Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Seguranca em Redes de Automacao PDF
Caricato da
Alexandre GermanoTitolo originale
Copyright
Formati disponibili
Condividi questo documento
Condividi o incorpora il documento
Hai trovato utile questo documento?
Questo contenuto è inappropriato?
Segnala questo documentoCopyright:
Formati disponibili
Seguranca em Redes de Automacao PDF
Caricato da
Alexandre GermanoCopyright:
Formati disponibili
FACULDADE POLITCNICA DE JUNDIA ENGENHARIA DA COMPUTAO
AVALIAO DE SEGURANA EM REDES DE AUTOMAO
Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes
Jundia 200
FACULDADE POLITCNICA DE JUNDIA ENGENHARIA DA COMPUTAO
AVALIAO DE SEGURANA EM REDES DE AUTOMAO
!ro"eto apresentado para a realiza#$o da disciplina do %rabal&o de 'onclus$o de 'urso( Orientador) !ro*( +berval Oliveira 'astro Orientados) Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes
0,00-.2 0,00/0/ 0,00-/. 0,0-0., 0,0.-00
Jundia 200
FACULDADE POLITCNICA DE JUNDIA ENGENHARIA DA COMPUTAO
AVALIAO DE SEGURANA EM REDES DE AUTOMAO
!ro"eto apresentado para a realiza#$o da disciplina do %rabal&o de 'onclus$o de 'urso Orientados) Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes 0,00-.2 0,00/0/ 0,00-/. 0,0-0., 0,0.-00
111111111111111111111111111111111111111 Orientador) !ro*( +berval Oliveira 'astro Jundia211111de11111111111111111de 200
Aos colegas de estudo e aos *amiliares 3ue nos apoiaram e incentivaram para a realiza#$o deste trabal&o(
AGRADECIMENTOS
Aos nossos pais e *amiliares2 pois sempre nos incentivaram e apoiaram( Aos nossos colegas de grupo2 pelo compan&eirismo e dedica#$o( Ao nosso orientador +berval Oliveira 'astro2 pelo valioso e grandioso apoio2 contribui#$o e paci4ncia dedicados ao longo deste trabal&o( 5s nossas namoradas 3ue tiveram paci4ncia e nos au6iliaram para a realiza#$o deste( + a todos a3ueles 3ue de algum modo nos a"udaram(
OL78+7RA2 Danilo 9iacomello de( MAR%7:;2 Felipe Bertini( R+<+:D+2 Ferigs Masse de( LOMBARD72 Fernando( LO!+;2 Marcos Antonio( Avaliao ! S!"#$a%a !& R! !' ! A#(o&ao) 200 ( -2p %rabal&o de 'onclus$o de 'urso =Bac&arel em +ngen&aria de 'omputa#$o> ? Faculdade !olit@cnica de Jundia(
RESUMO
+ste trabal&o discute sobre seguran#a na integra#$o entre redes corporativas e redes de automa#$o industrial2 no 3ual ser$o apresentados riscos2 *al&as e vantagens das redes2 com o intuito de conscientizar e demonstrar a importAncia de possuir uma rede com maior nvel de seguran#a possvel2 buscando minimizar o risco de ata3ues e invasBes 3ue possam causar pre"uzos C empresa( ;erD apresentada a parte &istErica da automa#$o industrial2 de*ini#$o e tipos de protocolos envolvidos nas redes2 sistemas de supervis$o 3ue permitem o gerenciamento remoto e o controle de automa#$o na empresa2 troca de in*orma#Bes entre o ambiente industrial e corporativo2 anDlises realizadas em ambientes reais avaliando a seguran#a e6istente na rede e buscando m@todos para mel&orias(
Palav$a'*+,av!- ;+9FRA:GA2 AF%OMAGHO 7:DF;%R7AL2 R+D+; 7:DF;%R7A7;2 R+D+; 'OR!ORA%78A;
A.STRACT
A great tec&nological revolution in t&e *ield o* t&e industrial automation &as been presented in t&e last Iears2 starting o* a total isolated environment J&ere t&e proprietors sIstems used to dominate and t&e tec&nologies Jere dedicated to an integrated environment and s&ared bI all t&e corporative sIstems( %&is paper is about t&e securitI in t&e integration betJeen corporative nets and industrial automation nets J&ere risKs2 imper*ections and advantages o* t&e nets Jill be presented( 7ntending to ac3uire KnoJledge and to s&oJ t&e importance o* &aving a net Jit& t&e biggest level o* possible securitI2 trIing to minimize t&e risK o* attacKs and invasions t&at can cause &arm*ul damages to t&e companI( 7t Jill be presented t&e &istorical part o* t&e industrial automation2 de*inition and tIpes o* involved protocols in t&e nets2 supervision sIstems t&at alloJ t&e remote management and t&e control o* automation in t&e companI2 in*ormation e6c&ange betJeen t&e industrial and corporative environment2 analIses done in real environments evaluating t&e e6isting securitI in t&e net and searc&ing met&ods *or improvements( 7t Jill also be presented t&e main tec&ni3ues used *or invasion and attacKs o* industrial sIstems(
LISTA DE FIGURAS
Figura . L 'L! de pe3ueno porte((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.M Figura 2 L Funcionamento 'L!(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((./ Figura , L 'iclo BDsico Funcionamento 'L!(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.N Figura 0 L Rede de controle e supervis$o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2. Figura - L %ipos de protocolos Modbus((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2, Figura M L Rede de automa#$o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2/ Figura L +statsticas de incidentes com seguran#a no Brasil(((((((((((((((((((((((((((((((((((((((,0 Figura / L Rede de automa#$o utilizando protocolo %'!O7!((((((((((((((((((((((((((((((((((((((((((,. Figura N L !rioridades nos ambientes industriais e corporativos((((((((((((((((((((((((((((((((((((,2 Figura .0 L Rede 7mplementada para anDlise((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((0, Figura .. L Movimenta#$o dos pacotes de dados ao passarem pelo FireJall((((((((((((((((0M Figura .2 L Movimenta#$o dos pacotes de dados sem FireJall na rede(((((((((((((((((((((((((0M
LISTA DE TA.ELAS
%abela . L !adrBes +t&ernet((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2M
LISTA DE SIGLAS
AB:% AR! A;'77 bps 'A: 'L! 'OB7% '!F D'; DD' D! +O; +!ROM FM; 7+++ 7PM 7;A 7;A'A 7;O LA: MA' MA: MA! !7M; !L' R%F ;'ADA %A %'!O7! %7 QA:
Associa#$o Brasileira de :ormas %@cnicas Address Resolution !rotocol American 'ode For 7n*ormation 7nterc&ange bits por segundo 'ampus Area :etJorK 'ontrolador LEgico !rogramDvel 'ontrol Ob"ectives *or 7n*ormation and related %ec&nologI 'entral !rocessing Fnit Distributed 'ontrol ;Istems Direct Digital 'ontrol Decentralized !erip&erI +ntrada O ;ada +rasable !rogrammable ReadLOnlI MemorI Fieldbus Message ;peci*ication 7nstitute o* +lectrical and +lectronic +ngineers 7nter*ace Pomem MD3uina %&e 7nternational ;ocietI *or Measurement and 'ontrol 7n*ormation ;Istems Audit and 'ontrol Association 7nternational Organization *or ;tandardization Local Area :etJorK Media Access 'ontrol Metropolitan Area :etJorK Manu*acturing Automation !rotocol !lant 7n*ormation Management ;Istems !rogrammable Logic 'ontroller Remote %erminal Fnit ;upervisorI 'ontrol and Data Ac3uisition %ecnologia da Automa#$o %ransmission 'ontrol !rotocol O 7nternet !rotocol %ecnologia da 7n*orma#$o Qide Area :etJorK
SUM/RIO
7:%RODFGHO((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.. 0) 0)0 1) 2.1 1)2 , 2)0 0 R+F+R+:'7AL P7;%RR7'O((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((., PistEria das redes +t&ernet(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.0 'L! ='ontrolador LEgico !rogramDvel>((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.M 'omunica#$o em rede((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((. Funcionamento de um 'L!((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((./ ( O SF+ ;HO R+D+; D+ AF%OMAGHO(((((((((((((((((((((((((((((((((((((((((((((((((((((((20 !rotocolos de comunica#$o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((22 ( R+D+; +%P+R:+% +M AMB7+:%+ 7:DF;%R7AL(((((((((((((((((((((((((((((((((((2-
5( ;+9FRA:GA +M R+D+; D+ AF%OMAGHO(((((((((((((((((((((((((((((((((((((((((((((((((((((((2/ 3)0 5.2 :ovo conte6to na indTstria((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2N 7ntegra#$o entre ambiente de %7 e %A((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((,2
4( AM+AGA; AO AMB7+:%+ D+ AF%OMAGHO 7:DF;%R7AL(((((((((((((((((((((((((((,0 4)0 %@cnicas para acesso n$o autorizado((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((,M 5( M+D7DA; !ARA M7:7M7<AR 8FL:+RAB7L7DAD+;(((((((((((((((((((((((((((((((((((((((,/ 5)0 :ormas ligadas C seguran#a de in*orma#Bes((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((,N /(7M!L+M+:%AGHO D+ ;+9FRA:GA +M R+D+; D+ AF%OMAGHO((((((((((((((02 'O:'LF;HO((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((0 R+F+RU:'7A;((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((0/ A!V:D7'+ A ? Regra do FireJall((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((-.
