Erweiterung eines Nmap-Dissectors zur Erkennung von speicherprogrammierbaren Steuerungen (SPS), Pavel Sedov

Pavel Sedov

Kurzfassung

In industriellen und SCADA-Umgebungen ist die Vollständigkeit des Asset-Managements oft unzureichend, was zu erheblichen Sicherheitsrisiken führen kann. Veraltete Software und unbekannte Geräte im Netz können ein guter Angriffs- und Einstiegspunkt für Cyberkriminelle sein. Diese Arbeit befasst sich mit der Entwicklung und Implementierung von Nmap-Dissectoren zur automatischen Erkennung von speicherprogrammierbaren Steuerungen (SPS). Die Identifikation von SPSen erfolgt durch das Nachahmen der proprietären Discovery-Funktionen der Hersteller WAGO, Beckhoff und CODESYS. Durch die Analyse des Netzwerkverkehrs mittels Wireshark und Reverse Engineering der Kommunikationsprotokolle wurden spezifische Erweiterungen für Nmap in Form von Dissectoren entwickelt. Diese ermöglichen es Benutzern, eine effiziente und automatische Erkennung sowie Inventarisierung von SPSen im Netzwerk durchzuführen. Die Implementierung und Tests dieser Dissectoren zeigten, dass eine zuverlässige Erkennung und Identifizierung von SPSen möglich ist, was zur Verbesserung des Asset-Managements und der IT-Sicherheit in industriellen Umgebungen beiträgt.

Schlagwörter: ICS, Asset-Management, Discovery, Nmap/NSE, PLC, Scanning, Netzwerkprotokolle

Abstract

In industrial and SCADA environments, the asset management is often insufficient, which can lead to significant security risks. Unpatched Software and unknown devices can be used as attack vectors by cyber criminals to attack these networks. This thesis focuses on the development and implementation of Nmap dissectors for the automatic detection of programmable logic controllers (PLCs). The identification of PLCs is achieved by mimicking the proprietary discovery protocols of manufacturers WAGO, Beckhoff, and CODESYS. Through network traffic analysis using Wireshark and reverse engineering of communication protocols, specific dissectors for Nmap have been developed. These enable efficient and automatic detection and inventory of PLCs in the network. The implementation and testing of these dissectors demonstrated that reliable detection and identification of PLCs are possible, contributing to improved asset management and IT security in industrial environments.

Keywords: ICS, Asset Management, Discovery, Nmap/NSE, PLC, Scanning, Network protocols