Бюллетень по IoT безопасности. А ваша сеть готова к эксплоитам интернета вещей?

Сегодняшний мир полностью зависит от цифровых технологий, и в этом контексте интернет вещей (IoT) становится все более важным. Однако, как и любое другое соединение в сети, IoT устройства могут представлять угрозу для вашей сети. Это относится к широкому спектру устройств, включая смартфоны, плееры, смарт-домофоны, камеры видеонаблюдения, медицинские приборы, умные часы, а также многое другое.

Подробнее о угрозе

IoT устройства, как правило, имеют низкую степень доверия. Это означает, что они часто не обладают современными средствами защиты и могут быть уязвимы для внешних атак. Кроме того, из-за низкой стоимости производства, они могут быть дешевыми и, как следствие, широко распространены. В случае совсем дешёвых устройств типа умных розеток и лампочек, у покупателя даже нет оснований доверять производителю и продавцу подобной техники.

Некоторые IoT устройства даже могут быть заражены вирусами или троянскими программами уже на этапе их производства или при продаже. Это может произойти, например, если в процессе сборки устройства на некоторых этапах используются контрафактные компоненты, пиратские прошивки или применяются недостаточно строгие меры контроля. Не так давно компания Human Security выявила (en) целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями. Заражёнными оказались не только Android-ТВ приставки, но и планшетные ПК, носимые устройства и даже автомобили.


Фрагмент зашифрованного config.make зараженного устройства

Также, некоторые устройства могут быть заранее созданы с целью использования в атаках на другие системы. Например, некоторые Android плееры, которые продаются по доступной цене, могут быть предназначены для внедрения в сети ботнетов. Они могут использоваться для рассылки спама, взлома систем или участия в других атаках.

Обычный Firewall не защищает от угроз, связанных с IoT

Обычные Firewall-ы предназначены для защиты сети от угроз, исходящих из интернета и для ограничения доступа из разных подсетей. Грубо говоря, они не дают атакующим проникнуть в вашу сеть и купируют уже совершённые атаки в пределах подсети. В случае же с IoT, потенциальная опасность уже находится в вашей сети, она наделена правом выходить в интернет, но при этом контроль за её действиями отсутствует: на этих устройствах нет антивируса и достаточно непросто проконтролировать, что же именно они делают в Сети.

Для реализации типичных атак с помощью IoT, зараженное устройство инициирует доступ к серверам управления злоумышленников, и поэтому защита от IoT угроз включает два основных этапа: изоляция всего парка этих девайсов в отдельных закрытых подсетях (т.н. защита от горизонтального трафика) и фильтрация доступа к интернет-ресурсам для исключения внешнего управления и загрузки вредоносного кода.

Хорошая новость в том, что почти все современные корпоративные шлюзы сетевой безопасности, включая бесплатные программы PFsense и OPNSense имеют всё необходимое для обеспечения безопасности IoT. Плохая новость в том, что всё придётся настраивать вручную, и это настолько объёмный процесс, что в данной статье мы лишь перечислим методы отражения и предотвращения атак.

Отдельный VLAN

Первый и самый важный шаг – отнести все IoT устройства в отдельный VLAN, который не имеет доступа к общим сетевым ресурсам. Это может быть реализовано на точках доступа или коммутаторах. VLAN предоставляет эффективный механизм защиты от прослушки сетевого трафика и потенциальных атак на офисные компьютеры и все сетевые ресурсы со стороны IoT. VLAN позволяет создавать индивидуальные сетевые зоны для каждого типа устройства, обеспечивая более простую и эффективную защиту.

Например, можно создать подсеть, доступную только для IoT устройств и задать жёсткие ограничения доступа для всех этих устройств по их IP-адресам. Следующим шагом может быть полный запрет доступа ко всем сегментам локальной сети для этих устройств, так как они управляются через Интернет и не имеют никаких причин взаимодействовать с офисными компьютерами или другими сетевыми ресурсами. Этот подход защищает организацию от внедрения снифферов и потенциальной атаки на офисные компьютеры и все сетевые ресурсы. Если в вашей компании много однородных устройств, имеет смысл создавать разные VLAN для разных классов и производителей IoT девайсов - это облегчит применение правил контроля в будущем.

Для каждого такого VLAN нужно создать на интернет-шлюзе отдельный интерфейс, назначив его на виртуальный сетевой порт, если шлюз запущен в виртуальной машине или на физический порт, если шлюз представляет собой физическое устройство. После этого в вашем распоряжении окажется целый набор средств для контроля исходящего трафика IoT подсети.

