Netzwerkanalyse in SCADA-Netzwerken

Ein genaues Verständnis und die Übersicht über ein SCADA-Netzwerk ist eine Grundvoraussetzung, um Sicherheit und Verfügbarkeit zu garantieren. In vielen Netzwerkumgebungen fehlt jedoch ein exaktes und zeitnahes Bild über die verbundenen Geräte und das Verständnis für die verwendeten Netzwerkprotokolle. Die vorliegende Arbeit zeigt, wie in einem SCADA-Netzwerk die Endpunkte durch passive Analyse des Netzwerkverkehrs beschrieben werden können und stellt eine Anwendung für die Analyse von OPC Data Access (OPC-DA)-Verkehr bereit.
In der Arbeit wurde ein Anwendungssystem realisiert, das IP-Flows und OPC-DA-Pakete aus Netzwerkaufzeichnungen einliest, speichert und für die Visualisierung und die Analyse aufbereitet. Die importierten Flows und OPC-DA-Pakete werden aggregiert und für die Darstellung sowie den Vergleich in Elasticsearch gespeichert. Die Arbeit definiert für die Aggregation geeignete Kennwerte, die aus den Erkennungsmerkmalen von bekannten Angriffen auf SCADA-Netzwerke abgeleitet sind. Mit Hilfe des entwickelten Wireshark-Dissectors kann OPC-DA-Verkehr analysiert werden, was die Entwicklung von Verfahren zur Erkennung von Angriffen auf SCADA-Netzwerke wesentlich erleichtert. Die mit der Analyzer-Anwendung aufbereiteten Daten ermöglichen es, die verbundenen Geräte und deren Charakteristiken zu verschiedenen Zeitabschnitten zu visualisieren und die Differenzen zu bestimmen. Erste durchgeführte Analysen zur Erkennung von Angriffen zeigen, dass die IP-Adressen der Netzwerkteilnehmer und die verwendeten OPC-Gruppen die relevantesten Kennwerte darstellen. Aufgrund der gewonnenen Erkenntnisse sollte die Entwicklung einer automatisierten Angriffserkennung möglich sein, weshalb die Bachelorarbeit einzelne Aspekte des Themas vertieft behandeln wird.