Analyse von verschlüsselten OPC UA Nachrichten mit Wireshark

Unified Automation aktualisiert den Wireshark OpcUaBinary Dissector mit einer Erweiterung, um die Analyse von verschlüsselten OPC UA Nachrichten zu ermöglichen.

[Translate to Deutsch:]

Der erste Wireshark-Dissektor für OPC Unified Architecture-Nachrichten im OpcUa Binary Protocol wurde bereits 2009 von der ascolab GmbH entwickelt und erstmals in Wireshark v1.2.1 integriert. Damit konnten OPC UA-Request- und -Response-Nachrichten analysiert werden, und Wireshark ermöglichte Capture-Filterung für Diagnose und Troubleshooting. Bei der Verwendung sicherer OPC UA-Endpunkte werden die UA-Nachrichten jedoch entsprechend der gewählten OPC UA SecurityPolicy verschlüsselt. Der aufgezeichnete Datenverkehr sah dann nur noch wie Datensalat aus, was zwar der Sinn der Verschlüsselung ist, aber die Nachrichten konnten nicht mehr für die Fehlersuche ausgewertet werden.

Gerhard Gappmeier, Lead Software Architect bei Unified Automation, der bereits das Original entwickelt hat, erweiterte nun den Dissector um Entschlüsselungsmöglichkeiten. Ähnlich wie bei anderen verschlüsselten Protokollen, z. B. Webbrowsern mit HTTPS, ermöglicht Wireshark das Hinzufügen der symmetrischen Schlüssel zur Aufzeichnung, um diese später zu entschlüsseln. Dieselbe Funktion wurde nun in den OPC UA-Dissector integriert, und nach Hinzufügen der symmetrischen Schlüsseldateien wird der aufgezeichnete Datensalat in klare, verständliche Nachrichten umgewandelt. Wireshark hat die neue Funktion des OPC UA-Dissektors in Version 4.4 integriert, die jetzt mit dem neuesten Release verfügbar ist.

Die OPC UA Server- und Client-SDKs von Unified Automation erlauben es, bei entsprechender Berechtigung, solche symmetrischen Schlüssel in einer Datei zu speichern. Bei der Aufzeichnung von verschlüsseltem OPC UA-Datenverkehr können die Schlüsseldateien in die pcap-Aufzeichnung integriert werden, um sie konsistent zu speichern.

Das neue Feature ermöglicht die Fehlersuche vor Ort während des laufenden Betriebs, ohne dass Sicherheitsmaßnahmen reduziert oder die Sicherheit komplett abgeschaltet werden muss. Dies ist ein weiterer Meilenstein in der Etablierung von „secure-by-default“ in der OPC UA-Konnektivität. Es eliminiert Fallstricke sowie herstellerübergreifende Interoperabilitätsprobleme und erhöht das Vertrauen in gesicherte OPC UA-Kommunikationsprotokolle.

Ein Video zur Verwendung des neuen OPC UA Dissector finden Sie hier: Youtube-Analyse von verschlüsseltem OPC UA Verkehr

Ein Tutorial, wie man Wireshark aus dem Quellcode erstellt, finden Sie hier:  Youtube-Building Wireshark aus dem Quellcode