क्या मैं दुष्ट IoT डिवाइस गतिविधि के लिए अपने नेटवर्क की निगरानी कर सकता हूं?

36

मेरे होम नेटवर्क पर कुछ उपकरणों के होने से होने वाले जोखिम को कम या कम करने के लिए, क्या नेटवर्क ट्रैफ़िक की निगरानी करना संभव है ताकि किसी समझौते का पता लगाया जा सके?

मैं विशेष रूप से उन समाधानों में रुचि रखता हूं जिनके लिए मुझे नेटवर्किंग विशेषज्ञ होने की आवश्यकता नहीं है, या सस्ते सिंगल-बोर्ड कंप्यूटर से अधिक कुछ भी निवेश करने की आवश्यकता नहीं है। क्या यह एक ऐसी सुविधा है जो व्यावहारिक रूप से एक राउटर फ़ायरवॉल में एकीकृत हो सकती है, या समस्या को हल करने के लिए एक सरल, आसान करने के लिए बाध्य करना बहुत मुश्किल है?

मैं विंडसर के बारे में नहीं पूछ रहा हूं - मैं एक आत्म-निहित प्रणाली के लिए पूछ रहा हूं जो संदिग्ध गतिविधि के अलर्ट उत्पन्न कर सकता है। इसके अलावा एक मजबूत उत्पादन गुणवत्ता समाधान के बजाय एक सक्षम शौकिया के लिए सेटअप करने के लिए व्यावहारिक पर अधिक ध्यान केंद्रित करने की सोच।

परिशिष्ट: मैं देख रहा हूं कि अब एक किकस्टार्टर प्रोजेक्ट (akita) है जो स्थानीय वाईफाई स्निफिंग से संचालित क्लाउड-आधारित एनालिटिक्स प्रदान करता है।

security  networking 
सीन होलीहेन
स्रोत
1
WayToDoor
एक बार जब सुरक्षा प्रमुख मुद्दा बन जाती है, तो मुझे यकीन है कि वे आईओटी फायरवॉल और आईओटी आईपीएस का निर्माण करेंगे, आपके सभी आईओटी ट्रैफ़िक को अन्य आईटी इन्फ्रास्ट्रक्चर की तरह ही इन उपकरणों के माध्यम से रूट किया जाता है, जहाँ आप अपने आईओटी नेटवर्क की बारीकी से निगरानी कर सकते हैं।
R__raki__
1
@ राकेश_के, यह प्रश्न ठीक उसी प्रकार का पता लगाता है जिस प्रकार के उपकरण का आविष्कार किया गया है - मैं आज ज्ञात तकनीकों को पकड़ना चाहता हूं।
शॉन हुलिएन
1
माना। इसके अलावा, आईओटी में उपयोग किए जाने वाले अधिक प्रोटोकॉल का एक आदेश है, एक मानक फ़ायरवॉल द्वारा नियंत्रित किया जाता है।
मग
1
वास्तव में, क्या यह भी एक IoT विशिष्ट प्रश्न है? शायद security.stackexchange.com ?
मग

जवाबों:

18

यह कोई सीधा विषय नहीं है। एक समझौता का पता लगाते हुए, जैसा कि आप इसे कहते हैं, सिस्टम या नेटवर्क व्यवहार के संदर्भ में कई रूपों और कई परिणामों में हो सकता है। अवलोकन करना कि सिस्टम और नेटवर्क व्यवहार के संदर्भ में सामान्य और संदिग्ध के बीच अंतर जानने की आवश्यकता हो सकती है।

नेटवर्क स्तर पर एक घर समाधान के लिए, अनुशंसित विकल्प एक (पारदर्शी) प्रॉक्सी या एक अनुकूलित गेटवे है जो कई नेटवर्क सेवाओं ( जैसे , डीएचसीपी, डीएनएस) और सुरक्षा अनुप्रयोगों ( जैसे , फ़ायरवॉल, आईडीएस, प्रॉक्सी) को चलाने में मदद करता है जो लॉगिंग में मदद कर सकता है। ( उदाहरण के लिए , HTTP प्रॉक्सी, DNS क्वेरीज़), हार्डनिंग ( जैसे , फ़िल्टरिंग, ब्लैकलिस्टिंग, वाइटेलिस्टिंग), मॉनिटरिंग ( जैसे , नेटवर्क ट्रैफ़िक) और हस्ताक्षर के आधार पर अलर्ट करना। इसके लिए प्रमुख टूल में Bro, IPFire, pfSense और Snort शामिल हैं।

