Un IDS siempre es una buena solución para mejorar la
seguridad de una red, pero para que sea efectivo en un entorno tan particular
como una red de un sistema SCADA, tiene que tener unas reglas especificas
adaptadas a los protocolos que se usan en dichas redes.
La mayoría de los proveedores de IDS también ofrecen un
sistema de prevención de intrusiones IPS, se refiere a la capacidad de que no
sólo puede detectar un ataque, también puede bloquear la comunicación para
defenderse de dicho ataque. Teniendo en cuenta que la disponibilidad es el
problema de seguridad más crítico en la gran mayoría de los sistemas SCADA, los
falsos positivos en una implementación de IPS podrían tener resultados
desastrosos.
Digital Bond tiene un proyecto de desarrollo de firmas IDS
para entornos SCADA llamado QuickDraw muy complemento y gratuito. En este momento
hay firmas disponibles para: protocolos de red usados en SCADA, un conjunto de
firmas que identifican ataques contra las vulnerabilidades divulgadas de
sistemas SCADA y un grupo de firmas que identifican los eventos de seguridad
específicos para sistemas de diferentes proveedores. Todas las firmas están documentadas e incluyen
una sección sobre falsos positivos.
Este proyecto incluye
preprocesadores y plugins para el IDS Snort. Estos preprocesadores manejan
protocolos usados en redes SCADA como: DNP3, EtherNet / IP y Modbus TCP, sus funciones
son preparar la comunicación para el análisis de las reglas de Snort. Los plugins están disponibles para cada
preprocesador y sirven para crear palabras clave que pueden ser utilizadas en las
reglas, para evaluar el contenido descodificado en el preprocesador. En todos
los casos, los preprocesadores y plugins hacen la escritura de reglas más fácil,
porque realizan el trabajo de identificación de los diversos campos, al igual
que la decodificación de protocolo, así
el análisis de un paquete es más sencillo. Sin el preprocesador, sería muy difícil
o imposible que funcionasen las reglas. Por ejemplo, hay algunas
reglas que sólo son aplicables cuando una sesión se ha establecido, una regla que no pueda realizar un seguimiento de este estado, es probable que
reporte falsos positivos.
Las firmas incluidas en este proyecto se desarrollaron inicialmente como reglas de
Snort, y la descarga desde la pagina se encuentra todavía en un formato de
Snort. Muchos proveedores de IDS / IPS, soportan o tienen la capacidad de
importar reglas de Snort y han optado por agregar las firmas a sus bases de
normas SCADA. Una lista parcial de proveedores que apoyan todas o algunas de las firmas QuickDraw en sus
IDS / IPS son:
- 3com/Tipping Point
- Cisco
- Counterpane/BT
- Fortinet
- Industrial Defender
- ISS/IBM
- Juniper
- McAfee
- Secureworks
- Symantec
- Tenable Security
Mientras que las firmas de Snort se convierten fácilmente a
otro formato de IDS / IPS, los
preprocesadores no son fáciles de convertir. Estos preprocesadores son
esencialmente programas de software que decodificar el protocolo y almacenar
los campos de las variables para el análisis de palabras clave nuevas creadas
en los plugins.
Las firmas de EtherNet / IP necesitan el preprocesador EtherNet / IP y es poco probable que funcione en cualquier IDS que no tenga un motor de Snort. La mayoría de las otras firmas disponen de versiones que trabajan con y sin un preprocesador, por lo que estos son fáciles de exportar otro IDS / IPS.
Más información y descarga de QuickDraw:
Seguridad SCADA: Disponibilidad en servicios
OPC.
Seguridad SCADA: Honeypot para simular redes SCADA:
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html
Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html
Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html
Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html
Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html
Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html
Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html
Entradas
9 comentarios:
Hola!! quisiera que me ayuden haciendo una crítica de una idea informática que estoy desarrollando. Para los de habla hispana. Para ver de que se trata DOS minutos son suficientes. Un comentario aun negativo, de un solo renglón ya me alegraría bastante.
http://infocompuideas.blogspot.com.ar/
Muy util el post muchas gracias es lo que estaba buscando!
Hola,
Una buena opción para aquellos que tienen el Scada y están buscando seguridad para su red.
Un saludo
Gracias por esta información. Muy buen artículo. Si estáis interesados (como yo) en todo lo que se refiere a seguridad informática os recomiendo visitar la pagina de facebook de “Zitralia” o en twitter: @zitralia
Nos ponen al día de todo lo relacionado con el software y en especial sobre seguridad.
muy buen articulo amigo, muy bien explicado, este tema lo andaba buscando para una tarea, me ayudaste mucho, saludos
Excelente utilidad quickdraw y muy buen artículo!
Excelente articulo. Trabajo desde hace años en una empresa de mantenimiento informatico y este blog me resulta muy útil.
muy útil para los que manejamos y trabajamos desde hay,
me ha sido de gran ayuda las entradas y el blog saludos.
Publicar un comentario en la entrada