NSA izstrādāja rūpniecisko ICS / SCADA izpratni par atvērtā koda rīkiem Grassmarlin
Nsa Developed Industrial Ics Scada Situational Awareness Open Source Tools Grassmarlin
Rīki Ievads
GRASSMARLIN ir izstrādājusi ASV Nacionālā drošības aģentūra, ekspluatācijas un tehniskās apkopes inženieri var palīdzēt atklāt un katalogēt uzraudzības kontroles un datu iegūšanas (SCADA) sistēmu un atvērtā pirmkoda programmatūras rīku rūpniecisko vadības sistēmu (ICS) resursdatoriem IP tīklā, kas pazīstami arī kā pasīvā tīkla kartētājs.
Tās ļoti dažādie datu avoti, tostarp PCAP failu uztveršana, maršrutētāja un slēdža konfigurācijas fails, CAM tabulas un reāllaika tīkla datu paketes. Rīks var automātiski identificēt pieejamos tīklus, lai ģenerētu tīkla topoloģiju, lai panāktu vizuālu komunikāciju starp resursdatoriem, bet arī spēj parādīt iegūtos metadatus no resursdatora komunikācijas.
Tāpat kā nmap, arī plcscan šīs iniciatīvas kartēšanas rīks nosūta paketes pa tīklu un analizē, un galu galā secināja, ka pastāv iespēja. Bet GRASSMARLIN nav tāds analīzes rīks, tas tikai pasīvi kartē rūpnieciskās iekārtas, sistēmu administratorus, auditorus vai citas personas, lai pabeigtu darba dziļuma analīzi. Tās funkcija nav vērsta uz to, kā izdarīt dažus secinājumus no milzīga datu apjoma, bet gan, ķemmējot šos datus, lai palīdzētu darbiniekiem pieņemt lēmumus par augstāku precizitāti.
atbalsta sistēma
GRASSMARLIN attiecas uz šādām sistēmām:
Microsoft Windows (64 bitu Win7,8,10)
Fedora (23), Ubuntu (14.04, 15.10 un SecurityOnion)
Kali2.0
CentOS (6、7)
Debian (8)
Protams, tas ir attiecināms arī uz citām sistēmas versijām, piemēram, Windows 32 bitu sistēmai. Lai arī programmatūras izstrādātājiem tiek pārbaudīta arī šī vide, taču bez papildu konfigurēšanas viņi nevar garantēt, ka šis rīks darbojas pareizi. Tie darbojas citās platformās. GRASSMARLIN var izraisīt veiktspējas pasliktināšanos vai izraisīt pārkonfigurēšanu pēc instalēšanas un citām problēmām.
Detalizēti darbi
Pasīvā noteikšana
Tā kā pasīvās noteikšanas režīmā GRASSMARLIN tīklā nav trafika. Un tikai kā tradicionāls pakešu analizators šņauc trafiku tīklā. Tas arī nozīmē, ka GRASSMARLIN var analizēt tikai faktisko, kas sašūts uz tās saimniekdatora.
GRASSMARLIN redzes diapazons
Loģiskais skatsTo var iegūt reāllaika datplūsmas uztveršanā vai arī iegūt caur uztveršanas failiem (PCAP fails). Un loģisks skats, kas līdzīgs fiziski pasīvajam skatam, ģenerē žurnāla Cisco maršrutētāju.
Loģiskais skats
Tīkla topoloģija ir šāda:
Ar loģisku skatu uz diviem Siemens PLC
Topoloģija To ģenerē, izmantojot divas rūpnieciskās sakaru protokola S7Comm rūpnieciskās pakešu uztveršanas ierīces. Tie PCAP faili no https://wiki.wireshark.org/S7comm lejupielādēt.
Attēls virs galvenā (augšējā labajā stūrī) parāda sakarus starp ierīcēm, ierīcēm tīklā, apakštīklā, kur katru ierīci identificē pēc IP adreses.
Turpmāku integrēto digitālo parakstu izmantošanu GRASSMARLIN identifikācijas protokolu var izmantot rūpniecības iekārtās un iekārtās:
Loģiski Skatīt detalizētu informāciju GRASSMARLIN
FIG protokols izmantotajā gadījumā ir S7Comm. Sīkāka informācija ir vairāk darbības ierīces: resursdators (cilvēka un mašīnas saskarne - HMI, saukts arī par lietotāja interfeisu) ir atbildīgs par komandas nodrošināšanu, vergs (programmējamais loģiskais kontrolieris - PLC), kas atbild par komandas ieviešanu. ICS administrators var uzzināt, kā ražotājs palīdz atrast ierīci. Ja IP adrese ir publiska (protams, šeit mēs šo gadījumu neapspriežam), to var noteikt pēc katras valsts karoga.
