¿Puedo monitorear mi red en busca de actividad no autorizada de dispositivos IoT?

36

Para mitigar o administrar el riesgo de que algunos de los dispositivos de mi red doméstica se vean comprometidos, ¿es factible monitorear el tráfico de la red para detectar un compromiso?

Estoy específicamente interesado en soluciones que no requieren que sea un experto en redes o que invierta en algo más que una computadora barata de una sola placa. ¿Es esta una característica que prácticamente puede integrarse en el firewall de un enrutador, o es el problema demasiado difícil de resolver para tener una solución simple y fácil de configurar?

No estoy preguntando sobre Wireshark: estoy pidiendo un sistema autónomo que pueda generar alertas de actividad sospechosa. También pensando más centrado en la configuración práctica para un aficionado capaz en lugar de una solución de calidad de producción robusta.

Anexo: veo que ahora hay un proyecto kickstarter (akita) que parece ofrecer análisis basados ​​en la nube impulsados ​​por la detección local de WiFi.

Sean Houlihane
fuente
1
Relacionado: iot.stackexchange.com/questions/18/…
WayToDoor
Una vez que la seguridad se convierta en un problema importante, estoy seguro de que fabricarán firewalls IOT e IOT IPS, todo su tráfico IOT se enrutará a través de estos dispositivos al igual que otra infraestructura de TI, donde puede monitorear su red IOT de cerca.
R__raki__
1
@Rakesh_K, esta pregunta anticipa exactamente ese tipo de dispositivo que se está inventando; me gustaría capturar las técnicas conocidas que existen hoy en día.
Sean Houlihane
1
Convenido. Además, hay un orden de magnitud de más protocolos utilizados en IoT que los que maneja un firewall estándar.
Mawg
1
De hecho, ¿es incluso una pregunta específica de IoT? ¿Quizás security.stackexchange.com ?
Mawg

Respuestas:

18

Este no es un tema sencillo. La detección de un compromiso, tal como lo expresas, puede suceder de muchas formas y generar múltiples resultados en términos de comportamiento del sistema o la red. Observar eso puede requerir conocer la diferencia entre normal y sospechoso en términos de comportamiento del sistema y la red.

Para una solución doméstica a nivel de red, la opción recomendada es un proxy (transparente) o una puerta de enlace personalizada que ejecute múltiples servicios de red ( es decir , DHCP, DNS) y aplicaciones de seguridad ( p . Ej. , Firewall, IDS, proxies) que pueden ayudar con el registro ( p . ej. , proxy HTTP, consultas DNS), endurecimiento ( p . ej. , filtrado, listas negras, listas blancas), monitoreo ( p . ej. , tráfico de red) y alertas basadas en firmas. Las principales herramientas para esto incluyen Bro, IPFire, pfSense y Snort.

Consulte Configuración de un servidor proxy en mi enrutador doméstico para habilitar el filtrado de contenido para obtener detalles sobre una configuración de ejemplo.

dfernan
fuente
16

Esto es más que trivial. Cada dispositivo IoT algo sofisticado se comunicará a través de HTTPS, lo que hace que no sea demasiado fácil saber de qué está hablando, incluso si tiene un gateway de Internet no comprometido en su enrutador.

Desafortunadamente, no puede saber con qué puntos finales debe hablar el dispositivo IoT y con cuáles no. Si bien la mayoría de los grandes proveedores de productos electrónicos de consumo tendrán su columna vertebral dedicada, eso no significa que los dispositivos no tengan una buena razón para hablar con otros proveedores de información (por ejemplo, servicios meteorológicos, comunidades de recetas de cocina, etc.).

Todas estas cosas que posiblemente no pueda saber y, lo que es peor, una actualización inalámbrica de su dispositivo IoT puede cambiar ese comportamiento por completo. Si configura su propia puerta de enlace de seguridad con criterios de filtro de listas negras o listas blancas, podría obstaculizar seriamente la funcionalidad de su dispositivo. Por ejemplo, es posible que haya determinado con éxito cada una de las direcciones habituales en la lista blanca, pero nunca recibirá una actualización porque rara vez se utilizan socios de comunicación.

La respuesta: reconocimiento de patrones

La detección de que su dispositivo se ha visto comprometido generalmente se realiza mediante el reconocimiento de patrones . Eso no es simple, pero fácil de usar, el motor de reconocimiento de patrones en su puerta de enlace de seguridad detectará un comportamiento drásticamente cambiado si su tostadora ha sido pirateada y comienza a enviar spam.

Helmar
fuente
2
Esto es muy genérico y no es una opción realista. El monitoreo y la detección basados ​​en análisis heurístico o de patrones (suponiendo que algunos métodos de Inteligencia Computacional (CI)) dependen en gran medida del problema en cuestión, siendo mayormente efectivo solo en entornos ajustados.
dfernan
2
@dfernan lo es. Pero la pregunta es si puedo monitorear mi dispositivo no autorizado. Yo diría que no es fácil de hacer es una respuesta adecuada. La pregunta es increíblemente amplia, ya que está dirigida a todos los dispositivos IoT, no a los específicos. Por lo tanto, las respuestas también deben ser algo amplias.
Helmar
11

