-
08/10/2013
-
400
-
985 bài viết
Vẽ sơ đồ mạng ICS/SCADA bằng GRASSMARLIN
Các đội BlueTeam để bảo vệ hệ thống mạng OT thì cần phải biết rõ thông tin về hệ thống mạng đó. Hơn nữa nếu “nhìn” được rõ ràng về hệ thống thì càng tốt bởi vì khi đã “nhìn” thấy thì sẽ biết được mình cần phải làm gì để bảo vệ cái gì.
Đối với mạng OT thì vấn đề quan trọng nhất là tính sẵn sàng tức là phải hoạt động liên tục. Sự gián đoạn của chữ A trong CIA sẽ là rất nguy hiểm bởi vì mạng OT có thể xảy ra nguy cơ mất an toàn tới tính mạng các công nhân vận hành, hỏng hóc thiết bị, phá sản doanh nghiệp khi dây chuyền sản xuất đổ vỡ,…Ví dụ gần nhất vào 6/2021 là vụ hacker tấn công làm gián đoạn việc cung cấp dầu của công ty Colonial Pipeline ở Baltimore, Maryland, Mỹ khiến công ty phải trả hàng triệu đôla cho những kẻ tấn công, và việc cung cấp dầu bị ngưng trệ nhiều ngày.
GRASSMARLIN (GRML) là một công cụ nguồn mở lập bản đồ và hiển thị trực quan (Passive Network Mapping Tool) cấu trúc liên kết mạng ICS/SCADA, đồng thời tiến hành khám phá các thiết bị đang hoạt động, tính toán và báo cáo về các hệ thống vật lý mạng OT. Các tính năng chính:
- Cho phép đội BlueTeam tìm hiểu thông tin về hệ thống mạng OT đang hoạt động và kiểm soát được rủi ro khi sử dụng công cụ này.
- Cung cấp thông tin về hệ thống OT dựa trên cơ sở tri thức (Knowledge Base) sẵn có trong công cụ.
- Nhỏ gọn, được viết bằng Java để hiển thị đồ họa
Hình 1. Giao diện Network Tree Map
Lưu ý: GRML Không phải là công cụ phân tích gói tin mạng.
Công cụ này sử dụng thông tin từ nhiều nguồn khác nhau để vẽ sơ đồ mạng bao gồm:
· File PCAP,
· Tệp tin cấu hình bộ định tuyến và chuyển mạch,
· Bảng CAM và các bản ghi kết nối mạng trực tiếp (directly connected networks).
Hình 2. Sơ đồ các subnet mạng được vẽ bởi GRML
Cơ sở tri thức có sẵn trong công cụ bao gồm các thông tin:
- GeoIP database, fingerprint và ID của các nhà sản xuất thiết bị OT ( có khoảng 100 finger print)
- Hiển thị cờ các quốc gia dựa trên GeoIP
- Vendor ID dựa vào phần địa chỉ MAC
- Fingerprint dựa trên thông tin trong các gói tin bắt được
- Cho phép định nghĩa thêm fingerprint
Nhược điểm của GRML:
- Chỉ tập hợp được các file PCAP nhỏ
- Phạm vi thu thập bị giới hạn trong subnet của máy tính chạy GRML.
- Không thu thập được dữ liệu serial (vd modbus…)
Đối với mạng OT thì vấn đề quan trọng nhất là tính sẵn sàng tức là phải hoạt động liên tục. Sự gián đoạn của chữ A trong CIA sẽ là rất nguy hiểm bởi vì mạng OT có thể xảy ra nguy cơ mất an toàn tới tính mạng các công nhân vận hành, hỏng hóc thiết bị, phá sản doanh nghiệp khi dây chuyền sản xuất đổ vỡ,…Ví dụ gần nhất vào 6/2021 là vụ hacker tấn công làm gián đoạn việc cung cấp dầu của công ty Colonial Pipeline ở Baltimore, Maryland, Mỹ khiến công ty phải trả hàng triệu đôla cho những kẻ tấn công, và việc cung cấp dầu bị ngưng trệ nhiều ngày.
GRASSMARLIN (GRML) là một công cụ nguồn mở lập bản đồ và hiển thị trực quan (Passive Network Mapping Tool) cấu trúc liên kết mạng ICS/SCADA, đồng thời tiến hành khám phá các thiết bị đang hoạt động, tính toán và báo cáo về các hệ thống vật lý mạng OT. Các tính năng chính:
- Cho phép đội BlueTeam tìm hiểu thông tin về hệ thống mạng OT đang hoạt động và kiểm soát được rủi ro khi sử dụng công cụ này.
- Cung cấp thông tin về hệ thống OT dựa trên cơ sở tri thức (Knowledge Base) sẵn có trong công cụ.
- Nhỏ gọn, được viết bằng Java để hiển thị đồ họa
- Chạy trên Windows và Linux.Hình 1. Giao diện Network Tree Map
Lưu ý: GRML Không phải là công cụ phân tích gói tin mạng.
Công cụ này sử dụng thông tin từ nhiều nguồn khác nhau để vẽ sơ đồ mạng bao gồm:
· File PCAP,
· Tệp tin cấu hình bộ định tuyến và chuyển mạch,
· Bảng CAM và các bản ghi kết nối mạng trực tiếp (directly connected networks).
Hình 2. Sơ đồ các subnet mạng được vẽ bởi GRML
Cơ sở tri thức có sẵn trong công cụ bao gồm các thông tin:
- GeoIP database, fingerprint và ID của các nhà sản xuất thiết bị OT ( có khoảng 100 finger print)
- Hiển thị cờ các quốc gia dựa trên GeoIP
- Vendor ID dựa vào phần địa chỉ MAC
- Fingerprint dựa trên thông tin trong các gói tin bắt được
- Cho phép định nghĩa thêm fingerprint
Nhược điểm của GRML:
- Chỉ tập hợp được các file PCAP nhỏ
- Phạm vi thu thập bị giới hạn trong subnet của máy tính chạy GRML.
- Không thu thập được dữ liệu serial (vd modbus…)
Chỉnh sửa lần cuối bởi người điều hành: