I Bot Bot IOT possono essere fermati dall'indirizzo IP statico dei dispositivi?

Quasi tutti i dispositivi IoT del tipo di cui stiamo parlando qui (ad esempio, livello consumer) sono distribuiti dietro router di livello home (o router di tipo home ARE) e utilizzano IPv4 e NAT / uPNP per raggiungere Internet. Ciò significa che stanno condividendo un IP con traffico legittimo per uno e per un altro stanno usando un IP dinamico, non un IP statico, il che significa che ci sono ancora più opportunità per le parti innocenti di essere catturati in una lista nera.

Una volta che il glorioso mondo di IPv6 arriverà, possiamo probabilmente fare proprio questo: assegnare a ognuno un indirizzo IP instradabile e inserirli nella lista nera quando vengono mostrati vulnerabili.

Una cosa legittima che si può fare è che gli ISP eseguano il filtraggio IP di origine, ovvero non lasciare che i pacchetti vengano spoofed, ma solo che lascino i pacchetti da IP all'interno della rete. Questo aiuterà. Alcuni.

wouldn't it make since to start giving IOT devices a static IP

No , perché gli IP funzionano solo nel contesto di rete appropriato.

L'IP di un dispositivo deve essere instradabile, vale a dire, seduto su una rete con router che sanno come comunicare con altre reti e sono disposti a farlo per conto del dispositivo.

Prima di tutto, se installi gli IP su hardwire e li invii, dovresti usare gli IP RFC1918 (non instradabili) per evitare conflitti con IP di proprietà di altre persone. Quindi sei già bloccato con una piccola porzione di indirizzi che puoi utilizzare. E quegli IP dovrebbero essere tradotti quando colpiscono Internet, rimuovendo così la capacità del target di filtrarli.

In secondo luogo, porteresti dispositivi di persone con IP che potrebbero corrispondere o meno alle loro reti. Non vorrebbero rielaborare le proprie reti per ospitare i dispositivi IOT economici.

In breve, l'IP di un dispositivo è impostato per consentirne il funzionamento sulla rete. Impostare l'IP e aspettarsi che la rete lavori con esso rompe le cose.

Il modo in cui l'indirizzamento IP viene eseguito per i dispositivi IOT non ha importanza in un attacco DDOS. Ecco il motivo per cui.

• I dispositivi IOT potrebbero non essere sempre esposti alla rete con un indirizzo IP esterno.
• Può anche essere un dispositivo dietro un NAT che ha solo un IP interno indirizzo.
• Quindi, indipendentemente dal fatto che si tratti di DHCP o di qualche IP statico, fornito dal router al dispositivo, dalla vittima dell'attacco DDOS prospettiva, la fonte dell'attacco è l'IP esterno del router.
• In altre parole, se hai una videocamera IP a casa, i pacchetti della tua IP Cam e del tuo laptop avranno lo stesso indirizzo IP sorgente, cioè l'indirizzo IP pubblico del tuo router.
• Quindi filtrare i pacchetti in base all'IP di origine del pacchetto può negare anche il servizio per il tuo laptop.

No, poiché l'indirizzamento dinamico non è il vettore di attacco quando i dispositivi IoT subiscono abusi. È un software mal scritto! Dal punto di vista DoS, abbiamo il dispositivo "underpowered" rispetto al potente problema del computer, e sul lato della connettività abbiamo il problema della facilità d'uso rispetto alla sicurezza.

Ironia della sorte, l'unico modo per fare l'IoT corretto è non collegarli a Internet! Almeno un gateway e un tunnel in uscita configurato localmente sarebbero necessari prima che possano essere collegati ad un certo livello di sicurezza.

Un IP statico non aiuterebbe; come cita i crociati, a causa dell'esaurimento dell'ipv4, non è proprio pratico. Sebbene IPV6 offra uno spazio di indirizzi sufficientemente ampio per ciascun dispositivo in modo da avere un indirizzo IP staico, ci sarà ancora una sovrapposizione con il mondo IPV4 - dove un server vedrà molto traffico derivante da un punto di presenza per i nodi IPV6.

Ma ci sono un sacco di cose che i produttori e i governi possono fare (per compensare la mancanza di competenze da parte del pubblico degli acquirenti). Blocco del traffico anziché dalla / alla rete locale su un'appliance per impostazione predefinita, forzando una modifica della password dell'amministratore prima del dispositivo, utilizzando la crittografia in modo appropriato, supportando gli standard aperti.

La parte del governo è più complicata - la soluzione ovvia è fornire un quadro di accreditamento facilmente controllabile ma minimamente invasivo con standard minimi, il problema è che tendono ad ascoltare gli "esperti" che sostengono (per esempio) che tutti i dispositivi devono essere certificati fips-140 o i venditori sono entusiasti della libertà del cliente e dell'eccesso di regolamentazione piuttosto che cercare soluzioni pragmatiche.

Forse qualcuno potrebbe configurare un IETF per esaminare il problema di classificazione.