Galu galā visa šī informācija ir notverto pakešu un GRASSMARLIN parakstu ģenerēšanas salīdzinājums. Tādēļ lietotāji var paši izlemt, balstoties uz uzticamības īpašuma 1–5 status quo ticamību.
GRASSMARLIN var izolēt no konkrētas ierīces, kas saistīta ar komunikāciju, un pirmā analīze: pakešu lielums, līguma laiks, paketes avots (ja ir vairāki faili PCAP):
GRASSMARLIN sniegto datu analīze
Parakstīts līgums
GRASSMARLIN papildus satur parakstu vai pirkstu nospiedumu pazīmi, kas identificē izmantotā protokola loģisko skatu. Katrs paraksts sastāv no diviem elementiem:
1. Filtra elements: detektējamā elementa apraksts
2. Krava (lietderīgā slodze) Elemental: atgriež informāciju lietotājam
Paraksts var sastāvēt no vairākiem filtriem, lietderīgajai kravai (lietderīgai kravai), kas atbilst filtram:
MODBUS parakstu piemērs
Filtri var būt būtisks apraksta protokola atribūts OSI modeļa 2. slānim līdz ceturtajam slānim. Tabula ir pieejama visiem filtriem:
Pieejamie filtri
Derīgā krava ir paredzēta, lai sniegtu vairāk informācijas lietotājam utt., No paketes izvelkot dažus baitus.
Pašreizējā GRASSMARLIN (v3) versijā ir 54 uzreiz pieejami pirkstu nospiedumi, kas aptver lielāko daļu rūpnieciskā līguma. Šis rīks nesen ir bijis atvērtā koda (28.01.16.), Laika gaitā tas var palielināt parakstu skaitu, uzlabosies precizitāte.
Paraksts ir XML formāts rediģēšanai, taču GRASSMARLIN piedāvā grafisko rīku - FingerPrint Editor, palīdz izveidot parakstu:
Pirkstu nospiedumu redaktors (pirkstu nospiedumu redaktors): grafisks rīks paraksta rediģēšanai
Fiziskais skats
Šis skats parāda fiziskas saiknes esamību starp ierīcēm:
Fiziskais skats
Bažas rada tas, ka tīkli skatās, parādot fiziskos savienojumus starp tīkla iekārtām un rūpnieciskajām iekārtām. GRASSMARLIN V3 izlaidums, tikai Cisco maršrutētājs un trīs komandu fiziskā skata izejas ģenerēšana:
“Show running-config”
“Show ip arp” (OU) “show mac address-table”
“Rādīt saskarnes”
Kamēr komandas izvads tiek glabāts kā vienkāršs teksta fails, var ģenerēt GRASSMARLIN fizisko skatu.
Datu izvade
GRASSMARLIN atvasinātie dati sastāv no trim formātiem:
1. Eksportēt uz PNG formāta skatu.
2. Eksportēt datus XML formātā:
Visi dati tiek saglabāti loģikas koka skatījumā
GRASSMARLIN datus kā sesijas datus.
3. Arhivēto datu eksportēšana ietver: datu uztveršanu un reālā laika XML formāta ģenerēto PCAP failu.
Etaloni
Mēs veicām pārbaudi ar Solucom ICS modeli, GRASSMARLIN, kas piemērots faktiskajai videi.
Ievads Testa vide
ICS modelis simulē dzelzceļa pārmiju, kas sastāv no šādām daļām:
1 Siemens HIM
1 Siemens PLC
Schneider 2 iestata PLC
Slēdzis (slēdzis).
ISC testa modelis
Komunikācijas procesa uzstādīšana ICS modeļa GRASSMLARIN darbstacijām, kas savienotas tieši ar slēdža spoguļattēlu, piekļuve. Tā kā modelis nav Cisco aprīkojums, tāpēc mēs pārbaudījām tikai loģisko skatu.
pārbaude
Pēc reāllaika datu uztveršanas GRASSMARLIN tas ģenerēs šādus skatus:
Testa stacijas loģiskais skats
Pēc rekombinantā (manuālā) skata:
Rekombinanta loģiskais skats
Pēc sakaru pārtveršanas informācija par ierīci ātri tiks parādīta attēlā. GRASSMARLIN iepriekš redzamajā attēlā redzams, ka visas ierīces ir pareizi identificētas un tām ir piešķirts katras ierīces izmantotais protokols. Turklāt ir arī ļoti labs XML izvades fails, lai ģenerētu visu iegūto GRASSMARLIN informāciju, lai nākotnē varētu izmantot atkārtoti:
XML faila izvade
Bet visā procesā mēs redzam arī dažus GRASSMARLIN trūkumus:
1. Paraksti nesakrīt
Ja ierīce atbilst vairāk nekā vienam parakstam, GRASSMARLIN izvēlas tikai vienu no tiem. HMI var būt problēma, jo HMI, izmantojot dažādus sakaru protokolus, mijiedarbojas ar vairākiem PLC.
