Baixe o app para aproveitar ainda mais
Prévia do material em texto
FACULDADE POLITÉCNICA DE JUNDIAÍ ENGENHARIA DA COMPUTAÇÃO AVALIAÇÃO DE SEGURANÇA EM REDES DE AUTOMAÇÃO Danilo de Oliveira Felipe Bertini Martins Ferigs Rezende Fernando Lombardi Marcos Antonio Lopes Jundiaí 2007 FACULDADE POLITÉCNICA DE JUNDIAÍ ENGENHARIA DA COMPUTAÇÃO AVALIAÇÃO DE SEGURANÇA EM REDES DE AUTOMAÇÃO Projeto apresentado para a realização da disciplina do Trabalho de Conclusão de Curso. Orientador: Prof. Eberval Oliveira Castro Orientados: Danilo de Oliveira 0300512 Felipe Bertini Martins 0300848 Ferigs Rezende 0300581 Fernando Lombardi 0305013 Marcos Antonio Lopes 0301540 Jundiaí 2007 FACULDADE POLITÉCNICA DE JUNDIAÍ ENGENHARIA DA COMPUTAÇÃO AVALIAÇÃO DE SEGURANÇA EM REDES DE AUTOMAÇÃO Projeto apresentado para a realização da disciplina do Trabalho de Conclusão de Curso Orientados: Danilo de Oliveira 0300512 Felipe Bertini Martins 0300848 Ferigs Rezende 0300581 Fernando Lombardi 0305013 Marcos Antonio Lopes 0301540 _______________________________________ Orientador: Prof. Eberval Oliveira Castro Jundiaí,_____de_________________de 2007 Aos colegas de estudo e aos familiares que nos apoiaram e incentivaram para a realização deste trabalho. AGRADECIMENTOS Aos nossos pais e familiares, pois sempre nos incentivaram e apoiaram. Aos nossos colegas de grupo, pelo companheirismo e dedicação. Ao nosso orientador Eberval Oliveira Castro, pelo valioso e grandioso apoio, contribuição e paciência dedicados ao longo deste trabalho. Às nossas namoradas que tiveram paciência e nos auxiliaram para a realização deste. E a todos aqueles que de algum modo nos ajudaram. OLIVEIRA, Danilo Giacomello de. MARTINS, Felipe Bertini. REZENDE, Ferigs Masse de. LOMBARDI, Fernando. LOPES, Marcos Antonio. Avaliação de Segurança em Redes de Automação. 2007. 52p Trabalho de Conclusão de Curso (Bacharel em Engenharia de Computação) – Faculdade Politécnica de Jundiaí. RESUMO Este trabalho discute sobre segurança na integração entre redes corporativas e redes de automação industrial, no qual serão apresentados riscos, falhas e vantagens das redes, com o intuito de conscientizar e demonstrar a importância de possuir uma rede com maior nível de segurança possível, buscando minimizar o risco de ataques e invasões que possam causar prejuízos à empresa. Será apresentada a parte histórica da automação industrial, definição e tipos de protocolos envolvidos nas redes, sistemas de supervisão que permitem o gerenciamento remoto e o controle de automação na empresa, troca de informações entre o ambiente industrial e corporativo, análises realizadas em ambientes reais avaliando a segurança existente na rede e buscando métodos para melhorias. Palavras-chave: SEGURANÇA, AUTOMAÇÃO INDUSTRIAL, REDES INDUSTRIAIS, REDES CORPORATIVAS ABSTRACT A great technological revolution in the field of the industrial automation has been presented in the last years, starting of a total isolated environment where the proprietors systems used to dominate and the technologies were dedicated to an integrated environment and shared by all the corporative systems. This paper is about the security in the integration between corporative nets and industrial automation nets where risks, imperfections and advantages of the nets will be presented. Intending to acquire knowledge and to show the importance of having a net with the biggest level of possible security, trying to minimize the risk of attacks and invasions that can cause harmful damages to the company. It will be presented the historical part of the industrial automation, definition and types of involved protocols in the nets, supervision systems that allow the remote management and the control of automation in the company, information exchange between the industrial and corporative environment, analyses done in real environments evaluating the existing security in the net and searching methods for improvements. It will also be presented the main techniques used for invasion and attacks of industrial systems. LISTA DE FIGURAS Figura 1 - CLP de pequeno porte ................................................................................... 16 Figura 2 - Funcionamento CLP ...................................................................................... 18 Figura 3 - Ciclo Básico Funcionamento CLP ................................................................. 19 Figura 4 - Rede de controle e supervisão ....................................................................... 21 Figura 5 - Tipos de protocolos Modbus ......................................................................... 23 Figura 6 - Rede de automação ........................................................................................ 28 Figura 7 - Estatísticas de incidentes com segurança no Brasil ....................................... 30 Figura 8 - Rede de automação utilizando protocolo TCP/IP .......................................... 31 Figura 9 - Prioridades nos ambientes industriais e corporativos .................................... 32 Figura 10 - Rede Implementada para análise ................................................................. 43 Figura 11 - Movimentação dos pacotes de dados ao passarem pelo Firewall ................ 46 Figura 12 - Movimentação dos pacotes de dados sem Firewall na rede ........................ 46 LISTA DE TABELAS Tabela 1 - Padrões Ethernet ............................................................................................ 26 LISTA DE SIGLAS ABNT Associação Brasileira de Normas Técnicas ARP Address Resolution Protocol ASCII American Code For Information Interchange bps bits por segundo CAN Campus Area Network CLP Controlador Lógico Programável COBIT Control Objectives for Information and related Technology CPU Central Processing Unit DCS Distributed Control Systems DDC Direct Digital Control DP Decentralized Periphery E/S Entrada / Saída EPROM Erasable Programmable Read-Only Memory FMS Fieldbus Message Specification IEEE Institute of Electrical and Electronic Engineers IHM Interface Homem Máquina ISA The International Society for Measurement and Control ISACA Information Systems Audit and Control Association ISO International Organization for Standardization LAN Local Area Network MAC Media Access Control MAN Metropolitan Area Network MAP Manufacturing Automation Protocol PIMS Plant Information Management Systems PLC Programmable Logic Controller RTU Remote Terminal Unit SCADA Supervisory Control and Data Acquisition TA Tecnologia da Automação TCP/IP Transmission Control Protocol / Internet Protocol TI Tecnologia da Informação WAN Wide Area Network SUMÁRIO INTRODUÇÃO .............................................................................................................. 11 1. REFERENCIAL HISTÓRICO ................................................................................... 13 1.1 História das redes Ethernet ....................................................................................... 14 2. CLP (Controlador Lógico Programável) .................................................................... 16 2.1 Comunicação em rede .............................................................................................. 17 2.3 Funcionamento de um CLP ......................................................................................18 3. O QUE SÃO REDES DE AUTOMAÇÃO ................................................................ 20 3.1 Protocolos de comunicação ...................................................................................... 22 4. REDES ETHERNET EM AMBIENTE INDUSTRIAL ............................................ 25 5. SEGURANÇA EM REDES DE AUTOMAÇÃO ...................................................... 28 5.1 Novo contexto na indústria ....................................................................................... 29 5.2 Integração entre ambiente de TI e TA ...................................................................... 32 6. AMEAÇAS AO AMBIENTE DE AUTOMAÇÃO INDUSTRIAL .......................... 34 6.1 Técnicas para acesso não autorizado ........................................................................ 36 7. MEDIDAS PARA MINIMIZAR VULNERABILIDADES ...................................... 38 7.1 Normas ligadas à segurança de informações ............................................................ 39 8. IMPLEMENTAÇÃO DE SEGURANÇA EM REDES DE AUTOMAÇÃO .......... 42 CONCLUSÃO ................................................................................................................ 47 REFERÊNCIAS ............................................................................................................. 48 APÉNDICE A – Regra do Firewall ................................................................................ 