FACULDADE POLITCNICA DE JUNDIA ENGENHARIA DA COMPUTAO

AVALIAO DE SEGURANA EM REDES DE AUTOMAO

Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes

Jundia 2007

FACULDADE POLITCNICA DE JUNDIA ENGENHARIA DA COMPUTAO

AVALIAO DE SEGURANA EM REDES DE AUTOMAO

Projeto apresentado para a realizao da disciplina do Trabalho de Concluso de Curso.

Orientador: Prof. Eberval Oliveira Castro

Orientados: Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes

0300512 0300848 0300581 0305013 0301540

Jundia 2007

FACULDADE POLITCNICA DE JUNDIA ENGENHARIA DA COMPUTAO

AVALIAO DE SEGURANA EM REDES DE AUTOMAO

Projeto apresentado para a realizao da disciplina do Trabalho de Concluso de Curso Orientados: Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes

0300512 0300848 0300581 0305013 0301540

_______________________________________ Orientador: Prof. Eberval Oliveira Castro

Jundia,_____de_________________de 2007

Aos colegas de estudo e aos familiares que nos apoiaram e incentivaram para a realizao deste trabalho.

AGRADECIMENTOS

Aos nossos pais e familiares, pois sempre nos incentivaram e apoiaram. Aos nossos colegas de grupo, pelo companheirismo e dedicao. Ao nosso orientador Eberval Oliveira Castro, pelo valioso e grandioso apoio, contribuio e pacincia dedicados ao longo deste trabalho. s nossas namoradas que tiveram pacincia e nos auxiliaram para a realizao deste. E a todos aqueles que de algum modo nos ajudaram.

OLIVEIRA, Danilo Giacomello de. MARTINS, Felipe Bertini. REZENDE, Ferigs Masse de. LOMBARDI, Fernando. LOPES, Marcos Antonio. Avaliao de Segurana em Redes de Automao. 2007. 52p Trabalho de Concluso de Curso (Bacharel em Engenharia de Computao) Faculdade Politcnica de Jundia.

RESUMO

Este trabalho discute sobre segurana na integrao entre redes corporativas e redes de automao industrial, no qual sero apresentados riscos, falhas e vantagens das redes, com o intuito de conscientizar e demonstrar a importncia de possuir uma rede com maior nvel de segurana possvel, buscando minimizar o risco de ataques e invases que possam causar prejuzos empresa. Ser apresentada a parte histrica da automao industrial, definio e tipos de protocolos envolvidos nas redes, sistemas de superviso que permitem o gerenciamento remoto e o controle de automao na empresa, troca de informaes entre o ambiente industrial e corporativo, anlises realizadas em ambientes reais avaliando a segurana existente na rede e buscando mtodos para melhorias.

Palavras-chave: SEGURANA, AUTOMAO INDUSTRIAL, REDES INDUSTRIAIS, REDES CORPORATIVAS

ABSTRACT

A great technological revolution in the field of the industrial automation has been presented in the last years, starting of a total isolated environment where the proprietors systems used to dominate and the technologies were dedicated to an integrated environment and shared by all the corporative systems. This paper is about the security in the integration between corporative nets and industrial automation nets where risks, imperfections and advantages of the nets will be presented. Intending to acquire knowledge and to show the importance of having a net with the biggest level of possible security, trying to minimize the risk of attacks and invasions that can cause harmful damages to the company. It will be presented the historical part of the industrial automation, definition and types of involved protocols in the nets, supervision systems that allow the remote management and the control of automation in the company, information exchange between the industrial and corporative environment, analyses done in real environments evaluating the existing security in the net and searching methods for improvements. It will also be presented the main techniques used for invasion and attacks of industrial systems.

LISTA DE FIGURAS

Figura 1 - CLP de pequeno porte ................................................................................... 16 Figura 2 - Funcionamento CLP ...................................................................................... 18 Figura 3 - Ciclo Bsico Funcionamento CLP................................................................. 19 Figura 4 - Rede de controle e superviso ....................................................................... 21 Figura 5 - Tipos de protocolos Modbus ......................................................................... 23 Figura 6 - Rede de automao ........................................................................................ 28 Figura 7 - Estatsticas de incidentes com segurana no Brasil ....................................... 30 Figura 8 - Rede de automao utilizando protocolo TCP/IP .......................................... 31 Figura 9 - Prioridades nos ambientes industriais e corporativos .................................... 32 Figura 10 - Rede Implementada para anlise ................................................................. 43 Figura 11 - Movimentao dos pacotes de dados ao passarem pelo Firewall ................ 46 Figura 12 - Movimentao dos pacotes de dados sem Firewall na rede ........................ 46

LISTA DE TABELAS

Tabela 1 - Padres Ethernet ............................................................................................ 26

LISTA DE SIGLAS

ABNT ARP ASCII bps CAN CLP COBIT CPU DCS DDC DP E/S EPROM FMS IEEE IHM ISA ISACA ISO LAN MAC MAN MAP PIMS PLC RTU SCADA TA TCP/IP TI WAN

Associao Brasileira de Normas Tcnicas Address Resolution Protocol American Code For Information Interchange bits por segundo Campus Area Network Controlador Lgico Programvel Control Objectives for Information and related Technology Central Processing Unit Distributed Control Systems Direct Digital Control Decentralized Periphery Entrada / Sada Erasable Programmable Read-Only Memory Fieldbus Message Specification Institute of Electrical and Electronic Engineers Interface Homem Mquina The International Society for Measurement and Control Information Systems Audit and Control Association International Organization for Standardization Local Area Network Media Access Control Metropolitan Area Network Manufacturing Automation Protocol Plant Information Management Systems Programmable Logic Controller Remote Terminal Unit Supervisory Control and Data Acquisition Tecnologia da Automao Transmission Control Protocol / Internet Protocol Tecnologia da Informao Wide Area Network

SUMRIO

INTRODUO .............................................................................................................. 11 1. REFERENCIAL HISTRICO ................................................................................... 13 1.1 Histria das redes Ethernet ....................................................................................... 14 2. CLP (Controlador Lgico Programvel) .................................................................... 16 2.1 Comunicao em rede .............................................................................................. 17 2.3 Funcionamento de um CLP ...................................................................................... 18 3. O QUE SO REDES DE AUTOMAO ................................................................ 20 3.1 Protocolos de comunicao ...................................................................................... 22 4. REDES ETHERNET EM AMBIENTE INDUSTRIAL ............................................ 25 5. SEGURANA EM REDES DE AUTOMAO ...................................................... 28 5.1 Novo contexto na indstria ....................................................................................... 29 5.2 Integrao entre ambiente de TI e TA ...................................................................... 32 6. AMEAAS AO AMBIENTE DE AUTOMAO INDUSTRIAL .......................... 34 6.1 Tcnicas para acesso no autorizado ........................................................................ 36 7. MEDIDAS PARA MINIMIZAR VULNERABILIDADES ...................................... 38 7.1 Normas ligadas segurana de informaes ............................................................ 39 8. IMPLEMENTAO DE SEGURANA EM REDES DE AUTOMAO .......... 42 CONCLUSO ................................................................................................................ 47 REFERNCIAS ............................................................................................................. 48 APNDICE A Regra do Firewall................................................................................ 51

INTRODUO

H cerca de dez anos, o ambiente de automao industrial era isolado do ambiente corporativo de uma empresa. Com a constante evoluo tecnolgica, hoje uma necessidade que esses dois ambientes sejam interligados e compartilhem informaes, pois necessrio que sistemas inteligentes como sistemas de otimizao de processo e gerenciamento de produo sejam alimentados com essas informaes. A integrao do ambiente industrial para o corporativo levanta uma srie de questes de segurana que antes eram somente do ambiente corporativo da empresa, tais como: a explorao de falhas de programao, ataques a servios, acessos no autorizados, vrus e outros tipos de vulnerabilidades e ameaas. Uma questo tambm importante que a maioria dos protocolos desenvolvidos no foram projetados para atender s necessidades de segurana das redes corporativas. A motivao para o desenvolvimento deste trabalho o estudo e anlise de segurana na integrao entre redes industriais e corporativas, de forma a orientar e minimizar riscos e ameaas aos ambientes. No decorrer do trabalho foram encontradas algumas dificuldades, porm, a principal foi a deficincia de material nacionalizado para este tipo de assunto. Este trabalho estruturado da seguinte forma: No captulo 1, apresentado um histrico da evoluo tecnolgica dos sistemas de controle e automao industrial, bem como as redes de comunicao. No captulo 2, definido um controlador lgico programvel e suas principais caractersticas. No captulo 3, so apresentadas as redes de automao e seus principais protocolos, abordando suas principais funcionalidades. No captulo 4, ser abordado o tema de redes Ethernet em ambiente industrial, apresentando os tipos de redes e sua classificao. No captulo 5, focaremos a segurana da automao que passou a ser um tema abrangente para todas as tecnologias que se comunicam atravs de redes, o papel do CLP e suas vulnerabilidades, a interao do ambiente TI e TA, e sistemas PIMS. No captulo 6, veremos a exposio dos sistemas SCADA, tipos de vulnerabilidades, vrus, worms, cavalos de tria, tipos de ataques e acessos, como spooling, relay, negao de servio, ARP, e discovery.

