Dapatkah saya memonitor jaringan saya untuk aktivitas perangkat IoT yang nakal?


36

Untuk mengurangi atau mengelola risiko dari beberapa perangkat di jaringan rumah saya dikompromikan, apakah layak untuk memantau lalu lintas jaringan sehingga dapat mendeteksi kompromi?

Saya secara khusus tertarik pada solusi yang tidak mengharuskan saya untuk menjadi ahli jaringan, atau berinvestasi dalam apa pun selain komputer papan tunggal yang murah. Apakah ini fitur yang secara praktis dapat diintegrasikan dalam firewall router, atau apakah masalahnya terlalu sulit untuk memiliki solusi yang sederhana dan mudah dikonfigurasi?

Saya tidak bertanya tentang Wireshark - Saya meminta sistem mandiri yang dapat menghasilkan peringatan tentang aktivitas yang mencurigakan. Juga berpikir lebih fokus pada pengaturan praktis untuk amatir yang mampu daripada solusi kualitas produksi yang kuat.

tambahan: Saya melihat sekarang ada proyek kickstarter (akita) yang tampaknya menawarkan analitik berbasis cloud yang didorong dari WiFi sniffing lokal.



Setelah keamanan menjadi masalah utama, saya yakin mereka akan memproduksi IOT Firewalls dan IOT IPS, semua lalu lintas IOT Anda dialihkan melalui perangkat ini seperti infrastruktur TI lainnya, di mana Anda dapat memonitor jaringan IOT Anda secara dekat.
R__raki__

1
@Rakesh_K, pertanyaan ini benar-benar anticpates tipe perangkat yang sedang diciptakan - Saya ingin menangkap teknik yang dikenal yang ada saat ini.
Sean Houlihane

1
Sepakat. Juga, ada urutan lebih banyak protokol yang digunakan dalam IoT, daripada ditangani oleh firewall standar.
Mawg

1
Bahkan, apakah ini bahkan merupakan pertanyaan spesifik IOT? Mungkin security.stackexchange.com ?
Mawg

Jawaban:


18

Ini bukan topik langsung. Mendeteksi kompromi, seperti yang Anda katakan, dapat terjadi dalam banyak bentuk dan menghasilkan beberapa hasil dalam hal perilaku sistem atau jaringan. Mengamati itu mungkin memerlukan mengetahui perbedaan antara normal dan mencurigakan dalam hal perilaku sistem dan jaringan.

Untuk solusi rumah di tingkat jaringan, opsi yang disarankan adalah proksi (transparan) atau gateway khusus yang menjalankan beberapa layanan jaringan ( yaitu , DHCP, DNS) dan aplikasi keamanan ( mis. , Firewall, IDS, proxy) yang dapat membantu pencatatan ( mis . proksi HTTP, kueri DNS), pengerasan ( mis . pemfilteran, daftar hitam, daftar putih), pemantauan ( mis. , lalu lintas jaringan) dan peringatan berdasarkan tanda tangan. Alat utama untuk ini termasuk Bro, IPFire, pfSense, dan Snort.

Lihat Menyiapkan server Proxy di router rumah saya untuk mengaktifkan pemfilteran konten untuk detail tentang contoh pengaturan.


16

Ini sangat sepele. Setiap perangkat IoT yang agak canggih akan berkomunikasi melalui HTTPS sehingga tidak terlalu mudah untuk mengetahui apa yang dibicarakannya, bahkan jika Anda memiliki gateway internet yang tidak terganggu di router Anda.

Sayangnya, Anda tidak dapat mengetahui titik akhir perangkat IoT mana yang harus diajak bicara dan mana yang tidak. Sementara sebagian besar pemasok elektronik konsumen besar akan memiliki tulang belakang khusus mereka yang tidak berarti perangkat mungkin tidak memiliki alasan yang baik untuk berbicara dengan penyedia informasi lain (misalnya layanan cuaca, komunitas resep memasak, dll ...).