51 INTRODUÇÃO Há cerca de dez anos, o ambiente de automação industrial era isolado do ambiente corporativo de uma empresa. Com a constante evolução tecnológica, hoje é uma necessidade que esses dois ambientes sejam interligados e compartilhem informações, pois é necessário que sistemas inteligentes como sistemas de otimização de processo e gerenciamento de produção sejam alimentados com essas informações. A integração do ambiente industrial para o corporativo levanta uma série de questões de segurança que antes eram somente do ambiente corporativo da empresa, tais como: a exploração de falhas de programação, ataques a serviços, acessos não autorizados, vírus e outros tipos de vulnerabilidades e ameaças. Uma questão também importante é que a maioria dos protocolos desenvolvidos não foram projetados para atender às necessidades de segurança das redes corporativas. A motivação para o desenvolvimento deste trabalho é o estudo e análise de segurança na integração entre redes industriais e corporativas, de forma a orientar e minimizar riscos e ameaças aos ambientes. No decorrer do trabalho foram encontradas algumas dificuldades, porém, a principal foi a deficiência de material nacionalizado para este tipo de assunto. Este trabalho é estruturado da seguinte forma: No capítulo 1, é apresentado um histórico da evolução tecnológica dos sistemas de controle e automação industrial, bem como as redes de comunicação. No capítulo 2, é definido um controlador lógico programável e suas principais características. No capítulo 3, são apresentadas as redes de automação e seus principais protocolos, abordando suas principais funcionalidades. No capítulo 4, será abordado o tema de redes Ethernet em ambiente industrial, apresentando os tipos de redes e sua classificação. No capítulo 5, focaremos a segurança da automação que passou a ser um tema abrangente para todas as tecnologias que se comunicam através de redes, o papel do CLP e suas vulnerabilidades, a interação do ambiente TI e TA, e sistemas PIMS. No capítulo 6, veremos a exposição dos sistemas SCADA, tipos de vulnerabilidades, vírus, worms, cavalos de tróia, tipos de ataques e acessos, como spooling, relay, negação de serviço, ARP, e discovery. 12 No capítulo 7, serão apresentadas medidas para minimizar as vulnerabilidades de segurança, decisões que o administrador da rede deve tomar, os agentes envolvidos na política de segurança, as normas e a importância da ISO/IEC 27001:2005 e o que é necessário para implantá-la. No capítulo 8, será analisada uma topologia de rede, envolvendo as redes industriais e corporativas, demonstrando como implementar um Firewall e suas regras de segurança. Na rede montada para análise foi selecionado o protocolo Modbus/TCP, por ser um protocolo de fácil acesso e de padrão aberto utilizado na comunicação de dispositivos cliente/servidor em redes de automação industrial. 1 REFERENCIAL HISTÓRICO Em 1970 foram criadas as primeiras redes de automação, os sistemas de controle de processo eram totalmente analógicos, através dos DDC (Direct Digital Control - Controle Digital Direto), DCS (Distributed Control Systems - Sistemas de Controle distribuídos) e PLC (Programmable Logic Controller - Controlador de Lógica programável) (BERGE, 1998). Logo em 1980, surgiram os equipamentos de campo que seriam os transmissores e redes fieldbus que se interligavam (BERGE, 1998). Os DCS e PLC permitiram que os controladores fossem instalados em racks auxiliares possibilitando que as informações de supervisão fossem enviadas até o operador via rede. Os controladores eram instalados em painéis, e os sensores e atuadores eram ligados aos controladores somente com um par de fios (BERGE, 1998). A comunicação digital permitiu a interligação de vários equipamentos através da conexão Multidrop (multi-ponto), o custo das instalações caiu consideravelmente e esses equipamentos possuíam um único endereço na rede (BERGE, 1998). A indústria automobilística americana deu origem ao CLP (Controlador Lógico Programável), mais precisamente na Hydronic Division Motors, em 1968, devido a grande dificuldade de mudar a lógica de controle dos painéis de comando, pois cada mudança na linha de montagem implicava em altíssimos gastos (BERGE, 1998). O engenheiro Richard Morley preparou uma especificação que refletia as necessidades de muitos usuários de circuitos a relés, não só da indústria automobilística, mas como de toda a indústria manufatureira (BERGE, 1998). O CLP foi se tornando um equipamento de fácil utilização, aprimorando-se cada vez mais e diversificando os setores industriais. Com o decorrer do tempo, existia uma variedade de tipos de entradas e saídas, aumento de velocidade e processamento, inclusão de blocos lógicos, modo programação e a interface com o usuário (BERGE, 1998). A evolução do CLP é dividida em 5 gerações: • 1ª Geração: A programação era ligada ao hardware do equipamento e a linguagem era em Assembly, mas para programar era necessário conhecer a eletrônica do projeto que era feita por uma equipe altamente qualificada. A gravação do programa era na memória EPROM (Erasable Programmable Read-Only Memory - Memoria de Leitura Apenas Programável Apagável) (CONTROLADORES, 2007). 14 • 2ª Geração: Começam a aparecer as primeiras linguagens de programação não tão dependentes do hardware do equipamento, sendo possível a inclusão de um “Programa Monitor” no CLP, o qual converte as instruções do programa, verifica estado de entradas, compara com instruções do usuário e altera o estado das saídas (CONTROLADORES, 2007). • 3ª Geração: Entrada de programação para conectar um teclado ou programador portátil para possíveis alterações no programa (CONTROLADORES, 2007). • 4ª Geração: Os CLPs passam a ter uma entrada para comunicação serial e com a queda dos preços dos microcomputadores, a programação acaba sendo realizada por eles, o que tornou possível a utilização de várias linguagens, simulações, testes, treinamentos, armazenamento de programas etc. (CONTROLADORES, 2007). • 5ª Geração: Há uma preocupação em padronização dos protocolos de comunicação para que equipamentos de fabricantes diferentes se comuniquem, proporcionando uma integração, a fim de facilitar a automação, gerenciamento e desenvolvimento de plantas industriais, fruto da chamada globalização (CONTROLADORES, 2007). 1.1 História dasredes Ethernet O sistema possui o nome Ethernet devido a uma menção ao éter luminoso, através do qual, os físicos do século XIX acreditavam que a radiação eletromagnética propagava-se (TANENBAUM, 2003). Na década de 70, na University of Hawaii, Norman Abramson e colegas queriam conectar-se da ilha em um computador que se encontrava em Honolulu. Como solução, usaram um rádio de ondas curtas, no qual havia duas freqüências: ascendente e descendente. Para se comunicar com um computador, o rádio transmitia em um canal ascendente, que era confirmado no canal descendente do computador ao qual se desejava fazer a comunicação (TANENBAUM, 2003). Antes da existência das redes de computadores, a troca de informações acontecia de maneira manual, com o próprio usuário copiando as informações e as transportando de uma máquina para outra (CONTI, 2007). 15 George Stibitz, em 1940, da Faculdade de Dartmouth, em Nova Hampshire, através de um teletipo, enviou instruções com um conjunto de problemas para sua calculadora que se encontrava em Nova Iorque, recebendo de volta os resultados no próprio teletipo (CONTI, 2007). Em 1964, pesquisadores de Dartmouth desenvolveram um sistema de compartilhamento de tempo, que foram distribuídos em grandes sistemas de computadores. No mesmo ano, usou-se um computador para rotear e gerenciar conexões telefônicas (CONTI, 2007). Na década de 60, Leonard Kleinrock, Paul Baran e Donald Danes, desenvolveram sistemas de redes que usavam datagramas ou pacotes, usados em redes de comutação de pacotes entre sistemas computacionais (CONTI, 2007). A partir daí, as redes de computadores comandam as indústrias de hardware, bem como as tecnologias necessárias para conexão e comunicação. Há um crescimento do número e tipos de usuários de redes, que vai desde um pesquisador até um usuário doméstico (CONTI, 2007). 2 CLP (Controlador Lógico Programável) Entende-se por controlador, o dispositivo eletrônico, mecânico ou a combinação de ambos que tem por objetivo controlar um sistema. São exemplos de controladores, os utilizados na otimização de processos industriais e de manufatura. Foram desenvolvidos inicialmente para atenderem as indústrias automotivas, que necessitavam constantemente alterar as lógicas de inter-travamento entre seus equipamentos (MORAIS e CASTRUCCI, 2001). Com o uso do CLP, é possível reprogramar o funcionamento de um equipamento sem precisar trocar todo o seu hardware (MORAIS e CASTRUCCI, 2001). “O CLP é um computador com as mesmas características conhecidas do computador pessoal, porém, é utilizado em uma aplicação dedicada [...]” (NATALE, 2000). Segundo a ABNT (Associação Brasileira de Normas Técnicas), o CLP é definido como um equipamento eletrônico digital com hardware e software compatíveis com aplicações industriais. A figura 1 representa um CLP de pequeno porte, da marca Schneider, linha Twido usado para registrar entradas e saídas digitais. Figura 1 – CLP de pequeno porte Fonte: (SCHNEIDER, 2007) Antes do CLP, esse feito era realizado substituindo componentes elétricos (relés, por exemplo) e modificando projetos com grandes grupos de painéis de controle (BERGE, 1998). As principais vantagens de um CLP em relação a lógicas a relé são: • Menor tamanho físico necessário; • Ser programável (possibilitando alterações de lógicas de controle); • Capacidade de comunicação com sistemas que gerenciam a produção. 