为了减轻或管理家庭网络中的某些设备受到威胁的风险,监视网络流量以检测威胁是否可行?

我对解决方案特别感兴趣,这些解决方案不需要我成为网络专家,也不需要投资购买廉价的单板计算机。这是实际上可以集成在路由器防火墙中的功能吗?还是这个问题太难束缚,无法拥有一个简单,易于配置的解决方案? m要求一个独立的系统,该系统可以生成可疑活动的警报。我还考虑将重点更多地放在为有能力的业余爱好者设置实用而不是强大的生产质量解决方案上。基于本地WiFi嗅探的基于分析的分析。

评论

相关内容:iot.stackexchange.com/questions/18/…

一旦安全成为主要问题,我确信它们将制造IOT防火墙和IOT IPS,就像所有其他IT基础结构一样,您的所有IOT流量都通过这些设备进行路由,您可以在其中密切监视IOT网络。
@Rakesh_K,这个问题恰恰反驳了正在发明的那种设备-我想捕捉当今存在的已知技术。

同意此外,物联网中使用的协议要比标准防火墙处理的协议多一个数量级。

实际上,这甚至是物联网特定的问题吗?也许是security.stackexchange.com?

#1 楼

这不是一个简单的话题。就像您所说的那样,检测到危害可能会以多种形式发生,并且会在系统或网络行为方面产生多种结果。进行观察可能需要了解系统和网络行为方面正常和可疑之间的区别。

对于网络级别的家庭解决方案,推荐的选项是运行(透明)代理或自定义网关多个网络服务(例如DHCP,DNS)和安全应用程序(例如防火墙,IDS,代理),可以帮助进行日志记录(例如HTTP代理,DNS查询),强化(例如过滤,黑名单,白名单),监视( (例如网络流量)和基于签名的警报。主要的工具包括Bro,IPFire,pfSense和Snort。

有关示例设置的详细信息,请参阅在家庭路由器上设置代理服务器以启用内容过滤。

#2 楼

这是不平凡的。每个稍微复杂的物联网设备都将通过HTTPS进行通信,即使您的路由器中确实有一个不受损害的Internet网关,也不容易知道它在说什么。物联网设备应该与哪个端点对话,而哪个端点不可以对话。尽管大多数大型消费电子产品供应商将拥有专用的后背,但这并不意味着这些设备可能没有充分的理由与其他信息提供者进行交流(例如,气象服务,烹饪食谱社区等)。

您可能不知道的所有这些事情,甚至更糟的是,对IoT设备进行无线更新都会完全改变该行为。如果您使用黑名单或白名单过滤条件设置自己的安全网关,则可能会严重阻碍设备的功能。例如,您可能已经成功确定了要列入白名单的所有常用地址,但由于这些信息很少使用,因此永远都不会得到更新。 >通常通过模式识别来确定设备已受到威胁。这不是一件简单的事情,但是很容易实现,如果您的烤面包机被黑客入侵并开始发送垃圾邮件,那么安全网关上的模式识别引擎将检测到行为发生了急剧变化。

评论


这是非常通用的,几乎不是现实的选择。基于启发式或模式分析(假设采用某些计算智能(CI)方法)的监视和检测高度依赖于手头的问题,仅在微调的环境中才有效。

– dfernan
16年6月6日在21:58

@dfernan是的。但是问题是我可以监视我的恶意设备。我认为这不容易做到是一个正确的答案。这个问题不可能广泛涉及,因为它针对的是所有IoT设备,而不是特定的设备。因此,答案也必须是广泛的。

– Helmar♦
16 Dec 6'在23:01

#3 楼

此时,所需的复杂性已经超出了“便宜的单板计算机”的水平。可用的最简单的解决方案是设置SNORT之类的东西,这是一个入侵检测系统。最初,它会提醒您所有正在发生的事情,并且您会得到太多的误报。通过随着时间的推移对其进行培训(本身就是一个手动过程),可以将其降低到合理的警报率,但是在消费市场上目前没有“预装”解决方案。他们要么需要大量的资金投资(企业/商业解决方案),要么需要时间(开源DIY类解决方案),这两种方式都会使解决方案超出可接受的复杂性范围。老实说,最好的选择就是SNORT,这种“足够好”可以检测到大多数问题,而“足够简单”则可以使您在使用之前不会感到沮丧。

