Dapatkah saya memonitor jaringan saya untuk aktivitas perangkat IoT yang nakal?

Untuk mengurangi atau mengelola risiko dari beberapa perangkat di jaringan rumah saya dikompromikan, apakah layak untuk memantau lalu lintas jaringan sehingga dapat mendeteksi kompromi?

Saya secara khusus tertarik pada solusi yang tidak mengharuskan saya untuk menjadi ahli jaringan, atau berinvestasi dalam apa pun selain komputer papan tunggal yang murah. Apakah ini fitur yang secara praktis dapat diintegrasikan dalam firewall router, atau apakah masalahnya terlalu sulit untuk memiliki solusi yang sederhana dan mudah dikonfigurasi?

Saya tidak bertanya tentang Wireshark - Saya meminta sistem mandiri yang dapat menghasilkan peringatan tentang aktivitas yang mencurigakan. Juga berpikir lebih fokus pada pengaturan praktis untuk amatir yang mampu daripada solusi kualitas produksi yang kuat.

tambahan: Saya melihat sekarang ada proyek kickstarter (akita) yang tampaknya menawarkan analitik berbasis cloud yang didorong dari WiFi sniffing lokal.

Ini bukan topik langsung. Mendeteksi kompromi, seperti yang Anda katakan, dapat terjadi dalam banyak bentuk dan menghasilkan beberapa hasil dalam hal perilaku sistem atau jaringan. Mengamati itu mungkin memerlukan mengetahui perbedaan antara normal dan mencurigakan dalam hal perilaku sistem dan jaringan.

Untuk solusi rumah di tingkat jaringan, opsi yang disarankan adalah proksi (transparan) atau gateway khusus yang menjalankan beberapa layanan jaringan ( yaitu , DHCP, DNS) dan aplikasi keamanan ( mis. , Firewall, IDS, proxy) yang dapat membantu pencatatan ( mis . proksi HTTP, kueri DNS), pengerasan ( mis . pemfilteran, daftar hitam, daftar putih), pemantauan ( mis. , lalu lintas jaringan) dan peringatan berdasarkan tanda tangan. Alat utama untuk ini termasuk Bro, IPFire, pfSense, dan Snort.

Lihat Menyiapkan server Proxy di router rumah saya untuk mengaktifkan pemfilteran konten untuk detail tentang contoh pengaturan.

Ini sangat sepele. Setiap perangkat IoT yang agak canggih akan berkomunikasi melalui HTTPS sehingga tidak terlalu mudah untuk mengetahui apa yang dibicarakannya, bahkan jika Anda memiliki gateway internet yang tidak terganggu di router Anda.

Sayangnya, Anda tidak dapat mengetahui titik akhir perangkat IoT mana yang harus diajak bicara dan mana yang tidak. Sementara sebagian besar pemasok elektronik konsumen besar akan memiliki tulang belakang khusus mereka yang tidak berarti perangkat mungkin tidak memiliki alasan yang baik untuk berbicara dengan penyedia informasi lain (misalnya layanan cuaca, komunitas resep memasak, dll ...).

Semua hal yang tidak mungkin Anda ketahui dan bahkan lebih buruk dari pembaruan udara perangkat IoT Anda dapat mengubah perilaku itu sepenuhnya. Jika Anda mengatur gateway keamanan Anda sendiri dengan kriteria filter daftar hitam atau daftar putih Anda mungkin serius menghambat fungsionalitas perangkat Anda. Misalnya Anda mungkin telah berhasil menentukan setiap alamat biasa untuk daftar putih tetapi Anda tidak akan pernah mendapatkan pembaruan karena itu jarang digunakan mitra komunikasi.

Jawabannya: Pengenalan Pola

Mendeteksi bahwa perangkat Anda telah disusupi biasanya dilakukan dengan pengenalan pola . Itu bukan masalah yang sederhana, tapi mudahnya, mesin pengenalan pola pada gateway keamanan Anda akan mendeteksi perilaku yang berubah secara drastis jika pemanggang roti Anda diretas dan mulai mengirim spam.

