Tôi có thể giám sát mạng của mình để biết hoạt động của thiết bị IoT giả mạo không?


36

Để giảm thiểu hoặc quản lý rủi ro khi một số thiết bị trên mạng gia đình của tôi bị xâm phạm, việc theo dõi lưu lượng truy cập mạng có khả thi để phát hiện sự thỏa hiệp không?

Tôi đặc biệt quan tâm đến các giải pháp không yêu cầu tôi phải là một chuyên gia mạng hoặc đầu tư vào bất cứ thứ gì ngoài máy tính một bảng giá rẻ. Đây có phải là một tính năng thực tế có thể được tích hợp trong tường lửa bộ định tuyến hay là vấn đề quá khó khăn để có một giải pháp đơn giản, dễ cấu hình?

Tôi không hỏi về Wireshark - Tôi đang yêu cầu một hệ thống khép kín có thể tạo ra các cảnh báo về hoạt động đáng ngờ. Cũng suy nghĩ tập trung hơn vào thực tế để thiết lập cho một người nghiệp dư có khả năng hơn là một giải pháp chất lượng sản xuất mạnh mẽ.

phụ lục: Tôi thấy hiện tại có một dự án kickstarter (akita) dường như cung cấp các phân tích dựa trên đám mây được điều khiển từ việc đánh hơi WiFi cục bộ.



Khi bảo mật trở thành vấn đề lớn, tôi chắc chắn họ sẽ sản xuất Tường lửa IOT và IOT IPS, tất cả lưu lượng truy cập IOT của bạn được chuyển qua các thiết bị này giống như các cơ sở hạ tầng CNTT khác, nơi bạn có thể giám sát chặt chẽ mạng IOT của mình.
R__raki__

1
@Rakesh_K, câu hỏi này chính xác chống lại loại thiết bị được phát minh - Tôi muốn nắm bắt các kỹ thuật đã biết tồn tại ngày nay.
Sean Houlihane

1
Đã đồng ý. Ngoài ra, có một số lượng lớn các giao thức được sử dụng trong IoT, hơn là được xử lý bởi một tường lửa tiêu chuẩn.
Mawg

1
Trong thực tế, đây có phải là một câu hỏi cụ thể về IoT không? Có lẽ bảo mật.stackexchange.com ?
Mawg

Câu trả lời:


18

Đây không phải là một chủ đề đơn giản. Phát hiện một sự thỏa hiệp, như bạn nói, có thể xảy ra dưới nhiều hình thức và dẫn đến nhiều kết quả về mặt hệ thống hoặc hành vi mạng. Quan sát có thể yêu cầu biết sự khác biệt giữa bình thường và đáng ngờ về mặt hành vi của hệ thống và mạng.

Đối với giải pháp gia đình ở cấp mạng, tùy chọn được đề xuất là proxy (trong suốt) hoặc cổng tùy chỉnh chạy nhiều dịch vụ mạng ( ví dụ : DHCP, DNS) và các ứng dụng bảo mật ( ví dụ: tường lửa, IDS, proxy) có thể giúp ghi nhật ký ( ví dụ: proxy HTTP, truy vấn DNS), làm cứng ( ví dụ: lọc, danh sách đen, danh sách trắng), giám sát ( ví dụ: lưu lượng truy cập mạng) và cảnh báo dựa trên chữ ký. Các công cụ chính cho việc này bao gồm Bro, IPFire, pfSense và Snort.

Xem Thiết lập máy chủ Proxy trên bộ định tuyến nhà của tôi để bật tính năng lọc nội dung để biết chi tiết về thiết lập ví dụ.


16

Điều này là quá tầm thường. Mọi thiết bị IoT hơi phức tạp sẽ giao tiếp qua HTTPS khiến cho việc nói về những gì nó không quá dễ dàng, ngay cả khi bạn có một cổng internet không bị xâm phạm trong bộ định tuyến của mình.

Thật không may, bạn không thể biết điểm cuối nào mà thiết bị IoT được cho là nói chuyện và điểm nào không. Mặc dù hầu hết các nhà cung cấp thiết bị điện tử tiêu dùng lớn sẽ có xương lưng chuyên dụng, điều đó không có nghĩa là các thiết bị có thể không có lý do chính đáng để nói chuyện với các nhà cung cấp thông tin khác (ví dụ: dịch vụ thời tiết, cộng đồng công thức nấu ăn, v.v.).