Защита от внедрения зловредного кода в IoT устройства

Особенность IoT устройств в том, что они сами инициируют доступ в интернет, и как бы мы не закрывали к ним доступ извне, это не поможет в варианте, когда “умная розетка” обращается к зловредному источнику, скачивает с него вирус и начинает работать как часть ботнета, нанося вред вашей сети и чужим ресурсам. Всё то же самое справедливо и в отношении компьютеров и ноутбуков, но они как правило, имеют встроенные средства защиты: антивирусы, контроль целостности ОС, доверенное ПО и т.д.

Ограничение доступа к сомнительным интернет-ресурсам является важной мерой по защите сети компании от эксплоитов в IoT устройствах. Однако, здесь есть один существенный фактор, который мы не можем контролировать - изменения доменных имён, к которым обращается устройство. Если все ваши умные розетки выпущены одной компанией и обращаются к одному и тому же домену вида iot.philips.com по https, считайте вам повезло: закройте всё, кроме этого домена для IoT подсети и ни о чём не беспокойтесь. Если же у вас устройства разных производителей, обращающиеся к разным серверам, да ещё и по разным протоколам – придётся повозиться. Именно по этой причине я рекомендую разносить IoT устройства по разным VLAN-ам и разным подсетям.

Итак, мы считаем, что вы уже выделили IoT в отдельную подсеть или несколько подсетей, закрыли или ограничили им доступ в общую локальную сеть, и теперь нам надо предотвратить возможность их связи с серверами злоумышленников.

Основная защита сети компании от внедрения эксплоитов в IoT устройствах разделяется на три этапа:

  • Ограничение доступа к недоверенным IP: Этот этап заключается в создании списка недоверенных IP-адресов, которые известны как источники атак или потенциально опасные для сети. Все IoT устройства должны быть настроены на блокировку доступа к этим адресам, чтобы предотвратить попытки доступа и атаки из этих источников.
  • Ограничение к недоверенным доменам: На этом этапе необходимо создать список недоверенных доменов, которые также известны как источники атак или потенциально опасные для сети. Аналогично, все IoT устройства должны быть настроены на блокировку доступа к этим доменным именам.
  • Запрет на попытки устройства обойти первые два ограничения через VPN, PROXY или TOR: Этот этап заключается в блокировке попыток IoT устройств использовать VPN, PROXY или TOR для обхода предыдущих двух ограничений.

Важно отметить, что мы не можем ограничить доступ только к доверенным IP и доменам, потому что исходящие запросы от IoT устройств могут меняться с обновлением их прошивки или просто потому, что производителем так задумано. Вместо этого, мы должны ограничить доступ к сомнительным доменам и IP, которые обычно используются для разного рода атак. Это позволит нам защитить нашу сеть от большинства известных типов атак и увеличить ее безопасность.

Блокировка доступа по IP

Блокировка доступа к сомнительным IP адресам является одним из простых и эффективных способов защитить сеть компании от эксплоитов в IoT устройствах. Этот подход основан на использовании "Алиасов" (или списков) для определения источников, с которыми не следует общаться. Списки сомнительных IP-адресов обычно выкладываются в открытый доступ энтузиастами и производителями антивирусного ПО и регулярно обновляются. Наиболее известные бесплатные списки: CINS ArmyEmerging Threats и Spamhaus. Это позволяет отслеживать и блокировать новые угрозы и удалять “исправившиеся адреса”. Для IoT подсети, которая нуждается в ограниченном доступе в интернет, нам не нужна гранулярная настройка и высокая точность – мы можем блокировать спам-адреса, известные ботнеты, абузоустойчивые хостинги и т.д. Платные списки сомнительных IP адресов обновляются часто и имеют низкий порог ложного срабатывания, поэтому для крупных предприятий предпочтительнее использовать коммерческие лицензии.

Для облегчения работы, не создавайте один огромный алиас сомнительных адресов на роутере: лучше разделите их по категориям, а затем блокируйте исходящие соединения для IoT подсети на эти Алиасы в правилах Firewall. Не лишним будет настроить логирование и уведомление о доступе из IoT подсетей к таким ресурсам: так вы можете узнать о компрометации вашего парка IoT и принять меры.

Почему не следует использовать GeoIP блокировку?

Однако, блокировка по GeoIP (географическое локализации IP) не является эффективной в данном случае мерой. Это связано с тем, что производители IoT устройств могут использовать Content Delivery Network (CDN) с точками выхода в разных географических регионах. Это означает, что блокировка по GeoIP может привести к блокировке легитимных трафиков, что нежелательно для IoT устройств.