INTRODUO
PD cerca de dez anos2 o ambiente de automa#$o industrial era isolado do ambiente corporativo de uma empresa( 'om a constante evolu#$o tecnolEgica2 &o"e @ uma necessidade 3ue esses dois ambientes se"am interligados e compartil&em in*orma#Bes2 pois @ necessDrio 3ue sistemas inteligentes como sistemas de otimiza#$o de processo e gerenciamento de produ#$o se"am alimentados com essas in*orma#Bes( A integra#$o do ambiente industrial para o corporativo levanta uma s@rie de 3uestBes de seguran#a 3ue antes eram somente do ambiente corporativo da empresa2 tais como) a e6plora#$o de *al&as de programa#$o2 ata3ues a servi#os2 acessos n$o autorizados2 vrus e outros tipos de vulnerabilidades e amea#as( Fma 3uest$o tamb@m importante @ 3ue a maioria dos protocolos desenvolvidos n$o *oram pro"etados para atender Cs necessidades de seguran#a das redes corporativas( A motiva#$o para o desenvolvimento deste trabal&o @ o estudo e anDlise de seguran#a na integra#$o entre redes industriais e corporativas2 de *orma a orientar e minimizar riscos e amea#as aos ambientes( :o decorrer do trabal&o *oram encontradas algumas di*iculdades2 por@m2 a principal *oi a de*ici4ncia de material nacionalizado para este tipo de assunto( +ste trabal&o @ estruturado da seguinte *orma) :o captulo .2 @ apresentado um &istErico da evolu#$o tecnolEgica dos sistemas de controle e automa#$o industrial2 bem como as redes de comunica#$o( :o captulo 22 @ de*inido um controlador lEgico programDvel e suas principais caractersticas( :o captulo ,2 s$o apresentadas as redes de automa#$o e seus principais protocolos2 abordando suas principais *uncionalidades( :o captulo 02 serD abordado o tema de redes +t&ernet em ambiente industrial2 apresentando os tipos de redes e sua classi*ica#$o( :o captulo -2 *ocaremos a seguran#a da automa#$o 3ue passou a ser um tema abrangente para todas as tecnologias 3ue se comunicam atrav@s de redes2 o papel do 'L! e suas vulnerabilidades2 a intera#$o do ambiente %7 e %A2 e sistemas !7M;( :o captulo M2 veremos a e6posi#$o dos sistemas ;'ADA2 tipos de vulnerabilidades2 vrus2 worms2 cavalos de trEia2 tipos de ata3ues e acessos2 como spooling2 relay2 nega#$o de servi#o2 AR!2 e discovery(
.2
:o captulo 2 ser$o apresentadas medidas para minimizar as vulnerabilidades de seguran#a2 decisBes 3ue o administrador da rede deve tomar2 os agentes envolvidos na poltica de seguran#a2 as normas e a importAncia da 7;OO7+' 2 00.)200- e o 3ue @ necessDrio para implantDLla( :o captulo /2 serD analisada uma topologia de rede2 envolvendo as redes industriais e corporativas2 demonstrando como implementar um FireJall e suas regras de seguran#a( :a rede montada para anDlise *oi selecionado o protocolo ModbusO%'!2 por ser um protocolo de *Dcil acesso e de padr$o aberto utilizado na comunica#$o de dispositivos clienteOservidor em redes de automa#$o industrial(
REFERENCIAL HIST6RICO
+m .N 0 *oram criadas as primeiras redes de automa#$o2 os sistemas de controle de processo eram totalmente analEgicos2 atrav@s dos DD' =Direct Digital Control L 'ontrole Digital Direto>2 D'; =Distributed Control Systems - ;istemas de 'ontrole distribudos> e !L' =Programmable Logic Controller - 'ontrolador de LEgica programDvel> =B+R9+2 .NN/>( Logo em .N/02 surgiram os e3uipamentos de campo 3ue seriam os transmissores e redes fieldbus 3ue se interligavam =B+R9+2 .NN/>( Os D'; e !L' permitiram 3ue os controladores *ossem instalados em racks au6iliares possibilitando 3ue as in*orma#Bes de supervis$o *ossem enviadas at@ o operador via rede( Os controladores eram instalados em pain@is2 e os sensores e atuadores eram ligados aos controladores somente com um par de *ios =B+R9+2 .NN/>( A comunica#$o digital permitiu a interliga#$o de vDrios e3uipamentos atrav@s da cone6$o Multidrop =multiLponto>2 o custo das instala#Bes caiu consideravelmente e esses e3uipamentos possuam um Tnico endere#o na rede =B+R9+2 .NN/>( A indTstria automobilstica americana deu origem ao 'L! ='ontrolador LEgico !rogramDvel>2 mais precisamente na PIdronic Division Motors2 em .NM/2 devido a grande di*iculdade de mudar a lEgica de controle dos pain@is de comando2 pois cada mudan#a na lin&a de montagem implicava em altssimos gastos =B+R9+2 .NN/>( O engen&eiro Ric&ard MorleI preparou uma especi*ica#$o 3ue re*letia as necessidades de muitos usuDrios de circuitos a rel@s2 n$o sE da indTstria automobilstica2 mas como de toda a indTstria manu*atureira =B+R9+2 .NN/>( O 'L! *oi se tornando um e3uipamento de *Dcil utiliza#$o2 aprimorandoLse cada vez mais e diversi*icando os setores industriais( 'om o decorrer do tempo2 e6istia uma variedade de tipos de entradas e sadas2 aumento de velocidade e processamento2 inclus$o de blocos lEgicos2 modo programa#$o e a inter*ace com o usuDrio =B+R9+2 .NN/>( A evolu#$o do 'L! @ dividida em - gera#Bes) .W 9era#$o) A programa#$o era ligada ao hardware do e3uipamento e a linguagem era em AssemblI2 mas para programar era necessDrio con&ecer a eletrXnica do pro"eto 3ue era *eita por uma e3uipe altamente 3uali*icada( A grava#$o do programa era na memEria +!ROM =Erasable Programmable Read- nly !emory L Memoria de Leitura Apenas !rogramDvel ApagDvel) ='O:%ROLADOR+;2 200 >(
.0
2W 9era#$o) 'ome#am a aparecer as primeiras linguagens de programa#$o n$o t$o dependentes do hardware do e3uipamento2 sendo possvel a inclus$o de um Y!rograma MonitorZ no 'L!2 o 3ual converte as instru#Bes do programa2 veri*ica estado de entradas2 compara com instru#Bes do usuDrio e altera o estado das sadas ='O:%ROLADOR+;2 200 >( ,W 9era#$o) +ntrada de programa#$o para conectar um teclado ou programador portDtil para possveis altera#Bes no programa ='O:%ROLADOR+;2 200 >( 0W 9era#$o) Os 'L!s passam a ter uma entrada para comunica#$o serial e com a 3ueda dos pre#os dos microcomputadores2 a programa#$o acaba sendo realizada por eles2 o 3ue tornou possvel a utiliza#$o de vDrias linguagens2 simula#Bes2 testes2 treinamentos2 armazenamento de programas etc( ='O:%ROLADOR+;2 200 >( -W 9era#$o) PD uma preocupa#$o em padroniza#$o dos protocolos de comunica#$o para 3ue e3uipamentos de *abricantes di*erentes se comuni3uem2 proporcionando uma integra#$o2 a *im de *acilitar a automa#$o2 gerenciamento e desenvolvimento de plantas industriais2 *ruto da c&amada globaliza#$o ='O:%ROLADOR+;2 200 >(
0)0
Hi'(7$ia a' $! !' E(,!$%!(
O sistema possui o nome +t&ernet devido a uma men#$o ao @ter luminoso2 atrav@s do 3ual2 os *sicos do s@culo [7[ acreditavam 3ue a radia#$o eletromagn@tica propagavaLse =%A:+:BAFM2 200,>( :a d@cada de 02 na FniversitI o* PaJaii2 :orman Abramson e colegas 3ueriam conectarLse da il&a em um computador 3ue se encontrava em Ponolulu( 'omo solu#$o2 usaram um rDdio de ondas curtas2 no 3ual &avia duas *re3\4ncias) ascendente e descendente( !ara se comunicar com um computador2 o rDdio transmitia em um canal ascendente2 3ue era con*irmado no canal descendente do computador ao 3ual se dese"ava *azer a comunica#$o =%A:+:BAFM2 200,>( Antes da e6ist4ncia das redes de computadores2 a troca de in*orma#Bes acontecia de maneira manual2 com o prEprio usuDrio copiando as in*orma#Bes e as transportando de uma mD3uina para outra ='O:%72 200 >(
.-
9eorge ;tibitz2 em .N002 da Faculdade de Dartmout&2 em :ova Pamps&ire2 atrav@s de um teletipo2 enviou instru#Bes com um con"unto de problemas para sua calculadora 3ue se encontrava em :ova 7or3ue2 recebendo de volta os resultados no prEprio teletipo ='O:%72 200 >( +m .NM02 pes3uisadores de Dartmout& desenvolveram um sistema de compartil&amento de tempo2 3ue *oram distribudos em grandes sistemas de computadores( :o mesmo ano2 usouLse um computador para rotear e gerenciar cone6Bes tele*Xnicas ='O:%72 200 >( :a d@cada de M02 Leonard ]leinrocK2 !aul Baran e Donald Danes2 desenvolveram sistemas de redes 3ue usavam datagramas ou pacotes2 usados em redes de comuta#$o de pacotes entre sistemas computacionais ='O:%72 200 >( A partir da2 as redes de computadores comandam as indTstrias de hardware" bem como as tecnologias necessDrias para cone6$o e comunica#$o( PD um crescimento do nTmero e tipos de usuDrios de redes2 3ue vai desde um pes3uisador at@ um usuDrio dom@stico ='O:%72 200 >(
CLP 8Co%($ola o$ L7"i+o P$o"$a&9v!l:
+ntendeLse por controlador2 o dispositivo eletrXnico2 mecAnico ou a combina#$o de ambos 3ue tem por ob"etivo controlar um sistema( ;$o e6emplos de controladores2 os utilizados na otimiza#$o de processos industriais e de manu*atura( Foram desenvolvidos inicialmente para atenderem as indTstrias automotivas2 3ue necessitavam constantemente alterar as lEgicas de interLtravamento entre seus e3uipamentos =MORA7; e 'A;%RF''72 200.>( 'om o uso do 'L!2 @ possvel reprogramar o *uncionamento de um e3uipamento sem precisar trocar todo o seu hardware =MORA7; e 'A;%RF''72 200.>( YO 'L! @ um computador com as mesmas caractersticas con&ecidas do computador pessoal2 por@m2 @ utilizado em uma aplica#$o dedicada ^(((_Z =:A%AL+2 2000>( ;egundo a AB:% =Associa#$o Brasileira de :ormas %@cnicas>2 o 'L! @ de*inido como um e3uipamento eletrXnico digital com hardware e software compatveis com aplica#Bes industriais( A *igura . representa um 'L! de pe3ueno porte2 da marca ;c&neider2 lin&a %Jido usado para registrar entradas e sadas digitais(
Figura . ? 'L! de pe3ueno porte Fonte) =;'P:+7D+R2 200 >
Antes do 'L!2 esse *eito era realizado substituindo componentes el@tricos =rel@s2 por e6emplo> e modi*icando pro"etos com grandes grupos de pain@is de controle =B+R9+2 .NN/>( As principais vantagens de um 'L! em rela#$o a lEgicas a rel@ s$o) Menor taman&o *sico necessDrio` ;er programDvel =possibilitando altera#Bes de lEgicas de controle>` 'apacidade de comunica#$o com sistemas 3ue gerenciam a produ#$o(
As caractersticas de um 'L! devem ser analisadas "unto com as caractersticas de seu software programador2 ou se"a2 o software onde serD desenvolvido todo o aplicativo 3ue serD e6ecutado no 'L! em determinada linguagem de programa#$o( +6istem diversos modelos de 'L!s *abricados e disponveis para compra( :o entanto2 alguns pontos devem ser levantados e discutidos para 3ue se"a possvel determinar 3ual o modelo mais ade3uado a ser empregado2 principalmente durante a *ase de especi*ica#$o de pro"etos =9+OR97:72 2000>( ;ob o ponto de vista *uncional2 podemos considerar e observar as seguintes *un#Bes 3ue um 'L! pode e6ecutar) A3uisi#$o e 'omando` Armazenamento do programa aplicativo` !rocessamento(
1)0
Co&#%i+ao !& $! !
:o mnimo2 todo 'L! dispBe de pelo menos uma porta de comunica#$o serial onde o usuDrio vai conectar o cabo serial programador 3ue2 normalmente2 @ um computador e6ecutando um software *ornecido pelo *abricante do 'L!( Atrav@s desta porta2 o usuDrio *az todas as atividades de manuten#$o) veri*ica o status da '!F =Central Processing #nit L Fnidade 'entral de !rocessamento>2 dos mEdulos de +O; =+ntradaO;ada>2 o tempo de ciclo do programa aplicativo2 *az a carga e leitura do programa para salvar em disco( +ssa porta normalmente @ uma rede mestreLescravo 3ue pode ser utilizada para outras *un#Bes2 tais como) conectar um sistema de supervis$o ou uma 7PM =7nter*ace Pomem MD3uina> local( :o entanto2 como essa porta @ destinada para manuten#$o2 se ela *or utilizada para conectar uma 7PM2 por e6emplo2 toda vez 3ue o usuDrio precisar conectar o computador para a manuten#$o2 deverD retirar o cabo da 7PM e depois de concludo o servi#o2 recolocDLlo( !ara evitar esse tipo de problema @ dese"Dvel 3ue a '!F ten&a mais canais de comunica#$o para permitir2 al@m da cone6$o com 7PMs locais2 a cone6$o em rede com outros sistemas(
. ./
2.2
F#%+io%a&!%(o ! #& CLP
:o 'L! e6istem as entradas dos dados2 o processamento e a sada dos resultados( V um *uncionamento similar ao de uma calculadora2 por e6emplo( ;$o inseridos nTmeros e 3ual opera#$o dese"ada2 a calculadora processa essas in*orma#Bes e e6ibe o resultado( 'on*orme *igura 2)
Figura 2 L Funcionamento 'L!