Tất cả những điều bạn không thể biết và thậm chí tệ hơn là bản cập nhật không dây của thiết bị IoT của bạn có thể thay đổi hoàn toàn hành vi đó. Nếu bạn thiết lập cổng bảo mật của riêng mình với các tiêu chí lọc của danh sách đen hoặc danh sách trắng, bạn có thể cản trở nghiêm trọng chức năng của thiết bị. Ví dụ: bạn có thể đã xác định thành công mọi địa chỉ thông thường cho danh sách trắng nhưng bạn sẽ không bao giờ nhận được cập nhật vì đó là những đối tác truyền thông hiếm khi được sử dụng.

Câu trả lời: Nhận dạng mẫu

Phát hiện thiết bị của bạn đã bị xâm nhập thường được thực hiện bằng nhận dạng mẫu . Đó không phải là vấn đề đơn giản, nhưng dễ dàng đặt ra, công cụ nhận dạng mẫu trên cổng bảo mật của bạn sẽ phát hiện hành vi thay đổi mạnh mẽ nếu máy nướng bánh mì của bạn đã bị hack và bắt đầu gửi thư rác.


2
Điều này rất chung chung và hầu như không phải là một lựa chọn thực tế. Theo dõi và phát hiện dựa trên phân tích heuristic hoặc phân tích mẫu (giả sử một số phương pháp Thông minh tính toán (CI)) phụ thuộc nhiều vào vấn đề trong tay, hầu như chỉ hiệu quả trong môi trường tinh chỉnh.
dfer Nam

2
@dfer Nam Đó là. Nhưng câu hỏi là tôi có thể theo dõi thiết bị giả mạo của mình không. Tôi cho rằng nó không dễ thực hiện là một câu trả lời thích hợp. Câu hỏi rất rộng vì nó nhắm mục tiêu tất cả các thiết bị IoT không phải là thiết bị cụ thể. Do đó, các câu trả lời phải có phần rộng.
Helmar

11

Tại thời điểm này, sự phức tạp của những gì bạn muốn vượt quá mức "máy tính bảng đơn giá rẻ". Giải pháp đơn giản nhất có sẵn là thiết lập một cái gì đó như SNORT, một hệ thống phát hiện xâm nhập. Ban đầu, nó sẽ cảnh báo bạn về mọi thứ đang diễn ra và bạn sẽ nhận được quá nhiều điều tích cực sai. Bằng cách đào tạo nó theo thời gian (bản thân nó là một quy trình thủ công), bạn có thể giảm tỷ lệ cảnh báo hợp lý, nhưng hiện tại không có giải pháp "đóng hộp sẵn" nào trên thị trường tiêu dùng. Họ hoặc yêu cầu đầu tư đáng kể tiền (giải pháp doanh nghiệp / thương mại) hoặc thời gian (giải pháp lớp DIY nguồn mở), một trong hai sẽ đặt giải pháp được đề cập bên ngoài phạm vi phức tạp chấp nhận được. Đặt cược tốt nhất của bạn là thành thật sẽ là một cái gì đó giống như SNORT - một cái gì đó "đủ tốt"


1
Đây là cách trả lời mà tôi đang tìm kiếm, tôi nghĩ vậy. Đủ dễ, và đủ tốt - đặc biệt nếu việc đào tạo có thể được hướng dẫn theo đám đông.
Sean Houlihane

1
Tuy nhiên, việc tìm kiếm sản phẩm / giải pháp giống kỳ lân đó sẽ rất khó khăn. Tôi sử dụng SNORT làm ví dụ, nhưng nó khá phức tạp đối với người dùng gia đình bình thường và có thể chứng minh là bỏ lỡ dấu hiệu "đủ dễ dàng" cho bạn. Kỳ vọng của tôi hơi khác so với Average Joe's, vì tôi đã là một sysadmin linux trong hơn 20 năm.
Giăng

Và vẫn đang học Snort ;-) Đó là compelx - nhưng, cuối cùng, đáng giá
Mawg 7/12/2016

7

Công cụ NoDDosTôi đang phát triển được nhắm mục tiêu để làm những gì bạn đang yêu cầu. Ngay bây giờ, nó có thể nhận ra các thiết bị IOT bằng cách khớp chúng với một danh sách các cấu hình đã biết, nó có thể thu thập các truy vấn DNS và luồng lưu lượng của từng thiết bị IOT phù hợp và tải nó lên đám mây để phân tích mẫu dựa trên các bộ thiết bị lớn. Bước tiếp theo là triển khai ACL trên Cổng nhà để hạn chế luồng lưu lượng trên mỗi thiết bị IOT. Công cụ này được nhắm mục tiêu để chạy trên Home Gateways. Phiên bản hiện tại được viết bằng Python, yêu cầu bạn chạy Python trên OpenWRT HGW hoặc cài đặt trên bộ định tuyến DIY DIY của Linux. Trong OpenWRT tôi chưa thể thu thập thông tin về các luồng lưu lượng nhưng trên bộ định tuyến Linux DIY tôi có thể sử dụng ulogd2. Vì vậy, ngay bây giờ bạn cần một bộ định tuyến dựa trên Linux đơn giản với bản phân phối Linux thông thường để có được điều này đầy đủ và chạy với luồng lưu lượng nhưng một khi cổng của tôi đến C ++ kết thúc,

Bạn có thể đọc blog của tôi để biết thêm thông tin về cách thức hoạt động của công cụ.


