面向非高级用户的开箱即用网络入侵设备

信息安全 身份证 硬件 路由 用户教育
2021-08-15 06:36:23

首先,如果这个问题有任何幼稚或超出本委员会的范围,让我道歉。请记住上下文,并且我要求用尽所有资源。

此外,我知道如果不能满足我的所有参数,但拥有更多事实和知识就像银弹一样有用,因为我正在应对两个挑战:1)找到合适的设备,2)销售(令人信服) 用户认为此设备尽可能全面,无需聘请专职安全顾问。

我有一个非常亲密的朋友,他相信(有一些证据)他的整个生活都被黑客入侵了。例子:

  1. 他认为,在任何一天,他的任何或所有密码都已被泄露,包括 gmail、笔记本电脑用户帐户以及其他任何有价值的东西。

  2. 他坚信任何 A/V(Mac 上内置的网络摄像头、麦克风、Android 摄像头)和任何其他 I/O 方法(键盘、鼠标)都被劫持,并且他们没有隐私,因为一切都被记录下来。

  3. 他认为劫持与他网络上的所有设备有关,只要它们在其他网络上(在咖啡店,在其他城市)受到攻击。

  4. 我有过大喊大叫的比赛,努力避免称他为完全偏执和疯狂的人,大部分时间和精力不值得有能力进行这种入侵的人花费时间和精力,而且像他的 Roku 这样的设备,即使可以破解,充其量也只能揭示他在看什么,他的电视不能用来看他。

这位朋友显然很害怕,而且已经有一段时间了。它开始时很小,可能有真实的证据,或者至少是来自局外人的非常聪明的说服(看,我可以改变你的网络结果;嘿,建议的力量不可怕吗?)

我已经在他的手机上安装了安全软件,在他的 Mac(防火墙、ClamXAV)上启用了所有推荐的最终用户安全软件,并且他自己发现了他几乎完全使用的 ToR。

每个月左右,我都会使用 Remote Reinstall 选项对 OSX 进行完全干净的安装,几天之内,我看到了网络摄像头和麦克风上的电工胶带,并被告知该网站或其他网站从那天起是如何与他的谈话点点滴滴的故事之前或他的手机如何在中途继续“取消键入”他的文本。

这个人不傻,也不是电脑文盲。他害怕到他相信上述所有事情都是可能的(据我所知,确实如此),而且每当他问我以外的人对黑客技术了解一两件事时,他们总是有非常有用的旁注“可怕的是它是多么容易。”

我对 XSS 知之甚少,但对 TCP/IP 以及 OSX 和 Linux 的基础知识有一些了解。但是,仅仅不足以表明他,这是不发生,即使我能,他就不会被说服。

我看过 SOHO 路由器、NSA、NIDS、NIPS、HIPS、HIDS、Snort 的每一个排列等等。所有这些要么太复杂、太昂贵,要么(信不信由你)对他的需求来说太过分了。有人可以推荐符合以下规格的设备:

  • 自行运行——我可以设置它,我可以帮助确保它得到任何自动更新,但它基本上需要在后台运行,正常工作。

  • 或多或少适用于家庭使用 - SoHo 还可以,但他不需要 VPN,他没有运行真正的 LAN,并且不需要扩展到超过 2 或 3 台笔记本电脑和几个智能手机。

  • 它是网络入侵预防,而不是检测。他不需要(在这一点上也不会使他受益)必须每周查看日志文件或制定动态规则。

  • 除了具有订阅服务的 NAS 提供的通常的防火墙、病毒扫描等之外,它还可以检测可疑和/或恶意活动,包括键盘记录器、硬件劫持、非本地定义的用户(或尝试远程创建它们)。

  • 它可以(如果可能)检测类似 XSS 的活动(如果这是基于主机的要求,我理解,并且任何好的套件都是受欢迎的建议)。包括(如果可行)能够检测中间人窥探,例如他们在 Google 上的去向等。

  • 价格与非常好的家用路由器相当(因此在 100 - 400 美元之间)。如果这太低,请给我一个现实的基线。

  • 体面的 LAN-WAN 吞吐量,因此拥有上述所有惊人性能并不会限制他的 WAN 端口低于 50mbps(当今标准的中档速度包)。

  • 回到我的“不需要日志,没有它们更好”,如果设备保留任何和所有可能被认为是侵入性或恶意的活动的日志,这样如果他开始被吓到,我可以显示他一天或几个星期的时间值得怎么没有人去麻烦。

