Entwicklung eines EtherCAT Intrusion Detection (IDS) Moduls für das Open Source IDS System Snort

Andreas Granat

Kurzfassung

Die vorliegende Masterarbeit hatte das Ziel einen Snort Preprocessor für das Echzeit-
Ethernet EtherCAT zu entwickeln. Es wurden zuerst Grundlagen über Feldbusse, Ether-
CAT und Snort vermittelt. Darauf aufbauend wurden bestehende Ethernet Angriffsvektoren
auf EtherCAT übertragen und ebenso neue Angriffe wie Packet-Injection und
Man-in-the-Middle speziell für EtherCAT entwickelt. Mit diesen Angriffen war und ist
es möglich ein EtherCAT Netzwerk sensibel zu stören und ggf. sogar physikalischen
Schaden zu verursachen. Auf diesen Erkenntnissen aufbauend, wurde der Funktionsumfang
für den Preprocessor entwickelt und implementiert. Mit dem entwickelten Preprocessor
ist es nun möglich Angriffe auf EtherCAT Regelbasiert zu erkennen. Hierfür
wurden neue Snort Regel-Optionen eingeführt, was die Möglichkeit schafft alle Vorteile
die Snort bietet für die Sicherheit eines Automatisierungssystems einzusetzen.

Abstract

The goal of the master thesis at hand is to develop a Snort preprocessor for the real-time
field bus EtherCAT. First the basics of field busses, EtherCAT and Snort were conveyed.
Based on this, existing Ethernet attack vectors were transferred as well as new attacks
like packet injection and man-in-the-middle were specifically developed for EtherCAT.
These attacks made and make it possible to interrupt an EtherCAT network and may
even cause physical damage. Building on these conclusions, the functional range of
operation volume of the preprocessor was designed and implemented, with which it is
now possible to discover attacks on EtherCAT in a rule-based manner. For this purpose
new Snort rule options were introduced, which provide the possibility to deploy all the
advantages given by Snort for the security of an automation system.

x