Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes
Jundia 200
Jundia 200
!ro"eto apresentado para a realiza#$o da disciplina do %rabal&o de 'onclus$o de 'urso Orientados) Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes 0,00-.2 0,00/0/ 0,00-/. 0,0-0., 0,0.-00
Aos colegas de estudo e aos *amiliares 3ue nos apoiaram e incentivaram para a realiza#$o deste trabal&o(
AGRADECIMENTOS
Aos nossos pais e *amiliares2 pois sempre nos incentivaram e apoiaram( Aos nossos colegas de grupo2 pelo compan&eirismo e dedica#$o( Ao nosso orientador +berval Oliveira 'astro2 pelo valioso e grandioso apoio2 contribui#$o e paci4ncia dedicados ao longo deste trabal&o( 5s nossas namoradas 3ue tiveram paci4ncia e nos au6iliaram para a realiza#$o deste( + a todos a3ueles 3ue de algum modo nos a"udaram(
OL78+7RA2 Danilo 9iacomello de( MAR%7:;2 Felipe Bertini( R+<+:D+2 Ferigs Masse de( LOMBARD72 Fernando( LO!+;2 Marcos Antonio( Avaliao ! S!"#$a%a !& R! !' ! A#(o&ao) 200 ( -2p %rabal&o de 'onclus$o de 'urso =Bac&arel em +ngen&aria de 'omputa#$o> ? Faculdade !olit@cnica de Jundia(
RESUMO
+ste trabal&o discute sobre seguran#a na integra#$o entre redes corporativas e redes de automa#$o industrial2 no 3ual ser$o apresentados riscos2 *al&as e vantagens das redes2 com o intuito de conscientizar e demonstrar a importAncia de possuir uma rede com maior nvel de seguran#a possvel2 buscando minimizar o risco de ata3ues e invasBes 3ue possam causar pre"uzos C empresa( ;erD apresentada a parte &istErica da automa#$o industrial2 de*ini#$o e tipos de protocolos envolvidos nas redes2 sistemas de supervis$o 3ue permitem o gerenciamento remoto e o controle de automa#$o na empresa2 troca de in*orma#Bes entre o ambiente industrial e corporativo2 anDlises realizadas em ambientes reais avaliando a seguran#a e6istente na rede e buscando m@todos para mel&orias(
A.STRACT
A great tec&nological revolution in t&e *ield o* t&e industrial automation &as been presented in t&e last Iears2 starting o* a total isolated environment J&ere t&e proprietors sIstems used to dominate and t&e tec&nologies Jere dedicated to an integrated environment and s&ared bI all t&e corporative sIstems( %&is paper is about t&e securitI in t&e integration betJeen corporative nets and industrial automation nets J&ere risKs2 imper*ections and advantages o* t&e nets Jill be presented( 7ntending to ac3uire KnoJledge and to s&oJ t&e importance o* &aving a net Jit& t&e biggest level o* possible securitI2 trIing to minimize t&e risK o* attacKs and invasions t&at can cause &arm*ul damages to t&e companI( 7t Jill be presented t&e &istorical part o* t&e industrial automation2 de*inition and tIpes o* involved protocols in t&e nets2 supervision sIstems t&at alloJ t&e remote management and t&e control o* automation in t&e companI2 in*ormation e6c&ange betJeen t&e industrial and corporative environment2 analIses done in real environments evaluating t&e e6isting securitI in t&e net and searc&ing met&ods *or improvements( 7t Jill also be presented t&e main tec&ni3ues used *or invasion and attacKs o* industrial sIstems(
LISTA DE FIGURAS
Figura . L 'L! de pe3ueno porte((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.M Figura 2 L Funcionamento 'L!(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((./ Figura , L 'iclo BDsico Funcionamento 'L!(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.N Figura 0 L Rede de controle e supervis$o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2. Figura - L %ipos de protocolos Modbus((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2, Figura M L Rede de automa#$o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2/ Figura L +statsticas de incidentes com seguran#a no Brasil(((((((((((((((((((((((((((((((((((((((,0 Figura / L Rede de automa#$o utilizando protocolo %'!O7!((((((((((((((((((((((((((((((((((((((((((,. Figura N L !rioridades nos ambientes industriais e corporativos((((((((((((((((((((((((((((((((((((,2 Figura .0 L Rede 7mplementada para anDlise((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((0, Figura .. L Movimenta#$o dos pacotes de dados ao passarem pelo FireJall((((((((((((((((0M Figura .2 L Movimenta#$o dos pacotes de dados sem FireJall na rede(((((((((((((((((((((((((0M
LISTA DE TA.ELAS
LISTA DE SIGLAS
AB:% AR! A;'77 bps 'A: 'L! 'OB7% '!F D'; DD' D! +O; +!ROM FM; 7+++ 7PM 7;A 7;A'A 7;O LA: MA' MA: MA! !7M; !L' R%F ;'ADA %A %'!O7! %7 QA:
Associa#$o Brasileira de :ormas %@cnicas Address Resolution !rotocol American 'ode For 7n*ormation 7nterc&ange bits por segundo 'ampus Area :etJorK 'ontrolador LEgico !rogramDvel 'ontrol Ob"ectives *or 7n*ormation and related %ec&nologI 'entral !rocessing Fnit Distributed 'ontrol ;Istems Direct Digital 'ontrol Decentralized !erip&erI +ntrada O ;ada +rasable !rogrammable ReadLOnlI MemorI Fieldbus Message ;peci*ication 7nstitute o* +lectrical and +lectronic +ngineers 7nter*ace Pomem MD3uina %&e 7nternational ;ocietI *or Measurement and 'ontrol 7n*ormation ;Istems Audit and 'ontrol Association 7nternational Organization *or ;tandardization Local Area :etJorK Media Access 'ontrol Metropolitan Area :etJorK Manu*acturing Automation !rotocol !lant 7n*ormation Management ;Istems !rogrammable Logic 'ontroller Remote %erminal Fnit ;upervisorI 'ontrol and Data Ac3uisition %ecnologia da Automa#$o %ransmission 'ontrol !rotocol O 7nternet !rotocol %ecnologia da 7n*orma#$o Qide Area :etJorK
SUM/RIO
7:%RODFGHO((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.. 0) 0)0 1) 2.1 1)2 , 2)0 0 R+F+R+:'7AL P7;%RR7'O((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((., PistEria das redes +t&ernet(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.0 'L! ='ontrolador LEgico !rogramDvel>((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((.M 'omunica#$o em rede((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((. Funcionamento de um 'L!((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((./ ( O SF+ ;HO R+D+; D+ AF%OMAGHO(((((((((((((((((((((((((((((((((((((((((((((((((((((((20 !rotocolos de comunica#$o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((22 ( R+D+; +%P+R:+% +M AMB7+:%+ 7:DF;%R7AL(((((((((((((((((((((((((((((((((((2-
5( ;+9FRA:GA +M R+D+; D+ AF%OMAGHO(((((((((((((((((((((((((((((((((((((((((((((((((((((((2/ 3)0 5.2 :ovo conte6to na indTstria((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((2N 7ntegra#$o entre ambiente de %7 e %A((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((,2
4( AM+AGA; AO AMB7+:%+ D+ AF%OMAGHO 7:DF;%R7AL(((((((((((((((((((((((((((,0 4)0 %@cnicas para acesso n$o autorizado((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((,M 5( M+D7DA; !ARA M7:7M7<AR 8FL:+RAB7L7DAD+;(((((((((((((((((((((((((((((((((((((((,/ 5)0 :ormas ligadas C seguran#a de in*orma#Bes((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((,N /(7M!L+M+:%AGHO D+ ;+9FRA:GA +M R+D+; D+ AF%OMAGHO((((((((((((((02 'O:'LF;HO((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((0 R+F+RU:'7A;((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((0/ A!V:D7'+ A ? Regra do FireJall((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((-.
