Czy mogę monitorować moją sieć pod kątem nieuczciwych działań urządzeń IoT?

36

Czy w celu ograniczenia ryzyka związanego z narażeniem niektórych urządzeń w mojej sieci domowej możliwe jest monitorowanie ruchu sieciowego w celu wykrycia kompromisu?

Szczególnie interesują mnie rozwiązania, które nie wymagają ode mnie doświadczenia w pracy w sieci ani inwestowania w coś więcej niż tani komputer jednopłytkowy. Czy jest to funkcja, którą można praktycznie zintegrować z zaporą routera, czy też problem jest zbyt trudny do rozwiązania, aby mieć proste, łatwe do skonfigurowania rozwiązanie?

Nie pytam o Wireshark - proszę o samodzielny system, który może generować alerty o podejrzanej aktywności. Myślenie bardziej skupione na praktycznym ustawieniu dla zdolnego amatora, a nie na solidnym rozwiązaniu jakości produkcji.

addendum: Widzę, że istnieje teraz projekt kickstarter (akita), który wydaje się oferować oparte na chmurze analizy oparte na lokalnym wąchaniu Wi-Fi.

Sean Houlihane
źródło
1
Powiązane: iot.stackexchange.com/questions/18/…
WayToDoor
Kiedy bezpieczeństwo stanie się poważnym problemem, jestem pewien, że będą produkować zapory IOT i IOT IPS, cały Twój ruch IOT jest kierowany przez te urządzenia, podobnie jak inna infrastruktura IT, gdzie możesz ściśle monitorować swoją sieć IOT.
R__raki__
1
@Rakesh_K, to pytanie dokładnie przeciwdziała wynalezieniu tego typu urządzenia - chciałbym uchwycić znane techniki, które istnieją dzisiaj.
Sean Houlihane,
1
Zgoda. Ponadto w IoT używanych jest o rząd wielkości więcej protokołów niż w przypadku standardowej zapory ogniowej.
Mawg
1
Czy to w ogóle jest pytanie specyficzne dla Internetu Rzeczy? Być może security.stackexchange.com ?
Mawg

Odpowiedzi:

18

To nie jest prosty temat. Wykrywanie kompromisu, jak to ujmujesz, może się zdarzyć w wielu formach i skutkować wieloma skutkami pod względem zachowania systemu lub sieci. Obserwacja może wymagać znajomości różnicy między normalnym a podejrzanym pod względem zachowania systemu i sieci.

W przypadku rozwiązania domowego na poziomie sieci zalecaną opcją jest (przezroczysty) serwer proxy lub dostosowana brama z wieloma usługami sieciowymi ( tj. DHCP, DNS) i aplikacjami zabezpieczającymi ( np. Zapora ogniowa, systemy IDS, serwery proxy), które mogą pomóc w logowaniu ( np. proxy HTTP, zapytania DNS), hartowanie ( np. filtrowanie, czarna lista, biała lista), monitorowanie ( np. ruch sieciowy) i alarmowanie na podstawie podpisów. Główne narzędzia do tego to Bro, IPFire, pfSense i Snort.

Zobacz Konfigurowanie serwera proxy na moim routerze domowym, aby włączyć filtrowanie zawartości, aby uzyskać szczegółowe informacje na temat przykładowej konfiguracji.

dfernan
źródło
16

To jest ponad trywialne. Każde nieco wyrafinowane urządzenie IoT komunikuje się za pośrednictwem HTTPS, dzięki czemu nie jest łatwo wiedzieć, o czym mówi, nawet jeśli w routerze masz niezakłóconą bramę internetową.

Niestety nie wiadomo, z którymi punktami końcowymi urządzenie IoT ma rozmawiać, a które nie. Podczas gdy większość dużych dostawców elektroniki użytkowej będzie mieć swoje dedykowane kręgosłupy, co nie oznacza, że ​​urządzenia mogą nie mieć dobrego powodu, aby rozmawiać z innymi dostawcami informacji (np. Usługi pogodowe, wspólnoty kulinarne itp.).

