防止以太网供电

#1 楼

如果网络路径的两端是以下任一，则这相对简单：

建筑物三相电源的两个不同相上
来自不同的电源柜

可以滤除信号使用的高频分量，仅留下50（或60）Hz主电源-实际上，许多电源平滑组件默认情况下会这样做。它既便宜又简单。
在这种情况下，因为您有一个专用阶段，所以变得非常容易。实际上，相位之间几乎没有信号交叉。可能有一些，但将是微不足道的。从任一相中滤除高频，将任何两个信号中的任何一个相吸的可能性实际上为零。请参阅https://security.stackexchange.com/a/9728/485
的其他答案，但是，更广泛的解决方案是在政策或合同中定义不允许这样做，然后追踪违反政策的情况并做任何必要的事情-这可能是纪律处分。信号检测相对容易，因为跳频信号在频谱分析中很明显-尽管大多数Powerline使用加密，但您可能无法识别流量。

#2 楼

我是一位在计算机和IT领域拥有深厚背景的电力工程师。这并不是完全不合理的恐惧，但由于您需要大量的物理访问来实现这一目标，因此可能不太可能。如前所述，电力线网络不能通过变压器。因此，理想情况下，您应该在安全的空间中安装一个变压器，以阻止任何恶意网络信号离开房间。如果您有480V-3ph进入房间，那么您将已经有一个降压变压器。否则，您应在电路进入房间的位置为每相安装一个1：1变压器，或可能每个相位安装1：1变压器，以防止任何信号离开房间。线路滤波器也可以用于滤除高频网络信号。我还没有看到用于整个馈线的高功率线路滤波器，但这并不意味着它不存在。

#3 楼

减轻这种“问题”的最简单方法也许是避免在敏感区域中直接使用主电源电压。

首先，我想假设您的数据中心在给定的整个设施周围都设有完整的法拉第笼。您的员工在服务器上工作时都戴锡纸帽子。与在建筑物中安装两个单独的HomePlug相比，在网络上安装单个Wifi AP可能更容易。

现在回到答案。您真正需要做的就是使用AC-DC-AC桥将整个服务器机房与电源隔离。这听起来像是一笔疯狂的费用，但您可能已经准备好了。许多UPS设计都是基于AC-DC-AC桥，并且DC侧连接到一组电池。

您要做的就是将所有UPS设备移至屏蔽室中。 （无法访问网络），然后重新连接服务器机房，使其仅直接连接到UPS。

#4 楼

如果他可以通过EOP连接桥接交换机，则还可以直接将信息下载到闪存驱动器上。我会更担心这一点。甚至还有内置无线功能的SD卡。

他也可以添加任何类型的无线路由器。这甚至可能以非标准频率出现（例如最近新闻中的ProxyHam）。频率可能来自长波（可以毫无问题地穿过法拉第笼，并且需要非常精密的磁屏蔽），短波到光波（红外）。
无线模块非常便宜且易于安装。
/>
还要注意，由于设计上的折衷（高数据速率），以太网供电的范围非常有限。如果具有电子技能的人做出不同的权衡，则范围可能会更大。

典型的PLC模块具有10W的输出功率。有了这种功能，就可以并且非常容易地在全球范围内建立无线链接（以数据速率为代价）。

这里有一个人使用以下方法建立了20000公里的连接仅5W的功率（http://www.ft817.eu/qrp-long-path-qso-to-australia-5-watts-with-yaesu-ft-817/）

一个AC / DC / AC UPS无法保证会滤除高频分量。

即使UPS对频率进行滤波，输入和输出电缆之间的串扰也会使安全端和公共端耦合。 />
在实践中很难预测电磁波的传播。您可以使用频谱分析仪并证明没有任何东西传播通过UPS（实际上并不那么容易，因为信号可能低于本底噪声），但是当有人插入未连接任何东西的电缆时，他们可能会桥接系统通过电容耦合。

如果确实需要保护您的客户免受流氓变送器（可能是PLC或上述任何物品）的侵扰，则他需要拥有一个完全屏蔽的房间，并在屏蔽层中直接内置一个过滤器。

https://en.wikipedia.org/wiki/Tempest_%28codename%29

如果这不是必需的，则没有任何开放的网络端口和挂锁，并且篡改明显设备上的密封件可能是一种便宜的修理方法。

编辑：

我没有声誉来评论推荐频谱分析仪的答案：
我对此表示赞同，但还要补充一点，在频谱分析仪上找到秘密信号并不容易，原因有以下三个：


您正在查看一个巨大的频带。该频段将具有来自无线电台，开关电源，监视器等的数千个频率。由于互调效应，每次发射都会在频谱分析仪上显示为多个峰。看着显示屏，您会看到数以万计的峰，每个峰都可以执行这些信息。您将必须积极地确定其中的每一个。合法的无线电台会一直来来往往，开关模式电源会因负载不同而改变频率，这并没有使它变得更容易。
即使您看到一个峰值，也不知道它是否包含秘密信号信息。例如，LCD屏幕会产生看起来像无害的噪音，但实际上包含了屏幕上显示的所有内容。
秘密排放物可以隐藏在本底噪声中。如果攻击者只想取出少量数据（1kb / s左右），则可能找不到信号。
攻击者始终可以使用计时器仅在晚上发送信号，而当您不在时查看您的频谱分析仪。

dr：dr：不可能检查信号中的秘密信息含量。
唯一的方法是：


用墙壁上的所有过滤器就位建造法拉第笼，但不要运行设备。
使用灵敏的频谱分析仪查看笼子内部是否可以接收到任何无线电发射。 （不容易测量）
在电源线上施加非常强的信号，并查看信号是否通过滤波器传播。
请始终牢记，在SNR /带宽和信息速率方面要进行权衡。经验丰富的攻击者总是可以穿透任何盾牌，您所要做的就是以更好的过滤率降低信道带宽。