171 As características de um CLP devem ser analisadas junto com as características de seu software programador, ou seja, o software onde será desenvolvido todo o aplicativo que será executado no CLP em determinada linguagem de programação. Existem diversos modelos de CLPs fabricados e disponíveis para compra. No entanto, alguns pontos devem ser levantados e discutidos para que seja possível determinar qual o modelo mais adequado a ser empregado, principalmente durante a fase de especificação de projetos (GEORGINI, 2000). Sob o ponto de vista funcional, podemos considerar e observar as seguintes funções que um CLP pode executar: • Aquisição e Comando; • Armazenamento do programa aplicativo; • Processamento. 2.1 Comunicação em rede No mínimo, todo CLP dispõe de pelo menos uma porta de comunicação serial onde o usuário vai conectar o cabo serial programador que, normalmente, é um computador executando um software fornecido pelo fabricante do CLP. Através desta porta, o usuário faz todas as atividades de manutenção: verifica o status da CPU (Central Processing Unit - Unidade Central de Processamento), dos módulos de E/S (Entrada/Saída), o tempo de ciclo do programa aplicativo, faz a carga e leitura do programa para salvar em disco. Essa porta normalmente é uma rede mestre-escravo que pode ser utilizada para outras funções, tais como: conectar um sistema de supervisão ou uma IHM (Interface Homem Máquina) local. No entanto, como essa porta é destinada para manutenção, se ela for utilizada para conectar uma IHM, por exemplo, toda vez que o usuário precisar conectar o computador para a manutenção, deverá retirar o cabo da IHM e depois de concluído o serviço, recolocá-lo. Para evitar esse tipo de problema é desejável que a CPU tenha mais canais de comunicação para permitir, além da conexão com IHMs locais, a conexão em rede com outros sistemas. 181 2.2 Funcionamento de um CLP No CLP existem as entradas dos dados, o processamento e a saída dos resultados. É um funcionamento similar ao de uma calculadora, por exemplo. São inseridos números e qual operação desejada, a calculadora processa essas informações e exibe o resultado. Conforme figura 2: Figura 2 - Funcionamento CLP O hardware do CLP é composto por três partes: uma fonte de alimentação elétrica, uma CPU e interface de E/S. Fonte de alimentação elétrica: transforma a energia elétrica para voltagem usada pelo equipamento. CPU: Segundo (MORAES e CASTRUCCI, 2001), é “responsável pela execução do programa do usuário, atualização da memória de dados e memória-imagem das entradas e saídas [...]”. Interfaces de Entrada e Saída: entendem-se como teclados, monitores etc. Na figura 3, é mostrado um exemplo de funcionamento de um CLP, sendo iniciado pela leitura nas entradas digitais ou analógicas, após isso, o programa é executado e suas saídas são atualizadas. 191 Figura 3 - Ciclo Básico Funcionamento CLP Os processamentos feitos pelo CLP através dos dados de entrada são programáveis por lógicas combinacionais, seqüenciais ou pelas duas. Segundo Natale (2000), “Automatizar um sistema significa fazer uso de funções lógicas, representadas, por sua vez, por portas lógicas que podem ser implementadas [...]” O CLP faz uso da lógica de programação ladder. Possui as seguintes representações: -| |- Contato aberto; -|/|- Contato fechado; -( )- Bobina; -(|)- Bobina inversa; -(S)- Bobina set; -(R)- Bobina reset; -(M)- Bobina Memória; INICIAR LER ENTRADA PROGRAMA ATUALIZA SAÍDA 3 O QUE SÃO REDES DE AUTOMAÇÃO A partir da década de 80 os CLPs passaram a ser fabricados com módulos de comunicação em rede, podendo assim comunicar-se entre vários equipamentos existentes na automação aplicada (MORAES e CASTRUCCI, 2001). É possível existir comunicação entre um CLP e outros equipamentos como: inversores de freqüência, controladores de temperatura, medidores de vazão, outro CLP de qualquer modelo e fabricante etc., constituindo uma rede de automação. Para que a comunicação seja feita é necessário que todos os equipamentos utilizem o mesmo meio de transmissão como a Ethernet, RS-232, RS-485 etc., e o mesmo protocolo de comunicação como Modbus, Profbus, Fieldbus (BERGE, 1998). Também é possível comunicar vários equipamentos da automação com uma rede corporativade computadores, podendo comunicar um CLP com um sistema ERP (Enterprise Resource Planning – Planejamento de Recursos Empresariais) ou com um sistema supervisor em um computador qualquer da rede. Isso pode ser feito de duas maneiras: Todos os equipamentos da automação devem estar interligados na mesma rede Ethernet da rede corporativa e comunicando-se através do protocolo TCP/IP (Transmission Control Protocol/Internet Protocol - Protocolo de Controle de transmissão/Protocolo de Internet), ou o CLP possuir dois módulos de comunicação distintos, em que num módulo o CLP se comunica com os equipamentos da automação em um protocolo e meio físico qualquer, e no outro módulo, o CLP se comunica com a rede corporativa de computadores através da Ethernet utilizando o protocolo TCP/IP (SOUZA, 2002). Segundo Barbosa (2006), Os sistemas SCADA (Supervisory Control and Data Aquisition – Sistemas de Supervisão e Aquisição de Dados), que em algumas aplicações são referidos como sistemas supervisórios, são responsáveis por coletar os dados de processo disponibilizados pelos equipamentos de controle (CLPs, remotas industriais e outros) e os apresentar em tempo real, através de uma interface (gráfica) homem máquina, aos operadores [...] Sistemas SCADA são implementados juntamente com um conjunto de equipamentos utilizados na automação, sendo eles: CLP ou qualquer equipamento que fale o mesmo protocolo implementado no software SCADA. Na figura 4, podemos visualizar melhor esse conceito, ou seja, toda parte de controle de equipamentos da fábrica feita pelos CLPs de pequeno porte e todo o gerenciamento desta automação feita pelo CLP de grande porte, 212 também temos uma interface homem-máquina para controle local dos processos e um sistema de supervisão SCADA para supervisionar e coletar todos os dados para estudo e análise do processo. Figura 4 – Rede de controle e supervisão Para um sistema SCADA se comunicar com um equipamento da rede de automação é necessário uma interface de escrita e leitura, esta interface é chamada de driver. “A aplicação SCADA deve ser capaz de enviar mensagens de leitura e escrita para o CLP, que deve ser capaz de receber as mensagens, processá-las, atualizar as saídas e, se necessário, retornar o dado requerido [...]” (BARBOSA, 2006) 222 3.1 Protocolos de comunicação Determina a forma de transmissão de dados (formato dos dados, temporização, sinais de controle utilizados etc.). Cada fabricante de CLP tem seu protocolo de comunicação próprio, normalmente chamado de protocolo proprietário, o qual é utilizado durante a programação do CLP. Algumas CPUs além de suportarem o protocolo proprietário, suportam protocolos padrões, permitindo comunicação com dispositivos e softwares fornecidos por outros fabricantes, além da conexão em rede. “O protocolo Modbus foi desenvolvido pela Modicon Industrial Automation Systems, hoje Schneider, para comunicar um dispositivo mestre com outros dispositivos escravos [...]” (JUNIOR, 2007) Embora seja utilizado normalmente sobre conexões serial padrão RS-232, o protocolo Modbus também pode ser usado como um protocolo da camada de aplicação em redes industriais, tais como TCP/IP sobre Ethernet e MAP (Manufacturing Automation Protocol - Protocolo de Automatização Industrial). “Este talvez seja o protocolo de mais larga utilização em automação industrial, pela sua simplicidade e facilidade de implementação [...]” (JUNIOR, 2007). Baseado em um modelo de comunicação mestre-escravo, o mestre pode denominar transações chamadas de queries e os demais dispositivos da rede respondem suprindo os dados requisitados pelo mestre, ou obedecendo a uma execução por ele comandada. Os papéis de mestre e escravo são fixos, quando utilizado conexão serial, e em outros tipos de rede, um dispositivo pode assumir ambos os papéis, mas não ao mesmo tempo. Na transmissão existe o modo ASCII (American Code For Information Interchange - Código americano Para Intercâmbio de Informação) e RTU (Remote Terminal Unit - Unidade Terminal Remota), que são escolhidos na configuração da parte de comunicação. A figura 5 apresenta os tipos de protocolos Modbus. O Ethernet Modbus tem o seu funcionamento via protocolo TCP/IP, pois já vem em sua própria estrutura uma ou mais portas de comunicação Ethernet, para rede. O Modbus Plus e o Modbus RTU têm a sua comunicação via cabo serial, que trafega do CLP até um Gateway, convertendo o sinal para o protocolo TCP/IP na rede. 232 Figura 5 - Tipos de protocolos Modbus Fonte: (VISÃO, 2007) Modbus TCP/IP: Usado para comunicação entre sistemas de supervisão e CLPs (VISÃO, 2007). Modbus Plus: Usado para comunicação entre si de CLPs, módulos de E/S, chave de partida eletrônica de motores, IHM etc. (VISÃO, 2007). Modbus Padrão: Usado para comunicação dos CPLs com os dispositivos de E/S de dados, instrumentos eletrônicos, controladores de processo, transdutores de energia etc. (VISÃO, 2007). O protocolo Profibus é o mais popular em redes de campo, muito comum na Europa, que domina mais de 60% do seu mercado de automação industrial. Foi desenvolvido em 1987, como resultado de um projeto alemão envolvendo 21 empresas e institutos de pesquisa (MENDONZA, FERREIRA e MORAES, 2005). Também pode ser denominado como um padrão aberto de rede de comunicação industrial, dispositivos de diferentes fabricantes podem comunicar-se sem a necessidade de qualquer interface (MENDONZA, FERREIRA e MORAES, 2005). 