12

No captulo 7, sero apresentadas medidas para minimizar as vulnerabilidades de segurana, decises que o administrador da rede deve tomar, os agentes envolvidos na poltica de segurana, as normas e a importncia da ISO/IEC 27001:2005 e o que necessrio para implant-la. No captulo 8, ser analisada uma topologia de rede, envolvendo as redes industriais e corporativas, demonstrando como implementar um Firewall e suas regras de segurana. Na rede montada para anlise foi selecionado o protocolo Modbus/TCP, por ser um protocolo de fcil acesso e de padro aberto utilizado na comunicao de dispositivos cliente/servidor em redes de automao industrial.

REFERENCIAL HISTRICO

Em 1970 foram criadas as primeiras redes de automao, os sistemas de controle de processo eram totalmente analgicos, atravs dos DDC (Direct Digital Control - Controle Digital Direto), DCS (Distributed Control Systems - Sistemas de Controle distribudos) e PLC (Programmable Logic Controller - Controlador de Lgica programvel) (BERGE, 1998). Logo em 1980, surgiram os equipamentos de campo que seriam os transmissores e redes fieldbus que se interligavam (BERGE, 1998). Os DCS e PLC permitiram que os controladores fossem instalados em racks auxiliares possibilitando que as informaes de superviso fossem enviadas at o operador via rede. Os controladores eram instalados em painis, e os sensores e atuadores eram ligados aos controladores somente com um par de fios (BERGE, 1998). A comunicao digital permitiu a interligao de vrios equipamentos atravs da conexo Multidrop (multi-ponto), o custo das instalaes caiu consideravelmente e esses equipamentos possuam um nico endereo na rede (BERGE, 1998). A indstria automobilstica americana deu origem ao CLP (Controlador Lgico Programvel), mais precisamente na Hydronic Division Motors, em 1968, devido a grande dificuldade de mudar a lgica de controle dos painis de comando, pois cada mudana na linha de montagem implicava em altssimos gastos (BERGE, 1998). O engenheiro Richard Morley preparou uma especificao que refletia as necessidades de muitos usurios de circuitos a rels, no s da indstria automobilstica, mas como de toda a indstria manufatureira (BERGE, 1998). O CLP foi se tornando um equipamento de fcil utilizao, aprimorando-se cada vez mais e diversificando os setores industriais. Com o decorrer do tempo, existia uma variedade de tipos de entradas e sadas, aumento de velocidade e processamento, incluso de blocos lgicos, modo programao e a interface com o usurio (BERGE, 1998). A evoluo do CLP dividida em 5 geraes: 1 Gerao: A programao era ligada ao hardware do equipamento e a linguagem era em Assembly, mas para programar era necessrio conhecer a eletrnica do projeto que era feita por uma equipe altamente qualificada. A gravao do programa era na memria EPROM (Erasable Programmable Read-Only Memory - Memoria de Leitura Apenas Programvel Apagvel) (CONTROLADORES, 2007).

14

2 Gerao: Comeam a aparecer as primeiras linguagens de programao no to dependentes do hardware do equipamento, sendo possvel a incluso de um Programa Monitor no CLP, o qual converte as instrues do programa, verifica estado de entradas, compara com instrues do usurio e altera o estado das sadas (CONTROLADORES, 2007). 3 Gerao: Entrada de programao para conectar um teclado ou programador porttil para possveis alteraes no programa (CONTROLADORES, 2007). 4 Gerao: Os CLPs passam a ter uma entrada para comunicao serial e com a queda dos preos dos microcomputadores, a programao acaba sendo realizada por eles, o que tornou possvel a utilizao de vrias linguagens, simulaes, testes, treinamentos, armazenamento de programas etc. (CONTROLADORES, 2007). 5 Gerao: H uma preocupao em padronizao dos protocolos de comunicao para que equipamentos de fabricantes diferentes se comuniquem, proporcionando uma integrao, a fim de facilitar a automao, gerenciamento e desenvolvimento de plantas industriais, fruto da chamada globalizao (CONTROLADORES, 2007).

1.1 Histria das redes Ethernet

O sistema possui o nome Ethernet devido a uma meno ao ter luminoso, atravs do qual, os fsicos do sculo XIX acreditavam que a radiao eletromagntica propagava-se (TANENBAUM, 2003). Na dcada de 70, na University of Hawaii, Norman Abramson e colegas queriam conectar-se da ilha em um computador que se encontrava em Honolulu. Como soluo, usaram um rdio de ondas curtas, no qual havia duas freqncias: ascendente e descendente. Para se comunicar com um computador, o rdio transmitia em um canal ascendente, que era confirmado no canal descendente do computador ao qual se desejava fazer a comunicao (TANENBAUM, 2003). Antes da existncia das redes de computadores, a troca de informaes acontecia de maneira manual, com o prprio usurio copiando as informaes e as transportando de uma mquina para outra (CONTI, 2007).

15

George Stibitz, em 1940, da Faculdade de Dartmouth, em Nova Hampshire, atravs de um teletipo, enviou instrues com um conjunto de problemas para sua calculadora que se encontrava em Nova Iorque, recebendo de volta os resultados no prprio teletipo (CONTI, 2007). Em 1964, pesquisadores de Dartmouth desenvolveram um sistema de compartilhamento de tempo, que foram distribudos em grandes sistemas de computadores. No mesmo ano, usou-se um computador para rotear e gerenciar conexes telefnicas (CONTI, 2007). Na dcada de 60, Leonard Kleinrock, Paul Baran e Donald Danes, desenvolveram sistemas de redes que usavam datagramas ou pacotes, usados em redes de comutao de pacotes entre sistemas computacionais (CONTI, 2007). A partir da, as redes de computadores comandam as indstrias de hardware, bem como as tecnologias necessrias para conexo e comunicao. H um crescimento do nmero e tipos de usurios de redes, que vai desde um pesquisador at um usurio domstico (CONTI, 2007).

CLP (Controlador Lgico Programvel)

Entende-se por controlador, o dispositivo eletrnico, mecnico ou a combinao de ambos que tem por objetivo controlar um sistema. So exemplos de controladores, os utilizados na otimizao de processos industriais e de manufatura. Foram desenvolvidos inicialmente para atenderem as indstrias automotivas, que necessitavam constantemente alterar as lgicas de inter-travamento entre seus equipamentos (MORAIS e CASTRUCCI, 2001). Com o uso do CLP, possvel reprogramar o funcionamento de um equipamento sem precisar trocar todo o seu hardware (MORAIS e CASTRUCCI, 2001). O CLP um computador com as mesmas caractersticas conhecidas do computador pessoal, porm, utilizado em uma aplicao dedicada [...] (NATALE, 2000). Segundo a ABNT (Associao Brasileira de Normas Tcnicas), o CLP definido como um equipamento eletrnico digital com hardware e software compatveis com aplicaes industriais. A figura 1 representa um CLP de pequeno porte, da marca Schneider, linha Twido usado para registrar entradas e sadas digitais.

Figura 1 CLP de pequeno porte Fonte: (SCHNEIDER, 2007)

Antes do CLP, esse feito era realizado substituindo componentes eltricos (rels, por exemplo) e modificando projetos com grandes grupos de painis de controle (BERGE, 1998). As principais vantagens de um CLP em relao a lgicas a rel so: Menor tamanho fsico necessrio; Ser programvel (possibilitando alteraes de lgicas de controle); Capacidade de comunicao com sistemas que gerenciam a produo.

1 17

As caractersticas de um CLP devem ser analisadas junto com as caractersticas de seu software programador, ou seja, o software onde ser desenvolvido todo o aplicativo que ser executado no CLP em determinada linguagem de programao. Existem diversos modelos de CLPs fabricados e disponveis para compra. No entanto, alguns pontos devem ser levantados e discutidos para que seja possvel determinar qual o modelo mais adequado a ser empregado, principalmente durante a fase de especificao de projetos (GEORGINI, 2000). Sob o ponto de vista funcional, podemos considerar e observar as seguintes funes que um CLP pode executar: Aquisio e Comando; Armazenamento do programa aplicativo; Processamento.

2.1 Comunicao em rede

No mnimo, todo CLP dispe de pelo menos uma porta de comunicao serial onde o usurio vai conectar o cabo serial programador que, normalmente, um computador executando um software fornecido pelo fabricante do CLP. Atravs desta porta, o usurio faz todas as atividades de manuteno: verifica o status da CPU (Central Processing Unit Unidade Central de Processamento), dos mdulos de E/S (Entrada/Sada), o tempo de ciclo do programa aplicativo, faz a carga e leitura do programa para salvar em disco. Essa porta normalmente uma rede mestre-escravo que pode ser utilizada para outras funes, tais como: conectar um sistema de superviso ou uma IHM (Interface Homem Mquina) local. No entanto, como essa porta destinada para manuteno, se ela for utilizada para conectar uma IHM, por exemplo, toda vez que o usurio precisar conectar o computador para a manuteno, dever retirar o cabo da IHM e depois de concludo o servio, recoloc-lo. Para evitar esse tipo de problema desejvel que a CPU tenha mais canais de comunicao para permitir, alm da conexo com IHMs locais, a conexo em rede com outros sistemas.

1 18

2.2 Funcionamento de um CLP

No CLP existem as entradas dos dados, o processamento e a sada dos resultados. um funcionamento similar ao de uma calculadora, por exemplo. So inseridos nmeros e qual operao desejada, a calculadora processa essas informaes e exibe o resultado. Conforme figura 2:

Figura 2 - Funcionamento CLP

O hardware do CLP composto por trs partes: uma fonte de alimentao eltrica, uma CPU e interface de E/S. Fonte de alimentao eltrica: transforma a energia eltrica para voltagem usada pelo equipamento. CPU: Segundo (MORAES e CASTRUCCI, 2001), responsvel pela execuo do programa do usurio, atualizao da memria de dados e memria-imagem das entradas e sadas [...]. Interfaces de Entrada e Sada: entendem-se como teclados, monitores etc. Na figura 3, mostrado um exemplo de funcionamento de um CLP, sendo iniciado pela leitura nas entradas digitais ou analgicas, aps isso, o programa executado e suas sadas so atualizadas.

1 19

INICIAR
LER ENTRADA

PROGRAMA ATUALIZA SADA

Figura 3 - Ciclo Bsico Funcionamento CLP

Os processamentos feitos pelo CLP atravs dos dados de entrada so programveis por lgicas combinacionais, seqenciais ou pelas duas. Segundo Natale (2000), Automatizar um sistema significa fazer uso de funes lgicas, representadas, por sua vez, por portas lgicas que podem ser implementadas [...] O CLP faz uso da lgica de programao ladder. Possui as seguintes representaes: -| |-|/|-( )-(|)-(S)-(R)-(M)Contato aberto; Contato fechado; Bobina; Bobina inversa; Bobina set; Bobina reset; Bobina Memria;

O QUE SO REDES DE AUTOMAO

A partir da dcada de 80 os CLPs passaram a ser fabricados com mdulos de comunicao em rede, podendo assim comunicar-se entre vrios equipamentos existentes na automao aplicada (MORAES e CASTRUCCI, 2001). possvel existir comunicao entre um CLP e outros equipamentos como: inversores de freqncia, controladores de temperatura, medidores de vazo, outro CLP de qualquer modelo e fabricante etc., constituindo uma rede de automao. Para que a comunicao seja feita necessrio que todos os equipamentos utilizem o mesmo meio de transmisso como a Ethernet, RS-232, RS-485 etc., e o mesmo protocolo de comunicao como Modbus, Profbus, Fieldbus (BERGE, 1998). Tambm possvel comunicar vrios equipamentos da automao com uma rede corporativa de computadores, podendo comunicar um CLP com um sistema ERP (Enterprise Resource Planning Planejamento de Recursos Empresariais) ou com um sistema supervisor em um computador qualquer da rede. Isso pode ser feito de duas maneiras: Todos os equipamentos da automao devem estar interligados na mesma rede Ethernet da rede corporativa e comunicando-se atravs do protocolo TCP/IP (Transmission Control Protocol/Internet Protocol - Protocolo de Controle de transmisso/Protocolo de Internet), ou o CLP possuir dois mdulos de comunicao distintos, em que num mdulo o CLP se comunica com os equipamentos da automao em um protocolo e meio fsico qualquer, e no outro mdulo, o CLP se comunica com a rede corporativa de computadores atravs da Ethernet utilizando o protocolo TCP/IP (SOUZA, 2002). Segundo Barbosa (2006),
Os sistemas SCADA (Supervisory Control and Data Aquisition Sistemas de Superviso e Aquisio de Dados), que em algumas aplicaes so referidos como sistemas supervisrios, so responsveis por coletar os dados de processo disponibilizados pelos equipamentos de controle (CLPs, remotas industriais e outros) e os apresentar em tempo real, atravs de uma interface (grfica) homem mquina, aos operadores [...]

Sistemas SCADA so implementados juntamente com um conjunto de equipamentos utilizados na automao, sendo eles: CLP ou qualquer equipamento que fale o mesmo protocolo implementado no software SCADA. Na figura 4, podemos visualizar melhor esse conceito, ou seja, toda parte de controle de equipamentos da fbrica feita pelos CLPs de pequeno porte e todo o gerenciamento desta automao feita pelo CLP de grande porte,

2 21

tambm temos uma interface homem-mquina para controle local dos processos e um sistema de superviso SCADA para supervisionar e coletar todos os dados para estudo e anlise do processo.

Figura 4 Rede de controle e superviso

Para um sistema SCADA se comunicar com um equipamento da rede de automao necessrio uma interface de escrita e leitura, esta interface chamada de driver. A aplicao SCADA deve ser capaz de enviar mensagens de leitura e escrita para o CLP, que deve ser capaz de receber as mensagens, process-las, atualizar as sadas e, se necessrio, retornar o dado requerido [...] (BARBOSA, 2006)

2 22

3.1 Protocolos de comunicao

Determina a forma de transmisso de dados (formato dos dados, temporizao, sinais de controle utilizados etc.). Cada fabricante de CLP tem seu protocolo de comunicao prprio, normalmente chamado de protocolo proprietrio, o qual utilizado durante a programao do CLP. Algumas CPUs alm de suportarem o protocolo proprietrio, suportam protocolos padres, permitindo comunicao com dispositivos e softwares fornecidos por outros fabricantes, alm da conexo em rede. O protocolo Modbus foi desenvolvido pela Modicon Industrial Automation Systems, hoje Schneider, para comunicar um dispositivo mestre com outros dispositivos escravos [...] (JUNIOR, 2007) Embora seja utilizado normalmente sobre conexes serial padro RS-232, o protocolo Modbus tambm pode ser usado como um protocolo da camada de aplicao em redes industriais, tais como TCP/IP sobre Ethernet e MAP (Manufacturing Automation Protocol Protocolo de Automatizao Industrial). Este talvez seja o protocolo de mais larga utilizao em automao industrial, pela sua simplicidade e facilidade de implementao [...] (JUNIOR, 2007). Baseado em um modelo de comunicao mestre-escravo, o mestre pode denominar transaes chamadas de queries e os demais dispositivos da rede respondem suprindo os dados requisitados pelo mestre, ou obedecendo a uma execuo por ele comandada. Os papis de mestre e escravo so fixos, quando utilizado conexo serial, e em outros tipos de rede, um dispositivo pode assumir ambos os papis, mas no ao mesmo tempo. Na transmisso existe o modo ASCII (American Code For Information Interchange Cdigo americano Para Intercmbio de Informao) e RTU (Remote Terminal Unit - Unidade Terminal Remota), que so escolhidos na configurao da parte de comunicao. A figura 5 apresenta os tipos de protocolos Modbus. O Ethernet Modbus tem o seu funcionamento via protocolo TCP/IP, pois j vem em sua prpria estrutura uma ou mais portas de comunicao Ethernet, para rede. O Modbus Plus e o Modbus RTU tm a sua comunicao via cabo serial, que trafega do CLP at um Gateway, convertendo o sinal para o protocolo TCP/IP na rede.

2 23

Figura 5 - Tipos de protocolos Modbus Fonte: (VISO, 2007)

Modbus TCP/IP: Usado para comunicao entre sistemas de superviso e CLPs (VISO, 2007). Modbus Plus: Usado para comunicao entre si de CLPs, mdulos de E/S, chave de partida eletrnica de motores, IHM etc. (VISO, 2007). Modbus Padro: Usado para comunicao dos CPLs com os dispositivos de E/S de dados, instrumentos eletrnicos, controladores de processo, transdutores de energia etc. (VISO, 2007). O protocolo Profibus o mais popular em redes de campo, muito comum na Europa, que domina mais de 60% do seu mercado de automao industrial. Foi desenvolvido em 1987, como resultado de um projeto alemo envolvendo 21 empresas e institutos de pesquisa (MENDONZA, FERREIRA e MORAES, 2005). Tambm pode ser denominado como um padro aberto de rede de comunicao industrial, dispositivos de diferentes fabricantes podem comunicar-se sem a necessidade de qualquer interface (MENDONZA, FERREIRA e MORAES, 2005).

2 24

O protocolo Profibus usado tanto em aplicaes com transmisso de dados em alta velocidade como em tarefas complexas e extensas de comunicao (MENDONZA, FERREIRA e MORAES, 2005). Pode-se utilizar os seguintes padres para meios de transmisso: RS-485, IEC 61158-2 ou Fibra ptica (MENDONZA, FERREIRA e MORAES, 2005). Existem dois tipos de protocolos Profibus, descritos abaixo: Profibus-DP (Decentrallised Periphery - Periferia Descentralizada): Otimizado para alta velocidade de conexo e baixo custo, o mais utilizado. Foi projetado para comunicao entre sistemas de controle de automao e suas respectivas E/S distribudas (MENDONZA, FERREIRA e MORAES, 2005). Profibus-FMS (Fieldbus Message Specification): usado para tarefas mais complexas, considerado como protocolo de comunicao universal. Oferece muitas funes sofisticadas de comunicao entre dispositivos inteligentes (MENDONZA, FERREIRA e MORAES, 2005). Outro protocolo muito utilizado o Fieldbus, segundo Berge (1998),
O Fieldbus um protocolo desenvolvido para automao de sistemas de fabricao, elaborado pela FieldBus Foundation e normalizado pela ISA (The International Society for Measurement and Control - A Sociedade Internacional para Medida e Controle). O protocolo Fieldbus visa interligao de instrumentos e equipamentos, possibilitando o controle e monitorao dos processos [...]

Geralmente o protocolo Fieldbus utilizado com os chamados softwares supervisrios SCADA, que permitem a aquisio e visualizao, desde dados de sensores, at status de equipamentos (BERGE, 1998). A rede Fieldbus pode cobrir distncias maiores e comunicar os equipamentos de E/S mais modernos. Os equipamentos acoplados rede possuem tecnologia para trabalhar em funes especficas de controle como loops, controle de fluxo e processos (MAHALIK, 2003).

REDES ETHERNET EM AMBIENTE INDUSTRIAL

Redes de computadores so dois ou mais equipamentos ligados um ao outro, sendo possvel assim, compartilhar dados, impressoras, conexes Internet etc. (TANENBAUM, 2003). A comunicao entre os equipamentos d-se atravs de meios de acesso, protocolos e requisitos de segurana (TANENBAUM, 2003). As redes so classificadas de acordo com a distncia entre os equipamentos que estaro conectados. Existem as redes: LAN, CAN, MAN e WAN (TANENBAUM, 2003). Rede LAN (Local Area Network - Rede de rea Local): uma rede local. Abrange, por exemplo, um escritrio, residncia etc. Rede CAN (Campus Area Network - Rede de rea campus): uma rede local que consegue conectar mais de um prdio em um mesmo terreno. Rede MAN (Metropolitan Area Network - Rede de rea Matropolitana): uma rede usada, por exemplo, por uma rede de supermercados, trocando informaes com outras unidades existentes em outras cidades. Rede WAN (Wide Area Network - Rede de rea Larga): uma rede de longa distncia. Interliga variadas localizaes geogrficas, at no mesmo pas. Nesse captulo sero apresentadas redes e Ethernet. A Ethernet tem pelo IEEE (Institute of Electrical and Electronic Engineers - Instituto de Engenheiros Eltricos e Eletrnicos), rgo responsvel pela tecnologia Ethernet, o padro IEEE 802.3, sendo uma rede de transmisso de barramento, permitindo operaes de controle a uma velocidade de 10 ou 100Mbps (bits por segundo) (TANENBAUM, 2003). Na tabela 1 possvel visualizar os principais padres, funes e descries de redes Ethernet.

2 26

PADRO FUNO

IEEE 802.1p Prioriza mensagens. Possui 256 nveis de prioridade

IEEE 802.12d Reduo de links.

IEEE 802.3x Full Duplex. Aumenta a velocidade. Comunica-se bidirecionalmente

IEEE 802.3z Gigabit Ethernet. At 1000Mbps. Backbone (espinha dorsal) corporativo. Conexo da Internet do Brasil para outros pases.

DESCRIO

Confiabilidade para a rede.

Tabela 1 Padres Ethernet Fonte: (JUNIOR, 2007)

Pode-se concluir que as tecnologias de redes industriais esto em contnua evoluo, uma vez que as empresas buscam definir padres com perfis de redes mais seguras e de alto desempenho [...] (WATANABE, 2006). Redes industriais so sistemas distribudos, que representam diversos dispositivos trabalhando simultaneamente de modo a supervisionar e controlar um determinado processo. Esses dispositivos, por exemplo, sensores, atuadores, CLPs, PCs; esto interligados e trocam informaes de forma rpida e precisa. Um ambiente industrial , geralmente, hostil, de modo que os dispositivos ligados rede industrial devem ser confiveis, rpidos e robustos (OLIVEIRA, 2005). Para se implementar um sistema de controle distribudo, baseado em redes, tem-se a necessidade de vrios estudos detalhados sobre o processo a ser controlado, buscando o sistema que melhor se enquadre para as necessidades do usurio (OGATA, 2003). As redes industriais tm como padro trs nveis hierrquicos, sendo eles responsveis pela conexo de diferentes tipos de equipamentos. O nvel mais alto o que interliga os equipamentos usados para o planejamento da produo, controle de estoque, estatsticas da qualidade, previses de vendas. Geralmente implementado usando-se programas gerenciais, por exemplo, sistemas SAP, Arena etc. O protocolo TCP/IP, com padro Ethernet o mais utilizado nesse nvel (DECOTIGNIE, 2001, apud SILVA, CRUZ e ROSADO, 2006). No nvel intermedirio, encontramos os CLPs, nos quais trafegam, principalmente, informaes de controle de mquina, aquelas informaes a respeito do status de equipamentos como robs, mquinas ferramentas, transportadores etc. (OLIVEIRA, 2005). O terceiro nvel o que se diz referncia para a parte fsica da rede, onde se encontra os sensores, atuadores, contadores etc. A classificao das redes industriais:

2 27

Rede Sensorbus: usada para conectar equipamentos simples e pequenos diretamente rede. Esses equipamentos precisam se comunicar rapidamente nos nveis mais baixos, consistem geralmente em sensores e atuadores de menor valor. Esse tipo de rede se preocupa em manter os custos de conexo o mais baixo possvel (MONTEZ, 2005). Rede Devicebus: Encontrada entre as redes Sensorbus e Fieldbus cobrindo at 500m de distncia. Os equipamentos conectados a Devicebus tero mais pontos discretos, dados analgicos ou uma mistura dos dois. Em algumas dessas redes permitido transferir blocos em prioridade menor se comparado aos dados no formato de bytes. Possui os requisitos de transferncia rpida de dados como da rede Sensorbus, conseguindo lidar com mais equipamentos e dados (MONTEZ, 2005). Rede Fieldbus: Interliga os equipamentos de I/O mais inteligentes e pode cobrir maiores distncias. Os equipamentos conectados nessa rede possuem inteligncia para desempenhar funes especficas de controle, como o controle de fluxo de informaes e processos. Os tempos de transferncia so longos, mas, em compensao, a rede capaz de se comunicar usando vrios tipos de dados (discreto, analgico, parmetros, programas e informaes do usurio) (MONTEZ, 2005).

SEGURANA EM REDES DE AUTOMAO

A segurana deixou de ser um tema centrado nas redes de computadores e passou a ser um tema abrangente para todas as tecnologias que se comunicam atravs de redes. Segundo Souza (2002),
A maioria dos sistemas operacionais e equipamentos de comunicao de dados fabricados hoje possuem interfaces para comunicao com redes TCP/IP, ou seja, so capazes de se comunicar com outros equipamentos e redes que tambm utilizam o padro TCP/IP [...]

A tecnologia atual permite que qualquer circuito eletrnico que possua rede Ethernet integrada em seu sistema possa se comunicar com computadores interligados por rede. Essa facilidade faz com que dados sejam coletados mais rapidamente e mais facilmente, porm deixa o circuito vulnervel rede de computadores. A vulnerabilidade do circuito acontece se na implementao dos protocolos no houve nenhuma preocupao com a segurana dos dados, ou seja, se o hardware deixar alguma possvel falha para que outras pessoas possam acessar seus dados e modific-los sem autorizao. O CLP um circuito eletrnico que possui rede integrada e comunica-se com outras redes utilizando diversos protocolos, podendo tambm ser interligado em redes de computadores. Podemos visualizar melhor o papel do CLP em uma rede atravs da figura 6, onde o CLP comunica-se com duas redes distintas, sendo uma rede dos equipamentos da automao e uma rede para controle da IHM e interligao com a rede corporativa de computadores.

Figura 6 Rede de automao

2 29

A rede montada na figura 6 mostra a vulnerabilidade do CLP na rede corporativa, j que qualquer pessoa pode acessar os dados do CLP atravs da rede, ou seja, a mesma rede montada para facilitar a aquisio dos dados de uma automao pode ser usada para prejudicar e modificar esses dados, pelo fato da rede corporativa e a rede industrial estarem em uma rede apenas e no em duas redes separadas e filtradas por um Firewall. Em uma rede de automao existem alguns itens de segurana que devem ser cuidados com mais ateno: confidencialidade, integridade, autentificao, autorizao,

disponibilidade, auditoria, em que alguns itens merecem mais prioridade que outros, porm, todos so importantes e tm a funo de garantir a confiabilidade dos dados trafegados na rede. Todos os dados trafegados na rede tm uma origem e um destino, porm, esses dados podem ser interceptados, modificados e reenviados para seu destino, isso acontece em redes que no garantem a confidencialidade, integridade e autentificao de seus dados. Em alguns casos, os dados so apenas interceptados e usados na espionagem e, assim, dados confidenciais podem ser obtidos facilmente. A autorizao e disponibilidade garantem que cada tipo de usurio acesse somente os dados permitidos para sua funo, ou seja, um usurio com senha para coletar dados do processo no poder acessar a programao do CLP e modific-la. A auditoria garante que todos os itens acima sejam cumpridos e checa o sistema para garantir sua integridade.

5.1 Novo contexto na indstria

A segurana um item indispensvel para redes que possuem mais de um usurio e so abertas a redes externas. O ndice que mede estatsticas de segurana est crescendo muito conforme mostrado na figura 7, ou seja, muitos usurios e empresas esto sendo vtimas de hacker e vrus em suas redes. Com base no grfico, nota-se que em 2006 houve um grande aumento em relao aos anos anteriores. De 1999 a 2005, a mdia foi de 24.174 incidentes registrados. Em 2006 o nmero registrado foi de 197.892 incidentes, ou seja, mais de 800% comparado aos ltimos oito anos. Neste ano, j foram registrados 94.809 incidentes at o ms de junho. Em relao a 2006 houve um aumento de 18%.

3 30

Total de Incidentes Reportados ao CERT.br por Ano

210000 180000
197892

Total de Incidentes

150000 120000 90000 60000 30000 0 1999 2000 2001 2002 2003 2004 2005 2006
25092 3107 5997 12301 54607 75722 68000

Ano (1999 a junho de 2006)

Figura 7 - Estatsticas de incidentes com segurana no Brasil Fonte: (CERT, 2007)

Junto com toda a evoluo tecnolgica da automao industrial surgiram muitas outras questes que necessitam de uma ateno especial das pessoas ligadas rea. At a dcada de 90 o ambiente de automao industrial era totalmente parte do ambiente corporativo de uma indstria [...] (BARBOSA, 2006), no qual redes de computadores corporativas baseadas no padro IEEE 802.3 (Ethernet) no eram interligadas s redes existentes de automao e os equipamentos de automao possuam sistemas dedicados e computadores industriais exclusivos. Redes de automao que se comunicam atravs do protocolo TCP/IP e esto interligadas a uma rede corporativa tambm esto sujeitas a incidentes de segurana, pois podem ser acessadas facilmente atravs de seu endereo IP na rede. A figura 8 ilustra um exemplo de rede com computadores e CLP na mesma rede com informaes individuais, sendo assim, o nome, IP e mscara de rede so fixos.

3 31

Figura 8 Rede de automao utilizando protocolo TCP/IP

Muitas empresas esto criando mtodos e normas internas para tentar combater e prevenir a falta de segurana, porm, muito importante que haja uma interao entre a equipe de TI (Tecnologia da Informao) com a equipe de TA (Tecnologia da Automao) para que a rede possa ser projetada da melhor forma possvel, unindo velocidade e segurana. Atualmente, temos no mercado equipamentos e softwares para automao que so abertos a todos os tipos de sistemas operacionais e que podem ser interligados s redes corporativas das empresas, onde seus protocolos de comunicao possuem encapsulamento em pacotes TCP (RODRIGUEZ, 2007). A partir deste cenrio, surgiram os sistemas historiadores de processo ou PIMS (Plant Information Management Systems), que so capazes de obterem dados e gravar em um banco de dados temporal, e usados em softwares de controle corporativo (BARBOSA, 2006). A integrao do ambiente industrial e corporativo um fato, porm, possuem caractersticas individuais. O ambiente industrial tem como prioridade a produo e a segurana humana, j o ambiente corporativo prioriza o desempenho e a integridade dos dados (BARBOSA, 2006). Pode-se visualizar melhor as prioridades de cada ambiente na figura 9.

3 32

Figura 9 Prioridades nos ambientes industriais e corporativos.

Em alguns sistemas onde os processos so crticos, a disponibilidade dos dados feita atravs da redundncia de informaes, nos quais existe um CLP primrio que coleta os dados, processa e os envia para a rede. Caso este CLP primrio tenha algum problema, existe um CLP secundrio que assumir o controle instantaneamente. Para haver a redundncia necessria uma arquitetura de rede diferenciada, O conceito simples: quando um equipamento entra em estado de defeito, o outro assume imediatamente, garantindo a disponibilidade e a segurana fsica do sistema.

5.2 Integrao entre ambiente de TI e TA

Em virtude da crescente necessidade do mercado de interagir hardware com software, os ambientes de TI e TA foram unidos e passaram a trabalhar com os mesmo propsitos, pois, atualmente, sistemas operacionais como Windows, Linux e outros, juntamente com equipamentos como hubs, switchs, computadores pessoais, servidores e a prpria rede TCP/IP passaram a ser itens de grande aplicao no ambiente de TA (MORA, 2007). Apesar da unio da TI com a TA, no possvel aplicar todos os equipamentos e softwares encontrados hoje no mercado para redes de TI em processos de controle e superviso da automao (MORA, 2007). Em funo de suas necessidades, os ambientes de TI e TA tm o mesmo objetivo, porm, possuem prioridades inversas (MORA, 2007):

3 33

Ambiente TI: Prioriza a confidencialidade dos dados na rede, protegendo contra acessos no autorizados, prioriza tambm a integridade e a disponibilidade (MORA, 2007). Ambiente de TA: Sua maior prioridade a disponibilidade, pois no pode tolerar pequenas interrupes podendo causar grandes perdas, sejam elas de produo ou danos ao equipamento. Seguindo a ordem de prioridades vem a integridade e a confidencialidade dos dados, protegendo e garantindo que os dados no sejam danificados ou acessados por pessoas no autorizadas (MORA, 2007). O hardware para equipamentos de TI projetado para ficar em ambientes no agressivos e livres de interferncia eletromagnticas, j os equipamentos de automao so projetados para ambientes de cho de fbrica, mais agressivos e com muita interferncia e rudos. Enquanto sistemas de TI (hardware e software) tm estimativa de vida na mdia de 5 anos, os sistemas de TA devem permanecer operando por no mnimo 10 anos (MORA, 2007).

AMEAAS AO AMBIENTE DE AUTOMAO INDUSTRIAL

Com o constante avano tecnolgico e o fcil acesso a novas tecnologias, muitos usurios de computadores tm conhecimento em redes e nos protocolos de comunicao TCP/IP, junto com este conhecimento, surgem muitos softwares com o propsito de explorar falhas e danificar ou roubar informaes indevidas (BARBOSA, 2006). A exposio dos sistemas SCADA s ameaas aumenta, medida que estes so conectados a um nmero cada vez maior de redes e sistemas para compartilhar dados e fornecer servios on-line (SEVOUNTS, 2004). Existem diversas formas de atacar um sistema de automao industrial, seja na degradao de servios da rede, ou na explorao de falhas. Alguns itens merecem destaque, como: propagao de cdigos maliciosos, negao de servios, explorao de falhas no sistema operacional ou a m configurao dos servios de rede (PIRES, OLIVEIRA e BARROS, 2004). A segurana interna entre os equipamentos da prpria rede tambm devem ser levada em considerao, pois um usurio dentro da empresa pode ter acessos privilegiados a informaes que no deveria ter, facilitando a liberao de vrus e roubo de informaes. necessrio saber como so classificadas as ameaas que podem causar impactos em nossos sistemas, comprometendo os princpios de segurana. As vulnerabilidades podem estar expostas no hardware, software, meios de armazenamento ou comunicao. Devemos primeiramente rastrear e eliminar as vulnerabilidades de um ambiente de tecnologia de informao, aps isso, ser possvel dimensionar os riscos aos quais o ambiente est exposto e definir as medidas de segurana mais apropriadas para o ambiente. Dentre as vulnerabilidades temos: Vulnerabilidade Fsica: Instalaes inadequadas, ausncia de recursos para combates a incndio, disposio desorganizada de cabos de redes, energia. Vulnerabilidade do hardware: Defeitos de fabricao, configurao de

equipamentos, ausncia de proteo contra acesso no autorizado, conservao inadequada de equipamentos. Vulnerabilidade de software: Caracteriza-se normalmente por falhas de programao, que permitem acessos indevidos ao sistema, liberdade de uso do usurio.

3 35

Vulnerabilidade dos meios de armazenamento: CD-ROM, fitas magnticas e discos rgidos, se utilizados de forma inadequada, seu contedo poder estar vulnervel a uma srie de fatores, como confidencialidade de informaes. Vulnerabilidade de Comunicao: Abrange todo o trfego de informaes. O sucesso no trfego de dados um aspecto fundamental para a implementao da segurana da informao, como est tambm associada ao desempenho dos equipamentos envolvidos. Ausncia de sistemas de criptografias, por exemplo. Vulnerabilidade Humana: Relaciona-se a danos que as pessoas podem causar s informaes e ao ambiente tecnolgico. A maior vulnerabilidade seria o desconhecimento das medidas de segurana adotadas que so adequadas para cada elemento do sistema. Dentre as principais ameaas s redes de computadores esto os vrus, worms, cavalos de Tria e os ataques a sistemas informatizados. Um vrus pode ser definido como um segmento de cdigo de computador que se anexa a um programa ou arquivos para se propagar de computador em computador. Propaga a infeco, medida que viaja. Os vrus podem danificar o seu software, equipamento informtico e outros arquivos (MICROSOFT, 2007). Um worm, tal como um vrus, foi concebido para copiar-se de um computador para outro, mas de forma automtica. Em primeiro lugar, toma controle de funes do computador que permitem transportar arquivos ou informaes. O worm, aps ter entrado no sistema, pode movimentar-se sozinho. Um dos grandes perigos dos worms o fato de que podem duplicar-se em grande volume. Por exemplo, um worm pode enviar cpias de si prprio para todas as pessoas que estejam em uma listagem de endereos de um correio eletrnico, e os computadores dessas pessoas faro o mesmo, causando um efeito de avalanche, resultando em congestionamentos nas redes das empresas e em toda a Internet. Quando so libertados novos worms, estes se espalham rapidamente, congestionam as redes e podem criar grandes perodos de espera para abrir pginas na Internet (MICROSOFT, 2007). O cavalo de Tria propaga-se quando, inadvertidamente, softwares so abertos por usurios, que pensam estar executando um software de uma fonte legtima. Os cavalos de Tria podem tambm estar includos em software disponvel para transferncia gratuita (MICROSOFT, 2007). Os Ataques so eventos que podem comprometer a segurana de um sistema ou de uma rede. Podem ou no ter sucesso, se tiver, caracteriza-se por uma invaso ou uma ao que pode ter um efeito negativo (FUNDAMENTOS, 2007).

3 36

Segundo FUNDAMENTOS (2007), temos duas categorias de ataques: A primeira envolve conexes permitidas entre um cliente e um servidor, ataques de canal de comando, direcionados a dados, a terceiros e a falsa de autenticao de clientes. J a segunda, envolve ataques que trabalham sem a necessidade de se fazer conexes, injeo e modificao de dados, negao de servios etc.

6.1 Tcnicas para acesso no autorizado

Os acessos no autorizados s redes podem ser qualificados de dois modos: maliciosos e os no maliciosos. Os maliciosos so realizados por pessoas que tm o propsito de roubarem dados ou danificar o sistema, j os no maliciosos so feitos por pessoas que no possuem treinamento sobre o sistema operacional e acabam cometendo erros ao utilizar o sistema. Atualmente, existem muitas formas para acessar redes que utilizam protocolo TCP/IP sem possuir autorizao devida. A forma mais comum atravs do compartilhamento de pastas, arquivos e servios que o prprio usurio disponibiliza na rede. Muitos usurios por no saberem utilizar corretamente o sistema operacional, acabam compartilhando pastas e arquivos sem ter conhecimento de que os mesmos podero ser acessados e modificados por todos que acessarem sua rede. No caso de uma rede de automao, alguns CLPs disponibilizam portas de acesso para servios como: programao, visualizao de processo, modificao de variveis e diagnsticos. Se as portas de acesso para estes servios no estiverem sendo monitoradas por um Firewall interno, o CLP pode estar vulnervel a acessos no autorizados. Segundo Rodriguez (2007), partindo da hiptese de que a ameaa seja originada por algum com acesso no monitorado e no autorizado na rede, temos algumas das principais tcnicas de acesso: Spoofing: Consegue monitorar e introduzir pacotes de comunicao na rede modificados. O remetente envia pacotes para um endereo de rede qualquer, se passando por um computador da rede, ou seja, em uma rede onde no existem restries para os usurios da rede interna, essa tcnica se encaixa perfeitamente. O nico problema para o atacante que este um ataque cego, pois ele no recebe mensagens de confirmao de seus pacotes.

3 37

Replay: Monitora e copia pacotes de comunicao da rede, conseguindo reinserir na rede quando achar necessrio. Atravs deste tipo de ataque possvel confundir o equipamento destinatrio, pois ao mudar a seqncia dos pacotes podem surgir erros nas instrues e lentido na aquisio de dados. Negao de servio: Este ataque tambm conhecido como DoS (Denial of Service) onde o usurio tenta derrubar o web service do equipamento, seja enviando pacotes invlidos ou vlidos na tentativa de sobrecarregar o processamento do equipamento e travar para que ningum possa utilizar seus servios. Lembrando que este tipo de ataque no uma invaso, mas uma invalidao por sobrecarga de comunicao. ARP (Address Resolution Protocol) spoofing: Burla o sistema de identificao das mquinas, falsificando o MAC (Media Access Control) adress da placa de rede com o propsito de receber pacotes endereados para outras mquinas. Podendo assim receber dados sigilosos que o equipamento mandaria para um sistema de superviso e controle. Discovery: Insere pacotes de dados na rede para obter informaes sobre outros elementos da rede, como a quantidade e a identificao de cada CLP. Normalmente esta modalidade antecede as descritas acima, pois atravs das informaes obtidas na rede, o invasor consegue acesso s mquinas. Existem muitas outras tcnicas utilizadas para acessos no autorizados, atravs das quais so exploradas falhas nos protocolos de comunicao da prpria rede utilizada pelos controladores (RODRIGUEZ, 2007).

MEDIDAS PARA MINIMIZAR VULNERABILIDADES

Apesar de no ser um assunto muito divulgado, as empresas esto se preocupando com a segurana em seus sistemas de automao industrial e adotando algumas medidas para minimizar as possveis falhas e vulnerabilidades dos sistemas. Com esse fim, foi criada a norma ISA 99 (ENTERPRISE, 2004) que trata, especificamente, sobre segurana em ambientes de automao industrial (BARBOSA, 2006). Muitas medidas podem ser tomadas para reforar a segurana em redes de automao, porm, preciso analisar as vulnerabilidades do sistema para conhecer melhor as decises a serem tomadas. Abaixo segue uma relao de algumas das principais iniciativas (BARBOSA, 2006): Desenvolvimento e implementao de polticas de segurana baseadas nos sistemas de automao; Instalao em locais estratgicos de Firewall e outros mecanismos contra softwares maliciosos; Controle dos servios de acesso remoto, permitindo sesses criptografadas; Planejamento de atualizaes de softwares como sistema operacional, antivrus, Firewall e outros softwares especficos; Realizao de treinamentos para que todos os usurios da rede possam saber de suas responsabilidades e deveres perante a rede corporativa; Manuteno do tempo de sincronismo dos equipamentos da rede; Criao de polticas de backup; Segmentao fsica e lgica da rede; Deixar somente os servios necessrios rodando no equipamento, desabilitando outros servios que podem servir de porta de entrada para vrus e acesso de pessoas no autorizadas; Utilizao de tecnologias capazes de certificar os usurios da rede; Utilizao de sistemas capazes de detectar a presena de usurios no autorizados na rede; Criao de uma equipe de anlise e auditoria dos dados trafegados na rede que possam tornar o processo de segurana sempre atualizado.

3 39

As decises de um administrador de rede, relacionadas segurana, iro determinar o quanto a rede segura. As decises determinaro o que ela tende a oferecer, e qual ser a facilidade de us-la. Porm, voc no consegue tomar boas decises de segurana, sem antes determinar quais so os objetivos de segurana. Sem a determinao desses objetivos de segurana, no ser possvel fazer o uso completo de qualquer ferramenta de segurana e no sero checadas todas as restries necessrias da rede (POLITICA, 2000). Uma poltica de segurana deve obter alguns controles no ambiente corporativo. Entre eles esto: software de deteco de vrus e cavalos de tria, controle de acesso lgico e mecanismos de controle acesso fsico (POLITICA, 2000), alguns exemplos de software comerciais: Norton Antivrus 2007, Norton Internet Security 2007. Segundo POLITICA (2007) a Poltica de Segurana da informao dever envolver os seguintes agentes: Gestor da informao: o responsvel em tomar as decises em nome da empresa no que diz respeito ao uso, localizao, classificao, e proteo de um recurso especfico na informao. Custodiante: o agente responsvel pelo processamento, organizao e guarda da informao. Usurio: qualquer pessoa que interage diretamente com o sistema

computadorizado. A pobre educao em segurana um dos primeiros problemas que deve ser resolvido na implementao de um plano de segurana. No adianta ter os melhores profissionais, se os funcionrios no esto cientes da real necessidade de segurana, e como se deve proceder (FUNDAMENTOS, 2007).

7.1 Normas ligadas segurana de informaes

Normas e padres internacionais so utilizados nos mais variados casos para se facilitar implementao e normalizao de solues que contribuem para a sociedade. No ano 2000, a ISO (International Organization for Standardization) lanou a norma ISO/IEC 17799:2000, disponvel no Brasil atravs da norma NBR-ISO 17999:2000. Essa norma evoluiu e se tornou a atual ISO/IEC27001: 2005 abrangendo gestes de segurana das informaes, baseada na

4 40

BS 7799-2:2002. As ISO/IEC 27001:2005 e ISO/IEC 17799:2005 se complementam (RODRIGUEZ, 2007). Na norma ISO/IEC 27001:2005 se encontram 133 controles de segundo nvel, distribudos em 11 tpicos bsicos, sendo os principais na implementao de segurana da informao (RODRIGUEZ, 2007): Poltica de Segurana da Informao; Gesto da Segurana da Informao; Gesto de Ativos; Segurana em Recursos Humanos; Segurana fsica e do ambiente; Gerenciamento de Operaes e Comunicaes; Controle de Acesso; Aquisio, desenvolvimento e manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana da Informao; Gesto da Continuidade de Negcios; Conformidade. Outro padro adotado nas indstrias o COBIT (Control Objectives for Information and related Technology). Seu uso tambm se deu no ano de 2000, junto ISO 27001; definindo melhores mtodos de segurana da informao. O COBIT foi criado pelo ITGI (IT Governance Institute) e ISACA (Information Systems Audit and Control Association) e atualmente est na verso 4.0 (RODRIGUEZ, 2007). Fundamentado em 34 processos de Tecnologia da Informao, o COBIT dividido em 4 sesses (RODRIGUEZ, 2007): Controlar o alto nvel do processo; Controlar detalhadamente o alto nvel do processo; Gesto: Entradas, sadas, grficos, objetivas e mtricas; Modelo de maturidade do processo. Fatores fundamentais para o foco do COBIT so: (RODRIGUEZ, 2007) Estratgia para o plano de negcios da organizao; Englobar valores nos servios de TI; Gesto de recursos; Gesto de riscos; Avaliaes do desempenho.

4 41

No ambiente de TA a grande preocupao o risco operacional, porm estes padres podem ser seguidos para implementao da segurana das redes de automao, permitindo a proteo da informao e a operao das corporaes [...] (RODRIGUES, 2007). Para se implementar a segurana fazendo-se uso da norma ISO/IEC 27001, necessrio seguir as etapas (RODRIGUEZ, 2007): Definir escopo: Definir detalhes. Uma boa definio vai facilitar o desenvolvimento dos passos seguintes. Pela norma, o escopo deve seguir as caractersticas do negcio. Definir a Poltica de Segurana: Definir acesso dos altos nveis da organizao. Deve ser aplicada ao escopo. Elaborar mtodos das Anlises de Riscos: Criar uma estratgia para se avaliar os riscos, definindo-se os riscos aceitveis e os que oferecem cuidados. Tratamento dos Riscos: Feito atravs das Anlises de Riscos. Aes possveis so: Aceitar o risco, negar o risco, mitigar o risco ou transferir o risco. Abrangendo as medidas de: Correo: Eliminao do risco. Preveno: Para que o risco no volte a ocorrer. Deteco: Identificar o risco. Auditoria e reviso dos controles: Auditorias da empresa so necessrias para testar e avaliar a implementao de segurana. Com base no resultado dessa auditoria, deve-se avaliar e estudar possveis revises e atualizaes, caso necessrio.

8.

IMPLEMENTAO DE SEGURANA EM REDES DE AUTOMAO

Para uma anlise e demonstrao efetiva de como proteger redes de automao, ser demonstrado neste captulo, uma implementao real, na qual teremos duas redes distintas representando as redes industrial e corporativa. Na figura 10, possvel visualizar a topologia usada para esta anlise, sendo dividida em duas redes, do lado direito, a rede industrial e do lado esquerdo, a rede corporativa. Para realizao do experimento, foram utilizados os seguintes equipamentos: CLP-01: CLP linha Twido da Schneider Electric, com 16 entradas digitais e 16 sadas a rel, possui porta de comunicao Ethernet para comunicao externa de dados, protocolo utilizado Modbus TCP/IP. Para este equipamento foi definido o IP 192.168.11.54, 192.168.11.100. Firewall: Computador responsvel pela separao das redes, cujo sistema operacional Linux, distribuio CentOS, padro RedHat. A distribuio contm um sistema de filtro, o Iptables, que controla trfego de pacotes e permite a configurao de regras, deixando assim a configurao ajustvel conforme a necessidade. Para essa diviso das redes, foram instaladas nesse computador, duas placas de rede (Eth0 e Eth1), sendo Eth0 responsvel pelo trfego de pacotes da rede corporativa e Eth1 pelo trfego de dados da rede industrial. Atravs da identificao das placas que sero filtrados os pacotes vindos da rede corporativa. Para a placa da rede corporativa (Eth0), foi definido o IP 192.168.10.100 e para a placa da rede industrial (Eth1), o IP 192.168.11.100. Superviso: Computador pessoal com sistema operacional Windows XP mscara de sub-rede 255.255.255.0 e Gateway padro

Professional, utilizando software E3 verso 2.5 desenvolvido pela Elipse Software. Esta verso de Windows possui um Firewall interno que tem o intuito de filtrar pacotes, possveis acessos externos e arquivos suspeitos. No sero necessrias configuraes adicionais para esse computador, pois o mesmo apenas ir ler e gravar informaes do CLP. Para este equipamento foi definido o IP 192.168.10.50. Estao de Trabalho: Computador pessoal com sistema operacional Windows XP Professional, ser utilizado para simular acessos e teste de segurana sobre as regras inseridas no Firewall. Para este equipamento foi definido o IP 192.168.10.51.

4 43

Figura 10 Rede implementada para anlise

O protocolo usado nesta anlise foi o TCP/IP para a rede corporativa e o Modbus TCP/IP para a rede de automao. A comunicao entre os equipamentos da rede deve seguir os seguintes parmetros e requisitos de segurana: O nico equipamento que acessa os dados do CLP o que possui instalado o sistema de superviso, podendo requisitar e gravar dados livremente atravs da porta TCP 502, disponibilizada pelo CLP para comunicao de dados. O nico equipamento que pode acessar a rede corporativa vindo da rede de automao o CLP-01, utilizando apenas a porta TCP 502, eliminando assim, o trfego de dados desnecessrios e possveis ataques oriundos de outros pontos da rede. O sistema de superviso acessa livremente a rede corporativa, podendo trafegar dados sem restrio. A estao de trabalho acessa livremente a rede corporativa, porm no tem nenhum tipo de acesso para a rede de automao. Para que os parmetros acima sejam cumpridos e efetivamente implementados necessrio a configurao do Firewall. Foi implementado o seguinte trecho de cdigo para o IPTables:

4 44

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

# Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip_forward

# 2. - Liberando IP do supervisrio para acesso ao CLP /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.50 -d 192.168.11.54 -j ACCEPT

# 3. - Bloqueando acesso as demais mquinas /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -d 192.168.11.0/24 -j DROP

# 4. - Liberando acesso ao supervisrio para a porta 502 iptables -A FORWARD -d 192.168.10.50 -p tcp --sport 502 -j ACCEPT

# 5. - Bloqueando acesso aos outros micros da rede para a porta 502 iptables -A FORWARD -d 192.168.10.0/24 -p tcp --sport 502 -j DROP

O cdigo completo desta implementao est no Apndice A Regras de Firewall. No trecho de cdigo acima foram implementadas aes de bloqueio, liberao de IP e porta de acesso. Primeiramente no script, mostrado um comando que zera as polticas e depois vem executando as regras uma a uma na ordem (linha 2 a 5). Para a nossa anlise, temos que liberar o servio de forward que serve para encaminhamento de pacotes das placas entre si (linha 7 e 8). Na prxima linha, indicamos qual IP que poder acessar o CLP, que no caso o micro supervisrio (linha 11 a 13). Ser executado na prxima linha, o bloqueio dos demais IPs, pois somente o micro supervisrio ter privilgio para buscar informao no CLP (linha 16 a 18; 21 e 22). Em seguida, bloqueamos todas as demais portas e assim finalizamos o script (linha 26 e26). Para que os computadores da rede corporativa fiquem protegidos de aes maliciosas oriundas de usurios do sistema, foi necessria a criao de polticas de segurana para essa rede e definidos os seguintes parmetros: Os computadores da rede corporativa iro trabalhar em rede, porm as contas de usurios no tero privilgios de administrador do sistema, limitando assim aes do usurio.

4 45

Foi instalado em todos os computadores da rede corporativa, um programa de antivrus com base de dados atualizada diariamente. As instalaes de novos softwares, configuraes especficas, podero ser feitas somente com a senha de administrador local. A implementao destas polticas de segurana ser realizada atravs de um servio que configurado no servidor de rede, o nome do servio Active Directory disponibilizado no Windows Server 2003. Com todo o sistema de segurana descrito anteriormente, implementado e funcionando corretamente, pode ser observada a movimentao dos pacotes de dados na rede na figura 11, em que temos o software Iptables rodando como Firewall implementado em um sistema operacional Linux e exibindo os pacotes de dados. Somente os pacotes que tm origem do IP: 192.168.10.50 (Sistema de superviso) e com destino ao IP: 192.168.11.54 (CLP-01) atravs da porta TCP 502, possuem acesso livre na rede de automao, caso haja requisio de outro IP, ser bloqueado. Essa medida de segurana garante que somente o sistema de superviso poder acessar e requisitar dados do CLP na rede de automao, evitando ataques e espionagem nos pacotes de dados. Todos os pacotes que tem origem do CLP, IP: 192.168.11.54 na rede de automao devem ser endereados para o sistema de superviso da rede corporativa IP: 192.168.10.50, caso contrrio, sero bloqueados. Essa medida garante que nenhum outro equipamento futuramente instalado na rede de automao acesse livremente a rede corporativa.

Figura 11 Movimentao dos pacotes de dados ao passarem pelo Firewall.

Para uma anlise comparativa, na figura 12, temos um computador da rede corporativa verificando a disponibilidade do CLP. Para isso, utilizamos a mesma topologia de rede, porm, sem o Firewall e sem as regras de segurana descritas anteriormente neste captulo, podemos observar que os pacotes de dados na rede trafegam sem nenhum tipo de bloqueio.

4 46

Com este trfego de dados liberado, os computadores da rede corporativa e industrial compartilham dados e trocam informaes livremente, permitindo que as redes fiquem vulnerveis a aes de usurios e vrus.

Figura 12 Movimentao dos pacotes de dados sem Firewall na rede.

Para finalizar a anlise podemos observar que uma rede que no for bem planejada e que no levar em considerao requisitos bsicos de segurana pode tornar-se vulnervel a qualquer tipo aes originadas de usurios ou vrus. O uso de Firewall para bloqueio de pacotes de dados indispensvel em qualquer topologia de rede que possua duas redes interligadas e que exija um grau de segurana elevado.

CONCLUSO

Conclumos que a segurana em redes de automao industrial, na prtica, pouco levada em considerao, porm, um assunto de extrema importncia devido aos prejuzos que podem trazer s empresas. Foram levantadas algumas das principais ameaas e vulnerabilidades encontradas nos ambientes estudados. Essas vulnerabilidades abrem portas para possveis ataques, espionagem e danos aos sistemas ligados em rede. Em um sistema integrado de automao, em que as redes corporativas e industriais esto interligadas, surge a necessidade da separao lgica das redes, sendo elas protegidas por Firewall, pois com essa separao, diminui o fluxo de dados da rede industrial na rede corporativa, mantendo a performance mxima, evitando espionagens e deixando-as trabalhando individualmente. O Firewall permite a filtragem de pacotes deixando que um sistema de superviso busque as informaes disponibilizadas na rede industrial quando necessrio. Como as empresas, na maioria das vezes, no fornecem palestras ou cursos para seus funcionrios, so obrigadas a adotar polticas de segurana para minimizar possveis danos. Para isso, foram criadas normas para implementao da segurana da informao, porm, algumas empresas no seguem normas de segurana e tm suas prprias polticas de segurana, adaptando-as sua necessidade. Com base nas anlises feitas, podemos concluir que alm de protees fsicas, como o Firewall, que responsvel pelo filtro dos pacotes da rede industrial e corporativa, seria necessrio treinamento aos usurios que iro utilizar os computadores da empresa, pois atualmente, no existe nenhum software no mercado que nos deixe cem por cento imunes a qualquer tipo de ataque ou invaso, porm existem mtodos para minimiz-las e dificult-las, garantindo a qualidade e confiabilidade dos dados. Hoje, grande parte dos vrus so enviados por e-mails e executados por usurios, cabendo a eles evitar a sua execuo. Buscando reduo de desastres e perda de arquivos, o treinamento vem a ser importante. As empresas devem seguir normas de segurana para garantir a mxima proteo de seus dados e sistemas, estando com seus softwares sempre atualizados e com polticas rgidas de segurana.

REFERNCIAS

BARBOSA, Heber Almeida. Deteco de Intruso em Redes de Automao Industrial; Programa de Ps-Graduao em Informtica. Universidade Federal do Esprito Santo, 2006.

BERGE, Jonas. Fieldbuses for Process Control: Engineering, Operation and Maintenance. Apostila do curso ministrado no CEETPES - E.T.E. Professor Armando Bayeux da Silva , no ano de 1998 no Curso CLP Bsico, por Pedro Luis Antonelli.

CERT. Disponvel em: <http://www.cert.br>. Acesso em: 14 de maio de 2007. CONTI, Ftima. Histria do computador e da Internet: anos 60. Disponvel em: <http://www.cultura.ufpa.br/dicas/net1/int-h196.htm>. Acesso em: 26 de maio de 2007.

CONTROLADORES lgicos programveis Histrico. Disponvel em <http://www.eaut.com.br/littecnica/clphistorico.htm>. Acesso em 25 de maio de 2007.

DECOTIGNIE, J. A perspective on Ethernet-TCP/IP as a fieldbus, IFAC International Conference on Fieldbus Systems and their Applications. Frana, 2001.

ENTERPRISE, Control System Integration Part I: Models and Terminology. Technical Report, ISA-TR99.00.01. 2004.

FUNDAMENTOS de segurana. Disponvel em: <http://www.projetoderedes.com.br/apostilas/apostilas_seguranca.php>. Acesso em: 23 de agosto de 2007.

GEORGINI, Marcelo. Automao aplicada - Descrio e Implementao de sistemas seqenciais com PLCs. Cap. 2: Controlador Lgico Programvel. Cap 3: Arquitetura Bsica do PLC. 2000.

49

JUNIOR, Constantino Seixas. Disponvel em: <http://www.cpdee.ufmg.br/~seixas/PaginaII/Download/DownloadFiles/Aula%20IEC%2061 131-3.pdf>. Acesso em: 06 de maio de 2007.

MAHALIK, N. Fieldbus Technology - Industrial Network Standards for Real-Time Distributed Control, 2003.

MENDONZA, Diogo; FERREIRA, Fernando Santos; MORAES, Tyago Antnio de. Tecnologia Profibus. Universidade de Braslia, 2005.

MICROSOFT. Disponvel em: <http://www.microsoft.com/portugal/athome/security/viruses/virus101.mspx#ESC>. Acesso em: 26 de agosto de 2007.

MONTEZ, C. Redes de Comunicao Para Automao Industrial. 2005.

MORA, Halley R. M.. Analista de Automao Industrial. International Paper 2007.

MORAES, C. C. de; CASTRUCCI, P. L. Engenharia de Automao Industrial. LTC, 2001.

NATALE, Ferdinando. Automao Industrial. 6 Edio. RICA. 2000.

OGATA, K. Engenharia de Controle Moderno. 2003.

OLIVEIRA, L. Redes para Automao Industria. 2005.

PIRES, Paulo Srgio Motta; OLIVEIRA, Luiz Affonso Guedes de; BARROS, Diogo Nascimento. Aspectos de segurana em sistemas SCADA uma viso geral, 4 Congresso Internacional de Automao, Sistemas e Instrumentao. So Paulo, 2004.

POLTICA de segurana da informao. 2000. Disponvel em: <http://geocities.yahoo.com.br/jasonbs_1917/seguranca/politica.htm>. Acesso em: 21 maio de 2002.

50

RODRIGUEZ, Marco Tlio Duarte. Segurana da informao na integrao entre ambientes de automao e corporativos. InTech Brasil. So Paulo, 2007.

SCHNEIDER. Disponvel em: <http://www.schneider-electric.com>. Acesso em: 24 de abril de 2007.

SEVOUNTS, Gary. Preocupaes crescentes quanto segurana de rede. Disponvel em: <http://www.symantec.com/region/br/enterprisesecurity/government/>. Acesso em: 01 Agosto de 2007.

SILVA, Jones Y. M. F; CRUZ, Marcelo M. F e ROSADO, Rodrigo M. Redes Industriais FIELDBUS. Universidade de Braslia, 2006.

SMAR. Disponvel em: <http://www.smar.com>. Acesso em: 01 de maio de 2007.

SOUSA, Lindeberg Barros de. TCP/IP Bsico & Conectividade em Redes. 2 ed. So Paulo, 2002.

TANENBAUM, Andrew S. Redes de Computadores. Traduo da Quarta Edio, (traduo Vandenberg D. Souza). Rio de Janeiro, 2003.

VISO geral dos protocolos Modbus. Disponvel em: <http://www.cefetrn.br/~walmy/RI_A4.pdf>. Acesso em: 26 de maio de 2007.

WATANABE, Edson Hiroshi. Aplicao de Software Aberto Em Redes Industriais. 177 f. Dissertao apresentada ao Programa de Ps graduao em Engenharia Eltrica da Universidade Federal do Paran, como requisito parcial obteno do ttulo de Mestre em Engenharia Eltrica. Curitiba, 2006.

APNDICE

52

APNDICE A Regra do Firewall

#!/bin/sh # Regras do firewall # Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter

# 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip_forward

# 2. - Liberando IP do supervisrio para acesso ao CLP /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.50 -d 192.168.11.54 -j ACCEPT

# 3. - Bloqueando acesso as demais mquinas /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -d 192.168.11.0/24 -j DROP

# Mascarando a rede local iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# 4. - Liberando acesso ao supervisrio para a porta 502 iptables -A FORWARD -d 192.168.10.50 -p tcp --sport 502 -j ACCEPT

# 5. - Bloqueando acesso aos outros micros da rede para a porta 502 iptables -A FORWARD -d 192.168.10.0/24 -p tcp --sport 502 -j DROP

# Proteo contra ping-of-death e ataques DOS iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s j ACCEPT iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Proteo contra port-scanning iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

# Fecha as demais portas iptables -A INPUT -p tcp --syn -j DROP

exit