Czy mogę monitorować moją sieć pod kątem nieuczciwych działań urządzeń IoT?

Czy w celu ograniczenia ryzyka związanego z narażeniem niektórych urządzeń w mojej sieci domowej możliwe jest monitorowanie ruchu sieciowego w celu wykrycia kompromisu?

Szczególnie interesują mnie rozwiązania, które nie wymagają ode mnie doświadczenia w pracy w sieci ani inwestowania w coś więcej niż tani komputer jednopłytkowy. Czy jest to funkcja, którą można praktycznie zintegrować z zaporą routera, czy też problem jest zbyt trudny do rozwiązania, aby mieć proste, łatwe do skonfigurowania rozwiązanie?

Nie pytam o Wireshark - proszę o samodzielny system, który może generować alerty o podejrzanej aktywności. Myślenie bardziej skupione na praktycznym ustawieniu dla zdolnego amatora, a nie na solidnym rozwiązaniu jakości produkcji.

addendum: Widzę, że istnieje teraz projekt kickstarter (akita), który wydaje się oferować oparte na chmurze analizy oparte na lokalnym wąchaniu Wi-Fi.

To nie jest prosty temat. Wykrywanie kompromisu, jak to ujmujesz, może się zdarzyć w wielu formach i skutkować wieloma skutkami pod względem zachowania systemu lub sieci. Obserwacja może wymagać znajomości różnicy między normalnym a podejrzanym pod względem zachowania systemu i sieci.

W przypadku rozwiązania domowego na poziomie sieci zalecaną opcją jest (przezroczysty) serwer proxy lub dostosowana brama z wieloma usługami sieciowymi ( tj. DHCP, DNS) i aplikacjami zabezpieczającymi ( np. Zapora ogniowa, systemy IDS, serwery proxy), które mogą pomóc w logowaniu ( np. proxy HTTP, zapytania DNS), hartowanie ( np. filtrowanie, czarna lista, biała lista), monitorowanie ( np. ruch sieciowy) i alarmowanie na podstawie podpisów. Główne narzędzia do tego to Bro, IPFire, pfSense i Snort.

Zobacz Konfigurowanie serwera proxy na moim routerze domowym, aby włączyć filtrowanie zawartości, aby uzyskać szczegółowe informacje na temat przykładowej konfiguracji.

To jest ponad trywialne. Każde nieco wyrafinowane urządzenie IoT komunikuje się za pośrednictwem HTTPS, dzięki czemu nie jest łatwo wiedzieć, o czym mówi, nawet jeśli w routerze masz niezakłóconą bramę internetową.

Niestety nie wiadomo, z którymi punktami końcowymi urządzenie IoT ma rozmawiać, a które nie. Podczas gdy większość dużych dostawców elektroniki użytkowej będzie mieć swoje dedykowane kręgosłupy, co nie oznacza, że ​​urządzenia mogą nie mieć dobrego powodu, aby rozmawiać z innymi dostawcami informacji (np. Usługi pogodowe, wspólnoty kulinarne itp.).

Wszystkie te rzeczy, których nie możesz znać, a co gorsza, bezprzewodowa aktualizacja urządzenia IoT może całkowicie zmienić to zachowanie. Jeśli skonfigurujesz własną bramę bezpieczeństwa z kryteriami filtrowania do czarnej listy lub białej listy, możesz poważnie zakłócić funkcjonalność urządzenia. Na przykład mógłbyś z powodzeniem określić każdy ze zwykłych adresów na białej liście, ale nigdy nie otrzymasz aktualizacji, ponieważ są to rzadko wykorzystywani partnerzy komunikacyjni.

Odpowiedź: Rozpoznawanie wzorców

Wykrywanie, że urządzenie zostało naruszone, odbywa się zwykle przez rozpoznawanie wzorców . To nie jest prosta sprawa, ale najprościej mówiąc, mechanizm rozpoznawania wzorców w bramie bezpieczeństwa wykryje drastycznie zmienione zachowanie, jeśli twój toster został zhakowany i zacznie wysyłać spam.

