Puis-je surveiller mon réseau pour détecter toute activité de périphérique IoT non fiable?

36

Pour atténuer ou gérer le risque de compromission de certains périphériques de mon réseau domestique, est-il possible de surveiller le trafic réseau afin de détecter une compromission?

Je suis particulièrement intéressé par les solutions qui n'exigent pas de moi que je sois un expert en réseaux ou que j'investisse dans autre chose qu'un ordinateur monocarte bon marché. Est-ce une fonctionnalité qui peut pratiquement être intégrée dans un pare-feu de routeur ou le problème est-il trop difficile à résoudre pour avoir une solution simple, facile à configurer?

Je ne parle pas de Wireshark - je demande un système autonome qui puisse générer des alertes d'activité suspecte. Nous pensons également plus pratique pour installer un amateur compétent que pour une solution de qualité de production robuste.

addendum: Je vois qu’il existe maintenant un projet kickstarter (akita) qui semble offrir des analyses basées sur le cloud pilotées par le sniffing WiFi local.

Sean Houlihane
la source
Une fois que la sécurité devient un problème majeur, je suis sûr qu'ils vont fabriquer IOT Firewalls et IOT IPS, tout votre trafic IOT est acheminé via ces périphériques, comme toute autre infrastructure informatique, où vous pouvez surveiller votre réseau IOT de près.
R__raki__
1
@Rakesh_K, cette question anticipe exactement le type de dispositif en cours d'invention - je voudrais capturer les techniques connues qui existent aujourd'hui.
Sean Houlihane
1
D'accord. En outre, il existe un ordre de grandeur supérieur au nombre de protocoles utilisés dans l'IdO par rapport à ceux gérés par un pare-feu standard.
Mawg
1
En fait, s'agit-il même d'une question spécifique à l'IoT? Peut-être security.stackexchange.com ?
Mawg

Réponses:

18

Ce n'est pas un sujet simple. Détecter un compromis, comme vous le dites, peut se présenter sous de nombreuses formes et produire de nombreux résultats en termes de comportement du système ou du réseau. Observer cela peut nécessiter de connaître la différence entre comportement normal et suspect en termes de comportement du système et du réseau.

Pour une solution à domicile au niveau du réseau, l'option recommandée est un (transparent) proxy ou une passerelle personnalisée en cours d' exécution des services de réseau multiples ( c. -à , DHCP, DNS) et les applications de sécurité ( par exemple , pare - feu, IDS, serveurs mandataires) qui peuvent aider à l' exploitation forestière ( par exemple , proxy HTTP, requêtes DNS), renforcement ( par exemple , filtrage, liste noire, liste blanche), surveillance ( par exemple , trafic réseau) et alertes sur la base de signatures. Les principaux outils pour cela incluent Bro, IPFire, pfSense et Snort.

Reportez- vous à la section Configuration d'un serveur proxy sur mon routeur domestique pour activer le filtrage du contenu pour plus d'informations sur un exemple de configuration.

Dfernan
la source
16

C'est au-delà de trivial. Chaque appareil IoT un peu sophistiqué communiquera via HTTPS, ce qui rendra difficile la compréhension du sujet, même si votre routeur dispose d'une passerelle Internet non compromise.

Malheureusement, vous ne pouvez pas savoir à quels points finaux l'appareil IoT est censé parler et à qui pas. Alors que la plupart des gros fournisseurs de produits électroniques grand public auront leur dos dédié, cela ne veut pas dire que les appareils n’ont peut-être pas une bonne raison de communiquer avec d’autres fournisseurs d’informations (services météorologiques, services de cuisine, etc.).

Toutes ces choses que vous ne pouvez pas savoir et même pire, une mise à jour OTA de votre appareil IoT peut changer complètement ce comportement. Si vous configurez votre propre passerelle de sécurité avec des critères de filtrage (liste noire ou liste blanche), vous risquez de compromettre gravement les fonctionnalités de votre appareil. Par exemple, vous avez peut-être déterminé avec succès toutes les adresses habituelles de la liste blanche, mais vous n'obtiendrez jamais de mise à jour car ces partenaires de communication sont rarement utilisés.

La réponse: Pattern Recognition

La détection de la compromission de votre appareil se fait généralement par reconnaissance de formes . Ce n’est pas une mince affaire, mais en termes simples, le moteur de reconnaissance des formes de votre passerelle de sécurité détectera un comportement radicalement modifié si votre grille-pain a été piraté et commence à envoyer du spam.

Helmar
la source
2
Ceci est très générique et n’est guère réaliste. La surveillance et la détection basées sur une analyse heuristique ou de modèle (en supposant que certaines méthodes d'Intelligence Computationnelle (IC)) dépendent fortement du problème à résoudre, ne sont efficaces que dans des environnements optimisés.
dfernan
2
@dfernan C'est le cas. Mais la question est de savoir si je peux surveiller mon périphérique non autorisé. Je dirais que ce n'est pas facile à faire est une bonne réponse. La question est incroyablement vaste, car elle cible tous les appareils IoT, pas ceux spécifiques. Ainsi, les réponses doivent aussi être un peu larges.
Helmar
11

À ce stade, la complexité de ce que vous voulez dépasse le niveau des "ordinateurs monocarte bon marché". La solution la plus simple consiste à configurer quelque chose comme SNORT, qui est un système de détection d’intrusion. Initialement, il vous alertera de tout ce qui se passe et vous obtiendrez trop de faux positifs. En le formant au fil du temps (processus manuel lui-même), vous pouvez le réduire à un taux d'alerte raisonnable, mais il n'existe actuellement aucune solution «pré-conservée» sur le marché de la consommation. Ils nécessitent soit des investissements importants en argent (solutions d'entreprise / commerciales) ou en temps (solutions open source de type DIY), ce qui placerait la solution en question hors du domaine de complexité acceptable. Votre meilleur pari sera honnêtement quelque chose comme SNORT - quelque chose qui est "assez bon"