Блокировка доменных имён

В защите сети компании от эксплоитов в устройствах IoT, блокировка доступа к сомнительным доменам является обязательной мерой. Самый надёжный метод - развернуть в сети отдельный DNS-сервер и передавать на него все DNS-запросы из IoT подсетей, ограничивая любые другие DNS-запросы наружу. Аналогично, с помощью обновляемых списков зловредных доменов, мы можем заставить DNS сервер транслировать нежелательный трафик на безопасный IP адрес, например на 127.0.0.1 или на специально сконфигурированный веб-сервер со страницей-заглушкой. При попытке обратиться к зловредному веб-сайту, “умный телевизор” получит пустую страницу. Ознакомьтесь со сравнением доменных блэклистов в Wikipedia (en), прежде чем выбрать список для вашего шлюза.

Эффективного метода фильтрации DNS Over HTTPs запросов, исходящих на 443 порт, в контексте IoT устройств - просто не существует. Поэтому не лишне будет вместе с подозрительными IP адресами блокировать провайдеров DOH, в том числе публичные серверы Cloudflare, такие как 1.1.1.1. Вопрос MITM-атаки на IoT устройства с подменой сертификата мы не рассматриваем, поскольку штатно менять сертификат такие девайсы не позволяют. К слову, это был бы очень надёжный метод защиты, и если какое-то устройство дружелюбно относится к MITM, обязательно настройте кэширующий прокси + ClamAV.

Если DNS-сервер на интерфейсе для IoT разместить затруднительно, эту задачу можно решить за счёт прозрачного прокси, фильтрующего незашифрованные SNI-индикаторы, которые IoT устройство отправляет в заголовках HTTPs запросов. Данный метод менее надёжен, поскольку если клиент использует зашифрованные ESNI (TLS 1.3), то прокси-сервер либо будет пропускать все такие запросы, то есть не будет фильтровать трафик, либо же будет все их блокировать, то есть не даст IoT устройству нормально работать.

Блокировке заспамленных tld - говорим ДА!

Важно отметить, что при фильтрации доменных имён нам доступны более широкие методы в определении сомнительных доменных зон, в том числе блокировка целых заспамленных доменных зон, таких как .website, .fit и .golf, а так же национальных доменов стран третьего мира, являющихся источником спама. Мы можем надеяться, что производитель, уважающий себя, обязательно выберет домен в зоне .com или в национальной зоне рынка присутствия, такой как .de, .ru или uk.

Блокировка обхода блокировок

Вообще, для IoT подсети идеально было бы заблокировать любые исходящие соединения на любые порты, кроме 443 и 80-го, но в каких-то случаях умные устройства могут “стучаться” и на другие порты, в том числе на “высокие”. Типичный пример такого поведения – игровая приставка, соединяющаяся с game-серверами на разных IP адресах и с разными портами. Ограничить такое поведение устройства мы не можем, и в данном случае имеет смысл хотя бы закрыть ему то, что точно может представлять угрозу: VPN и TOR шлюзы. Первым делом добавляем все известные VPN-порты отдельный список и блокируем к нему исходящий трафик из IoT сети.

Типичные порты VPN:

  • 500 - IPSec
  • 4500 - IPSec
  • 1701 - L2TP
  • 1723 - PPTP
  • 51820 - WireGuard
  • 992 - SoftEther (редкая штука)
  • 1194 - порт по умолчанию для OpenVPN

С TOR-шлюзами поступаем так же, как с IP-адресами: составляем алиасы из публичных списков и блокируем исходящие запросы на эти адреса. Бесплатный обновляемый список TOR нод доступен на Github.

С VPN-серверами, умеющими работать на произвольных портах, такими как OpenVPN, придётся повозиться. Здесь придётся внедрять DPI систему, использующую фильтрацию уровня приложений (типа OpenAppID). На многих корпоративных шлюзах безопасности эта функция активна по подписке, но на бесплатном ПО реализовать её достаточно проблематично.

С хитрыми сервисами, маскирующимися под HTTPs и работающими на 443 порту, тоже разобраться несложно. Для того, чтобы блокировать не-HTTPs запросы на 443 порт, используем прозрачный прокси Squid на интерфейсе IoT с включенной функцией SSL Bump Peek and Splice. Функция Peek and Splice просматривает приветственное сообщение клиента TLS и информацию SNI (если таковая имеется), отправляет идентичное или похожее (насколько это возможно) сообщение Client Hello серверу, а затем просматривает приветственное сообщение сервера TLS. Окончательное решение о соединении, перегрузке или разрыве соединения может быть принимается в зависимости от настроек сервера, то есть при должном конфигурировании нам не придётся расшифровывать трафик от IoT устройств, но при этом прокси не пропустит VPN и туннели, которые стучатся на 443 порт.

Бюллетень защиты IoT парка от эксплоитов и хакерских атак

Правильно

Есть над чем работать

В вашем IoT парке устройства только от проверенных производителей с хорошей репутацией. Вы стремитесь к монобрендовости.