उदाहरण सेटअप पर विवरण के लिए सामग्री फ़िल्टरिंग सक्षम करने के लिए मेरे होम राउटर पर प्रॉक्सी सर्वर स्थापित करना देखें ।

dfernan
स्रोत
16

यह तुच्छ से परे है। हर कुछ परिष्कृत IoT डिवाइस HTTPS के माध्यम से संवाद करेगा जिससे यह जानना भी आसान नहीं होगा कि यह किस बारे में बात कर रहा है, भले ही आपके राउटर में इंटरनेट गेटवे न हो।

दुर्भाग्य से आप यह नहीं जान सकते हैं कि आईओटी डिवाइस किस अंत बिंदु पर बात करने वाली है और कौन सी नहीं। जबकि अधिकांश बड़े उपभोक्ता इलेक्ट्रॉनिक्स आपूर्तिकर्ताओं के पास अपनी समर्पित बैक हड्डियां होंगी, जिसका मतलब यह नहीं है कि उपकरणों को जानकारी के अन्य प्रदाताओं से बात करने का अच्छा कारण नहीं हो सकता है (उदाहरण के लिए मौसम सेवाएं, खाना पकाने की विधि समुदायों, आदि ...)।

इन सभी चीजों को आप संभवतः नहीं जान सकते हैं और आपके आईओटी डिवाइस के वायु अद्यतन पर इससे भी बदतर उस व्यवहार को पूरी तरह से बदल सकते हैं। यदि आप अपने स्वयं के सुरक्षा गेटवे को ब्लैकलिस्टिंग या श्वेतसूची के फ़िल्टर मानदंड के साथ सेट करते हैं, तो आप अपने डिवाइस की कार्यक्षमता को गंभीरता से रोक सकते हैं। उदाहरण के लिए, आपने व्हाइटलाइनिस्ट के लिए हर सामान्य पते को सफलतापूर्वक निर्धारित किया होगा, लेकिन आपको कभी भी अपडेट नहीं मिलेगा, क्योंकि वे शायद ही कभी संचार भागीदारों के लिए उपयोग किए जाते हैं।

उत्तर: पैटर्न मान्यता

यह पता लगाना कि आपके उपकरण से छेड़छाड़ की गई है, आमतौर पर पैटर्न मान्यता द्वारा किया जाता है । यह कोई साधारण बात नहीं है, लेकिन आसान है, अगर आपके टोस्टर को हैक कर लिया गया है और स्पैम भेजना शुरू कर दिया है, तो आपके सुरक्षा गेटवे पर पैटर्न रिकग्निशन इंजन काफी हद तक बदले हुए व्यवहार का पता लगाएगा।

हेलमर
स्रोत
2
यह बहुत सामान्य है और शायद ही एक यथार्थवादी विकल्प है। हेयुरिस्टिक या पैटर्न विश्लेषण के आधार पर निगरानी और पता लगाना (कुछ कम्प्यूटेशनल इंटेलिजेंस (CI) के तरीकों को मानना) हाथों पर समस्या पर अत्यधिक निर्भर है, जो केवल ठीक-ठीक वातावरण में ही प्रभावी है।
21
2
@ डफरन यह है। लेकिन सवाल यह है कि क्या मैं अपने दुष्ट डिवाइस की निगरानी कर सकता हूं। मेरा तर्क है कि यह आसानी से नहीं किया गया एक उचित जवाब है। यह प्रश्न बहुत व्यापक है क्योंकि यह सभी IoT उपकरणों को लक्षित कर रहा है विशिष्ट नहीं। इस प्रकार उत्तर कुछ व्यापक होने चाहिए।
Helmar
11

