我是在安全站点工作的电工。客户担心有人会把以太网供电(EOP)连接插入交换机,然后再连接建筑物的其他地方。这是可能的,如果可以的话,我该如何预防呢?

使用专用的三相电源保护房间的安全,并且没有电源电路延伸出房间。

评论

“专用三相电源”是什么意思?房间里有自己的变压器吗? PLC不能桥接变压器(AFAIK)。

老实说,这与物理安全性息息相关。我很高兴在Sec.se上有这个问题

您的客户有威胁模型吗?试图阻止Joe Schmoe抢购现成的工具与James Bond试图秘密地获取数据之间有很大的区别。许多阻止乔·施默(Joe Schmoe)感到寒冷的事情甚至都没有使邦德(Bond)感到困惑。许多旨在挫败邦德的东西在购买,维护和操作上都过于昂贵。

如果他担心有人侵入他的网络,则应该对交换机上的端口进行身份验证。

它们还会破坏WIFI和蜂窝网络吗?用充满数据的USB棒走出去怎么办?如果没有,为什么在提供更简单的选项时攻击者为什么会使用EOP?感觉像红鲱鱼。

#1 楼

如果网络路径的两端是以下任一,则这相对简单:

建筑物三相电源的两个不同相上
来自不同的电源柜

可以滤除信号使用的高频分量,仅留下50(或60)Hz主电源-实际上,许多电源平滑组件默认情况下会这样做。它既便宜又简单。
在这种情况下,因为您有一个专用阶段,所以变得非常容易。实际上,相位之间几乎没有信号交叉。可能有一些,但将是微不足道的。从任一相中滤除高频,将任何两个信号中的任何一个相吸的可能性实际上为零。请参阅https://security.stackexchange.com/a/9728/485
的其他答案,但是,更广泛的解决方案是在政策或合同中定义不允许这样做,然后追踪违反政策的情况并做任何必要的事情-这可能是纪律处分。信号检测相对容易,因为跳频信号在频谱分析中很明显-尽管大多数Powerline使用加密,但您可能无法识别流量。

#2 楼

我是一位在计算机和IT领域拥有深厚背景的电力工程师。这并不是完全不合理的恐惧,但由于您需要大量的物理访问来实现这一目标,因此可能不太可能。如前所述,电力线网络不能通过变压器。因此,理想情况下,您应该在安全的空间中安装一个变压器,以阻止任何恶意网络信号离开房间。如果您有480V-3ph进入房间,那么您将已经有一个降压变压器。否则,您应在电路进入房间的位置为每相安装一个1:1变压器,或可能每个相位安装1:1变压器,以防止任何信号离开房间。线路滤波器也可以用于滤除高频网络信号。我还没有看到用于整个馈线的高功率线路滤波器,但这并不意味着它不存在。

评论


对于低估内部威胁的人来说,有两个词:“爱德华·斯诺登”。

– Iszi
2015年8月11日15:25

@Iszi:在一个专门从事信息安全的网站上,使用“内部威胁”之类的丑陋术语来检举揭发严重,广泛侵犯信息安全行为的举报者,是否真的合适?

–梅森·惠勒
2015年8月11日15:31



@MasonWheeler根本不是拖影。他是一位授权的系统管理员,他擅自窃取和披露大量数据-这是“内部威胁”的定义,无论其行动的结果或意图的性质如何。这是一个简单的事实,与手头的讨论有关。根据他的行为可以进行哪些性格评估与该事实的真相无关,也不是本次讨论的兴趣所在。

– Iszi
2015年8月11日15:33



@StackzOfZtuff是的,那里有1:1(一对一)转换器,但并不太常见。它们主要用于过滤嘈杂的电力电子设备或为电路增加电感。 1:1变压器的常见类型是隔离变压器。我们一直在高压RF环境中使用这些设备,它们可以过滤噪声并防止高压短路沿着电路和/或接地线传播,因此被称为隔离xfmr。

