불량 IoT 장치 활동에 대해 네트워크를 모니터링 할 수 있습니까?


36

내 홈 네트워크의 일부 장치가 손상 될 위험을 완화하거나 관리하기 위해 네트워크 트래픽을 모니터링하여 손상을 감지하는 것이 가능합니까?

특히 네트워킹 전문가가 아니거나 저렴한 단일 보드 컴퓨터 이상의 것에 투자 할 필요가없는 솔루션에 관심이 있습니다. 이것은 실제로 라우터 방화벽에 통합 될 수있는 기능입니까, 아니면 간단하고 구성하기 쉬운 솔루션을 갖기에는 너무 어려운 문제입니까?

Wireshark에 대해 묻지 않습니다. 의심스러운 활동에 대한 경고를 생성 할 수있는 자체 포함 된 시스템을 요구합니다. 또한 강력한 프로덕션 품질 솔루션이 아닌 유능한 아마추어를위한 실질적인 설정에 중점을 두었습니다.

부록 : 이제 로컬 WiFi 스니핑으로 구동되는 클라우드 기반 분석을 제공 하는 킥 스타터 프로젝트 (akita) 가 있습니다.



보안이 중요한 문제가되면 IOT 방화벽과 IOT IPS를 제조 할 것이라고 확신하면 IOT 네트워크를 면밀히 모니터링 할 수있는 다른 IT 인프라와 마찬가지로 모든 IOT 트래픽이 이러한 장치를 통해 라우팅됩니다.
R__raki__

1
@Rakesh_K,이 질문은 발명 된 장치 유형을 정확하게 해독합니다. 오늘 존재하는 알려진 기술을 포착하고 싶습니다.
Sean Houlihane

1
동의했다. 또한 표준 방화벽에서 처리하는 것보다 IoT에서 사용되는 프로토콜이 훨씬 더 많습니다.
Mawg

1
사실, 이것은 심지어 IoT 고유의 질문입니까? 아마도 security.stackexchange.com ?
Mawg

답변:


18

이것은 간단한 주제가 아닙니다. 타협을 감지하면 여러 가지 형태로 발생할 수 있으며 시스템 또는 네트워크 동작 측면에서 여러 결과를 초래할 수 있습니다. 이를 관찰하면 시스템과 네트워크 동작 측면에서 정상과 의심의 차이를 알아야합니다.

네트워크 수준의 홈 솔루션의 경우 권장되는 옵션은 (투명한) 프록시 또는 여러 네트워크 서비스 ( : DHCP, DNS) 및 보안 응용 프로그램 ( 예 : 방화벽, IDS, 프록시)을 실행하여 로깅에 도움이 되는 사용자 정의 된 게이트웨이입니다. ( 예 : HTTP 프록시, DNS 쿼리), 강화 ( 예 : 필터링, 블랙리스트, 화이트리스트), 모니터링 ( 예 : 네트워크 트래픽) 및 서명 기반 경보. 이를위한 주요 도구로는 Bro, IPFire, pfSense 및 Snort가 있습니다.

설정 예제에 대한 자세한 내용은 컨텐츠 필터링을 사용하도록 홈 라우터에서 프록시 서버 설정을 참조하십시오 .


16

이것은 사소한 것이 아닙니다. 다소 정교한 모든 IoT 장치는 HTTPS를 통해 통신하므로 라우터에 인터넷 게이트웨이가 손상되지 않은 경우에도 말하는 내용을 너무 쉽게 알 수 없습니다.

불행히도 IoT 장치와 어떤 엔드 포인트가 통신해야하는지, 어떤 엔드 포인트와 통신하지 않아야하는지 알 수 없습니다. 대부분의 대형 가전 제품 공급 업체는 전용 백본을 보유하고 있지만 장치가 다른 정보 제공 업체 (예 : 날씨 서비스, 요리 레시피 커뮤니티 등)와 대화 할만한 이유가 없을 수도 있습니다.

