Kann ich mein Netzwerk auf unzulässige IoT-Geräteaktivitäten überwachen?

36

Ist es möglich, den Netzwerkverkehr zu überwachen, um das Risiko einer Beeinträchtigung einiger Geräte in meinem Heimnetzwerk zu verringern oder zu steuern, um eine Beeinträchtigung zu erkennen?

Ich interessiere mich speziell für Lösungen, bei denen ich kein Netzwerkexperte sein oder in etwas anderes als einen billigen Einplatinencomputer investieren muss. Ist dies eine Funktion, die praktisch in eine Router-Firewall integriert werden kann, oder ist das Problem zu schwierig, um eine einfache, leicht zu konfigurierende Lösung zu finden?

Ich frage nicht nach Wireshark - ich frage nach einem eigenständigen System, das Warnungen bei verdächtigen Aktivitäten generieren kann. Denken Sie auch mehr an die praktische Einrichtung für einen fähigen Amateur als an eine robuste Produktionsqualitätslösung.

Nachtrag: Ich sehe, dass es jetzt ein Kickstarter-Projekt (Akita) gibt, das Cloud-basierte Analysen basierend auf lokalem WiFi-Sniffing zu bieten scheint.

Sean Houlihane
quelle
Sobald die Sicherheit zu einem wichtigen Problem wird, werden IOT-Firewalls und IOT-IPS hergestellt. Der gesamte IOT-Verkehr wird über diese Geräte wie über andere IT-Infrastrukturen geleitet, sodass Sie Ihr IOT-Netzwerk genau überwachen können.
R__raki__
1
@Rakesh_K, diese Frage antizipiert genau diese Art von Gerät, das erfunden wird - ich möchte die bekannten Techniken erfassen, die heute existieren.
Sean Houlihane
1
Einverstanden. Außerdem werden im Internet der Dinge um eine Größenordnung mehr Protokolle verwendet, als von einer Standard-Firewall verarbeitet werden.
Mawg
1
Ist dies überhaupt eine IoT-spezifische Frage? Vielleicht security.stackexchange.com ?
Mawg

Antworten:

18

Dies ist kein einfaches Thema. Das Erkennen eines Kompromisses kann, wie Sie sagen, auf viele Arten geschehen und zu mehreren Ergebnissen hinsichtlich des System- oder Netzwerkverhaltens führen. Um dies zu beobachten, müssen Sie möglicherweise den Unterschied zwischen normal und verdächtig im Hinblick auf das System- und Netzwerkverhalten kennen.

Für eine Heimlösung auf Netzwerkebene ist die empfohlene Option ein (transparenter) Proxy oder ein benutzerdefiniertes Gateway, auf dem mehrere Netzwerkdienste ( dh DHCP, DNS) und Sicherheitsanwendungen ( z. B. Firewall, IDS, Proxys) ausgeführt werden, die bei der Protokollierung hilfreich sein können ( z. B. HTTP-Proxy, DNS-Abfragen), Absichern ( z. B. Filtern, Blacklisting, Whitelisting), Überwachen ( z. B. Netzwerkverkehr) und Warnen basierend auf Signaturen. Wichtige Tools hierfür sind Bro, IPFire, pfSense und Snort.

Weitere Informationen zu einem Beispielsetup finden Sie unter Einrichten eines Proxyservers auf meinem Heimrouter, um die Inhaltsfilterung zu aktivieren .

dfernan
quelle
16

Das ist alles andere als trivial. Jedes etwas ausgefeilte IoT-Gerät kommuniziert über HTTPS, wodurch es nicht allzu einfach wird, zu wissen, wovon es spricht, selbst wenn Ihr Router ein nicht gefährdetes Internet-Gateway enthält.

Leider können Sie nicht wissen, mit welchen Endpunkten das IoT-Gerät kommunizieren soll und mit welchen nicht. Während die meisten großen Anbieter von Unterhaltungselektronik ihre eigenen Backbones haben, bedeutet dies nicht, dass die Geräte möglicherweise keinen guten Grund haben, mit anderen Anbietern von Informationen zu sprechen (z. B. Wetterdienste, Kochrezeptgemeinschaften usw.).