评论


我认为这是我一直在寻找的答案。足够容易,也足够好-特别是如果培训可以在众包指导下进行。

– Sean Houlihane
16 Dec 6'在20:32

但是,找到类似独角兽的产品/解决方案将很困难。我以SNORT为例,但对于休闲家庭用户而言,它相当复杂,可能会为您错过“足够容易”的标记。我的期望与一般乔的期望有些不同,因为我从事Linux管理员已有20多年了。

–约翰
16年6月6日在20:33

而且仍在学习Snort ;-)这是强制性的-但最终值得

–莫格说要恢复莫妮卡
16 Dec 7'在9:27

#4 楼

我正在开发的NoDDos工具旨在满足您的要求。现在,它可以通过将IOT设备与已知配置文件列表进行匹配来识别IOT设备,可以收集每个匹配的IOT设备的DNS查询和流量,并将其上传到云中以基于大量设备进行模式分析。下一步是在家庭网关上实现ACL,以限制每个IOT设备的流量。
该工具旨在在家庭网关上运行。当前版本是用Python编写的,要求您在OpenWRT HGW上运行Python或在Linux DIY路由器上安装。在OpenWRT中,我尚无法收集有关流量的信息,但是在Linux DIY路由器上,我可以使用ulogd2。
因此,现在您需要一个带有常规Linux发行版的基于Linux的简单路由器,以使其完全正常运行并与流量一起运行,但是一旦我完成对C ++的移植,便可以在任何OpenWRT上运行路由器。

您可以阅读我的博客以获取有关该工具如何工作的更多信息。

评论


我希望有人会提出这样的工具。它可以(理论上)可以在连接网络的设备上运行,而只是监听流量吗?对于许多人来说,似乎SBD可能比开放式路由器容易。

– Sean Houlihane
17年3月18日在15:09

NoDDos需要访问dnsmasq DNS / DHCP服务器的日志文件以及报告给ulogd2的iptables连接跟踪事件以获取流量。因此,家庭网关或防火墙是正确的选择。由于代码和设备配置文件数据库是开源的,也许谁知道将来HGW供应商可以将其包含在他们的产品中。同时,我需要建立配置文件数据库,这将需要Alpha测试人员在其HGW上试用该工具并上传结果。

–史蒂文
17 Mar 18 '17在19:55



#5 楼

简而言之,正在进行标准化和产品开发以解决该问题。在此之前,很少有不需要网络知识的简单答案。整个互联网),除了如何插入和使用无线路由器外,对网络一无所知。这将使IoT设备更难发现和攻击您的其他设备(例如PC,平板电脑和智能手机)。同样,它将为您的物联网提供一定的保护,使其免受可能遭受破坏的计算设备的侵害。通过制造商控制的云基础架构实现远程通信,与将它们放置在同一网络上相比,这将帮助您的物联网设备更安全地与您的计算设备进行通信。它还允许制造商收集有关您的个人信息,并将其提供给第三方。

评论


我认为这与问题有关,而不是真正的答案。

– Sean Houlihane
17年3月20日在18:14

实际上,我认为其他一些答案是切线的。询问者特别指出,他想要答案“不需要我成为网络专家,也不需要投资购买任何廉价的单板计算机”,或者“还考虑将重点更多地放在为有能力的业余爱好者设置实用性上,而不是强大的生产质量解决方案。” -我写了一个我认为符合这些条件的答案。为了纪念您的评论,我删除了可能不必要的最后一段。 RTFM]。

–休·本图(Hugh Buntu)
17年3月21日在19:28

我专门询问了监视而不是保护。我认为您的回答对以下其中一种更好:iot.stackexchange.com/questions/1184 iot.stackexchange.com/questions/14或iot.stackexchange.com/questions/9(尽管后者有很多已经回答!)

– Sean Houlihane
17年3月21日在19:59