1
Tôi đã hy vọng ai đó sẽ đưa ra một công cụ như thế này. Về mặt lý thuyết, nó có thể chạy trên một thiết bị gắn mạng và chỉ cần theo dõi lưu lượng không? Có vẻ như một SBD có thể dễ dàng hơn một bộ định tuyến mở cho nhiều người.
Sean Houlihane

NoDDos cần truy cập vào các logfiles của máy chủ DNS / DHCP dnsmasq và các sự kiện theo dõi kết nối iptables được báo cáo với ulogd2 để nhận luồng lưu lượng. Vì vậy, Cổng nhà hoặc tường lửa là nơi thích hợp cho việc này. Vì cơ sở dữ liệu mã và hồ sơ thiết bị là nguồn mở, có lẽ ai biết trong các nhà cung cấp HGW trong tương lai có thể đưa nó vào sản phẩm của họ. Trong lúc này, tôi cần xây dựng cơ sở dữ liệu hồ sơ và điều đó sẽ yêu cầu người kiểm tra alpha thử công cụ này trên HGW của họ và tải lên kết quả.
Steven

1

Nói tóm lại, tiêu chuẩn hóa và phát triển sản phẩm đang được tiến hành để giải quyết vấn đề này. Cho đến lúc đó, có một vài câu trả lời đơn giản không yêu cầu một số kiến ​​thức về mạng.

Đề xuất khiêm tốn của tôi rất dễ thực hiện và sẽ cung cấp cho mạng cục bộ của bạn một số biện pháp bảo vệ (mặc dù nó sẽ không bảo vệ Internet trên diện rộng) mà không biết gì về mạng ngoài cách cắm và sử dụng bộ định tuyến không dây.

Mua một bộ định tuyến không dây riêng cho mạng gia đình của bạn và chỉ sử dụng nó cho các thiết bị IoT của bạn. Điều này sẽ khiến các thiết bị IoT khó phát hiện và tấn công các thiết bị khác của bạn hơn (như PC, Máy tính bảng và Điện thoại thông minh). Tương tự như vậy, nó sẽ cung cấp cho IoT của bạn một số bảo vệ khỏi các thiết bị điện toán bị xâm nhập mà bạn có thể có.

Giải pháp này có thể phá vỡ một số thứ, nhưng giải pháp được trợ giúp một cách khó khăn bởi thực tế hầu như không mong muốn là ngày nay, nhiều thiết bị Iot đạt được giao tiếp từ xa thông qua cơ sở hạ tầng đám mây do nhà sản xuất kiểm soát, giúp Iots của bạn giao tiếp với các thiết bị máy tính của bạn an toàn hơn có chúng trên cùng một mạng. Nó cũng cho phép nhà sản xuất thu thập thông tin cá nhân về bạn và cung cấp cho bên thứ ba.


2
Tôi nghĩ rằng điều này là tiếp tuyến cho câu hỏi, không thực sự là một câu trả lời.
Sean Houlihane

1
Trên thực tế, tôi nghĩ rằng một số câu trả lời khác là tiếp tuyến. Người hỏi đặc biệt nói rằng anh ta muốn có câu trả lời "không yêu cầu tôi phải là chuyên gia mạng hoặc đầu tư vào bất cứ thứ gì ngoài máy tính một bảng giá rẻ", hoặc "Cũng suy nghĩ tập trung hơn vào thực tế để thiết lập cho một người nghiệp dư có khả năng hơn hơn là một giải pháp chất lượng sản xuất mạnh mẽ. " - Tôi đã viết một câu trả lời mà tôi nghĩ đã đáp ứng những điều kiện đó. Để tôn trọng nhận xét của bạn, tôi đã xóa đoạn cuối có thể không cần thiết [ví dụ RTFM].
Hugh Buntu

Tôi hỏi cụ thể về giám sát, thay vì bảo vệ. Tôi nghĩ rằng câu trả lời của bạn tốt hơn cho một trong những điều sau: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 hoặc iot.stackexchange.com/questions/9 (mặc dù sau này có khá nhiều đã có câu trả lời!)
Sean Houlihane
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.