Segurança em Centro de
Controle da Operação para
Sistemas de Automação SCADA
na Distribuição de Água
Apresentação do Artig...
• Motivadores e Justificativa
• Objetivo
• Referencial Teórico
• Trabalhos Relacionados
• Proposta
• Validação
• Conclusão...
Motivadores e Justificativas
 Envolvimento com ambientes SCADAs no setor de saneamento com
foco na distribuição de água;
...
Motivadores e Justificativas
Figura 1 – Compara três anos e
mostra o crescimento em
incidentes (azul) e o nível de
impacto...
Objetivo
O objetivo do artigo é propor um modelo
de arquitetura conceitual de segurança,
gerenciamento e disponibilidade, ...
Referencial Teórico
Segurança da Informação
De uma maneira simplista, a grande maioria dos incidentes é causado
intenciona...
Norma ISA 99 - Arquitetura da Automação Industrial
Entre os principais elementos dessa arquitetura estão os sistemas SCADA...
Trabalhos Relacionados
Tipo Tema Objetivo
Dissertação
Cibersegurança em sistemas
de automação em plantas de
tratamento de ...
Trabalhos Relacionados
Tipo Tema Objetivo
Norma ANSI/ISA–99
Segurança para Automação Industrial e
Sistemas de Controle: Te...
Proposta
 A proposta desenvolvida foi norteada por todos os trabalhos
relacionados nessa apresentação, porém teve forte i...
 Com base na norma ISA 99, veremos no próximo
slide um diagrama de uma arquitetura recomendada
para uma série de situaçõe...
Proposta
Proposta
Outro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da
Informação Avançada (Group for Adva...
Sistemas de
Negócio e
Informação
SCADA e
Sistemas
Supervisório
Automação
Industrial e
Sistemas de
Controle
SCADA DMZ
Propo...
Validação
Para validação da proposta utilizou-se de duas
situações:
 Ambiente existente de produção com os servidores SCA...
Centro de Controle
Rede de
Controle do
Processo
Estação de
Tratamento
de Água
Reservatórios
de Água
Rede Corporativa
Inter...
Frame Relay
Automação
MPLS - Rede
Corporativa
RADIUS/MSCHAP
Servidor
RADIUS/LDAP
Servidor
Historiador
Servidor
SCADA WEB
R...
Autenticação e autorização
 O acesso da rede corporativa é possível pelas regras de acessos
(Access Rules) aplicadas nos contextos da arquitetura pr...
Conclusão
• Existe uma melhoria significativa na segurança com a utilização de
firewalls para separação das redes de proce...
Upcoming SlideShare
Loading in …5
×

Sistemas de proteção de perímetro

1,093 views

Published on

Apresentação realizada no CMG Brasil 2013

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,093
On SlideShare
0
From Embeds
0
Number of Embeds
224
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sistemas de proteção de perímetro

