Informacje o protokole

EtherNet/IP to przemysłowy protokół sieciowy Ethernet powszechnie stosowany w systemach sterowania automatyką przemysłową. Został opracowany przez Rockwell Automation pod koniec lat 90. i jest zarządzany przez ODVA. Protokół zapewnia współpracę wielu dostawców systemów i jest wykorzystywany w różnych aplikacjach, takich jak elektrownie wodne, obiekty produkcyjne i usługi publiczne. Aby zidentyfikować urządzenie EtherNet/IP, wysyłane jest zapytanie do TCP/44818 z wiadomością list Identities Message (0x63).

Domyślny port: 44818 UDP/TCP

PORT      STATE SERVICE
44818/tcp open  EtherNet/IP

Edukacja

Wprowadzenie

W celu przeprowadzenia skutecznego testu penetracyjnego sieci, ważne jest, aby najpierw przeprowadzić dokładną enumerację. Enumeracja to proces identyfikacji i zbierania informacji na temat systemów, usług i zasobów w sieci. W przypadku testowania usług sieciowych, enumeracja pozwala na identyfikację otwartych portów, protokołów, wersji oprogramowania i innych istotnych informacji, które mogą być wykorzystane do dalszego ataku.

Ethernet/IP

Ethernet/IP to popularny protokół komunikacyjny wykorzystywany w przemysłowych systemach automatyki. Protokół ten jest oparty na standardzie Ethernet i jest szeroko stosowany w urządzeniach takich jak sterowniki PLC, panele operatorskie i sensory. W celu przeprowadzenia testu penetracyjnego sieci opartej na Ethernet/IP, ważne jest zrozumienie podstawowych aspektów tego protokołu.

Skanowanie portów

Pierwszym krokiem w enumeracji sieci opartej na Ethernet/IP jest skanowanie portów. Można to zrobić za pomocą narzędzi takich jak Nmap, które umożliwiają identyfikację otwartych portów na urządzeniach sieciowych. W przypadku Ethernet/IP, porty 44818 i 2222 są często używane do komunikacji.

nmap -p 44818,2222 <adres_IP>

Zbieranie informacji

Po zidentyfikowaniu otwartych portów, można przystąpić do zbierania informacji na temat usług działających na tych portach. Można to zrobić za pomocą narzędzi takich jak Wireshark, które umożliwiają przechwytywanie i analizę ruchu sieciowego. W przypadku Ethernet/IP, warto zwrócić uwagę na komunikację za pomocą protokołu CIP (Common Industrial Protocol).

Ataki

Po zebraniu wystarczającej ilości informacji, można przystąpić do przeprowadzenia ataków na systemy oparte na Ethernet/IP. Przykładowe ataki mogą obejmować próby przejęcia kontroli nad sterownikiem PLC, manipulację danymi przesyłanymi przez panele operatorskie lub wykorzystanie podatności w oprogramowaniu zainstalowanym na urządzeniach Ethernet/IP.

Podsumowanie

Enumeracja jest kluczowym etapem w testowaniu penetracyjnym sieci opartych na Ethernet/IP. Poprzez identyfikację otwartych portów, zbieranie informacji i przeprowadzanie ataków, można zidentyfikować potencjalne luki w zabezpieczeniach i pomóc w poprawie ogólnej bezpieczeństwa sieci.

nmap -n -sV --script enip-info -p 44818 <IP>
pip3 install cpppo
python3 -m cpppo.server.enip.list_services [--udp] [--broadcast] --list-identity -a <IP>

Shodan

• port:44818 "nazwa produktu"