INTRODUO
PD cerca de dez anos2 o ambiente de automa#$o industrial era isolado do ambiente corporativo de uma empresa( 'om a constante evolu#$o tecnolEgica2 &o"e @ uma necessidade 3ue esses dois ambientes se"am interligados e compartil&em in*orma#Bes2 pois @ necessDrio 3ue sistemas inteligentes como sistemas de otimiza#$o de processo e gerenciamento de produ#$o se"am alimentados com essas in*orma#Bes( A integra#$o do ambiente industrial para o corporativo levanta uma s@rie de 3uestBes de seguran#a 3ue antes eram somente do ambiente corporativo da empresa2 tais como) a e6plora#$o de *al&as de programa#$o2 ata3ues a servi#os2 acessos n$o autorizados2 vrus e outros tipos de vulnerabilidades e amea#as( Fma 3uest$o tamb@m importante @ 3ue a maioria dos protocolos desenvolvidos n$o *oram pro"etados para atender Cs necessidades de seguran#a das redes corporativas( A motiva#$o para o desenvolvimento deste trabal&o @ o estudo e anDlise de seguran#a na integra#$o entre redes industriais e corporativas2 de *orma a orientar e minimizar riscos e amea#as aos ambientes( :o decorrer do trabal&o *oram encontradas algumas di*iculdades2 por@m2 a principal *oi a de*ici4ncia de material nacionalizado para este tipo de assunto( +ste trabal&o @ estruturado da seguinte *orma) :o captulo .2 @ apresentado um &istErico da evolu#$o tecnolEgica dos sistemas de controle e automa#$o industrial2 bem como as redes de comunica#$o( :o captulo 22 @ de*inido um controlador lEgico programDvel e suas principais caractersticas( :o captulo ,2 s$o apresentadas as redes de automa#$o e seus principais protocolos2 abordando suas principais *uncionalidades( :o captulo 02 serD abordado o tema de redes +t&ernet em ambiente industrial2 apresentando os tipos de redes e sua classi*ica#$o( :o captulo -2 *ocaremos a seguran#a da automa#$o 3ue passou a ser um tema abrangente para todas as tecnologias 3ue se comunicam atrav@s de redes2 o papel do 'L! e suas vulnerabilidades2 a intera#$o do ambiente %7 e %A2 e sistemas !7M;( :o captulo M2 veremos a e6posi#$o dos sistemas ;'ADA2 tipos de vulnerabilidades2 vrus2 worms2 cavalos de trEia2 tipos de ata3ues e acessos2 como spooling2 relay2 nega#$o de servi#o2 AR!2 e discovery(
.2
:o captulo 2 ser$o apresentadas medidas para minimizar as vulnerabilidades de seguran#a2 decisBes 3ue o administrador da rede deve tomar2 os agentes envolvidos na poltica de seguran#a2 as normas e a importAncia da 7;OO7+' 2 00.)200- e o 3ue @ necessDrio para implantDLla( :o captulo /2 serD analisada uma topologia de rede2 envolvendo as redes industriais e corporativas2 demonstrando como implementar um FireJall e suas regras de seguran#a( :a rede montada para anDlise *oi selecionado o protocolo ModbusO%'!2 por ser um protocolo de *Dcil acesso e de padr$o aberto utilizado na comunica#$o de dispositivos clienteOservidor em redes de automa#$o industrial(
REFERENCIAL HIST6RICO
+m .N 0 *oram criadas as primeiras redes de automa#$o2 os sistemas de controle de processo eram totalmente analEgicos2 atrav@s dos DD' =Direct Digital Control L 'ontrole Digital Direto>2 D'; =Distributed Control Systems - ;istemas de 'ontrole distribudos> e !L' =Programmable Logic Controller - 'ontrolador de LEgica programDvel> =B+R9+2 .NN/>( Logo em .N/02 surgiram os e3uipamentos de campo 3ue seriam os transmissores e redes fieldbus 3ue se interligavam =B+R9+2 .NN/>( Os D'; e !L' permitiram 3ue os controladores *ossem instalados em racks au6iliares possibilitando 3ue as in*orma#Bes de supervis$o *ossem enviadas at@ o operador via rede( Os controladores eram instalados em pain@is2 e os sensores e atuadores eram ligados aos controladores somente com um par de *ios =B+R9+2 .NN/>( A comunica#$o digital permitiu a interliga#$o de vDrios e3uipamentos atrav@s da cone6$o Multidrop =multiLponto>2 o custo das instala#Bes caiu consideravelmente e esses e3uipamentos possuam um Tnico endere#o na rede =B+R9+2 .NN/>( A indTstria automobilstica americana deu origem ao 'L! ='ontrolador LEgico !rogramDvel>2 mais precisamente na PIdronic Division Motors2 em .NM/2 devido a grande di*iculdade de mudar a lEgica de controle dos pain@is de comando2 pois cada mudan#a na lin&a de montagem implicava em altssimos gastos =B+R9+2 .NN/>( O engen&eiro Ric&ard MorleI preparou uma especi*ica#$o 3ue re*letia as necessidades de muitos usuDrios de circuitos a rel@s2 n$o sE da indTstria automobilstica2 mas como de toda a indTstria manu*atureira =B+R9+2 .NN/>( O 'L! *oi se tornando um e3uipamento de *Dcil utiliza#$o2 aprimorandoLse cada vez mais e diversi*icando os setores industriais( 'om o decorrer do tempo2 e6istia uma variedade de tipos de entradas e sadas2 aumento de velocidade e processamento2 inclus$o de blocos lEgicos2 modo programa#$o e a inter*ace com o usuDrio =B+R9+2 .NN/>( A evolu#$o do 'L! @ dividida em - gera#Bes) .W 9era#$o) A programa#$o era ligada ao hardware do e3uipamento e a linguagem era em AssemblI2 mas para programar era necessDrio con&ecer a eletrXnica do pro"eto 3ue era *eita por uma e3uipe altamente 3uali*icada( A grava#$o do programa era na memEria +!ROM =Erasable Programmable Read- nly !emory L Memoria de Leitura Apenas !rogramDvel ApagDvel) ='O:%ROLADOR+;2 200 >(
.0
2W 9era#$o) 'ome#am a aparecer as primeiras linguagens de programa#$o n$o t$o dependentes do hardware do e3uipamento2 sendo possvel a inclus$o de um Y!rograma MonitorZ no 'L!2 o 3ual converte as instru#Bes do programa2 veri*ica estado de entradas2 compara com instru#Bes do usuDrio e altera o estado das sadas ='O:%ROLADOR+;2 200 >( ,W 9era#$o) +ntrada de programa#$o para conectar um teclado ou programador portDtil para possveis altera#Bes no programa ='O:%ROLADOR+;2 200 >( 0W 9era#$o) Os 'L!s passam a ter uma entrada para comunica#$o serial e com a 3ueda dos pre#os dos microcomputadores2 a programa#$o acaba sendo realizada por eles2 o 3ue tornou possvel a utiliza#$o de vDrias linguagens2 simula#Bes2 testes2 treinamentos2 armazenamento de programas etc( ='O:%ROLADOR+;2 200 >( -W 9era#$o) PD uma preocupa#$o em padroniza#$o dos protocolos de comunica#$o para 3ue e3uipamentos de *abricantes di*erentes se comuni3uem2 proporcionando uma integra#$o2 a *im de *acilitar a automa#$o2 gerenciamento e desenvolvimento de plantas industriais2 *ruto da c&amada globaliza#$o ='O:%ROLADOR+;2 200 >(
0)0
O sistema possui o nome +t&ernet devido a uma men#$o ao @ter luminoso2 atrav@s do 3ual2 os *sicos do s@culo [7[ acreditavam 3ue a radia#$o eletromagn@tica propagavaLse =%A:+:BAFM2 200,>( :a d@cada de 02 na FniversitI o* PaJaii2 :orman Abramson e colegas 3ueriam conectarLse da il&a em um computador 3ue se encontrava em Ponolulu( 'omo solu#$o2 usaram um rDdio de ondas curtas2 no 3ual &avia duas *re3\4ncias) ascendente e descendente( !ara se comunicar com um computador2 o rDdio transmitia em um canal ascendente2 3ue era con*irmado no canal descendente do computador ao 3ual se dese"ava *azer a comunica#$o =%A:+:BAFM2 200,>( Antes da e6ist4ncia das redes de computadores2 a troca de in*orma#Bes acontecia de maneira manual2 com o prEprio usuDrio copiando as in*orma#Bes e as transportando de uma mD3uina para outra ='O:%72 200 >(
.-
9eorge ;tibitz2 em .N002 da Faculdade de Dartmout&2 em :ova Pamps&ire2 atrav@s de um teletipo2 enviou instru#Bes com um con"unto de problemas para sua calculadora 3ue se encontrava em :ova 7or3ue2 recebendo de volta os resultados no prEprio teletipo ='O:%72 200 >( +m .NM02 pes3uisadores de Dartmout& desenvolveram um sistema de compartil&amento de tempo2 3ue *oram distribudos em grandes sistemas de computadores( :o mesmo ano2 usouLse um computador para rotear e gerenciar cone6Bes tele*Xnicas ='O:%72 200 >( :a d@cada de M02 Leonard ]leinrocK2 !aul Baran e Donald Danes2 desenvolveram sistemas de redes 3ue usavam datagramas ou pacotes2 usados em redes de comuta#$o de pacotes entre sistemas computacionais ='O:%72 200 >( A partir da2 as redes de computadores comandam as indTstrias de hardware" bem como as tecnologias necessDrias para cone6$o e comunica#$o( PD um crescimento do nTmero e tipos de usuDrios de redes2 3ue vai desde um pes3uisador at@ um usuDrio dom@stico ='O:%72 200 >(
+ntendeLse por controlador2 o dispositivo eletrXnico2 mecAnico ou a combina#$o de ambos 3ue tem por ob"etivo controlar um sistema( ;$o e6emplos de controladores2 os utilizados na otimiza#$o de processos industriais e de manu*atura( Foram desenvolvidos inicialmente para atenderem as indTstrias automotivas2 3ue necessitavam constantemente alterar as lEgicas de interLtravamento entre seus e3uipamentos =MORA7; e 'A;%RF''72 200.>( 'om o uso do 'L!2 @ possvel reprogramar o *uncionamento de um e3uipamento sem precisar trocar todo o seu hardware =MORA7; e 'A;%RF''72 200.>( YO 'L! @ um computador com as mesmas caractersticas con&ecidas do computador pessoal2 por@m2 @ utilizado em uma aplica#$o dedicada ^(((_Z =:A%AL+2 2000>( ;egundo a AB:% =Associa#$o Brasileira de :ormas %@cnicas>2 o 'L! @ de*inido como um e3uipamento eletrXnico digital com hardware e software compatveis com aplica#Bes industriais( A *igura . representa um 'L! de pe3ueno porte2 da marca ;c&neider2 lin&a %Jido usado para registrar entradas e sadas digitais(
Antes do 'L!2 esse *eito era realizado substituindo componentes el@tricos =rel@s2 por e6emplo> e modi*icando pro"etos com grandes grupos de pain@is de controle =B+R9+2 .NN/>( As principais vantagens de um 'L! em rela#$o a lEgicas a rel@ s$o) Menor taman&o *sico necessDrio` ;er programDvel =possibilitando altera#Bes de lEgicas de controle>` 'apacidade de comunica#$o com sistemas 3ue gerenciam a produ#$o(
As caractersticas de um 'L! devem ser analisadas "unto com as caractersticas de seu software programador2 ou se"a2 o software onde serD desenvolvido todo o aplicativo 3ue serD e6ecutado no 'L! em determinada linguagem de programa#$o( +6istem diversos modelos de 'L!s *abricados e disponveis para compra( :o entanto2 alguns pontos devem ser levantados e discutidos para 3ue se"a possvel determinar 3ual o modelo mais ade3uado a ser empregado2 principalmente durante a *ase de especi*ica#$o de pro"etos =9+OR97:72 2000>( ;ob o ponto de vista *uncional2 podemos considerar e observar as seguintes *un#Bes 3ue um 'L! pode e6ecutar) A3uisi#$o e 'omando` Armazenamento do programa aplicativo` !rocessamento(
1)0
Co&#%i+ao !& $! !