Wszystkie te rzeczy, których nie możesz znać, a co gorsza, bezprzewodowa aktualizacja urządzenia IoT może całkowicie zmienić to zachowanie. Jeśli skonfigurujesz własną bramę bezpieczeństwa z kryteriami filtrowania do czarnej listy lub białej listy, możesz poważnie zakłócić funkcjonalność urządzenia. Na przykład mógłbyś z powodzeniem określić każdy ze zwykłych adresów na białej liście, ale nigdy nie otrzymasz aktualizacji, ponieważ są to rzadko wykorzystywani partnerzy komunikacyjni.

Odpowiedź: Rozpoznawanie wzorców

Wykrywanie, że urządzenie zostało naruszone, odbywa się zwykle przez rozpoznawanie wzorców . To nie jest prosta sprawa, ale najprościej mówiąc, mechanizm rozpoznawania wzorców w bramie bezpieczeństwa wykryje drastycznie zmienione zachowanie, jeśli twój toster został zhakowany i zacznie wysyłać spam.

Helmar
źródło
2
Jest to bardzo ogólne i nie jest realistyczną opcją. Monitorowanie i wykrywanie oparte na analizie heurystycznej lub wzorcowej (przy założeniu, że niektóre metody inteligencji obliczeniowej (CI)) są w dużym stopniu zależne od dostępnego problemu, przy czym są skuteczne głównie w precyzyjnie dostrojonych środowiskach.
dfernan
2
@dfernan It is. Ale pytanie brzmi: czy mogę monitorować moje nieuczciwe urządzenie. Twierdzę, że nie jest to łatwe do wykonania, to właściwa odpowiedź. Pytanie jest nieprawdopodobnie ogólne, ponieważ dotyczy wszystkich urządzeń IoT, a nie konkretnych. Dlatego też odpowiedzi muszą być nieco obszerne.
Helmar
11

W tym momencie złożoność tego, co chcesz, wykracza poza poziomy „taniego komputera jednopłytkowego”. Najłatwiejszym dostępnym rozwiązaniem jest skonfigurowanie czegoś takiego jak SNORT, który jest systemem wykrywania włamań. Początkowo będzie Cię ostrzegać o wszystkim, co się dzieje, a otrzymasz zbyt wiele fałszywych trafień. Trenując go w miarę upływu czasu (sam proces ręczny), można go zmniejszyć do rozsądnego poziomu ostrzegania, ale obecnie na rynku konsumenckim nie ma dostępnych rozwiązań „wstępnie konserwowanych”. Wymagają albo znacznych inwestycji pieniędzy (rozwiązania korporacyjne / komercyjne), albo czasu (rozwiązania typu open source typu „zrób to sam”), z których każde spowodowałoby, że dane rozwiązanie nie byłoby możliwe do zaakceptowania. Twój najlepszy zakład to szczerze mówiąc coś w rodzaju SNORT - coś, co jest „wystarczająco dobre”

Jan
źródło
1
Myślę, że to taka odpowiedź, jakiej szukałem. Dość łatwe i wystarczająco dobre - szczególnie jeśli trening może być prowadzony przez tłum.
Sean Houlihane,
1
Jednak znalezienie tego produktu / rozwiązania podobnego do jednorożca będzie trudne. Używam SNORT jako przykładu, ale jest to dość skomplikowane dla zwykłego użytkownika domowego i może okazać się, że brakuje mu znaku „wystarczająco łatwy” dla Ciebie. Moje oczekiwania różnią się nieco od przeciętnego Joe, ponieważ jestem sysadminem Linuksa od ponad 20 lat.
Jana,
I wciąż uczę się Snorta ;-) Jest to komplement - ale ostatecznie warto
Mawg
7

Narzędzie NoDDosRozwijam się, aby robić dokładnie to, o co prosisz. Obecnie może rozpoznawać urządzenia IOT, dopasowując je do listy znanych profili, może zbierać zapytania DNS i przepływy ruchu każdego dopasowanego urządzenia IOT i przesyłać je do chmury w celu analizy wzorców na podstawie dużych zestawów urządzeń. Następnym krokiem jest zaimplementowanie list kontroli dostępu w bramie domowej w celu ograniczenia przepływu ruchu na urządzenie IOT. Narzędzie jest przeznaczone do uruchamiania w Home Gateways. Bieżąca wersja jest napisana w języku Python, wymagającym uruchomienia Pythona na OpenWRT HGW lub instalacji na routerze Linux dla majsterkowiczów. W OpenWRT nie mogę jeszcze zbierać informacji o przepływach ruchu, ale na routerze Linux DIY mogę używać ulogd2. Tak więc teraz potrzebujesz prostego routera opartego na systemie Linux z regularną dystrybucją systemu Linux, aby w pełni uruchomić go z przepływami ruchu, ale gdy mój port do C ++ zostanie ukończony,

