Чи можу я відслідковувати свою мережу за несанкціонованою активністю пристроїв IoT?

Для того, щоб зменшити чи керувати ризиком порушення деяких пристроїв у моїй домашній мережі, чи можливо відстежувати мережевий трафік, щоб виявити компроміс?

Мене спеціально цікавлять рішення, які не вимагають від мене експерта з мереж або інвестувати в що-небудь більше, ніж на дешевий одноплатний комп'ютер. Це функція, яку практично можна інтегрувати в брандмауер маршрутизатора, чи проблема занадто складна для того, щоб мати просте рішення, яке легко налаштувати?

Я не питаю про Wireshark - я прошу про автономну систему, яка може генерувати сповіщення про підозрілу активність. Крім того, мислення більше орієнтоване на практичне налаштування для здатного аматора, а не на надійне рішення якості виробництва.

додаток: Я бачу, що зараз існує проект kickstarter (акіта), який, схоже, пропонує хмарну аналітику, засновану на локальному обнюхуванні WiFi.

Це не пряма тема. Виявлення компромісу, як ви сказали, може відбуватися в багатьох формах і призводити до багатьох результатів з точки зору поведінки системи чи мережі. Зауважуючи, що може знадобитися знати різницю між нормальним та підозрілим у плані поведінки системи та мережі.

Для домашнього рішення на мережевому рівні рекомендований варіант - це (прозорий) проксі-сервер або персоналізований шлюз, що працює з декількома мережевими службами ( наприклад , DHCP, DNS) та програмами захисту ( наприклад , брандмауером, IDS, проксі), які можуть допомогти в реєстрації ( наприклад , HTTP-проксі, DNS-запити), загартовування ( наприклад , фільтрування, чорний список, білий список), моніторинг ( наприклад , мережевий трафік) та оповіщення на основі підписів. Основними інструментами для цього є Bro, IPFire, pfSense і Snort.

Див. Розділ Налаштування проксі-сервера на моєму домашньому маршрутизаторі, щоб увімкнути фільтрацію вмісту для отримання детальної інформації про приклад налаштування.

Це поза тривіальним. Кожен дещо складний пристрій IoT буде спілкуватися через HTTPS, завдяки чому не надто просто дізнатися, про що йдеться, навіть якщо у вашому маршрутизаторі є некомпрометований Інтернет-шлюз.

На жаль, ви не можете знати, з якими кінцевими пунктами має говорити пристрій IoT, а з яким - ні. Незважаючи на те, що більшість великих постачальників електроніки споживачів матимуть свої спеціальні кістки, що не означає, що пристрої можуть не мати вагомих причин спілкуватися з іншими постачальниками інформації (наприклад, погодні служби, спільноти з рецептами приготування тощо).

Усі ці речі, які ви, можливо, не можете знати, а ще гірше, якщо оновлення вашого пристрою IoT буде здійснюватися по повітрю, може змінити таку поведінку повністю. Якщо ви налаштували свій власний шлюз безпеки з критеріями фільтра чорного списку чи білого списку, ви можете серйозно погіршити функціональність вашого пристрою. Наприклад, ви, можливо, успішно визначили всі звичні адреси в білий список, але ви ніколи не отримаєте оновлення, оскільки вони рідко використовуються партнерами по спілкуванню.

Відповідь: Розпізнавання візерунків

Виявлення того, що ваш пристрій зламано, зазвичай здійснюється за допомогою розпізнавання шаблонів . Це непросте питання, але простіше кажучи, механізм розпізнавання образів на вашому шлюзі безпеки виявить різко змінену поведінку, якщо ваш тостер був зламаний і почне надсилати спам.

На даний момент складність того, що ви хочете, виходить за рамки "дешевого одноплатного комп'ютера". Найпростіше рішення - це налаштувати щось на кшталт SNORT, що є системою виявлення вторгнень. Спочатку він попередить вас про все, що відбувається, і ви отримаєте занадто багато помилкових позитивних результатів. Навчаючи його з часом (сам ручний процес), ви можете зменшити його до розумної швидкості оповіщення, але в даний час на споживчому ринку немає доступних «заздалегідь консервованих» рішень. Вони або потребують значних вкладень грошей (корпоративні / комерційні рішення) або часу (рішення з відкритим кодом DIY-класу), або будь-яке з них може поставити під сумнів таке рішення поза прийнятною сферою складності. Ваша найкраща ставка - це чесно буде щось на кшталт SNORT - те, що "досить добре"

Інструмент NoDDosЯ розробляю цілеспрямовано робити те, що ви просите. Зараз він може розпізнавати пристрої IOT, порівнюючи їх до списку відомих профілів, він може збирати запити DNS та потоки трафіку кожного відповідного пристрою IOT та завантажувати його у хмару для аналізу шаблонів на основі великих наборів пристроїв. Наступним кроком є ​​впровадження ACL на Home Gateway для обмеження потоків трафіку на IOT-пристрій. Інструмент призначений для запуску на домашніх шлюзах. Поточна версія написана на Python, вимагаючи запустити Python на OpenWRT HGW або встановити на Linux DIY роутер. У OpenWRT я ще не можу зібрати інформацію про потоки трафіку, але про маршрутизатор Linux DIY я можу використовувати ulogd2. Тому зараз вам потрібен простий маршрутизатор на базі Linux з регулярним дистрибутивом Linux, щоб повною мірою працювати з потоками трафіку, але як тільки мій порт на C ++ буде закінчений,

Ви можете прочитати мій блог для отримання додаткової інформації про те, як працює цей інструмент.

Коротше кажучи, ведеться стандартизація та розробка продукції для вирішення цієї проблеми. До цього часу є кілька простих відповідей, які не потребують певних мережевих знань.

Мою скромну пропозицію легко реалізувати і забезпечить вашій локальній мережі певний захист (хоча він взагалі не захистить Інтернет), не знаючи нічого про мережу, окрім як підключити та використовувати бездротовий маршрутизатор.

Купіть окремий бездротовий маршрутизатор для домашньої мережі та використовуйте його лише для своїх пристроїв IoT. Це зробить складніше для пристроїв IoT виявлення та атаку інших ваших пристроїв (таких як ПК, планшети та смартфони). Так само він забезпечить вашим IoT деякий захист від компрометованих обчислювальних пристроїв, які у вас можуть бути.

Це рішення може порушити деякі речі, однак у вирішенні проблеми допомагає здебільшого небажана реальність, що сьогодні багато пристроїв Iot досягають віддалених комунікацій через керовану виробником хмарну інфраструктуру, що допоможе вашим Iots спілкуватися з вашими обчислювальними пристроями безпечніше, ніж мати їх в одній мережі. Це також дозволяє виробнику збирати особисту інформацію про вас та надавати її третім сторонам.