Wireshark en SCADA

Wireshark es una herramienta esencial para el análisis de redes que permite a los profesionales capturar y analizar el tráfico en tiempo real, proporcionando una visibilidad detallada del flujo de datos a través de las redes. Esto es particularmente útil en entornos SCADA, donde la seguridad y la estabilidad de la comunicación son críticas. Aquí te describo algunos filtros de Wireshark que pueden ser especialmente útiles para analizar el tráfico de SCADA:

Filtros de Wireshark para Tráfico SCADA

1. Filtrar por Protocolo

Para sistemas SCADA que utilizan protocolos específicos, puedes filtrar directamente por el nombre del protocolo para simplificar la visualización de los paquetes relevantes. Algunos de los protocolos comunes en SCADA incluyen:

Modbus: modbus
DNP3: dnp3
S7comm (Siemens): s7comm

Por ejemplo, para ver sólo el tráfico Modbus, usarías:

modbus

2. Filtrar por Dirección IP

En un entorno SCADA donde se conocen las direcciones IP de los dispositivos de interés, puedes filtrar el tráfico para mostrar solo la comunicación con estas direcciones. Esto es útil para aislar la actividad de un dispositivo específico. Por ejemplo:

Tráfico desde o hacia una dirección IP específica:
```
ip.addr == 192.168.1.100
```
Tráfico solo desde una dirección IP específica:
```
ip.src == 192.168.1.100
```
Tráfico solo hacia una dirección IP específica:
```
ip.dst == 192.168.1.100
```

3. Filtrar por Puerto

Si sabes que un protocolo SCADA opera en un puerto específico, puedes filtrar por ese puerto para analizar solo el tráfico asociado con ese servicio. Por ejemplo, para filtrar el tráfico que utiliza el puerto estándar de Modbus TCP (502):

tcp.port == 502

4. Combinaciones de Filtros

Wireshark permite la combinación de filtros para obtener análisis más específicos. Por ejemplo, para ver el tráfico Modbus de una dirección IP específica, podrías usar:

modbus and ip.addr == 192.168.1.100

5. Filtrar por Mensajes de Error

Filtrar por mensajes de error en los protocolos puede ayudar a identificar problemas en las comunicaciones SCADA. Por ejemplo, si deseas filtrar los mensajes de excepción en Modbus, podrías usar:

modbus.exception_code

Uso Práctico de Wireshark en SCADA

Usar Wireshark en entornos SCADA es práctico para:

Diagnóstico de Problemas: Identificar y resolver problemas de comunicación entre dispositivos.
Auditorías de Seguridad: Verificar que sólo el tráfico esperado está presente en la red y detectar posibles intrusiones.
Desarrollo y Pruebas: Ayudar en el desarrollo de aplicaciones SCADA y en la prueba de nuevas implementaciones para asegurar que funcionan como se espera.

Wireshark es una herramienta poderosa que, cuando se usa correctamente, puede proporcionar una comprensión profunda del funcionamiento y la seguridad de una red SCADA, permitiendo a los administradores y a los analistas de seguridad tomar decisiones informadas basadas en datos reales de tráfico de red.

Puedes practicar cargando estos pcaps:

ICS-Security-Tools/pcaps at master · ITI/ICS-Security-ToolsGitHub

CPICS-Tools/pcap at main · Spartan-Cybersecurity/CPICS-ToolsGitHub

AnteriorARP Spoofing SiguienteIntroducción al Uso de Metasploit en SCADA

Última actualización hace 5 meses