:o mnimo2 todo 'L! dispBe de pelo menos uma porta de comunica#$o serial onde o usuDrio vai conectar o cabo serial programador 3ue2 normalmente2 @ um computador e6ecutando um software *ornecido pelo *abricante do 'L!( Atrav@s desta porta2 o usuDrio *az todas as atividades de manuten#$o) veri*ica o status da '!F =Central Processing #nit L Fnidade 'entral de !rocessamento>2 dos mEdulos de +O; =+ntradaO;ada>2 o tempo de ciclo do programa aplicativo2 *az a carga e leitura do programa para salvar em disco( +ssa porta normalmente @ uma rede mestreLescravo 3ue pode ser utilizada para outras *un#Bes2 tais como) conectar um sistema de supervis$o ou uma 7PM =7nter*ace Pomem MD3uina> local( :o entanto2 como essa porta @ destinada para manuten#$o2 se ela *or utilizada para conectar uma 7PM2 por e6emplo2 toda vez 3ue o usuDrio precisar conectar o computador para a manuten#$o2 deverD retirar o cabo da 7PM e depois de concludo o servi#o2 recolocDLlo( !ara evitar esse tipo de problema @ dese"Dvel 3ue a '!F ten&a mais canais de comunica#$o para permitir2 al@m da cone6$o com 7PMs locais2 a cone6$o em rede com outros sistemas(
. ./
2.2
:o 'L! e6istem as entradas dos dados2 o processamento e a sada dos resultados( V um *uncionamento similar ao de uma calculadora2 por e6emplo( ;$o inseridos nTmeros e 3ual opera#$o dese"ada2 a calculadora processa essas in*orma#Bes e e6ibe o resultado( 'on*orme *igura 2)
O hardware do 'L! @ composto por tr4s partes) uma *onte de alimenta#$o el@trica2 uma '!F e inter*ace de +O;( Fonte de alimenta#$o el@trica) trans*orma a energia el@trica para voltagem usada pelo e3uipamento( '!F) ;egundo =MORA+; e 'A;%RF''72 200.>2 @ YresponsDvel pela e6ecu#$o do programa do usuDrio2 atualiza#$o da memEria de dados e memEriaLimagem das entradas e sadas ^(((_Z( 7nter*aces de +ntrada e ;ada) entendemLse como teclados2 monitores etc( :a *igura ,2 @ mostrado um e6emplo de *uncionamento de um 'L!2 sendo iniciado pela leitura nas entradas digitais ou analEgicas2 apEs isso2 o programa @ e6ecutado e suas sadas s$o atualizadas(
. .N
7:7'7AR
L+R +:%RADA
Os processamentos *eitos pelo 'L! atrav@s dos dados de entrada s$o programDveis por lEgicas combinacionais2 se3\enciais ou pelas duas( ;egundo :atale =2000>2 YAutomatizar um sistema signi*ica *azer uso de *un#Bes lEgicas2 representadas2 por sua vez2 por portas lEgicas 3ue podem ser implementadas ^(((_Z O 'L! *az uso da lEgica de programa#$o ladder$ !ossui as seguintes representa#Bes) La aL LaOaL L= >L L=a>L L=;>L L=R>L L=M>L 'ontato aberto` 'ontato *ec&ado` Bobina` Bobina inversa` Bobina set` Bobina reset` Bobina MemEria`
A partir da d@cada de /0 os 'L!s passaram a ser *abricados com mEdulos de comunica#$o em rede2 podendo assim comunicarLse entre vDrios e3uipamentos e6istentes na automa#$o aplicada =MORA+; e 'A;%RF''72 200.>( V possvel e6istir comunica#$o entre um 'L! e outros e3uipamentos como) inversores de *re3\4ncia2 controladores de temperatura2 medidores de vaz$o2 outro 'L! de 3ual3uer modelo e *abricante etc(2 constituindo uma rede de automa#$o( !ara 3ue a comunica#$o se"a *eita @ necessDrio 3ue todos os e3uipamentos utilizem o mesmo meio de transmiss$o como a +t&ernet2 R;L2,22 R;L0/- etc(2 e o mesmo protocolo de comunica#$o como Modbus2 !ro*bus2 Fieldbus =B+R9+2 .NN/>( %amb@m @ possvel comunicar vDrios e3uipamentos da automa#$o com uma rede corporativa de computadores2 podendo comunicar um 'L! com um sistema +R! =Enterprise Resource Planning % !lane"amento de Recursos +mpresariais> ou com um sistema supervisor em um computador 3ual3uer da rede( 7sso pode ser *eito de duas maneiras) %odos os e3uipamentos da automa#$o devem estar interligados na mesma rede +t&ernet da rede corporativa e comunicandoLse atrav@s do protocolo %'!O7! =&ransmission Control Protocol'(nternet Protocol L !rotocolo de 'ontrole de transmiss$oO!rotocolo de 7nternet>2 ou o 'L! possuir dois mEdulos de comunica#$o distintos2 em 3ue num mEdulo o 'L! se comunica com os e3uipamentos da automa#$o em um protocolo e meio *sico 3ual3uer2 e no outro mEdulo2 o 'L! se comunica com a rede corporativa de computadores atrav@s da +t&ernet utilizando o protocolo %'!O7! =;OF<A2 2002>( ;egundo Barbosa =200M>2
Os sistemas ;'ADA =Supervisory Control and Data )*uisition ? ;istemas de ;upervis$o e A3uisi#$o de Dados>2 3ue em algumas aplica#Bes s$o re*eridos como sistemas supervisErios2 s$o responsDveis por coletar os dados de processo disponibilizados pelos e3uipamentos de controle ='L!s2 remotas industriais e outros> e os apresentar em tempo real2 atrav@s de uma inter*ace =grD*ica> &omem mD3uina2 aos operadores ^(((_
;istemas ;'ADA s$o implementados "untamente com um con"unto de e3uipamentos utilizados na automa#$o2 sendo eles) 'L! ou 3ual3uer e3uipamento 3ue *ale o mesmo protocolo implementado no software ;'ADA( :a *igura 02 podemos visualizar mel&or esse conceito2 ou se"a2 toda parte de controle de e3uipamentos da *Dbrica *eita pelos 'L!s de pe3ueno porte e todo o gerenciamento desta automa#$o *eita pelo 'L! de grande porte2
2 2.
tamb@m temos uma inter*ace &omemLmD3uina para controle local dos processos e um sistema de supervis$o ;'ADA para supervisionar e coletar todos os dados para estudo e anDlise do processo(
Rede de
!ara um sistema ;'ADA se comunicar com um e3uipamento da rede de automa#$o @ necessDrio uma inter*ace de escrita e leitura2 esta inter*ace @ c&amada de driver( YA aplica#$o ;'ADA deve ser capaz de enviar mensagens de leitura e escrita para o 'L!2 3ue deve ser capaz de receber as mensagens2 processDLlas2 atualizar as sadas e2 se necessDrio2 retornar o dado re3uerido ^(((_Z =BARBO;A2 200M>
2 22
2)0
P$o(o+olo' ! +o&#%i+ao
Determina a *orma de transmiss$o de dados =*ormato dos dados2 temporiza#$o2 sinais de controle utilizados etc(>( 'ada *abricante de 'L! tem seu protocolo de comunica#$o prEprio2 normalmente c&amado de protocolo proprietDrio2 o 3ual @ utilizado durante a programa#$o do 'L!( Algumas '!Fs al@m de suportarem o protocolo proprietDrio2 suportam protocolos padrBes2 permitindo comunica#$o com dispositivos e softwares *ornecidos por outros *abricantes2 al@m da cone6$o em rede( YO protocolo Modbus *oi desenvolvido pela Modicon 7ndustrial Automation ;Istems2 &o"e ;c&neider2 para comunicar um dispositivo mestre com outros dispositivos escravos ^(((_Z =JF:7OR2 200 > +mbora se"a utilizado normalmente sobre cone6Bes serial padr$o R;L2,22 o protocolo Modbus tamb@m pode ser usado como um protocolo da camada de aplica#$o em redes industriais2 tais como %'!O7! sobre +t&ernet e MA! =!anufacturing )utomation Protocol !rotocolo de Automatiza#$o 7ndustrial+( Y+ste talvez se"a o protocolo de mais larga utiliza#$o em automa#$o industrial2 pela sua simplicidade e *acilidade de implementa#$o ^(((_Z =JF:7OR2 200 >( Baseado em um modelo de comunica#$o mestreLescravo2 o mestre pode denominar transa#Bes c&amadas de *ueries e os demais dispositivos da rede respondem suprindo os dados re3uisitados pelo mestre2 ou obedecendo a uma e6ecu#$o por ele comandada( Os pap@is de mestre e escravo s$o *i6os2 3uando utilizado cone6$o serial2 e em outros tipos de rede2 um dispositivo pode assumir ambos os pap@is2 mas n$o ao mesmo tempo( :a transmiss$o e6iste o modo A;'77 =)merican Code ,or (nformation (nterchange 'Edigo americano !ara 7ntercAmbio de 7n*orma#$o> e R%F =Remote &erminal #nit - Fnidade %erminal Remota>2 3ue s$o escol&idos na con*igura#$o da parte de comunica#$o( A *igura - apresenta os tipos de protocolos Modbus( O +t&ernet Modbus tem o seu *uncionamento via protocolo %'!O7!2 pois "D vem em sua prEpria estrutura uma ou mais portas de comunica#$o +t&ernet2 para rede( O Modbus !lus e o Modbus R%F t4m a sua comunica#$o via cabo serial2 3ue tra*ega do 'L! at@ um 9ateJaI2 convertendo o sinal para o protocolo %'!O7! na rede(
2 2,
Modbus %'!O7!) Fsado para comunica#$o entre sistemas de supervis$o e 'L!s =87;HO2 200 >( Modbus !lus) Fsado para comunica#$o entre si de 'L!s2 mEdulos de +O;2 c&ave de partida eletrXnica de motores2 7PM etc( =87;HO2 200 >( Modbus !adr$o) Fsado para comunica#$o dos '!Ls com os dispositivos de +O; de dados2 instrumentos eletrXnicos2 controladores de processo2 transdutores de energia etc( =87;HO2 200 >( O protocolo !ro*ibus @ o mais popular em redes de campo2 muito comum na +uropa2 3ue domina mais de M0c do seu mercado de automa#$o industrial( Foi desenvolvido em .N/ 2 como resultado de um pro"eto alem$o envolvendo 2. empresas e institutos de pes3uisa =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( %amb@m pode ser denominado como um padr$o aberto de rede de comunica#$o industrial2 dispositivos de di*erentes *abricantes podem comunicarLse sem a necessidade de 3ual3uer inter*ace =M+:DO:<A2 F+RR+7RA e MORA+;2 200->(
2 20
O protocolo !ro*ibus @ usado tanto em aplica#Bes com transmiss$o de dados em alta velocidade como em tare*as comple6as e e6tensas de comunica#$o =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( !odeLse utilizar os seguintes padrBes para meios de transmiss$o) R;L0/-2 7+' M..-/L2 ou Fibra Rptica =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( +6istem dois tipos de protocolos !ro*ibus2 descritos abai6o) !ro*ibusLD! =Decentrallised Periphery - !eri*eria Descentralizada>) Otimizado para alta velocidade de cone6$o e bai6o custo2 @ o mais utilizado( Foi pro"etado para comunica#$o entre sistemas de controle de automa#$o e suas respectivas +O; distribudas =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( !ro*ibusLFM; =,ieldbus !essage Specification>) V usado para tare*as mais comple6as2 considerado como protocolo de comunica#$o universal( O*erece muitas *un#Bes so*isticadas de comunica#$o entre dispositivos inteligentes =M+:DO:<A2 F+RR+7RA e MORA+;2 200->( Outro protocolo muito utilizado @ o Fieldbus2 segundo Berge =.NN/>2
O Fieldbus @ um protocolo desenvolvido para automa#$o de sistemas de *abrica#$o2 elaborado pela FieldBus Foundation e normalizado pela 7;A =&he (nternational Society for !easurement and Control L A ;ociedade 7nternacional para Medida e 'ontrole>( O protocolo Fieldbus visa C interliga#$o de instrumentos e e3uipamentos2 possibilitando o controle e monitora#$o dos processos ^(((_