W tym momencie złożoność tego, co chcesz, wykracza poza poziomy „taniego komputera jednopłytkowego”. Najłatwiejszym dostępnym rozwiązaniem jest skonfigurowanie czegoś takiego jak SNORT, który jest systemem wykrywania włamań. Początkowo będzie Cię ostrzegać o wszystkim, co się dzieje, a otrzymasz zbyt wiele fałszywych trafień. Trenując go w miarę upływu czasu (sam proces ręczny), można go zmniejszyć do rozsądnego poziomu ostrzegania, ale obecnie na rynku konsumenckim nie ma dostępnych rozwiązań „wstępnie konserwowanych”. Wymagają albo znacznych inwestycji pieniędzy (rozwiązania korporacyjne / komercyjne), albo czasu (rozwiązania typu open source typu „zrób to sam”), z których każde spowodowałoby, że dane rozwiązanie nie byłoby możliwe do zaakceptowania. Twój najlepszy zakład to szczerze mówiąc coś w rodzaju SNORT - coś, co jest „wystarczająco dobre”

Narzędzie NoDDosRozwijam się, aby robić dokładnie to, o co prosisz. Obecnie może rozpoznawać urządzenia IOT, dopasowując je do listy znanych profili, może zbierać zapytania DNS i przepływy ruchu każdego dopasowanego urządzenia IOT i przesyłać je do chmury w celu analizy wzorców na podstawie dużych zestawów urządzeń. Następnym krokiem jest zaimplementowanie list kontroli dostępu w bramie domowej w celu ograniczenia przepływu ruchu na urządzenie IOT. Narzędzie jest przeznaczone do uruchamiania w Home Gateways. Bieżąca wersja jest napisana w języku Python, wymagającym uruchomienia Pythona na OpenWRT HGW lub instalacji na routerze Linux dla majsterkowiczów. W OpenWRT nie mogę jeszcze zbierać informacji o przepływach ruchu, ale na routerze Linux DIY mogę używać ulogd2. Tak więc teraz potrzebujesz prostego routera opartego na systemie Linux z regularną dystrybucją systemu Linux, aby w pełni uruchomić go z przepływami ruchu, ale gdy mój port do C ++ zostanie ukończony,

Możesz przeczytać mojego bloga, aby uzyskać więcej informacji na temat działania narzędzia.

Krótko mówiąc, w celu rozwiązania tego problemu trwają prace nad standaryzacją i rozwojem produktów. Do tego czasu istnieje kilka prostych odpowiedzi, które nie wymagają wiedzy na temat sieci.

Moja skromna sugestia jest łatwa do wdrożenia i zapewni twojej sieci lokalnej pewną ochronę (chociaż nie ochroni Internetu w ogóle), nie wiedząc nic o sieci oprócz tego, jak podłączyć i używać routera bezprzewodowego.

Kup oddzielny router bezprzewodowy dla sieci domowej i używaj go tylko do urządzeń IoT. Utrudni to urządzeniom IoT wykrywanie i atakowanie innych urządzeń (takich jak komputery PC, tablety i smartfony). Podobnie, zapewni to swoim IoT pewną ochronę przed zagrożonymi urządzeniami komputerowymi, które możesz mieć.

To rozwiązanie może zepsuć niektóre rzeczy, ale przewrotnie rozwiązuje je w większości niepożądana rzeczywistość, że obecnie wiele urządzeń Iot osiąga zdalną komunikację za pośrednictwem infrastruktury chmurowej kontrolowanej przez producenta, która pomoże Twoim Iotsom komunikować się z urządzeniami obliczeniowymi bezpieczniej niż mając je w tej samej sieci. Pozwala to również producentowi gromadzić dane osobowe o tobie i przekazywać je stronom trzecim.