicherstellen, dass die Isolation ausreichend ist und dass Sie für jeden sicheren Raum eine solche Isolation haben.

    Eine andere Möglichkeit wäre, absichtlich viel Breitband-HF-Rauschen in die Leitungen einzufügen, insbesondere wenn dies der Fall ist bestimmte Frequenzen, um die Sie sich Sorgen machen, z. B. die für Ethernet over Power verwendeten.

    Es wäre auch ratsam, die Leitungen auf HF-Frequenzen zu überwachen (die auf Stromversorgungsleitungen offensichtlich nicht vorhanden sein sollten). Dies kann durch Überprüfen der Leitungen mit einem HF-Spektrumanalysator mit einer A / C-Stromleitung erfolgen Sonde. Mehrere Unternehmen, die sich auf Gegenüberwachung spezialisiert haben, stellen diese und viele weitere Unternehmen her, die elektronische Testgeräte für Elektrotechniker herstellen. Außerdem stellen sie Spektrumanalysatoren her, an die eine solche Sonde angeschlossen werden kann.

    Mit einem Spektrumanalysator können Sie Sehen Sie eine Spitze bei den Frequenzen, die vom verdeckten Sender verwendet werden. Sie sehen auch andere Signale auf dem Kabel, wie z. B. Geräusche, die von großen Elektromotoren erzeugt werden. Wenn Sie etwas sehen, das wie eine absichtliche HF-Übertragung auf einer Wechselstromleitung aussieht, ist dies ein großes Problem, und wer auch immer die Überwachung durchführt, muss es aufspüren.

    Offenlegung: Ich bin eine Software Ingenieur bei einem Unternehmen, das Produkte zur Gegenüberwachung herstellt, einschließlich HF-Spektrumanalysatoren.

Die Idee, absichtlich Rauschen einzufügen, ist besonders in Kombination mit der anderen Idee eines Transformators sinnvoll. Fügen Sie das Rauschen in den äußeren Stromkreis ein. Jeder Fehler im Inneren würde vor dem Filtern ein außergewöhnlich starkes Signal benötigen, um das Rauschen nach dem Filtern zu überwinden.
guest
2015-08-13 07:09:33 UTC
view on stackexchange narkive permalink

Wenn er den Switch mit der EOP-Verbindung überbrücken kann, kann er die Informationen auch direkt auf ein Flash-Laufwerk herunterladen. Darüber würde ich mir mehr Sorgen machen. Es gibt sogar SD-Karten mit integrierter WLAN-Funktion.

Oder er kann einfach einen beliebigen WLAN-Router hinzufügen. Dies könnte sogar auf einer nicht standardmäßigen Frequenz liegen (wie der ProxyHam, der kürzlich in den Nachrichten war). Die Frequenz kann von langwellig (die ohne Probleme durch einen Faradayschen Käfig gehen und eine wirklich ausgefeilte magnetische Abschirmung erfordern würden), kurzwellig bis leicht (Infrarot) reichen. Drahtlose Module sind sehr billig und einfach einzurichten.

Beachten Sie auch, dass Ethernet über Strom aufgrund von Design-Kompromissen (der hohen Datenrate) eine sehr begrenzte Reichweite hat. Wenn jemand mit Elektronikkenntnissen andere Kompromisse eingeht, kann der Bereich viel größer sein.

Ein typisches SPS-Modul hat eine Ausgangsleistung von 10 W. Mit dieser Art von Strom ist es möglich und sehr einfach, eine drahtlose Verbindung auf der ganzen Welt einzurichten (auf Kosten der Datenrate).

Hier ist einer, der eine Verbindung über 20000 km nur mit nur einer Verbindung herstellt 5 W Leistung ( http://www.ft817.eu/qrp-long-path-qso-to-australia-5-watts-with-yaesu-ft-817/)

Eine AC / DC / AC-USV kann nicht garantieren, dass sie Hochfrequenzkomponenten herausfiltert.

Selbst wenn die USV die Frequenzen filtert, kann ein Übersprechen zwischen den Eingangs- und Ausgangskabeln die sichere und öffentliche Verbindung herstellen Seiten.