Semua hal yang tidak mungkin Anda ketahui dan bahkan lebih buruk dari pembaruan udara perangkat IoT Anda dapat mengubah perilaku itu sepenuhnya. Jika Anda mengatur gateway keamanan Anda sendiri dengan kriteria filter daftar hitam atau daftar putih Anda mungkin serius menghambat fungsionalitas perangkat Anda. Misalnya Anda mungkin telah berhasil menentukan setiap alamat biasa untuk daftar putih tetapi Anda tidak akan pernah mendapatkan pembaruan karena itu jarang digunakan mitra komunikasi.

Jawabannya: Pengenalan Pola

Mendeteksi bahwa perangkat Anda telah disusupi biasanya dilakukan dengan pengenalan pola . Itu bukan masalah yang sederhana, tapi mudahnya, mesin pengenalan pola pada gateway keamanan Anda akan mendeteksi perilaku yang berubah secara drastis jika pemanggang roti Anda diretas dan mulai mengirim spam.


2
Ini sangat umum dan bukan pilihan yang realistis. Pemantauan dan deteksi berdasarkan heuristik atau analisis pola (dengan asumsi beberapa metode Computational Intelligence (CI)) sangat tergantung pada masalah yang dihadapi, sebagian besar hanya efektif di lingkungan yang telah disesuaikan.
dfernan

2
@fernan Ini. Tapi pertanyaannya adalah apakah saya bisa memonitor perangkat jahat saya. Saya berpendapat bahwa itu tidak mudah dilakukan adalah jawaban yang tepat. Pertanyaannya sangat luas karena menargetkan semua perangkat IoT bukan yang spesifik. Jadi jawabannya harus agak luas juga.
Helmar

11

Pada titik ini, kompleksitas apa yang Anda inginkan berada di luar level "komputer murah, satu papan". Solusi termudah yang tersedia adalah mengatur sesuatu seperti SNORT, yang merupakan sistem deteksi intrusi. Awalnya, ini akan memberi tahu Anda tentang segala sesuatu yang terjadi, dan Anda akan mendapatkan terlalu banyak kesalahan positif. Dengan melatihnya dari waktu ke waktu (itu sendiri proses manual) Anda dapat menguranginya ke tingkat peringatan yang masuk akal, tetapi saat ini tidak ada solusi "pra-kalengan" yang tersedia di pasar konsumen. Mereka membutuhkan investasi uang yang signifikan (solusi korporat / komersial) atau waktu (solusi open source DIY class), yang mana salah satunya akan membuat solusi dipertanyakan di luar ruang lingkup kompleksitas yang dapat diterima. Taruhan terbaik Anda adalah jujur ​​akan menjadi seperti SNORT - sesuatu yang "cukup baik"


1
Ini adalah jenis jawaban yang saya cari, saya pikir. Cukup mudah, dan cukup baik - terutama jika pelatihan dapat dipandu oleh orang banyak.
Sean Houlihane

1
Menemukan produk / solusi seperti unicorn akan sulit. Saya menggunakan SNORT sebagai contoh, tetapi itu agak rumit untuk pengguna rumahan, dan mungkin terbukti melewatkan tanda "cukup mudah" untuk Anda. Harapan saya agak berbeda dari Joe Rata-Rata, karena saya sudah menjadi sysadmin linux selama 20 tahun lebih.
Yohanes

Dan masih belajar Snort ;-) Ini compelx - tapi, pada akhirnya, sepadan
Mawg

7

The alat NoDDosSaya sedang mengembangkan ditargetkan untuk melakukan apa yang Anda minta. Saat ini ia dapat mengenali perangkat IOT dengan mencocokkannya dengan daftar profil yang diketahui, ia dapat mengumpulkan permintaan DNS dan arus lalu lintas dari setiap perangkat IOT yang cocok dan mengunggahnya ke cloud untuk analisis pola berdasarkan sejumlah besar perangkat. Langkah selanjutnya adalah menerapkan ACL pada Home Gateway untuk membatasi arus lalu lintas per perangkat IOT. Alat ini ditargetkan untuk berjalan di Home Gateways. Versi saat ini ditulis dalam Python, mengharuskan Anda untuk menjalankan Python pada OpenWRT HGW Anda atau menginstal pada router Linux DIY. Di OpenWRT saya tidak bisa mengumpulkan info tentang arus lalu lintas tetapi pada router Linux DIY saya bisa menggunakan ulogd2. Jadi saat ini Anda memerlukan router berbasis Linux sederhana dengan distribusi Linux reguler untuk mendapatkan ini sepenuhnya dan berjalan dengan arus lalu lintas tetapi begitu port saya ke C ++ selesai,

Anda dapat membaca blog saya untuk info lebih lanjut tentang cara kerja alat ini.


1
Saya berharap seseorang akan datang dengan alat seperti ini. Bisakah itu (secara teoritis) berjalan pada perangkat yang terhubung jaringan, dan hanya mengintai lalu lintas? Tampaknya SBD mungkin lebih mudah daripada router terbuka untuk banyak orang.
Sean Houlihane

NoDDos perlu mengakses file log dari server DNS / DHCP dnsmasq dan acara lintasan koneksi iptables yang dilaporkan ke ulogd2 untuk mendapatkan arus lalu lintas. Jadi Home Gateway atau firewall adalah tempat yang tepat untuk ini. Karena kode dan basis data profil perangkat adalah sumber terbuka, mungkin siapa tahu di masa depan vendor HGW dapat memasukkannya ke dalam produk mereka. Sementara itu, saya perlu membangun basis data profil dan itu akan membutuhkan penguji alfa untuk mencoba alat ini pada HGW mereka dan mengunggah hasilnya.
Steven

1

Singkatnya, standardisasi dan pengembangan produk sedang dilakukan untuk mengatasi masalah ini. Sampai saat itu, ada beberapa jawaban sederhana yang tidak memerlukan pengetahuan jaringan.

Saran saya yang sederhana mudah diterapkan, dan akan memberikan perlindungan pada jaringan lokal Anda (meskipun tidak akan melindungi Internet secara luas) tanpa mengetahui apa pun tentang jaringan selain cara memasang dan menggunakan router nirkabel.

Beli router nirkabel terpisah untuk jaringan rumah Anda, dan gunakan hanya untuk perangkat IoT Anda. Ini akan mempersulit perangkat IoT untuk menemukan dan menyerang perangkat Anda yang lain (seperti PC, Tablet, dan Ponsel Cerdas). Demikian juga, ini akan memberikan perlindungan kepada IoT Anda dari perangkat komputasi yang Anda miliki.

Solusi ini dapat memecahkan beberapa hal, tetapi solusinya sangat terbantu oleh kenyataan yang sebagian besar tidak diinginkan bahwa hari ini, banyak perangkat Iot mencapai komunikasi jarak jauh melalui infrastruktur cloud yang dikendalikan pabrikan, yang akan membantu Iots Anda untuk berkomunikasi dengan perangkat komputasi Anda lebih aman daripada memilikinya di jaringan yang sama. Ini juga memungkinkan pabrikan untuk mengumpulkan informasi pribadi tentang Anda, dan memberikannya kepada pihak ketiga.


2
Saya pikir ini bersinggungan dengan pertanyaan, bukan jawaban.
Sean Houlihane

1
Sebenarnya, saya pikir beberapa jawaban lain bersifat tangensial. Penanya secara khusus mengatakan dia menginginkan jawaban "yang tidak mengharuskan saya menjadi ahli jaringan, atau berinvestasi dalam apa pun selain komputer papan tunggal murah", atau "Juga berpikir lebih fokus pada pengaturan praktis untuk amatir yang cakap daripada daripada solusi kualitas produksi yang kuat. " - Saya menulis jawaban yang saya pikir memenuhi persyaratan itu. Untuk menghormati komentar Anda, saya menghapus paragraf terakhir yang mungkin tidak perlu [yaitu RTFM].
Hugh Buntu

Saya bertanya secara khusus tentang pemantauan, bukan perlindungan. saya pikir jawaban Anda lebih baik untuk salah satu dari ini: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 atau iot.stackexchange.com/questions/9 (meskipun yang terakhir memiliki cukup banyak jawaban sudah!)
Sean Houlihane
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.