Ağımı haydut IoT aygıtı etkinliği açısından izleyebilir miyim?


36

Ev ağımdaki cihazlardan bazılarının tehlikeye girmesi riskini azaltmak veya yönetmek için, bir uzlaşma tespit etmek için ağ trafiğini izlemek mümkün müdür?

Özellikle bir ağ uzmanı olmamı veya ucuz bir tek kartlı bilgisayardan başka bir şeye yatırım yapmamı gerektirmeyen çözümlerle ilgileniyorum. Bu, bir yönlendirici güvenlik duvarına pratik olarak entegre edilebilecek bir özellik mi, yoksa sorunun basit, yapılandırması kolay bir çözümü olması için bağlanması çok mu zor?

Wireshark hakkında soru sormuyorum - Şüpheli etkinlik uyarıları oluşturabilen bağımsız bir sistem istiyorum. Ayrıca, sağlam bir üretim kalitesi çözümünden ziyade, yetenekli bir amatör için kurulum yapmaya daha fazla odaklandığını düşünüyorum.

Zeyilname: Yerel WiFi koklamasından kaynaklanan bulut tabanlı analitik sunan bir kickstarter projesi (akita) var.



Güvenlik büyük bir sorun haline geldiğinde, IOT Güvenlik Duvarları ve IOT IPS üreteceklerinden eminim, tüm IOT trafiğiniz bu IOT ağınızı yakından izleyebileceğiniz diğer BT altyapısı gibi yönlendirilir.
R__raki__

1
@Rakesh_K, bu soru tam olarak icat edilmekte olan bu cihazın tipini kışkırtır - Bugün var olan bilinen teknikleri yakalamak istiyorum.
Sean Houlihane

1
Kabul. Ayrıca, IoT'de kullanılan, standart bir güvenlik duvarı tarafından yönetilenden daha fazla protokol sırası vardır.
Mawg

1
Aslında, bu IoT'ye özgü bir soru mu? Belki de security.stackexchange.com ?
Mawg

Yanıtlar:


18

Bu basit bir konu değil. Sizin de belirttiğiniz gibi bir uzlaşmayı tespit etmek, birçok biçimde olabilir ve sistem ya da ağ davranışı açısından birçok sonuçla sonuçlanabilir. Bunun gözlemlenmesi, sistem ve ağ davranışı açısından normal ve şüpheli arasındaki farkı bilmeyi gerektirebilir.

Ağ düzeyinde bir ev çözümü için önerilen seçenek (şeffaf) bir proxy veya birden çok ağ servisini ( örn . DHCP, DNS) ve güvenlik uygulamalarını ( örneğin , güvenlik duvarı, IDS'ler, proxy'ler) çalıştıran ve günlüğe kaydetmeye yardımcı olabilecek güvenlik uygulamalarıdır. ( örneğin , HTTP proxy, DNS sorguları), sertleştirme ( örneğin , filtreleme, kara liste, beyaz liste), izleme ( örneğin ağ trafiği) ve imzalara dayalı uyarı. Bunun için başlıca araçlar Bro, IPFire, pfSense ve Snort'tur.

Bkz benim ev yönlendirici bir proxy sunucu ayarlama içerik filtrelemeyi etkinleştirmek için bir örnek kurulumu hakkında ayrıntılı bilgi için.


16

Bu önemsiz ötesinde. Her yönüyle sofistike IoT cihazı HTTPS üzerinden haberleşecek, yönlendiricinizde tehlikeye girmemiş bir internet ağ geçidi olsa bile, ne hakkında konuştuğunu bilmek çok kolay olmayacak.

Ne yazık ki, IoT cihazının hangi uç noktalarla konuşması gerektiğini, hangisinin konuşmayacağını bilemezsiniz. Büyük tüketici elektroniği tedarikçilerinin çoğu, cihazların diğer bilgi sağlayıcılarla (örneğin hava durumu hizmetleri, yemek tarifleri toplulukları vb.) Konuşmak için iyi bir neden olmayacağı anlamına gelmeyen özel arka kemiklerine sahip olacaklardır.