–骗子
2015年8月11日15:40



@bkief 1:1变压器经常使用,但出于不同的目的,即电流隔离。

–rkosegi
15年8月11日在18:40

#3 楼

减轻这种“问题”的最简单方法也许是避免在敏感区域中直接使用主电源电压。

首先,我想假设您的数据中心在给定的整个设施周围都设有完整的法拉第笼。您的员工在服务器上工作时都戴锡纸帽子。与在建筑物中安装两个单独的HomePlug相比,在网络上安装单个Wifi AP可能更容易。

现在回到答案。您真正需要做的就是使用AC-DC-AC桥将整个服务器机房与电源隔离。这听起来像是一笔疯狂的费用,但您可能已经准备好了。许多UPS设计都是基于AC-DC-AC桥,并且DC侧连接到一组电池。

您要做的就是将所有UPS设备移至屏蔽室中。 (无法访问网络),然后重新连接服务器机房,使其仅直接连接到UPS。

评论


wifi接入点嘈杂且可检测,EoP安静且隐秘

– schroeder♦
15年8月12日在19:16

-1为第二段。任何试图从安全设施中获取数据的攻击者都需要一条传输路径。几十年来,AC线一直是他们使用交流线的一种常用方式(甚至可以追溯到通常只是来自隐秘麦克风的模拟音频。)而且,安全装置通常可以监视大量的Wi-Fi AP(通常都是Wi-Fi Fi AP,因为大多数高安全性环境完全禁止Wi-Fi。)

– reirab
15年8月12日在21:32

#4 楼

如果他可以通过EOP连接桥接交换机,则还可以直接将信息下载到闪存驱动器上。我会更担心这一点。甚至还有内置无线功能的SD卡。

他也可以添加任何类型的无线路由器。这甚至可能以非标准频率出现(例如最近新闻中的ProxyHam)。频率可能来自长波(可以毫无问题地穿过法拉第笼,并且需要非常精密的磁屏蔽),短波到光波(红外)。
无线模块非常便宜且易于安装。
/>
还要注意,由于设计上的折衷(高数据速率),以太网供电的范围非常有限。如果具有电子技能的人做出不同的权衡,则范围可能会更大。

典型的PLC模块具有10W的输出功率。有了这种功能,就可以并且非常容易地在全球范围内建立无线链接(以数据速率为代价)。

这里有一个人使用以下方法建立了20000公里的连接仅5W的功率(http://www.ft817.eu/qrp-long-path-qso-to-australia-5-watts-with-yaesu-ft-817/)

一个AC / DC / AC UPS无法保证会滤除高频分量。

即使UPS对频率进行滤波,输入和输出电缆之间的串扰也会使安全端和公共端耦合。 />
在实践中很难预测电磁波的传播。您可以使用频谱分析仪并证明没有任何东西传播通过UPS(实际上并不那么容易,因为信号可能低于本底噪声),但是当有人插入未连接任何东西的电缆时,他们可能会桥接系统通过电容耦合。

如果确实需要保护您的客户免受流氓变送器(可能是PLC或上述任何物品)的侵扰,则他需要拥有一个完全屏蔽的房间,并在屏蔽层中直接内置一个过滤器。

https://en.wikipedia.org/wiki/Tempest_%28codename%29

如果这不是必需的,则没有任何开放的网络端口和挂锁,并且篡改明显设备上的密封件可能是一种便宜的修理方法。

编辑:

我没有声誉来评论推荐频谱分析仪的答案:
我对此表示赞同,但还要补充一点,在频谱分析仪上找到秘密信号并不容易,原因有以下三个:


您正在查看一个巨大的频带。该频段将具有来自无线电台,开关电源,监视器等的数千个频率。由于互调效应,每次发射都会在频谱分析仪上显示为多个峰。看着显示屏,您会看到数以万计的峰,每个峰都可以执行这些信息。您将必须积极地确定其中的每一个。合法的无线电台会一直来来往往,开关模式电源会因负载不同而改变频率,这并没有使它变得更容易。
即使您看到一个峰值,也不知道它是否包含秘密信号信息。例如,LCD屏幕会产生看起来像无害的噪音,但实际上包含了屏幕上显示的所有内容。
秘密排放物可以隐藏在本底噪声中。如果攻击者只想取出少量数据(1kb / s左右),则可能找不到信号。
攻击者始终可以使用计时器仅在晚上发送信号,而当您不在时查看您的频谱分析仪。

dr:dr:不可能检查信号中的秘密信息含量。
唯一的方法是:


用墙壁上的所有过滤器就位建造法拉第笼,但不要运行设备。
使用灵敏的频谱分析仪查看笼子内部是否可以接收到任何无线电发射。 (不容易测量)
在电源线上施加非常强的信号,并查看信号是否通过滤波器传播。
请始终牢记,在SNR /带宽和信息速率方面要进行权衡。经验丰富的攻击者总是可以穿透任何盾牌,您所要做的就是以更好的过滤率降低信道带宽。

通过信号处理,可以检测倒塌建筑物中跳动的心脏(已开发)寻找地震受害者)。如何防止攻击者通过机械振动将信号移出?气压变化?设备功耗的变化?智能电表可以检测您正在观看的电视节目。为避免这种情况,您需要在安全区域内安装一个发电机(并始终以恒定功率运行它)。

更好的解决方案是禁用网络端口并锁定电源插座。清洁工一个,维修技术人员一个,完成后挂上锁。您可以找到各种设备来搜索关键字logout / tagout。

[我不在计算机安全领域工作,但我处理电磁干扰和无线电通信。我知道屏蔽不需要的信号有多困难。
我的建议是对威胁进行分析(由经过训练的对手使用适当的资源来防止恶意数据盗窃,防止愚蠢),然后看看您可以忍受什么。

它如果有人在没有监督的情况下可以进入并将数据复制到闪存驱动器,则使用屏蔽室毫无意义。

如果防止恶意RF传输确实是一个问题,那么您将必须拥有该领域的专家,并且可能需要进行繁重的工作才能进行屏蔽,在您的法拉第笼子周围创建安全区域等。]

#5 楼

一种略有不同的方法-搜索进入房间的任何人,禁止其进入网络设备,并从房间中删除存储设备,相机和其他复制信息的方式。

您可以将其与电源线上的滤波器结合使用,但是如果有人可以将房间内的机器连接到未经授权的网络,这是一个问题,那么,如果他们携带网络磁盘驱动器并走出去,则同样可能是一个问题。以后再说。 (或者只是插入USB驱动器,但实际上可以阻止USB端口。当然,如果其中的计算机不需要联网,也可以阻止其网络端口。)

另一方面手,显然很贵。但是在我遇到的唯一法拉第笼式隔离服务器房中,门上有一个警卫。

评论


(当然,它也假定/要求房间的授权用户可以接受这种治疗。)

– Armb
15年8月12日在11:01

或两者都做。分层安全性是一件好事。

– reirab
15年8月12日在21:34

这就是为什么我说“显然,您可以将其与电源线上的滤波器结合使用” :-)

– Armb
15年8月12日在21:37

还有相机?我工作的最后一家公司拥有一个安全的服务器机房,可覆盖所有摄像机。像这样,结合物理检查,可以减轻很多。问题在于,OP从未真正定义此环境需要如何安全。正如其他发布者所说,用户可能会发现这种安全级别是无法容忍的。再说一次,如果我在白宫工作,我会期望像这样的事情。

–里克·查塔姆
15年8月13日在19:54

尽管这样会带来一个问题,即如果对房间中的任何东西进行了分类,那么必须清除监视摄像机实时直播的任何人以查看可能可见的任何东西,而该直播又是穿透房间边界的另一件事了,您无需担心。如果以后需要查看某些内容,可以在房间内(或其他安全位置)查看记录的记录摄像机是另一种选择,但当时无济于事。如果确实需要这种安全措施,则可能不允许OP提供详细信息。

