Могу ли я контролировать свою сеть на предмет мошеннической активности IoT-устройства?


36

Чтобы снизить риск компрометации некоторых устройств в моей домашней сети или нет, возможно ли осуществлять мониторинг сетевого трафика с целью обнаружения компрометации?

Я особенно заинтересован в решениях, которые не требуют, чтобы я был сетевым экспертом или инвестировал в что-то большее, чем дешевый одноплатный компьютер. Является ли эта функция практически интегрированной в брандмауэр маршрутизатора, или проблема слишком сложна, чтобы ее можно было найти, чтобы иметь простое и легкое в настройке решение?

Я не спрашиваю о Wireshark - я прошу автономную систему, которая может генерировать предупреждения о подозрительной активности. Кроме того, размышления больше сосредоточены на практической настройке для способного любителя, а не на надежном решении по качеству производства.

Приложение: я вижу, что сейчас есть проект кикстартер (акита), который, похоже, предлагает облачную аналитику, основанную на локальном прослушивании WiFi.



Как только безопасность станет серьезной проблемой, я уверен, что они изготовят межсетевые экраны IOT и IOT IPS, и весь ваш трафик IOT будет направляться через эти устройства, как и другая ИТ-инфраструктура, где вы можете внимательно следить за своей сетью IOT.
R__raki__

1
@Rakesh_K, этот вопрос как раз и противостоит изобретаемому типу устройства - я хотел бы описать известные методы, которые существуют сегодня.
Шон Хулихейн

1
Согласовано. Кроме того, в IoT используется на порядок больше протоколов, чем обрабатывается стандартным межсетевым экраном.
Mawg

1
На самом деле, это вообще вопрос IoT? Возможно security.stackexchange.com ?
Mawg

Ответы:


18

Это не простая тема. Обнаружение компромисса, как вы говорите, может происходить во многих формах и приводить к множественным результатам с точки зрения поведения системы или сети. Наблюдение за этим может потребовать знания различий между нормальным и подозрительным поведением системы и сети.

Для домашнего решения на сетевом уровне рекомендуется использовать (прозрачный) прокси-сервер или настраиваемый шлюз с несколькими сетевыми службами ( например , DHCP, DNS) и приложениями безопасности ( например , брандмауэр, IDS, прокси-серверы), которые могут помочь при ведении журнала. ( например , HTTP-прокси, DNS-запросы), усиление защиты ( например , фильтрация, внесение в черный список, внесение в белый список), мониторинг ( например , сетевой трафик) и оповещение на основе сигнатур. Основные инструменты для этого включают Bro, IPFire, pfSense и Snort.

См. Настройка прокси-сервера на моем домашнем маршрутизаторе, чтобы включить фильтрацию содержимого, для получения подробной информации о примерной настройке.


16

Это за тривиальным. Каждое несколько сложное IoT-устройство будет взаимодействовать через HTTPS, что не очень легко понять, о чем идет речь, даже если у вас есть не скомпрометированный интернет-шлюз в вашем маршрутизаторе.

К сожалению, вы не можете знать, с какими конечными точками устройство IoT должно общаться, а с какими нет. В то время как у большинства крупных поставщиков бытовой электроники есть свои выделенные магистрали, это не означает, что у устройств может не быть веских причин для общения с другими поставщиками информации (например, метеослужбами, сообществами кулинарных рецептов и т. Д.)

Все эти вещи, которые вы, возможно, не можете знать, и, что еще хуже, беспроводное обновление вашего IoT-устройства может полностью изменить это поведение. Если вы настроите свой собственный шлюз безопасности с критериями фильтрации черного или белого списков, вы можете серьезно затруднить работу вашего устройства. Например, вы, возможно, успешно определили каждый из обычных адресов в белый список, но вы никогда не получите обновления, потому что это редко используемые партнеры по общению.

Ответ: распознавание образов

Обнаружение того, что ваше устройство было взломано, обычно выполняется с помощью распознавания образов . Это не просто, но легко сказать, механизм распознавания образов на вашем шлюзе безопасности обнаружит радикально изменившееся поведение, если ваш тостер был взломан и начнет рассылать спам.


2
Это очень общий и вряд ли реалистичный вариант. Мониторинг и обнаружение, основанные на эвристическом или шаблонном анализе (при условии, что некоторые методы вычислительного интеллекта (CI)) в значительной степени зависят от имеющейся проблемы, и в основном эффективны только в точно настроенных средах.
Дфернан

2
@ Dfernan Это так. Но вопрос в том, могу ли я контролировать свое мошенническое устройство. Я бы сказал, что это нелегко сделать , это правильный ответ. Вопрос невероятно широкий, поскольку он нацелен на все устройства IoT, а не на конкретные. Таким образом, ответы должны быть несколько широкими.
Helmar