All diese Dinge können Sie unmöglich wissen und noch schlimmer, ein Over-the-Air-Update Ihres IoT-Geräts kann dieses Verhalten vollständig ändern. Wenn Sie ein eigenes Sicherheitsgateway mit Filterkriterien für die Sperrung oder die Positivliste einrichten, kann dies die Funktionalität Ihres Geräts erheblich beeinträchtigen. Beispielsweise haben Sie möglicherweise jede der üblichen Adressen für die Whitelist erfolgreich ermittelt, aber Sie werden nie ein Update erhalten, da dies nur selten verwendete Kommunikationspartner sind.

Die Antwort: Mustererkennung

Das Erkennen, dass Ihr Gerät kompromittiert wurde, erfolgt normalerweise durch Mustererkennung . Das ist keine einfache Sache, aber einfach ausgedrückt: Die Mustererkennungs-Engine auf Ihrem Sicherheits-Gateway erkennt ein drastisch verändertes Verhalten, wenn Ihr Toaster gehackt wurde und beginnt, Spam zu versenden.

Helmar
quelle
2
Dies ist sehr allgemein gehalten und kaum realistisch. Die Überwachung und Erkennung auf der Grundlage von Heuristik- oder Musteranalysen (unter der Annahme einiger Computational Intelligence- (CI-) Methoden) hängt stark vom vorliegenden Problem ab und ist meist nur in genau abgestimmten Umgebungen wirksam.
dfernan
2
@dfernan Es ist. Aber die Frage ist, kann ich mein Schurkengerät überwachen? Ich würde argumentieren, dass es nicht einfach ist, eine richtige Antwort. Die Frage ist unglaublich weit gefasst, da sie alle IoT-Geräte betrifft, die nicht spezifisch sind. Daher müssen auch die Antworten etwas weit gefasst sein.
Helmar
11

Zu diesem Zeitpunkt ist die Komplexität der gewünschten Komponenten nicht mehr nur ein "billiger Einplatinencomputer". Die einfachste verfügbare Lösung ist die Einrichtung von SNORT, einem Intrusion Detection-System. Zunächst werden Sie auf alles aufmerksam gemacht, und es werden viel zu viele Fehlalarme ausgegeben. Indem Sie es im Laufe der Zeit trainieren (selbst ein manueller Prozess), können Sie es auf eine vernünftige Alarmrate reduzieren, aber es gibt derzeit keine "vorgefertigten" Lösungen auf dem Verbrauchermarkt. Sie erfordern entweder erhebliche Geldinvestitionen (Unternehmens- / Geschäftslösungen) oder Zeitinvestitionen (Open-Source-Lösungen der DIY-Klasse), wodurch die betreffende Lösung außerhalb des akzeptablen Umfangs der Komplexität liegt. Ihre beste Wette ist ehrlich gesagt etwas wie SNORT - etwas, das "gut genug" ist

John
quelle
1
Das ist genau die Antwort, nach der ich gesucht habe, glaube ich. Einfach genug und gut genug - vor allem, wenn das Training vom Publikum geleitet werden kann.
Sean Houlihane
1
Es wird jedoch schwierig sein, dieses einhornartige Produkt / diese einhornartige Lösung zu finden. Ich verwende SNORT als Beispiel, aber es ist ziemlich komplex für einen gelegentlichen Heimanwender, und es könnte sich herausstellen, dass es für Sie nicht "einfach genug" ist. Meine Erwartungen unterscheiden sich etwas von denen von Average Joe, da ich seit über 20 Jahren ein Linux-Systemadministrator bin.
John
Und lerne immer noch Snort ;-) Es ist zwingend - aber es lohnt sich letztendlich
Mawg
7

Das NoDDos-ToolIch entwickle zielgerichtet, um genau das zu tun, was Sie verlangen. Im Moment kann es IOT-Geräte erkennen, indem es sie mit einer Liste bekannter Profile vergleicht. Es kann die DNS-Abfragen und Verkehrsströme jedes übereinstimmenden IOT-Geräts erfassen und zur Musteranalyse auf der Basis großer Gerätegruppen in die Cloud hochladen. Der nächste Schritt besteht darin, ACLs auf dem Home Gateway zu implementieren, um den Verkehrsfluss pro IOT-Gerät zu beschränken. Das Tool kann auf Home Gateways ausgeführt werden. Die aktuelle Version ist in Python geschrieben und erfordert, dass Sie Python auf Ihrem OpenWRT HGW ausführen oder auf einem Linux DIY-Router installieren. In OpenWRT kann ich noch keine Informationen zu den Verkehrsströmen sammeln, aber auf dem Linux DIY-Router kann ich ulogd2 verwenden. Im Moment brauchen Sie also einen einfachen Linux-basierten Router mit einer regulären Linux-Distribution, um diesen voll funktionsfähig zu machen, aber sobald mein Port zu C ++ fertig ist,

In meinem Blog finden Sie weitere Informationen zur Funktionsweise des Tools.