  1. 1. Segurança em Centro de Controle da Operação para Sistemas de Automação SCADA na Distribuição de Água Apresentação do Artigo Sistemas de Proteção de Perímetro Prof. Dr. Adilson Eduardo Guelfi Aluno: Silvio Rocha
  2. 2. • Motivadores e Justificativa • Objetivo • Referencial Teórico • Trabalhos Relacionados • Proposta • Validação • Conclusão Agenda
  3. 3. Motivadores e Justificativas  Envolvimento com ambientes SCADAs no setor de saneamento com foco na distribuição de água;  A área de sistemas automatizados vem ganhando maior visibilidade nos últimos anos e a sua utilização torna-se cada vez mais importante para os negócios, principalmente pela sua integração com as redes corporativas;  Garantir uma melhor proteção das informações que trafegam nas redes de automação, que se atacadas podem ter grande impacto na sociedade;  Os sistemas de controle e aquisição de dados (Supervisory Control and Data Acquisition – SCADA) estavam protegidos de ataques externos e internos graças a seus protocolos proprietários e redes isoladas;  Com o crescente uso do padrão Ethernet nas estruturas de automação industrial, esse ambiente vem convergindo para sistemas abertos e com isso levanta a questão da segurança da informação.
  4. 4. Motivadores e Justificativas Figura 1 – Compara três anos e mostra o crescimento em incidentes (azul) e o nível de impacto (vermelho) para as organizações que utilizem sistemas de controle. Figura 2 – Mostra a distribuição por setor para todos os incidentes relatados em 2011. No setor de saneamento (água) temos um elevado número de incidentes devido as características de acesso remoto inseguro.
  5. 5. Objetivo O objetivo do artigo é propor um modelo de arquitetura conceitual de segurança, gerenciamento e disponibilidade, tendo por base as normas ISO 27002 e ISA 99 para os ambientes de automação no saneamento, com foco principal no processo de distribuição de água.
  6. 6. Referencial Teórico Segurança da Informação De uma maneira simplista, a grande maioria dos incidentes é causado intencionalmente por pessoas maliciosas. Para tornar uma rede segura e proteger contra ameaças e ataques, pode-se utilizar:  Sistema de Detecção de Intruso – IDS  Firewall  Criptografia  Tecnologias de Autenticação e Autorização O padrão 802.1x se integra com o padrão AAA (Authentication, Authorization and Accounting) da IETF (Internet Engineering Task Force). Em segurança da informação, o padrão AAA é uma referência aos protocolos relacionados com os procedimentos de:  autenticação;  autorização e  contabilização
  7. 7. Norma ISA 99 - Arquitetura da Automação Industrial Entre os principais elementos dessa arquitetura estão os sistemas SCADA ou supervisórios, são sistemas digitais que provem supervisão, controle, gerenciamento e monitoramento dos processos em tempo real.  Unidade de Terminal Remota (Remote Terminal Unit – RUT)  Controlador Lógico Programável (Programmable Logic Controller – PLC)  Interface Homem-Máquina (Humam Machine Interface – HMI)  Protocolos de Redes Industriais (CAN Bus, Modbus, Profibus, etc) O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a arquitetura AAA. Implementado em pontos de acesso sem fio, switches e outros tipos de dispositivos que permitem acesso autenticado a redes de computadores. O protocolo RADIUS é definido pela RFC 2865 (RIGNEY, 2000). O RADIUS foi idealizado para centralizar as atividades de Autenticação, Autorização e Contabilização.
  8. 8. Trabalhos Relacionados Tipo Tema Objetivo Dissertação Cibersegurança em sistemas de automação em plantas de tratamento de água. Propor uma metodologia cujo foco seja e minimização dos riscos de segurança. Artigo ICS-CERT Incident Response Summary Report: 2009 – 2011. Apresentar um resumo dos incidentes cibernéticos e orinetar a defesa dos ambientes de sistema de automação contra ameaças cibernéticas emergentes. Guia Guia de Referência para a Segurança das Infraestruturas Críticas da Informação – Versão 01 – Nov/2010. Reunir métodos e instrumentos, visando garantir a Segurança das Infraestruturas Críticas da Informação e com isso assegurar, dentro do espaço cibernético, ações de segurança da informação e comunicações como fundamentais para garantir disponibilidade, integridade, confidencialidade e autenticidade da informação, no âmbito da Administração Pública Federal.
