Tôi có thể giám sát mạng của mình để biết hoạt động của thiết bị IoT giả mạo không?

Để giảm thiểu hoặc quản lý rủi ro khi một số thiết bị trên mạng gia đình của tôi bị xâm phạm, việc theo dõi lưu lượng truy cập mạng có khả thi để phát hiện sự thỏa hiệp không?

Tôi đặc biệt quan tâm đến các giải pháp không yêu cầu tôi phải là một chuyên gia mạng hoặc đầu tư vào bất cứ thứ gì ngoài máy tính một bảng giá rẻ. Đây có phải là một tính năng thực tế có thể được tích hợp trong tường lửa bộ định tuyến hay là vấn đề quá khó khăn để có một giải pháp đơn giản, dễ cấu hình?

Tôi không hỏi về Wireshark - Tôi đang yêu cầu một hệ thống khép kín có thể tạo ra các cảnh báo về hoạt động đáng ngờ. Cũng suy nghĩ tập trung hơn vào thực tế để thiết lập cho một người nghiệp dư có khả năng hơn là một giải pháp chất lượng sản xuất mạnh mẽ.

phụ lục: Tôi thấy hiện tại có một dự án kickstarter (akita) dường như cung cấp các phân tích dựa trên đám mây được điều khiển từ việc đánh hơi WiFi cục bộ.

Đây không phải là một chủ đề đơn giản. Phát hiện một sự thỏa hiệp, như bạn nói, có thể xảy ra dưới nhiều hình thức và dẫn đến nhiều kết quả về mặt hệ thống hoặc hành vi mạng. Quan sát có thể yêu cầu biết sự khác biệt giữa bình thường và đáng ngờ về mặt hành vi của hệ thống và mạng.

Đối với giải pháp gia đình ở cấp mạng, tùy chọn được đề xuất là proxy (trong suốt) hoặc cổng tùy chỉnh chạy nhiều dịch vụ mạng ( ví dụ : DHCP, DNS) và các ứng dụng bảo mật ( ví dụ: tường lửa, IDS, proxy) có thể giúp ghi nhật ký ( ví dụ: proxy HTTP, truy vấn DNS), làm cứng ( ví dụ: lọc, danh sách đen, danh sách trắng), giám sát ( ví dụ: lưu lượng truy cập mạng) và cảnh báo dựa trên chữ ký. Các công cụ chính cho việc này bao gồm Bro, IPFire, pfSense và Snort.

Xem Thiết lập máy chủ Proxy trên bộ định tuyến nhà của tôi để bật tính năng lọc nội dung để biết chi tiết về thiết lập ví dụ.

Điều này là quá tầm thường. Mọi thiết bị IoT hơi phức tạp sẽ giao tiếp qua HTTPS khiến cho việc nói về những gì nó không quá dễ dàng, ngay cả khi bạn có một cổng internet không bị xâm phạm trong bộ định tuyến của mình.

Thật không may, bạn không thể biết điểm cuối nào mà thiết bị IoT được cho là nói chuyện và điểm nào không. Mặc dù hầu hết các nhà cung cấp thiết bị điện tử tiêu dùng lớn sẽ có xương lưng chuyên dụng, điều đó không có nghĩa là các thiết bị có thể không có lý do chính đáng để nói chuyện với các nhà cung cấp thông tin khác (ví dụ: dịch vụ thời tiết, cộng đồng công thức nấu ăn, v.v.).

Tất cả những điều bạn không thể biết và thậm chí tệ hơn là bản cập nhật không dây của thiết bị IoT của bạn có thể thay đổi hoàn toàn hành vi đó. Nếu bạn thiết lập cổng bảo mật của riêng mình với các tiêu chí lọc của danh sách đen hoặc danh sách trắng, bạn có thể cản trở nghiêm trọng chức năng của thiết bị. Ví dụ: bạn có thể đã xác định thành công mọi địa chỉ thông thường cho danh sách trắng nhưng bạn sẽ không bao giờ nhận được cập nhật vì đó là những đối tác truyền thông hiếm khi được sử dụng.

Câu trả lời: Nhận dạng mẫu

Phát hiện thiết bị của bạn đã bị xâm nhập thường được thực hiện bằng nhận dạng mẫu . Đó không phải là vấn đề đơn giản, nhưng dễ dàng đặt ra, công cụ nhận dạng mẫu trên cổng bảo mật của bạn sẽ phát hiện hành vi thay đổi mạnh mẽ nếu máy nướng bánh mì của bạn đã bị hack và bắt đầu gửi thư rác.

