¿Se podrían detener las redes IP de IOT mediante direcciones IP estáticas para los dispositivos?

4

Seguí el reciente IOT DDOS contra Dyn y noté que el ataque parecía tener tres rondas de ataque y mitigación. Como no soy muy versado en infosec, realicé algunas investigaciones sobre las técnicas de mitigación de DDOS. Por lo que pude ver, parece que la mitigación es un análisis de tráfico heurístico esencial para filtrar a los humanos de los robots y luego la prohibición de la propiedad intelectual. Por otra parte, también noté que en casi todos los medios de comunicación tenían la misma conclusión de que los dispositivos IOT son inseguros y no pueden / no se pueden parchar durante años. Si estas dos suposiciones son ciertas, la mitigación de DDOS en su territorio es un filtro de IP y estamos atrapados con millones de dispositivos IOT infectados (y agregar millones de dispositivos más que algún día estarán infectados), ¿no tendría sentido comenzar? ¿le da a los dispositivos IOT una IP estática y luego, cuando se detecta que participa en un DDOS, comparte la IP con otros y la bloquea?

    
pregunta mercurial 26.10.2016 - 18:56
fuente

5 respuestas

14

Casi todos los dispositivos de IoT del tipo del que hablamos aquí (es decir, nivel de consumidor) se implementan detrás de enrutadores de grado doméstico (o enrutadores de grado local) y utilizan IPv4 y NAT / uPNP para llegar a Internet. Eso significa que están compartiendo una IP con tráfico legítimo para una y para otra están usando una IP dinámica, no una IP estática, lo que significa que hay aún más oportunidades para que partes inocentes se vean atrapadas en una lista tan negra.

Una vez que llegue el glorioso mundo de IPv6, es probable que podamos hacer eso: asignarle a cada uno una dirección IP enrutable y ponerlos en una lista negra, ya que se demuestra que son vulnerables.

Una cosa legítima que PUEDE hacerse es que los ISP realicen el filtrado de IP de origen, es decir, no permita que salgan paquetes falsificados, solo permita que los paquetes de IP dentro de la red. Eso ayudará. Algunos.

    
respondido por el crovers 26.10.2016 - 19:08
fuente
6
  

¿no lo haría desde entonces para comenzar a dar a los dispositivos IOT una IP estática?

No , porque las direcciones IP solo funcionan en el contexto de red adecuado.

La IP de un dispositivo debe ser enrutable, es decir, sentarse en una red con enrutadores que saben cómo comunicarse con otras redes y están dispuestos a hacerlo en nombre del dispositivo.

En primer lugar, si cablea las IP y las envía, tendría que usar las RFC1918 (no enrutables) para evitar conflictos con las IP que son propiedad de otras personas. Así que ya estás atascado con una porción estrecha de direcciones que puedes usar. Y esas IP tendrían que traducirse cuando lleguen a Internet, eliminando así la capacidad del objetivo para filtrarlas.

En segundo lugar, estaría entregando a las personas dispositivos con IP que pueden o no coincidir con sus redes. No querrían volver a trabajar en sus redes para adaptarse a sus dispositivos IOT baratos.

En resumen, la IP de un dispositivo está configurada para permitir que funcione en la red. Configurar la IP y esperar que la red funcione, rompe las cosas.

    
respondido por el gowenfawr 26.10.2016 - 19:07
fuente
4

La forma en que se realiza el direccionamiento IP para los dispositivos IOT no importa en un ataque DDOS. Esta es la razón por la que.

  • Los dispositivos IOT no siempre pueden estar expuestos a la red con una dirección IP externa.
  • También puede ser un dispositivo detrás de un NAT que solo tiene una IP interna dirección.
  • Por lo tanto, independientemente de si se trata de DHCP o de alguna IP estática, proporcionada por el enrutador al dispositivo, desde la víctima del ataque DDOS perspectiva, la fuente del ataque es la IP externa de la enrutador.
  • En otras palabras, si tiene una cámara IP en casa, los paquetes de su cámara IP y su computadora portátil tendrán la misma dirección IP de origen, es decir, la dirección IP pública de su enrutador.
  • Por lo tanto, filtrar los paquetes según la IP de origen del paquete también puede denegar el servicio para su computadora portátil.
respondido por el hax 26.10.2016 - 20:06
fuente
1

No, ya que el direccionamiento dinámico no es el vector de ataque cuando se abusa de los dispositivos IoT. Es un software mal escrito! En el lado de DoS, tenemos el dispositivo de "poca potencia" frente al potente problema informático, y en el lado de la conectividad tenemos el problema de la facilidad de uso frente a la seguridad.

¡Irónicamente, la única forma de hacer IoT correctamente es no conectarlos a Internet! Se necesitaría al menos una puerta de enlace más un túnel de salida configurado localmente antes de poder conectarse a algún tipo de nivel seguro.

    
respondido por el John Keates 26.10.2016 - 19:49
fuente
1

Una IP estática no ayudaría; como menciona Crovers, debido al agotamiento de ipv4, simplemente no es práctico. Si bien IPV6 proporciona un espacio de direcciones suficientemente grande para que cada dispositivo tenga una dirección IP básica, todavía habrá una superposición con el mundo de IPV4, donde un servidor verá gran cantidad de tráfico proveniente de un punto de presencia para los nodos de IPV6.

Pero hay muchas cosas que los fabricantes y los gobiernos pueden hacer (para compensar la falta de habilidades por parte del público comprador). Bloquea el tráfico desde o hacia la red local en un dispositivo de forma predeterminada, lo que obliga a cambiar la contraseña de administrador antes que el dispositivo, utilizando el cifrado de manera adecuada y admitiendo estándares abiertos.

La parte del gobierno es más complicada: la solución obvia es proporcionar un marco de acreditación fácilmente auditable pero mínimamente invasivo con estándares mínimos. El problema es que tienden a escuchar a los "expertos" que defienden (por ejemplo) que todo eso los dispositivos deben contar con la certificación fips-140 o los proveedores se quejan de la libertad y el exceso de regulación del cliente en lugar de buscar soluciones pragmáticas.

Tal vez alguien podría configurar un IETF para ver el problema de clasificación.

    
respondido por el symcbean 26.10.2016 - 20:12
fuente

Lea otras preguntas en las etiquetas