O hardware do 'L! @ composto por tr4s partes) uma *onte de alimenta#$o el@trica2 uma '!F e inter*ace de +O;( Fonte de alimenta#$o el@trica) trans*orma a energia el@trica para voltagem usada pelo e3uipamento( '!F) ;egundo =MORA+; e 'A;%RF''72 200.>2 @ YresponsDvel pela e6ecu#$o do programa do usuDrio2 atualiza#$o da memEria de dados e memEriaLimagem das entradas e sadas ^(((_Z( 7nter*aces de +ntrada e ;ada) entendemLse como teclados2 monitores etc( :a *igura ,2 @ mostrado um e6emplo de *uncionamento de um 'L!2 sendo iniciado pela leitura nas entradas digitais ou analEgicas2 apEs isso2 o programa @ e6ecutado e suas sadas s$o atualizadas(
. .N
7:7'7AR
L+R +:%RADA
!RO9RAMA A%FAL7<A ;AbDA
Figura , L 'iclo BDsico Funcionamento 'L!
Os processamentos *eitos pelo 'L! atrav@s dos dados de entrada s$o programDveis por lEgicas combinacionais2 se3\enciais ou pelas duas( ;egundo :atale =2000>2 YAutomatizar um sistema signi*ica *azer uso de *un#Bes lEgicas2 representadas2 por sua vez2 por portas lEgicas 3ue podem ser implementadas ^(((_Z O 'L! *az uso da lEgica de programa#$o ladder$ !ossui as seguintes representa#Bes) La aL LaOaL L= >L L=a>L L=;>L L=R>L L=M>L 'ontato aberto` 'ontato *ec&ado` Bobina` Bobina inversa` Bobina set` Bobina reset` Bobina MemEria`
O ;UE SO REDES DE AUTOMAO
A partir da d@cada de /0 os 'L!s passaram a ser *abricados com mEdulos de comunica#$o em rede2 podendo assim comunicarLse entre vDrios e3uipamentos e6istentes na automa#$o aplicada =MORA+; e 'A;%RF''72 200.>( V possvel e6istir comunica#$o entre um 'L! e outros e3uipamentos como) inversores de *re3\4ncia2 controladores de temperatura2 medidores de vaz$o2 outro 'L! de 3ual3uer modelo e *abricante etc(2 constituindo uma rede de automa#$o( !ara 3ue a comunica#$o se"a *eita @ necessDrio 3ue todos os e3uipamentos utilizem o mesmo meio de transmiss$o como a +t&ernet2 R;L2,22 R;L0/- etc(2 e o mesmo protocolo de comunica#$o como Modbus2 !ro*bus2 Fieldbus =B+R9+2 .NN/>( %amb@m @ possvel comunicar vDrios e3uipamentos da automa#$o com uma rede corporativa de computadores2 podendo comunicar um 'L! com um sistema +R! =Enterprise Resource Planning % !lane"amento de Recursos +mpresariais> ou com um sistema supervisor em um computador 3ual3uer da rede( 7sso pode ser *eito de duas maneiras) %odos os e3uipamentos da automa#$o devem estar interligados na mesma rede +t&ernet da rede corporativa e comunicandoLse atrav@s do protocolo %'!O7! =&ransmission Control Protocol'(nternet Protocol L !rotocolo de 'ontrole de transmiss$oO!rotocolo de 7nternet>2 ou o 'L! possuir dois mEdulos de comunica#$o distintos2 em 3ue num mEdulo o 'L! se comunica com os e3uipamentos da automa#$o em um protocolo e meio *sico 3ual3uer2 e no outro mEdulo2 o 'L! se comunica com a rede corporativa de computadores atrav@s da +t&ernet utilizando o protocolo %'!O7! =;OF<A2 2002>( ;egundo Barbosa =200M>2
Os sistemas ;'ADA =Supervisory Control and Data )*uisition ? ;istemas de ;upervis$o e A3uisi#$o de Dados>2 3ue em algumas aplica#Bes s$o re*eridos como sistemas supervisErios2 s$o responsDveis por coletar os dados de processo disponibilizados pelos e3uipamentos de controle ='L!s2 remotas industriais e outros> e os apresentar em tempo real2 atrav@s de uma inter*ace =grD*ica> &omem mD3uina2 aos operadores ^(((_
;istemas ;'ADA s$o implementados "untamente com um con"unto de e3uipamentos utilizados na automa#$o2 sendo eles) 'L! ou 3ual3uer e3uipamento 3ue *ale o mesmo protocolo implementado no software ;'ADA( :a *igura 02 podemos visualizar mel&or esse conceito2 ou se"a2 toda parte de controle de e3uipamentos da *Dbrica *eita pelos 'L!s de pe3ueno porte e todo o gerenciamento desta automa#$o *eita pelo 'L! de grande porte2
2 2.
tamb@m temos uma inter*ace &omemLmD3uina para controle local dos processos e um sistema de supervis$o ;'ADA para supervisionar e coletar todos os dados para estudo e anDlise do processo(
Figura 0 ? controle e supervis$o
Rede de
!ara um sistema ;'ADA se comunicar com um e3uipamento da rede de automa#$o @ necessDrio uma inter*ace de escrita e leitura2 esta inter*ace @ c&amada de driver( YA aplica#$o ;'ADA deve ser capaz de enviar mensagens de leitura e escrita para o 'L!2 3ue deve ser capaz de receber as mensagens2 processDLlas2 atualizar as sadas e2 se necessDrio2 retornar o dado re3uerido ^(((_Z =BARBO;A2 200M>
2 22
2)0
P$o(o+olo' ! +o&#%i+ao
Determina a *orma de transmiss$o de dados =*ormato dos dados2 temporiza#$o2 sinais de controle utilizados etc(>( 'ada *abricante de 'L! tem seu protocolo de comunica#$o prEprio2 normalmente c&amado de protocolo proprietDrio2 o 3ual @ utilizado durante a programa#$o do 'L!( Algumas '!Fs al@m de suportarem o protocolo proprietDrio2 suportam protocolos padrBes2 permitindo comunica#$o com dispositivos e softwares *ornecidos por outros *abricantes2 al@m da cone6$o em rede( YO protocolo Modbus *oi desenvolvido pela Modicon 7ndustrial Automation ;Istems2 &o"e ;c&neider2 para comunicar um dispositivo mestre com outros dispositivos escravos ^(((_Z =JF:7OR2 200 > +mbora se"a utilizado normalmente sobre cone6Bes serial padr$o R;L2,22 o protocolo Modbus tamb@m pode ser usado como um protocolo da camada de aplica#$o em redes industriais2 tais como %'!O7! sobre +t&ernet e MA! =!anufacturing )utomation Protocol !rotocolo de Automatiza#$o 7ndustrial+( Y+ste talvez se"a o protocolo de mais larga utiliza#$o em automa#$o industrial2 pela sua simplicidade e *acilidade de implementa#$o ^(((_Z =JF:7OR2 200 >( Baseado em um modelo de comunica#$o mestreLescravo2 o mestre pode denominar transa#Bes c&amadas de *ueries e os demais dispositivos da rede respondem suprindo os dados re3uisitados pelo mestre2 ou obedecendo a uma e6ecu#$o por ele comandada( Os pap@is de mestre e escravo s$o *i6os2 3uando utilizado cone6$o serial2 e em outros tipos de rede2 um dispositivo pode assumir ambos os pap@is2 mas n$o ao mesmo tempo( :a transmiss$o e6iste o modo A;'77 =)merican Code ,or (nformation (nterchange 'Edigo americano !ara 7ntercAmbio de 7n*orma#$o> e R%F =Remote &erminal #nit - Fnidade %erminal Remota>2 3ue s$o escol&idos na con*igura#$o da parte de comunica#$o( A *igura - apresenta os tipos de protocolos Modbus( O +t&ernet Modbus tem o seu *uncionamento via protocolo %'!O7!2 pois "D vem em sua prEpria estrutura uma ou mais portas de comunica#$o +t&ernet2 para rede( O Modbus !lus e o Modbus R%F t4m a sua comunica#$o via cabo serial2 3ue tra*ega do 'L! at@ um 9ateJaI2 convertendo o sinal para o protocolo %'!O7! na rede(
2 2,
Figura - L %ipos de protocolos Modbus Fonte) =87;HO2 200 >
Modbus %'!O7!) Fsado para comunica#$o entre sistemas de supervis$o e 'L!s =87;HO2 200 >( Modbus !lus) Fsado para comunica#$o entre si de 'L!s2 mEdulos de +O;2 c&ave de partida eletrXnica de motores2 7PM etc( =87;HO2 200 >( Modbus !adr$o) Fsado para comunica#$o dos '!Ls com os dispositivos de +O; de dados2 instrumentos eletrXnicos2 controladores de processo2 transdutores de energia etc( =87;HO2 200 >( O protocolo !ro*ibus @ o mais popular em redes de campo2 muito comum na +uropa2 3ue domina mais de M0c do seu mercado de automa#$o industrial( Foi desenvolvido em .N/ 2 como resultado de um pro"eto alem$o envolvendo 2. empresas e institutos de pes3uisa =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( %amb@m pode ser denominado como um padr$o aberto de rede de comunica#$o industrial2 dispositivos de di*erentes *abricantes podem comunicarLse sem a necessidade de 3ual3uer inter*ace =M+:DO:<A2 F+RR+7RA e MORA+;2 200->(
2 20
O protocolo !ro*ibus @ usado tanto em aplica#Bes com transmiss$o de dados em alta velocidade como em tare*as comple6as e e6tensas de comunica#$o =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( !odeLse utilizar os seguintes padrBes para meios de transmiss$o) R;L0/-2 7+' M..-/L2 ou Fibra Rptica =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( +6istem dois tipos de protocolos !ro*ibus2 descritos abai6o) !ro*ibusLD! =Decentrallised Periphery - !eri*eria Descentralizada>) Otimizado para alta velocidade de cone6$o e bai6o custo2 @ o mais utilizado( Foi pro"etado para comunica#$o entre sistemas de controle de automa#$o e suas respectivas +O; distribudas =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( !ro*ibusLFM; =,ieldbus !essage Specification>) V usado para tare*as mais comple6as2 considerado como protocolo de comunica#$o universal( O*erece muitas *un#Bes so*isticadas de comunica#$o entre dispositivos inteligentes =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( Outro protocolo muito utilizado @ o Fieldbus2 segundo Berge =.NN/>2
O Fieldbus @ um protocolo desenvolvido para automa#$o de sistemas de *abrica#$o2 elaborado pela FieldBus Foundation e normalizado pela 7;A =&he (nternational Society for !easurement and Control L A ;ociedade 7nternacional para Medida e 'ontrole>( O protocolo Fieldbus visa C interliga#$o de instrumentos e e3uipamentos2 possibilitando o controle e monitora#$o dos processos ^(((_
9eralmente o protocolo Fieldbus @ utilizado com os c&amados softwares supervisErios ;'ADA2 3ue permitem a a3uisi#$o e visualiza#$o2 desde dados de sensores2 at@ status de e3uipamentos =B+R9+2 .NN/>( A rede Fieldbus pode cobrir distAncias maiores e comunicar os e3uipamentos de +O; mais modernos( Os e3uipamentos acoplados C rede possuem tecnologia para trabal&ar em *un#Bes espec*icas de controle como loops2 controle de *lu6o e processos =MAPAL7]2 200,>(
<
REDES ETHERNET EM AM.IENTE INDUSTRIAL