John
la source
1
C'est le genre de réponse que je cherchais, je pense. Assez facile et bon, en particulier si la formation peut être guidée par une foule de personnes.
Sean Houlihane
1
Il sera cependant difficile de trouver ce produit / solution ressemblant à une licorne. J'utilise SNORT à titre d'exemple, mais il est plutôt complexe pour un utilisateur occasionnel à domicile et risque de manquer à la cible "assez facile" pour vous. Mes attentes sont quelque peu différentes de Average Joe's, car je suis un administrateur système Linux depuis plus de 20 ans.
Jean
Et toujours en train d'apprendre Snort ;-) C'est compelx - mais finalement, ça vaut le coup
Mawg
7

L' outil NoDDosJe développe est ciblé pour faire exactement ce que vous demandez. À l'heure actuelle, il peut reconnaître les périphériques IOT en les faisant correspondre à une liste de profils connus. Il peut également collecter les requêtes DNS et les flux de trafic de chaque périphérique IOT correspondant et les télécharger dans le nuage pour une analyse de modèle basée sur de grands ensembles de périphériques. La prochaine étape consiste à implémenter des ACL sur la passerelle domestique afin de limiter les flux de trafic par périphérique IOT. L'outil est conçu pour s'exécuter sur les passerelles domestiques. La version actuelle est écrite en Python. Vous devez donc exécuter Python sur votre OpenWRT HGW ou l'installer sur un routeur Linux DIY. Sous OpenWRT, je ne peux pas encore collecter d'informations sur les flux de trafic, mais je peux utiliser ulogd2 sur le routeur Linux DIY. Donc, pour le moment, vous avez besoin d’un simple routeur basé sur Linux avec une distribution Linux régulière pour le rendre totalement opérationnel avec les flux de trafic, mais une fois que mon portage vers C ++ est terminé,

Vous pouvez lire mon blog pour plus d'informations sur le fonctionnement de l'outil.

Steven
la source
1
J'espérais que quelqu'un proposerait un outil comme celui-ci. Peut-il (en théorie) fonctionner sur un périphérique connecté au réseau et simplement surveiller le trafic? Semble un SBD pourrait être plus facile qu'un routeur ouvert pour beaucoup de gens.
Sean Houlihane
NoDDos doit accéder aux fichiers journaux du serveur DNS / DHCP de Dnsmasq et aux événements de suivi de connexion iptables signalés à ulogd2 pour obtenir les flux de trafic. La passerelle domestique ou le pare-feu est donc le bon endroit pour cela. Étant donné que la base de données de profils de périphériques et de codes est open source, ceux qui savent que les fournisseurs de ressources génétiques pourront à l'avenir l'inclure peut-être dans leur produit. En attendant, je dois construire la base de données de profils et cela nécessitera que les alpha-testeurs testent cet outil sur leurs HGW et téléchargent les résultats.
Steven
1

En bref, la normalisation et le développement de produits sont en cours pour résoudre ce problème. Jusque-là, il y a peu de réponses simples qui n'exigent pas de connaissances en réseau.

Mon humble suggestion est facile à mettre en œuvre et fournira à votre réseau local une certaine protection (même si elle ne protège pas Internet dans son ensemble) sans rien connaître du réseau, à part la manière de brancher et d’utiliser un routeur sans fil.

Achetez un routeur sans fil séparé pour votre réseau domestique et utilisez-le uniquement pour vos appareils IoT. Cela rendra plus difficile pour les périphériques IoT de détecter et d’attaquer vos autres périphériques (tels que les ordinateurs personnels, les tablettes et les smartphones). De même, il fournira à votre IoT une certaine protection contre les dispositifs informatiques compromis que vous pourriez avoir.

Cette solution peut poser problème, mais elle est aidée de façon perverse par la réalité généralement indésirable selon laquelle de nombreux périphériques Iot établissent actuellement des communications à distance via une infrastructure cloud contrôlée par le fabricant, ce qui aidera votre Iots à communiquer avec vos périphériques informatiques de manière plus sécurisée que jamais. les avoir sur le même réseau. Il permet également au fabricant de collecter des informations personnelles vous concernant et de les transmettre à des tiers.

Hugh Buntu
la source
2
Je pense que ceci est tangent à la question, pas vraiment une réponse.
Sean Houlihane
1
En fait, je pensais que certaines des autres réponses étaient tangentielles. Le demandeur a spécifiquement indiqué qu'il voulait des réponses "qui ne nécessitent pas que je sois un expert en réseau ou que j'investisse dans autre chose qu'un ordinateur monocarte bon marché", ou encore "une réflexion plus centrée sur les aspects pratiques pour la configuration d'un amateur capable qu'une solution de qualité de production robuste. " - J'ai écrit une réponse qui, à mon avis, remplissait ces conditions. En l'honneur de votre commentaire, j'ai supprimé le dernier paragraphe qui n'était peut-être pas nécessaire [RTFM].
Hugh Buntu
J'ai spécifiquement posé une question sur la surveillance plutôt que sur la protection. Je pense que votre réponse est meilleure pour l’un de ceux-ci: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 ou iot.stackexchange.com/questions/9 (bien que ce dernier ait beaucoup de répond déjà!)
Sean Houlihane