Możesz przeczytać mojego bloga, aby uzyskać więcej informacji na temat działania narzędzia.

Steven
źródło
1
Miałem nadzieję, że ktoś wymyśli takie narzędzie. Czy może (teoretycznie) działać na urządzeniu podłączonym do sieci i po prostu podsłuchiwać ruch? Wydaje się, że dla wielu osób SBD może być łatwiejsze niż otwarty router.
Sean Houlihane
NoDDos musi uzyskać dostęp do plików dziennika serwera DNS / DHCP dnsmasq i zdarzeń śledzenia połączenia iptables zgłoszonych do ulogd2 w celu uzyskania przepływu ruchu. Zatem Home Gateway lub firewall jest właściwym miejscem do tego. Ponieważ baza danych kodów i profili urządzeń jest typu open source, być może kto wie, że w przyszłości dostawcy HGW mogą włączyć ją do swoich produktów. W międzyczasie muszę zbudować bazę danych profili, co będzie wymagać od testerów alfa wypróbowania tego narzędzia na swoich samochodach ciężarowych i przesłania wyników.
Steven
1

Krótko mówiąc, w celu rozwiązania tego problemu trwają prace nad standaryzacją i rozwojem produktów. Do tego czasu istnieje kilka prostych odpowiedzi, które nie wymagają wiedzy na temat sieci.

Moja skromna sugestia jest łatwa do wdrożenia i zapewni twojej sieci lokalnej pewną ochronę (chociaż nie ochroni Internetu w ogóle), nie wiedząc nic o sieci oprócz tego, jak podłączyć i używać routera bezprzewodowego.

Kup oddzielny router bezprzewodowy dla sieci domowej i używaj go tylko do urządzeń IoT. Utrudni to urządzeniom IoT wykrywanie i atakowanie innych urządzeń (takich jak komputery PC, tablety i smartfony). Podobnie, zapewni to swoim IoT pewną ochronę przed zagrożonymi urządzeniami komputerowymi, które możesz mieć.

To rozwiązanie może zepsuć niektóre rzeczy, ale przewrotnie rozwiązuje je w większości niepożądana rzeczywistość, że obecnie wiele urządzeń Iot osiąga zdalną komunikację za pośrednictwem infrastruktury chmurowej kontrolowanej przez producenta, która pomoże Twoim Iotsom komunikować się z urządzeniami obliczeniowymi bezpieczniej niż mając je w tej samej sieci. Pozwala to również producentowi gromadzić dane osobowe o tobie i przekazywać je stronom trzecim.

Hugh Buntu
źródło
2
Myślę, że jest to styczne do pytania, a nie do końca odpowiedź.
Sean Houlihane
1
Właściwie myślałem, że niektóre inne odpowiedzi były styczne. Pytający wyraźnie powiedział, że chce odpowiedzi „które nie wymagają ode mnie bycia ekspertem od sieci ani inwestowania w coś więcej niż tani komputer jednopłytowy”, lub „Myślenie bardziej skupione na praktycznej konfiguracji dla zdolnego amatora, a nie niż solidne rozwiązanie jakości produkcji ”. - Napisałem odpowiedź, która moim zdaniem spełnia te warunki. Na cześć twojego komentarza usunąłem ostatni akapit, który był prawdopodobnie niepotrzebny [tj. RTFM].
Hugh Buntu
Pytałem konkretnie o monitorowanie, a nie ochronę. myślę, że Twoja odpowiedź jest lepsza na jeden z tych: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 lub iot.stackexchange.com/questions/9 (chociaż ten drugi ma całkiem sporo odpowiedzi już!)
Sean Houlihane