En este punto, la complejidad de lo que desea está más allá de los niveles de "computadora barata de una sola placa". La solución más fácil disponible es configurar algo como SNORT, que es un sistema de detección de intrusos. Inicialmente, lo alertará de todo lo que está sucediendo y obtendrá demasiados falsos positivos. Al entrenarlo a lo largo del tiempo (en sí mismo, un proceso manual) puede reducirlo a una tasa de alerta razonable, pero actualmente no hay soluciones "prelavadas" disponibles en el mercado de consumo. Requieren inversiones significativas de dinero (soluciones corporativas / comerciales) o tiempo (soluciones de código abierto de clase DIY), cualquiera de los cuales pondría la solución en cuestión fuera del alcance aceptable de la complejidad. Honestamente, su mejor opción será algo como SNORT, algo que sea "suficientemente bueno"

John
fuente
1
Este es el tipo de respuesta que estaba buscando, creo. Suficientemente fácil y lo suficientemente bueno, especialmente si el entrenamiento puede ser guiado por fuentes multitudinarias.
Sean Houlihane
1
Sin embargo, encontrar ese producto / solución tipo unicornio será difícil. Utilizo SNORT como ejemplo, pero es bastante complejo para un usuario doméstico informal, y podría resultarle erróneo "bastante fácil" para usted. Mis expectativas son algo diferentes a las de Joe promedio, ya que he sido un administrador de sistemas Linux durante más de 20 años.
John
Y todavía estoy aprendiendo Snort ;-) Es convincente, pero, en última instancia, vale la pena
Mawg
7

La herramienta NoDDosEstoy desarrollando está dirigido a hacer exactamente lo que está pidiendo. En este momento puede reconocer dispositivos IOT al hacerlos coincidir con una lista de perfiles conocidos, puede recopilar las consultas DNS y los flujos de tráfico de cada dispositivo IOT coincidente y cargarlo en la nube para el análisis de patrones basado en grandes conjuntos de dispositivos. El siguiente paso es implementar ACL en Home Gateway para restringir los flujos de tráfico por dispositivo IOT. La herramienta está diseñada para ejecutarse en Home Gateways. La versión actual está escrita en Python, lo que requiere que ejecute Python en su OpenWRT HGW o que lo instale en un enrutador Linux DIY. En OpenWRT todavía no puedo recopilar información sobre los flujos de tráfico, pero en el enrutador de bricolaje de Linux puedo usar ulogd2. Por lo tanto, ahora necesita un enrutador simple basado en Linux con una distribución regular de Linux para que esté completamente en funcionamiento con flujos de tráfico, pero una vez que mi puerto a C ++ haya terminado,

Puede leer mi blog para obtener más información sobre cómo funciona la herramienta.

Steven
fuente
1
Esperaba que a alguien se le ocurriera una herramienta como esta. ¿Puede (teóricamente) ejecutarse en un dispositivo conectado a la red y simplemente espiar el tráfico? Parece que un SBD podría ser más fácil que un enrutador abierto para muchas personas.
Sean Houlihane
NoDDos necesita acceder a los archivos de registro del servidor DNS / DHCP dnsmasq y los eventos de seguimiento de conexión de iptables informados a ulogd2 para obtener los flujos de tráfico. Entonces, Home Gateway o firewall es el lugar adecuado para esto. Como el código y la base de datos del perfil del dispositivo son de código abierto, quizás quien sepa en el futuro los proveedores de HGW pueda incluirlo en su producto. Mientras tanto, necesito construir la base de datos de perfil y eso requerirá que los probadores alfa prueben esta herramienta en sus HGW y carguen los resultados.
Steven
1

En resumen, la estandarización y el desarrollo de productos están en marcha para abordar este problema. Hasta entonces, hay pocas respuestas simples que no requieren algunos conocimientos de redes.

Mi humilde sugerencia es fácil de implementar y proporcionará cierta protección a su red local (aunque no protegerá Internet en general) sin saber nada sobre la red que no sea cómo enchufar y usar un enrutador inalámbrico.

Compre un enrutador inalámbrico separado para su red doméstica y úselo solo para sus dispositivos IoT. Esto hará que sea más difícil para los dispositivos IoT descubrir y atacar sus otros dispositivos (como PC, tabletas y teléfonos inteligentes). Del mismo modo, proporcionará a sus IoT cierta protección contra los dispositivos informáticos comprometidos que pueda tener.

Esta solución puede romper algunas cosas, pero la solución es perversamente ayudada por la realidad mayormente indeseable de que hoy en día, muchos dispositivos Iot logran comunicaciones remotas a través de una infraestructura de nube controlada por el fabricante, lo que ayudará a sus Iots a comunicarse con sus dispositivos informáticos de manera más segura que tenerlos en la misma red. También permite al fabricante recopilar información personal sobre usted y proporcionarla a terceros.

Hugh Buntu
fuente
2
Creo que esto es tangencial a la pregunta, no es realmente una respuesta.
Sean Houlihane
1
En realidad, pensé que algunas de las otras respuestas eran tangenciales. El autor de la pregunta dijo específicamente que quería respuestas "que no requieren que sea un experto en redes, o que invierta en algo más que una computadora barata de una sola placa", o "También pensando más centrado en la configuración práctica para un aficionado capaz en lugar de que una solución robusta de calidad de producción ". - Escribí una respuesta que pensé que cumplía con esas condiciones. En honor a su comentario, eliminé el último párrafo que posiblemente era innecesario [es decir, RTFM].
Hugh Buntu
Le pregunté específicamente sobre el monitoreo, en lugar de la protección. Creo que su respuesta es mejor para uno de estos: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 o iot.stackexchange.com/questions/9 (aunque este último tiene bastantes respuestas ya!)
Sean Houlihane