Pada titik ini, kompleksitas apa yang Anda inginkan berada di luar level "komputer murah, satu papan". Solusi termudah yang tersedia adalah mengatur sesuatu seperti SNORT, yang merupakan sistem deteksi intrusi. Awalnya, ini akan memberi tahu Anda tentang segala sesuatu yang terjadi, dan Anda akan mendapatkan terlalu banyak kesalahan positif. Dengan melatihnya dari waktu ke waktu (itu sendiri proses manual) Anda dapat menguranginya ke tingkat peringatan yang masuk akal, tetapi saat ini tidak ada solusi "pra-kalengan" yang tersedia di pasar konsumen. Mereka membutuhkan investasi uang yang signifikan (solusi korporat / komersial) atau waktu (solusi open source DIY class), yang mana salah satunya akan membuat solusi dipertanyakan di luar ruang lingkup kompleksitas yang dapat diterima. Taruhan terbaik Anda adalah jujur ​​akan menjadi seperti SNORT - sesuatu yang "cukup baik"

The alat NoDDosSaya sedang mengembangkan ditargetkan untuk melakukan apa yang Anda minta. Saat ini ia dapat mengenali perangkat IOT dengan mencocokkannya dengan daftar profil yang diketahui, ia dapat mengumpulkan permintaan DNS dan arus lalu lintas dari setiap perangkat IOT yang cocok dan mengunggahnya ke cloud untuk analisis pola berdasarkan sejumlah besar perangkat. Langkah selanjutnya adalah menerapkan ACL pada Home Gateway untuk membatasi arus lalu lintas per perangkat IOT. Alat ini ditargetkan untuk berjalan di Home Gateways. Versi saat ini ditulis dalam Python, mengharuskan Anda untuk menjalankan Python pada OpenWRT HGW Anda atau menginstal pada router Linux DIY. Di OpenWRT saya tidak bisa mengumpulkan info tentang arus lalu lintas tetapi pada router Linux DIY saya bisa menggunakan ulogd2. Jadi saat ini Anda memerlukan router berbasis Linux sederhana dengan distribusi Linux reguler untuk mendapatkan ini sepenuhnya dan berjalan dengan arus lalu lintas tetapi begitu port saya ke C ++ selesai,

Anda dapat membaca blog saya untuk info lebih lanjut tentang cara kerja alat ini.

Singkatnya, standardisasi dan pengembangan produk sedang dilakukan untuk mengatasi masalah ini. Sampai saat itu, ada beberapa jawaban sederhana yang tidak memerlukan pengetahuan jaringan.

Saran saya yang sederhana mudah diterapkan, dan akan memberikan perlindungan pada jaringan lokal Anda (meskipun tidak akan melindungi Internet secara luas) tanpa mengetahui apa pun tentang jaringan selain cara memasang dan menggunakan router nirkabel.

Beli router nirkabel terpisah untuk jaringan rumah Anda, dan gunakan hanya untuk perangkat IoT Anda. Ini akan mempersulit perangkat IoT untuk menemukan dan menyerang perangkat Anda yang lain (seperti PC, Tablet, dan Ponsel Cerdas). Demikian juga, ini akan memberikan perlindungan kepada IoT Anda dari perangkat komputasi yang Anda miliki.

Solusi ini dapat memecahkan beberapa hal, tetapi solusinya sangat terbantu oleh kenyataan yang sebagian besar tidak diinginkan bahwa hari ini, banyak perangkat Iot mencapai komunikasi jarak jauh melalui infrastruktur cloud yang dikendalikan pabrikan, yang akan membantu Iots Anda untuk berkomunikasi dengan perangkat komputasi Anda lebih aman daripada memilikinya di jaringan yang sama. Ini juga memungkinkan pabrikan untuk mengumpulkan informasi pribadi tentang Anda, dan memberikannya kepada pihak ketiga.