इस बिंदु पर, आप जो चाहते हैं उसकी जटिलता "सस्ते, एकल-बोर्ड कंप्यूटर" स्तरों से परे है। सबसे आसान समाधान एसएनओआरटी जैसे कुछ को स्थापित करना है, जो एक घुसपैठ का पता लगाने वाला सिस्टम है। प्रारंभ में, यह आपको हर उस चीज़ के बारे में सचेत करेगा जो चल रही है, और आपको बहुत सी गलत सकारात्मकताएँ मिलेंगी। समय के साथ इसे प्रशिक्षित करके (स्वयं एक मैनुअल प्रक्रिया) आप इसे एक उचित सतर्कता दर तक कम कर सकते हैं, लेकिन वर्तमान में उपभोक्ता बाजार पर कोई "पूर्व डिब्बाबंद" समाधान उपलब्ध नहीं हैं। उन्हें या तो पैसे के महत्वपूर्ण निवेश (कॉर्पोरेट / वाणिज्यिक समाधान) या समय (ओपन सोर्स DIY-क्लास समाधान) की आवश्यकता होती है, या तो समाधान को जटिलता के स्वीकार्य दायरे से बाहर प्रश्न में रखा जाएगा। आपका सबसे अच्छा दांव ईमानदारी से SNORT जैसा कुछ होने जा रहा है - ऐसा कुछ जो "काफी अच्छा" है

जॉन
स्रोत
1
यह उस तरह का जवाब है जिस तरह के जवाब की मुझे तलाश थी, मुझे लगता है। पर्याप्त पर्याप्त, और अच्छा पर्याप्त - खासकर अगर प्रशिक्षण भीड़-स्रोत निर्देशित हो सकता है।
सीन होलीहेन
1
हालांकि, गेंडा जैसा उत्पाद / समाधान खोजना मुश्किल होगा। मैं एक उदाहरण के रूप में SNORT का उपयोग करता हूं, लेकिन यह एक आकस्मिक होम उपयोगकर्ता के लिए जटिल है, और आपके लिए "आसान पर्याप्त" पर निशान को याद करने के लिए साबित हो सकता है। मेरी उम्मीदें जोए के एवरेज से कुछ अलग हैं, जैसा कि मैं 20+ वर्षों से एक linux sysadmin रहा हूं।
जॉन
और अभी भी Snort सीख रहे हैं ;-) यह compelx है - लेकिन, अंततः, इसके लायक है
Mawg
7

NoDDos उपकरणमैं विकास कर रहा हूं कि आप जो मांग रहे हैं उसे करने के लिए लक्षित हैं। अभी यह आईओटी उपकरणों को ज्ञात प्रोफाइल की सूची से मिलान करके पहचान सकता है, यह प्रत्येक मिलान किए गए आईओटी डिवाइस के डीएनएस प्रश्नों और ट्रैफिक प्रवाह को इकट्ठा कर सकता है और इसे बड़े उपकरणों के आधार पर पैटर्न विश्लेषण के लिए क्लाउड पर अपलोड कर सकता है। अगले चरण में होम गेटवे पर एसीएल को लागू करने के लिए प्रति आईओटी डिवाइस के ट्रैफिक प्रवाह को प्रतिबंधित करना है। टूल को होम गेटवे पर चलाने का लक्ष्य रखा गया है। वर्तमान संस्करण पाइथन में लिखा गया है, जिसके लिए आपको अपने ओपनडब्ल्यूआरटी एचजीडब्ल्यू पर पायथन चलाने या लिनक्स लिनक्स राउटर पर स्थापित करने की आवश्यकता होती है। OpenWRT में मैं अभी तक ट्रैफ़िक प्रवाह पर जानकारी एकत्र नहीं कर सकता, लेकिन लिनक्स DIY राउटर पर मैं ulogd2 का उपयोग कर सकता हूं। तो अभी आपको ट्रैफ़िक फ़्लो के साथ इसे पूरी तरह से चलाने और चलाने के लिए एक नियमित लिनक्स वितरण के साथ एक सरल लिनक्स-आधारित राउटर की आवश्यकता है, लेकिन एक बार मेरा पोर्ट C ++ में समाप्त हो जाता है,

उपकरण कैसे काम करता है, इसके बारे में अधिक जानकारी के लिए आप मेरे ब्लॉग को पढ़ सकते हैं ।