IoT cihazınızın aşırı hava güncellemesinden haberdar olamayacağınız ve hatta daha da kötüsü bile olsa bütün bu şeyler tamamen değişebilir. Kendi karayolu veya beyaz listeyi filtreleme ölçütlerine göre kendi güvenlik ağ geçidinizi kurarsanız, cihazınızın işlevselliğini ciddi şekilde engelleyebilirsiniz. Örneğin, normal adreslerin her birini beyaz listeye başarıyla saptamış olabilirsiniz, ancak nadiren kullanılan iletişim ortakları olduğundan hiçbir zaman bir güncelleme alamazsınız.

Cevap: Örüntü Tanıma

Cihazınızın tehlikede olduğunu tespit etmek, genellikle örüntü tanıma ile yapılır . Bu basit bir mesele değildir, ancak kolay koymak için, güvenlik ağ geçidinizdeki örüntü tanıma motoru, kızartıcınız saldırıya uğradığında ve spam göndermeye başladığında, büyük ölçüde değişen bir davranış algılar.


2
Bu çok genel ve neredeyse gerçekçi bir seçenek değil. Sezgisel veya örüntü analizine dayalı izleme ve algılama (bazı Hesaplamalı Zekâ (CI) yöntemlerini varsayarsak) eldeki probleme bağlıdır, çoğunlukla sadece iyi ayarlanmış ortamlarda etkilidir.
dfernan

2
@ ddfernan Öyle. Ama asıl soru, haydut cihazımı izleyebilir miyim. Kolayca yapılmadığını ve uygun bir cevap olmadığını savunuyorum . Soru inanılmayacak kadar geniştir, çünkü belirli olanları değil tüm IoT cihazlarını hedeflemektedir. Dolayısıyla cevapların da biraz geniş olması gerekiyor.
Helmar

11

Bu noktada, istediklerinizin karmaşıklığı “ucuz, tek kartlı bilgisayar” seviyelerinin ötesindedir. Mevcut en kolay çözüm, izinsiz giriş tespit sistemi olan SNORT gibi bir şey kurmaktır. Başlangıçta, devam eden her şey için sizi uyaracak ve çok fazla yanlış pozitif elde edersiniz. Zaman içinde eğiterek (kendisinin manuel bir süreci) makul bir uyarı oranına düşürebilirsiniz, ancak şu anda tüketici pazarında mevcut "önceden hazırlanmış" bir çözüm yoktur. Her ikisi de, söz konusu çözümü kabul edilebilir karmaşıklık kapsamının dışında bırakacak olan önemli miktarda para (kurumsal / ticari çözümler) veya zaman (açık kaynaklı DIY sınıfı çözümler) gerektirir. En iyisi dürüstçe SNORT gibi bir şey olacak - "yeterince iyi" bir şey


1
Bu aradığım cevabı mort, sanırım. Yeterince kolay ve yeterince iyi - özellikle eğitim kalabalık kaynaklı rehberli olabilirse.
Sean Houlihane

1
Bununla birlikte, tek boynuzlu at benzeri ürünü / çözümü bulmak zor olacak. SNORT'u örnek olarak kullanıyorum, ancak sıradan bir ev kullanıcısı için oldukça karmaşık ve sizin için "yeterince kolay" işaretini kaçırdığını kanıtlayabilir. Beklentilerim, Ortalama Joe’dan biraz farklı, çünkü 20+ yıldır linux sysadmin oldum.
John,

Ve hala Snort öğrenme ;-)
Compelx

7

NoDDos aracıGelişiyorum, tam olarak ne istiyorsan onu yapmayı hedefliyor. Şu anda, IOT cihazlarını bilinen profillerin bir listesiyle eşleştirerek tanıyabilir, eşleşen her IOT cihazının DNS sorgularını ve trafik akışlarını toplayabilir ve büyük cihaz kümelerine dayalı desen analizi için buluta yükleyebilir. Bir sonraki adım, IOT cihazı başına trafik akışını kısıtlamak için Giriş Ağ Geçidi'ne ACL uygulamaktır. Aracın Giriş Ağ Geçitlerinde çalıştırılması hedefleniyor. Geçerli sürüm Python'da yazılmış olup, OpenWRT HGW'nizde Python'u çalıştırmanızı veya bir Linux DIY yönlendiricisine kurmanızı gerektirir. OpenWRT'de henüz trafik akışları hakkında bilgi toplayamıyorum ancak Linux DIY yönlendiricisinde ulogd2 kullanabiliyorum. Bu yüzden şu an düzenli bir Linux dağıtımına sahip basit bir Linux tabanlı yönlendiriciye ihtiyacınız var, bu tamamen çalışmaya devam ediyor ve trafik akışlarıyla çalışıyor, ancak C ++ 'a olan bağlantı noktam bittiğinde,

Aracın nasıl çalıştığı hakkında daha fazla bilgi için blogumu okuyabilirsiniz .


