martes, agosto 24, 2010

Seguridad SCADA: Firewall para MODBUS/TCP.

Los cortafuegos efectúan un perímetro lógico de seguridad para las redes SCADA y son claramente un elemento indispensable para garantizar la seguridad de este entorno. Pero los cortafuegos no cumplen las necesidades de las redes SCADA al no poder manejar los protocolos de comunicación, como es el caso de Modbus. Los cortafuegos y las ACLs actuales pueden filtrar direcciones IP y puertos, tal como TCP 502 para Modbus, pero no pueden filtrar contenidos en el protocolo Modbus que fluyen a través de ese puerto, como el código de función.

Con Modbusfw una extensión para Netfilter es posible dotar a este cortafuegos de capacidades para filtrar código de funciones en Modbus/TCP usando políticas (DROP, DENY, ALLOW, etc.). De esta forma es posible: establecer grupos de IP que solo pueden enviar determinados códigos de funciones ModBus, bloquear ciertos códigos de funciones Modbus que llegan a una IP… Esto mejora notablemente el control de acceso en el protocolo Modbus/TCP frente a la mayoría de los cortafuegos en los simplemente puedes controlar el acceso al puerto TCP 502 (puerto Modbus).

Modbusfw está disponible como extensión para el cortafuegos de Linux Netfilter y también se puede descargar incorporada en un LiveCD Trinux (minidistribución de GNU/Linux) lo que permite levantar de una forma rápida un cortafuegos Modbus/TCP.


Más información y descarga de Modbusfw:
http://modbusfw.sourceforge.net/

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Publicado por Alvaro Paz en 10:24 PM http://www.wikio.es 3 comentarios
Etiquetas: , ,

jueves, agosto 19, 2010

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP.

SCADA viene de las siglas de "Supervisory Control And Data Adquisition", es decir: adquisición de datos y control de supervisión. Se trata de una aplicación software diseñada para funcionar sobre computadoras en el control de producción, proporcionando comunicación con los dispositivos de campo (controladores autónomos, autómatas programables, etc.) y controlando el proceso de forma automática desde la computadora.

El protocolo más utilizado en redes SCADA suele ser Modbus. Un protocolo de comunicaciones de nivel 7 OSI, basado en la arquitectura maestro/esclavo, diseñado en 1979 por Modicon para su gama de controladores lógicos programables (PLCs). Modbus es uno de los protocolos más utilizados porque: es público, su implementación es fácil y requiere poco desarrollo y además maneja bloques de datos sin suponer restricciones. Este protocolo puede ser empleado sobre RS-232, RS-422, RS-485 o TCP/IP (puerto estándar TCP 502).

Una de las vulnerabilidades de este protocolo, es la posibilidad de hacer fingerprinting a través de su puerto estándar TCP 502. Mediante la función 43 del protocolo puede averiguarse el registro de identificación de PLCs y conseguir información como: tipo de dispositivo, fabricante, versión y otras informaciones útiles para posteriores ataques.

Con la aplicación ModScan es posible aprovechar esta vulnerabilidad y escanear todos los dispositivos de la red SCADA y identificarlos. ModScan es un escáner para MODBUS/TCP que permite ver los dispositivos que usan el puerto para MODBUS/TCP en la red y averiguar su identificador.

Más información y descarga de ModScan:
http://code.google.com/p/modscan/

Especificaciones técnicas del protocolo Modbus:
http://www.modbus.org/specs.php

Publicado por Alvaro Paz en 10:12 PM http://www.wikio.es 1 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)