2. Daļa digitālā paraksta informācijas ir nepilnīga
Lielākā daļa digitālo parakstu ir aprakstīti tā lietderīgās slodzes laukā, ir izmantoti, lai aprakstītu identificēto ierīci. Ja šie lauki ir tukši vai nepietiekama informācija, arī rūpniecisko iekārtu identifikācija var kļūt sarežģītāka.
3. Analizējiet ierobežoto funkcionalitāti
Pirmais elements GRASSMARLIN sniedz tikai komunikācijas analīzi, piemēram, pakešu saņemšanas laika lielumu. Viens iespējamais veids, kā uzlabot šo funkciju, ir pievienot saziņu starp modeļa atpazīšanu un PLC, piem. VIŅŠ.
noslēgumā
Tagad tirgū ir daudz līdzīga veida pasīvās noteikšanas rīku. Bet GRASSMARLIN reti sastopams vēsturiskā fokusā uz rūpnieciskās vadības atvērtā pirmkoda rīku jomu.
Piemēram, rīks ar nosaukumu NetworkMiner, kas var izmantot slavenā paraksta rīka nmap, p0f Ettercap un tā tālāk priekšrocības, lai iegūtu tīkla topoloģiju. Bet NetworkMiner bez rūpnieciskā paraksta nevar būt ārpus kastes, tāpēc tā precizitāte arī ir daudz mazāka GRASSMARLIN.
2 Siemens PLC izeja NetworkMiner
Citi piemēri - Siemens PLC izejas ar diviem p0f
Siemens PLC ar diviem GRASSMARLIN izvadiem
Cieša izeja uz rezultātu: nav salīdzinājuma ar kaitējumu.
Saskarnes ievads
GRASSMARLIN tiks automātiski atvērts pēc tam, kad tiks ielādēta jauna sesijas ailīte, kurā netiek rādīti dati. GRASSMARLIN automātiski ielādēs spraudni, veiks integritātes pārbaudi GeoIP datu bāzē, ielādēs pirkstu nospiedumus un veiks citus inicializācijas uzdevumus.
Galvenā displeja loga labajā pusē ir vairākas cilnes. Katrā sesijā ietilpst vismaz loģisks skats (uzskaitīts visās sakaru ierīcēs un aprīkojumā), fiziskais skats (uzskaitīta fiziskā saikne starp tīkla aprīkojumu un rūpniecisko aprīkojumu) un tabulas Sniffles (saukta arī par režģa diagrammu). Katras cilnes saturs tiek realizēts vizualizācijā.
Kreisais logs ir sadalīts divās daļās. Apakšējā pusē ir ziņojumu žurnāls, tiek rādīta statusa informācija par aktīvajiem lietojumprogrammas atjauninājumiem, brīdinājumi, kļūdas un cita informācija. Pašreizējā spoguļa vizualizētā satura koka augšdaļa. Pašlaik netiek parādīts vizualizētā satura ekrānuzņēmums, un tāpēc nav arī spoguļu koka. Mainot cilni, mainīsies redzamais satura koku skats un “vizualizācija”. Lietotāja rokasgrāmatas rakstā raksta beigās ir apskatīts atšķirīgais vizuālais saturs.
Ziņojumu žurnāla atmiņa ir zem indikatora, ņemot vērā atmiņas lietojumu (kreisais numurs), kopējo pieejamo atmiņu (labais skaitlis) un atmiņas izmantošanas procentuālo progresa joslu konfigurāciju.
Galvenā loga augšdaļā ir galvenās izvēlnes un rīkjoslas. Trīs ikonas rīkjoslas kreisajā pusē no kreisās uz labo, lai importētu, ielādētu un saglabātu sesijas sesiju. Rīkjoslas labajā pusē ir kombinēts lodziņš Live PCAP aprīkojuma izvēlei, kā arī Live PCAP sākšanai un apturēšanai. Papildus galvenajam logam fonā tiks atvērts konsoles logs, kurā būs diagnostikas un atkļūdošanas dati.
Beigt labklājību
Lejupielādes saite:
https://github.com/iadgov/grassmarlin
Lietošanas rokasgrāmatas versija angļu valodā:
https://github.com/iadgov/GRASSMARLIN/blob/master/GRASSMARLIN%20User%20Guide.pdf