242 O protocolo Profibus é usado tanto em aplicações com transmissão de dados em alta velocidade como em tarefas complexas e extensas de comunicação (MENDONZA, FERREIRA e MORAES, 2005). Pode-se utilizar os seguintes padrões para meios de transmissão: RS-485, IEC 61158-2 ou Fibra Óptica (MENDONZA, FERREIRA e MORAES, 2005). Existem dois tipos de protocolos Profibus, descritos abaixo: • Profibus-DP (Decentrallised Periphery - Periferia Descentralizada): Otimizado para alta velocidade de conexão e baixo custo, é o mais utilizado. Foi projetado para comunicação entre sistemas de controle de automação e suas respectivas E/S distribuídas (MENDONZA, FERREIRA e MORAES, 2005). • Profibus-FMS (Fieldbus Message Specification): É usado para tarefas mais complexas, considerado como protocolo de comunicação universal. Oferece muitas funções sofisticadas de comunicação entre dispositivos inteligentes (MENDONZA, FERREIRA e MORAES, 2005). Outro protocolo muito utilizado é o Fieldbus, segundo Berge (1998), O Fieldbus é um protocolo desenvolvido para automação de sistemas de fabricação, elaborado pela FieldBus Foundation e normalizado pela ISA (The International Society for Measurement and Control - A Sociedade Internacional para Medida e Controle). O protocolo Fieldbus visa à interligação de instrumentos e equipamentos, possibilitando o controle e monitoração dos processos [...] Geralmente o protocolo Fieldbus é utilizado com os chamados softwares supervisórios SCADA, que permitem a aquisição e visualização, desde dados de sensores, até status de equipamentos (BERGE, 1998). A rede Fieldbus pode cobrir distâncias maiores e comunicar os equipamentos de E/S mais modernos. Os equipamentos acoplados à rede possuem tecnologia para trabalhar em funções específicas de controle como loops, controle de fluxo e processos (MAHALIK, 2003). 4 REDES ETHERNET EM AMBIENTE INDUSTRIAL Redes de computadores são dois ou mais equipamentos ligados um ao outro, sendo possível assim, compartilhar dados, impressoras, conexões à Internet etc. (TANENBAUM, 2003). A comunicação entre os equipamentos dá-se através de meios de acesso, protocolos e requisitos de segurança (TANENBAUM, 2003). As redes são classificadas de acordo com a distânciaentre os equipamentos que estarão conectados. Existem as redes: LAN, CAN, MAN e WAN (TANENBAUM, 2003). • Rede LAN (Local Area Network - Rede de Área Local): É uma rede local. Abrange, por exemplo, um escritório, residência etc. • Rede CAN (Campus Area Network - Rede de Área campus): É uma rede local que consegue conectar mais de um prédio em um mesmo terreno. • Rede MAN (Metropolitan Area Network - Rede de Área Matropolitana): É uma rede usada, por exemplo, por uma rede de supermercados, trocando informações com outras unidades existentes em outras cidades. • Rede WAN (Wide Area Network - Rede de Área Larga): É uma rede de longa distância. Interliga variadas localizações geográficas, até no mesmo país. Nesse capítulo serão apresentadas redes e Ethernet. A Ethernet tem pelo IEEE (Institute of Electrical and Electronic Engineers - Instituto de Engenheiros Elétricos e Eletrônicos), órgão responsável pela tecnologia Ethernet, o padrão IEEE 802.3, sendo uma rede de transmissão de barramento, permitindo operações de controle a uma velocidade de 10 ou 100Mbps (bits por segundo) (TANENBAUM, 2003). Na tabela 1 é possível visualizar os principais padrões, funções e descrições de redes Ethernet. 262 Tabela 1 – Padrões Ethernet Fonte: (JUNIOR, 2007) “Pode-se concluir que as tecnologias de redes industriais estão em contínua evolução, uma vez que as empresas buscam definir padrões com perfis de redes mais seguras e de alto desempenho [...]” (WATANABE, 2006). Redes industriais são sistemas distribuídos, que representam diversos dispositivos trabalhando simultaneamente de modo a supervisionar e controlar um determinado processo. Esses dispositivos, por exemplo, sensores, atuadores, CLPs, PCs; estão interligados e trocam informações de forma rápida e precisa. Um ambiente industrial é, geralmente, hostil, de modo que os dispositivos ligados à rede industrial devem ser confiáveis, rápidos e robustos (OLIVEIRA, 2005). Para se implementar um sistema de controle distribuído, baseado em redes, tem-se a necessidade de vários estudos detalhados sobre o processo a ser controlado, buscando o sistema que melhor se enquadre para as necessidades do usuário (OGATA, 2003). As redes industriais têm como padrão três níveis hierárquicos, sendo eles responsáveis pela conexão de diferentes tipos de equipamentos. O nível mais alto é o que interliga os equipamentos usados para o planejamento da produção, controle de estoque, estatísticas da qualidade, previsões de vendas. Geralmente é implementado usando-se programas gerenciais, por exemplo, sistemas SAP, Arena etc. O protocolo TCP/IP, com padrão Ethernet é o mais utilizado nesse nível (DECOTIGNIE, 2001, apud SILVA, CRUZ e ROSADO, 2006). No nível intermediário, encontramos os CLPs, nos quais trafegam, principalmente, informações de controle de máquina, aquelas informações a respeito do status de equipamentos como robôs, máquinas ferramentas, transportadores etc. (OLIVEIRA, 2005). O terceiro nível é o que se diz referência para a parte física da rede, onde se encontra os sensores, atuadores, contadores etc. A classificação das redes industriais: PADRÃO IEEE 802.1p IEEE 802.12d IEEE 802.3x IEEE 802.3z FUNÇÃO Prioriza mensagens. Redução de links. Full Duplex. Aumenta a velocidade. Gigabit Ethernet. Até 1000Mbps. DESCRIÇÃO Possui 256 níveis de prioridade Confiabilidade para a rede. Comunica-se bidirecionalmente Backbone (espinha dorsal) corporativo. Conexão da Internet do Brasil para outros países. 272 • Rede Sensorbus: É usada para conectar equipamentos simples e pequenos diretamente à rede. Esses equipamentos precisam se comunicar rapidamente nos níveis mais baixos, consistem geralmente em sensores e atuadores de menor valor. Esse tipo de rede se preocupa em manter os custos de conexão o mais baixo possível (MONTEZ, 2005). • Rede Devicebus: Encontrada entre as redes Sensorbus e Fieldbus cobrindo até 500m de distância. Os equipamentos conectados a Devicebus terão mais pontos discretos, dados analógicos ou uma mistura dos dois. Em algumas dessas redes é permitido transferir blocos em prioridade menor se comparado aos dados no formato de bytes. Possui os requisitos de transferência rápida de dados como da rede Sensorbus, conseguindo lidar com mais equipamentos e dados (MONTEZ, 2005). • Rede Fieldbus: Interliga os equipamentos de I/O mais inteligentes e pode cobrir maiores distâncias. Os equipamentos conectados nessa rede possuem inteligência para desempenhar funções específicas de controle, como o controle de fluxo de informações e processos. Os tempos de transferência são longos, mas, em compensação, a rede é capaz de se comunicar usando vários tipos de dados (discreto, analógico, parâmetros, programas e informações do usuário) (MONTEZ, 2005). 5 SEGURANÇA EM REDES DE AUTOMAÇÃO A segurança deixou de ser um tema centrado nas redes de computadores e passou a ser um tema abrangente para todas as tecnologias que se comunicam através de redes. Segundo Souza (2002), A maioria dos sistemas operacionais e equipamentos de comunicação de dados fabricados hoje possuem interfaces para comunicação com redes TCP/IP, ou seja, são capazes de se comunicar com outros equipamentos e redes que também utilizam o padrão TCP/IP [...] A tecnologia atual permite que qualquer circuito eletrônico que possua rede Ethernet integrada em seu sistema possa se comunicar com computadores interligados por rede. Essa facilidade faz com que dados sejam coletados mais rapidamente e mais facilmente, porém deixa o circuito vulnerável à rede de computadores. A vulnerabilidade do circuito acontece se na implementação dos protocolos não houve nenhuma preocupação com a segurança dos dados, ou seja, se o hardware deixará alguma possível falha para que outras pessoas possam acessar seus dados e modificá-los sem autorização. O CLP é um circuito eletrônico que possui rede integrada e comunica-se com outras redes utilizando diversos protocolos, podendo também ser interligado em redes de computadores. Podemos visualizar melhor o papel do CLP em uma rede através da figura 6, onde o CLP comunica-se com duas redes distintas, sendo uma rede dos equipamentos da automação e uma rede para controle da IHM e interligação com a rede corporativa de computadores. Figura 6 – Rede de automação 292 A rede montada na figura 6 mostra a vulnerabilidade do CLP na rede corporativa, já que qualquer pessoa pode acessar os dados do CLP através da rede, ou seja, a mesma rede montada para facilitar a aquisição dos dados de uma automação pode ser usada para prejudicar e modificar esses dados, pelo fato da rede corporativa e a rede industrial estarem em uma rede apenas e não em duas redes separadas e filtradas por um Firewall. Em uma rede de automação existem alguns itens de segurança que devem ser cuidados com mais atenção: confidencialidade, integridade, autentificação, autorização, disponibilidade, auditoria, em que alguns itens merecem mais prioridade que outros, porém, todos são importantes e têm a função de garantir a confiabilidade dos dados trafegados na rede. Todos os dados trafegados na rede têm uma origem e um destino, porém, esses dados podem ser interceptados, modificados e reenviados para seu destino, isso acontece em redes que não garantem a confidencialidade, integridade e autentificação de seus dados. Em alguns casos, os dados são apenas interceptados e usados na espionagem e, assim, dados confidenciais podem ser obtidos facilmente. A autorização e disponibilidade garantem que cada tipo de usuário acesse somente os dados permitidos para sua função, ou seja, um usuário com senha para coletar dados do processo não poderá acessar a programação do CLP e modificá-la. A auditoria garante que todosos itens acima sejam cumpridos e checa o sistema para garantir sua integridade. 5.1 Novo contexto na indústria A segurança é um item indispensável para redes que possuem mais de um usuário e são abertas a redes externas. O índice que mede estatísticas de segurança está crescendo muito conforme mostrado na figura 7, ou seja, muitos usuários e empresas estão sendo vítimas de hacker e vírus em suas redes. Com base no gráfico, nota-se que em 2006 houve um grande aumento em relação aos anos anteriores. De 1999 a 2005, a média foi de 24.174 incidentes registrados. Em 2006 o número registrado foi de 197.892 incidentes, ou seja, mais de 800% comparado aos últimos oito anos. Neste ano, já foram registrados 94.809 incidentes até o mês de junho. Em relação a 2006 houve um aumento de 18%. 303 Figura 7 - Estatísticas de incidentes com segurança no Brasil Fonte: (CERT, 2007) Junto com toda a evolução tecnológica da automação industrial surgiram muitas outras questões que necessitam de uma atenção especial das pessoas ligadas à área. “Até a década de 90 o ambiente de automação industrial era totalmente à parte do ambiente corporativo de uma indústria [...]” (BARBOSA, 2006), no qual redes de computadores corporativas baseadas no padrão IEEE 802.3 (Ethernet) não eram interligadas às redes existentes de automação e os equipamentos de automação possuíam sistemas dedicados e computadores industriais exclusivos. Redes de automação que se comunicam através do protocolo TCP/IP e estão interligadas a uma rede corporativa também estão sujeitas a incidentes de segurança, pois podem ser acessadas facilmente através de seu endereço IP na rede. A figura 8 ilustra um exemplo de rede com computadores e CLP na mesma rede com informações individuais, sendo assim, o nome, IP e máscara de rede são fixos. Total de Incidentes Reportados ao CERT.br por Ano 3107 5997 12301 25092 54607 75722 68000 197892 0 30000 60000 90000 120000 150000 180000 210000 1999 2000 2001 2002 2003 2004 2005 2006 Ano (1999 a junho de 2006) To ta l d e In ci de nt es 313 Figura 8 – Rede de automação utilizando protocolo TCP/IP Muitas empresas estão criando métodos e normas internas para tentar combater e prevenir a falta de segurança, porém, é muito importante que haja uma interação entre a equipe de TI (Tecnologia da Informação) com a equipe de TA (Tecnologia da Automação) para que a rede possa ser projetada da melhor forma possível, unindo velocidade e segurança. Atualmente, temos no mercado equipamentos e softwares para automação que são abertos a todos os tipos de sistemas operacionais e que podem ser interligados às redes corporativas das empresas, onde seus protocolos de comunicação possuem encapsulamento em pacotes TCP (RODRIGUEZ, 2007). A partir deste cenário, surgiram os sistemas historiadores de processo ou PIMS (“Plant Information Management Systems”), que são capazes de obterem dados e gravar em um banco de dados temporal, e usados em softwares de controle corporativo (BARBOSA, 2006). A integração do ambiente industrial e corporativo é um fato, porém, possuem características individuais. O ambiente industrial tem como prioridade a produção e a segurança humana, já o ambiente corporativo prioriza o desempenho e a integridade dos dados (BARBOSA, 2006). Pode-se visualizar melhor as prioridades de cada ambiente na figura 9. 323 Figura 9 – Prioridades nos ambientes industriais e corporativos. Em alguns sistemas onde os processos são críticos, a disponibilidade dos dados é feita através da redundância de informações, nos quais existe um CLP primário que coleta os dados, processa e os envia para a rede. Caso este CLP primário tenha algum problema, existe um CLP secundário que assumirá o controle instantaneamente. Para haver a redundância é necessária uma arquitetura de rede diferenciada, O conceito é simples: quando um equipamento entra em estado de defeito, o outro assume imediatamente, garantindo a disponibilidade e a segurança física do sistema. 5.2 Integração entre ambiente de TI e TA Em virtude da crescente necessidade do mercado de interagir hardware com software, os ambientes de TI e TA foram unidos e passaram a trabalhar com os mesmo propósitos, pois, atualmente, sistemas operacionais como Windows, Linux e outros, juntamente com equipamentos como hubs, switchs, computadores pessoais, servidores e a própria rede TCP/IP passaram a ser itens de grande aplicação no ambiente de TA (MORA, 2007). Apesar da união da TI com a TA, não é possível aplicar todos os equipamentos e softwares encontrados hoje no mercado para redes de TI em processos de controle e supervisão da automação (MORA, 2007). Em função de suas necessidades, os ambientes de TI e TA têm o mesmo objetivo, porém, possuem prioridades inversas (MORA, 2007): 333 Ambiente TI: Prioriza a confidencialidade dos dados na rede, protegendo contra acessos não autorizados, prioriza também a integridade e a disponibilidade (MORA, 2007). Ambiente de TA: Sua maior prioridade é a disponibilidade, pois não pode tolerar pequenas interrupções podendo causar grandes perdas, sejam elas de produção ou danos ao equipamento. Seguindo a ordem de prioridades vem a integridade e a confidencialidade dos dados, protegendo e garantindo que os dados não sejam danificados ou acessados por pessoas não autorizadas (MORA, 2007). O hardware para equipamentos de TI é projetado para ficar em ambientes não agressivos e livres de interferência eletromagnéticas, já os equipamentos de automação são projetados para ambientes de chão de fábrica, mais agressivos e com muita interferência e ruídos. Enquanto sistemas de TI (hardware e software) têm estimativa de vida na média de 5 anos, os sistemas de TA devem permanecer operando por no mínimo 10 anos (MORA, 2007). 6 AMEAÇAS AO AMBIENTE DE AUTOMAÇÃO INDUSTRIAL Com o constante avanço tecnológico e o fácil acesso a novas tecnologias, muitos usuários de computadores têm conhecimento em redes e nos protocolos de comunicação TCP/IP, junto com este conhecimento, surgem muitos softwares com o propósito de explorar falhas e danificar ou roubar informações indevidas (BARBOSA, 2006). A exposição dos sistemas SCADA às ameaças aumenta, à medida que estes são conectados a um número cada vez maior de redes e sistemas para compartilhar dados e fornecer serviços on-line (SEVOUNTS, 2004). Existem diversas formas de atacar um sistema de automação industrial, seja na degradação de serviços da rede, ou na exploração de falhas. Alguns itens merecem destaque, como: propagação de códigos maliciosos, negação de serviços, exploração de falhas no sistema operacional ou a má configuração dos serviços de rede (PIRES, OLIVEIRA e BARROS, 2004). A segurança interna entre os equipamentos da própria rede também devem ser levada em consideração, pois um usuário dentro da empresa pode ter acessos privilegiados a informações que não deveria ter, facilitando a liberação de vírus e roubo de informações. É necessário saber como são classificadas as ameaças que podem causar impactos em nossos sistemas, comprometendo os princípios de segurança. As vulnerabilidades podem estar expostas no hardware, software, meios de armazenamento ou comunicação. Devemos primeiramente rastrear e eliminar as vulnerabilidades de um ambiente de tecnologia de informação, após isso, será possível dimensionar os riscos aos quais o ambiente está exposto e definir as medidas de segurança mais apropriadas para o ambiente. Dentre as vulnerabilidades temos: • Vulnerabilidade Física: Instalações inadequadas, ausência de recursos para combates a incêndio, disposição desorganizada de cabos de redes, energia. Vulnerabilidadedo hardware: Defeitos de fabricação, configuração de equipamentos, ausência de proteção contra acesso não autorizado, conservação inadequada de equipamentos. • Vulnerabilidade de software: Caracteriza-se normalmente por falhas de programação, que permitem acessos indevidos ao sistema, liberdade de uso do usuário. 353 • Vulnerabilidade dos meios de armazenamento: CD-ROM, fitas magnéticas e discos rígidos, se utilizados de forma inadequada, seu conteúdo poderá estar vulnerável a uma série de fatores, como confidencialidade de informações. • Vulnerabilidade de Comunicação: Abrange todo o tráfego de informações. O sucesso no tráfego de dados é um aspecto fundamental para a implementação da segurança da informação, como está também associada ao desempenho dos equipamentos envolvidos. Ausência de sistemas de criptografias, por exemplo. • Vulnerabilidade Humana: Relaciona-se a danos que as pessoas podem causar às informações e ao ambiente tecnológico. A maior vulnerabilidade seria o desconhecimento das medidas de segurança adotadas que são adequadas para cada elemento do sistema. Dentre as principais ameaças às redes de computadores estão os vírus, worms, cavalos de Tróia e os ataques a sistemas informatizados. Um vírus pode ser definido como um segmento de código de computador que se anexa a um programa ou arquivos para se propagar de computador em computador. Propaga a infecção, à medida que viaja. Os vírus podem danificar o seu software, equipamento informático e outros arquivos (MICROSOFT, 2007). Um worm, tal como um vírus, foi concebido para copiar-se de um computador para outro, mas de forma automática. Em primeiro lugar, toma controle de funções do computador que permitem transportar arquivos ou informações. O worm, após ter entrado no sistema, pode movimentar-se sozinho. Um dos grandes perigos dos worms é o fato de que podem duplicar-se em grande volume. Por exemplo, um worm pode enviar cópias de si próprio para todas as pessoas que estejam em uma listagem de endereços de um correio eletrônico, e os computadores dessas pessoas farão o mesmo, causando um efeito de avalanche, resultando em congestionamentos nas redes das empresas e em toda a Internet. Quando são libertados novos worms, estes se espalham rapidamente, congestionam as redes e podem criar grandes períodos de espera para abrir páginas na Internet (MICROSOFT, 2007). O cavalo de Tróia propaga-se quando, inadvertidamente, softwares são abertos por usuários, que pensam estar executando um software de uma fonte legítima. Os cavalos de Tróia podem também estar incluídos em software disponível para transferência gratuita (MICROSOFT, 2007). Os Ataques são eventos que podem comprometer a segurança de um sistema ou de uma rede. Podem ou não ter sucesso, se tiver, caracteriza-se por uma invasão ou uma ação que pode ter um efeito negativo (FUNDAMENTOS, 2007). 363 Segundo FUNDAMENTOS (2007), temos duas categorias de ataques: A primeira envolve conexões permitidas entre um cliente e um servidor, ataques de canal de comando, direcionados a dados, a terceiros e a falsa de autenticação de clientes. Já a segunda, envolve ataques que trabalham sem a necessidade de se fazer conexões, injeção e modificação de dados, negação de serviços etc. 6.1 Técnicas para acesso não autorizado Os acessos não autorizados às redes podem ser qualificados de dois modos: maliciosos e os não maliciosos. Os maliciosos são realizados por pessoas que têm o propósito de roubarem dados ou danificar o sistema, já os não maliciosos são feitos por pessoas que não possuem treinamento sobre o sistema operacional e acabam cometendo erros ao utilizar o sistema. Atualmente, existem muitas formas para acessar redes que utilizam protocolo TCP/IP sem possuir autorização devida. A forma mais comum é através do compartilhamento de pastas, arquivos e serviços que o próprio usuário disponibiliza na rede. Muitos usuários por não saberem utilizar corretamente o sistema operacional, acabam compartilhando pastas e arquivos sem ter conhecimento de que os mesmos poderão ser acessados e modificados por todos que acessarem sua rede. No caso de uma rede de automação, alguns CLPs disponibilizam portas de acesso para serviços como: programação, visualização de processo, modificação de variáveis e diagnósticos. Se as portas de acesso para estes serviços não estiverem sendo monitoradas por um Firewall interno, o CLP pode estar vulnerável a acessos não autorizados. Segundo Rodriguez (2007), partindo da hipótese de que a ameaça seja originada por alguém com acesso não monitorado e não autorizado na rede, temos algumas das principais técnicas de acesso: Spoofing: Consegue monitorar e introduzir pacotes de comunicação na rede modificados. O remetente envia pacotes para um endereço de rede qualquer, se passando por um computador da rede, ou seja, em uma rede onde não existem restrições para os usuários da rede interna, essa técnica se encaixa perfeitamente. O único problema para o atacante é que este é um ataque cego, pois ele não recebe mensagens de confirmação de seus pacotes. 373 Replay: Monitora e copia pacotes de comunicação da rede, conseguindo reinserir na rede quando achar necessário. Através deste tipo de ataque é possível confundir o equipamento destinatário, pois ao mudar a seqüência dos pacotes podem surgir erros nas instruções e lentidão na aquisição de dados. Negação de serviço: Este ataque também é conhecido como DoS (Denial of Service) onde o usuário tenta derrubar o web service do equipamento, seja enviando pacotes inválidos ou válidos na tentativa de sobrecarregar o processamento do equipamento e travar para que ninguém possa utilizar seus serviços. Lembrando que este tipo de ataque não é uma invasão, mas uma invalidação por sobrecarga de comunicação. ARP (Address Resolution Protocol) spoofing: Burla o sistema de identificação das máquinas, falsificando o MAC (Media Access Control) adress da placa de rede com o propósito de receber pacotes endereçados para outras máquinas. Podendo assim receber dados sigilosos que o equipamento mandaria para um sistema de supervisão e controle. Discovery: Insere pacotes de dados na rede para obter informações sobre outros elementos da rede, como a quantidade e a identificação de cada CLP. Normalmente esta modalidade antecede as descritas acima, pois através das informações obtidas na rede, o invasor consegue acesso às máquinas. Existem muitas outras técnicas utilizadas para acessos não autorizados, através das quais são exploradas falhas nos protocolos de comunicação da própria rede utilizada pelos controladores (RODRIGUEZ, 2007). 7 MEDIDAS PARA MINIMIZAR VULNERABILIDADES Apesar de não ser um assunto muito divulgado, as empresas estão se preocupando com a segurança em seus sistemas de automação industrial e adotando algumas medidas para minimizar as possíveis falhas e vulnerabilidades dos sistemas. Com esse fim, foi criada a norma ISA 99 (ENTERPRISE, 2004) que trata, especificamente, sobre segurança em ambientes de automação industrial (BARBOSA, 2006). Muitas medidas podem ser tomadas para reforçar a segurança em redes de automação, porém, é preciso analisar as vulnerabilidades do sistema para conhecer melhor as decisões a serem tomadas. Abaixo segue uma relação de algumas das principais iniciativas (BARBOSA, 2006): • Desenvolvimento e implementação de políticas de segurança baseadas nos sistemas de automação; • Instalação em locais estratégicos de Firewall e outros mecanismos contra softwares maliciosos; • Controle dos serviços de acesso remoto, permitindo sessões criptografadas; • Planejamento de atualizações de softwares como sistema operacional, antivírus, Firewall e outros softwares específicos; • Realização de treinamentos para que todos os usuários da rede possam saber de suasresponsabilidades e deveres perante a rede corporativa; • Manutenção do tempo de sincronismo dos equipamentos da rede; • Criação de políticas de backup; • Segmentação física e lógica da rede; • Deixar somente os serviços necessários rodando no equipamento, desabilitando outros serviços que podem servir de porta de entrada para vírus e acesso de pessoas não autorizadas; • Utilização de tecnologias capazes de certificar os usuários da rede; • Utilização de sistemas capazes de detectar a presença de usuários não autorizados na rede; • Criação de uma equipe de análise e auditoria dos dados trafegados na rede que possam tornar o processo de segurança sempre atualizado. 393 As decisões de um administrador de rede, relacionadas à segurança, irão determinar o quanto a rede é segura. As decisões determinarão o que ela tende a oferecer, e qual será a facilidade de usá-la. Porém, você não consegue tomar boas decisões de segurança, sem antes determinar quais são os objetivos de segurança. Sem a determinação desses objetivos de segurança, não será possível fazer o uso completo de qualquer ferramenta de segurança e não serão checadas todas as restrições necessárias da rede (POLITICA, 2000). Uma política de segurança deve obter alguns controles no ambiente corporativo. Entre eles estão: software de detecção de vírus e cavalos de tróia, controle de acesso lógico e mecanismos de controle acesso físico (POLITICA, 2000), alguns exemplos de software comerciais: Norton Antivírus 2007, Norton Internet Security 2007. Segundo POLITICA (2007) a Política de Segurança da informação deverá envolver os seguintes agentes: • Gestor da informação: É o responsável em tomar as decisões em nome da empresa no que diz respeito ao uso, à localização, à classificação, e à proteção de um recurso específico na informação. • Custodiante: É o agente responsável pelo processamento, organização e guarda da informação. • Usuário: É qualquer pessoa que interage diretamente com o sistema computadorizado. A pobre educação em segurança é um dos primeiros problemas que deve ser resolvido na implementação de um plano de segurança. Não adianta ter os melhores profissionais, se os funcionários não estão cientes da real necessidade de segurança, e como se deve proceder (FUNDAMENTOS, 2007). 7.1 Normas ligadas à segurança de informações Normas e padrões internacionais são utilizados nos mais variados casos para se facilitar à implementação e normalização de soluções que contribuem para a sociedade. No ano 2000, a ISO (International Organization for Standardization) lançou a norma ISO/IEC 17799:2000, disponível no Brasil através da norma NBR-ISO 17999:2000. Essa norma evoluiu e se tornou a atual ISO/IEC27001: 2005 abrangendo gestões de segurança das informações, baseada na 404 BS 7799-2:2002. As ISO/IEC 27001:2005 e ISO/IEC 17799:2005 se complementam (RODRIGUEZ, 2007). Na norma ISO/IEC 27001:2005 se encontram 133 controles de segundo nível, distribuídos em 11 tópicos básicos, sendo os principais na implementação de segurança da informação (RODRIGUEZ, 2007): • Política de Segurança da Informação; • Gestão da Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança física e do ambiente; • Gerenciamento de Operações e Comunicações; • Controle de Acesso; • Aquisição, desenvolvimento e manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança da Informação; • Gestão da Continuidade de Negócios; • Conformidade. Outro padrão adotado nas indústrias é o COBIT (Control Objectives for Information and related Technology). Seu uso também se deu no ano de 2000, junto à ISO 27001; definindo melhores métodos de segurança da informação. O COBIT foi criado pelo ITGI (IT Governance Institute) e ISACA (Information Systems Audit and Control Association) e atualmente está na versão 4.0 (RODRIGUEZ, 2007). Fundamentado em 34 processos de Tecnologia da Informação, o COBIT é dividido em 4 sessões (RODRIGUEZ, 2007): • Controlar o alto nível do processo; • Controlar detalhadamente o alto nível do processo; • Gestão: Entradas, saídas, gráficos, objetivas e métricas; • Modelo de maturidade do processo. Fatores fundamentais para o foco do COBIT são: (RODRIGUEZ, 2007) • Estratégia para o plano de negócios da organização; • Englobar valores nos serviços de TI; • Gestão de recursos; • Gestão de riscos; • Avaliações do desempenho. 414 “No ambiente de TA a grande preocupação é o risco operacional, porém estes padrões podem ser seguidos para implementação da segurança das redes de automação, permitindo a proteção da informação e a operação das corporações [...]” (RODRIGUES, 2007). Para se implementar a segurança fazendo-se uso da norma ISO/IEC 27001, é necessário seguir as etapas (RODRIGUEZ, 2007): • Definir escopo: Definir detalhes. Uma boa definição vai facilitar o desenvolvimento dos passos seguintes. Pela norma, o escopo deve seguir as características do negócio. • Definir a Política de Segurança: Definir acesso dos altos níveis da organização. Deve ser aplicada ao escopo. • Elaborar métodos das Análises de Riscos: Criar uma estratégia para se avaliar os riscos, definindo-se os riscos aceitáveis e os que oferecem cuidados. • Tratamento dos Riscos: Feito através das Análises de Riscos. Ações possíveis são: Aceitar o risco, negar o risco, mitigar o risco ou transferir o risco. Abrangendo as medidas de: • Correção: Eliminação do risco. • Prevenção: Para que o risco não volte a ocorrer. • Detecção: Identificar o risco. Auditoria e revisão dos controles: Auditorias da empresa são necessárias para testar e avaliar a implementação de segurança. Com base no resultado dessa auditoria, deve-se avaliar e estudar possíveis revisões e atualizações, caso necessário. 8. IMPLEMENTAÇÃO DE SEGURANÇA EM REDES DE AUTOMAÇÃO Para uma análise e demonstração efetiva de como proteger redes de automação, será demonstrado neste capítulo, uma implementação real, na qual teremos duas redes distintas representando as redes industrial e corporativa. Na figura 10, é possível visualizar a topologia usada para esta análise, sendo dividida em duas redes, do lado direito, a rede industrial e do lado esquerdo, a rede corporativa. Para realização do experimento, foram utilizados os seguintes equipamentos: • CLP-01: CLP linha Twido da Schneider Electric, com 16 entradas digitais e 16 saídas a relé, possui porta de comunicação Ethernet para comunicação externa de dados, protocolo utilizado é Modbus TCP/IP. Para este equipamento foi definido o IP 192.168.11.54, máscara de sub-rede 255.255.255.0 e Gateway padrão 192.168.11.100. • Firewall: Computador responsável pela separação das redes, cujo sistema operacional é Linux, distribuição CentOS, padrão RedHat. A distribuição contém um sistema de filtro, o Iptables, que controla tráfego de pacotes e permite a configuração de regras, deixando assim a configuração ajustável conforme a necessidade. Para essa divisão das redes, foram instaladas nesse computador, duas placas de rede (Eth0 e Eth1), sendo Eth0 responsável pelo tráfego de pacotes da rede corporativa e Eth1 pelo tráfego de dados da rede industrial. Através da identificação das placas que serão filtrados os pacotes vindos da rede corporativa. Para a placa da rede corporativa (Eth0), foi definido o IP 192.168.10.100 e para a placa da rede industrial (Eth1), o IP 192.168.11.100. • Supervisão: Computador pessoal com sistema operacional Windows XP Professional, utilizando software E3 versão 2.5 desenvolvido pela Elipse Software. Esta versão de Windows possui um Firewall interno que tem o intuito de filtrar pacotes, possíveis acessos externos e arquivos suspeitos. Não serão necessárias configurações adicionais para esse computador, pois o mesmo apenas irá ler e gravar informações do CLP. Paraeste equipamento foi definido o IP 192.168.10.50. • Estação de Trabalho: Computador pessoal com sistema operacional Windows XP Professional, será utilizado para simular acessos e teste de segurança sobre as regras inseridas no Firewall. Para este equipamento foi definido o IP 192.168.10.51. 434 Figura 10 – Rede implementada para análise O protocolo usado nesta análise foi o TCP/IP para a rede corporativa e o Modbus TCP/IP para a rede de automação. A comunicação entre os equipamentos da rede deve seguir os seguintes parâmetros e requisitos de segurança: • O único equipamento que acessa os dados do CLP é o que possui instalado o sistema de supervisão, podendo requisitar e gravar dados livremente através da porta TCP 502, disponibilizada pelo CLP para comunicação de dados. • O único equipamento que pode acessar a rede corporativa vindo da rede de automação é o CLP-01, utilizando apenas a porta TCP 502, eliminando assim, o tráfego de dados desnecessários e possíveis ataques oriundos de outros pontos da rede. • O sistema de supervisão acessa livremente a rede corporativa, podendo trafegar dados sem restrição. • A estação de trabalho acessa livremente a rede corporativa, porém não tem nenhum tipo de acesso para a rede de automação. Para que os parâmetros acima sejam cumpridos e efetivamente implementados é necessário a configuração do Firewall. Foi implementado o seguinte trecho de código para o IPTables: 444 # Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip_forward # 2. - Liberando IP do supervisório para acesso ao CLP /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.50 -d 192.168.11.54 -j ACCEPT # 3. - Bloqueando acesso as demais máquinas /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -d 192.168.11.0/24 -j DROP # 4. - Liberando acesso ao supervisório para a porta 502 iptables -A FORWARD -d 192.168.10.50 -p tcp --sport 502 -j ACCEPT # 5. - Bloqueando acesso aos outros micros da rede para a porta 502 iptables -A FORWARD -d 192.168.10.0/24 -p tcp --sport 502 -j DROP 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 O código completo desta implementação está no Apêndice A – Regras de Firewall. No trecho de código acima foram implementadas ações de bloqueio, liberação de IP e porta de acesso. Primeiramente no script, é mostrado um comando que zera as políticas e depois vem executando as regras uma a uma na ordem (linha 2 a 5). Para a nossa análise, temos que liberar o serviço de forward que serve para encaminhamento de pacotes das placas entre si (linha 7 e 8). Na próxima linha, indicamos qual IP que poderá acessar o CLP, que no caso é o micro supervisório (linha 11 a 13). Será executado na próxima linha, o bloqueio dos demais IP’s, pois somente o micro supervisório terá privilégio para buscar informação no CLP (linha 16 a 18; 21 e 22). Em seguida, bloqueamos todas as demais portas e assim finalizamos o script (linha 26 e26). Para que os computadores da rede corporativa fiquem protegidos de ações maliciosas oriundas de usuários do sistema, foi necessária a criação de políticas de segurança para essa rede e definidos os seguintes parâmetros: • Os computadores da rede corporativa irão trabalhar em rede, porém as contas de usuários não terão privilégios de administrador do sistema, limitando assim ações do usuário. 454 • Foi instalado em todos os computadores da rede corporativa, um programa de anti- vírus com base de dados atualizada diariamente. • As instalações de novos softwares, configurações específicas, poderão ser feitas somente com a senha de administrador local. A implementação destas políticas de segurança será realizada através de um serviço que é configurado no servidor de rede, o nome do serviço é Active Directory disponibilizado no Windows Server 2003. Com todo o sistema de segurança descrito anteriormente, implementado e funcionando corretamente, pode ser observada a movimentação dos pacotes de dados na rede na figura 11, em que temos o software Iptables rodando como Firewall implementado em um sistema operacional Linux e exibindo os pacotes de dados. Somente os pacotes que têm origem do IP: 192.168.10.50 (Sistema de supervisão) e com destino ao IP: 192.168.11.54 (CLP-01) através da porta TCP 502, possuem acesso livre na rede de automação, caso haja requisição de outro IP, será bloqueado. Essa medida de segurança garante que somente o sistema de supervisão poderá acessar e requisitar dados do CLP na rede de automação, evitando ataques e espionagem nos pacotes de dados. Todos os pacotes que tem origem do CLP, IP: 192.168.11.54 na rede de automação devem ser endereçados para o sistema de supervisão da rede corporativa IP: 192.168.10.50, caso contrário, serão bloqueados. Essa medida garante que nenhum outro equipamento futuramente instalado na rede de automação acesse livremente a rede corporativa. Figura 11 – Movimentação dos pacotes de dados ao passarem pelo Firewall. Para uma análise comparativa, na figura 12, temos um computador da rede corporativa verificando a disponibilidade do CLP. Para isso, utilizamos a mesma topologia de rede, porém, sem o Firewall e sem as regras de segurança descritas anteriormente neste capítulo, podemos observar que os pacotes de dados na rede trafegam sem nenhum tipo de bloqueio. 464 Com este tráfego de dados liberado, os computadores da rede corporativa e industrial compartilham dados e trocam informações livremente, permitindo que as redes fiquem vulneráveis a ações de usuários e vírus. Figura 12 – Movimentação dos pacotes de dados sem Firewall na rede. Para finalizar a análise podemos observar que uma rede que não for bem planejada e que não levar em consideração requisitos básicos de segurança pode tornar-se vulnerável a qualquer tipo ações originadas de usuários ou vírus. O uso de Firewall para bloqueio de pacotes de dados é indispensável em qualquer topologia de rede que possua duas redes interligadas e que exija um grau de segurança elevado. CONCLUSÃO Concluímos que a segurança em redes de automação industrial, na prática, é pouco levada em consideração, porém, é um assunto de extrema importância devido aos prejuízos que podem trazer às empresas. Foram levantadas algumas das principais ameaças e vulnerabilidades encontradas nos ambientes estudados. Essas vulnerabilidades abrem portas para possíveis ataques, espionagem e danos aos sistemas ligados em rede. Em um sistema integrado de automação, em que as redes corporativas e industriais estão interligadas, surge a necessidade da separação lógica das redes, sendo elas protegidas por Firewall, pois com essa separação, diminui o fluxo de dados da rede industrial na rede corporativa, mantendo a performance máxima, evitando espionagens e deixando-as trabalhando individualmente. O Firewall permite a filtragem de pacotes deixando que um sistema de supervisão busque as informações disponibilizadas na rede industrial quando necessário. Como as empresas, na maioria das vezes, não fornecem palestras ou cursos para seus funcionários, são obrigadas a adotar políticas de segurança para minimizar possíveis danos. Para isso, foram criadas normas para implementação da segurança da informação, porém, algumas empresas não seguem normas de segurança e têm suas próprias políticas de segurança, adaptando-as à sua necessidade. Com base nas análises feitas, podemos concluir que além de proteções físicas, como o Firewall, que é responsável pelo filtro dos pacotes da rede industrial e corporativa, seria necessário treinamento aos usuários que irão utilizar os computadores da empresa, pois atualmente,não existe nenhum software no mercado que nos deixe cem por cento imunes a qualquer tipo de ataque ou invasão, porém existem métodos para minimizá-las e dificultá-las, garantindo a qualidade e confiabilidade dos dados. Hoje, grande parte dos vírus são enviados por e-mails e executados por usuários, cabendo a eles evitar a sua execução. Buscando redução de desastres e perda de arquivos, o treinamento vem a ser importante. As empresas devem seguir normas de segurança para garantir a máxima proteção de seus dados e sistemas, estando com seus softwares sempre atualizados e com políticas rígidas de segurança. REFERÊNCIAS BARBOSA, Heber Almeida. Detecção de Intrusão em Redes de Automação Industrial; Programa de Pós-Graduação em Informática. Universidade Federal do Espírito Santo, 2006. BERGE, Jonas. Fieldbuses for Process Control: Engineering, Operation and Maintenance. Apostila do curso ministrado no CEETPES - E.T.E. Professor Armando Bayeux da Silva , no ano de 1998 no Curso CLP – Básico, por Pedro Luis Antonelli. CERT. Disponível em: <http://www.cert.br>. Acesso em: 14 de maio de 2007. CONTI, Fátima. História do computador e da Internet: anos 60. Disponível em: <http://www.cultura.ufpa.br/dicas/net1/int-h196.htm>. Acesso em: 26 de maio de 2007. CONTROLADORES lógicos programáveis – Histórico. Disponível em <http://www.eaut.com.br/littecnica/clphistorico.htm>. Acesso em 25 de maio de 2007. DECOTIGNIE, J. A perspective on Ethernet-TCP/IP as a fieldbus, IFAC International Conference on Fieldbus Systems and their Applications. França, 2001. ENTERPRISE, Control System Integration Part I: Models and Terminology. Technical Report, ISA-TR99.00.01. 2004. FUNDAMENTOS de segurança. Disponível em: <http://www.projetoderedes.com.br/apostilas/apostilas_seguranca.php>. Acesso em: 23 de agosto de 2007. GEORGINI, Marcelo. Automação aplicada - Descrição e Implementação de sistemas seqüenciais com PLCs. Cap. 2: Controlador Lógico Programável. Cap 3: Arquitetura Básica do PLC. 2000. 49 JUNIOR, Constantino Seixas. Disponível em: <http://www.cpdee.ufmg.br/~seixas/PaginaII/Download/DownloadFiles/Aula%20IEC%2061 131-3.pdf>. Acesso em: 06 de maio de 2007. MAHALIK, N. Fieldbus Technology - Industrial Network Standards for Real-Time Distributed Control, 2003. MENDONZA, Diogo; FERREIRA, Fernando Santos; MORAES, Tyago Antônio de. Tecnologia Profibus. Universidade de Brasília, 2005. MICROSOFT. Disponível em: <http://www.microsoft.com/portugal/athome/security/viruses/virus101.mspx#ESC>. Acesso em: 26 de agosto de 2007. MONTEZ, C. Redes de Comunicação Para Automação Industrial. 2005. MORA, Halley R. M.. Analista de Automação Industrial. International Paper 2007. MORAES, C. C. de; CASTRUCCI, P. L. Engenharia de Automação Industrial. LTC, 2001. NATALE, Ferdinando. Automação Industrial. 6ª Edição. ÉRICA. 2000. OGATA, K. Engenharia de Controle Moderno. 2003. OLIVEIRA, L. Redes para Automação Industria. 2005. PIRES, Paulo Sérgio Motta; OLIVEIRA, Luiz Affonso Guedes de; BARROS, Diogo Nascimento. Aspectos de segurança em sistemas SCADA uma visão geral, 4º Congresso Internacional de Automação, Sistemas e Instrumentação. São Paulo, 2004. POLÍTICA de segurança da informação. 2000. Disponível em: <http://geocities.yahoo.com.br/jasonbs_1917/seguranca/politica.htm>. Acesso em: 21 maio de 2002. 50 RODRIGUEZ, Marco Túlio Duarte. Segurança da informação na integração entre ambientes de automação e corporativos. InTech Brasil. São Paulo, 2007. SCHNEIDER. Disponível em: <http://www.schneider-electric.com>. Acesso em: 24 de abril de 2007. SEVOUNTS, Gary. Preocupações crescentes quanto à segurança de rede. Disponível em: <http://www.symantec.com/region/br/enterprisesecurity/government/>. Acesso em: 01 Agosto de 2007. SILVA, Jones Y. M. F; CRUZ, Marcelo M. F e ROSADO, Rodrigo M. Redes Industriais FIELDBUS. Universidade de Brasília, 2006. SMAR. Disponível em: <http://www.smar.com>. Acesso em: 01 de maio de 2007. SOUSA, Lindeberg Barros de. TCP/IP Básico & Conectividade em Redes. 2 ed. São Paulo, 2002. TANENBAUM, Andrew S. Redes de Computadores. Tradução da Quarta Edição, (tradução Vandenberg D. Souza). Rio de Janeiro, 2003. VISÃO geral dos protocolos Modbus. Disponível em: <http://www.cefetrn.br/~walmy/RI_A4.pdf>. Acesso em: 26 de maio de 2007. WATANABE, Edson Hiroshi. Aplicação de Software Aberto Em Redes Industriais. 177 f. Dissertação apresentada ao Programa de Pós graduação em Engenharia Elétrica da Universidade Federal do Paraná, como requisito parcial à obtenção do título de Mestre em Engenharia Elétrica. Curitiba, 2006. APÊNDICE 52 APÉNDICE A – Regra do Firewall #!/bin/sh # Regras do firewall # Limpando as regras iptables -F -t nat iptables -F -t filter iptables -X -t nat iptables -X -t filter # 1. - Permitindo o encaminhamento de ip echo 1 > /proc/sys/net/ipv4/ip_forward # 2. - Liberando IP do supervisório para acesso ao CLP /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.50 -d 192.168.11.54 -j ACCEPT # 3. - Bloqueando acesso as demais máquinas /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -d 192.168.11.0/24 -j DROP # Mascarando a rede local iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # 4. - Liberando acesso ao supervisório para a porta 502 iptables -A FORWARD -d 192.168.10.50 -p tcp --sport 502 -j ACCEPT # 5. - Bloqueando acesso aos outros micros da rede para a porta 502 iptables -A FORWARD -d 192.168.10.0/24 -p tcp --sport 502 -j DROP # Proteção contra ping-of-death e ataques DOS iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s - j ACCEPT iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Proteção contra port-scanning iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP # Fecha as demais portas iptables -A INPUT -p tcp --syn -j DROP exit
Compartilhar