Posso monitorar minha rede quanto a atividades de dispositivos IoT não autorizados?

Para mitigar ou gerenciar o risco de comprometer alguns dos dispositivos da minha rede doméstica, é possível monitorar o tráfego da rede para detectar um comprometimento?

Estou especificamente interessado em soluções que não exigem que eu seja especialista em redes ou que invista em algo além de um computador de placa única barato. Esse é um recurso que pode ser praticamente integrado ao firewall de um roteador ou o problema é muito difícil de se obter para uma solução simples e fácil de configurar?

Não estou perguntando sobre o Wireshark - estou pedindo um sistema independente que possa gerar alertas de atividades suspeitas. Também pensando mais focado na configuração prática para um amador capaz, em vez de uma solução robusta de qualidade de produção.

adendo: Vejo que agora existe um projeto kickstarter (akita) que parece oferecer análises baseadas em nuvem baseadas no sniffing WiFi local.

Este não é um tópico direto. A detecção de um compromisso, como você diz, pode ocorrer de várias formas e resultar em vários resultados em termos de comportamento do sistema ou da rede. Observar isso pode exigir o conhecimento da diferença entre normal e suspeito em termos de comportamento do sistema e da rede.

Para uma solução casa ao nível da rede, a opção recomendada é um proxy (transparente) ou um gateway personalizado executando vários serviços de rede ( ou seja , DHCP, DNS) e aplicações de segurança ( por exemplo , firewall, IDS, proxies) que podem ajudar com o registo ( por exemplo , proxy HTTP, consultas DNS), proteção ( por exemplo , filtragem, lista negra, lista de permissões), monitoramento ( por exemplo , tráfego de rede) e alertas com base em assinaturas. As principais ferramentas para isso incluem Bro, IPFire, pfSense e Snort.

Consulte Configurando um servidor proxy no meu roteador doméstico para ativar a filtragem de conteúdo para obter detalhes sobre uma configuração de exemplo.

Isso está além do trivial. Todo dispositivo IoT um tanto sofisticado se comunicará via HTTPS, facilitando o entendimento do que está falando, mesmo se você tiver um gateway de Internet não comprometido no roteador.

Infelizmente, você não pode saber com quais pontos finais o dispositivo IoT deve conversar e quais não. Embora a maioria dos grandes fornecedores de eletrônicos de consumo tenha seus ossos traseiros dedicados, isso não significa que os dispositivos possam não ter boas razões para conversar com outros fornecedores de informações (por exemplo, serviços meteorológicos, comunidades de receitas culinárias, etc.).

Todas essas coisas que você não pode saber e, pior ainda, uma atualização sem fio do seu dispositivo IoT pode mudar esse comportamento completamente. Se você configurar seu próprio gateway de segurança com critérios de filtro de lista negra ou lista branca, poderá prejudicar seriamente a funcionalidade do seu dispositivo. Por exemplo, você pode ter determinado com êxito todos os endereços habituais da lista de permissões, mas nunca receberá uma atualização porque esses raramente são usados ​​como parceiros de comunicação.

A resposta: Reconhecimento de padrões

Detectar que seu dispositivo foi comprometido geralmente é feito pelo reconhecimento de padrões . Isso não é uma questão simples, mas, de maneira simples, o mecanismo de reconhecimento de padrões no gateway de segurança detectará um comportamento radicalmente alterado se a sua torradeira for invadida e começar a enviar spam.

Neste ponto, a complexidade do que você deseja está além dos níveis de "computador barato e de placa única". A solução mais fácil disponível é configurar algo como o SNORT, que é um sistema de detecção de intrusões. Inicialmente, ele alertará você sobre tudo o que está acontecendo e você receberá muitos falsos positivos. Ao treiná-lo ao longo do tempo (um processo manual), você pode reduzi-lo a uma taxa de alerta razoável, mas atualmente não há soluções "pré-enlatadas" disponíveis no mercado consumidor. Eles exigem investimentos significativos em dinheiro (soluções corporativas / comerciais) ou tempo (soluções de código aberto da classe DIY), o que colocaria a solução em questão fora do escopo aceitável da complexidade. Sua melhor aposta será honestamente algo como SNORT - algo que é "bom o suficiente"

A ferramenta NoDDosEstou desenvolvendo o objetivo é fazer exatamente o que você está pedindo. No momento, ele pode reconhecer dispositivos IOT combinando-os com uma lista de perfis conhecidos, pode coletar as consultas DNS e os fluxos de tráfego de cada dispositivo IOT correspondente e carregá-lo na nuvem para análise de padrões com base em grandes conjuntos de dispositivos. A próxima etapa é implementar ACLs no gateway doméstico para restringir os fluxos de tráfego por dispositivo IOT. A ferramenta foi projetada para ser executada nos Home Gateways. A versão atual está escrita em Python, exigindo que você execute o Python no seu OpenWRT HGW ou instale em um roteador Linux DIY. No OpenWRT, ainda não consigo coletar informações sobre os fluxos de tráfego, mas no roteador DIY Linux, posso usar o ulogd2. Portanto, agora você precisa de um roteador simples baseado em Linux com uma distribuição Linux normal para que isso funcione totalmente com os fluxos de tráfego, mas assim que minha porta para C ++ estiver concluída,

Você pode ler meu blog para obter mais informações sobre como a ferramenta funciona.

Em resumo, a padronização e o desenvolvimento de produtos estão em andamento para solucionar esse problema. Até então, existem poucas respostas simples que não exigem algum conhecimento de rede.

Minha humilde sugestão é fácil de implementar e fornecerá à sua rede local alguma proteção (embora não proteja a Internet em geral) sem saber nada sobre a rede além de como conectar e usar um roteador sem fio.

Compre um roteador sem fio separado para a sua rede doméstica e use-o apenas para os seus dispositivos IoT. Isso tornará mais difícil para os dispositivos IoT descobrirem e atacarem outros dispositivos (como PCs, tablets e smartphones). Da mesma forma, fornecerá às suas IoTs alguma proteção contra dispositivos de computação comprometidos que você possa ter.

Esta solução pode quebrar algumas coisas, mas a solução é perversamente ajudada pela realidade principalmente indesejável de que hoje muitos dispositivos Iot alcançam comunicações remotas por meio de uma infraestrutura de nuvem controlada pelo fabricante, o que ajudará seus Iots a se comunicarem com seus dispositivos de computação com mais segurança do que tê-los na mesma rede. Ele também permite que o fabricante colete informações pessoais sobre você e forneça isso a terceiros.