¿Se podrían detener las redes IP de IOT mediante direcciones IP estáticas para los dispositivos?

Casi todos los dispositivos de IoT del tipo del que hablamos aquí (es decir, nivel de consumidor) se implementan detrás de enrutadores de grado doméstico (o enrutadores de grado local) y utilizan IPv4 y NAT / uPNP para llegar a Internet. Eso significa que están compartiendo una IP con tráfico legítimo para una y para otra están usando una IP dinámica, no una IP estática, lo que significa que hay aún más oportunidades para que partes inocentes se vean atrapadas en una lista tan negra.

Una vez que llegue el glorioso mundo de IPv6, es probable que podamos hacer eso: asignarle a cada uno una dirección IP enrutable y ponerlos en una lista negra, ya que se demuestra que son vulnerables.

Una cosa legítima que PUEDE hacerse es que los ISP realicen el filtrado de IP de origen, es decir, no permita que salgan paquetes falsificados, solo permita que los paquetes de IP dentro de la red. Eso ayudará. Algunos.

  

¿no lo haría desde entonces para comenzar a dar a los dispositivos IOT una IP estática?

No , porque las direcciones IP solo funcionan en el contexto de red adecuado.

La IP de un dispositivo debe ser enrutable, es decir, sentarse en una red con enrutadores que saben cómo comunicarse con otras redes y están dispuestos a hacerlo en nombre del dispositivo.

En primer lugar, si cablea las IP y las envía, tendría que usar las RFC1918 (no enrutables) para evitar conflictos con las IP que son propiedad de otras personas. Así que ya estás atascado con una porción estrecha de direcciones que puedes usar. Y esas IP tendrían que traducirse cuando lleguen a Internet, eliminando así la capacidad del objetivo para filtrarlas.

En segundo lugar, estaría entregando a las personas dispositivos con IP que pueden o no coincidir con sus redes. No querrían volver a trabajar en sus redes para adaptarse a sus dispositivos IOT baratos.

En resumen, la IP de un dispositivo está configurada para permitir que funcione en la red. Configurar la IP y esperar que la red funcione, rompe las cosas.

La forma en que se realiza el direccionamiento IP para los dispositivos IOT no importa en un ataque DDOS. Esta es la razón por la que.

• Los dispositivos IOT no siempre pueden estar expuestos a la red con una dirección IP externa.
• También puede ser un dispositivo detrás de un NAT que solo tiene una IP interna dirección.
• Por lo tanto, independientemente de si se trata de DHCP o de alguna IP estática, proporcionada por el enrutador al dispositivo, desde la víctima del ataque DDOS perspectiva, la fuente del ataque es la IP externa de la enrutador.
• En otras palabras, si tiene una cámara IP en casa, los paquetes de su cámara IP y su computadora portátil tendrán la misma dirección IP de origen, es decir, la dirección IP pública de su enrutador.
• Por lo tanto, filtrar los paquetes según la IP de origen del paquete también puede denegar el servicio para su computadora portátil.

No, ya que el direccionamiento dinámico no es el vector de ataque cuando se abusa de los dispositivos IoT. Es un software mal escrito! En el lado de DoS, tenemos el dispositivo de "poca potencia" frente al potente problema informático, y en el lado de la conectividad tenemos el problema de la facilidad de uso frente a la seguridad.

¡Irónicamente, la única forma de hacer IoT correctamente es no conectarlos a Internet! Se necesitaría al menos una puerta de enlace más un túnel de salida configurado localmente antes de poder conectarse a algún tipo de nivel seguro.

Una IP estática no ayudaría; como menciona Crovers, debido al agotamiento de ipv4, simplemente no es práctico. Si bien IPV6 proporciona un espacio de direcciones suficientemente grande para que cada dispositivo tenga una dirección IP básica, todavía habrá una superposición con el mundo de IPV4, donde un servidor verá gran cantidad de tráfico proveniente de un punto de presencia para los nodos de IPV6.

Pero hay muchas cosas que los fabricantes y los gobiernos pueden hacer (para compensar la falta de habilidades por parte del público comprador). Bloquea el tráfico desde o hacia la red local en un dispositivo de forma predeterminada, lo que obliga a cambiar la contraseña de administrador antes que el dispositivo, utilizando el cifrado de manera adecuada y admitiendo estándares abiertos.

La parte del gobierno es más complicada: la solución obvia es proporcionar un marco de acreditación fácilmente auditable pero mínimamente invasivo con estándares mínimos. El problema es que tienden a escuchar a los "expertos" que defienden (por ejemplo) que todo eso los dispositivos deben contar con la certificación fips-140 o los proveedores se quejan de la libertad y el exceso de regulación del cliente en lugar de buscar soluciones pragmáticas.

Tal vez alguien podría configurar un IETF para ver el problema de clasificación.