I Bot Bot IOT possono essere fermati dall'indirizzo IP statico dei dispositivi?

4

Ho seguito il recente DDOS IOT contro Dyn e ho notato che l'attacco sembrava avere tre round di attacco e mitigazione. Dato che non sono esperto in infosec, ho fatto alcune ricerche sulle tecniche di mitigazione del DDOS. Da quello che ho potuto dire sembra che la mitigazione sia un'analisi euristica del traffico essenziale per escludere gli esseri umani dai robot e quindi il divieto di IP. Separatamente, ho anche notato che quasi tutti i media hanno la stessa conclusione che i dispositivi IOT sono insicuri e non possono / non saranno riparati per anni. Se queste due supposizioni sono vere, la mitigazione di DDOS è la più pura in assoluto dal momento che il filtro IP è bloccato e milioni di dispositivi IOT infetti (e l'aggiunta di milioni di dispositivi che un giorno potrebbero essere infetti), non avrebbe senso iniziare fornire ai dispositivi IOT un IP statico e quindi quando viene rilevato come partecipazione a un DDOS, condividere l'IP con altri e bloccarlo?

    
posta mercurial 26.10.2016 - 18:56
fonte

5 risposte

14

Quasi tutti i dispositivi IoT del tipo di cui stiamo parlando qui (ad esempio, livello consumer) sono distribuiti dietro router di livello home (o router di tipo home ARE) e utilizzano IPv4 e NAT / uPNP per raggiungere Internet. Ciò significa che stanno condividendo un IP con traffico legittimo per uno e per un altro stanno usando un IP dinamico, non un IP statico, il che significa che ci sono ancora più opportunità per le parti innocenti di essere catturati in una lista nera.

Una volta che il glorioso mondo di IPv6 arriverà, possiamo probabilmente fare proprio questo: assegnare a ognuno un indirizzo IP instradabile e inserirli nella lista nera quando vengono mostrati vulnerabili.

Una cosa legittima che si può fare è che gli ISP eseguano il filtraggio IP di origine, ovvero non lasciare che i pacchetti vengano spoofed, ma solo che lascino i pacchetti da IP all'interno della rete. Questo aiuterà. Alcuni.

    
risposta data 26.10.2016 - 19:08
fonte
6

wouldn't it make since to start giving IOT devices a static IP

No , perché gli IP funzionano solo nel contesto di rete appropriato.

L'IP di un dispositivo deve essere instradabile, vale a dire, seduto su una rete con router che sanno come comunicare con altre reti e sono disposti a farlo per conto del dispositivo.

Prima di tutto, se installi gli IP su hardwire e li invii, dovresti usare gli IP RFC1918 (non instradabili) per evitare conflitti con IP di proprietà di altre persone. Quindi sei già bloccato con una piccola porzione di indirizzi che puoi utilizzare. E quegli IP dovrebbero essere tradotti quando colpiscono Internet, rimuovendo così la capacità del target di filtrarli.

In secondo luogo, porteresti dispositivi di persone con IP che potrebbero corrispondere o meno alle loro reti. Non vorrebbero rielaborare le proprie reti per ospitare i dispositivi IOT economici.

In breve, l'IP di un dispositivo è impostato per consentirne il funzionamento sulla rete. Impostare l'IP e aspettarsi che la rete lavori con esso rompe le cose.

    
risposta data 26.10.2016 - 19:07
fonte
4

Il modo in cui l'indirizzamento IP viene eseguito per i dispositivi IOT non ha importanza in un attacco DDOS. Ecco il motivo per cui.

  • I dispositivi IOT potrebbero non essere sempre esposti alla rete con un indirizzo IP esterno.
  • Può anche essere un dispositivo dietro un NAT che ha solo un IP interno indirizzo.
  • Quindi, indipendentemente dal fatto che si tratti di DHCP o di qualche IP statico, fornito dal router al dispositivo, dalla vittima dell'attacco DDOS prospettiva, la fonte dell'attacco è l'IP esterno del router.
  • In altre parole, se hai una videocamera IP a casa, i pacchetti della tua IP Cam e del tuo laptop avranno lo stesso indirizzo IP sorgente, cioè l'indirizzo IP pubblico del tuo router.
  • Quindi filtrare i pacchetti in base all'IP di origine del pacchetto può negare anche il servizio per il tuo laptop.
risposta data 26.10.2016 - 20:06
fonte
1

No, poiché l'indirizzamento dinamico non è il vettore di attacco quando i dispositivi IoT subiscono abusi. È un software mal scritto! Dal punto di vista DoS, abbiamo il dispositivo "underpowered" rispetto al potente problema del computer, e sul lato della connettività abbiamo il problema della facilità d'uso rispetto alla sicurezza.

Ironia della sorte, l'unico modo per fare l'IoT corretto è non collegarli a Internet! Almeno un gateway e un tunnel in uscita configurato localmente sarebbero necessari prima che possano essere collegati ad un certo livello di sicurezza.

    
risposta data 26.10.2016 - 19:49
fonte
1

Un IP statico non aiuterebbe; come cita i crociati, a causa dell'esaurimento dell'ipv4, non è proprio pratico. Sebbene IPV6 offra uno spazio di indirizzi sufficientemente ampio per ciascun dispositivo in modo da avere un indirizzo IP staico, ci sarà ancora una sovrapposizione con il mondo IPV4 - dove un server vedrà molto traffico derivante da un punto di presenza per i nodi IPV6.

Ma ci sono un sacco di cose che i produttori e i governi possono fare (per compensare la mancanza di competenze da parte del pubblico degli acquirenti). Blocco del traffico anziché dalla / alla rete locale su un'appliance per impostazione predefinita, forzando una modifica della password dell'amministratore prima del dispositivo, utilizzando la crittografia in modo appropriato, supportando gli standard aperti.

La parte del governo è più complicata - la soluzione ovvia è fornire un quadro di accreditamento facilmente controllabile ma minimamente invasivo con standard minimi, il problema è che tendono ad ascoltare gli "esperti" che sostengono (per esempio) che tutti i dispositivi devono essere certificati fips-140 o i venditori sono entusiasti della libertà del cliente e dell'eccesso di regolamentazione piuttosto che cercare soluzioni pragmatiche.

Forse qualcuno potrebbe configurare un IETF per esaminare il problema di classificazione.

    
risposta data 26.10.2016 - 20:12
fonte

Leggi altre domande sui tag