9eralmente o protocolo Fieldbus @ utilizado com os c&amados softwares supervisErios ;'ADA2 3ue permitem a a3uisi#$o e visualiza#$o2 desde dados de sensores2 at@ status de e3uipamentos =B+R9+2 .NN/>( A rede Fieldbus pode cobrir distAncias maiores e comunicar os e3uipamentos de +O; mais modernos( Os e3uipamentos acoplados C rede possuem tecnologia para trabal&ar em *un#Bes espec*icas de controle como loops2 controle de *lu6o e processos =MAPAL7]2 200,>(
<
Redes de computadores s$o dois ou mais e3uipamentos ligados um ao outro2 sendo possvel assim2 compartil&ar dados2 impressoras2 cone6Bes C 7nternet etc( =%A:+:BAFM2 200,>( A comunica#$o entre os e3uipamentos dDLse atrav@s de meios de acesso2 protocolos e re3uisitos de seguran#a =%A:+:BAFM2 200,>( As redes s$o classi*icadas de acordo com a distAncia entre os e3uipamentos 3ue estar$o conectados( +6istem as redes) LA:2 'A:2 MA: e QA: =%A:+:BAFM2 200,>( Rede LA: =Local )rea -etwork - Rede de drea Local>) V uma rede local( Abrange2 por e6emplo2 um escritErio2 resid4ncia etc( Rede 'A: =Campus )rea -etwork - Rede de drea campus>) V uma rede local 3ue consegue conectar mais de um pr@dio em um mesmo terreno( Rede MA: =!etropolitan )rea -etwork - Rede de drea Matropolitana>) V uma rede usada2 por e6emplo2 por uma rede de supermercados2 trocando in*orma#Bes com outras unidades e6istentes em outras cidades( Rede QA: =.ide )rea -etwork - Rede de drea Larga>) V uma rede de longa distAncia( 7nterliga variadas localiza#Bes geogrD*icas2 at@ no mesmo pas( :esse captulo ser$o apresentadas redes e +t&ernet( A +t&ernet tem pelo 7+++ =(nstitute of Electrical and Electronic Engineers - 7nstituto de +ngen&eiros +l@tricos e +letrXnicos>2 Erg$o responsDvel pela tecnologia +t&ernet2 o padr$o 7+++ /02(,2 sendo uma rede de transmiss$o de barramento2 permitindo opera#Bes de controle a uma velocidade de .0 ou .00Mbps =bits por segundo> =%A:+:BAFM2 200,>( :a tabela . @ possvel visualizar os principais padrBes2 *un#Bes e descri#Bes de redes +t&ernet(
2 2M
PADRO FUNO
7+++ /02(,z 9igabit +t&ernet( At@ .000Mbps( BacKbone =espin&a dorsal> corporativo( 'one6$o da 7nternet do Brasil para outros pases(
DESCRIO
Y!odeLse concluir 3ue as tecnologias de redes industriais est$o em contnua evolu#$o2 uma vez 3ue as empresas buscam de*inir padrBes com per*is de redes mais seguras e de alto desempen&o ^(((_Z =QA%A:AB+2 200M>( Redes industriais s$o sistemas distribudos2 3ue representam diversos dispositivos trabal&ando simultaneamente de modo a supervisionar e controlar um determinado processo( +sses dispositivos2 por e6emplo2 sensores2 atuadores2 'L!s2 !'s` est$o interligados e trocam in*orma#Bes de *orma rDpida e precisa( Fm ambiente industrial @2 geralmente2 &ostil2 de modo 3ue os dispositivos ligados C rede industrial devem ser con*iDveis2 rDpidos e robustos =OL78+7RA2 200->( !ara se implementar um sistema de controle distribudo2 baseado em redes2 temLse a necessidade de vDrios estudos detal&ados sobre o processo a ser controlado2 buscando o sistema 3ue mel&or se en3uadre para as necessidades do usuDrio =O9A%A2 200,>( As redes industriais t4m como padr$o tr4s nveis &ierDr3uicos2 sendo eles responsDveis pela cone6$o de di*erentes tipos de e3uipamentos( O nvel mais alto @ o 3ue interliga os e3uipamentos usados para o plane"amento da produ#$o2 controle de esto3ue2 estatsticas da 3ualidade2 previsBes de vendas( 9eralmente @ implementado usandoLse programas gerenciais2 por e6emplo2 sistemas ;A!2 Arena etc( O protocolo %'!O7!2 com padr$o +t&ernet @ o mais utilizado nesse nvel =D+'O%79:7+2 200.2 apud ;7L8A2 'RF< e RO;ADO2 200M>( :o nvel intermediDrio2 encontramos os 'L!s2 nos 3uais tra*egam2 principalmente2 in*orma#Bes de controle de mD3uina2 a3uelas in*orma#Bes a respeito do status de e3uipamentos como robXs2 mD3uinas *erramentas2 transportadores etc( =OL78+7RA2 200->( O terceiro nvel @ o 3ue se diz re*er4ncia para a parte *sica da rede2 onde se encontra os sensores2 atuadores2 contadores etc( A classi*ica#$o das redes industriais)
Rede ;ensorbus) V usada para conectar e3uipamentos simples e pe3uenos diretamente C rede( +sses e3uipamentos precisam se comunicar rapidamente nos nveis mais bai6os2 consistem geralmente em sensores e atuadores de menor valor( +sse tipo de rede se preocupa em manter os custos de cone6$o o mais bai6o possvel =MO:%+<2 200->( Rede Devicebus) +ncontrada entre as redes ;ensorbus e Fieldbus cobrindo at@ -00m de distAncia( Os e3uipamentos conectados a Devicebus ter$o mais pontos discretos2 dados analEgicos ou uma mistura dos dois( +m algumas dessas redes @ permitido trans*erir blocos em prioridade menor se comparado aos dados no *ormato de bItes( !ossui os re3uisitos de trans*er4ncia rDpida de dados como da rede ;ensorbus2 conseguindo lidar com mais e3uipamentos e dados =MO:%+<2 200->( Rede Fieldbus) 7nterliga os e3uipamentos de 7OO mais inteligentes e pode cobrir maiores distAncias( Os e3uipamentos conectados nessa rede possuem intelig4ncia para desempen&ar *un#Bes espec*icas de controle2 como o controle de *lu6o de in*orma#Bes e processos( Os tempos de trans*er4ncia s$o longos2 mas2 em compensa#$o2 a rede @ capaz de se comunicar usando vDrios tipos de dados =discreto2 analEgico2 parAmetros2 programas e in*orma#Bes do usuDrio> =MO:%+<2 200->(
A seguran#a dei6ou de ser um tema centrado nas redes de computadores e passou a ser um tema abrangente para todas as tecnologias 3ue se comunicam atrav@s de redes( ;egundo ;ouza =2002>2
A maioria dos sistemas operacionais e e3uipamentos de comunica#$o de dados *abricados &o"e possuem inter*aces para comunica#$o com redes %'!O7!2 ou se"a2 s$o capazes de se comunicar com outros e3uipamentos e redes 3ue tamb@m utilizam o padr$o %'!O7! ^(((_
A tecnologia atual permite 3ue 3ual3uer circuito eletrXnico 3ue possua rede +t&ernet integrada em seu sistema possa se comunicar com computadores interligados por rede( +ssa *acilidade *az com 3ue dados se"am coletados mais rapidamente e mais *acilmente2 por@m dei6a o circuito vulnerDvel C rede de computadores( A vulnerabilidade do circuito acontece se na implementa#$o dos protocolos n$o &ouve nen&uma preocupa#$o com a seguran#a dos dados2 ou se"a2 se o hardware dei6arD alguma possvel *al&a para 3ue outras pessoas possam acessar seus dados e modi*icDLlos sem autoriza#$o( O 'L! @ um circuito eletrXnico 3ue possui rede integrada e comunicaLse com outras redes utilizando diversos protocolos2 podendo tamb@m ser interligado em redes de computadores( !odemos visualizar mel&or o papel do 'L! em uma rede atrav@s da *igura M2 onde o 'L! comunicaLse com duas redes distintas2 sendo uma rede dos e3uipamentos da automa#$o e uma rede para controle da 7PM e interliga#$o com a rede corporativa de computadores(
2 2N
Figura M ? Rede de automa#$o A rede montada na *igura M mostra a vulnerabilidade do 'L! na rede corporativa2 "D 3ue 3ual3uer pessoa pode acessar os dados do 'L! atrav@s da rede2 ou se"a2 a mesma rede montada para *acilitar a a3uisi#$o dos dados de uma automa#$o pode ser usada para pre"udicar e modi*icar esses dados2 pelo *ato da rede corporativa e a rede industrial estarem em uma rede apenas e n$o em duas redes separadas e *iltradas por um FireJall( +m uma rede de automa#$o e6istem alguns itens de seguran#a 3ue devem ser cuidados com mais aten#$o) con*idencialidade2 integridade2 autenti*ica#$o2 autoriza#$o2 disponibilidade2 auditoria2 em 3ue alguns itens merecem mais prioridade 3ue outros2 por@m2 todos s$o importantes e t4m a *un#$o de garantir a con*iabilidade dos dados tra*egados na rede( %odos os dados tra*egados na rede t4m uma origem e um destino2 por@m2 esses dados podem ser interceptados2 modi*icados e reenviados para seu destino2 isso acontece em redes 3ue n$o garantem a con*idencialidade2 integridade e autenti*ica#$o de seus dados( +m alguns casos2 os dados s$o apenas interceptados e usados na espionagem e2 assim2 dados con*idenciais podem ser obtidos *acilmente( A autoriza#$o e disponibilidade garantem 3ue cada tipo de usuDrio acesse somente os dados permitidos para sua *un#$o2 ou se"a2 um usuDrio com sen&a para coletar dados do processo n$o poderD acessar a programa#$o do 'L! e modi*icDLla( A auditoria garante 3ue todos os itens acima se"am cumpridos e c&eca o sistema para garantir sua integridade(
3)0
A seguran#a @ um item indispensDvel para redes 3ue possuem mais de um usuDrio e s$o abertas a redes e6ternas( O ndice 3ue mede estatsticas de seguran#a estD crescendo muito con*orme mostrado na *igura 2 ou se"a2 muitos usuDrios e empresas est$o sendo vtimas de hacker e vrus em suas redes( 'om base no grD*ico2 notaLse 3ue em 200M &ouve um grande aumento em rela#$o aos anos anteriores( De .NNN a 200-2 a m@dia *oi de 20(. 0 incidentes registrados( +m 200M o nTmero registrado *oi de .N (/N2 incidentes2 ou se"a2 mais de /00c comparado aos Tltimos oito anos( :este ano2 "D *oram registrados N0(/0N incidentes at@ o m4s de "un&o( +m rela#$o a 200M &ouve um aumento de ./c(
, ,0
Figura
Junto com toda a evolu#$o tecnolEgica da automa#$o industrial surgiram muitas outras 3uestBes 3ue necessitam de uma aten#$o especial das pessoas ligadas C Drea( YAt@ a d@cada de N0 o ambiente de automa#$o industrial era totalmente C parte do ambiente corporativo de uma indTstria ^(((_Z =BARBO;A2 200M>2 no 3ual redes de computadores corporativas baseadas no padr$o 7+++ /02(, =+t&ernet> n$o eram interligadas Cs redes e6istentes de automa#$o e os e3uipamentos de automa#$o possuam sistemas dedicados e computadores industriais e6clusivos( Redes de automa#$o 3ue se comunicam atrav@s do protocolo %'!O7! e est$o interligadas a uma rede corporativa tamb@m est$o su"eitas a incidentes de seguran#a2 pois podem ser acessadas *acilmente atrav@s de seu endere#o 7! na rede( A *igura / ilustra um e6emplo de rede com computadores e 'L! na mesma rede com in*orma#Bes individuais2 sendo assim2 o nome2 7! e mDscara de rede s$o *i6os(
, ,.
