Ağımı haydut IoT aygıtı etkinliği açısından izleyebilir miyim?

Ev ağımdaki cihazlardan bazılarının tehlikeye girmesi riskini azaltmak veya yönetmek için, bir uzlaşma tespit etmek için ağ trafiğini izlemek mümkün müdür?

Özellikle bir ağ uzmanı olmamı veya ucuz bir tek kartlı bilgisayardan başka bir şeye yatırım yapmamı gerektirmeyen çözümlerle ilgileniyorum. Bu, bir yönlendirici güvenlik duvarına pratik olarak entegre edilebilecek bir özellik mi, yoksa sorunun basit, yapılandırması kolay bir çözümü olması için bağlanması çok mu zor?

Wireshark hakkında soru sormuyorum - Şüpheli etkinlik uyarıları oluşturabilen bağımsız bir sistem istiyorum. Ayrıca, sağlam bir üretim kalitesi çözümünden ziyade, yetenekli bir amatör için kurulum yapmaya daha fazla odaklandığını düşünüyorum.

Zeyilname: Yerel WiFi koklamasından kaynaklanan bulut tabanlı analitik sunan bir kickstarter projesi (akita) var.

Bu basit bir konu değil. Sizin de belirttiğiniz gibi bir uzlaşmayı tespit etmek, birçok biçimde olabilir ve sistem ya da ağ davranışı açısından birçok sonuçla sonuçlanabilir. Bunun gözlemlenmesi, sistem ve ağ davranışı açısından normal ve şüpheli arasındaki farkı bilmeyi gerektirebilir.

Ağ düzeyinde bir ev çözümü için önerilen seçenek (şeffaf) bir proxy veya birden çok ağ servisini ( örn . DHCP, DNS) ve güvenlik uygulamalarını ( örneğin , güvenlik duvarı, IDS'ler, proxy'ler) çalıştıran ve günlüğe kaydetmeye yardımcı olabilecek güvenlik uygulamalarıdır. ( örneğin , HTTP proxy, DNS sorguları), sertleştirme ( örneğin , filtreleme, kara liste, beyaz liste), izleme ( örneğin ağ trafiği) ve imzalara dayalı uyarı. Bunun için başlıca araçlar Bro, IPFire, pfSense ve Snort'tur.

Bkz benim ev yönlendirici bir proxy sunucu ayarlama içerik filtrelemeyi etkinleştirmek için bir örnek kurulumu hakkında ayrıntılı bilgi için.

Bu önemsiz ötesinde. Her yönüyle sofistike IoT cihazı HTTPS üzerinden haberleşecek, yönlendiricinizde tehlikeye girmemiş bir internet ağ geçidi olsa bile, ne hakkında konuştuğunu bilmek çok kolay olmayacak.

Ne yazık ki, IoT cihazının hangi uç noktalarla konuşması gerektiğini, hangisinin konuşmayacağını bilemezsiniz. Büyük tüketici elektroniği tedarikçilerinin çoğu, cihazların diğer bilgi sağlayıcılarla (örneğin hava durumu hizmetleri, yemek tarifleri toplulukları vb.) Konuşmak için iyi bir neden olmayacağı anlamına gelmeyen özel arka kemiklerine sahip olacaklardır.

IoT cihazınızın aşırı hava güncellemesinden haberdar olamayacağınız ve hatta daha da kötüsü bile olsa bütün bu şeyler tamamen değişebilir. Kendi karayolu veya beyaz listeyi filtreleme ölçütlerine göre kendi güvenlik ağ geçidinizi kurarsanız, cihazınızın işlevselliğini ciddi şekilde engelleyebilirsiniz. Örneğin, normal adreslerin her birini beyaz listeye başarıyla saptamış olabilirsiniz, ancak nadiren kullanılan iletişim ortakları olduğundan hiçbir zaman bir güncelleme alamazsınız.

Cevap: Örüntü Tanıma

Cihazınızın tehlikede olduğunu tespit etmek, genellikle örüntü tanıma ile yapılır . Bu basit bir mesele değildir, ancak kolay koymak için, güvenlik ağ geçidinizdeki örüntü tanıma motoru, kızartıcınız saldırıya uğradığında ve spam göndermeye başladığında, büyük ölçüde değişen bir davranış algılar.

