不正なIoTデバイスのアクティビティについてネットワークを監視できますか？

ホームネットワーク上の一部のデバイスが侵害された場合のリスクを軽減または管理するために、ネットワークトラフィックを監視して侵害を検出することは可能ですか？

私は、ネットワークの専門家である必要もなく、安価なシングルボードコンピューター以外に投資する必要のないソリューションに特に興味があります。これは、ルーターファイアウォールに実際に統合できる機能ですか、それとも問題を解決するのが難しすぎて、シンプルで構成しやすいソリューションではありませんか？

Wiresharkについては質問していません-疑わしいアクティビティのアラートを生成できる自己完結型システムを求めています。また、堅牢なプロダクション品質ソリューションではなく、有能なアマチュア向けのセットアップに実用的であることに焦点を当てています。

補遺： 現在、ローカルWiFiスニッフィングから駆動されるクラウドベースの分析を提供するキックスタータープロジェクト（akita）があります。

これは簡単なトピックではありません。侵害を検出すると、それはさまざまな形で発生し、システムまたはネットワークの動作に関して複数の結果をもたらす可能性があります。これを観察するには、システムとネットワークの動作の点で通常と疑わしいものの違いを知る必要があります。

ネットワークレベルでのホーム・ソリューションのために、推奨オプションは、（透明）のプロキシまたは複数のネットワークサービスを実行しているカスタマイズされたゲートウェイがある（つまり、DHCP、DNS）およびセキュリティアプリケーション（例えば、ファイアウォール、IDSは、プロキシ）のログでその缶ヘルプ（例えば、HTTPプロキシ、DNSクエリー）、（硬化例えば（監視、、、フィルタリングブラックリスト、ホワイトリスト）例えば、ネットワークトラフィック）と署名に基づいて警告。このための主要なツールには、Bro、IPFire、pfSense、Snortが含まれます。

設定 例の詳細については、コンテンツフィルタリングを有効にするためにホームルーターでプロキシサーバーを設定するをご覧ください。

これは簡単なことではありません。多少洗練されたすべてのIoTデバイスはHTTPS経由で通信するため、ルーターにインターネットゲートウェイが侵害されていなくても、何を話しているのかを簡単に知ることはできません。

残念ながら、IoTデバイスがどのエンドポイントと通信するのか、どのエンドポイントが通信しないのかを知ることはできません。大手家電メーカーのほとんどは専用のバックボーンを持っていますが、デバイスが他の情報プロバイダー（気象サービス、料理レシピコミュニティなど）と話をする正当な理由がないかもしれません。

おそらく知ることができないこれらすべてのこと、さらに悪いことに、IoTデバイスの無線更新は、その動作を完全に変える可能性があります。ブラックリストまたはホワイトリストのフィルター基準を使用して独自のセキュリティゲートウェイを設定すると、デバイスの機能が大幅に低下する可能性があります。たとえば、ホワイトリストに登録する通常のアドレスをすべて正常に決定できたとしても、通信パートナーはめったに使用されないため、更新を取得することはできません。

答え：パターン認識

デバイスが侵害されたことの検出は、通常パターン認識によって行われます。それは簡単なことではありませんが、簡単に言えば、トースターがハッキングされてスパムを送信し始めた場合、セキュリティゲートウェイのパターン認識エンジンは大幅に変更された動作を検出します。

この時点で、必要なものの複雑さは「安価なシングルボードコンピューター」レベルを超えています。最も簡単な解決策は、侵入検知システムであるSNORTのようなものをセットアップすることです。最初は、進行中のすべてのことを警告し、誤検出が多すぎます。時間をかけてトレーニングすることにより（それ自体が手動プロセス）、妥当なアラートレートに減らすことができますが、現在、消費者市場で利用可能な「事前に用意された」ソリューションはありません。多大なお金（企業/商業ソリューション）または時間（オープンソースのDIYクラスのソリューション）のいずれかの投資が必要であり、どちらも問題のソリューションを複雑な許容範囲外に置くことになるでしょう。あなたの最善の策は、正直なところ「SNORT」のようなものになるだろう-「十分な」何か

NoDDosツール私が開発しているのは、あなたが求めていることだけを行うことです。現在、既知のプロファイルのリストに一致させることでIOTデバイスを認識でき、一致した各IOTデバイスのDNSクエリとトラフィックフローを収集し、デバイスの大規模なセットに基づくパターン分析のためにクラウドにアップロードできます。次のステップでは、IOTデバイスごとのトラフィックフローを制限するために、ホームゲートウェイにACLを実装します。このツールは、ホームゲートウェイで実行することを目的としています。現在のバージョンはPythonで記述されているため、OpenWRT HGWでPythonを実行するか、Linux DIYルーターにインストールする必要があります。OpenWRTでは、トラフィックフローに関する情報をまだ収集できませんが、Linux DIYルーターではulogd2を使用できます。このため、通常のLinuxディストリビューションを備えたシンプルなLinuxベースのルーターが必要です。これをトラフィックフローで完全に実行するには、C ++へのポートが終了したら、

このツールの機能の詳細については、私のブログをご覧ください。

つまり、この問題に対処するための標準化と製品開発が進行中です。それまでは、ネットワークに関する知識を必要としない簡単な答えはほとんどありません。

私の謙虚な提案は簡単に実装でき、ワイヤレスルーターを接続して使用する方法以外のネットワークについて何も知らなくても、ローカルネットワークにある程度の保護を提供します（ただし、インターネット全体を保護することはできません）。

ホームネットワーク用に別のワイヤレスルーターを購入し、IoTデバイス専用に使用します。これにより、IoTデバイスが他のデバイス（PC、タブレット、スマートフォンなど）を発見して攻撃するのが難しくなります。同様に、それはあなたのIoTにあなたが持っているかもしれない侵害されたコンピューティングデバイスからいくらかの保護を提供します。

このソリューションはいくつかの問題を解決する可能性がありますが、多くのIotデバイスはメーカーが管理するクラウドインフラストラクチャを介してリモート通信を実現し、IoTがより安全にコンピューティングデバイスと通信できるようになるという、ほとんど望ましくない現実によって逆に助けられますそれらを同じネットワーク上に配置します。また、製造業者はあなたに関する個人情報を収集し、それを第三者に提供することができます。