Posso monitorare la mia rete per attività di dispositivi IoT non autorizzati?

Al fine di mitigare o gestire il rischio di compromissione di alcuni dispositivi della mia rete domestica, è possibile monitorare il traffico di rete in modo da rilevare un compromesso?

Sono particolarmente interessato a soluzioni che non mi richiedono di essere un esperto di reti o di investire in qualcosa di più di un computer economico a scheda singola. È una funzionalità che può essere praticamente integrata in un firewall del router o il problema è troppo difficile da associare per avere una soluzione semplice e facile da configurare?

Non sto chiedendo di Wireshark - sto chiedendo un sistema autonomo in grado di generare avvisi di attività sospette. Pensando anche più focalizzato sulla pratica da configurare per un dilettante capace piuttosto che su una solida soluzione di qualità di produzione.

addendum: Vedo che ora esiste un progetto kickstarter (Akita) che sembra offrire analisi basate su cloud guidate dallo sniffing WiFi locale.

Questo non è un argomento semplice. Il rilevamento di un compromesso, come dici tu, può accadere in molte forme e provocare molteplici risultati in termini di comportamento del sistema o della rete. Osservare ciò può richiedere la conoscenza della differenza tra normale e sospetto in termini di comportamento del sistema e della rete.

Per una soluzione domestica a livello di rete, l'opzione consigliata è un proxy (trasparente) o un gateway personalizzato che esegue più servizi di rete (ad es . DHCP, DNS) e applicazioni di sicurezza ( ad es . Firewall, IDS, proxy) che possono aiutare con la registrazione ( ad es . proxy HTTP, query DNS), rafforzamento ( ad es . filtro, lista nera, whitelisting), monitoraggio ( ad es . traffico di rete) e avvisi basati sulle firme. I principali strumenti per questo includono Bro, IPFire, pfSense e Snort.

Vedere Impostazione di un server proxy sul mio router di casa per abilitare il filtro contenuto per dettagli su una configurazione di esempio.

Questo è oltre banale. Ogni dispositivo IoT un po 'sofisticato comunicherà tramite HTTPS, rendendo non troppo facile sapere di cosa sta parlando, anche se nel router è presente un gateway Internet non compromesso.

Sfortunatamente non puoi sapere con quali end point il dispositivo IoT dovrebbe parlare e quali no. Mentre la maggior parte dei grandi fornitori di elettronica di consumo avrà le loro ossa posteriori dedicate, ciò non significa che i dispositivi potrebbero non avere buone ragioni per parlare con altri fornitori di informazioni (ad esempio servizi meteorologici, comunità di ricette di cucina, ecc ...).

Tutte queste cose che non puoi assolutamente sapere e, peggio ancora, un aggiornamento over-the-air del tuo dispositivo IoT possono cambiare completamente quel comportamento. Se configuri il tuo gateway di sicurezza con criteri di filtro per la blacklist o la whitelist, potresti compromettere seriamente la funzionalità del tuo dispositivo. Ad esempio, potresti aver determinato con successo tutti i soliti indirizzi da inserire nella whitelist, ma non riceverai mai un aggiornamento perché quelli sono partner di comunicazione usati raramente.

La risposta: Pattern Recognition

Rilevare che il dispositivo è stato compromesso viene in genere eseguito mediante il riconoscimento di schemi . Non è semplice, ma semplice, il motore di riconoscimento dei modelli sul gateway di sicurezza rileverà un comportamento radicalmente modificato se il tuo tostapane è stato violato e inizia a inviare spam.

A questo punto, la complessità di ciò che si desidera va oltre i livelli di "computer a scheda singola" economici. La soluzione più semplice disponibile è installare qualcosa come SNORT, che è un sistema di rilevamento delle intrusioni. Inizialmente, ti avvertirà di tutto ciò che sta succedendo e otterrai troppi falsi positivi. Formandolo nel tempo (esso stesso un processo manuale) è possibile ridurlo a un tasso di allerta ragionevole, ma al momento non ci sono soluzioni "preconfezionate" disponibili sul mercato dei consumatori. O richiedono ingenti investimenti di denaro (soluzioni aziendali / commerciali) o tempo (soluzioni open source di classe fai-da-te), entrambi i quali metterebbero la soluzione in questione al di fuori dell'ambito accettabile della complessità. La tua scommessa migliore sarà onestamente qualcosa come SNORT - qualcosa che è "abbastanza buono"

Lo strumento NoDDosLo sviluppo è mirato a fare proprio quello che stai chiedendo. In questo momento è in grado di riconoscere i dispositivi IOT abbinandoli a un elenco di profili noti, può raccogliere le query DNS e i flussi di traffico di ciascun dispositivo IOT abbinato e caricarlo sul cloud per l'analisi dei modelli basata su grandi set di dispositivi. Il prossimo passo è implementare ACL sul Home Gateway per limitare i flussi di traffico per dispositivo IOT. Lo strumento è progettato per essere eseguito su Home Gateway. La versione corrente è scritta in Python e richiede l'esecuzione di Python sul tuo OpenWRT HGW o l'installazione su un router Linux fai-da-te. In OpenWRT non riesco ancora a raccogliere informazioni sui flussi di traffico, ma sul router fai-da-te Linux posso usare ulogd2. Quindi in questo momento hai bisogno di un semplice router basato su Linux con una normale distribuzione Linux per renderlo pienamente operativo e funzionante con i flussi di traffico, ma una volta terminata la mia porta su C ++,

Puoi leggere il mio blog per maggiori informazioni su come funziona lo strumento.

In breve, la standardizzazione e gli sviluppi del prodotto sono in corso per affrontare questo problema. Fino ad allora, ci sono alcune semplici risposte che non richiedono alcune conoscenze di rete.

Il mio modesto suggerimento è facile da implementare e fornirà alla tua rete locale un po 'di protezione (anche se non proteggerà Internet in generale) senza sapere altro sulla rete oltre a come collegare e utilizzare un router wireless.

Acquista un router wireless separato per la tua rete domestica e utilizzalo solo per i tuoi dispositivi IoT. Ciò renderà più difficile per i dispositivi IoT scoprire e attaccare altri dispositivi (come PC, tablet e smartphone). Allo stesso modo, fornirà al tuo IoT una protezione dai dispositivi informatici compromessi che potresti avere.

Questa soluzione potrebbe rompere alcune cose, ma la soluzione è perversamente aiutata dalla realtà per lo più indesiderabile che oggi molti dispositivi Iot raggiungono le comunicazioni remote attraverso un'infrastruttura cloud controllata dal produttore, che aiuterà i tuoi Iots a comunicare con i tuoi dispositivi informatici in modo più sicuro di averli sulla stessa rete. Inoltre, consente al produttore di raccogliere informazioni personali su di te e di fornirle a terzi.