Muitas empresas est$o criando m@todos e normas internas para tentar combater e prevenir a *alta de seguran#a2 por@m2 @ muito importante 3ue &a"a uma intera#$o entre a e3uipe de %7 =%ecnologia da 7n*orma#$o> com a e3uipe de %A =%ecnologia da Automa#$o> para 3ue a rede possa ser pro"etada da mel&or *orma possvel2 unindo velocidade e seguran#a( Atualmente2 temos no mercado e3uipamentos e softwares para automa#$o 3ue s$o abertos a todos os tipos de sistemas operacionais e 3ue podem ser interligados Cs redes corporativas das empresas2 onde seus protocolos de comunica#$o possuem encapsulamento em pacotes %'! =RODR79F+<2 200 >( A partir deste cenDrio2 surgiram os sistemas &istoriadores de processo ou !7M; =YPlant (nformation !anagement SystemsZ>2 3ue s$o capazes de obterem dados e gravar em um banco de dados temporal2 e usados em softwares de controle corporativo =BARBO;A2 200M>( A integra#$o do ambiente industrial e corporativo @ um *ato2 por@m2 possuem caractersticas individuais( O ambiente industrial tem como prioridade a produ#$o e a seguran#a &umana2 "D o ambiente corporativo prioriza o desempen&o e a integridade dos dados =BARBO;A2 200M>( !odeLse visualizar mel&or as prioridades de cada ambiente na *igura N(
, ,2
+m alguns sistemas onde os processos s$o crticos2 a disponibilidade dos dados @ *eita atrav@s da redundAncia de in*orma#Bes2 nos 3uais e6iste um 'L! primDrio 3ue coleta os dados2 processa e os envia para a rede( 'aso este 'L! primDrio ten&a algum problema2 e6iste um 'L! secundDrio 3ue assumirD o controle instantaneamente( !ara &aver a redundAncia @ necessDria uma ar3uitetura de rede di*erenciada2 O conceito @ simples) 3uando um e3uipamento entra em estado de de*eito2 o outro assume imediatamente2 garantindo a disponibilidade e a seguran#a *sica do sistema(
5.2
+m virtude da crescente necessidade do mercado de interagir hardware com software" os ambientes de %7 e %A *oram unidos e passaram a trabal&ar com os mesmo propEsitos2 pois2 atualmente2 sistemas operacionais como QindoJs2 Linu6 e outros2 "untamente com e3uipamentos como hubs2 switchs" computadores pessoais2 servidores e a prEpria rede %'!O7! passaram a ser itens de grande aplica#$o no ambiente de %A =MORA2 200 >( Apesar da uni$o da %7 com a %A2 n$o @ possvel aplicar todos os e3uipamentos e softwares encontrados &o"e no mercado para redes de %7 em processos de controle e supervis$o da automa#$o =MORA2 200 >( +m *un#$o de suas necessidades2 os ambientes de %7 e %A t4m o mesmo ob"etivo2 por@m2 possuem prioridades inversas =MORA2 200 >)
, ,,
Ambiente %7) !rioriza a con*idencialidade dos dados na rede2 protegendo contra acessos n$o autorizados2 prioriza tamb@m a integridade e a disponibilidade =MORA2 200 >( Ambiente de %A) ;ua maior prioridade @ a disponibilidade2 pois n$o pode tolerar pe3uenas interrup#Bes podendo causar grandes perdas2 se"am elas de produ#$o ou danos ao e3uipamento( ;eguindo a ordem de prioridades vem a integridade e a con*idencialidade dos dados2 protegendo e garantindo 3ue os dados n$o se"am dani*icados ou acessados por pessoas n$o autorizadas =MORA2 200 >( O hardware para e3uipamentos de %7 @ pro"etado para *icar em ambientes n$o agressivos e livres de inter*er4ncia eletromagn@ticas2 "D os e3uipamentos de automa#$o s$o pro"etados para ambientes de c&$o de *Dbrica2 mais agressivos e com muita inter*er4ncia e rudos( +n3uanto sistemas de %7 =hardware e software> t4m estimativa de vida na m@dia de anos2 os sistemas de %A devem permanecer operando por no mnimo .0 anos =MORA2 200 >(
'om o constante avan#o tecnolEgico e o *Dcil acesso a novas tecnologias2 muitos usuDrios de computadores t4m con&ecimento em redes e nos protocolos de comunica#$o %'!O7!2 "unto com este con&ecimento2 surgem muitos softwares com o propEsito de e6plorar *al&as e dani*icar ou roubar in*orma#Bes indevidas =BARBO;A2 200M>( A e6posi#$o dos sistemas ;'ADA Cs amea#as aumenta2 C medida 3ue estes s$o conectados a um nTmero cada vez maior de redes e sistemas para compartil&ar dados e *ornecer servi#os onLline =;+8OF:%;2 2000>( +6istem diversas *ormas de atacar um sistema de automa#$o industrial2 se"a na degrada#$o de servi#os da rede2 ou na e6plora#$o de *al&as( Alguns itens merecem desta3ue2 como) propaga#$o de cEdigos maliciosos2 nega#$o de servi#os2 e6plora#$o de *al&as no sistema operacional ou a mD con*igura#$o dos servi#os de rede =!7R+;2 OL78+7RA e BARRO;2 2000>( A seguran#a interna entre os e3uipamentos da prEpria rede tamb@m devem ser levada em considera#$o2 pois um usuDrio dentro da empresa pode ter acessos privilegiados a in*orma#Bes 3ue n$o deveria ter2 *acilitando a libera#$o de vrus e roubo de in*orma#Bes( V necessDrio saber como s$o classi*icadas as amea#as 3ue podem causar impactos em nossos sistemas2 comprometendo os princpios de seguran#a( As vulnerabilidades podem estar e6postas no hardware2 software2 meios de armazenamento ou comunica#$o( Devemos primeiramente rastrear e eliminar as vulnerabilidades de um ambiente de tecnologia de in*orma#$o2 apEs isso2 serD possvel dimensionar os riscos aos 3uais o ambiente estD e6posto e de*inir as medidas de seguran#a mais apropriadas para o ambiente( Dentre as vulnerabilidades temos) 8ulnerabilidade Fsica) 7nstala#Bes inade3uadas2 aus4ncia de recursos para combates a inc4ndio2 disposi#$o desorganizada de cabos de redes2 energia( 8ulnerabilidade do hardware) De*eitos de *abrica#$o2 con*igura#$o de e3uipamentos2 aus4ncia de prote#$o contra acesso n$o autorizado2 conserva#$o inade3uada de e3uipamentos( 8ulnerabilidade de software) 'aracterizaLse normalmente por *al&as de programa#$o2 3ue permitem acessos indevidos ao sistema2 liberdade de uso do usuDrio(
, ,-
8ulnerabilidade dos meios de armazenamento) 'DLROM2 *itas magn@ticas e discos rgidos2 se utilizados de *orma inade3uada2 seu conteTdo poderD estar vulnerDvel a uma s@rie de *atores2 como con*idencialidade de in*orma#Bes( 8ulnerabilidade de 'omunica#$o) Abrange todo o trD*ego de in*orma#Bes( O sucesso no trD*ego de dados @ um aspecto *undamental para a implementa#$o da seguran#a da in*orma#$o2 como estD tamb@m associada ao desempen&o dos e3uipamentos envolvidos( Aus4ncia de sistemas de criptogra*ias2 por e6emplo( 8ulnerabilidade Pumana) RelacionaLse a danos 3ue as pessoas podem causar Cs in*orma#Bes e ao ambiente tecnolEgico( A maior vulnerabilidade seria o descon&ecimento das medidas de seguran#a adotadas 3ue s$o ade3uadas para cada elemento do sistema( Dentre as principais amea#as Cs redes de computadores est$o os vrus2 worms" cavalos de %rEia e os ata3ues a sistemas in*ormatizados( Fm vrus pode ser de*inido como um segmento de cEdigo de computador 3ue se ane6a a um programa ou ar3uivos para se propagar de computador em computador( !ropaga a in*ec#$o2 C medida 3ue via"a( Os vrus podem dani*icar o seu software2 e3uipamento in*ormDtico e outros ar3uivos =M7'RO;OF%2 200 >( Fm worm2 tal como um vrus2 *oi concebido para copiarLse de um computador para outro2 mas de *orma automDtica( +m primeiro lugar2 toma controle de *un#Bes do computador 3ue permitem transportar ar3uivos ou in*orma#Bes( O worm2 apEs ter entrado no sistema2 pode movimentarLse sozin&o( Fm dos grandes perigos dos worms @ o *ato de 3ue podem duplicarLse em grande volume( !or e6emplo2 um worm pode enviar cEpias de si prEprio para todas as pessoas 3ue este"am em uma listagem de endere#os de um correio eletrXnico2 e os computadores dessas pessoas *ar$o o mesmo2 causando um e*eito de avalanc&e2 resultando em congestionamentos nas redes das empresas e em toda a 7nternet( Suando s$o libertados novos worms2 estes se espal&am rapidamente2 congestionam as redes e podem criar grandes perodos de espera para abrir pDginas na 7nternet =M7'RO;OF%2 200 >( O cavalo de %rEia propagaLse 3uando2 inadvertidamente2 softwares s$o abertos por usuDrios2 3ue pensam estar e6ecutando um software de uma *onte legtima( Os cavalos de %rEia podem tamb@m estar includos em software disponvel para trans*er4ncia gratuita =M7'RO;OF%2 200 >(
, ,M
Os Ata3ues s$o eventos 3ue podem comprometer a seguran#a de um sistema ou de uma rede( !odem ou n$o ter sucesso2 se tiver2 caracterizaLse por uma invas$o ou uma a#$o 3ue pode ter um e*eito negativo =FF:DAM+:%O;2 200 >( ;egundo FF:DAM+:%O; =200 >2 temos duas categorias de ata3ues) A primeira envolve cone6Bes permitidas entre um cliente e um servidor2 ata3ues de canal de comando2 direcionados a dados2 a terceiros e a *alsa de autentica#$o de clientes( JD a segunda2 envolve ata3ues 3ue trabal&am sem a necessidade de se *azer cone6Bes2 in"e#$o e modi*ica#$o de dados2 nega#$o de servi#os etc(
