Posso monitorar minha rede quanto a atividades de dispositivos IoT não autorizados?


36

Para mitigar ou gerenciar o risco de comprometer alguns dos dispositivos da minha rede doméstica, é possível monitorar o tráfego da rede para detectar um comprometimento?

Estou especificamente interessado em soluções que não exigem que eu seja especialista em redes ou que invista em algo além de um computador de placa única barato. Esse é um recurso que pode ser praticamente integrado ao firewall de um roteador ou o problema é muito difícil de se obter para uma solução simples e fácil de configurar?

Não estou perguntando sobre o Wireshark - estou pedindo um sistema independente que possa gerar alertas de atividades suspeitas. Também pensando mais focado na configuração prática para um amador capaz, em vez de uma solução robusta de qualidade de produção.

adendo: Vejo que agora existe um projeto kickstarter (akita) que parece oferecer análises baseadas em nuvem baseadas no sniffing WiFi local.



Depois que a segurança se tornar um problema grave, tenho certeza de que eles fabricarão IOT Firewalls e IOT IPS, todo o tráfego IOT será roteado por esses dispositivos, assim como outras infraestruturas de TI, nas quais você pode monitorar sua rede IOT de perto.
R__raki__

1
@Rakesh_K, esta pergunta antecede exatamente esse tipo de dispositivo que está sendo inventado - eu gostaria de capturar as técnicas conhecidas que existem hoje.
Sean Houlihane

1
Acordado. Além disso, há uma ordem de magnitude mais protocolos usados ​​na IoT do que os tratados por um firewall padrão.
MAWG

1
Na verdade, isso é mesmo uma questão específica da IoT? Talvez security.stackexchange.com ?
MAWG

Respostas:


18

Este não é um tópico direto. A detecção de um compromisso, como você diz, pode ocorrer de várias formas e resultar em vários resultados em termos de comportamento do sistema ou da rede. Observar isso pode exigir o conhecimento da diferença entre normal e suspeito em termos de comportamento do sistema e da rede.

Para uma solução casa ao nível da rede, a opção recomendada é um proxy (transparente) ou um gateway personalizado executando vários serviços de rede ( ou seja , DHCP, DNS) e aplicações de segurança ( por exemplo , firewall, IDS, proxies) que podem ajudar com o registo ( por exemplo , proxy HTTP, consultas DNS), proteção ( por exemplo , filtragem, lista negra, lista de permissões), monitoramento ( por exemplo , tráfego de rede) e alertas com base em assinaturas. As principais ferramentas para isso incluem Bro, IPFire, pfSense e Snort.

Consulte Configurando um servidor proxy no meu roteador doméstico para ativar a filtragem de conteúdo para obter detalhes sobre uma configuração de exemplo.


16

Isso está além do trivial. Todo dispositivo IoT um tanto sofisticado se comunicará via HTTPS, facilitando o entendimento do que está falando, mesmo se você tiver um gateway de Internet não comprometido no roteador.

Infelizmente, você não pode saber com quais pontos finais o dispositivo IoT deve conversar e quais não. Embora a maioria dos grandes fornecedores de eletrônicos de consumo tenha seus ossos traseiros dedicados, isso não significa que os dispositivos possam não ter boas razões para conversar com outros fornecedores de informações (por exemplo, serviços meteorológicos, comunidades de receitas culinárias, etc.).

Todas essas coisas que você não pode saber e, pior ainda, uma atualização sem fio do seu dispositivo IoT pode mudar esse comportamento completamente. Se você configurar seu próprio gateway de segurança com critérios de filtro de lista negra ou lista branca, poderá prejudicar seriamente a funcionalidade do seu dispositivo. Por exemplo, você pode ter determinado com êxito todos os endereços habituais da lista de permissões, mas nunca receberá uma atualização porque esses raramente são usados ​​como parceiros de comunicação.

A resposta: Reconhecimento de padrões

Detectar que seu dispositivo foi comprometido geralmente é feito pelo reconhecimento de padrões . Isso não é uma questão simples, mas, de maneira simples, o mecanismo de reconhecimento de padrões no gateway de segurança detectará um comportamento radicalmente alterado se a sua torradeira for invadida e começar a enviar spam.


2
Isso é muito genérico e dificilmente é uma opção realista. O monitoramento e a detecção com base em análises heurísticas ou de padrões (assumindo alguns métodos de Inteligência Computacional) são altamente dependentes do problema em questão, sendo principalmente eficazes apenas em ambientes ajustados.
dfernan

2
@dfernan É. Mas a questão é: posso monitorar meu dispositivo não autorizado? Eu diria que não é fácil fazer isso é uma resposta adequada. A questão é impossivelmente ampla, pois está direcionada a todos os dispositivos de IoT, não os específicos. Assim, as respostas também precisam ser um tanto amplas.
Helmar

11

Neste ponto, a complexidade do que você deseja está além dos níveis de "computador barato e de placa única". A solução mais fácil disponível é configurar algo como o SNORT, que é um sistema de detecção de intrusões. Inicialmente, ele alertará você sobre tudo o que está acontecendo e você receberá muitos falsos positivos. Ao treiná-lo ao longo do tempo (um processo manual), você pode reduzi-lo a uma taxa de alerta razoável, mas atualmente não há soluções "pré-enlatadas" disponíveis no mercado consumidor. Eles exigem investimentos significativos em dinheiro (soluções corporativas / comerciais) ou tempo (soluções de código aberto da classe DIY), o que colocaria a solução em questão fora do escopo aceitável da complexidade. Sua melhor aposta será honestamente algo como SNORT - algo que é "bom o suficiente"


