SEGURIDAD SCADA: Visualizar topología de redes bajo el protocolo PROFINET.

Share this…

PROFINET (Process Field Net) es un estándar técnico de la industria para la comunicación de datos a través de Industrial Ethernet , diseñado para recopilar datos y controlar equipos en sistemas industriales , con la particularidad del uso en la entrega de datos de restricciones de tiempo (en el orden de 1 ms o menos). El estándar es mantenido y respaldado por Profibus & Profinet International, una organización global con sede en Karlsruhe, Alemania .

Se definen tres niveles de protocolo:

  • TCP/IP para datos no críticos y puesta en servicio con tiempos de reacción en el rango de 100 ms.
  • Protocolo RT (Real-Time) para aplicaciones PROFINET IO hasta tiempos de ciclo de 10 ms.
  • IRT ( Isochronous Real-Time) para aplicaciones PROFINET IO en sistemas de accionamiento con tiempos de ciclos de menos de 1 ms.

TruffleHog es una herramienta de análisis de red que funciona junto con Snort para representar visualmente un gráfico de la topología redes bajo el protocolo PROFINET. Esta herramienta requiere una versión modificada de Snort que incluya un preprocesador PROFINET para recopilar las denominadas Truffles que representan un análisis semántico de un paquete de red PROFINET. Realiza un seguimiento de todas las Truffles entrantes, utiliza la información semántica para construir una topología de red (o más bien un mapa de red) y la muestra de una manera comprensible en tiempo real.

El software representa la información de las de la siguiente manera:

  • En el centro, se puede ver el gráfico con nodos que representan a los participantes de la red, los bordes que representan las conexiones establecidas entre los participantes y las direcciones MAC o nombres de host asociados a un nodo.
  • En la esquina inferior izquierda hay una barra de herramientas que proporciona la funcionalidad más básica del programa. Incluye (de izquierda a derecha) iniciar la comunicación entre procesos con Snort (también conocido como connect) y el menú de filtros.
  • En la esquina inferior derecha hay una superposición que muestra información básica bastante clara sobre el gráfico de red actual.
  • En la esquina superior derecha (siempre que se seleccione al menos un nodo), se encuentra otra superposición que contiene información sobre los nodos seleccionados actualmente. Parte de esta información es mucho más avanzada y está dirigida a profesionales que buscan una visión más profunda de lo que está sucediendo.

TruffleHog, permite definir filtros a un conjunto de nodos por dirección MAC, dirección IP o expresión regular (aplicado al nombre de los nodos). Los nodos seleccionados pueden ser marcados con colores como “autorizados”. Los filtros también tienen asignada una prioridad. El filtro con la prioridad más alta se ejecuta al final y, por lo tanto, las máscaras con una prioridad más baja. La lista de filtros es bastante auto-explicativa, (+) para crear uno nuevo, (-) para eliminar el filtro resaltado y luego el lápiz para editarlo. El botón de la izquierda agrega un nuevo filtro que coincide solo con los nodos seleccionados actualmente.

La manera más fácil de crear un filtro para un conjunto visible de nodos es seleccionarlos en el gráfico, luego abrir el menú de filtros y hacer clic en el botón que muestra pequeños nodos en el extremo izquierdo. En la ventana de creación del filtro se abre un nuevo filtro y los nodos seleccionados se definen por la dirección MAC. Se asigna prioridad, color y si deben marcarse como autorizados y si están listos para comenzar. Para crear filtros más complejos también se puede definir nodos por expresiones regulares (por ejemplo, “estación- *” para que coincida con todos los clientes con un nombre que empiece por “estación-“) o por dirección IP fija o subred (192.168.1.1/24). Marcar nodos como autorizado con filtros sirve principalmente con fines organizativos. También ayuda a colorearlos en verde o cualquier otro color que simbolice “ok” como nemotécnico. Por el contrario, los clientes de las subredes no autorizadas podrían ser de color rojo.

Fuente:https://www.gurudelainformatica.es/2017/12/seguridad-scada-visualizar-topologia-de.html