Puis-je surveiller mon réseau pour détecter toute activité de périphérique IoT non fiable?

Pour atténuer ou gérer le risque de compromission de certains périphériques de mon réseau domestique, est-il possible de surveiller le trafic réseau afin de détecter une compromission?

Je suis particulièrement intéressé par les solutions qui n'exigent pas de moi que je sois un expert en réseaux ou que j'investisse dans autre chose qu'un ordinateur monocarte bon marché. Est-ce une fonctionnalité qui peut pratiquement être intégrée dans un pare-feu de routeur ou le problème est-il trop difficile à résoudre pour avoir une solution simple, facile à configurer?

Je ne parle pas de Wireshark - je demande un système autonome qui puisse générer des alertes d'activité suspecte. Nous pensons également plus pratique pour installer un amateur compétent que pour une solution de qualité de production robuste.

addendum: Je vois qu’il existe maintenant un projet kickstarter (akita) qui semble offrir des analyses basées sur le cloud pilotées par le sniffing WiFi local.

Ce n'est pas un sujet simple. Détecter un compromis, comme vous le dites, peut se présenter sous de nombreuses formes et produire de nombreux résultats en termes de comportement du système ou du réseau. Observer cela peut nécessiter de connaître la différence entre comportement normal et suspect en termes de comportement du système et du réseau.

Pour une solution à domicile au niveau du réseau, l'option recommandée est un (transparent) proxy ou une passerelle personnalisée en cours d' exécution des services de réseau multiples ( c. -à , DHCP, DNS) et les applications de sécurité ( par exemple , pare - feu, IDS, serveurs mandataires) qui peuvent aider à l' exploitation forestière ( par exemple , proxy HTTP, requêtes DNS), renforcement ( par exemple , filtrage, liste noire, liste blanche), surveillance ( par exemple , trafic réseau) et alertes sur la base de signatures. Les principaux outils pour cela incluent Bro, IPFire, pfSense et Snort.

Reportez- vous à la section Configuration d'un serveur proxy sur mon routeur domestique pour activer le filtrage du contenu pour plus d'informations sur un exemple de configuration.

C'est au-delà de trivial. Chaque appareil IoT un peu sophistiqué communiquera via HTTPS, ce qui rendra difficile la compréhension du sujet, même si votre routeur dispose d'une passerelle Internet non compromise.

Malheureusement, vous ne pouvez pas savoir à quels points finaux l'appareil IoT est censé parler et à qui pas. Alors que la plupart des gros fournisseurs de produits électroniques grand public auront leur dos dédié, cela ne veut pas dire que les appareils n’ont peut-être pas une bonne raison de communiquer avec d’autres fournisseurs d’informations (services météorologiques, services de cuisine, etc.).

Toutes ces choses que vous ne pouvez pas savoir et même pire, une mise à jour OTA de votre appareil IoT peut changer complètement ce comportement. Si vous configurez votre propre passerelle de sécurité avec des critères de filtrage (liste noire ou liste blanche), vous risquez de compromettre gravement les fonctionnalités de votre appareil. Par exemple, vous avez peut-être déterminé avec succès toutes les adresses habituelles de la liste blanche, mais vous n'obtiendrez jamais de mise à jour car ces partenaires de communication sont rarement utilisés.

La réponse: Pattern Recognition

La détection de la compromission de votre appareil se fait généralement par reconnaissance de formes . Ce n’est pas une mince affaire, mais en termes simples, le moteur de reconnaissance des formes de votre passerelle de sécurité détectera un comportement radicalement modifié si votre grille-pain a été piraté et commence à envoyer du spam.

À ce stade, la complexité de ce que vous voulez dépasse le niveau des "ordinateurs monocarte bon marché". La solution la plus simple consiste à configurer quelque chose comme SNORT, qui est un système de détection d’intrusion. Initialement, il vous alertera de tout ce qui se passe et vous obtiendrez trop de faux positifs. En le formant au fil du temps (processus manuel lui-même), vous pouvez le réduire à un taux d'alerte raisonnable, mais il n'existe actuellement aucune solution «pré-conservée» sur le marché de la consommation. Ils nécessitent soit des investissements importants en argent (solutions d'entreprise / commerciales) ou en temps (solutions open source de type DIY), ce qui placerait la solution en question hors du domaine de complexité acceptable. Votre meilleur pari sera honnêtement quelque chose comme SNORT - quelque chose qui est "assez bon"

L' outil NoDDosJe développe est ciblé pour faire exactement ce que vous demandez. À l'heure actuelle, il peut reconnaître les périphériques IOT en les faisant correspondre à une liste de profils connus. Il peut également collecter les requêtes DNS et les flux de trafic de chaque périphérique IOT correspondant et les télécharger dans le nuage pour une analyse de modèle basée sur de grands ensembles de périphériques. La prochaine étape consiste à implémenter des ACL sur la passerelle domestique afin de limiter les flux de trafic par périphérique IOT. L'outil est conçu pour s'exécuter sur les passerelles domestiques. La version actuelle est écrite en Python. Vous devez donc exécuter Python sur votre OpenWRT HGW ou l'installer sur un routeur Linux DIY. Sous OpenWRT, je ne peux pas encore collecter d'informations sur les flux de trafic, mais je peux utiliser ulogd2 sur le routeur Linux DIY. Donc, pour le moment, vous avez besoin d’un simple routeur basé sur Linux avec une distribution Linux régulière pour le rendre totalement opérationnel avec les flux de trafic, mais une fois que mon portage vers C ++ est terminé,

Vous pouvez lire mon blog pour plus d'informations sur le fonctionnement de l'outil.

En bref, la normalisation et le développement de produits sont en cours pour résoudre ce problème. Jusque-là, il y a peu de réponses simples qui n'exigent pas de connaissances en réseau.

Mon humble suggestion est facile à mettre en œuvre et fournira à votre réseau local une certaine protection (même si elle ne protège pas Internet dans son ensemble) sans rien connaître du réseau, à part la manière de brancher et d’utiliser un routeur sans fil.

Achetez un routeur sans fil séparé pour votre réseau domestique et utilisez-le uniquement pour vos appareils IoT. Cela rendra plus difficile pour les périphériques IoT de détecter et d’attaquer vos autres périphériques (tels que les ordinateurs personnels, les tablettes et les smartphones). De même, il fournira à votre IoT une certaine protection contre les dispositifs informatiques compromis que vous pourriez avoir.

Cette solution peut poser problème, mais elle est aidée de façon perverse par la réalité généralement indésirable selon laquelle de nombreux périphériques Iot établissent actuellement des communications à distance via une infrastructure cloud contrôlée par le fabricant, ce qui aidera votre Iots à communiquer avec vos périphériques informatiques de manière plus sécurisée que jamais. les avoir sur le même réseau. Il permet également au fabricant de collecter des informations personnelles vous concernant et de les transmettre à des tiers.