स्टीवन
स्रोत
1
मैं उम्मीद कर रहा था कि कोई इस तरह का टूल लेकर आएगा। क्या यह (सैद्धांतिक रूप से) नेटवर्क से जुड़े उपकरण पर चल सकता है, और बस यातायात को रोक सकता है? लगता है कि एक SBD बहुत सारे लोगों के लिए एक खुले राऊटर से आसान हो सकता है।
सीन होउलहिन
NoDDos को ट्रैफ़िक प्रवाह प्राप्त करने के लिए ulogd2 को सूचित किए गए dnsmasq DNS / DHCP सर्वर और iptables कनेक्शन ट्रैक घटनाओं के लॉगफ़ाइल्स का उपयोग करने की आवश्यकता है। इसलिए होम गेटवे या फ़ायरवॉल इसके लिए सही जगह है। जैसा कि कोड और डिवाइस प्रोफ़ाइल डेटाबेस खुला स्रोत है, शायद भविष्य में कौन जानता है कि HGW विक्रेता इसे अपने उत्पाद में शामिल कर सकते हैं। इस बीच, मुझे प्रोफ़ाइल डेटाबेस बनाने की आवश्यकता है और इसके लिए अपने एचजीडब्ल्यू पर इस उपकरण को आज़माने और परिणामों को अपलोड करने के लिए अल्फा परीक्षकों की आवश्यकता होगी।
स्टीवन
1

संक्षेप में, इस समस्या का समाधान करने के लिए मानकीकरण और उत्पाद विकास चल रहा है। तब तक, कुछ सरल उत्तर हैं जिन्हें कुछ नेटवर्किंग ज्ञान की आवश्यकता नहीं है।

मेरा विनम्र सुझाव लागू करना आसान है, और अपने स्थानीय नेटवर्क को कुछ सुरक्षा के साथ प्रदान करेगा (हालांकि यह बड़े पैमाने पर इंटरनेट की सुरक्षा नहीं करेगा) वायरलेस राउटर में प्लग इन और उपयोग करने के अलावा अन्य किसी भी चीज के बारे में कुछ भी जाने बिना।

अपने घरेलू नेटवर्क के लिए एक अलग वायरलेस राउटर खरीदें, और इसे अपने IoT उपकरणों के लिए उपयोग करें। यह IoT उपकरणों को आपके अन्य उपकरणों (जैसे पीसी, टैबलेट और स्मार्टफ़ोन) की खोज करने और उन पर हमला करने के लिए कठिन बना देगा। इसी तरह, यह आपके IoT को आपके द्वारा किए गए समझौता किए गए कंप्यूटिंग डिवाइसों से कुछ सुरक्षा प्रदान करेगा।

यह समाधान कुछ चीजों को तोड़ सकता है, लेकिन इस समाधान में ज्यादातर अवांछनीय वास्तविकता द्वारा व्यापक रूप से मदद की जाती है कि आज, कई आईओटी डिवाइस निर्माता-नियंत्रित क्लाउड बुनियादी ढांचे के माध्यम से दूरस्थ संचार प्राप्त करते हैं, जो आपके आईओटी को आपके कंप्यूटिंग उपकरणों से अधिक सुरक्षित रूप से संवाद करने में मदद करेगा। उन्हें एक ही नेटवर्क पर रखना। यह निर्माता को आपके बारे में व्यक्तिगत जानकारी एकत्र करने और तीसरे पक्ष को प्रदान करने की भी अनुमति देता है।

ह्यूग बंटू
स्रोत
2
मुझे लगता है कि यह सवाल के लिए ठोस है, वास्तव में इसका जवाब नहीं है।
शॉन होउलहेन
1
वास्तव में, मुझे लगा कि कुछ अन्य उत्तर मूर्त थे। पूछने वाले ने विशेष रूप से कहा कि वे उत्तर चाहते थे "जिसके लिए मुझे नेटवर्किंग विशेषज्ञ होने की आवश्यकता नहीं है, या एक सस्ते एकल-बोर्ड कंप्यूटर से अधिक कुछ भी निवेश करने की आवश्यकता नहीं है", या "इसके अलावा एक सक्षम शौकिया के लिए व्यावहारिक रूप से अधिक ध्यान केंद्रित करना चाहिए। एक मजबूत उत्पादन गुणवत्ता समाधान की तुलना में। ” - मैंने जवाब लिखा कि मुझे लगा कि मैं उन शर्तों को पूरा करता हूं। आपकी टिप्पणी के सम्मान में, मैंने अंतिम पैराग्राफ को हटा दिया था जो संभवतः अनावश्यक था [यानी RTFM]।
ह्यूग बंटू
मैंने सुरक्षा के बजाय विशेष रूप से निगरानी के बारे में पूछा। मुझे लगता है कि आप उत्तर दे रहे हैं, इनमें से एक के लिए बेहतर है: iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14 या iot.stackexchange.com/questions/9 (हालांकि बाद वाले का काफी कुछ है पहले से ही जवाब!)
शॉन हुलिएन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.