gandalf/secubox-openwrt
1
1
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
6b7119d790
secubox-openwrt/package/secubox/secubox-iot-guard/README.fr.md
CyberMind-FR ccfb58124c docs: Add trilingual documentation (French and Chinese translations) 
Add complete French (fr) and Chinese (zh) translations for all documentation:

- Root files: README, CHANGELOG, SECURITY, BETA-RELEASE
- docs/: All 16 core documentation files
- DOCS/: All 19 deep-dive documents including embedded/ and archive/
- package/secubox/: All 123+ package READMEs
- Misc: secubox-tools/, scripts/, EXAMPLES/, config-backups/, streamlit-apps/

Total: 346 translation files created

Each file includes language switcher links for easy navigation between
English, French, and Chinese versions.

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2026-03-20 10:00:18 +01:00

5.0 KiB
Raw Blame History

SecuBox IoT Guard

🌐 Langues: English | Français | 中文

Isolation, classification et surveillance de sécurité des appareils IoT pour OpenWrt.

Aperçu

IoT Guard fournit une gestion automatisée des appareils IoT :

  • Classification automatique - Identifie les appareils IoT par OUI du vendeur et comportement
  • Score de risque - Calcule le risque de sécurité par appareil (échelle 0-100)
  • Isolation automatique - Met automatiquement en quarantaine les appareils à haut risque
  • Détection d'anomalies - Surveille les patterns de trafic pour les anomalies comportementales
  • Cartographie cloud - Suit les services cloud contactés par chaque appareil

IoT Guard orchestre les modules SecuBox existants plutôt que de les réimplémenter :

Module Intégration
Client Guardian Assignation de zone (zone IoT)
MAC Guardian Blocage/confiance L2
Vortex Firewall Filtrage DNS (flux malware IoT)
Bandwidth Manager Limitation de débit

Installation

opkg install secubox-iot-guard luci-app-iot-guard

Utilisation CLI

# Statut général
iot-guardctl status

# Scanner le réseau pour les appareils IoT
iot-guardctl scan

# Lister tous les appareils
iot-guardctl list
iot-guardctl list --json

# Détails d'un appareil
iot-guardctl show AA:BB:CC:DD:EE:FF

# Isoler dans la zone IoT
iot-guardctl isolate AA:BB:CC:DD:EE:FF

# Faire confiance à l'appareil (ajouter à la liste autorisée)
iot-guardctl trust AA:BB:CC:DD:EE:FF

# Bloquer l'appareil
iot-guardctl block AA:BB:CC:DD:EE:FF

# Voir les anomalies
iot-guardctl anomalies

# Carte des dépendances cloud
iot-guardctl cloud-map AA:BB:CC:DD:EE:FF

Configuration

Éditez /etc/config/iot-guard :

config iot-guard 'main'
    option enabled '1'
    option scan_interval '300'        # Intervalle de scan réseau (secondes)
    option auto_isolate '1'           # Isoler automatiquement les appareils à haut risque
    option auto_isolate_threshold '80' # Seuil de score de risque pour l'isolation automatique
    option anomaly_detection '1'      # Activer la détection d'anomalies
    option anomaly_sensitivity 'medium' # low/medium/high

config zone_policy 'isolation'
    option target_zone 'iot'          # Zone cible pour les appareils isolés
    option block_lan '1'              # Bloquer l'accès LAN
    option allow_internet '1'         # Autoriser l'accès internet
    option bandwidth_limit '10'       # Limite de débit (Mbps)

config vendor_rule 'ring'
    option vendor_pattern 'Ring|Amazon Ring'
    option oui_prefix '40:B4:CD'
    option device_class 'camera'
    option risk_level 'medium'
    option auto_isolate '1'

config allowlist 'trusted'
    list mac 'AA:BB:CC:DD:EE:FF'

config blocklist 'banned'
    list mac 'AA:BB:CC:DD:EE:FF'

Classes d'appareils

Classe Description Risque par défaut
camera Caméras IP, sonnettes vidéo medium
thermostat Thermostats intelligents, HVAC low
lighting Ampoules intelligentes, rubans LED low
plug Prises intelligentes medium
assistant Assistants vocaux medium
media TV, appareils de streaming medium
lock Serrures intelligentes high
sensor Capteurs de mouvement, portes/fenêtres low
diy ESP32, Raspberry Pi high
mixed Appareils multi-fonctions high

Score de risque

Le score de risque est calculé comme suit :

score = base_risk + anomaly_penalty + cloud_penalty
  • base_risk : 20 (low), 50 (medium), 80 (high) selon vendeur/classe
  • anomaly_penalty : +10 par anomalie non résolue
  • cloud_penalty : +10 si >10 dépendances cloud, +20 si >20 dépendances cloud

Types d'anomalies

Type Sévérité Description
bandwidth_spike high Trafic Nx au-dessus de la ligne de base
new_destination low Première connexion à un domaine
port_scan high A contacté de nombreux ports rapidement
time_anomaly medium Activité à des heures inhabituelles
protocol_anomaly medium Utilisation de protocole inattendue

Base de données OUI

IoT Guard inclut une base de données OUI pour ~100 fabricants IoT courants :

  • Ring, Nest, Wyze, Eufy (caméras)
  • Philips Hue, Lifx, Wiz (éclairage)
  • TP-Link Kasa/Tapo, Tuya (prises)
  • Amazon Echo, Google Home (assistants)
  • Espressif, Raspberry Pi (DIY)
  • Samsung, LG, Roku (médias)

Ajoutez des OUI personnalisés à /usr/lib/secubox/iot-guard/iot-oui.tsv :

AA:BB:CC	MyVendor	camera	medium

Fichiers

/etc/config/iot-guard                  # Configuration
/usr/sbin/iot-guardctl                 # Contrôleur CLI
/usr/lib/secubox/iot-guard/            # Scripts de bibliothèque
/usr/share/iot-guard/baseline-profiles/ # Lignes de base du trafic
/var/lib/iot-guard/iot-guard.db        # Base de données SQLite

Dépendances

  • secubox-core
  • sqlite3-cli
  • jsonfilter

Licence

GPL-3.0