Os acessos n$o autorizados Cs redes podem ser 3uali*icados de dois modos) maliciosos e os n$o maliciosos( Os maliciosos s$o realizados por pessoas 3ue t4m o propEsito de roubarem dados ou dani*icar o sistema2 "D os n$o maliciosos s$o *eitos por pessoas 3ue n$o possuem treinamento sobre o sistema operacional e acabam cometendo erros ao utilizar o sistema( Atualmente2 e6istem muitas *ormas para acessar redes 3ue utilizam protocolo %'!O7! sem possuir autoriza#$o devida( A *orma mais comum @ atrav@s do compartil&amento de pastas2 ar3uivos e servi#os 3ue o prEprio usuDrio disponibiliza na rede( Muitos usuDrios por n$o saberem utilizar corretamente o sistema operacional2 acabam compartil&ando pastas e ar3uivos sem ter con&ecimento de 3ue os mesmos poder$o ser acessados e modi*icados por todos 3ue acessarem sua rede( :o caso de uma rede de automa#$o2 alguns 'L!s disponibilizam portas de acesso para servi#os como) programa#$o2 visualiza#$o de processo2 modi*ica#$o de variDveis e diagnEsticos( ;e as portas de acesso para estes servi#os n$o estiverem sendo monitoradas por um FireJall interno2 o 'L! pode estar vulnerDvel a acessos n$o autorizados( ;egundo Rodriguez =200 >2 partindo da &ipEtese de 3ue a amea#a se"a originada por algu@m com acesso n$o monitorado e n$o autorizado na rede2 temos algumas das principais t@cnicas de acesso) Spoofing/ 'onsegue monitorar e introduzir pacotes de comunica#$o na rede modi*icados( O remetente envia pacotes para um endere#o de rede 3ual3uer2 se passando por um computador da rede2 ou se"a2 em uma rede onde n$o e6istem restri#Bes para os usuDrios da
rede interna2 essa t@cnica se encai6a per*eitamente( O Tnico problema para o atacante @ 3ue este @ um ata3ue cego2 pois ele n$o recebe mensagens de con*irma#$o de seus pacotes( Replay/ Monitora e copia pacotes de comunica#$o da rede2 conseguindo reinserir na rede 3uando ac&ar necessDrio( Atrav@s deste tipo de ata3ue @ possvel con*undir o e3uipamento destinatDrio2 pois ao mudar a se3\4ncia dos pacotes podem surgir erros nas instru#Bes e lentid$o na a3uisi#$o de dados( :ega#$o de servi#o) +ste ata3ue tamb@m @ con&ecido como Do; =Denial of Service> onde o usuDrio tenta derrubar o web service do e3uipamento2 se"a enviando pacotes invDlidos ou vDlidos na tentativa de sobrecarregar o processamento do e3uipamento e travar para 3ue ningu@m possa utilizar seus servi#os( Lembrando 3ue este tipo de ata3ue n$o @ uma invas$o2 mas uma invalida#$o por sobrecarga de comunica#$o( AR! =)ddress Resolution Protocol> spoofing) Burla o sistema de identi*ica#$o das mD3uinas2 *alsi*icando o MA' =!edia )ccess Control> adress da placa de rede com o propEsito de receber pacotes endere#ados para outras mD3uinas( !odendo assim receber dados sigilosos 3ue o e3uipamento mandaria para um sistema de supervis$o e controle( Discovery) 7nsere pacotes de dados na rede para obter in*orma#Bes sobre outros elementos da rede2 como a 3uantidade e a identi*ica#$o de cada 'L!( :ormalmente esta modalidade antecede as descritas acima2 pois atrav@s das in*orma#Bes obtidas na rede2 o invasor consegue acesso Cs mD3uinas( +6istem muitas outras t@cnicas utilizadas para acessos n$o autorizados2 atrav@s das 3uais s$o e6ploradas *al&as nos protocolos de comunica#$o da prEpria rede utilizada pelos controladores =RODR79F+<2 200 >(
Apesar de n$o ser um assunto muito divulgado2 as empresas est$o se preocupando com a seguran#a em seus sistemas de automa#$o industrial e adotando algumas medidas para minimizar as possveis *al&as e vulnerabilidades dos sistemas( 'om esse *im2 *oi criada a norma 7;A NN =+:%+R!R7;+2 2000> 3ue trata2 especi*icamente2 sobre seguran#a em ambientes de automa#$o industrial =BARBO;A2 200M>( Muitas medidas podem ser tomadas para re*or#ar a seguran#a em redes de automa#$o2 por@m2 @ preciso analisar as vulnerabilidades do sistema para con&ecer mel&or as decisBes a serem tomadas( Abai6o segue uma rela#$o de algumas das principais iniciativas =BARBO;A2 200M>) Desenvolvimento e implementa#$o de polticas de seguran#a baseadas nos sistemas de automa#$o` 7nstala#$o em locais estrat@gicos de FireJall e outros mecanismos contra softwares maliciosos` 'ontrole dos servi#os de acesso remoto2 permitindo sessBes criptogra*adas` !lane"amento de atualiza#Bes de softwares como sistema operacional2 antivrus2 FireJall e outros softwares espec*icos` Realiza#$o de treinamentos para 3ue todos os usuDrios da rede possam saber de suas responsabilidades e deveres perante a rede corporativa` Manuten#$o do tempo de sincronismo dos e3uipamentos da rede` 'ria#$o de polticas de backup` ;egmenta#$o *sica e lEgica da rede` Dei6ar somente os servi#os necessDrios rodando no e3uipamento2 desabilitando outros servi#os 3ue podem servir de porta de entrada para vrus e acesso de pessoas n$o autorizadas` Ftiliza#$o de tecnologias capazes de certi*icar os usuDrios da rede` Ftiliza#$o de sistemas capazes de detectar a presen#a de usuDrios n$o autorizados na rede` 'ria#$o de uma e3uipe de anDlise e auditoria dos dados tra*egados na rede 3ue possam tornar o processo de seguran#a sempre atualizado(
, ,N
As decisBes de um administrador de rede2 relacionadas C seguran#a2 ir$o determinar o 3uanto a rede @ segura( As decisBes determinar$o o 3ue ela tende a o*erecer2 e 3ual serD a *acilidade de usDLla( !or@m2 voc4 n$o consegue tomar boas decisBes de seguran#a2 sem antes determinar 3uais s$o os ob"etivos de seguran#a( ;em a determina#$o desses ob"etivos de seguran#a2 n$o serD possvel *azer o uso completo de 3ual3uer *erramenta de seguran#a e n$o ser$o c&ecadas todas as restri#Bes necessDrias da rede =!OL7%7'A2 2000>( Fma poltica de seguran#a deve obter alguns controles no ambiente corporativo( +ntre eles est$o) software de detec#$o de vrus e cavalos de trEia2 controle de acesso lEgico e mecanismos de controle acesso *sico =!OL7%7'A2 2000>2 alguns e6emplos de software comerciais) :orton Antivrus 200 2 :orton 7nternet ;ecuritI 200 ( ;egundo !OL7%7'A =200 > a !oltica de ;eguran#a da in*orma#$o deverD envolver os seguintes agentes) 9estor da in*orma#$o) V o responsDvel em tomar as decisBes em nome da empresa no 3ue diz respeito ao uso2 C localiza#$o2 C classi*ica#$o2 e C prote#$o de um recurso espec*ico na in*orma#$o( 'ustodiante) V o agente responsDvel pelo processamento2 organiza#$o e guarda da in*orma#$o( FsuDrio) V 3ual3uer pessoa 3ue interage diretamente com o sistema computadorizado( A pobre educa#$o em seguran#a @ um dos primeiros problemas 3ue deve ser resolvido na implementa#$o de um plano de seguran#a( :$o adianta ter os mel&ores pro*issionais2 se os *uncionDrios n$o est$o cientes da real necessidade de seguran#a2 e como se deve proceder =FF:DAM+:%O;2 200 >(
:ormas e padrBes internacionais s$o utilizados nos mais variados casos para se *acilitar C implementa#$o e normaliza#$o de solu#Bes 3ue contribuem para a sociedade( :o ano 20002 a 7;O =(nternational rgani0ation for Standardi0ation> lan#ou a norma 7;OO7+' . NN)20002 disponvel no Brasil atrav@s da norma :BRL7;O . NNN)2000( +ssa norma evoluiu e se tornou a atual 7;OO7+'2 00.) 200- abrangendo gestBes de seguran#a das in*orma#Bes2 baseada na
0 00
B;
NN)200- se complementam
=RODR79F+<2 200 >( :a norma 7;OO7+' 2 00.)200- se encontram .,, controles de segundo nvel2 distribudos em .. tEpicos bDsicos2 sendo os principais na implementa#$o de seguran#a da in*orma#$o =RODR79F+<2 200 >) !oltica de ;eguran#a da 7n*orma#$o` 9est$o da ;eguran#a da 7n*orma#$o` 9est$o de Ativos` ;eguran#a em Recursos Pumanos` ;eguran#a *sica e do ambiente` 9erenciamento de Opera#Bes e 'omunica#Bes` 'ontrole de Acesso` A3uisi#$o2 desenvolvimento e manuten#$o de ;istemas de 7n*orma#$o` 9est$o de 7ncidentes de ;eguran#a da 7n*orma#$o` 9est$o da 'ontinuidade de :egEcios` 'on*ormidade( Outro padr$o adotado nas indTstrias @ o 'OB7% =Control b1ectives for (nformation and related &echnology>( ;eu uso tamb@m se deu no ano de 20002 "unto C 7;O 2 00.` de*inindo mel&ores m@todos de seguran#a da in*orma#$o( O 'OB7% *oi criado pelo 7%97 =7% 9overnance 7nstitute> e 7;A'A =(nformation Systems )udit and Control )ssociation> e atualmente estD na vers$o 0(0 =RODR79F+<2 200 >( Fundamentado em ,0 processos de %ecnologia da 7n*orma#$o2 o 'OB7% @ dividido em 0 sessBes =RODR79F+<2 200 >) 'ontrolar o alto nvel do processo` 'ontrolar detal&adamente o alto nvel do processo` 9est$o) +ntradas2 sadas2 grD*icos2 ob"etivas e m@tricas` Modelo de maturidade do processo( Fatores *undamentais para o *oco do 'OB7% s$o) =RODR79F+<2 200 > +strat@gia para o plano de negEcios da organiza#$o` +nglobar valores nos servi#os de %7` 9est$o de recursos`
0 0.