– Armb
15年8月14日在13:48

#6 楼

有可能吗?
可以通过空调电源线传输信息吗?当然。秘密监视攻击者数十年来一直在进行各种版本的更改(很早就通过Power over Ethernet出现了。)
秘密监视攻击者(即间谍)需要三件事才能从安全设施中获取信息:


用于收集数据的东西(例如,用于音频的麦克风,用于视频的摄像机,或在OP提到未经授权而连接到安全网络的情况下与LAN的连接。)


从监视区域引出的传输路径。在这种情况下,这是您的交流电源线,尽管其他常见示例包括广播RF(从FM无线电发射器到Wi-Fi AP或从电台到蓝牙,再到旨在避免检测的跳频和/或扩频发射器) ,)电话线,以太网线,激光器,红外发射器,调制的可见光,管道,甚至是建筑物中的钢制支撑梁。注意,后一种情况在某些情况下可以用作导体,但也可以直接用于通过压力波传输音频。穿过安全室的钢制支撑横梁将使任何能够访问该横梁的人都能听到房间中发生的一切。例如,


进入所述另一端传输路径。


该怎么办?
以前在线路上安装滤波器或隔离变压器的建议是不错的主意,但您需要确保隔离就足够了,对于每个安全房间都具有这种隔离。
另一种可能性是有意在线路上插入大量宽带RF噪声,尤其是在您担心特定频率的情况下,例如那些用于基于电源的以太网。
还建议监视线路的RF频率(显然不应出现在电源线路上。)这可以通过使用带有A / C电力线探头的RF频谱分析仪检查线路来完成。多家专门从事反监视的公司制造了这些,还有更多为电气工程师制造电子测试设备的公司也制造了可以连接这种探头的频谱分析仪。
通过频谱分析仪,您会看到一个峰值在秘密发射机使用的频率上。您还将在电线上看到其他任何信号,例如大型电动机产生的噪声。基本上,如果您看到任何看起来像是交流电源线上的有意RF传输的信号,这是一个主要问题,并且进行监视的任何人都将需要对其进行跟踪。
披露:我是某公司的软件工程师制造反监视产品(包括RF频谱分析仪)的公司。

评论


故意插入噪声的想法特别有意义,尤其是与变压器的其他想法结合使用时。将噪声插入外部电路。内部的任何错误在滤波之前都需要异常强的信号,以克服滤波后的噪声。

– MSalters
15年8月13日在8:58

#7 楼

以太网供电不是您的问题。

问题是:人们可以将设备连接到交换机并访问网络!
有多种方法可以防止这种情况,这是您应该做的。

否则,如果有人将Wifi接入点连接到交换机并连接到建筑物中另一个房间的此网络,又该怎么办?小型UMTS / LTE网关连接到交换机,并从地球上的任何地方连接到网络?或者如果有人只是安装了一种嗅探流量并存储该流量然后再取回该设备的设备,该怎么办?
/>
应该没有人可以进入这个安全的房间,并且没有未知的设备应该只能连接到网络。

评论


wifi接入点嘈杂且可检测,EoP安静且隐秘。技术人员需要进入安全室。

– schroeder♦
15年8月12日在19:18

例如,他们可能只是使用它来传输房间音频或从电话点击中收集的音频。

– reirab
2015年8月12日在21:33



EoP会产生大量无线电干扰,也很容易检测到。但是他们也可以使用GSM / UMTS传输数据或将其存储在房间中。当然,您可以找到防止EoP的方法。它实际上不会改变您的安全性!如我所说,EoP并不是您的问题。不要只关注这个小细节。如果您有适当的安全策略并且涵盖了所有基础,那么,如果这仍然是一个问题(可能不会),则可以考虑EoT。如果您计划在沙漠中进行摩托车游览,您会拿15个备用车轴,因为一个车轴可能在吸收足够的汽油之前会断裂?

–约瑟夫说恢复莫妮卡
15年8月13日在8:24