IoT 장치의 무선 업데이트로 알 수없고 더 나쁜 것은 이러한 동작을 완전히 바꿀 수 있습니다. 차단 목록 또는 허용 목록의 필터 기준으로 자체 보안 게이트웨이를 설정하면 장치의 기능을 심각하게 방해 할 수 있습니다. 예를 들어, 허용 된 모든 일반 주소를 성공적으로 결정했지만 통신 파트너가 거의 사용되지 않으므로 업데이트를받지 못할 수 있습니다.

답 : 패턴 인식

장치가 손상되었음을 감지하는 것은 일반적으로 패턴 인식에 의해 수행됩니다 . 토스터가 해킹되어 스팸을 보내기 시작하면 보안 게이트웨이의 패턴 인식 엔진이 간단하게 변경되는 동작을 감지합니다.


2
이것은 매우 일반적이며 현실적인 옵션은 아닙니다. 휴리스틱 또는 패턴 분석 (일부 CI (Computational Intelligence) 방법으로 가정)을 기반으로하는 모니터링 및 탐지는 현재의 문제에 크게 의존하며, 미세 조정 된 환경에서만 효과적입니다.
dfernan

2
@dfernan입니다. 그러나 문제는 불량 장치를 모니터링 할 수 있다는 것입니다. 나는 그것이 쉽게 이루어지지 않는다는 것이 정답 이라고 주장합니다 . 이 질문은 특정 IoT 장치가 아닌 모든 IoT 장치를 대상으로하기 때문에 불가능합니다. 따라서 답도 다소 넓어야합니다.
Helmar

11

이 시점에서 원하는 것의 복잡성은 "저렴한 단일 보드 컴퓨터"수준을 넘어 섭니다. 가장 쉬운 해결책은 침입 탐지 시스템 인 SNORT와 같은 것을 설정하는 것입니다. 처음에는 진행중인 모든 사항에 대해 경고하고 너무 많은 오 탐지를 얻을 수 있습니다. 시간이 지남에 따라 (수동으로 자체 프로세스) 학습하면 합리적인 경보 속도로 줄일 수 있지만 현재 소비자 시장에서 사용 가능한 "사전 준비된"솔루션은 없습니다. 이들은 상당한 비용의 투자 (기업 / 상업 솔루션) 또는 시간 (오픈 소스 DIY 급 솔루션)을 필요로하며,이 중 어느 것도 문제의 해결책을 수용 할 수있는 복잡한 범위를 벗어난 것입니다. 최선의 방법은 솔직히 SNORT와 같은 것입니다- "충분히 좋은"것


1
이것은 내가 찾던 일종의 대답이라고 생각합니다. 충분히 쉽고 충분합니다. 특히 교육을 크라우드 소스로 안내 할 수있는 경우 더욱 그렇습니다.
Sean Houlihane

1
그러나 유니콘과 같은 제품 / 솔루션을 찾는 것은 어려울 것입니다. 저는 SNORT를 예로 사용하지만, 일반 가정 사용자에게는 다소 복잡하며 "충분히 쉬움"이라는 표시를 놓칠 수 있습니다. 20 년 이상 리눅스 시스템 관리자로 일해 왔기 때문에 제 기대는 Average Joe와는 약간 다릅니다.
John

그리고 여전히 Snort를 배우고 ;-) 그것은 가치가 있지만 궁극적으로 가치가 있습니다
Mawg

7

NoDDos 도구나는 당신이 요구하는 것을하기 위해 개발 중입니다. 현재 알려진 프로파일 목록과 일치시켜 IOT 장치를 인식 할 수 있으며, 일치하는 각 IOT 장치의 DNS 쿼리 및 트래픽 흐름을 수집하고이를 대규모 장치 세트를 기반으로 패턴 분석을 위해 클라우드에 업로드 할 수 있습니다. 다음 단계는 홈 게이트웨이에서 ACL을 구현하여 IOT 장치 당 트래픽 흐름을 제한하는 것입니다. 이 도구는 홈 게이트웨이에서 실행되도록되어 있습니다. 현재 버전은 Python으로 작성되었으므로 OpenWRT HGW에서 Python을 실행하거나 Linux DIY 라우터에 설치해야합니다. OpenWRT에서는 아직 트래픽 흐름에 대한 정보를 수집 할 수 없지만 Linux DIY 라우터에서는 ulogd2를 사용할 수 있습니다. 따라서 지금은 트래픽 흐름을 완벽하게 구현하고 실행하기 위해 일반 Linux 배포판을 사용하는 간단한 Linux 기반 라우터가 필요하지만 C ++ 포트가 완료되면,

이 도구의 작동 방식에 대한 자세한 내용은 내 블로그 를 참조하십시오.


