不正なIoTデバイスのアクティビティについてネットワークを監視できますか?


36

ホームネットワーク上の一部のデバイスが侵害された場合のリスクを軽減または管理するために、ネットワークトラフィックを監視して侵害を検出することは可能ですか?

私は、ネットワークの専門家である必要もなく、安価なシングルボードコンピューター以外に投資する必要のないソリューションに特に興味があります。これは、ルーターファイアウォールに実際に統合できる機能ですか、それとも問題を解決するのが難しすぎて、シンプルで構成しやすいソリューションではありませんか?

Wiresharkについては質問していません-疑わしいアクティビティのアラートを生成できる自己完結型システムを求めています。また、堅牢なプロダクション品質ソリューションではなく、有能なアマチュア向けのセットアップに実用的であることに焦点を当てています。

補遺: 現在、ローカルWiFiスニッフィングから駆動されるクラウドベースの分析を提供するキックスタータープロジェクト(akita)があります。



セキュリティが大きな問題になると、IOTファイアウォールとIOT IPSを製造し、すべてのIOTトラフィックは、IOTネットワークを密接に監視できる他のITインフラストラクチャと同様に、これらのデバイスを経由してルーティングされると確信しています。
R__raki__ 16

1
@Rakesh_K、この質問はまさにそのタイプのデバイスが発明されるのを防いでいます-今日存在する既知のテクニックをキャプチャしたいと思います。
ショーンフーリハネ

1
同意した。また、IoTで使用されるプロトコルは、標準のファイアウォールで処理されるよりも桁違いに多くなっています。
Mawg

1
実際、これはIoT固有の質問ですか?おそらくsecurity.stackexchange.com
Mawg

回答:


18

これは簡単なトピックではありません。侵害を検出すると、それはさまざまな形で発生し、システムまたはネットワークの動作に関して複数の結果をもたらす可能性があります。これを観察するには、システムとネットワークの動作の点で通常と疑わしいものの違いを知る必要があります。

ネットワークレベルでのホーム・ソリューションのために、推奨オプションは、(透明)のプロキシまたは複数のネットワークサービスを実行しているカスタマイズされたゲートウェイがある(つまり、DHCP、DNS)およびセキュリティアプリケーション(例えば、ファイアウォール、IDSは、プロキシ)のログでその缶ヘルプ(例えば、HTTPプロキシ、DNSクエリー)、(硬化例えば(監視、、、フィルタリングブラックリスト、ホワイトリスト)例えば、ネットワークトラフィック)と署名に基づいて警告。このための主要なツールには、Bro、IPFire、pfSense、Snortが含まれます。

設定 例の詳細については、コンテンツフィルタリングを有効にするためにホームルーターでプロキシサーバー設定するをご覧ください。


16

これは簡単なことではありません。多少洗練されたすべてのIoTデバイスはHTTPS経由で通信するため、ルーターにインターネットゲートウェイが侵害されていなくても、何を話しているのかを簡単に知ることはできません。

残念ながら、IoTデバイスがどのエンドポイントと通信するのか、どのエンドポイントが通信しないのかを知ることはできません。大手家電メーカーのほとんどは専用のバックボーンを持っていますが、デバイスが他の情報プロバイダー(気象サービス、料理レシピコミュニティなど)と話をする正当な理由がないかもしれません。

おそらく知ることができないこれらすべてのこと、さらに悪いことに、IoTデバイスの無線更新は、その動作を完全に変える可能性があります。ブラックリストまたはホワイトリストのフィルター基準を使用して独自のセキュリティゲートウェイを設定すると、デバイスの機能が大幅に低下する可能性があります。たとえば、ホワイトリストに登録する通常のアドレスをすべて正常に決定できたとしても、通信パートナーはめったに使用されないため、更新を取得することはできません。

答え:パターン認識

デバイスが侵害されたことの検出は、通常パターン認識によって行われます。それは簡単なことではありませんが、簡単に言えば、トースターがハッキングされてスパムを送信し始めた場合、セキュリティゲートウェイのパターン認識エンジンは大幅に変更された動作を検出します。


2
これは非常に一般的であり、現実的なオプションではありません。ヒューリスティック分析またはパターン分析(一部の計算インテリジェンス(CI)メソッドを想定)に基づく監視と検出は、手元の問題に大きく依存しており、ほとんどの場合、微調整された環境でのみ有効です。
dfernan 16

2
@dfernanです。しかし、問題は、不正なデバイスを監視できるかどうかです私はそれが簡単に行われないことは適切な答えだと主張します。問題は、特定のデバイスではなくすべてのIoTデバイスを対象にしているため、非常に広範です。したがって、答えもある程度広くする必要があります。
ヘルマー