11

На данный момент сложность того, что вы хотите, выходит за рамки «дешевого одноплатного компьютера». Самое простое доступное решение - настроить что-то вроде SNORT, который является системой обнаружения вторжений. Первоначально, это предупредит вас обо всем, что происходит, и вы получите слишком много ложных срабатываний. Обучая его с течением времени (сам по себе ручной процесс), вы можете снизить его до разумного уровня оповещения, но в настоящее время на потребительском рынке не существует «предварительно консервированных» решений. Они либо требуют значительных вложений денег (корпоративные / коммерческие решения) или времени (решения DIY-класса с открытым исходным кодом), что может поставить рассматриваемое решение за пределы приемлемой сложности. Ваша лучшая ставка, честно говоря, будет что-то вроде SNORT - что-то "достаточно хорошее"


1
Думаю, это тот самый ответ, который я искал. Достаточно просто и достаточно хорошо - особенно если тренировка может быть направлена ​​на толпу.
Шон Хулихейн

1
Найти такой продукт / решение, похожее на единорога, будет сложно. Я использую SNORT в качестве примера, но он довольно сложен для обычного домашнего пользователя и может оказаться не совсем подходящим для вас. Мои ожидания несколько отличаются от ожиданий среднего Джо, так как я являюсь системным администратором Linux более 20 лет.
Джон

И все еще учусь Snort ;-) Это поразительно - но, в конечном счете, оно того стоит
Mawg

7

Инструмент NoDDosЯ занимаюсь разработкой, чтобы делать то, что вы просите. Прямо сейчас он может распознавать устройства IOT, сопоставляя их со списком известных профилей, он может собирать запросы DNS и потоки трафика каждого соответствующего устройства IOT и загружать его в облако для анализа шаблонов на основе больших наборов устройств. Следующим шагом является реализация списков ACL на домашнем шлюзе для ограничения потоков трафика для каждого устройства IOT. Инструмент предназначен для работы на домашних шлюзах. Текущая версия написана на Python и требует, чтобы вы запускали Python на OpenWRT HGW или устанавливали на Linux DIY роутер. В OpenWRT я пока не могу собрать информацию о потоках трафика, но на Linux DIY роутере я могу использовать ulogd2. Итак, прямо сейчас вам нужен простой маршрутизатор на основе Linux с обычным дистрибутивом Linux, чтобы полностью его запустить и запустить с потоками трафика, но как только мой порт на C ++ закончен,

Вы можете прочитать мой блог для получения дополнительной информации о том, как работает инструмент.


1
Я надеялся, что кто-нибудь придумает такой инструмент. Может ли он (теоретически) работать на подключенном к сети устройстве и просто отслеживать трафик? Кажется, SBD может быть проще, чем открытый маршрутизатор для многих людей.
Шон

NoDDos должен получить доступ к файлам журнала сервера DNS / DHCP dnsmasq и событиям отслеживания соединения iptables, сообщаемым ulogd2, для получения потоков трафика. Таким образом, Home Gateway или межсетевой экран - подходящее место для этого. Поскольку база данных кода и профиля устройства имеет открытый исходный код, возможно, кто знает, что в будущем поставщики HGW могут включить ее в свой продукт. В то же время мне нужно создать базу данных профиля, и для этого потребуются альфа-тестеры, чтобы опробовать этот инструмент на своих HGW и загрузить результаты.
Стивен

1

Короче говоря, для решения этой проблемы ведется разработка стандартов и продуктов. До этого есть несколько простых ответов, которые не требуют сетевых знаний.

Мое скромное предложение легко реализуемо и обеспечит вашу локальную сеть некоторой защитой (хотя это не защитит Интернет в целом), не зная ничего о сети, кроме как подключить и использовать беспроводной маршрутизатор.

Купите отдельный беспроводной маршрутизатор для вашей домашней сети и используйте его только для своих устройств IoT. Это усложнит для устройств IoT обнаружение и атаку других ваших устройств (таких как ПК, планшеты и смартфоны). Кроме того, он обеспечит вашим IoT некоторую защиту от скомпрометированных компьютерных устройств, которые могут у вас быть.

Это решение может кое-что сломать, но решение извращенно помогает в большинстве случаев нежелательная реальность, заключающаяся в том, что сегодня многие устройства Iot обеспечивают удаленную связь через облачную инфраструктуру, контролируемую производителем, что поможет вашим IOT-устройствам более безопасно взаимодействовать с вашими вычислительными устройствами, чем имея их в одной сети. Это также позволяет производителю собирать личную информацию о вас и предоставлять ее третьим лицам.


2
Я думаю, что это касается вопроса, а не ответа.
Шон

1
На самом деле, я думал, что некоторые другие ответы были тангенциальными. Аскер конкретно сказал, что хочет получить ответы «которые не требуют, чтобы я был специалистом по сетевым технологиям или инвестировал в что-то большее, чем дешевый одноплатный компьютер», или «Кроме того, он думает о том, чтобы сконцентрироваться на практических вопросах, а не на способных любителях». чем надежное решение по качеству производства. " - Я написал ответ, который, я думал, соответствовал этим условиям. В честь вашего комментария я удалил последний абзац, который, возможно, был излишним [т.е. RTFM].
Хью Бунту

Я спрашивал конкретно о мониторинге, а не о защите. Я думаю, что вы ответите лучше для одного из них: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 или iot.stackexchange.com/questions/9 (хотя последний имеет довольно много уже отвечает!)
Шон
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.