我可以监视网络中是否存在恶意IoT设备活动吗?


36

为了减轻或管理家庭网络中的某些设备受到威胁的风险,监视网络流量以检测威胁是否可行?

我对解决方案特别感兴趣,这些解决方案不需要我成为网络专家,也不需要投资于廉价的单板计算机。这是实际上可以集成在路由器防火墙中的功能吗?还是很难解决这个问题以至于没有一个简单易配置的解决方案?

我不是在问Wireshark,而是在寻求一个可以生成可疑活动警报的独立系统。还考虑将更多的精力放在为有能力的业余爱好者设置实用而不是强大的生产质量解决方案上。

附录: 我看到现在有一​​个kickstarter项目(akita),该项目似乎提供了基于本地WiFi嗅探驱动的基于云的分析。



一旦安全成为主要问题,我相信他们将制造IOT防火墙和IOT IPS,您的所有IOT流量都将通过这些设备进行路由,就像其他IT基础结构一样,您可以在其中密切监视IOT网络。
R__raki__

1
@Rakesh_K,这个问题恰恰反驳了正在发明的那种设备-我想捕捉当今存在的已知技术。
肖恩·霍利哈内

1
同意 此外,物联网中使用的协议要比标准防火墙处理的协议多一个数量级。
Mawg '16

1
实际上,这甚至是物联网特定的问题吗?也许security.stackexchange.com吗?
Mawg '16

Answers:


18

这不是一个简单的话题。就像您所说的那样,检测到危害可能会以多种形式发生,并且就系统或网络行为而言会导致多种结果。观察可能需要了解正常和可疑系统和网络行为之间的区别。

对于在网络层家庭解决方案,推荐的选项是(透明)代理或运行多个网络服务的定制网关(,DHCP,DNS)和安全应用(例如,防火墙,入侵检测系统,代理)有记录,可以帮助(例如 HTTP代理,DNS查询),强化(例如过滤,黑名单,白名单),监视(例如网络流量)和基于签名的警报。主要工具包括Bro,IPFire,pfSense和Snort。

有关 示例设置的详细信息,请参阅在家庭路由器上设置代理服务器以启用内容过滤


16

这是不平凡的。每个稍微复杂的物联网设备都将通过HTTPS进行通信,即使您的路由器中确实有一个不受损害的Internet网关,也很难知道它在说什么。

不幸的是,您不知道IoT设备应该与哪个端点通信,而哪个端点不可以与之通信。尽管大多数大型消费电子产品供应商将拥有专用的后背骨,但这并不意味着这些设备可能没有充分的理由与其他信息提供者进行交流(例如,气象服务,烹饪食谱社区等)。

您可能不知道的所有这些事情,甚至更糟的是,通过物联网设备的空中更新可以完全改变这种行为。如果您使用黑名单或白名单过滤条件设置了自己的安全网关,则可能会严重阻碍设备的功能。例如,您可能已经成功确定了要列入白名单的所有常用地址,但是您永远都不会得到更新,因为这些地址很少使用。

答案:模式识别

通常通过模式识别来检测设备是否受到威胁。这不是一件简单的事情,但是很容易实现,如果您的烤面包机被黑客入侵并开始发送垃圾邮件,那么安全网关上的模式识别引擎将检测到行为发生了彻底改变。


2
这是非常通用的,几乎不是现实的选择。基于启发式或模式分析(假设采用某些计算智能(CI)方法)的监视和检测高度依赖于手头的问题,仅在微调的环境中才有效。
dfernan '16

2
@dfernan是的。但是问题是我可以监视我的恶意设备。我认为这不容易做到是一个正确的答案。这个问题不可能广泛涉及,因为它针对的是所有物联网设备,而不是特定的设备。因此,答案也必须是广泛的。
Helmar