У вас в IoT парке устройства по типу "что удалось купить". Некоторых производителей и не знаешь как зовут.

Ваши IoT устройства сгруппированы в отдельные VLANы по типам, потребностям в сетевых ресурсах, производителю и другим критериям

У вас все IoT устройства отнесены в общую сеть вместе с компьютерами, серверами, принтерами и контроллером доменов

В подсетях для IoT закрыт доступ ко всем другим подсетям предприятия кроме специально прописанных разрешающих правил

IoT устройства имеют доступ к ресурсам локальной сети.

IoT устройства в работе обращаются только к главному управляющему серверу по 443 порту

IoT устройства при работе используют разные протоколы и запрашивают различные сетевые ресурсы

IoT устройствам заблокирован доступ к любым ресурсам интернет кроме главного управляющего сервера.

IoT устройства не имеют ограничений для выхода в интернет или ограничено не всё.

IoT подсетям запрещён доступ в интернет к сомнительным IP-адресам, доменным именам и закрыты tld зоны кроме наиболее трастовых и национальных.

Запреты устанавливаются на основе аномалий трафика, либо же отсутствуют вовсе.

Вы используете платные коммерческие ленты и сигнатуры подозрительных интернет-ресурсов, которые обновляете не реже 1 раза в час.

Вы используете бесплатные ленты подозрительных интернет-ресурсов, обновляя их раз в неделю, а то и реже.

Доступ на 443 порт контролируется через прокси с MITM дешифровкой трафика и антивирусом с коммерческой подпиской

Дешифровка трафика с использованием MITM невозможна.

У вас установлен сбор статистики по запросам на заблокированные ресурсы для выявления zero-day эксплоитов

Статистика по запросам на сторонние ресурсы не ведётся и не отслеживается.

Что мы не можем защитить?

Есть ситуация, в которой ваше IoT устройство обращается к своим серверам на произвольные порты для обмена служебным трафиком в зашифрованном виде. Если злоумышленник установит на него средство шифрования туннелей, типа Stunnel, то сможет подключиться через VPN к зловредному сайту и загрузить нежелательный код. От такой атаки нет эффективного метода защиты, поэтому в случае если вы обнаружили подобные устройства в вашем парке оборудования, от них лучше отказаться.

Есть и наиболее простой вариант атаки – взлом серверов производителя оборудования или загрузка туда зловредного кода. В данном случае есть вероятность, что домен и IP-адрес сервера будет занесён в чёрный список компаниями, занимающимися кибербезопасностью, и на нашем Firewall доступ к таким ресурсам будет автоматически заблокирован. Но в самом худшем сценарии даже если заражение произошло, потенциально опасные IoT устройства в вашей компании будут настолько ограничены по функционалу, что не смогут нанести вред вашей инфраструктуре или же кому-то другому.

Михаил Дегтярёв (aka LIKE OFF)
10/10.2023


Похожие статьи:

Настраиваем защиту от IoT атак на предприятии с помощью оборудования Zyxel

Типичная атака через IoT выглядит следующим образом: устройство подключается к зловредному интернет-ресурсу напрямую или через собственный VPN, скачивает и устанавливает на себя зловредный код, после чего начинает быть либо част...

Какие защиты от хакеров и экспертов-криминалистов бывают в ноутбуках? Показываем на примере Maibenben P415

В этой статье я покажу вам, как обычный офисный ноутбук на уровне железа может быть защищён от различного рода атак, особенно связанных с изъятием или кражей устройства, и хочу чтобы после прочтения вы внимательно посмотрели на ...

Изучаем Zyxel Connect & Protect и отвечаем на основные вопросы: можно ли обойтись без шлюза безопасности?

С точки зрения сети, современный объект может и вовсе представлять собой одну лишь точку доступа, подключённую напрямую в WAN от провайдера, и на этой точке доступа хватит ресурсов и для поднятия VPN-тоннеля до штаб-квартиры, и...

Как Zyxel Secureporter облегчает мониторинг безопасности корпоративной сети

Zyxel SecuReporter - это единая точка сборки для отчётов, дэшбордов и статистики по работе шлюза безопасности вашей сети. Естественно, поддерживаются только шлюзы Zyxel серии USG Flex и ATP для малого и среднего бизнеса. По замы...

ZyWALL ATP800 - тестируем скорость топового шлюза безопасности от Zyxel

Если вы ранее не встречались с Zyxel ATP, то вот вам небольшой бриф: этот мощный 8-ядерный межсетевой шлюз с поддержкой Multi WAN совмещает в себе все современные методы анализа, защиты приватности и целостности вашей корпоратив...