ฉันสามารถตรวจสอบเครือข่ายของฉันสำหรับกิจกรรมอุปกรณ์โกง IoT ได้หรือไม่

เพื่อลดหรือจัดการความเสี่ยงจากการมีอุปกรณ์บางอย่างในเครือข่ายภายในบ้านของฉันถูกบุกรุกมันเป็นไปได้หรือไม่ที่จะตรวจสอบปริมาณการใช้งานเครือข่ายเพื่อตรวจจับการบุกรุก

ฉันสนใจในโซลูชันที่ไม่ต้องการให้ฉันเป็นผู้เชี่ยวชาญด้านระบบเครือข่ายหรือลงทุนในสิ่งใดมากกว่าคอมพิวเตอร์บอร์ดเดี่ยวราคาถูก นี่เป็นคุณสมบัติที่สามารถรวมเข้ากับไฟร์วอลล์เราเตอร์หรือเป็นปัญหาที่ยากเกินกว่าจะมีโซลูชันที่ง่ายและสะดวกในการกำหนดค่าหรือไม่?

ฉันไม่ได้ถามเกี่ยวกับ Wireshark - ฉันขอระบบที่อยู่ในตัวเองซึ่งสามารถสร้างการแจ้งเตือนกิจกรรมที่น่าสงสัย นอกจากนี้ยังคำนึงถึงการตั้งค่าสำหรับมือสมัครเล่นที่มีความสามารถมากกว่าที่จะใช้โซลูชันคุณภาพที่มีประสิทธิภาพ

ภาคผนวก: ฉันเห็นว่าตอนนี้มีโครงการ kickstarter (อาคิตะ)ซึ่งดูเหมือนว่าจะนำเสนอการวิเคราะห์บนคลาวด์ที่ขับเคลื่อนด้วยการสูดดม WiFi ท้องถิ่น

นี่ไม่ใช่หัวข้อที่ตรงไปตรงมา การตรวจจับการประนีประนอมอาจเกิดขึ้นได้ในหลายรูปแบบและส่งผลให้เกิดผลลัพธ์หลายประการในแง่ของระบบหรือพฤติกรรมเครือข่าย การสังเกตที่อาจต้องทราบความแตกต่างระหว่างปกติและน่าสงสัยในแง่ของระบบและพฤติกรรมของเครือข่าย

สำหรับโซลูชันภายในบ้านที่ระดับเครือข่ายตัวเลือกที่แนะนำคือพร็อกซี (โปร่งใส) หรือเกตเวย์ที่กำหนดเองซึ่งใช้บริการเครือข่ายหลายอย่าง ( เช่น DHCP, DNS) และแอปพลิเคชันความปลอดภัย ( เช่นไฟร์วอลล์ IDSs พร็อกซี่) ที่สามารถช่วยบันทึก ( เช่นพร็อกซี HTTP, การสืบค้น DNS), การทำให้แข็ง ( เช่นการกรอง, การขึ้นบัญชีดำ, บัญชีขาว), การตรวจสอบ ( เช่นการรับส่งข้อมูลเครือข่าย) และการแจ้งเตือนตามลายเซ็น เครื่องมือสำคัญสำหรับสิ่งนี้ ได้แก่ Bro, IPFire, pfSense และ Snort

ดูที่การตั้งค่าพร็อกซีเซิร์ฟเวอร์บนเราเตอร์ในบ้านของฉันเพื่อเปิดใช้งานการกรองเนื้อหา สำหรับรายละเอียดเกี่ยวกับการตั้งค่าตัวอย่าง

นี่เป็นเรื่องเล็กน้อย อุปกรณ์ IoT ที่ค่อนข้างซับซ้อนทุกอย่างจะสื่อสารผ่าน HTTPS ทำให้ไม่ง่ายที่จะรู้ว่ามันกำลังพูดถึงอะไรแม้ว่าคุณจะมีเกตเวย์อินเทอร์เน็ตที่ไม่ถูกบุกรุกในเราเตอร์ของคุณก็ตาม

