En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Seguridad SCADA: Mapeador de red pasivo de entornos SCADA/ICS.

El riesgo cibernético de los sistemas SCADA/ICS que controlan las infraestructuras críticas, es significativo y crece día a día. Hay una posibilidad cada vez mayor de ataques cibernéticos con consecuencias perjudiciales o físicamente destructivos. El estado de las vulnerabilidad de los sistemas y dispositivos ICS/SCADA (Por ejemplo, PLC, HMI) se ha documentado públicamente en los informes de vulnerabilidad en Internet y discutido en múltiples conferencias. Para entender el riesgo asociado, debemos entender lo que estamos tratando de proteger, esto comienza con un buen conocimiento de la situación.


GRASSMARLIN es un mapeador de red pasivo, dedicado a las redes industriales y desarrollado por la Agencia Nacional de Seguridad (NSA). La herramienta se ha liberado recientemente a código abierto y está disponible directamente en GitHub. GRASSMARLIN muestra una instantánea de una red de un entorno SCADA incluyendo:

  • Dispositivos que forman parte de la red.
  • Las comunicaciones entre los dispositivos.
  • Metadatos que extrae de estas comunicaciones.

El mantenimiento de la disponibilidad de los sistemas de control industrial es una necesidad primordial. De hecho, cualquier fallo puede llevar a consecuencias importantes que van desde la pérdida del servicio a la pérdida de vidas. Por lo tanto, a fin de no perturbar la disponibilidad de dispositivos industriales, todas las operaciones que realiza GRASSMARLIN se realizan de forma pasiva. De hecho, analiza de forma pasiva las comunicaciones a diferencia de las herramientas de mapeo activas, tales como nmap o plcscan, que envían paquetes a través de la red y analizan las respuestas posibles.

GRASSMARLIN muestra dos tipos de vistas:

  • La vista lógica: muestra todos los dispositivos y las comunicaciones entre ellos.
  • La vista física: lista los enlaces físicos entre los dispositivos industriales y los dispositivos de red.

Vista lógica.


La topología se genera a partir de una captura de paquetes de dispositivos industriales que utilizan el protocolos de comunicación. El mapa principal muestra los dispositivos de la red y la comunicación entre los dispositivos y subredes, cada dispositivo se identifica por su dirección IP. Por otra parte, puede reconocer dispositivos y protocolos industriales gracias a las firmas de protocolos integradas. Se detalla el rol de los dispositivos: el maestro (Human Machine Interface - HMI) da órdenes mientras que el esclavo (Controlador Lógico Programable - PLC) las ejecuta. El nombre del proveedor de los dispositivos también se muestra para ayudar a los gestores de ICS/SCADA a localizar los dispositivos. Si las direcciones IP son públicas también se muestran los países al que pertenecen, con sus respectivas banderas. Toda esta información se genera después de la confrontación entre los paquetes capturados y firmas de GRASSMARLIN. También es posible aislar las comunicaciones vinculadas a un dispositivo en particular y obtener en un primer análisis: tamaño de paquetes, instante de emisión, origen del paquete...


Vista física.


Esta vista proporciona los enlaces físicos existentes entre los dispositivos, más centrado en el aspecto de la red, este punto de vista informa de la conexión física entre los dispositivos industriales y equipos de red. En V3 de GRASSMARLIN sólo los routers de Cisco son compatibles y la vista física se generan a partir de la salida de estos comandos:

  • "show running-config"
  • "show ip arp"
  • "show mac address-table"
  • "show interfaces"

Una vez que los resultados de estos comandos se guardan en un archivo de texto simple, GRASSMARLIN puede generar la vista física.

El objetivo de esta herramienta es concienciar la situación de las redes  SCADA/ICS y ampliar la base de conocimiento a través de la identificación y colaboración con la comunidad de usuarios. Proporcionando conocimiento de la situación de los sistemas de control industrial (ICS) y de Supervisión redes de adquisición de datos (SCADA), para apoyar la seguridad de las redes. Generando pasivamente y visualmente una topología de red mientras se realizan de forma segura: la detección de dispositivos, el conteo de los mismos y informar sobre estos sistemas críticos. Actualmente GRASSMARLIN está disponible en: Windows 7 64 bits y en Linux (Fedora, Ubuntu).

Más información y descarga de  GRASSMARLIN:
https://github.com/iadgov/GRASSMARLIN


Seguridad SCADA: Herramienta para chequear la seguridad de un entorno SCADA.
http://www.gurudelainformatica.es/2016/02/seguridad-scada-herramienta-para.html

Seguridad SCADA:
Honeypot para simular redes SCADA II:
http://www.gurudelainformatica.es/2015/01/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Honeypot para simular redes SCADA I:
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Simular tráfico para probar eficacia IDS en redes industriales:
http://vtroger.blogspot.com.es/2014/01/seguridad-scada-simular-trafico-para.html

Seguridad SCADA:
Auditar la configuración de seguridad de sistemas de control industrial:
http://vtroger.blogspot.com.es/2013/10/seguridad-scada-auditar-la.html

Seguridad SCADA:
Herramientas de seguridad para WINCC y PLC´s S7:
http://vtroger.blogspot.com.es/2013/05/seguridad-scada-herramientas-de.html

Seguridad SCADA:
Implementar IDS:
http://vtroger.blogspot.com.es/2012/05/seguridad-sada-implementar-ids.html

Seguridad SCADA: Disponibilidad en servicios OPC:
http://vtroger.blogspot.com.es/2011/05/seguridad-scada-disponibilidad-en.html

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA:
Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html

Seguridad SCADA: Utilizar técnicas de fuzzing en sistemas de control industrial:
http://www.gurudelainformatica.es/2014/08/seguridad-scada-utilizar-tecnicas-de.html
Seguridad SCADA: Mapeador de red pasivo de entornos SCADA/ICS. Seguridad SCADA: Mapeador de red pasivo de entornos SCADA/ICS. Reviewed by Álvaro Paz on miércoles, abril 27, 2016 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.