9est$o de riscos` Avalia#Bes do desempen&o( Y:o ambiente de %A a grande preocupa#$o @ o risco operacional2 por@m estes padrBes podem ser seguidos para implementa#$o da seguran#a das redes de automa#$o2 permitindo a prote#$o da in*orma#$o e a opera#$o das corpora#Bes ^(((_Z =RODR79F+;2 200 >( !ara se implementar a seguran#a *azendoLse uso da norma 7;OO7+' 2 00.2 @ necessDrio seguir as etapas =RODR79F+<2 200 >) De*inir escopo) De*inir detal&es( Fma boa de*ini#$o vai *acilitar o desenvolvimento dos passos seguintes( !ela norma2 o escopo deve seguir as caractersticas do negEcio( De*inir a !oltica de ;eguran#a) De*inir acesso dos altos nveis da organiza#$o( Deve ser aplicada ao escopo( +laborar m@todos das AnDlises de Riscos) 'riar uma estrat@gia para se avaliar os riscos2 de*inindoLse os riscos aceitDveis e os 3ue o*erecem cuidados( %ratamento dos Riscos) Feito atrav@s das AnDlises de Riscos( A#Bes possveis s$o) Aceitar o risco2 negar o risco2 mitigar o risco ou trans*erir o risco( Abrangendo as medidas de) 'orre#$o) +limina#$o do risco( !reven#$o) !ara 3ue o risco n$o volte a ocorrer( Detec#$o) 7denti*icar o risco( Auditoria e revis$o dos controles) Auditorias da empresa s$o necessDrias para testar e avaliar a implementa#$o de seguran#a( 'om base no resultado dessa auditoria2 deveLse avaliar e estudar possveis revisBes e atualiza#Bes2 caso necessDrio(
!ara uma anDlise e demonstra#$o e*etiva de como proteger redes de automa#$o2 serD demonstrado neste captulo2 uma implementa#$o real2 na 3ual teremos duas redes distintas representando as redes industrial e corporativa( :a *igura .02 @ possvel visualizar a topologia usada para esta anDlise2 sendo dividida em duas redes2 do lado direito2 a rede industrial e do lado es3uerdo2 a rede corporativa( !ara realiza#$o do e6perimento2 *oram utilizados os seguintes e3uipamentos) 'L!L0.) 'L! lin&a %Jido da ;c&neider +lectric2 com .M entradas digitais e .M sadas a rel@2 possui porta de comunica#$o +t&ernet para comunica#$o e6terna de dados2 protocolo utilizado @ Modbus %'!O7!( !ara este e3uipamento *oi de*inido o 7! .N2(.M/(..(-02 .N2(.M/(..(.00( FireJall) 'omputador responsDvel pela separa#$o das redes2 cu"o sistema operacional @ Linu62 distribui#$o 'entO;2 padr$o RedPat( A distribui#$o cont@m um sistema de *iltro2 o 7ptables2 3ue controla trD*ego de pacotes e permite a con*igura#$o de regras2 dei6ando assim a con*igura#$o a"ustDvel con*orme a necessidade( !ara essa divis$o das redes2 *oram instaladas nesse computador2 duas placas de rede =+t&0 e +t&.>2 sendo +t&0 responsDvel pelo trD*ego de pacotes da rede corporativa e +t&. pelo trD*ego de dados da rede industrial( Atrav@s da identi*ica#$o das placas 3ue ser$o *iltrados os pacotes vindos da rede corporativa( !ara a placa da rede corporativa =+t&0>2 *oi de*inido o 7! .N2(.M/(.0(.00 e para a placa da rede industrial =+t&.>2 o 7! .N2(.M/(..(.00( ;upervis$o) 'omputador pessoal com sistema operacional QindoJs [! !ro*essional2 utilizando software +, vers$o 2(- desenvolvido pela +lipse ;o*tJare( +sta vers$o de QindoJs possui um FireJall interno 3ue tem o intuito de *iltrar pacotes2 possveis acessos e6ternos e ar3uivos suspeitos( :$o ser$o necessDrias con*igura#Bes adicionais para esse computador2 pois o mesmo apenas irD ler e gravar in*orma#Bes do 'L!( !ara este e3uipamento *oi de*inido o 7! .N2(.M/(.0(-0( +sta#$o de %rabal&o) 'omputador pessoal com sistema operacional QindoJs [! !ro*essional2 serD utilizado para simular acessos e teste de seguran#a sobre as regras inseridas no FireJall( !ara este e3uipamento *oi de*inido o 7! .N2(.M/(.0(-.( mDscara de subLrede 2--(2--(2--(0 e 9ateJaI padr$o
0 0,
O protocolo usado nesta anDlise *oi o %'!O7! para a rede corporativa e o Modbus %'!O7! para a rede de automa#$o( A comunica#$o entre os e3uipamentos da rede deve seguir os seguintes parAmetros e re3uisitos de seguran#a) O Tnico e3uipamento 3ue acessa os dados do 'L! @ o 3ue possui instalado o sistema de supervis$o2 podendo re3uisitar e gravar dados livremente atrav@s da porta %'! -022 disponibilizada pelo 'L! para comunica#$o de dados( O Tnico e3uipamento 3ue pode acessar a rede corporativa vindo da rede de automa#$o @ o 'L!L0.2 utilizando apenas a porta %'! -022 eliminando assim2 o trD*ego de dados desnecessDrios e possveis ata3ues oriundos de outros pontos da rede( O sistema de supervis$o acessa livremente a rede corporativa2 podendo tra*egar dados sem restri#$o( A esta#$o de trabal&o acessa livremente a rede corporativa2 por@m n$o tem nen&um tipo de acesso para a rede de automa#$o( !ara 3ue os parAmetros acima se"am cumpridos e e*etivamente implementados @ necessDrio a con*igura#$o do FireJall( Foi implementado o seguinte trec&o de cEdigo para o 7!%ables)
0 00
. 2 , 0 M / N .0 .. .2 ., .0 ..M . ./ .N 20 2. 22 2, 20 22M
# Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip for!ard # ". - Liberando #P do s$pervis%rio para acesso ao &LP /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.0, -d 1-".1./.11.04 -1 '&&2P3 # 4. - 5lo6$eando acesso as demais m76$inas /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.,/"4 -d 1-".1./.11.,/"4 -1 +)(P # 4. - Liberando acesso ao s$pervis%rio para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.0, -p tcp --sport 0," -1 '&&2P3 # 0. - 5lo6$eando acesso aos o$tros micros da rede para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.,/"4 -p tcp --sport 0," -1 +)(P
O cEdigo completo desta implementa#$o estD no Ap4ndice A ? Regras de FireJall( :o trec&o de cEdigo acima *oram implementadas a#Bes de blo3ueio2 libera#$o de 7! e porta de acesso( !rimeiramente no script2 @ mostrado um comando 3ue zera as polticas e depois vem e6ecutando as regras uma a uma na ordem =lin&a 2 a ->( !ara a nossa anDlise2 temos 3ue liberar o servi#o de forward 3ue serve para encamin&amento de pacotes das placas entre si =lin&a e />( :a prE6ima lin&a2 indicamos 3ual 7! 3ue poderD acessar o 'L!2 3ue no caso @ o micro supervisErio =lin&a .. a .,>( ;erD e6ecutado na prE6ima lin&a2 o blo3ueio dos demais 7!es2 pois somente o micro supervisErio terD privil@gio para buscar in*orma#$o no 'L! =lin&a .M a ./` 2. e 22>( +m seguida2 blo3ueamos todas as demais portas e assim *inalizamos o script =lin&a 2M e2M>( !ara 3ue os computadores da rede corporativa *i3uem protegidos de a#Bes maliciosas oriundas de usuDrios do sistema2 *oi necessDria a cria#$o de polticas de seguran#a para essa rede e de*inidos os seguintes parAmetros) Os computadores da rede corporativa ir$o trabal&ar em rede2 por@m as contas de usuDrios n$o ter$o privil@gios de administrador do sistema2 limitando assim a#Bes do usuDrio(
0 0-
Foi instalado em todos os computadores da rede corporativa2 um programa de antiL vrus com base de dados atualizada diariamente( As instala#Bes de novos softwares2 con*igura#Bes espec*icas2 poder$o ser *eitas somente com a sen&a de administrador local( A implementa#$o destas polticas de seguran#a serD realizada atrav@s de um servi#o 3ue @ con*igurado no servidor de rede2 o nome do servi#o @ Active DirectorI disponibilizado no QindoJs ;erver 200,( 'om todo o sistema de seguran#a descrito anteriormente2 implementado e *uncionando corretamente2 pode ser observada a movimenta#$o dos pacotes de dados na rede na *igura ..2 em 3ue temos o software 7ptables rodando como FireJall implementado em um sistema operacional Linu6 e e6ibindo os pacotes de dados( ;omente os pacotes 3ue t4m origem do 7!) .N2(.M/(.0(-0 =;istema de supervis$o> e com destino ao 7!) .N2(.M/(..(-0 ='L!L0.> atrav@s da porta %'! -022 possuem acesso livre na rede de automa#$o2 caso &a"a re3uisi#$o de outro 7!2 serD blo3ueado( +ssa medida de seguran#a garante 3ue somente o sistema de supervis$o poderD acessar e re3uisitar dados do 'L! na rede de automa#$o2 evitando ata3ues e espionagem nos pacotes de dados( %odos os pacotes 3ue tem origem do 'L!2 7!) .N2(.M/(..(-0 na rede de automa#$o devem ser endere#ados para o sistema de supervis$o da rede corporativa 7!) .N2(.M/(.0(-02 caso contrDrio2 ser$o blo3ueados( +ssa medida garante 3ue nen&um outro e3uipamento *uturamente instalado na rede de automa#$o acesse livremente a rede corporativa(