Redes de computadores s$o dois ou mais e3uipamentos ligados um ao outro2 sendo possvel assim2 compartil&ar dados2 impressoras2 cone6Bes C 7nternet etc( =%A:+:BAFM2 200,>( A comunica#$o entre os e3uipamentos dDLse atrav@s de meios de acesso2 protocolos e re3uisitos de seguran#a =%A:+:BAFM2 200,>( As redes s$o classi*icadas de acordo com a distAncia entre os e3uipamentos 3ue estar$o conectados( +6istem as redes) LA:2 'A:2 MA: e QA: =%A:+:BAFM2 200,>( Rede LA: =Local )rea -etwork - Rede de drea Local>) V uma rede local( Abrange2 por e6emplo2 um escritErio2 resid4ncia etc( Rede 'A: =Campus )rea -etwork - Rede de drea campus>) V uma rede local 3ue consegue conectar mais de um pr@dio em um mesmo terreno( Rede MA: =!etropolitan )rea -etwork - Rede de drea Matropolitana>) V uma rede usada2 por e6emplo2 por uma rede de supermercados2 trocando in*orma#Bes com outras unidades e6istentes em outras cidades( Rede QA: =.ide )rea -etwork - Rede de drea Larga>) V uma rede de longa distAncia( 7nterliga variadas localiza#Bes geogrD*icas2 at@ no mesmo pas( :esse captulo ser$o apresentadas redes e +t&ernet( A +t&ernet tem pelo 7+++ =(nstitute of Electrical and Electronic Engineers - 7nstituto de +ngen&eiros +l@tricos e +letrXnicos>2 Erg$o responsDvel pela tecnologia +t&ernet2 o padr$o 7+++ /02(,2 sendo uma rede de transmiss$o de barramento2 permitindo opera#Bes de controle a uma velocidade de .0 ou .00Mbps =bits por segundo> =%A:+:BAFM2 200,>( :a tabela . @ possvel visualizar os principais padrBes2 *un#Bes e descri#Bes de redes +t&ernet(
2 2M
PADRO FUNO
7+++ /02(.p !rioriza mensagens( !ossui 2-M nveis de prioridade
7+++ /02(.2d Redu#$o de linKs( 'on*iabilidade para a rede(
7+++ /02(,6 Full Duple6( Aumenta a velocidade( 'omunicaLse bidirecionalmente
7+++ /02(,z 9igabit +t&ernet( At@ .000Mbps( BacKbone =espin&a dorsal> corporativo( 'one6$o da 7nternet do Brasil para outros pases(
DESCRIO
%abela . ? !adrBes +t&ernet Fonte) =JF:7OR2 200 >
Y!odeLse concluir 3ue as tecnologias de redes industriais est$o em contnua evolu#$o2 uma vez 3ue as empresas buscam de*inir padrBes com per*is de redes mais seguras e de alto desempen&o ^(((_Z =QA%A:AB+2 200M>( Redes industriais s$o sistemas distribudos2 3ue representam diversos dispositivos trabal&ando simultaneamente de modo a supervisionar e controlar um determinado processo( +sses dispositivos2 por e6emplo2 sensores2 atuadores2 'L!s2 !'s` est$o interligados e trocam in*orma#Bes de *orma rDpida e precisa( Fm ambiente industrial @2 geralmente2 &ostil2 de modo 3ue os dispositivos ligados C rede industrial devem ser con*iDveis2 rDpidos e robustos =OL78+7RA2 200->( !ara se implementar um sistema de controle distribudo2 baseado em redes2 temLse a necessidade de vDrios estudos detal&ados sobre o processo a ser controlado2 buscando o sistema 3ue mel&or se en3uadre para as necessidades do usuDrio =O9A%A2 200,>( As redes industriais t4m como padr$o tr4s nveis &ierDr3uicos2 sendo eles responsDveis pela cone6$o de di*erentes tipos de e3uipamentos( O nvel mais alto @ o 3ue interliga os e3uipamentos usados para o plane"amento da produ#$o2 controle de esto3ue2 estatsticas da 3ualidade2 previsBes de vendas( 9eralmente @ implementado usandoLse programas gerenciais2 por e6emplo2 sistemas ;A!2 Arena etc( O protocolo %'!O7!2 com padr$o +t&ernet @ o mais utilizado nesse nvel =D+'O%79:7+2 200.2 apud ;7L8A2 'RF< e RO;ADO2 200M>( :o nvel intermediDrio2 encontramos os 'L!s2 nos 3uais tra*egam2 principalmente2 in*orma#Bes de controle de mD3uina2 a3uelas in*orma#Bes a respeito do status de e3uipamentos como robXs2 mD3uinas *erramentas2 transportadores etc( =OL78+7RA2 200->( O terceiro nvel @ o 3ue se diz re*er4ncia para a parte *sica da rede2 onde se encontra os sensores2 atuadores2 contadores etc( A classi*ica#$o das redes industriais)
Rede ;ensorbus) V usada para conectar e3uipamentos simples e pe3uenos diretamente C rede( +sses e3uipamentos precisam se comunicar rapidamente nos nveis mais bai6os2 consistem geralmente em sensores e atuadores de menor valor( +sse tipo de rede se preocupa em manter os custos de cone6$o o mais bai6o possvel =MO:%+<2 200->( Rede Devicebus) +ncontrada entre as redes ;ensorbus e Fieldbus cobrindo at@ -00m de distAncia( Os e3uipamentos conectados a Devicebus ter$o mais pontos discretos2 dados analEgicos ou uma mistura dos dois( +m algumas dessas redes @ permitido trans*erir blocos em prioridade menor se comparado aos dados no *ormato de bItes( !ossui os re3uisitos de trans*er4ncia rDpida de dados como da rede ;ensorbus2 conseguindo lidar com mais e3uipamentos e dados =MO:%+<2 200->( Rede Fieldbus) 7nterliga os e3uipamentos de 7OO mais inteligentes e pode cobrir maiores distAncias( Os e3uipamentos conectados nessa rede possuem intelig4ncia para desempen&ar *un#Bes espec*icas de controle2 como o controle de *lu6o de in*orma#Bes e processos( Os tempos de trans*er4ncia s$o longos2 mas2 em compensa#$o2 a rede @ capaz de se comunicar usando vDrios tipos de dados =discreto2 analEgico2 parAmetros2 programas e in*orma#Bes do usuDrio> =MO:%+<2 200->(
SEGURANA EM REDES DE AUTOMAO
A seguran#a dei6ou de ser um tema centrado nas redes de computadores e passou a ser um tema abrangente para todas as tecnologias 3ue se comunicam atrav@s de redes( ;egundo ;ouza =2002>2
A maioria dos sistemas operacionais e e3uipamentos de comunica#$o de dados *abricados &o"e possuem inter*aces para comunica#$o com redes %'!O7!2 ou se"a2 s$o capazes de se comunicar com outros e3uipamentos e redes 3ue tamb@m utilizam o padr$o %'!O7! ^(((_
A tecnologia atual permite 3ue 3ual3uer circuito eletrXnico 3ue possua rede +t&ernet integrada em seu sistema possa se comunicar com computadores interligados por rede( +ssa *acilidade *az com 3ue dados se"am coletados mais rapidamente e mais *acilmente2 por@m dei6a o circuito vulnerDvel C rede de computadores( A vulnerabilidade do circuito acontece se na implementa#$o dos protocolos n$o &ouve nen&uma preocupa#$o com a seguran#a dos dados2 ou se"a2 se o hardware dei6arD alguma possvel *al&a para 3ue outras pessoas possam acessar seus dados e modi*icDLlos sem autoriza#$o( O 'L! @ um circuito eletrXnico 3ue possui rede integrada e comunicaLse com outras redes utilizando diversos protocolos2 podendo tamb@m ser interligado em redes de computadores( !odemos visualizar mel&or o papel do 'L! em uma rede atrav@s da *igura M2 onde o 'L! comunicaLse com duas redes distintas2 sendo uma rede dos e3uipamentos da automa#$o e uma rede para controle da 7PM e interliga#$o com a rede corporativa de computadores(
2 2N
Figura M ? Rede de automa#$o A rede montada na *igura M mostra a vulnerabilidade do 'L! na rede corporativa2 "D 3ue 3ual3uer pessoa pode acessar os dados do 'L! atrav@s da rede2 ou se"a2 a mesma rede montada para *acilitar a a3uisi#$o dos dados de uma automa#$o pode ser usada para pre"udicar e modi*icar esses dados2 pelo *ato da rede corporativa e a rede industrial estarem em uma rede apenas e n$o em duas redes separadas e *iltradas por um FireJall( +m uma rede de automa#$o e6istem alguns itens de seguran#a 3ue devem ser cuidados com mais aten#$o) con*idencialidade2 integridade2 autenti*ica#$o2 autoriza#$o2 disponibilidade2 auditoria2 em 3ue alguns itens merecem mais prioridade 3ue outros2 por@m2 todos s$o importantes e t4m a *un#$o de garantir a con*iabilidade dos dados tra*egados na rede( %odos os dados tra*egados na rede t4m uma origem e um destino2 por@m2 esses dados podem ser interceptados2 modi*icados e reenviados para seu destino2 isso acontece em redes 3ue n$o garantem a con*idencialidade2 integridade e autenti*ica#$o de seus dados( +m alguns casos2 os dados s$o apenas interceptados e usados na espionagem e2 assim2 dados con*idenciais podem ser obtidos *acilmente( A autoriza#$o e disponibilidade garantem 3ue cada tipo de usuDrio acesse somente os dados permitidos para sua *un#$o2 ou se"a2 um usuDrio com sen&a para coletar dados do processo n$o poderD acessar a programa#$o do 'L! e modi*icDLla( A auditoria garante 3ue todos os itens acima se"am cumpridos e c&eca o sistema para garantir sua integridade(
3)0
Novo +o%(!=(o %a i% >'($ia
A seguran#a @ um item indispensDvel para redes 3ue possuem mais de um usuDrio e s$o abertas a redes e6ternas( O ndice 3ue mede estatsticas de seguran#a estD crescendo muito con*orme mostrado na *igura 2 ou se"a2 muitos usuDrios e empresas est$o sendo vtimas de hacker e vrus em suas redes( 'om base no grD*ico2 notaLse 3ue em 200M &ouve um grande aumento em rela#$o aos anos anteriores( De .NNN a 200-2 a m@dia *oi de 20(. 0 incidentes registrados( +m 200M o nTmero registrado *oi de .N (/N2 incidentes2 ou se"a2 mais de /00c comparado aos Tltimos oito anos( :este ano2 "D *oram registrados N0(/0N incidentes at@ o m4s de "un&o( +m rela#$o a 200M &ouve um aumento de ./c(
, ,0
Total de Incidentes Reportados ao CERT.br por Ano
210000 Total de Incidentes 180000 150000 120000 90000 60000 30000 0 1999 2000 2001 2002 2003 2004 2005 2006 Ano 1999 a !"n#o de 2006$ 3107 5997 12301 25092 54607 75722 68000 197892
Figura
L +statsticas de incidentes com seguran#a no Brasil Fonte) ='+R%2 200 >
Junto com toda a evolu#$o tecnolEgica da automa#$o industrial surgiram muitas outras 3uestBes 3ue necessitam de uma aten#$o especial das pessoas ligadas C Drea( YAt@ a d@cada de N0 o ambiente de automa#$o industrial era totalmente C parte do ambiente corporativo de uma indTstria ^(((_Z =BARBO;A2 200M>2 no 3ual redes de computadores corporativas baseadas no padr$o 7+++ /02(, =+t&ernet> n$o eram interligadas Cs redes e6istentes de automa#$o e os e3uipamentos de automa#$o possuam sistemas dedicados e computadores industriais e6clusivos( Redes de automa#$o 3ue se comunicam atrav@s do protocolo %'!O7! e est$o interligadas a uma rede corporativa tamb@m est$o su"eitas a incidentes de seguran#a2 pois podem ser acessadas *acilmente atrav@s de seu endere#o 7! na rede( A *igura / ilustra um e6emplo de rede com computadores e 'L! na mesma rede com in*orma#Bes individuais2 sendo assim2 o nome2 7! e mDscara de rede s$o *i6os(
, ,.
Figura / ? Rede de automa#$o utilizando protocolo %'!O7!