1
Este é mort o tipo de resposta que eu estava procurando, eu acho. Fácil o suficiente e bom o suficiente - principalmente se o treinamento puder ser orientado por fontes de multidões.
Sean Houlihane

1
Encontrar esse produto / solução semelhante a um unicórnio, no entanto, será difícil. Eu uso o SNORT como exemplo, mas é bastante complexo para um usuário doméstico casual e pode provar não ter atingido a marca "fácil o suficiente" para você. Minhas expectativas são um pouco diferentes das do Joe Médio, já que sou administrador de sistemas linux há mais de 20 anos.
John

E ainda está aprendendo Snort ;-) É de compelx - mas, em última análise, vale a pena
MAWG

7

A ferramenta NoDDosEstou desenvolvendo o objetivo é fazer exatamente o que você está pedindo. No momento, ele pode reconhecer dispositivos IOT combinando-os com uma lista de perfis conhecidos, pode coletar as consultas DNS e os fluxos de tráfego de cada dispositivo IOT correspondente e carregá-lo na nuvem para análise de padrões com base em grandes conjuntos de dispositivos. A próxima etapa é implementar ACLs no gateway doméstico para restringir os fluxos de tráfego por dispositivo IOT. A ferramenta foi projetada para ser executada nos Home Gateways. A versão atual está escrita em Python, exigindo que você execute o Python no seu OpenWRT HGW ou instale em um roteador Linux DIY. No OpenWRT, ainda não consigo coletar informações sobre os fluxos de tráfego, mas no roteador DIY Linux, posso usar o ulogd2. Portanto, agora você precisa de um roteador simples baseado em Linux com uma distribuição Linux normal para que isso funcione totalmente com os fluxos de tráfego, mas assim que minha porta para C ++ estiver concluída,

Você pode ler meu blog para obter mais informações sobre como a ferramenta funciona.


1
Eu esperava que alguém inventasse uma ferramenta como essa. Ele (teoricamente) pode ser executado em um dispositivo conectado à rede e apenas bisbilhotar o tráfego? Parece que um SBD pode ser mais fácil do que um roteador aberto para muitas pessoas.
Sean Houlihane

O NoDDos precisa acessar os arquivos de log do servidor DNS / DHCP do dnsmasq e a conexão iptables rastreia os eventos relatados ao ulogd2 para obter os fluxos de tráfego. Portanto, o Home Gateway ou o firewall é o lugar certo para isso. Como o banco de dados de código e perfil de dispositivo é de código aberto, talvez quem sabe no futuro os fornecedores de HGW possam incluí-lo em seus produtos. Enquanto isso, preciso criar o banco de dados de perfis e isso exigirá que os testadores alfa testem essa ferramenta em seus HGWs e carreguem os resultados.
18717 Steven

1

Em resumo, a padronização e o desenvolvimento de produtos estão em andamento para solucionar esse problema. Até então, existem poucas respostas simples que não exigem algum conhecimento de rede.

Minha humilde sugestão é fácil de implementar e fornecerá à sua rede local alguma proteção (embora não proteja a Internet em geral) sem saber nada sobre a rede além de como conectar e usar um roteador sem fio.

Compre um roteador sem fio separado para a sua rede doméstica e use-o apenas para os seus dispositivos IoT. Isso tornará mais difícil para os dispositivos IoT descobrirem e atacarem outros dispositivos (como PCs, tablets e smartphones). Da mesma forma, fornecerá às suas IoTs alguma proteção contra dispositivos de computação comprometidos que você possa ter.

Esta solução pode quebrar algumas coisas, mas a solução é perversamente ajudada pela realidade principalmente indesejável de que hoje muitos dispositivos Iot alcançam comunicações remotas por meio de uma infraestrutura de nuvem controlada pelo fabricante, o que ajudará seus Iots a se comunicarem com seus dispositivos de computação com mais segurança do que tê-los na mesma rede. Ele também permite que o fabricante colete informações pessoais sobre você e forneça isso a terceiros.


2
Eu acho que isso é tangencial à pergunta, não é realmente uma resposta.
Sean Houlihane

1
Na verdade, pensei que algumas das outras respostas fossem tangenciais. O autor da pergunta disse especificamente que queria respostas "que não exigem que eu seja um especialista em redes, ou que invista em algo além de um computador barato de placa única" ou "Também pense mais focado na prática de configurar um amador capaz do que em um computador". do que uma solução robusta de qualidade de produção ". - Eu escrevi uma resposta que achava que preenchia essas condições. Em homenagem ao seu comentário, eu apaguei o último parágrafo que era possivelmente desnecessário [ie RTFM].
Hugh buntu

Eu perguntei especificamente sobre monitoramento, em vez de proteção. eu acho que sua resposta é melhor para um destes: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 ou iot.stackexchange.com/questions/9 (embora o último tenha bastante respostas já!)
Sean Houlihane
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.