!ara uma anDlise comparativa2 na *igura .22 temos um computador da rede corporativa veri*icando a disponibilidade do 'L!( !ara isso2 utilizamos a mesma topologia de rede2 por@m2 sem o FireJall e sem as regras de seguran#a descritas anteriormente neste captulo2 podemos observar 3ue os pacotes de dados na rede tra*egam sem nen&um tipo de blo3ueio(
0 0M
'om este trD*ego de dados liberado2 os computadores da rede corporativa e industrial compartil&am dados e trocam in*orma#Bes livremente2 permitindo 3ue as redes *i3uem vulnerDveis a a#Bes de usuDrios e vrus(
!ara *inalizar a anDlise podemos observar 3ue uma rede 3ue n$o *or bem plane"ada e 3ue n$o levar em considera#$o re3uisitos bDsicos de seguran#a pode tornarLse vulnerDvel a 3ual3uer tipo a#Bes originadas de usuDrios ou vrus( O uso de FireJall para blo3ueio de pacotes de dados @ indispensDvel em 3ual3uer topologia de rede 3ue possua duas redes interligadas e 3ue e6i"a um grau de seguran#a elevado(
CONCLUSO
'onclumos 3ue a seguran#a em redes de automa#$o industrial2 na prDtica2 @ pouco levada em considera#$o2 por@m2 @ um assunto de e6trema importAncia devido aos pre"uzos 3ue podem trazer Cs empresas( Foram levantadas algumas das principais amea#as e vulnerabilidades encontradas nos ambientes estudados( +ssas vulnerabilidades abrem portas para possveis ata3ues2 espionagem e danos aos sistemas ligados em rede( +m um sistema integrado de automa#$o2 em 3ue as redes corporativas e industriais est$o interligadas2 surge a necessidade da separa#$o lEgica das redes2 sendo elas protegidas por FireJall2 pois com essa separa#$o2 diminui o *lu6o de dados da rede industrial na rede corporativa2 mantendo a per*ormance mD6ima2 evitando espionagens e dei6andoLas trabal&ando individualmente( O FireJall permite a *iltragem de pacotes dei6ando 3ue um sistema de supervis$o bus3ue as in*orma#Bes disponibilizadas na rede industrial 3uando necessDrio( 'omo as empresas2 na maioria das vezes2 n$o *ornecem palestras ou cursos para seus *uncionDrios2 s$o obrigadas a adotar polticas de seguran#a para minimizar possveis danos( !ara isso2 *oram criadas normas para implementa#$o da seguran#a da in*orma#$o2 por@m2 algumas empresas n$o seguem normas de seguran#a e t4m suas prEprias polticas de seguran#a2 adaptandoLas C sua necessidade( 'om base nas anDlises *eitas2 podemos concluir 3ue al@m de prote#Bes *sicas2 como o FireJall2 3ue @ responsDvel pelo *iltro dos pacotes da rede industrial e corporativa2 seria necessDrio treinamento aos usuDrios 3ue ir$o utilizar os computadores da empresa2 pois atualmente2 n$o e6iste nen&um software no mercado 3ue nos dei6e cem por cento imunes a 3ual3uer tipo de ata3ue ou invas$o2 por@m e6istem m@todos para minimizDLlas e di*icultDLlas2 garantindo a 3ualidade e con*iabilidade dos dados( Po"e2 grande parte dos vrus s$o enviados por eLmails e e6ecutados por usuDrios2 cabendo a eles evitar a sua e6ecu#$o( Buscando redu#$o de desastres e perda de ar3uivos2 o treinamento vem a ser importante( As empresas devem seguir normas de seguran#a para garantir a mD6ima prote#$o de seus dados e sistemas2 estando com seus softwares sempre atualizados e com polticas rgidas de seguran#a(
REFERHNCIAS
BARBO;A2 Peber Almeida( Detec23o de (ntrus3o em Redes de )utoma23o (ndustrial` Programa de P4s-5radua23o em (nform6tica( Fniversidade Federal do +sprito ;anto2 200M( B+R9+2 Jonas( ,ieldbuses for Process Control/ Engineering" peration and !aintenance$ Apostila do curso ministrado no '++%!+; L +(%(+( !ro*essor Armando BaIeu6 da ;ilva 2 no ano de .NN/ no 'urso 'L! ? BDsico2 por !edro Luis Antonelli( '+R%( Disponvel em) f&ttp)OOJJJ(cert(brg( Acesso em) .0 de maio de 200 ( 'O:%72 FDtima( PistEria do computador e da (nternet/ anos 78( Disponvel em) f&ttp)OOJJJ(cultura(u*pa(brOdicasOnet.OintL&.NM(&tmg( Acesso em) 2M de maio de 200 ( 'O:%ROLADOR+; lEgicos programDveis ? PistErico( Disponvel em f&ttp)OOJJJ(eaut(com(brOlittecnicaOclp&istorico(&tmg( Acesso em 2- de maio de 200 ( D+'O%79:7+2 J( ) perspective on Ethernet-&CP'(P as a fieldbus" (,)C (nternational Conference on ,ieldbus Systems and their )pplications$ Fran#a2 200.( +:%+R!R7;+2 'ontrol ;Istem 7ntegration !art 7) Models and %erminologI( &echnical Report2 (S)-&R99$88$8:( 2000( FF:DAM+:%O; de seguran#a( Disponvel em) f&ttp)OOJJJ(pro"etoderedes(com(brOapostilasOapostilas1seguranca(p&pg( Acesso em) 2, de agosto de 200 ( 9+OR97:72 Marcelo( )utoma23o aplicada - Descri23o e (mplementa23o de sistemas se*;enciais com PLCs( Cap$ <) Controlador L4gico Program6vel( Cap =/ )r*uitetura >6sica do PLC( 2000(
0N
JF:7OR2 'onstantino ;ei6as( Disponvel em) f&ttp)OOJJJ(cpdee(u*mg(brOhsei6asO!agina77ODoJnloadODoJnloadFilesOAulac207+'c20M. .,.L,(pd*g( Acesso em) 0M de maio de 200 ( MAPAL7]2 :( ,ieldbus &echnology - (ndustrial -etwork Standards for Real-&ime Distributed Control2 200,( M+:DO:<A2 Diogo` F+RR+7RA2 Fernando ;antos` MORA+;2 %Iago AntXnio de( &ecnologia Profibus( Fniversidade de Braslia2 200-( M7'RO;OF%( Disponvel em) f&ttp)OOJJJ(microso*t(comOportugalOat&omeOsecuritIOvirusesOvirus.0.(msp6i+;'g( Acesso em) 2M de agosto de 200 ( MO:%+<2 '( Redes de Comunica23o Para )utoma23o (ndustrial$ 200-( MORA2 PalleI R( M(( )nalista de )utoma23o (ndustrial( 7nternational !aper 200 ( MORA+;2 '( '( de` 'A;%RF''72 !( L( Engenharia de )utoma23o (ndustrial( L%'2 200.( :A%AL+2 Ferdinando( )utoma23o (ndustrial$ 7? Edi23o( @R(C)$ 2000( O9A%A2 ]( Engenharia de Controle !oderno( 200,( OL78+7RA2 L( Redes para )utoma23o (ndustria$ 200-( !7R+;2 !aulo ;@rgio Motta` OL78+7RA2 Luiz A**onso 9uedes de` BARRO;2 Diogo :ascimento( )spectos de seguran2a em sistemas SC)D) uma vis3o geral" AB Congresso (nternacional de )utoma23o" Sistemas e (nstrumenta23o$ ;$o !aulo2 2000( !OLb%7'A de seguran#a da in*orma#$o( 2000( Disponvel em) f&ttp)OOgeocities(Ia&oo(com(brO"asonbs1.N. OsegurancaOpolitica(&tmg( Acesso em) 2. maio de 2002(
-0
RODR79F+<2 Marco %Tlio Duarte( Seguran2a da informa23o na integra23o entre ambientes de automa23o e corporativos$ (n&ech >rasil$ ;$o !aulo2 200 ( ;'P:+7D+R( Disponvel em) f&ttp)OOJJJ(sc&neiderLelectric(comg( Acesso em) 20 de abril de 200 ( ;+8OF:%;2 9arI( Preocupa2Ces crescentes *uanto D seguran2a de rede( Disponvel em) f&ttp)OOJJJ(sImantec(comOregionObrOenterprisesecuritIOgovernmentOg( Acesso em) 0. Agosto de 200 ( ;7L8A2 Jones j( M( F` 'RF<2 Marcelo M( F e RO;ADO2 Rodrigo M( Redes (ndustriais ,(ELD>#S( Fniversidade de Braslia2 200M( ;MAR( Disponvel em) f&ttp)OOJJJ(smar(comg( Acesso em) 0. de maio de 200 ( ;OF;A2 Lindeberg Barros de( &CP'(P >6sico E Conectividade em Redes$ < ed( ;$o !aulo2 2002( %A:+:BAFM2 AndreJ ;( Redes de Computadores( %radu23o da Fuarta Edi23o2 Gtradu23o Handenberg D$ Sou0a+$ Rio de Janeiro2 200,( 87;HO geral dos protocolos Modbus( Disponvel em) f&ttp)OOJJJ(ce*etrn(brOhJalmIOR71A0(pd*g( Acesso em) 2M de maio de 200 ( QA%A:AB+2 +dson Piros&i( )plica23o de Software )berto Em Redes (ndustriais$ :II f$ Disserta#$o apresentada ao !rograma de !Es gradua#$o em +ngen&aria +l@trica da Fniversidade Federal do !aranD2 como re3uisito parcial C obten#$o do ttulo de Mestre em +ngen&aria +l@trica( 'uritiba2 200M(
APHNDICE
-2
#8/bin/sh # )egras do fire!all # Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip for!ard # ". - Liberando #P do s$pervis%rio para acesso ao &LP /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.0, -d 1-".1./.11.04 -1 '&&2P3 # 4. - 5lo6$eando acesso as demais m76$inas /sbin/iptables -' F()*')+ -i eth, -s 1-".1./.1,.,/"4 -d 1-".1./.11.,/"4 -1 +)(P # 9ascarando a rede local iptables -t nat -' P(:3)(;3#<= -o eth1 -1 9':>;2)'+2 # 4. - Liberando acesso ao s$pervis%rio para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.0, -p tcp --sport 0," -1 '&&2P3 # 0. - 5lo6$eando acesso aos o$tros micros da rede para a porta 0," iptables -' F()*')+ -d 1-".1./.1,.,/"4 -p tcp --sport 0," -1 +)(P # Prote?@o contra ping-of-death e ata6$es +(: iptables -' F()*')+ -p icmp --icmp-type echo-re6$est -m limit --limit 1/s -1 '&&2P3 iptables -' F()*')+ -p tcp -m limit --limit 1/s -1 '&&2P3 iptables -' F()*')+ -m state --state 2:3'5L#:A2+B)2L'32+ -1 '&&2P3 iptables -' F()*')+ -p tcp --tcp-flags :C<B'&DBF#<B):3 ):3 -m limit --limit 1/s -1 '&&2P3 # Prote?@o contra port-scanning iptables -' F()*')+ --protocol tcp --tcp-flags 'LL :C<B'&D -1 +)(P # Fecha as demais portas iptables -' #<P;3 -p tcp --syn -1 +)(P eEit