1
나는 누군가가 이와 같은 도구를 생각해 내기를 바랐다. 네트워크에 연결된 장치에서 (이론적으로) 실행할 수 있고 트래픽을 스누핑 할 수 있습니까? 많은 사람들에게 개방형 라우터보다 SBD가 더 쉬울 것 같습니다.
Sean Houlihane

NoDDos 는 트래픽 흐름을 얻기 위해 dnsmasq DNS / DHCP 서버의 로그 파일과 ulogd2에보고 된 iptables 연결 추적 이벤트에 액세스해야합니다. 따라서 홈 게이트웨이 또는 방화벽이 적합한 장소입니다. 코드 및 장치 프로필 데이터베이스 가 오픈 소스이므로 향후 HGW 공급 업체가 해당 제품에 해당 데이터베이스 를 포함시킬 수 있다는 사실을 알고있을 것입니다. 그동안 프로필 데이터베이스를 구축해야하므로 알파 테스터가 HGW에서이 도구를 사용해보고 결과를 업로드해야합니다.
Steven

1

요컨대,이 문제를 해결하기 위해 표준화 및 제품 개발이 진행 중입니다. 그때까지는 네트워킹 지식이 필요없는 간단한 답변이 거의 없습니다.

내 겸손한 제안은 구현하기 쉽고 무선 라우터를 연결하고 사용하는 방법 이외의 네트워킹에 대해 알지 않고도 로컬 네트워크에 일부 보호 기능을 제공합니다 (인터넷을 크게 보호하지는 않지만).

홈 네트워크 용으로 별도의 무선 라우터를 구입하여 IoT 장치에만 사용하십시오. 따라서 IoT 장치가 다른 장치 (예 : PC, 태블릿 및 스마트 폰)를 검색하고 공격하기가 더 어려워집니다. 마찬가지로 IoT를 통해 손상된 컴퓨팅 장치로부터 보호 할 수 있습니다.

이 솔루션은 몇 가지 문제를 야기 할 수 있지만 오늘날 많은 Iot 장치가 제조업체에서 제어하는 ​​클라우드 인프라를 통해 원격 통신을 수행하여 Iots가 컴퓨팅 장치와보다 안전하게 통신 할 수 있도록하는 것이 바람직하지 않은 현실에 의해 도움이됩니다. 동일한 네트워크에 연결해야합니다. 또한 제조업체는 귀하에 대한 개인 정보를 수집하여 제 3 자에게 제공 할 수 있습니다.


2
나는 이것이 실제로 대답이 아니라 질문에 접한다고 생각합니다.
Sean Houlihane

1
실제로, 나는 다른 대답 중 일부가 접선이라고 생각했습니다. 어커는 구체적으로 "저는 네트워킹 전문가가 아니거나 저렴한 싱글 보드 컴퓨터 이상에 투자 할 필요가 없습니다"또는 "아마도 유능한 아마추어를위한 실용성에 중점을 두어야합니다"라고 대답하고 싶다고 말했습니다. 강력한 생산 품질 솔루션보다 " -나는 그 조건을 만족한다고 생각하는 답을 썼습니다. 귀하의 의견을 반영하여 필자가 필요하지 않은 마지막 단락 (예 : RTFM)을 삭제했습니다.
휴 분투

보호보다는 모니터링에 대해 구체적으로 물었습니다. iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 또는 iot.stackexchange.com/questions/9 중 하나에 대한 답변이 더 낫다고 생각합니다 (후자는 상당히 많이 있지만
Sean Houlihane
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.