Muitas empresas est$o criando m@todos e normas internas para tentar combater e prevenir a *alta de seguran#a2 por@m2 @ muito importante 3ue &a"a uma intera#$o entre a e3uipe de %7 =%ecnologia da 7n*orma#$o> com a e3uipe de %A =%ecnologia da Automa#$o> para 3ue a rede possa ser pro"etada da mel&or *orma possvel2 unindo velocidade e seguran#a( Atualmente2 temos no mercado e3uipamentos e softwares para automa#$o 3ue s$o abertos a todos os tipos de sistemas operacionais e 3ue podem ser interligados Cs redes corporativas das empresas2 onde seus protocolos de comunica#$o possuem encapsulamento em pacotes %'! =RODR79F+<2 200 >( A partir deste cenDrio2 surgiram os sistemas &istoriadores de processo ou !7M; =YPlant (nformation !anagement SystemsZ>2 3ue s$o capazes de obterem dados e gravar em um banco de dados temporal2 e usados em softwares de controle corporativo =BARBO;A2 200M>( A integra#$o do ambiente industrial e corporativo @ um *ato2 por@m2 possuem caractersticas individuais( O ambiente industrial tem como prioridade a produ#$o e a seguran#a &umana2 "D o ambiente corporativo prioriza o desempen&o e a integridade dos dados =BARBO;A2 200M>( !odeLse visualizar mel&or as prioridades de cada ambiente na *igura N(
, ,2
Figura N ? !rioridades nos ambientes industriais e corporativos(
+m alguns sistemas onde os processos s$o crticos2 a disponibilidade dos dados @ *eita atrav@s da redundAncia de in*orma#Bes2 nos 3uais e6iste um 'L! primDrio 3ue coleta os dados2 processa e os envia para a rede( 'aso este 'L! primDrio ten&a algum problema2 e6iste um 'L! secundDrio 3ue assumirD o controle instantaneamente( !ara &aver a redundAncia @ necessDria uma ar3uitetura de rede di*erenciada2 O conceito @ simples) 3uando um e3uipamento entra em estado de de*eito2 o outro assume imediatamente2 garantindo a disponibilidade e a seguran#a *sica do sistema(
5.2
I%(!"$ao !%($! a&?i!%(! ! TI ! TA
+m virtude da crescente necessidade do mercado de interagir hardware com software" os ambientes de %7 e %A *oram unidos e passaram a trabal&ar com os mesmo propEsitos2 pois2 atualmente2 sistemas operacionais como QindoJs2 Linu6 e outros2 "untamente com e3uipamentos como hubs2 switchs" computadores pessoais2 servidores e a prEpria rede %'!O7! passaram a ser itens de grande aplica#$o no ambiente de %A =MORA2 200 >( Apesar da uni$o da %7 com a %A2 n$o @ possvel aplicar todos os e3uipamentos e softwares encontrados &o"e no mercado para redes de %7 em processos de controle e supervis$o da automa#$o =MORA2 200 >( +m *un#$o de suas necessidades2 os ambientes de %7 e %A t4m o mesmo ob"etivo2 por@m2 possuem prioridades inversas =MORA2 200 >)
, ,,
Ambiente %7) !rioriza a con*idencialidade dos dados na rede2 protegendo contra acessos n$o autorizados2 prioriza tamb@m a integridade e a disponibilidade =MORA2 200 >( Ambiente de %A) ;ua maior prioridade @ a disponibilidade2 pois n$o pode tolerar pe3uenas interrup#Bes podendo causar grandes perdas2 se"am elas de produ#$o ou danos ao e3uipamento( ;eguindo a ordem de prioridades vem a integridade e a con*idencialidade dos dados2 protegendo e garantindo 3ue os dados n$o se"am dani*icados ou acessados por pessoas n$o autorizadas =MORA2 200 >( O hardware para e3uipamentos de %7 @ pro"etado para *icar em ambientes n$o agressivos e livres de inter*er4ncia eletromagn@ticas2 "D os e3uipamentos de automa#$o s$o pro"etados para ambientes de c&$o de *Dbrica2 mais agressivos e com muita inter*er4ncia e rudos( +n3uanto sistemas de %7 =hardware e software> t4m estimativa de vida na m@dia de anos2 os sistemas de %A devem permanecer operando por no mnimo .0 anos =MORA2 200 >(
AMEAAS AO AM.IENTE DE AUTOMAO INDUSTRIAL
'om o constante avan#o tecnolEgico e o *Dcil acesso a novas tecnologias2 muitos usuDrios de computadores t4m con&ecimento em redes e nos protocolos de comunica#$o %'!O7!2 "unto com este con&ecimento2 surgem muitos softwares com o propEsito de e6plorar *al&as e dani*icar ou roubar in*orma#Bes indevidas =BARBO;A2 200M>( A e6posi#$o dos sistemas ;'ADA Cs amea#as aumenta2 C medida 3ue estes s$o conectados a um nTmero cada vez maior de redes e sistemas para compartil&ar dados e *ornecer servi#os onLline =;+8OF:%;2 2000>( +6istem diversas *ormas de atacar um sistema de automa#$o industrial2 se"a na degrada#$o de servi#os da rede2 ou na e6plora#$o de *al&as( Alguns itens merecem desta3ue2 como) propaga#$o de cEdigos maliciosos2 nega#$o de servi#os2 e6plora#$o de *al&as no sistema operacional ou a mD con*igura#$o dos servi#os de rede =!7R+;2 OL78+7RA e BARRO;2 2000>( A seguran#a interna entre os e3uipamentos da prEpria rede tamb@m devem ser levada em considera#$o2 pois um usuDrio dentro da empresa pode ter acessos privilegiados a in*orma#Bes 3ue n$o deveria ter2 *acilitando a libera#$o de vrus e roubo de in*orma#Bes( V necessDrio saber como s$o classi*icadas as amea#as 3ue podem causar impactos em nossos sistemas2 comprometendo os princpios de seguran#a( As vulnerabilidades podem estar e6postas no hardware2 software2 meios de armazenamento ou comunica#$o( Devemos primeiramente rastrear e eliminar as vulnerabilidades de um ambiente de tecnologia de in*orma#$o2 apEs isso2 serD possvel dimensionar os riscos aos 3uais o ambiente estD e6posto e de*inir as medidas de seguran#a mais apropriadas para o ambiente( Dentre as vulnerabilidades temos) 8ulnerabilidade Fsica) 7nstala#Bes inade3uadas2 aus4ncia de recursos para combates a inc4ndio2 disposi#$o desorganizada de cabos de redes2 energia( 8ulnerabilidade do hardware) De*eitos de *abrica#$o2 con*igura#$o de e3uipamentos2 aus4ncia de prote#$o contra acesso n$o autorizado2 conserva#$o inade3uada de e3uipamentos( 8ulnerabilidade de software) 'aracterizaLse normalmente por *al&as de programa#$o2 3ue permitem acessos indevidos ao sistema2 liberdade de uso do usuDrio(
, ,-
8ulnerabilidade dos meios de armazenamento) 'DLROM2 *itas magn@ticas e discos rgidos2 se utilizados de *orma inade3uada2 seu conteTdo poderD estar vulnerDvel a uma s@rie de *atores2 como con*idencialidade de in*orma#Bes( 8ulnerabilidade de 'omunica#$o) Abrange todo o trD*ego de in*orma#Bes( O sucesso no trD*ego de dados @ um aspecto *undamental para a implementa#$o da seguran#a da in*orma#$o2 como estD tamb@m associada ao desempen&o dos e3uipamentos envolvidos( Aus4ncia de sistemas de criptogra*ias2 por e6emplo( 8ulnerabilidade Pumana) RelacionaLse a danos 3ue as pessoas podem causar Cs in*orma#Bes e ao ambiente tecnolEgico( A maior vulnerabilidade seria o descon&ecimento das medidas de seguran#a adotadas 3ue s$o ade3uadas para cada elemento do sistema( Dentre as principais amea#as Cs redes de computadores est$o os vrus2 worms" cavalos de %rEia e os ata3ues a sistemas in*ormatizados( Fm vrus pode ser de*inido como um segmento de cEdigo de computador 3ue se ane6a a um programa ou ar3uivos para se propagar de computador em computador( !ropaga a in*ec#$o2 C medida 3ue via"a( Os vrus podem dani*icar o seu software2 e3uipamento in*ormDtico e outros ar3uivos =M7'RO;OF%2 200 >( Fm worm2 tal como um vrus2 *oi concebido para copiarLse de um computador para outro2 mas de *orma automDtica( +m primeiro lugar2 toma controle de *un#Bes do computador 3ue permitem transportar ar3uivos ou in*orma#Bes( O worm2 apEs ter entrado no sistema2 pode movimentarLse sozin&o( Fm dos grandes perigos dos worms @ o *ato de 3ue podem duplicarLse em grande volume( !or e6emplo2 um worm pode enviar cEpias de si prEprio para todas as pessoas 3ue este"am em uma listagem de endere#os de um correio eletrXnico2 e os computadores dessas pessoas *ar$o o mesmo2 causando um e*eito de avalanc&e2 resultando em congestionamentos nas redes das empresas e em toda a 7nternet( Suando s$o libertados novos worms2 estes se espal&am rapidamente2 congestionam as redes e podem criar grandes perodos de espera para abrir pDginas na 7nternet =M7'RO;OF%2 200 >( O cavalo de %rEia propagaLse 3uando2 inadvertidamente2 softwares s$o abertos por usuDrios2 3ue pensam estar e6ecutando um software de uma *onte legtima( Os cavalos de %rEia podem tamb@m estar includos em software disponvel para trans*er4ncia gratuita =M7'RO;OF%2 200 >(
, ,M
Os Ata3ues s$o eventos 3ue podem comprometer a seguran#a de um sistema ou de uma rede( !odem ou n$o ter sucesso2 se tiver2 caracterizaLse por uma invas$o ou uma a#$o 3ue pode ter um e*eito negativo =FF:DAM+:%O;2 200 >( ;egundo FF:DAM+:%O; =200 >2 temos duas categorias de ata3ues) A primeira envolve cone6Bes permitidas entre um cliente e um servidor2 ata3ues de canal de comando2 direcionados a dados2 a terceiros e a *alsa de autentica#$o de clientes( JD a segunda2 envolve ata3ues 3ue trabal&am sem a necessidade de se *azer cone6Bes2 in"e#$o e modi*ica#$o de dados2 nega#$o de servi#os etc(
4)0 T@+%i+a' Aa$a a+!''o %o a#(o$iBa o