น่าเสียดายที่คุณไม่ทราบว่าจุดสิ้นสุดใดที่อุปกรณ์ IoT ควรจะพูดคุยด้วยและไม่ใช่สิ่งใด ในขณะที่ซัพพลายเออร์อิเล็กทรอนิกส์สำหรับผู้บริโภครายใหญ่ส่วนใหญ่จะมีกระดูกหลังที่ทุ่มเทซึ่งไม่ได้หมายความว่าอุปกรณ์อาจไม่มีเหตุผลที่ดีที่จะพูดคุยกับผู้ให้บริการข้อมูลอื่น ๆ (เช่นบริการสภาพอากาศชุมชนการทำอาหารสูตรอาหาร ฯลฯ )

ทุกสิ่งเหล่านี้คุณอาจไม่รู้และยิ่งแย่กว่านั้นการอัปเดตทางอากาศของอุปกรณ์ IoT ของคุณสามารถเปลี่ยนพฤติกรรมนั้นได้อย่างสมบูรณ์ หากคุณตั้งค่าเกตเวย์ความปลอดภัยของคุณเองด้วยเกณฑ์ตัวกรองของบัญชีดำหรือบัญชีขาวคุณอาจขัดขวางการทำงานของอุปกรณ์ของคุณอย่างจริงจัง ตัวอย่างเช่นคุณอาจกำหนดที่อยู่ปกติทุกรายการเป็นรายการที่ปลอดภัย แต่คุณจะไม่ได้รับการอัปเดตเนื่องจากที่อยู่เหล่านี้มักจะใช้คู่ค้าด้านการสื่อสาร

คำตอบ: การจดจำรูปแบบ

การตรวจสอบว่าอุปกรณ์ของคุณได้รับการโจมตีจะกระทำโดยมักจะจดจำรูปแบบ นั่นไม่ใช่เรื่องง่าย แต่เป็นเรื่องง่ายเครื่องมือการจดจำรูปแบบบนเกตเวย์รักษาความปลอดภัยของคุณจะตรวจจับพฤติกรรมที่เปลี่ยนไปอย่างมากหากเครื่องปิ้งขนมปังของคุณถูกแฮ็กและเริ่มส่งสแปม

ณ จุดนี้ความซับซ้อนของสิ่งที่คุณต้องการนั้นเกินระดับ "คอมพิวเตอร์บอร์ดเดี่ยว" วิธีแก้ปัญหาที่ง่ายที่สุดคือการตั้งค่าบางอย่างเช่น SNORT ซึ่งเป็นระบบตรวจจับการบุกรุก เริ่มแรกมันจะเตือนคุณทุกสิ่งที่เกิดขึ้นและคุณจะได้รับผลบวกปลอมมากเกินไป โดยการฝึกอบรมเมื่อเวลาผ่านไป (เป็นกระบวนการที่ดำเนินการด้วยตนเอง) คุณสามารถลดอัตราการแจ้งเตือนที่สมเหตุสมผลได้ แต่ขณะนี้ยังไม่มีโซลูชัน "กระป๋อง" ในตลาดผู้บริโภค พวกเขาต้องการเงินลงทุนจำนวนมาก (โซลูชันขององค์กร / การค้า) หรือเวลา (โซลูชันโอเพ่นซอร์สระดับ DIY) ซึ่งทั้งสองอย่างนี้จะนำไปสู่การแก้ปัญหานอกขอบเขตความซับซ้อนที่ยอมรับได้ ทางออกที่ดีที่สุดของคุณคือการเป็นเหมือน SNORT - สิ่งที่ "ดีพอ"

