Могу ли я контролировать свою сеть на предмет мошеннической активности IoT-устройства?

Чтобы снизить риск компрометации некоторых устройств в моей домашней сети или нет, возможно ли осуществлять мониторинг сетевого трафика с целью обнаружения компрометации?

Я особенно заинтересован в решениях, которые не требуют, чтобы я был сетевым экспертом или инвестировал в что-то большее, чем дешевый одноплатный компьютер. Является ли эта функция практически интегрированной в брандмауэр маршрутизатора, или проблема слишком сложна, чтобы ее можно было найти, чтобы иметь простое и легкое в настройке решение?

Я не спрашиваю о Wireshark - я прошу автономную систему, которая может генерировать предупреждения о подозрительной активности. Кроме того, размышления больше сосредоточены на практической настройке для способного любителя, а не на надежном решении по качеству производства.

Приложение: я вижу, что сейчас есть проект кикстартер (акита), который, похоже, предлагает облачную аналитику, основанную на локальном прослушивании WiFi.

Это не простая тема. Обнаружение компромисса, как вы говорите, может происходить во многих формах и приводить к множественным результатам с точки зрения поведения системы или сети. Наблюдение за этим может потребовать знания различий между нормальным и подозрительным поведением системы и сети.

Для домашнего решения на сетевом уровне рекомендуется использовать (прозрачный) прокси-сервер или настраиваемый шлюз с несколькими сетевыми службами ( например , DHCP, DNS) и приложениями безопасности ( например , брандмауэр, IDS, прокси-серверы), которые могут помочь при ведении журнала. ( например , HTTP-прокси, DNS-запросы), усиление защиты ( например , фильтрация, внесение в черный список, внесение в белый список), мониторинг ( например , сетевой трафик) и оповещение на основе сигнатур. Основные инструменты для этого включают Bro, IPFire, pfSense и Snort.

См. Настройка прокси-сервера на моем домашнем маршрутизаторе, чтобы включить фильтрацию содержимого, для получения подробной информации о примерной настройке.

Это за тривиальным. Каждое несколько сложное IoT-устройство будет взаимодействовать через HTTPS, что не очень легко понять, о чем идет речь, даже если у вас есть не скомпрометированный интернет-шлюз в вашем маршрутизаторе.

К сожалению, вы не можете знать, с какими конечными точками устройство IoT должно общаться, а с какими нет. В то время как у большинства крупных поставщиков бытовой электроники есть свои выделенные магистрали, это не означает, что у устройств может не быть веских причин для общения с другими поставщиками информации (например, метеослужбами, сообществами кулинарных рецептов и т. Д.)

Все эти вещи, которые вы, возможно, не можете знать, и, что еще хуже, беспроводное обновление вашего IoT-устройства может полностью изменить это поведение. Если вы настроите свой собственный шлюз безопасности с критериями фильтрации черного или белого списков, вы можете серьезно затруднить работу вашего устройства. Например, вы, возможно, успешно определили каждый из обычных адресов в белый список, но вы никогда не получите обновления, потому что это редко используемые партнеры по общению.

Ответ: распознавание образов

Обнаружение того, что ваше устройство было взломано, обычно выполняется с помощью распознавания образов . Это не просто, но легко сказать, механизм распознавания образов на вашем шлюзе безопасности обнаружит радикально изменившееся поведение, если ваш тостер был взломан и начнет рассылать спам.

На данный момент сложность того, что вы хотите, выходит за рамки «дешевого одноплатного компьютера». Самое простое доступное решение - настроить что-то вроде SNORT, который является системой обнаружения вторжений. Первоначально, это предупредит вас обо всем, что происходит, и вы получите слишком много ложных срабатываний. Обучая его с течением времени (сам по себе ручной процесс), вы можете снизить его до разумного уровня оповещения, но в настоящее время на потребительском рынке не существует «предварительно консервированных» решений. Они либо требуют значительных вложений денег (корпоративные / коммерческие решения) или времени (решения DIY-класса с открытым исходным кодом), что может поставить рассматриваемое решение за пределы приемлемой сложности. Ваша лучшая ставка, честно говоря, будет что-то вроде SNORT - что-то "достаточно хорошее"

Инструмент NoDDosЯ занимаюсь разработкой, чтобы делать то, что вы просите. Прямо сейчас он может распознавать устройства IOT, сопоставляя их со списком известных профилей, он может собирать запросы DNS и потоки трафика каждого соответствующего устройства IOT и загружать его в облако для анализа шаблонов на основе больших наборов устройств. Следующим шагом является реализация списков ACL на домашнем шлюзе для ограничения потоков трафика для каждого устройства IOT. Инструмент предназначен для работы на домашних шлюзах. Текущая версия написана на Python и требует, чтобы вы запускали Python на OpenWRT HGW или устанавливали на Linux DIY роутер. В OpenWRT я пока не могу собрать информацию о потоках трафика, но на Linux DIY роутере я могу использовать ulogd2. Итак, прямо сейчас вам нужен простой маршрутизатор на основе Linux с обычным дистрибутивом Linux, чтобы полностью его запустить и запустить с потоками трафика, но как только мой порт на C ++ закончен,

Вы можете прочитать мой блог для получения дополнительной информации о том, как работает инструмент.

Короче говоря, для решения этой проблемы ведется разработка стандартов и продуктов. До этого есть несколько простых ответов, которые не требуют сетевых знаний.

Мое скромное предложение легко реализуемо и обеспечит вашу локальную сеть некоторой защитой (хотя это не защитит Интернет в целом), не зная ничего о сети, кроме как подключить и использовать беспроводной маршрутизатор.

Купите отдельный беспроводной маршрутизатор для вашей домашней сети и используйте его только для своих устройств IoT. Это усложнит для устройств IoT обнаружение и атаку других ваших устройств (таких как ПК, планшеты и смартфоны). Кроме того, он обеспечит вашим IoT некоторую защиту от скомпрометированных компьютерных устройств, которые могут у вас быть.

Это решение может кое-что сломать, но решение извращенно помогает в большинстве случаев нежелательная реальность, заключающаяся в том, что сегодня многие устройства Iot обеспечивают удаленную связь через облачную инфраструктуру, контролируемую производителем, что поможет вашим IOT-устройствам более безопасно взаимодействовать с вашими вычислительными устройствами, чем имея их в одной сети. Это также позволяет производителю собирать личную информацию о вас и предоставлять ее третьим лицам.