Kann ich mein Netzwerk auf unzulässige IoT-Geräteaktivitäten überwachen?

Ist es möglich, den Netzwerkverkehr zu überwachen, um das Risiko einer Beeinträchtigung einiger Geräte in meinem Heimnetzwerk zu verringern oder zu steuern, um eine Beeinträchtigung zu erkennen?

Ich interessiere mich speziell für Lösungen, bei denen ich kein Netzwerkexperte sein oder in etwas anderes als einen billigen Einplatinencomputer investieren muss. Ist dies eine Funktion, die praktisch in eine Router-Firewall integriert werden kann, oder ist das Problem zu schwierig, um eine einfache, leicht zu konfigurierende Lösung zu finden?

Ich frage nicht nach Wireshark - ich frage nach einem eigenständigen System, das Warnungen bei verdächtigen Aktivitäten generieren kann. Denken Sie auch mehr an die praktische Einrichtung für einen fähigen Amateur als an eine robuste Produktionsqualitätslösung.

Nachtrag: Ich sehe, dass es jetzt ein Kickstarter-Projekt (Akita) gibt, das Cloud-basierte Analysen basierend auf lokalem WiFi-Sniffing zu bieten scheint.

Dies ist kein einfaches Thema. Das Erkennen eines Kompromisses kann, wie Sie sagen, auf viele Arten geschehen und zu mehreren Ergebnissen hinsichtlich des System- oder Netzwerkverhaltens führen. Um dies zu beobachten, müssen Sie möglicherweise den Unterschied zwischen normal und verdächtig im Hinblick auf das System- und Netzwerkverhalten kennen.

Für eine Heimlösung auf Netzwerkebene ist die empfohlene Option ein (transparenter) Proxy oder ein benutzerdefiniertes Gateway, auf dem mehrere Netzwerkdienste ( dh DHCP, DNS) und Sicherheitsanwendungen ( z. B. Firewall, IDS, Proxys) ausgeführt werden, die bei der Protokollierung hilfreich sein können ( z. B. HTTP-Proxy, DNS-Abfragen), Absichern ( z. B. Filtern, Blacklisting, Whitelisting), Überwachen ( z. B. Netzwerkverkehr) und Warnen basierend auf Signaturen. Wichtige Tools hierfür sind Bro, IPFire, pfSense und Snort.

Weitere Informationen zu einem Beispielsetup finden Sie unter Einrichten eines Proxyservers auf meinem Heimrouter, um die Inhaltsfilterung zu aktivieren .

Das ist alles andere als trivial. Jedes etwas ausgefeilte IoT-Gerät kommuniziert über HTTPS, wodurch es nicht allzu einfach wird, zu wissen, wovon es spricht, selbst wenn Ihr Router ein nicht gefährdetes Internet-Gateway enthält.

Leider können Sie nicht wissen, mit welchen Endpunkten das IoT-Gerät kommunizieren soll und mit welchen nicht. Während die meisten großen Anbieter von Unterhaltungselektronik ihre eigenen Backbones haben, bedeutet dies nicht, dass die Geräte möglicherweise keinen guten Grund haben, mit anderen Anbietern von Informationen zu sprechen (z. B. Wetterdienste, Kochrezeptgemeinschaften usw.).

All diese Dinge können Sie unmöglich wissen und noch schlimmer, ein Over-the-Air-Update Ihres IoT-Geräts kann dieses Verhalten vollständig ändern. Wenn Sie ein eigenes Sicherheitsgateway mit Filterkriterien für die Sperrung oder die Positivliste einrichten, kann dies die Funktionalität Ihres Geräts erheblich beeinträchtigen. Beispielsweise haben Sie möglicherweise jede der üblichen Adressen für die Whitelist erfolgreich ermittelt, aber Sie werden nie ein Update erhalten, da dies nur selten verwendete Kommunikationspartner sind.

Die Antwort: Mustererkennung

Das Erkennen, dass Ihr Gerät kompromittiert wurde, erfolgt normalerweise durch Mustererkennung . Das ist keine einfache Sache, aber einfach ausgedrückt: Die Mustererkennungs-Engine auf Ihrem Sicherheits-Gateway erkennt ein drastisch verändertes Verhalten, wenn Ihr Toaster gehackt wurde und beginnt, Spam zu versenden.

Zu diesem Zeitpunkt ist die Komplexität der gewünschten Komponenten nicht mehr nur ein "billiger Einplatinencomputer". Die einfachste verfügbare Lösung ist die Einrichtung von SNORT, einem Intrusion Detection-System. Zunächst werden Sie auf alles aufmerksam gemacht, und es werden viel zu viele Fehlalarme ausgegeben. Indem Sie es im Laufe der Zeit trainieren (selbst ein manueller Prozess), können Sie es auf eine vernünftige Alarmrate reduzieren, aber es gibt derzeit keine "vorgefertigten" Lösungen auf dem Verbrauchermarkt. Sie erfordern entweder erhebliche Geldinvestitionen (Unternehmens- / Geschäftslösungen) oder Zeitinvestitionen (Open-Source-Lösungen der DIY-Klasse), wodurch die betreffende Lösung außerhalb des akzeptablen Umfangs der Komplexität liegt. Ihre beste Wette ist ehrlich gesagt etwas wie SNORT - etwas, das "gut genug" ist

Das NoDDos-ToolIch entwickle zielgerichtet, um genau das zu tun, was Sie verlangen. Im Moment kann es IOT-Geräte erkennen, indem es sie mit einer Liste bekannter Profile vergleicht. Es kann die DNS-Abfragen und Verkehrsströme jedes übereinstimmenden IOT-Geräts erfassen und zur Musteranalyse auf der Basis großer Gerätegruppen in die Cloud hochladen. Der nächste Schritt besteht darin, ACLs auf dem Home Gateway zu implementieren, um den Verkehrsfluss pro IOT-Gerät zu beschränken. Das Tool kann auf Home Gateways ausgeführt werden. Die aktuelle Version ist in Python geschrieben und erfordert, dass Sie Python auf Ihrem OpenWRT HGW ausführen oder auf einem Linux DIY-Router installieren. In OpenWRT kann ich noch keine Informationen zu den Verkehrsströmen sammeln, aber auf dem Linux DIY-Router kann ich ulogd2 verwenden. Im Moment brauchen Sie also einen einfachen Linux-basierten Router mit einer regulären Linux-Distribution, um diesen voll funktionsfähig zu machen, aber sobald mein Port zu C ++ fertig ist,

In meinem Blog finden Sie weitere Informationen zur Funktionsweise des Tools.

Kurz gesagt, Standardisierung und Produktentwicklungen sind im Gange, um dieses Problem anzugehen. Bis dahin gibt es nur wenige einfache Antworten, die keine Netzwerkkenntnisse erfordern.

Mein bescheidener Vorschlag ist einfach zu implementieren und bietet Ihrem lokalen Netzwerk einen gewissen Schutz (obwohl es das Internet im Großen und Ganzen nicht schützt), ohne etwas über Netzwerke zu wissen, außer über das Anschließen und Verwenden eines drahtlosen Routers.

Kaufen Sie einen separaten WLAN-Router für Ihr Heimnetzwerk und verwenden Sie ihn nur für Ihre IoT-Geräte. Dies erschwert es den IoT-Geräten, andere Geräte (wie PCs, Tablets und Smartphones) zu erkennen und anzugreifen. Ebenso bietet es Ihren IoTs einen gewissen Schutz vor kompromittierten Computergeräten.

Diese Lösung kann einige Probleme lösen, aber die meist unerwünschte Tatsache, dass viele Iot-Geräte heutzutage Remotekommunikation über eine herstellergesteuerte Cloud-Infrastruktur erreichen, hilft Ihren Iots dabei, sicherer mit Ihren Computergeräten zu kommunizieren als sie im selben Netzwerk haben. Darüber hinaus kann der Hersteller personenbezogene Daten über Sie sammeln und diese an Dritte weitergeben.