Os acessos n$o autorizados Cs redes podem ser 3uali*icados de dois modos) maliciosos e os n$o maliciosos( Os maliciosos s$o realizados por pessoas 3ue t4m o propEsito de roubarem dados ou dani*icar o sistema2 "D os n$o maliciosos s$o *eitos por pessoas 3ue n$o possuem treinamento sobre o sistema operacional e acabam cometendo erros ao utilizar o sistema( Atualmente2 e6istem muitas *ormas para acessar redes 3ue utilizam protocolo %'!O7! sem possuir autoriza#$o devida( A *orma mais comum @ atrav@s do compartil&amento de pastas2 ar3uivos e servi#os 3ue o prEprio usuDrio disponibiliza na rede( Muitos usuDrios por n$o saberem utilizar corretamente o sistema operacional2 acabam compartil&ando pastas e ar3uivos sem ter con&ecimento de 3ue os mesmos poder$o ser acessados e modi*icados por todos 3ue acessarem sua rede( :o caso de uma rede de automa#$o2 alguns 'L!s disponibilizam portas de acesso para servi#os como) programa#$o2 visualiza#$o de processo2 modi*ica#$o de variDveis e diagnEsticos( ;e as portas de acesso para estes servi#os n$o estiverem sendo monitoradas por um FireJall interno2 o 'L! pode estar vulnerDvel a acessos n$o autorizados( ;egundo Rodriguez =200 >2 partindo da &ipEtese de 3ue a amea#a se"a originada por algu@m com acesso n$o monitorado e n$o autorizado na rede2 temos algumas das principais t@cnicas de acesso) Spoofing/ 'onsegue monitorar e introduzir pacotes de comunica#$o na rede modi*icados( O remetente envia pacotes para um endere#o de rede 3ual3uer2 se passando por um computador da rede2 ou se"a2 em uma rede onde n$o e6istem restri#Bes para os usuDrios da
rede interna2 essa t@cnica se encai6a per*eitamente( O Tnico problema para o atacante @ 3ue este @ um ata3ue cego2 pois ele n$o recebe mensagens de con*irma#$o de seus pacotes( Replay/ Monitora e copia pacotes de comunica#$o da rede2 conseguindo reinserir na rede 3uando ac&ar necessDrio( Atrav@s deste tipo de ata3ue @ possvel con*undir o e3uipamento destinatDrio2 pois ao mudar a se3\4ncia dos pacotes podem surgir erros nas instru#Bes e lentid$o na a3uisi#$o de dados( :ega#$o de servi#o) +ste ata3ue tamb@m @ con&ecido como Do; =Denial of Service> onde o usuDrio tenta derrubar o web service do e3uipamento2 se"a enviando pacotes invDlidos ou vDlidos na tentativa de sobrecarregar o processamento do e3uipamento e travar para 3ue ningu@m possa utilizar seus servi#os( Lembrando 3ue este tipo de ata3ue n$o @ uma invas$o2 mas uma invalida#$o por sobrecarga de comunica#$o( AR! =)ddress Resolution Protocol> spoofing) Burla o sistema de identi*ica#$o das mD3uinas2 *alsi*icando o MA' =!edia )ccess Control> adress da placa de rede com o propEsito de receber pacotes endere#ados para outras mD3uinas( !odendo assim receber dados sigilosos 3ue o e3uipamento mandaria para um sistema de supervis$o e controle( Discovery) 7nsere pacotes de dados na rede para obter in*orma#Bes sobre outros elementos da rede2 como a 3uantidade e a identi*ica#$o de cada 'L!( :ormalmente esta modalidade antecede as descritas acima2 pois atrav@s das in*orma#Bes obtidas na rede2 o invasor consegue acesso Cs mD3uinas( +6istem muitas outras t@cnicas utilizadas para acessos n$o autorizados2 atrav@s das 3uais s$o e6ploradas *al&as nos protocolos de comunica#$o da prEpria rede utilizada pelos controladores =RODR79F+<2 200 >(
MEDIDAS PARA MINIMICAR VULNERA.ILIDADES
Apesar de n$o ser um assunto muito divulgado2 as empresas est$o se preocupando com a seguran#a em seus sistemas de automa#$o industrial e adotando algumas medidas para minimizar as possveis *al&as e vulnerabilidades dos sistemas( 'om esse *im2 *oi criada a norma 7;A NN =+:%+R!R7;+2 2000> 3ue trata2 especi*icamente2 sobre seguran#a em ambientes de automa#$o industrial =BARBO;A2 200M>( Muitas medidas podem ser tomadas para re*or#ar a seguran#a em redes de automa#$o2 por@m2 @ preciso analisar as vulnerabilidades do sistema para con&ecer mel&or as decisBes a serem tomadas( Abai6o segue uma rela#$o de algumas das principais iniciativas =BARBO;A2 200M>) Desenvolvimento e implementa#$o de polticas de seguran#a baseadas nos sistemas de automa#$o` 7nstala#$o em locais estrat@gicos de FireJall e outros mecanismos contra softwares maliciosos` 'ontrole dos servi#os de acesso remoto2 permitindo sessBes criptogra*adas` !lane"amento de atualiza#Bes de softwares como sistema operacional2 antivrus2 FireJall e outros softwares espec*icos` Realiza#$o de treinamentos para 3ue todos os usuDrios da rede possam saber de suas responsabilidades e deveres perante a rede corporativa` Manuten#$o do tempo de sincronismo dos e3uipamentos da rede` 'ria#$o de polticas de backup` ;egmenta#$o *sica e lEgica da rede` Dei6ar somente os servi#os necessDrios rodando no e3uipamento2 desabilitando outros servi#os 3ue podem servir de porta de entrada para vrus e acesso de pessoas n$o autorizadas` Ftiliza#$o de tecnologias capazes de certi*icar os usuDrios da rede` Ftiliza#$o de sistemas capazes de detectar a presen#a de usuDrios n$o autorizados na rede` 'ria#$o de uma e3uipe de anDlise e auditoria dos dados tra*egados na rede 3ue possam tornar o processo de seguran#a sempre atualizado(
, ,N
As decisBes de um administrador de rede2 relacionadas C seguran#a2 ir$o determinar o 3uanto a rede @ segura( As decisBes determinar$o o 3ue ela tende a o*erecer2 e 3ual serD a *acilidade de usDLla( !or@m2 voc4 n$o consegue tomar boas decisBes de seguran#a2 sem antes determinar 3uais s$o os ob"etivos de seguran#a( ;em a determina#$o desses ob"etivos de seguran#a2 n$o serD possvel *azer o uso completo de 3ual3uer *erramenta de seguran#a e n$o ser$o c&ecadas todas as restri#Bes necessDrias da rede =!OL7%7'A2 2000>( Fma poltica de seguran#a deve obter alguns controles no ambiente corporativo( +ntre eles est$o) software de detec#$o de vrus e cavalos de trEia2 controle de acesso lEgico e mecanismos de controle acesso *sico =!OL7%7'A2 2000>2 alguns e6emplos de software comerciais) :orton Antivrus 200 2 :orton 7nternet ;ecuritI 200 ( ;egundo !OL7%7'A =200 > a !oltica de ;eguran#a da in*orma#$o deverD envolver os seguintes agentes) 9estor da in*orma#$o) V o responsDvel em tomar as decisBes em nome da empresa no 3ue diz respeito ao uso2 C localiza#$o2 C classi*ica#$o2 e C prote#$o de um recurso espec*ico na in*orma#$o( 'ustodiante) V o agente responsDvel pelo processamento2 organiza#$o e guarda da in*orma#$o( FsuDrio) V 3ual3uer pessoa 3ue interage diretamente com o sistema computadorizado( A pobre educa#$o em seguran#a @ um dos primeiros problemas 3ue deve ser resolvido na implementa#$o de um plano de seguran#a( :$o adianta ter os mel&ores pro*issionais2 se os *uncionDrios n$o est$o cientes da real necessidade de seguran#a2 e como se deve proceder =FF:DAM+:%O;2 200 >(
5)0 No$&a' li"a a' D '!"#$a%a ! i%Eo$&aF!'
:ormas e padrBes internacionais s$o utilizados nos mais variados casos para se *acilitar C implementa#$o e normaliza#$o de solu#Bes 3ue contribuem para a sociedade( :o ano 20002 a 7;O =(nternational rgani0ation for Standardi0ation> lan#ou a norma 7;OO7+' . NN)20002 disponvel no Brasil atrav@s da norma :BRL7;O . NNN)2000( +ssa norma evoluiu e se tornou a atual 7;OO7+'2 00.) 200- abrangendo gestBes de seguran#a das in*orma#Bes2 baseada na
0 00
B;
NNL2)2002( As 7;OO7+' 2 00.)200- e 7;OO7+' .
NN)200- se complementam
=RODR79F+<2 200 >( :a norma 7;OO7+' 2 00.)200- se encontram .,, controles de segundo nvel2 distribudos em .. tEpicos bDsicos2 sendo os principais na implementa#$o de seguran#a da in*orma#$o =RODR79F+<2 200 >) !oltica de ;eguran#a da 7n*orma#$o` 9est$o da ;eguran#a da 7n*orma#$o` 9est$o de Ativos` ;eguran#a em Recursos Pumanos` ;eguran#a *sica e do ambiente` 9erenciamento de Opera#Bes e 'omunica#Bes` 'ontrole de Acesso` A3uisi#$o2 desenvolvimento e manuten#$o de ;istemas de 7n*orma#$o` 9est$o de 7ncidentes de ;eguran#a da 7n*orma#$o` 9est$o da 'ontinuidade de :egEcios` 'on*ormidade( Outro padr$o adotado nas indTstrias @ o 'OB7% =Control b1ectives for (nformation and related &echnology>( ;eu uso tamb@m se deu no ano de 20002 "unto C 7;O 2 00.` de*inindo mel&ores m@todos de seguran#a da in*orma#$o( O 'OB7% *oi criado pelo 7%97 =7% 9overnance 7nstitute> e 7;A'A =(nformation Systems )udit and Control )ssociation> e atualmente estD na vers$o 0(0 =RODR79F+<2 200 >( Fundamentado em ,0 processos de %ecnologia da 7n*orma#$o2 o 'OB7% @ dividido em 0 sessBes =RODR79F+<2 200 >) 'ontrolar o alto nvel do processo` 'ontrolar detal&adamente o alto nvel do processo` 9est$o) +ntradas2 sadas2 grD*icos2 ob"etivas e m@tricas` Modelo de maturidade do processo( Fatores *undamentais para o *oco do 'OB7% s$o) =RODR79F+<2 200 > +strat@gia para o plano de negEcios da organiza#$o` +nglobar valores nos servi#os de %7` 9est$o de recursos`
0 0.