在一天结束的时候,我想最后一次擦掉所有东西,让他掏钱买一个专用的硬件,为他设置好,然后:最好的情况,他会冷静下来,最坏的情况,我可以证明他每周证明没有发生入侵。

这已经超出了教育他作为用户的范围。他很聪明,并且知道“不要点击随机链接,不要在人行道上吃东西,不要在后巷下载免费应用程序”以及“在 Tor 或隐私模式下保持超级隐私的东西。不要不要让您的银行账户网站保持打开状态,不要将密码保存到文本文件等。” 他需要 0.45 Magnum 和门口的斗牛犬,这样他就可以放心地在板上聊天或观看 YouTube。

谢谢阅读。

简短的附录:

我觉得最令人沮丧的是,除了非常努力地表现出富有同情心,甚至体谅这位朋友的恐惧(即,我确信一定有一些事实,而且他确实不止一次受到骚扰和说服,他正在通过网络观看)是在我的所有搜索中,我都没有找到与上述内容相近的东西。但是我发现了很多零碎的东西,或者高端企业解决方案,或者 DIY 方法,这让我相信思科及其竞争对手不知道家用安全设备的市场,或者他们不知道意识到他们可以通过说“这将保护您免受除您自己之外的一切伤害”并将上述规格列为卖点来销售满足上述大部分内容的现有设备。我的意思是这可能是一件非常简单的事情,只是没有明确说明我和其他寻找这种设备的人,所以如果是这样的话,我希望提供一个很好的答案或 3 超越独自解决我的情况。再次感谢。

3个回答

虽然有一些 IDS/IPS 设备被称为“最小”设置,但实际上 IDS 是典型网络中设置最密集的设备之一。在您的情况下,我强烈建议您避免使用此类设备,因为误报很可能会进一步使您的客户相信他是目标。

相反,我建议,如果你真的想沿着展示他的网络上发生的事情的路线走,那么在网络上实现一个不可见的记录器。您可以通过仅使用一对以太网电缆隐形链接设备并将其设置为混杂地记录所有数据(这通常用于蜜网,以防止攻击者意识到他们正在被记录)

让它记录几个星期,然后对日志进行很好的分析,寻找奇怪的流量或客户端没有建立的连接。

根据您的描述,我不确定即使完全干净的日志也会说服您的客户……我认为您将面临一段艰难的时期。

让我们找到问题的根源:有人远程访问他的网络,很可能他的所有密码都被泄露了。如果某人确实连接了他的网络,那么无论他输入什么,他的密码都极有可能被写入(存储)或被监视(击键记录器)。

1) 有人远程访问他的网络。

这可以通过一点网络分析来发现。由于是朋友(不是公司),不确定他/她愿意投入多少金钱/时间。

如果您有额外的机器,您可以使用AlienVault OSSIM来监控该机器。它将向您展示进出该网络的所有连接的来龙去脉。

AlienVault 包含其他补充应用程序(Snare 等),这些应用程序允许您将来自受感染/受损机器的日志发送到另一个服务以进行分析和关联。

您的另一种选择是使用通常由 Wireshark/TShark/tcpdump 等组成的 NSM(网络安全监控)。这只会为您提供基于网络的信息。

2) 文件完整性、事件响应、次要取证分析......您可以尝试或多或少地确定何时开始发生并从那里开始工作。为此,我会使用FCIV (Windows)、Tripwire (Unix) 或 AIDE (Unix)

这些将允许您拍摄快照,并报告系统上的文件、新安装的文件等的任何差异。如果你有另一台机器——假设你的朋友正在运行 OSX,而​​你也在运行 OSX——你可以在两台机器上运行它,并寻找差异。困难,但它是一个开始。

最后 - 听起来类似于“老鼠和奴隶”问题的蓬勃发展。要么,要么有人真的不喜欢你的朋友。想一想:攻击者越过障碍,绕过安全措施,破坏机器,然后冒着被抓到的风险留在同一台机器上摆弄某人。a)要么是他认识的不喜欢他的人,要么 b)可能是老鼠/奴隶的问题。

我知道我的回答有点晚了,但是既然我们在谈论 SOHO,为什么不试试Sophos的免费 UTM呢?

它应该为网络提供更好的安全性。

其它你可能感兴趣的问题
上一篇动态通信秘密的应用程序级等价物是什么? 下一篇为什么标准组织为 128 位加密提供如此短的保护时间?