11

此时,所需的复杂性已超出“便宜的单板计算机”级别。可用的最简单的解决方案是设置SNORT之类的东西,这是一个入侵检测系统。最初,它会提醒您所有正在发生的事情,并且您会得到太多的误报。通过随着时间的推移对其进行培训(本身就是手动过程),您可以将其降低到合理的警报率,但是在消费者市场上目前没有“预装”解决方案。他们要么需要大量的资金投资(企业/商业解决方案),要么需要时间(开源DIY类解决方案),这两种方式都会使解决方案超出可接受的复杂性范围。老实说,您最好的选择是像SNORT这样的东西-“足够好”的东西


1
我认为这是我一直在寻找的答案。既简单又足够好-特别是如果培训可以在众包指导下进行。
肖恩·霍利哈内

1
但是,找到类似独角兽的产品/解决方案将非常困难。我以SNORT为例,但对于休闲家庭用户而言,它相当复杂,可能会为您错过“足够容易”的标记。我的期望与一般乔的期望有所不同,因为我从事Linux管理员已有20多年了。
约翰

而仍然在学习的Snort ;-)它的compelx -但最终,值得
Mawg

7

NoDDos工具我正在开发的目标是按照您的要求进行。现在,它可以通过将IOT设备与已知配置文件列表匹配来识别IOT设备,它可以收集每个匹配的IOT设备的DNS查询和流量,并将其上传到云中,以基于大量设备进行模式分析。下一步是在家庭网关上实现ACL,以限制每个IOT设备的流量。该工具旨在在家庭网关上运行。当前版本是用Python编写的,要求您在OpenWRT HGW上运行Python或在Linux DIY路由器上安装。在OpenWRT中,我尚无法收集有关流量的信息,但是在Linux DIY路由器上,我可以使用ulogd2。因此,现在您需要一个带有常规Linux发行版的基于Linux的简单路由器,以使其完全正常运行并随流量一起运行,但是一旦完成我对C ++的移植,

您可以阅读我的博客以获取有关该工具如何工作的更多信息。


1
我希望有人能提出这样的工具。它可以(理论上)可以在连接网络的设备上运行,而只是监听流量吗?对于许多人来说,似乎SBD可能比开放式路由器容易。
肖恩·

NoDDos需要访问dnsmasq DNS / DHCP服务器的日志文件以及报告给ulogd2的iptables连接跟踪事件,以获取流量。因此,家庭网关或防火墙是正确的选择。由于代码和设备配置文件数据库 是开源的,也许谁知道未来的HGW供应商可以将其包含在他们的产品中。同时,我需要建立配置文件数据库,这将需要Alpha测试人员在其HGW上试用该工具并上传结果。
史蒂文

1

简而言之,正在进行标准化和产品开发以解决该问题。在此之前,很少有不需要一些网络知识的简单答案。

我的卑鄙建议很容易实现,并且会为您的本地网络提供一些保护(尽管它不会对整个Internet起到保护作用),而除了如何插入和使用无线路由器外,您无需了解任何有关网络的知识即可。

为您的家庭网络购买一个单独的无线路由器,并将其仅用于您的IoT设备。这将使IoT设备更难发现和攻击您的其他设备(例如PC,平板电脑和智能手机)。同样,它将为您的物联网提供一些保护,使其免受可能拥有的受损计算设备的侵害。

该解决方案可能会打破某些局面,但是这个不受欢迎的事实反过来为解决方案提供了帮助:当今,许多物联网设备通过制造商控制的云基础架构实现远程通信,这将帮助您的物联网与计算设备通信比将它们放在同一网络上。它还允许制造商收集有关您的个人信息,并将其提供给第三方。


2
我认为这与问题有关,而不是真正的答案。
肖恩·霍利哈内

1
实际上,我认为其他一些答案是切线的。询问者特别说,他想要答案“不需要我成为网络专家,也不需要投资购买任何廉价的单板计算机”,或者“还考虑将重点更多地放在为有能力的业余爱好者设置实用性上,而不是强大的生产质量解决方案。” -我写了一个我认为符合这些条件的答案。为了纪念您的评论,我删除了可能不必要的最后一段[即RTFM]。
休·邦图

我专门询问了监视而不是保护。我认为您的回答对以下其中一种更好:iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14iot.stackexchange.com/questions/9(尽管后者有很多已经回答!)
肖恩·霍利哈内
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.