9est$o de riscos` Avalia#Bes do desempen&o( Y:o ambiente de %A a grande preocupa#$o @ o risco operacional2 por@m estes padrBes podem ser seguidos para implementa#$o da seguran#a das redes de automa#$o2 permitindo a prote#$o da in*orma#$o e a opera#$o das corpora#Bes ^(((_Z =RODR79F+;2 200 >( !ara se implementar a seguran#a *azendoLse uso da norma 7;OO7+' 2 00.2 @ necessDrio seguir as etapas =RODR79F+<2 200 >) De*inir escopo) De*inir detal&es( Fma boa de*ini#$o vai *acilitar o desenvolvimento dos passos seguintes( !ela norma2 o escopo deve seguir as caractersticas do negEcio( De*inir a !oltica de ;eguran#a) De*inir acesso dos altos nveis da organiza#$o( Deve ser aplicada ao escopo( +laborar m@todos das AnDlises de Riscos) 'riar uma estrat@gia para se avaliar os riscos2 de*inindoLse os riscos aceitDveis e os 3ue o*erecem cuidados( %ratamento dos Riscos) Feito atrav@s das AnDlises de Riscos( A#Bes possveis s$o) Aceitar o risco2 negar o risco2 mitigar o risco ou trans*erir o risco( Abrangendo as medidas de) 'orre#$o) +limina#$o do risco( !reven#$o) !ara 3ue o risco n$o volte a ocorrer( Detec#$o) 7denti*icar o risco( Auditoria e revis$o dos controles) Auditorias da empresa s$o necessDrias para testar e avaliar a implementa#$o de seguran#a( 'om base no resultado dessa auditoria2 deveLse avaliar e estudar possveis revisBes e atualiza#Bes2 caso necessDrio(
G)IMPLEMENTAO DE SEGURANA EM REDES DE AUTOMAO
!ara uma anDlise e demonstra#$o e*etiva de como proteger redes de automa#$o2 serD demonstrado neste captulo2 uma implementa#$o real2 na 3ual teremos duas redes distintas representando as redes industrial e corporativa( :a *igura .02 @ possvel visualizar a topologia usada para esta anDlise2 sendo dividida em duas redes2 do lado direito2 a rede industrial e do lado es3uerdo2 a rede corporativa( !ara realiza#$o do e6perimento2 *oram utilizados os seguintes e3uipamentos) 'L!L0.) 'L! lin&a %Jido da ;c&neider +lectric2 com .M entradas digitais e .M sadas a rel@2 possui porta de comunica#$o +t&ernet para comunica#$o e6terna de dados2 protocolo utilizado @ Modbus %'!O7!( !ara este e3uipamento *oi de*inido o 7! .N2(.M/(..(-02 .N2(.M/(..(.00( FireJall) 'omputador responsDvel pela separa#$o das redes2 cu"o sistema operacional @ Linu62 distribui#$o 'entO;2 padr$o RedPat( A distribui#$o cont@m um sistema de *iltro2 o 7ptables2 3ue controla trD*ego de pacotes e permite a con*igura#$o de regras2 dei6ando assim a con*igura#$o a"ustDvel con*orme a necessidade( !ara essa divis$o das redes2 *oram instaladas nesse computador2 duas placas de rede =+t&0 e +t&.>2 sendo +t&0 responsDvel pelo trD*ego de pacotes da rede corporativa e +t&. pelo trD*ego de dados da rede industrial( Atrav@s da identi*ica#$o das placas 3ue ser$o *iltrados os pacotes vindos da rede corporativa( !ara a placa da rede corporativa =+t&0>2 *oi de*inido o 7! .N2(.M/(.0(.00 e para a placa da rede industrial =+t&.>2 o 7! .N2(.M/(..(.00( ;upervis$o) 'omputador pessoal com sistema operacional QindoJs [! !ro*essional2 utilizando software +, vers$o 2(- desenvolvido pela +lipse ;o*tJare( +sta vers$o de QindoJs possui um FireJall interno 3ue tem o intuito de *iltrar pacotes2 possveis acessos e6ternos e ar3uivos suspeitos( :$o ser$o necessDrias con*igura#Bes adicionais para esse computador2 pois o mesmo apenas irD ler e gravar in*orma#Bes do 'L!( !ara este e3uipamento *oi de*inido o 7! .N2(.M/(.0(-0( +sta#$o de %rabal&o) 'omputador pessoal com sistema operacional QindoJs [! !ro*essional2 serD utilizado para simular acessos e teste de seguran#a sobre as regras inseridas no FireJall( !ara este e3uipamento *oi de*inido o 7! .N2(.M/(.0(-.( mDscara de subLrede 2--(2--(2--(0 e 9ateJaI padr$o
0 0,
Figura .0 ? Rede implementada para anDlise
O protocolo usado nesta anDlise *oi o %'!O7! para a rede corporativa e o Modbus %'!O7! para a rede de automa#$o( A comunica#$o entre os e3uipamentos da rede deve seguir os seguintes parAmetros e re3uisitos de seguran#a) O Tnico e3uipamento 3ue acessa os dados do 'L! @ o 3ue possui instalado o sistema de supervis$o2 podendo re3uisitar e gravar dados livremente atrav@s da porta %'! -022 disponibilizada pelo 'L! para comunica#$o de dados( O Tnico e3uipamento 3ue pode acessar a rede corporativa vindo da rede de automa#$o @ o 'L!L0.2 utilizando apenas a porta %'! -022 eliminando assim2 o trD*ego de dados desnecessDrios e possveis ata3ues oriundos de outros pontos da rede( O sistema de supervis$o acessa livremente a rede corporativa2 podendo tra*egar dados sem restri#$o( A esta#$o de trabal&o acessa livremente a rede corporativa2 por@m n$o tem nen&um tipo de acesso para a rede de automa#$o( !ara 3ue os parAmetros acima se"am cumpridos e e*etivamente implementados @ necessDrio a con*igura#$o do FireJall( Foi implementado o seguinte trec&o de cEdigo para o 7!%ables)
0 00
. 2 , 0 M / N .0 .. .2 ., .0 ..M . ./ .N 20 2. 22 2, 20 22M
# Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip for!ard # ". - Liberando #P do s$pervis%rio para acesso ao &LP /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.0, -d 1-".1./.11.04 -1 '&&2P3 # 4. - 5lo6$eando acesso as demais m76$inas /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.,/"4 -d 1-".1./.11.,/"4 -1 +)(P # 4. - Liberando acesso ao s$pervis%rio para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.0, -p tcp --sport 0," -1 '&&2P3 # 0. - 5lo6$eando acesso aos o$tros micros da rede para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.,/"4 -p tcp --sport 0," -1 +)(P
O cEdigo completo desta implementa#$o estD no Ap4ndice A ? Regras de FireJall( :o trec&o de cEdigo acima *oram implementadas a#Bes de blo3ueio2 libera#$o de 7! e porta de acesso( !rimeiramente no script2 @ mostrado um comando 3ue zera as polticas e depois vem e6ecutando as regras uma a uma na ordem =lin&a 2 a ->( !ara a nossa anDlise2 temos 3ue liberar o servi#o de forward 3ue serve para encamin&amento de pacotes das placas entre si =lin&a e />( :a prE6ima lin&a2 indicamos 3ual 7! 3ue poderD acessar o 'L!2 3ue no caso @ o micro supervisErio =lin&a .. a .,>( ;erD e6ecutado na prE6ima lin&a2 o blo3ueio dos demais 7!es2 pois somente o micro supervisErio terD privil@gio para buscar in*orma#$o no 'L! =lin&a .M a ./` 2. e 22>( +m seguida2 blo3ueamos todas as demais portas e assim *inalizamos o script =lin&a 2M e2M>( !ara 3ue os computadores da rede corporativa *i3uem protegidos de a#Bes maliciosas oriundas de usuDrios do sistema2 *oi necessDria a cria#$o de polticas de seguran#a para essa rede e de*inidos os seguintes parAmetros) Os computadores da rede corporativa ir$o trabal&ar em rede2 por@m as contas de usuDrios n$o ter$o privil@gios de administrador do sistema2 limitando assim a#Bes do usuDrio(
0 0-
Foi instalado em todos os computadores da rede corporativa2 um programa de antiL vrus com base de dados atualizada diariamente( As instala#Bes de novos softwares2 con*igura#Bes espec*icas2 poder$o ser *eitas somente com a sen&a de administrador local( A implementa#$o destas polticas de seguran#a serD realizada atrav@s de um servi#o 3ue @ con*igurado no servidor de rede2 o nome do servi#o @ Active DirectorI disponibilizado no QindoJs ;erver 200,( 'om todo o sistema de seguran#a descrito anteriormente2 implementado e *uncionando corretamente2 pode ser observada a movimenta#$o dos pacotes de dados na rede na *igura ..2 em 3ue temos o software 7ptables rodando como FireJall implementado em um sistema operacional Linu6 e e6ibindo os pacotes de dados( ;omente os pacotes 3ue t4m origem do 7!) .N2(.M/(.0(-0 =;istema de supervis$o> e com destino ao 7!) .N2(.M/(..(-0 ='L!L0.> atrav@s da porta %'! -022 possuem acesso livre na rede de automa#$o2 caso &a"a re3uisi#$o de outro 7!2 serD blo3ueado( +ssa medida de seguran#a garante 3ue somente o sistema de supervis$o poderD acessar e re3uisitar dados do 'L! na rede de automa#$o2 evitando ata3ues e espionagem nos pacotes de dados( %odos os pacotes 3ue tem origem do 'L!2 7!) .N2(.M/(..(-0 na rede de automa#$o devem ser endere#ados para o sistema de supervis$o da rede corporativa 7!) .N2(.M/(.0(-02 caso contrDrio2 ser$o blo3ueados( +ssa medida garante 3ue nen&um outro e3uipamento *uturamente instalado na rede de automa#$o acesse livremente a rede corporativa(
Figura .. ? Movimenta#$o dos pacotes de dados ao passarem pelo FireJall(
!ara uma anDlise comparativa2 na *igura .22 temos um computador da rede corporativa veri*icando a disponibilidade do 'L!( !ara isso2 utilizamos a mesma topologia de rede2 por@m2 sem o FireJall e sem as regras de seguran#a descritas anteriormente neste captulo2 podemos observar 3ue os pacotes de dados na rede tra*egam sem nen&um tipo de blo3ueio(
0 0M
'om este trD*ego de dados liberado2 os computadores da rede corporativa e industrial compartil&am dados e trocam in*orma#Bes livremente2 permitindo 3ue as redes *i3uem vulnerDveis a a#Bes de usuDrios e vrus(
Figura .2 ? Movimenta#$o dos pacotes de dados sem FireJall na rede(
!ara *inalizar a anDlise podemos observar 3ue uma rede 3ue n$o *or bem plane"ada e 3ue n$o levar em considera#$o re3uisitos bDsicos de seguran#a pode tornarLse vulnerDvel a 3ual3uer tipo a#Bes originadas de usuDrios ou vrus( O uso de FireJall para blo3ueio de pacotes de dados @ indispensDvel em 3ual3uer topologia de rede 3ue possua duas redes interligadas e 3ue e6i"a um grau de seguran#a elevado(
CONCLUSO
'onclumos 3ue a seguran#a em redes de automa#$o industrial2 na prDtica2 @ pouco levada em considera#$o2 por@m2 @ um assunto de e6trema importAncia devido aos pre"uzos 3ue podem trazer Cs empresas( Foram levantadas algumas das principais amea#as e vulnerabilidades encontradas nos ambientes estudados( +ssas vulnerabilidades abrem portas para possveis ata3ues2 espionagem e danos aos sistemas ligados em rede( +m um sistema integrado de automa#$o2 em 3ue as redes corporativas e industriais est$o interligadas2 surge a necessidade da separa#$o lEgica das redes2 sendo elas protegidas por FireJall2 pois com essa separa#$o2 diminui o *lu6o de dados da rede industrial na rede corporativa2 mantendo a per*ormance mD6ima2 evitando espionagens e dei6andoLas trabal&ando individualmente( O FireJall permite a *iltragem de pacotes dei6ando 3ue um sistema de supervis$o bus3ue as in*orma#Bes disponibilizadas na rede industrial 3uando necessDrio( 'omo as empresas2 na maioria das vezes2 n$o *ornecem palestras ou cursos para seus *uncionDrios2 s$o obrigadas a adotar polticas de seguran#a para minimizar possveis danos( !ara isso2 *oram criadas normas para implementa#$o da seguran#a da in*orma#$o2 por@m2 algumas empresas n$o seguem normas de seguran#a e t4m suas prEprias polticas de seguran#a2 adaptandoLas C sua necessidade( 'om base nas anDlises *eitas2 podemos concluir 3ue al@m de prote#Bes *sicas2 como o FireJall2 3ue @ responsDvel pelo *iltro dos pacotes da rede industrial e corporativa2 seria necessDrio treinamento aos usuDrios 3ue ir$o utilizar os computadores da empresa2 pois atualmente2 n$o e6iste nen&um software no mercado 3ue nos dei6e cem por cento imunes a 3ual3uer tipo de ata3ue ou invas$o2 por@m e6istem m@todos para minimizDLlas e di*icultDLlas2 garantindo a 3ualidade e con*iabilidade dos dados( Po"e2 grande parte dos vrus s$o enviados por eLmails e e6ecutados por usuDrios2 cabendo a eles evitar a sua e6ecu#$o( Buscando redu#$o de desastres e perda de ar3uivos2 o treinamento vem a ser importante( As empresas devem seguir normas de seguran#a para garantir a mD6ima prote#$o de seus dados e sistemas2 estando com seus softwares sempre atualizados e com polticas rgidas de seguran#a(
