Seguridad SCADA: Honeypot para simular redes SCADA II.

Share this…

Es muy difícil recrear un honeypot de una red SCADA dado la variedad de despliegues de redes industriales y la falta de una arquitectura estándar. Otro de los factores que dificultan simular estas redes, es que utilizan muchos protocolos de red diferentes y topologías muy complejas.

Conpot es un Honeypot con un perfil predeterminado (default.xml) que proporciona emulación básica de una CPU Siemens S7-200 (de los PLCś mas usados en sistemas de control industrial) con unos módulos de expansión instalados. La superficie de ataque de la emulación predeterminada incluye los protocolos: MODBUS, HTTP, SNMP y s7comm. Si bien la mayor parte de la configuración se lleva a cabo dentro del perfil XML, algunas partes se mantienen en carpetas separadas dentro del directorio de plantillas para evitar el desorden.

Conpot viene por defecto con un modulo HMI. Si ejecuta Conpot con la configuración por defecto y sin parámetros adicionales, servirá la página por defecto en el puerto 80. La página predeterminada es sólo un archivo de texto plano que recibe del ‘sysDescr’ desde el servidor SNMP.

Seguridad SCADA Honeypot para simular redes SCADA II.

Conpot tiene soporte para HPFeeds, un protocolo generico de intercambio de datos que se utiliza en el Proyecto Honeynet. Esto significa que con HPFeeds habilitadas se compartirán los datos que recoja el sensor con el proyecto.

Según los desarrolladores en este momento sólo hay un número muy pequeño de sensores desplegados, debido a que HPFeeds no está activado por defecto y probablemente pocos usuarios utilizan el modulo HMI para atraer atacantes. Con el modulo HMI el tráfico es significativamente mayor en el honeypot debido al trafico generado por los motores de búsqueda.

Para tener acceso a los datos de Conpot, es necesario crear una cuenta HPFriends. Con el registro de la cuenta se crea una una authkey. Después hay que modificar el cliente de Conpot con la authkey de credenciales dadas.

Fuente:https://www.gurudelainformatica.es/