Die Ausbreitung elektromagnetischer Wellen ist in der Praxis sehr schwer vorherzusagen. Sie könnten sich einen Spektrumanalysator zulegen und nachweisen, dass sich nichts an Ihrer USV vorbei ausbreitet (eigentlich ist es nicht so einfach, da das Signal unter dem Grundrauschen liegen könnte), aber wenn jemand elektrische Kabel einsteckt, die an nichts angeschlossen sind, kann er die Systeme überbrücken durch kapazitive Kopplung.

Wenn Ihr Kunde wirklich gegen einen Schurkensender (der eine SPS oder etwas oben Beschriebenes sein könnte) geschützt werden muss, muss er einen vollständig abgeschirmten Raum mit einem direkt eingebauten Filter haben Das Schild.

https://en.wikipedia.org/wiki/Tempest_%28codename%29

Wenn dies nicht erforderlich ist, keine offenen Netzwerkports und Vorhängeschlösser und Manipulationen Offensichtliche Siegel auf dem Gerät könnten eine billige Lösung sein.

Bearbeiten:

Ich habe nicht den Ruf, die Antworten zu kommentieren, die einen Spektrumanalysator empfehlen: Ich stimme diesen zu, aber Ich möchte hinzufügen, dass es aus drei Gründen nicht einfach ist, ein geheimes Signal auf einem Spektrumanalysator zu finden:

  • Sie betrachten ein enormes Frequenzband. Dieses Band wird viele tausend Frequenzen von Radiosendern, Schaltnetzteilen, Monitoren und bald haben. Jede Emission wird aufgrund von Intermodulationseffekten als mehrere Peaks auf dem Spektrumanalysator angezeigt. Wenn Sie auf das Display schauen, sehen Sie Zehntausende von Peaks, und jeder einzelne könnte die Informationen ausführen. Sie müssen jeden einzelnen von ihnen eindeutig identifizieren. Dies wird nicht durch die Tatsache erleichtert, dass legitime Radiosender ständig kommen und gehen, Schaltnetzteile die Frequenz aufgrund unterschiedlicher Lasten ändern usw. Selbst wenn Sie einen Spitzenwert sehen, haben Sie keine Ahnung, ob er geheime Informationen enthält. Ein LCD-Bildschirm erzeugt beispielsweise etwas, das wie harmloses Rauschen aussieht, aber tatsächlich alles enthält, was auf dem Bildschirm angezeigt wird.

  • Eine heimliche Emission kann im Grundrauschen verborgen sein. Wenn der Angreifer nur eine kleine Datenmenge (ca. 1 KBit / s) entfernen möchte, ist das Signal möglicherweise nicht zu finden.

  • Der Angreifer kann immer einen Timer verwenden Nur nachts zu senden, wenn Sie nicht auf Ihren Spektrumanalysator schauen.

tl; dr: Es ist unmöglich, ein Signal auf geheimen Informationsgehalt zu überprüfen. Der einzige Weg ist zu:

  • Bauen Sie Ihren Faradayschen Käfig mit allen Filtern in der Wand, aber lassen Sie die Ausrüstung nicht laufen.

  • Verwenden Sie einen empfindlichen Spektrumanalysator, um festzustellen, ob Sie in Ihrem Käfig Funkemissionen empfangen können. (Keine einfache Messung)

  • Legen Sie ein sehr starkes Signal an Ihre Stromleitungen an und prüfen Sie, ob es sich durch die Filter ausbreitet.

  • Denken Sie immer daran, dass es einen Kompromiss zwischen SNR / gibt. Bandbreite und Informationsrate. Ein hoch entwickelter Angreifer kann immer in jedes Schild eindringen. Sie können lediglich die Bandbreite seines Kanals mit einer besseren Filterrate reduzieren.