1
Birinin böyle bir araçla geleceğini umuyordum. Ağa bağlı bir cihazda (teorik olarak) çalışabilir ve trafiği izleyebilir mi? Bir SBD'nin birçok insan için açık bir yönlendiriciden daha kolay olabileceği görülüyor.
Sean Houlihane

NoDDos'un , dnsmasq DNS / DHCP sunucusunun günlük dosyalarına ve trafik akışlarını almak için ulogd2'ye bildirilen iptables bağlantı izleme olaylarına erişmesi gerekir. Yani ev ağ geçidi veya güvenlik duvarı bunun için doğru yer. Kod ve cihaz profili veritabanı açık kaynak olduğundan, belki gelecekte HGW satıcılarının ürünlerine dahil edebileceğini kim bilebilir. Bu süre zarfında, profil veritabanını oluşturmam gerekiyor ve bu, alfa test uzmanlarının bu aracı HGW'lerinde denemelerini ve sonuçları yüklemelerini gerektiriyor.
Steven

1

Kısacası, bu sorunu çözmek için standardizasyon ve ürün geliştirme çalışmaları sürmektedir. O zamana kadar, ağ bilgisi gerektirmeyen birkaç basit cevap var.

Alçakgönüllü önerim uygulanması kolaydır ve yerel ağınıza bir kablosuz yönlendirici takma ve kullanma dışında bir şey bilmeden (Internet’i büyük ölçüde korumamasına rağmen) bir koruma sağlar.

Ev ağınız için ayrı bir kablosuz yönlendirici satın alın ve sadece IoT cihazlarınız için kullanın. Bu, IoT cihazlarının diğer cihazlarınızı (PC'ler, Tabletler ve Akıllı Telefonlar gibi) keşfetmesini ve bunlara saldırmasını zorlaştıracaktır. Aynı şekilde, IoT’lerinize, sahip olabileceğiniz tehlikeli bilgi işlem aygıtlarından biraz koruma sağlar.

Bu çözüm bazı şeyleri kırabilir, ancak çözüm, bugün pek çok istenmeyen cihazın üretici tarafından kontrol edilen bir bulut altyapısı yoluyla uzaktan iletişim kurmasını sağlayarak, bilgisayar cihazlarınızla bilgisayarlarınızdan daha güvenli bir şekilde iletişim kurmasına yardımcı olacak, çoğunlukla istenmeyen bir gerçeklikten kaynaklanıyor. aynı ağda olmalarını. Ayrıca üreticinin hakkınızdaki kişisel bilgileri toplamasına ve bunları üçüncü taraflara sağlamasına olanak tanır.


2
Bunun bir cevap değil, soruya somut olduğunu düşünüyorum.
Sean Houlihane

1
Aslında, diğer cevapların bazılarının teğet olduğunu düşündüm. Soru sahibi, özellikle bir ağ uzmanı olmamı veya ucuz tek kartlı bir bilgisayardan başka bir şeye yatırım yapmamı gerektirmeyen "ya da" Yetenekli bir amatör için pratik yapmak için daha fazla odaklanmayı düşünen "cevapları istediğini söyledi. Güçlü bir üretim kalitesi çözümünden daha fazla. " - Bu şartlara uygun olduğunu düşündüğüm bir cevap yazdım. Yorumunuzun onuruna, muhtemelen gereksiz olan son paragrafı sildim [yani RTFM].
Hugh Buntu

Korumadan ziyade özellikle izleme hakkında sorular sordum. bence cevabınız bunlardan biri için daha iyi: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 veya iot.stackexchange.com/questions/9 (ikincisi oldukça fazla olsa da) cevaplar zaten!)
Sean Houlihane
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.