Aufsetzen eines Honeypots im industriellen Umfeld, Sophie Linzbach

Sophie Linzbach

Kurzfassung

In der heutigen Zeit sind die meisten elektronischen Geräte mit dem Internet verbunden. Das gilt auch für industrielle Systeme und hat zur Folge, dass diese vermehrt zum Ziel von Cyberangriffen werden. Um über die Bedrohungen von Industrieanlagen in Bezug auf IT-Sicherheit aufzuklären und eventuelle Angriffe zu analysieren, wird im Laufe dieser Arbeit ein industrielles Honeynet mit hohem Interaktionslevel entwickelt und öffentlich zugreifbar gemacht. Ein Honeynet ist ein Netz-werk, bestehend aus Honeypots, die reale Systeme simulieren und deren einziger Zweck es ist angegriffen zu werden. In diesem konkreten Fall werden Speicherprogrammierbare Steuerungen von Siemens simuliert. Sie verwenden die Protokolle HTTP, SNMP, Modbus und das Siemens eigene Kommunikationsprotokoll S7communication. Das Honeynet wird mithilfe von IMUNES emuliert und auf den einzelnen Netzwerkknoten wird Conpot, erweitert um die SNAP7-Bibliothek, installiert. Zum Abschluss werden Angriffe auf das Honeynet ausgewertet.

Schlagwörter: Conpot, Honeypot, Honeynet, ICS, IT-Sicherheit, SIMATIC S7

Abstract

The security of Industrial Control Systems is an important topic regarding the physical damage a cyberattack can cause. Meanwhile the awareness about its importance is alarmingly low. The deployment of industrial honeypots can raise awareness and educate about attacking patterns and current malware. Another advantage of honeypots is the opportunity to integrate them in an actual network to reveal attackers and to distract them from the productive part of the network. Using a honeynet a whole Industrial Control System can be reproduced. Therefore a whole net-work of honeypots which implement HTTP, SNMP, S7communication and Modbus protocol will be deployed in this paper using Conpot, IMUNES and SNAP7. The nodes mimic SIMATIC S7 programmable logic controllers (PLCs) which are widely used across the globe. The deployed honeypots’ features will be compared with the features of real SIMATIC S7 PLCs. Furthermore the honeynet will be publicly available for ten days and occurring cyberattacks will be analysed.

Keywords: conpot, honeypot, honeynet, ICS, IT-security, SIMATIC S7