Steven
quelle
1
Ich hatte gehofft, jemand würde sich so ein Tool einfallen lassen. Kann es (theoretisch) auf einem an ein Netzwerk angeschlossenen Gerät ausgeführt werden und nur den Datenverkehr überwachen? Eine SBD scheint für viele Menschen einfacher zu sein als ein offener Router.
Sean Houlihane
NoDDos muss auf die Protokolldateien des DNS / DHCP-Servers von dnsmasq und auf die an ulogd2 gemeldeten Ereignisse zur Verfolgung der iptables-Verbindung zugreifen, um die Verkehrsströme zu erhalten. Dann ist das Home Gateway oder die Firewall genau das Richtige für Sie. Da es sich bei der Code- und Geräteprofildatenbank um Open Source handelt, können HGW-Anbieter diese möglicherweise künftig in ihr Produkt aufnehmen. In der Zwischenzeit muss ich die Profildatenbank aufbauen, und dazu müssen Alphatester dieses Tool auf ihren HGWs ausprobieren und die Ergebnisse hochladen.
Steven
1

Kurz gesagt, Standardisierung und Produktentwicklungen sind im Gange, um dieses Problem anzugehen. Bis dahin gibt es nur wenige einfache Antworten, die keine Netzwerkkenntnisse erfordern.

Mein bescheidener Vorschlag ist einfach zu implementieren und bietet Ihrem lokalen Netzwerk einen gewissen Schutz (obwohl es das Internet im Großen und Ganzen nicht schützt), ohne etwas über Netzwerke zu wissen, außer über das Anschließen und Verwenden eines drahtlosen Routers.

Kaufen Sie einen separaten WLAN-Router für Ihr Heimnetzwerk und verwenden Sie ihn nur für Ihre IoT-Geräte. Dies erschwert es den IoT-Geräten, andere Geräte (wie PCs, Tablets und Smartphones) zu erkennen und anzugreifen. Ebenso bietet es Ihren IoTs einen gewissen Schutz vor kompromittierten Computergeräten.

Diese Lösung kann einige Probleme lösen, aber die meist unerwünschte Tatsache, dass viele Iot-Geräte heutzutage Remotekommunikation über eine herstellergesteuerte Cloud-Infrastruktur erreichen, hilft Ihren Iots dabei, sicherer mit Ihren Computergeräten zu kommunizieren als sie im selben Netzwerk haben. Darüber hinaus kann der Hersteller personenbezogene Daten über Sie sammeln und diese an Dritte weitergeben.

Hugh Buntu
quelle
2
Ich denke, das ist tangential zur Frage, nicht wirklich eine Antwort.
Sean Houlihane
1
Eigentlich dachte ich, dass einige der anderen Antworten tangential waren. Der Fragesteller sagte ausdrücklich, er wolle Antworten, "die nicht erfordern, dass ich ein Netzwerkexperte bin oder in etwas anderes als einen billigen Einplatinencomputer investiere", oder "Ich denke eher an praktische Einstellungen für einen fähigen Amateur" als eine robuste Produktionsqualität Lösung. " - Ich habe eine Antwort geschrieben, von der ich dachte, dass sie diese Bedingungen erfüllt. Zu Ehren Ihres Kommentars habe ich den letzten Absatz gestrichen, der möglicherweise unnötig war [dh RTFM].
Hugh Buntu
Ich habe speziell nach Überwachung und nicht nach Schutz gefragt. Ich denke, Ihre Antwort ist besser für eine dieser Fragen : iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 oder iot.stackexchange.com/questions/9 (obwohl letztere ziemlich viele davon hat) Antworten schon!)
Sean Houlihane