REFERHNCIAS
BARBO;A2 Peber Almeida( Detec23o de (ntrus3o em Redes de )utoma23o (ndustrial` Programa de P4s-5radua23o em (nform6tica( Fniversidade Federal do +sprito ;anto2 200M( B+R9+2 Jonas( ,ieldbuses for Process Control/ Engineering" peration and !aintenance$ Apostila do curso ministrado no '++%!+; L +(%(+( !ro*essor Armando BaIeu6 da ;ilva 2 no ano de .NN/ no 'urso 'L! ? BDsico2 por !edro Luis Antonelli( '+R%( Disponvel em) f&ttp)OOJJJ(cert(brg( Acesso em) .0 de maio de 200 ( 'O:%72 FDtima( PistEria do computador e da (nternet/ anos 78( Disponvel em) f&ttp)OOJJJ(cultura(u*pa(brOdicasOnet.OintL&.NM(&tmg( Acesso em) 2M de maio de 200 ( 'O:%ROLADOR+; lEgicos programDveis ? PistErico( Disponvel em f&ttp)OOJJJ(eaut(com(brOlittecnicaOclp&istorico(&tmg( Acesso em 2- de maio de 200 ( D+'O%79:7+2 J( ) perspective on Ethernet-&CP'(P as a fieldbus" (,)C (nternational Conference on ,ieldbus Systems and their )pplications$ Fran#a2 200.( +:%+R!R7;+2 'ontrol ;Istem 7ntegration !art 7) Models and %erminologI( &echnical Report2 (S)-&R99$88$8:( 2000( FF:DAM+:%O; de seguran#a( Disponvel em) f&ttp)OOJJJ(pro"etoderedes(com(brOapostilasOapostilas1seguranca(p&pg( Acesso em) 2, de agosto de 200 ( 9+OR97:72 Marcelo( )utoma23o aplicada - Descri23o e (mplementa23o de sistemas se*;enciais com PLCs( Cap$ <) Controlador L4gico Program6vel( Cap =/ )r*uitetura >6sica do PLC( 2000(
0N
JF:7OR2 'onstantino ;ei6as( Disponvel em) f&ttp)OOJJJ(cpdee(u*mg(brOhsei6asO!agina77ODoJnloadODoJnloadFilesOAulac207+'c20M. .,.L,(pd*g( Acesso em) 0M de maio de 200 ( MAPAL7]2 :( ,ieldbus &echnology - (ndustrial -etwork Standards for Real-&ime Distributed Control2 200,( M+:DO:<A2 Diogo` F+RR+7RA2 Fernando ;antos` MORA+;2 %Iago AntXnio de( &ecnologia Profibus( Fniversidade de Braslia2 200-( M7'RO;OF%( Disponvel em) f&ttp)OOJJJ(microso*t(comOportugalOat&omeOsecuritIOvirusesOvirus.0.(msp6i+;'g( Acesso em) 2M de agosto de 200 ( MO:%+<2 '( Redes de Comunica23o Para )utoma23o (ndustrial$ 200-( MORA2 PalleI R( M(( )nalista de )utoma23o (ndustrial( 7nternational !aper 200 ( MORA+;2 '( '( de` 'A;%RF''72 !( L( Engenharia de )utoma23o (ndustrial( L%'2 200.( :A%AL+2 Ferdinando( )utoma23o (ndustrial$ 7? Edi23o( @R(C)$ 2000( O9A%A2 ]( Engenharia de Controle !oderno( 200,( OL78+7RA2 L( Redes para )utoma23o (ndustria$ 200-( !7R+;2 !aulo ;@rgio Motta` OL78+7RA2 Luiz A**onso 9uedes de` BARRO;2 Diogo :ascimento( )spectos de seguran2a em sistemas SC)D) uma vis3o geral" AB Congresso (nternacional de )utoma23o" Sistemas e (nstrumenta23o$ ;$o !aulo2 2000( !OLb%7'A de seguran#a da in*orma#$o( 2000( Disponvel em) f&ttp)OOgeocities(Ia&oo(com(brO"asonbs1.N. OsegurancaOpolitica(&tmg( Acesso em) 2. maio de 2002(
-0
RODR79F+<2 Marco %Tlio Duarte( Seguran2a da informa23o na integra23o entre ambientes de automa23o e corporativos$ (n&ech >rasil$ ;$o !aulo2 200 ( ;'P:+7D+R( Disponvel em) f&ttp)OOJJJ(sc&neiderLelectric(comg( Acesso em) 20 de abril de 200 ( ;+8OF:%;2 9arI( Preocupa2Ces crescentes *uanto D seguran2a de rede( Disponvel em) f&ttp)OOJJJ(sImantec(comOregionObrOenterprisesecuritIOgovernmentOg( Acesso em) 0. Agosto de 200 ( ;7L8A2 Jones j( M( F` 'RF<2 Marcelo M( F e RO;ADO2 Rodrigo M( Redes (ndustriais ,(ELD>#S( Fniversidade de Braslia2 200M( ;MAR( Disponvel em) f&ttp)OOJJJ(smar(comg( Acesso em) 0. de maio de 200 ( ;OF;A2 Lindeberg Barros de( &CP'(P >6sico E Conectividade em Redes$ < ed( ;$o !aulo2 2002( %A:+:BAFM2 AndreJ ;( Redes de Computadores( %radu23o da Fuarta Edi23o2 Gtradu23o Handenberg D$ Sou0a+$ Rio de Janeiro2 200,( 87;HO geral dos protocolos Modbus( Disponvel em) f&ttp)OOJJJ(ce*etrn(brOhJalmIOR71A0(pd*g( Acesso em) 2M de maio de 200 ( QA%A:AB+2 +dson Piros&i( )plica23o de Software )berto Em Redes (ndustriais$ :II f$ Disserta#$o apresentada ao !rograma de !Es gradua#$o em +ngen&aria +l@trica da Fniversidade Federal do !aranD2 como re3uisito parcial C obten#$o do ttulo de Mestre em +ngen&aria +l@trica( 'uritiba2 200M(
APHNDICE
-2
APNDICE A I R!"$a o Fi$!Jall
#8/bin/sh # )egras do fire!all # Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip for!ard # ". - Liberando #P do s$pervis%rio para acesso ao &LP /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.0, -d 1-".1./.11.04 -1 '&&2P3 # 4. - 5lo6$eando acesso as demais m76$inas /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.,/"4 -d 1-".1./.11.,/"4 -1 +)(P # 9ascarando a rede local iptables -t nat -' P(:3)(;3#<= -o eth1 -1 9':>;2)'+2 # 4. - Liberando acesso ao s$pervis%rio para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.0, -p tcp --sport 0," -1 '&&2P3 # 0. - 5lo6$eando acesso aos o$tros micros da rede para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.,/"4 -p tcp --sport 0," -1 +)(P # Prote?@o contra ping-of-death e ata6$es +(: iptables -' F()*')+ -p icmp --icmp-type echo-re6$est -m limit --limit 1/s -1 '&&2P3 iptables -' F()*')+ -p tcp -m limit --limit 1/s -1 '&&2P3 iptables -' F()*')+ -m state --state 2:3'5L#:A2+B)2L'32+ -1 '&&2P3 iptables -' F()*')+ -p tcp --tcp-flags :C<B'&DBF#<B):3 ):3 -m limit --limit 1/s -1 '&&2P3 # Prote?@o contra port-scanning iptables -' F()*')+ --protocol tcp --tcp-flags 'LL :C<B'&D -1 +)(P # Fecha as demais portas iptables -' #<P;3 -p tcp --syn -1 +)(P eEit
Potrebbero piacerti anche
- Confissões de Santo AgostinhoDocumento198 pagineConfissões de Santo AgostinhoCneto92100% (3)
- A Máquina de Vendas Online 2019 PDFDocumento123 pagineA Máquina de Vendas Online 2019 PDFwagno100% (1)
- Escala de DisgrafiaDocumento12 pagineEscala de Disgrafiakarol86% (7)
- Os 4 temperamentos básicosDocumento48 pagineOs 4 temperamentos básicosAlexandre GermanoNessuna valutazione finora
- DISCERNINDO A VONTADE DE DEUSDocumento27 pagineDISCERNINDO A VONTADE DE DEUSlindembergh100% (1)
- Manual de Horticultura Orgânica JacimarDocumento421 pagineManual de Horticultura Orgânica JacimarZenilda LedoNessuna valutazione finora
- Resumos de Fisico Quimica Distancias No UniversoDocumento4 pagineResumos de Fisico Quimica Distancias No UniversoFranciscaNessuna valutazione finora
- Projeto elétrico industrialDocumento57 pagineProjeto elétrico industrialGilberto Silva100% (1)
- Concursos Caixa 14 NM Arquivos Ed 1 Caixa 2014 NM Edital de Abertura Sem Anexo 2Documento27 pagineConcursos Caixa 14 NM Arquivos Ed 1 Caixa 2014 NM Edital de Abertura Sem Anexo 2Renato RochaNessuna valutazione finora
- Apostila ImersaoemExcelDocumento211 pagineApostila ImersaoemExceljanainarocha_limaNessuna valutazione finora
- Amplificadores Operacionais CompletaDocumento37 pagineAmplificadores Operacionais Completavaldir_dos_santosNessuna valutazione finora
- Apostila de CLPDocumento75 pagineApostila de CLPAlexandre GermanoNessuna valutazione finora
- Otimização de trem de destilaçãoDocumento83 pagineOtimização de trem de destilaçãoAlexandre GermanoNessuna valutazione finora
- Questões - Trefilação e ExtrusãoDocumento2 pagineQuestões - Trefilação e Extrusãotavares.21raquelNessuna valutazione finora
- PPG 21958Documento64 paginePPG 21958Tecno DenNessuna valutazione finora
- História do Windows desde 1981Documento5 pagineHistória do Windows desde 1981Alana Nunes100% (1)
- Juliano RanzolinDocumento71 pagineJuliano RanzolinAnonymous Dp1NT6YiXSNessuna valutazione finora
- Uma Análise da Variação Linguística em InglêsDocumento17 pagineUma Análise da Variação Linguística em Inglêsbrenda.motaNessuna valutazione finora
- Comandos elétricos e partida de motoresDocumento16 pagineComandos elétricos e partida de motoresAndrey FurquimNessuna valutazione finora
- Formação de professores do ensino superiorDocumento17 pagineFormação de professores do ensino superiorCleo SoaresNessuna valutazione finora
- Argumentos Não DedutivosDocumento21 pagineArgumentos Não DedutivosisabelmouradNessuna valutazione finora
- ITQ - Resumo (Introd. Teologia)Documento8 pagineITQ - Resumo (Introd. Teologia)RobinsonNessuna valutazione finora
- Memória social: perspectiva psicossocialDocumento6 pagineMemória social: perspectiva psicossocialPriscila ValverdeNessuna valutazione finora
- Resenha do texto Sakhu sheti: retomando e reapropriando um foco psicológico afrocentradoDocumento1 paginaResenha do texto Sakhu sheti: retomando e reapropriando um foco psicológico afrocentradofelipe rochaNessuna valutazione finora
- Furo em Viga, Pode Causar Problema Estrutural - HabitissimoDocumento11 pagineFuro em Viga, Pode Causar Problema Estrutural - HabitissimovrafaelmlNessuna valutazione finora
- Tipos de incapacidade resultantes de acidentes de trabalhoDocumento1 paginaTipos de incapacidade resultantes de acidentes de trabalhoEster Machado DalilaNessuna valutazione finora
- Copa2022horáriosDocumento10 pagineCopa2022horáriosAlex SimõesNessuna valutazione finora
- POP - Diretriz e Norma de Emprego de ARPDocumento22 paginePOP - Diretriz e Norma de Emprego de ARPRômulo AndradeNessuna valutazione finora
- Slide Aula 03Documento11 pagineSlide Aula 03André FreitasNessuna valutazione finora
- Reflexões Sobre A Paisagem Sonora Hospitalar: Musicalidade e Emoção Audível Na Perspectiva Filosófica de Victor ZuckerkandlDocumento24 pagineReflexões Sobre A Paisagem Sonora Hospitalar: Musicalidade e Emoção Audível Na Perspectiva Filosófica de Victor ZuckerkandlcrisdeoNessuna valutazione finora
- Líquido sinovial: composição e examesDocumento16 pagineLíquido sinovial: composição e examesEveraldo BernadoNessuna valutazione finora
- CIRURGIA GERAL RESIDÊNCIA EXAMEDocumento10 pagineCIRURGIA GERAL RESIDÊNCIA EXAMEijioqhighiajgpajpNessuna valutazione finora
- DIABETESDocumento2 pagineDIABETESMário Neto SantosNessuna valutazione finora
- Exercícios de Biologia sobre FungiDocumento9 pagineExercícios de Biologia sobre FungiVinicius CostaNessuna valutazione finora
- Texto - Garotas de Programa em TeresinaDocumento14 pagineTexto - Garotas de Programa em TeresinaM Sousa RodriguesNessuna valutazione finora
- Revista Aeross 2010 PDFDocumento84 pagineRevista Aeross 2010 PDF4ponto2Nessuna valutazione finora
- Manual de instruções mesa agitadoraDocumento5 pagineManual de instruções mesa agitadoraMídia SPLABORNessuna valutazione finora
- Teoria Da CorDocumento25 pagineTeoria Da CorPaulo Emilio LagoNessuna valutazione finora
