Наткнувшись на короткую статью на Хабр о решении PiRogue, мне показалось интересным проверить - можно ли получить сей работающий инструмент, затратив минимум времени. А заодно отработать конкретную прикладную задачу - проверить, что сможет данное решение сказать о трафике с моей домашней камеры.
Ингредиенты:
девайс Raspberry PI - 1 шт,
образ Pirogue с официального сайта https://pts-project.org/ - 1 шт.
Приготовление:
Шаг 1. Заказываем в большом китайском магазине Raspeberry PI. Обратите внимание, что ягоду желательно брать ровного окраса и зрелую, с нормальным блоком питания, охлаждением и картой памяти (если ягода в наличии приступайте к шагу 3) Затраченное время - 10 минут
По доставке PI приступайте к шагу 2: Cобираем девайс - у вас не должно возникнуть особых проблем с монтажом платы в корпус. На просторах интернета, вы без труда найдет соответствующие рекомендации.
Возможны мелкие дефекты по краям платы (привет китайским фабрикам), которые легко решаются напильником, чтобы плата вошла в корпус. Затраченное время - 30 минут
Шаг 3. Скачиваем образ отсюда: https://github.com/PiRogueToolSuite/pirogue-os/releases и отсюда рекомендуемую утилиту: https://www.balena.io/etcher/. Аккуратно помешивая, с помощью Ethcher переносим образ на SD-карту. Затраченное время - 20 минут
Шаг 4. Вставляем SD-карту в девайс, подключаем LAN к роутеру с интернетом. Подключаем питание для запуска и через 3-5 минут, проверяем на ноутбуке наличие WiFi сети PiRogue1. Затраченное время - 10 минут
Шаг 5. Подключаем ноутбук к WiFi сети нашего девайса и проверяем доступность интерфейсов, используя страницу с дефолтными логинами/паролям: https://pts-project.org/docs/pirogue/cheatsheet/. Можете их поменять - соль, перец по вашему вкусу. Затраченное время - 10 минут
Шаг 6. Подключаем девайс, трафик с которого мы хотим проанализировать и ожидаем требуемое время. Затраченное время на девайс - 10 минут
Собственно шаг 7 - по окончанию X периода, кушать подано.
Посмотрим, что данное решение предлагает нам по дефолту.
Через интерфейс http://10.8.0.1:3000/ доступна grafana:
Статистика собиралась в течении двух дней. Основные результаты видим на скрине.
Suricata не выявила никакой подозрительной активности с нашей камерой.
По самой активности обращает внимание, трафик "US". Так как подопытный девайс именно для "китайского" рынка. Но отфильтровав запросы по "US":
видим, что скорей всего, это всего лишь проверка доступности интернета.
Можем составить список доменов куда обращается девайс:
и уже с использованием дополнительных инструментов посмотреть, что это за сервисы. Но в текущем меню у нас только одно блюдо). Поэтому посмотрим, что еще может предоставить наш новый инструмент.
Собственно, не особо много, доступные данные вы видите в колонках - тип трафика, куда он идет и его объем. Плюс производные данные вида - страны, классификации приложения и т.п. Подробности по соединению в дефолтных настройках недоступны. Чтобы посмотреть содержимое необходимо приложить усилия по донастройке.
Так как, в трафике вебкамеры Suricata ничего не нашла, посмотрим ее работоспособность с трафиком телефона и ноутбука:
Видим, что некоторые правила все таки настроены и вполне работают. Далее их можно кастомизировать, но уже с использованием доступа по SSH и правкой соответствующих конфигураций в консоли:
Все дополнительные инструменты указанные на официальном сайте, такие как chronoglaf, mitmproxy etc - не сконфигурированы для использования "из коробки".
Панель chronograf запрашивает конфигурацию параметров подключения для InfluxDB - она отсутствуют в документации и ее необходимо найти самостоятельно.
Панель mitmweb недоступна в принципе.
Итого по девайсу: затратив минимум времени (1,5 ч чистого времени) мы получаем устройство, которое:
Мобильно и может выступать рабочим роутером из коробки в требуемой геолокации.
Собирает информацию о трафике для базового анализа.
Выдает alerts по подозрительному трафику.
Может быть "доготовлено" по вкусу.
Итого по вебкамере - мой глубокий ленивый анализ не выявил за камерой откровенных провалов вида - обращения в майнинг пулы, несанкционированного потокового видео или откровенных "китайских" бекдоров SSH, что дает повод немного порадоваться за "не низкое" качество xiaomi.
Безусловно для полноценного анализа, необходимо приложить некоторые усилия по донастройке девайса. To be continued.