Mit der Signalverarbeitung ist es möglich, Schläge zu erkennen Herz in einem eingestürzten Gebäude (entwickelt, um nach Erdbebenopfern zu suchen). Wie verhindern Sie, dass der Angreifer durch mechanische Vibrationen Signale auslöst? Änderungen des Luftdrucks? Änderungen im Stromverbrauch der Geräte? Ein intelligenter Stromzähler kann erkennen, welches Fernsehprogramm Sie gerade ansehen. Um dies zu vermeiden, benötigen Sie einen Generator in Ihrem sicheren Bereich (und lassen ihn immer mit konstanter Leistung laufen).

Eine bessere Lösung besteht darin, Netzwerkports zu deaktivieren und Steckdosen zu sperren. Haben Sie eine für die Reinigungskräfte und eine für Servicetechniker und setzen Sie ein Vorhängeschloss auf, wenn sie fertig sind. Sie können alle Arten von Geräten finden, die nach den Schlüsselwörtern Logout / Tagout suchen.

[Ich arbeite nicht in der Computersicherheit, beschäftige mich jedoch mit elektromagnetischen Störungen und Funkkommunikation. Ich weiß, wie schwierig es ist, unerwünschte Signale abzuschirmen. Meine Empfehlung ist, eine Analyse der Bedrohungen durchzuführen (Schutz vor böswilligem Datendiebstahl durch einen geschulten Gegner mit geeigneten Ressourcen, Schutz vor Dummheit) und dann zu sehen, womit Sie leben können.

Es macht keinen Sinn, sie zu verwenden Ein abgeschirmter Raum, in dem jemand, der unbeaufsichtigt ist, die Daten auf ein Flash-Laufwerk kopieren kann.

Wenn der Schutz vor böswilliger HF-Übertragung wirklich ein Problem darstellt, müssen Sie einen Experten auf diesem Gebiet hinzuziehen und dies wahrscheinlich tun Schwere Konstruktion zur Abschirmung, Schaffung eines sicheren Bereichs um Ihren Faradayschen Käfig usw.]

Josef says Reinstate Monica
2015-08-12 21:25:32 UTC
view on stackexchange narkive permalink

Ethernet over Power ist nicht Ihr Problem.

Das Problem ist: Benutzer können Geräte an Ihren Switch anschließen und auf Ihr Netzwerk zugreifen! Es gibt Möglichkeiten, dies zu verhindern, und dies sollten Sie tun.

Was ist, wenn jemand einen Wifi-Zugangspunkt mit dem Switch verbindet und eine Verbindung zu diesem Netzwerk in einem anderen Raum im Gebäude herstellt?

Oder was ist, wenn jemand ein kleines UMTS / LTE verbindet Gateway zum Switch und stellt von überall auf dem Planeten ?

eine Verbindung zum Netzwerk her. Oder was ist, wenn jemand einfach ein Gerät installiert, das den Datenverkehr abfängt und speichert und dieses Gerät später abruft?

Es sollte niemand auf diesen sicheren Raum zugreifen können, und kein unbekanntes Gerät sollte nur eine Verbindung zum Netzwerk herstellen können.

WLAN-Zugangspunkte sind laut und erkennbar, EoP ist leise und verstohlen. Techniker benötigen Zugang zum sicheren Raum.
Sie könnten es beispielsweise nur verwenden, um Raumaudio oder Audio zu übertragen, das von einem Telefonhahn gesammelt wurde.
EoP erzeugt so viele Funkstörungen, dass es auch leicht erkennbar ist. Sie können aber auch GSM / UMTS verwenden, um Daten zu übertragen oder einfach im Raum zu speichern. Natürlich können Sie einen Weg finden, um EoP zu verhindern. Es wird einfach nichts an Ihrer Sicherheit in der Realität ändern! Wie gesagt, EoP ist nicht Ihr Problem. Fixieren Sie sich nicht auf dieses kleine Detail. Wenn Sie eine angemessene Sicherheitsstrategie haben und alle Grundlagen abgedeckt sind, DANN interessiert sich EoT möglicherweise, wenn es immer noch ein Problem ist (wahrscheinlich nicht). Wenn Sie eine Motorradtour durch die Wüste planen, würden Sie 15 Ersatzachsen nehmen, weil eine brechen könnte, bevor Sie genug Benzin nehmen?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...