불량 IoT 장치 활동에 대해 네트워크를 모니터링 할 수 있습니까?

내 홈 네트워크의 일부 장치가 손상 될 위험을 완화하거나 관리하기 위해 네트워크 트래픽을 모니터링하여 손상을 감지하는 것이 가능합니까?

특히 네트워킹 전문가가 아니거나 저렴한 단일 보드 컴퓨터 이상의 것에 투자 할 필요가없는 솔루션에 관심이 있습니다. 이것은 실제로 라우터 방화벽에 통합 될 수있는 기능입니까, 아니면 간단하고 구성하기 쉬운 솔루션을 갖기에는 너무 어려운 문제입니까?

Wireshark에 대해 묻지 않습니다. 의심스러운 활동에 대한 경고를 생성 할 수있는 자체 포함 된 시스템을 요구합니다. 또한 강력한 프로덕션 품질 솔루션이 아닌 유능한 아마추어를위한 실질적인 설정에 중점을 두었습니다.

부록 : 이제 로컬 WiFi 스니핑으로 구동되는 클라우드 기반 분석을 제공 하는 킥 스타터 프로젝트 (akita) 가 있습니다.

이것은 간단한 주제가 아닙니다. 타협을 감지하면 여러 가지 형태로 발생할 수 있으며 시스템 또는 네트워크 동작 측면에서 여러 결과를 초래할 수 있습니다. 이를 관찰하면 시스템과 네트워크 동작 측면에서 정상과 의심의 차이를 알아야합니다.

네트워크 수준의 홈 솔루션의 경우 권장되는 옵션은 (투명한) 프록시 또는 여러 네트워크 서비스 ( 예 : DHCP, DNS) 및 보안 응용 프로그램 ( 예 : 방화벽, IDS, 프록시)을 실행하여 로깅에 도움이 되는 사용자 정의 된 게이트웨이입니다. ( 예 : HTTP 프록시, DNS 쿼리), 강화 ( 예 : 필터링, 블랙리스트, 화이트리스트), 모니터링 ( 예 : 네트워크 트래픽) 및 서명 기반 경보. 이를위한 주요 도구로는 Bro, IPFire, pfSense 및 Snort가 있습니다.

설정 예제에 대한 자세한 내용은 컨텐츠 필터링을 사용하도록 홈 라우터에서 프록시 서버 설정을 참조하십시오 .

이것은 사소한 것이 아닙니다. 다소 정교한 모든 IoT 장치는 HTTPS를 통해 통신하므로 라우터에 인터넷 게이트웨이가 손상되지 않은 경우에도 말하는 내용을 너무 쉽게 알 수 없습니다.

불행히도 IoT 장치와 어떤 엔드 포인트가 통신해야하는지, 어떤 엔드 포인트와 통신하지 않아야하는지 알 수 없습니다. 대부분의 대형 가전 제품 공급 업체는 전용 백본을 보유하고 있지만 장치가 다른 정보 제공 업체 (예 : 날씨 서비스, 요리 레시피 커뮤니티 등)와 대화 할만한 이유가 없을 수도 있습니다.

IoT 장치의 무선 업데이트로 알 수없고 더 나쁜 것은 이러한 동작을 완전히 바꿀 수 있습니다. 차단 목록 또는 허용 목록의 필터 기준으로 자체 보안 게이트웨이를 설정하면 장치의 기능을 심각하게 방해 할 수 있습니다. 예를 들어, 허용 된 모든 일반 주소를 성공적으로 결정했지만 통신 파트너가 거의 사용되지 않으므로 업데이트를받지 못할 수 있습니다.

답 : 패턴 인식

장치가 손상되었음을 감지하는 것은 일반적으로 패턴 인식에 의해 수행됩니다 . 토스터가 해킹되어 스팸을 보내기 시작하면 보안 게이트웨이의 패턴 인식 엔진이 간단하게 변경되는 동작을 감지합니다.

이 시점에서 원하는 것의 복잡성은 "저렴한 단일 보드 컴퓨터"수준을 넘어 섭니다. 가장 쉬운 해결책은 침입 탐지 시스템 인 SNORT와 같은 것을 설정하는 것입니다. 처음에는 진행중인 모든 사항에 대해 경고하고 너무 많은 오 탐지를 얻을 수 있습니다. 시간이 지남에 따라 (수동으로 자체 프로세스) 학습하면 합리적인 경보 속도로 줄일 수 있지만 현재 소비자 시장에서 사용 가능한 "사전 준비된"솔루션은 없습니다. 이들은 상당한 비용의 투자 (기업 / 상업 솔루션) 또는 시간 (오픈 소스 DIY 급 솔루션)을 필요로하며,이 중 어느 것도 문제의 해결책을 수용 할 수있는 복잡한 범위를 벗어난 것입니다. 최선의 방법은 솔직히 SNORT와 같은 것입니다- "충분히 좋은"것

NoDDos 도구나는 당신이 요구하는 것을하기 위해 개발 중입니다. 현재 알려진 프로파일 목록과 일치시켜 IOT 장치를 인식 할 수 있으며, 일치하는 각 IOT 장치의 DNS 쿼리 및 트래픽 흐름을 수집하고이를 대규모 장치 세트를 기반으로 패턴 분석을 위해 클라우드에 업로드 할 수 있습니다. 다음 단계는 홈 게이트웨이에서 ACL을 구현하여 IOT 장치 당 트래픽 흐름을 제한하는 것입니다. 이 도구는 홈 게이트웨이에서 실행되도록되어 있습니다. 현재 버전은 Python으로 작성되었으므로 OpenWRT HGW에서 Python을 실행하거나 Linux DIY 라우터에 설치해야합니다. OpenWRT에서는 아직 트래픽 흐름에 대한 정보를 수집 할 수 없지만 Linux DIY 라우터에서는 ulogd2를 사용할 수 있습니다. 따라서 지금은 트래픽 흐름을 완벽하게 구현하고 실행하기 위해 일반 Linux 배포판을 사용하는 간단한 Linux 기반 라우터가 필요하지만 C ++ 포트가 완료되면,

이 도구의 작동 방식에 대한 자세한 내용은 내 블로그 를 참조하십시오.

요컨대,이 문제를 해결하기 위해 표준화 및 제품 개발이 진행 중입니다. 그때까지는 네트워킹 지식이 필요없는 간단한 답변이 거의 없습니다.

내 겸손한 제안은 구현하기 쉽고 무선 라우터를 연결하고 사용하는 방법 이외의 네트워킹에 대해 알지 않고도 로컬 네트워크에 일부 보호 기능을 제공합니다 (인터넷을 크게 보호하지는 않지만).

홈 네트워크 용으로 별도의 무선 라우터를 구입하여 IoT 장치에만 사용하십시오. 따라서 IoT 장치가 다른 장치 (예 : PC, 태블릿 및 스마트 폰)를 검색하고 공격하기가 더 어려워집니다. 마찬가지로 IoT를 통해 손상된 컴퓨팅 장치로부터 보호 할 수 있습니다.

이 솔루션은 몇 가지 문제를 야기 할 수 있지만 오늘날 많은 Iot 장치가 제조업체에서 제어하는 ​​클라우드 인프라를 통해 원격 통신을 수행하여 Iots가 컴퓨팅 장치와보다 안전하게 통신 할 수 있도록하는 것이 바람직하지 않은 현실에 의해 도움이됩니다. 동일한 네트워크에 연결해야합니다. 또한 제조업체는 귀하에 대한 개인 정보를 수집하여 제 3 자에게 제공 할 수 있습니다.