Einrichtung des Intrusion Detection Systems Snort zur Verwendung im industriellen Umfeld, Marcel Ramjoué

Marcel Ramjoué

Kurzfassung

Die Sicherheit im Bereich der Operational Technology (OT), unterliegt anderen Anforderungen als beispielsweise Bürosysteme (IT) es tun. Eine Mischung aus IT- und OTProtokollen, hohe Kosten bei nur kurzen Ausfällen, sowie die Gefährdung von Menschen, Maschinen und Umwelt sind nur einige Probleme vor der die OT-Sicherheit hierbei steht. Ziel dieser Arbeit ist es, eine Einrichtungsempfehlung für das Open Source Intrusion Detection System ‚Snort‘ zu erarbeiten und somit die Möglichkeit zu eröffnen, Angriffe auf die eigene Industrielandschaft schon vor einem hypothetischen Schaden zu erkennen. Konkret werden hierbei die OT-Protokolle ModbusTCP, S7Comm, DNP3, IEC104 und SNMP sowie weitere allgemeine Techniken behandelt, die bei einem Angriff auf OT-Strukturen verwendet werden. Im Verlauf der Arbeit soll dabei eine eigene OT/ICS Cyber Range entstehen, in welcher Angriffe simuliert und somit Snort Konfigurationen sowie entstandene Regelsätze getestet werden können. Dies soll praxisnahe Tests und Optimierungen ermöglichen, ohne dabei echte Anlagen in Anspruch nehmen zu müssen.

Schlagwörter: IT, OT, ICS, IDS, Snort, Angriffe, OT-Protokollanalyse

Abstract

IT security in the area of operational technology (OT), is exposed to different challenges than for example office systems (IT). A combination of IT and OT protocols, high costs in the case of only short downtime, as well as the risk to people, machines and the environment are just some of the problems faced by OT security. The aim of this thesis is to create a recommendation for the setup of the open source intrusion detection system ’Snort’ and thereby open up the possibility of detecting attacks on one’s own industrial landscape even before hypothetical damage occurs. Specifically, the OT protocols ModbusTCP, S7Comm, DNP3, IEC104 and SNMP as well as other common techniques used in an attack on OT structures are analyzed. In the progress of the thesis, a dedicated OT/ICS cyber range will be created in which attacks can be simulated and Snort configurations and rule sets can be tested. This should allow practical tests and optimizations without affecting real systems.

Keywords: IT, OT, ICS, IDS, Snort, Attacks, OT protocol analysis