11

この時点で、必要なものの複雑さは「安価なシングルボードコンピューター」レベルを超えています。最も簡単な解決策は、侵入検知システムであるSNORTのようなものをセットアップすることです。最初は、進行中のすべてのことを警告し、誤検出が多すぎます。時間をかけてトレーニングすることにより(それ自体が手動プロセス)、妥当なアラートレートに減らすことができますが、現在、消費者市場で利用可能な「事前に用意された」ソリューションはありません。多大なお金(企業/商業ソリューション)または時間(オープンソースのDIYクラスのソリューション)のいずれかの投資が必要であり、どちらも問題のソリューションを複雑な許容範囲外に置くことになるでしょう。あなたの最善の策は、正直なところ「SNORT」のようなものになるだろう-「十分な」何か


1
これは私が探していた答えの一種です。十分に簡単で、十分です-特に、トレーニングをクラウドソースで誘導できる場合。
ショーンHoulihane

1
ただし、ユニコーンのような製品/ソリューションを見つけることは困難です。私は例としてSNORTを使用しますが、一般的なホームユーザーにとってはかなり複雑であり、「十分に簡単」のマークを見逃すことがあります。私の期待は、20年以上にわたってLinuxのシステム管理者であったAverage Joeの期待とは多少異なります。
ジョン

価値が、最終的に、しかし-と、まだSnortの;-)それのcompelxを学ぶ
Mawg

7

NoDDosツール私が開発しているのは、あなたが求めていることだけを行うことです。現在、既知のプロファイルのリストに一致させることでIOTデバイスを認識でき、一致した各IOTデバイスのDNSクエリとトラフィックフローを収集し、デバイスの大規模なセットに基づくパターン分析のためにクラウドにアップロードできます。次のステップでは、IOTデバイスごとのトラフィックフローを制限するために、ホームゲートウェイにACLを実装します。このツールは、ホームゲートウェイで実行することを目的としています。現在のバージョンはPythonで記述されているため、OpenWRT HGWでPythonを実行するか、Linux DIYルーターにインストールする必要があります。OpenWRTでは、トラフィックフローに関する情報をまだ収集できませんが、Linux DIYルーターではulogd2を使用できます。このため、通常のLinuxディストリビューションを備えたシンプルなLinuxベースのルーターが必要です。これをトラフィックフローで完全に実行するには、C ++へのポートが終了したら、

このツールの機能の詳細については、私のブログをご覧ください。


1
私は誰かがこのようなツールを思いつくことを望んでいました。(理論的には)ネットワークに接続されたデバイスで実行し、トラフィックをスヌープすることはできますか?多くの人にとって、SBDはオープンルーターよりも簡単かもしれません。
ショーンフーリハネ

NoDDosはdnsmasq DNS / DHCPサーバーのログファイルにアクセスする必要があり、iptables接続はトラフィックフローを取得するためにulogd2に報告されたイベントを追跡します。そのため、ホームゲートウェイまたはファイアウォールがこれに適しています。コードおよびデバイスプロファイルデータベース はオープンソースであるため、おそらく将来的にHGWベンダーが製品にそれを含めることができるのを知っている人はいないでしょう。それまでの間、プロファイルデータベースを構築する必要があり、アルファテスターがHGWでこのツールを試して結果をアップロードする必要があります。
スティーブン

1

つまり、この問題に対処するための標準化と製品開発が進行中です。それまでは、ネットワークに関する知識を必要としない簡単な答えはほとんどありません。

私の謙虚な提案は簡単に実装でき、ワイヤレスルーターを接続して使用する方法以外のネットワークについて何も知らなくても、ローカルネットワークにある程度の保護を提供します(ただし、インターネット全体を保護することはできません)。

ホームネットワーク用に別のワイヤレスルーターを購入し、IoTデバイス専用に使用します。これにより、IoTデバイスが他のデバイス(PC、タブレット、スマートフォンなど)を発見して攻撃するのが難しくなります。同様に、それはあなたのIoTにあなたが持っているかもしれない侵害されたコンピューティングデバイスからいくらかの保護を提供します。

このソリューションはいくつかの問題を解決する可能性がありますが、多くのIotデバイスはメーカーが管理するクラウドインフラストラクチャを介してリモート通信を実現し、IoTがより安全にコンピューティングデバイスと通信できるようになるという、ほとんど望ましくない現実によって逆に助けられますそれらを同じネットワーク上に配置します。また、製造業者はあなたに関する個人情報を収集し、それを第三者に提供することができます。


2
これは質問の正接であり、実際の答えではないと思います。
ショーンフーリハネ

1
実際、他の答えのいくつかは接線的だと思いました。質問者は、「ネットワークの専門家である必要はなく、安価なシングルボードコンピューター以上のものに投資する必要もありません」、または「有能なアマチュアのセットアップに実用的であることに焦点を当てている」堅牢な生産品質ソリューションよりも。」-私はそれらの条件を満たしていると思った答えを書きました。あなたのコメントに敬意を表して、おそらく不要な最後の段落[RTFM]を削除しました。
ヒューブントゥ

保護よりも監視について具体的に尋ねました。私はあなたの答えがこれらのいずれかのために優れていると思います:iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14またはiot.stackexchange.com/questions/9(後者はかなり多くのすでに答えます!)
ショーンフーリハネ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.