¿Puedo monitorear mi red en busca de actividad no autorizada de dispositivos IoT?

Para mitigar o administrar el riesgo de que algunos de los dispositivos de mi red doméstica se vean comprometidos, ¿es factible monitorear el tráfico de la red para detectar un compromiso?

Estoy específicamente interesado en soluciones que no requieren que sea un experto en redes o que invierta en algo más que una computadora barata de una sola placa. ¿Es esta una característica que prácticamente puede integrarse en el firewall de un enrutador, o es el problema demasiado difícil de resolver para tener una solución simple y fácil de configurar?

No estoy preguntando sobre Wireshark: estoy pidiendo un sistema autónomo que pueda generar alertas de actividad sospechosa. También pensando más centrado en la configuración práctica para un aficionado capaz en lugar de una solución de calidad de producción robusta.

Anexo: veo que ahora hay un proyecto kickstarter (akita) que parece ofrecer análisis basados ​​en la nube impulsados ​​por la detección local de WiFi.

Este no es un tema sencillo. La detección de un compromiso, tal como lo expresas, puede suceder de muchas formas y generar múltiples resultados en términos de comportamiento del sistema o la red. Observar eso puede requerir conocer la diferencia entre normal y sospechoso en términos de comportamiento del sistema y la red.

Para una solución doméstica a nivel de red, la opción recomendada es un proxy (transparente) o una puerta de enlace personalizada que ejecute múltiples servicios de red ( es decir , DHCP, DNS) y aplicaciones de seguridad ( p . Ej. , Firewall, IDS, proxies) que pueden ayudar con el registro ( p . ej. , proxy HTTP, consultas DNS), endurecimiento ( p . ej. , filtrado, listas negras, listas blancas), monitoreo ( p . ej. , tráfico de red) y alertas basadas en firmas. Las principales herramientas para esto incluyen Bro, IPFire, pfSense y Snort.

Consulte Configuración de un servidor proxy en mi enrutador doméstico para habilitar el filtrado de contenido para obtener detalles sobre una configuración de ejemplo.

Esto es más que trivial. Cada dispositivo IoT algo sofisticado se comunicará a través de HTTPS, lo que hace que no sea demasiado fácil saber de qué está hablando, incluso si tiene un gateway de Internet no comprometido en su enrutador.

Desafortunadamente, no puede saber con qué puntos finales debe hablar el dispositivo IoT y con cuáles no. Si bien la mayoría de los grandes proveedores de productos electrónicos de consumo tendrán su columna vertebral dedicada, eso no significa que los dispositivos no tengan una buena razón para hablar con otros proveedores de información (por ejemplo, servicios meteorológicos, comunidades de recetas de cocina, etc.).

Todas estas cosas que posiblemente no pueda saber y, lo que es peor, una actualización inalámbrica de su dispositivo IoT puede cambiar ese comportamiento por completo. Si configura su propia puerta de enlace de seguridad con criterios de filtro de listas negras o listas blancas, podría obstaculizar seriamente la funcionalidad de su dispositivo. Por ejemplo, es posible que haya determinado con éxito cada una de las direcciones habituales en la lista blanca, pero nunca recibirá una actualización porque rara vez se utilizan socios de comunicación.

La respuesta: reconocimiento de patrones

La detección de que su dispositivo se ha visto comprometido generalmente se realiza mediante el reconocimiento de patrones . Eso no es simple, pero fácil de usar, el motor de reconocimiento de patrones en su puerta de enlace de seguridad detectará un comportamiento drásticamente cambiado si su tostadora ha sido pirateada y comienza a enviar spam.

En este punto, la complejidad de lo que desea está más allá de los niveles de "computadora barata de una sola placa". La solución más fácil disponible es configurar algo como SNORT, que es un sistema de detección de intrusos. Inicialmente, lo alertará de todo lo que está sucediendo y obtendrá demasiados falsos positivos. Al entrenarlo a lo largo del tiempo (en sí mismo, un proceso manual) puede reducirlo a una tasa de alerta razonable, pero actualmente no hay soluciones "prelavadas" disponibles en el mercado de consumo. Requieren inversiones significativas de dinero (soluciones corporativas / comerciales) o tiempo (soluciones de código abierto de clase DIY), cualquiera de los cuales pondría la solución en cuestión fuera del alcance aceptable de la complejidad. Honestamente, su mejor opción será algo como SNORT, algo que sea "suficientemente bueno"

La herramienta NoDDosEstoy desarrollando está dirigido a hacer exactamente lo que está pidiendo. En este momento puede reconocer dispositivos IOT al hacerlos coincidir con una lista de perfiles conocidos, puede recopilar las consultas DNS y los flujos de tráfico de cada dispositivo IOT coincidente y cargarlo en la nube para el análisis de patrones basado en grandes conjuntos de dispositivos. El siguiente paso es implementar ACL en Home Gateway para restringir los flujos de tráfico por dispositivo IOT. La herramienta está diseñada para ejecutarse en Home Gateways. La versión actual está escrita en Python, lo que requiere que ejecute Python en su OpenWRT HGW o que lo instale en un enrutador Linux DIY. En OpenWRT todavía no puedo recopilar información sobre los flujos de tráfico, pero en el enrutador de bricolaje de Linux puedo usar ulogd2. Por lo tanto, ahora necesita un enrutador simple basado en Linux con una distribución regular de Linux para que esté completamente en funcionamiento con flujos de tráfico, pero una vez que mi puerto a C ++ haya terminado,

Puede leer mi blog para obtener más información sobre cómo funciona la herramienta.

En resumen, la estandarización y el desarrollo de productos están en marcha para abordar este problema. Hasta entonces, hay pocas respuestas simples que no requieren algunos conocimientos de redes.

Mi humilde sugerencia es fácil de implementar y proporcionará cierta protección a su red local (aunque no protegerá Internet en general) sin saber nada sobre la red que no sea cómo enchufar y usar un enrutador inalámbrico.

Compre un enrutador inalámbrico separado para su red doméstica y úselo solo para sus dispositivos IoT. Esto hará que sea más difícil para los dispositivos IoT descubrir y atacar sus otros dispositivos (como PC, tabletas y teléfonos inteligentes). Del mismo modo, proporcionará a sus IoT cierta protección contra los dispositivos informáticos comprometidos que pueda tener.

Esta solución puede romper algunas cosas, pero la solución es perversamente ayudada por la realidad mayormente indeseable de que hoy en día, muchos dispositivos Iot logran comunicaciones remotas a través de una infraestructura de nube controlada por el fabricante, lo que ayudará a sus Iots a comunicarse con sus dispositivos informáticos de manera más segura que tenerlos en la misma red. También permite al fabricante recopilar información personal sobre usted y proporcionarla a terceros.