Bu noktada, istediklerinizin karmaşıklığı “ucuz, tek kartlı bilgisayar” seviyelerinin ötesindedir. Mevcut en kolay çözüm, izinsiz giriş tespit sistemi olan SNORT gibi bir şey kurmaktır. Başlangıçta, devam eden her şey için sizi uyaracak ve çok fazla yanlış pozitif elde edersiniz. Zaman içinde eğiterek (kendisinin manuel bir süreci) makul bir uyarı oranına düşürebilirsiniz, ancak şu anda tüketici pazarında mevcut "önceden hazırlanmış" bir çözüm yoktur. Her ikisi de, söz konusu çözümü kabul edilebilir karmaşıklık kapsamının dışında bırakacak olan önemli miktarda para (kurumsal / ticari çözümler) veya zaman (açık kaynaklı DIY sınıfı çözümler) gerektirir. En iyisi dürüstçe SNORT gibi bir şey olacak - "yeterince iyi" bir şey

NoDDos aracıGelişiyorum, tam olarak ne istiyorsan onu yapmayı hedefliyor. Şu anda, IOT cihazlarını bilinen profillerin bir listesiyle eşleştirerek tanıyabilir, eşleşen her IOT cihazının DNS sorgularını ve trafik akışlarını toplayabilir ve büyük cihaz kümelerine dayalı desen analizi için buluta yükleyebilir. Bir sonraki adım, IOT cihazı başına trafik akışını kısıtlamak için Giriş Ağ Geçidi'ne ACL uygulamaktır. Aracın Giriş Ağ Geçitlerinde çalıştırılması hedefleniyor. Geçerli sürüm Python'da yazılmış olup, OpenWRT HGW'nizde Python'u çalıştırmanızı veya bir Linux DIY yönlendiricisine kurmanızı gerektirir. OpenWRT'de henüz trafik akışları hakkında bilgi toplayamıyorum ancak Linux DIY yönlendiricisinde ulogd2 kullanabiliyorum. Bu yüzden şu an düzenli bir Linux dağıtımına sahip basit bir Linux tabanlı yönlendiriciye ihtiyacınız var, bu tamamen çalışmaya devam ediyor ve trafik akışlarıyla çalışıyor, ancak C ++ 'a olan bağlantı noktam bittiğinde,

Aracın nasıl çalıştığı hakkında daha fazla bilgi için blogumu okuyabilirsiniz .

Kısacası, bu sorunu çözmek için standardizasyon ve ürün geliştirme çalışmaları sürmektedir. O zamana kadar, ağ bilgisi gerektirmeyen birkaç basit cevap var.

Alçakgönüllü önerim uygulanması kolaydır ve yerel ağınıza bir kablosuz yönlendirici takma ve kullanma dışında bir şey bilmeden (Internet’i büyük ölçüde korumamasına rağmen) bir koruma sağlar.

Ev ağınız için ayrı bir kablosuz yönlendirici satın alın ve sadece IoT cihazlarınız için kullanın. Bu, IoT cihazlarının diğer cihazlarınızı (PC'ler, Tabletler ve Akıllı Telefonlar gibi) keşfetmesini ve bunlara saldırmasını zorlaştıracaktır. Aynı şekilde, IoT’lerinize, sahip olabileceğiniz tehlikeli bilgi işlem aygıtlarından biraz koruma sağlar.

Bu çözüm bazı şeyleri kırabilir, ancak çözüm, bugün pek çok istenmeyen cihazın üretici tarafından kontrol edilen bir bulut altyapısı yoluyla uzaktan iletişim kurmasını sağlayarak, bilgisayar cihazlarınızla bilgisayarlarınızdan daha güvenli bir şekilde iletişim kurmasına yardımcı olacak, çoğunlukla istenmeyen bir gerçeklikten kaynaklanıyor. aynı ağda olmalarını. Ayrıca üreticinin hakkınızdaki kişisel bilgileri toplamasına ve bunları üçüncü taraflara sağlamasına olanak tanır.