Tại thời điểm này, sự phức tạp của những gì bạn muốn vượt quá mức "máy tính bảng đơn giá rẻ". Giải pháp đơn giản nhất có sẵn là thiết lập một cái gì đó như SNORT, một hệ thống phát hiện xâm nhập. Ban đầu, nó sẽ cảnh báo bạn về mọi thứ đang diễn ra và bạn sẽ nhận được quá nhiều điều tích cực sai. Bằng cách đào tạo nó theo thời gian (bản thân nó là một quy trình thủ công), bạn có thể giảm tỷ lệ cảnh báo hợp lý, nhưng hiện tại không có giải pháp "đóng hộp sẵn" nào trên thị trường tiêu dùng. Họ hoặc yêu cầu đầu tư đáng kể tiền (giải pháp doanh nghiệp / thương mại) hoặc thời gian (giải pháp lớp DIY nguồn mở), một trong hai sẽ đặt giải pháp được đề cập bên ngoài phạm vi phức tạp chấp nhận được. Đặt cược tốt nhất của bạn là thành thật sẽ là một cái gì đó giống như SNORT - một cái gì đó "đủ tốt"

Công cụ NoDDosTôi đang phát triển được nhắm mục tiêu để làm những gì bạn đang yêu cầu. Ngay bây giờ, nó có thể nhận ra các thiết bị IOT bằng cách khớp chúng với một danh sách các cấu hình đã biết, nó có thể thu thập các truy vấn DNS và luồng lưu lượng của từng thiết bị IOT phù hợp và tải nó lên đám mây để phân tích mẫu dựa trên các bộ thiết bị lớn. Bước tiếp theo là triển khai ACL trên Cổng nhà để hạn chế luồng lưu lượng trên mỗi thiết bị IOT. Công cụ này được nhắm mục tiêu để chạy trên Home Gateways. Phiên bản hiện tại được viết bằng Python, yêu cầu bạn chạy Python trên OpenWRT HGW hoặc cài đặt trên bộ định tuyến DIY DIY của Linux. Trong OpenWRT tôi chưa thể thu thập thông tin về các luồng lưu lượng nhưng trên bộ định tuyến Linux DIY tôi có thể sử dụng ulogd2. Vì vậy, ngay bây giờ bạn cần một bộ định tuyến dựa trên Linux đơn giản với bản phân phối Linux thông thường để có được điều này đầy đủ và chạy với luồng lưu lượng nhưng một khi cổng của tôi đến C ++ kết thúc,

Bạn có thể đọc blog của tôi để biết thêm thông tin về cách thức hoạt động của công cụ.

Nói tóm lại, tiêu chuẩn hóa và phát triển sản phẩm đang được tiến hành để giải quyết vấn đề này. Cho đến lúc đó, có một vài câu trả lời đơn giản không yêu cầu một số kiến ​​thức về mạng.

Đề xuất khiêm tốn của tôi rất dễ thực hiện và sẽ cung cấp cho mạng cục bộ của bạn một số biện pháp bảo vệ (mặc dù nó sẽ không bảo vệ Internet trên diện rộng) mà không biết gì về mạng ngoài cách cắm và sử dụng bộ định tuyến không dây.

Mua một bộ định tuyến không dây riêng cho mạng gia đình của bạn và chỉ sử dụng nó cho các thiết bị IoT của bạn. Điều này sẽ khiến các thiết bị IoT khó phát hiện và tấn công các thiết bị khác của bạn hơn (như PC, Máy tính bảng và Điện thoại thông minh). Tương tự như vậy, nó sẽ cung cấp cho IoT của bạn một số bảo vệ khỏi các thiết bị điện toán bị xâm nhập mà bạn có thể có.

Giải pháp này có thể phá vỡ một số thứ, nhưng giải pháp được trợ giúp một cách khó khăn bởi thực tế hầu như không mong muốn là ngày nay, nhiều thiết bị Iot đạt được giao tiếp từ xa thông qua cơ sở hạ tầng đám mây do nhà sản xuất kiểm soát, giúp Iots của bạn giao tiếp với các thiết bị máy tính của bạn an toàn hơn có chúng trên cùng một mạng. Nó cũng cho phép nhà sản xuất thu thập thông tin cá nhân về bạn và cung cấp cho bên thứ ba.