通过信号处理，可以检测倒塌建筑物中跳动的心脏（已开发）寻找地震受害者）。如何防止攻击者通过机械振动将信号移出？气压变化？设备功耗的变化？智能电表可以检测您正在观看的电视节目。为避免这种情况，您需要在安全区域内安装一个发电机（并始终以恒定功率运行它）。

更好的解决方案是禁用网络端口并锁定电源插座。清洁工一个，维修技术人员一个，完成后挂上锁。您可以找到各种设备来搜索关键字logout / tagout。

[我不在计算机安全领域工作，但我处理电磁干扰和无线电通信。我知道屏蔽不需要的信号有多困难。
我的建议是对威胁进行分析（由经过训练的对手使用适当的资源来防止恶意数据盗窃，防止愚蠢），然后看看您可以忍受什么。

它如果有人在没有监督的情况下可以进入并将数据复制到闪存驱动器，则使用屏蔽室毫无意义。

如果防止恶意RF传输确实是一个问题，那么您将必须拥有该领域的专家，并且可能需要进行繁重的工作才能进行屏蔽，在您的法拉第笼子周围创建安全区域等。]

#5 楼

一种略有不同的方法-搜索进入房间的任何人，禁止其进入网络设备，并从房间中删除存储设备，相机和其他复制信息的方式。

您可以将其与电源线上的滤波器结合使用，但是如果有人可以将房间内的机器连接到未经授权的网络，这是一个问题，那么，如果他们携带网络磁盘驱动器并走出去，则同样可能是一个问题。以后再说。 （或者只是插入USB驱动器，但实际上可以阻止USB端口。当然，如果其中的计算机不需要联网，也可以阻止其网络端口。）

另一方面手，显然很贵。但是在我遇到的唯一法拉第笼式隔离服务器房中，门上有一个警卫。

#6 楼

有可能吗？
可以通过空调电源线传输信息吗？当然。秘密监视攻击者数十年来一直在进行各种版本的更改（很早就通过Power over Ethernet出现了。）
秘密监视攻击者（即间谍）需要三件事才能从安全设施中获取信息：


用于收集数据的东西（例如，用于音频的麦克风，用于视频的摄像机，或在OP提到未经授权而连接到安全网络的情况下与LAN的连接。）


从监视区域引出的传输路径。在这种情况下，这是您的交流电源线，尽管其他常见示例包括广播RF（从FM无线电发射器到Wi-Fi AP或从电台到蓝牙，再到旨在避免检测的跳频和/或扩频发射器） ，）电话线，以太网线，激光器，红外发射器，调制的可见光，管道，甚至是建筑物中的钢制支撑梁。注意，后一种情况在某些情况下可以用作导体，但也可以直接用于通过压力波传输音频。穿过安全室的钢制支撑横梁将使任何能够访问该横梁的人都能听到房间中发生的一切。例如，


进入所述另一端传输路径。


该怎么办？
以前在线路上安装滤波器或隔离变压器的建议是不错的主意，但您需要确保隔离就足够了，对于每个安全房间都具有这种隔离。
另一种可能性是有意在线路上插入大量宽带RF噪声，尤其是在您担心特定频率的情况下，例如那些用于基于电源的以太网。
还建议监视线路的RF频率（显然不应出现在电源线路上。）这可以通过使用带有A / C电力线探头的RF频谱分析仪检查线路来完成。多家专门从事反监视的公司制造了这些，还有更多为电气工程师制造电子测试设备的公司也制造了可以连接这种探头的频谱分析仪。
通过频谱分析仪，您会看到一个峰值在秘密发射机使用的频率上。您还将在电线上看到其他任何信号，例如大型电动机产生的噪声。基本上，如果您看到任何看起来像是交流电源线上的有意RF传输的信号，这是一个主要问题，并且进行监视的任何人都将需要对其进行跟踪。
披露：我是某公司的软件工程师制造反监视产品（包括RF频谱分析仪）的公司。

#7 楼

以太网供电不是您的问题。

问题是：人们可以将设备连接到交换机并访问网络！
有多种方法可以防止这种情况，这是您应该做的。

否则，如果有人将Wifi接入点连接到交换机并连接到建筑物中另一个房间的此网络，又该怎么办？小型UMTS / LTE网关连接到交换机，并从地球上的任何地方连接到网络？或者如果有人只是安装了一种嗅探流量并存储该流量然后再取回该设备的设备，该怎么办？
/>
应该没有人可以进入这个安全的房间，并且没有未知的设备应该只能连接到网络。