เครื่องมือ NoDDosฉันกำลังพัฒนามีเป้าหมายที่จะทำสิ่งที่คุณขอ ตอนนี้มันสามารถรับรู้อุปกรณ์ IOT โดยจับคู่พวกเขาเข้ากับรายการโพรไฟล์ที่รู้จักมันสามารถรวบรวมการสืบค้น DNS และการรับส่งข้อมูลของอุปกรณ์ IOT ที่ตรงกันและอัปโหลดไปยังคลาวด์สำหรับการวิเคราะห์รูปแบบตามชุดอุปกรณ์ขนาดใหญ่ ขั้นตอนถัดไปคือการนำ ACLs ไปใช้ใน Home Gateway เพื่อ จำกัด ปริมาณการรับส่งข้อมูลต่ออุปกรณ์ IOT เครื่องมือนี้ได้รับการกำหนดเป้าหมายให้ทำงานบนเกตเวย์หน้าแรก เวอร์ชันปัจจุบันเขียนด้วย Python กำหนดให้คุณเรียกใช้ Python ใน OpenWRT HGW ของคุณหรือติดตั้งบนเราเตอร์ Linux DIY ใน OpenWRT ฉันไม่สามารถรวบรวมข้อมูลเกี่ยวกับกระแสการจราจร แต่ในเราเตอร์ Linux DIY ฉันสามารถใช้ ulogd2 ได้ ตอนนี้คุณต้องใช้เราเตอร์ที่ใช้ Linux อย่างง่ายที่มีการกระจาย Linux ปกติเพื่อให้ทำงานได้อย่างสมบูรณ์และทำงานกับการไหลเวียนของข้อมูล แต่เมื่อพอร์ตของฉันไปยัง C ++ เสร็จสิ้นแล้ว

คุณสามารถอ่านบล็อกของฉันสำหรับข้อมูลเพิ่มเติมเกี่ยวกับการทำงานของเครื่องมือ

ในระยะสั้นมาตรฐานและการพัฒนาผลิตภัณฑ์กำลังดำเนินการเพื่อแก้ไขปัญหานี้ มีคำตอบง่ายๆสองสามข้อที่ไม่ต้องการความรู้ด้านเครือข่าย

ข้อเสนอแนะที่อ่อนน้อมถ่อมตนของฉันนั้นง่ายต่อการติดตั้งและจะให้การปกป้องเครือข่ายท้องถิ่นของคุณ (แม้ว่ามันจะไม่ปกป้องอินเทอร์เน็ตโดยรวม) โดยที่ไม่รู้อะไรเลยเกี่ยวกับเครือข่ายอื่นนอกเหนือจากวิธีการเสียบและใช้เราเตอร์ไร้สาย

ซื้อเราเตอร์ไร้สายแยกต่างหากสำหรับเครือข่ายในบ้านของคุณและใช้สำหรับอุปกรณ์ IoT ของคุณเท่านั้น สิ่งนี้จะทำให้อุปกรณ์ IoT นั้นยากต่อการค้นหาและโจมตีอุปกรณ์อื่น ๆ ของคุณ (เช่นพีซีแท็บเล็ตและสมาร์ทโฟน) ในทำนองเดียวกันมันจะช่วยให้ IoT ของคุณได้รับการปกป้องจากอุปกรณ์คอมพิวเตอร์ที่ถูกบุกรุกซึ่งคุณอาจมี

โซลูชันนี้อาจทำลายบางสิ่ง แต่โซลูชันดังกล่าวได้รับการช่วยเหลืออย่างล้นหลามจากความเป็นจริงที่ไม่พึงประสงค์ในปัจจุบันอุปกรณ์ Iot จำนวนมากบรรลุการสื่อสารระยะไกลผ่านโครงสร้างพื้นฐานคลาวด์ที่ควบคุมโดยผู้ผลิตซึ่งจะช่วยให้ Iots ของคุณสื่อสารกับอุปกรณ์คอมพิวเตอร์ได้อย่างปลอดภัย มีพวกเขาในเครือข่ายเดียวกัน นอกจากนี้ยังอนุญาตให้ผู้ผลิตรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับคุณและมอบให้กับบุคคลที่สาม