  9. 9. Trabalhos Relacionados Tipo Tema Objetivo Norma ANSI/ISA–99 Segurança para Automação Industrial e Sistemas de Controle: Terminologia, Conceitos e Modelos Artigo Arquitetura de Segurança da Informação em Redes de Controle e Automação. Ilustrar uma arquitetura de uma solução de segurança para os diversos estágios de evolução dos sistemas de automação que compõem as instalações da Companhia Hidro Elétrica do São Francisco – CHESF. Guia Firewall Deployment for SCADA and Process Control Networks – Good Practice Guide - CPNI Coleção de informações que foram resumidas em um artigo em termos de arquitetura de firewall, implantação, concepção e gestão para determinar práticas de segurança atuais. Livro Industrial Network Security Proteção de infraestruturas críticas, Redes para Smart Grid, SCADA e outras sistemas de controle industrial. Norma ABNT NBR ISO/IEC 27002 Código de prática para a gestão da segurança da informação.
  10. 10. Proposta  A proposta desenvolvida foi norteada por todos os trabalhos relacionados nessa apresentação, porém teve forte influência das normas ANSI/ISA 99 e ISO 27002, como também do Guia de Boas Práticas do Centro de Proteção Nacional de Infraestrutura (CPNI).  Para o artigo optou-se pelo estudo dos modelos de arquitetura de automação SCADA que pudessem se aplicados no setor de saneamento, em especial distribuição de água.
  11. 11.  Com base na norma ISA 99, veremos no próximo slide um diagrama de uma arquitetura recomendada para uma série de situações práticas e mostra como definir zonas de segurança. Proposta
  12. 12. Proposta
  13. 13. Proposta Outro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da Informação Avançada (Group for Advanced Information Technology – GAIT) que analisou implantações de redes SCADA e identificou oito arquiteturas: Arquiteturas Segurança Gerenciamento Disponibilidade Pontuação 1) Duas interfaces de Rede nos Computadores; 1,00 2,00 1,00 4,00 2) Servidor com duas interfaces de rede e com software de firewall pessoal; 2,00 1,00 1,00 4,00 3) Filtragem de pacotes Router/Switch Camada 3 entre a Rede de Controle de Processos e a Rede Corporativa; 2,00 2,00 4,00 8,00 4) Firewall com duas portas, uma na Rede de Controle de Processos e outra na Rede Corporativa; 3,00 5,00 4,00 12,00 5) Combinação de Router/Firewall entre Rede de Controle de Processos e Rede Corporativa; 3,50 3,00 4,00 10,50 6) Firewall com zonas desmilitarizadas entre a Rede de Controle de Processos e a Rede Corporativa; 4,00 4,50 4,00 12,50 7) Firewalls emparelhados entre a Rede de Controle de Processos e a Rede Corporativa; 5,00 3,00 3,50 11,50 8) Combinações de Firewall e VLAN entre a Rede de Controle de Processos e a Rede Corporativa. 4,50 3,00 5,00 12,50 Pontuação aproximada para arquiteturas de redes SCADA Pontuação (1 = Pior e 5 = Melhor)
  14. 14. Sistemas de Negócio e Informação SCADA e Sistemas Supervisório Automação Industrial e Sistemas de Controle SCADA DMZ Proposta Mesmo com essas diferenças funcionais entre as redes de automação e as redes corporativas, a integração é necessário conforme já explanado. Por essa razão é recomendado uma arquitetura segura e que para validação desse artigo será adotado a arquitetura de número 8 – Combinações de Firewall e VLAN entre Rede de Controle de Processos e a Rede Corporativa. Essa arquitetura será complementada de alguns mecanismos de proteção de perímetro ligados a tecnologia de autenticação e autorização, propostos pelo autor deste artigo.
  15. 15. Validação Para validação da proposta utilizou-se de duas situações:  Ambiente existente de produção com os servidores SCADAs segregados por VLAN;  Ambiente de laboratório prático para validação do processo de autenticação e autorização RADIUS, por meio do servidor FreeRadius e serviço de diretório LDAP.
  16. 16. Centro de Controle Rede de Controle do Processo Estação de Tratamento de Água Reservatórios de Água Rede Corporativa Internet Rede de Automação Rede de Automação no Campo Servidor Aplicação Servidor SCADA Corporativo Servidor OPC Servidor RADIUS/ LDAP Servidor Historiador HMI Local HMI Local HMI Local Estação de Tratamento de Água RTU ou PLC RTU ou PLC RTU ou PLC Arquitetura Conceitual Filias Servidor SCADA WEB Rede Corporativa
  17. 17. Frame Relay Automação MPLS - Rede Corporativa RADIUS/MSCHAP Servidor RADIUS/LDAP Servidor Historiador Servidor SCADA WEB Rede Corporativa Servidor Aplicação Servidor SCADA Corporativo Servidor OPC Rede de Controle do Processo Centro de Controle 802.1x/PEAP/MSCHAPv2 RADIUS/TLS Arquitetura Física e Lógica Rede IP 10.66.8.0/21 VLAN 2 Rede IP 172.21.0.0/24 VLAN 1 Firewall/NAT Rede IP 192.168.0.0/24 Autenticação com 802.1x Liberação de acesso na VLAN Internet
  18. 18. Autenticação e autorização
  19. 19.  O acesso da rede corporativa é possível pelas regras de acessos (Access Rules) aplicadas nos contextos da arquitetura proposta, além do NAT entre a rede de automação e rede corporativa. Firewall - DMZ
  20. 20. Conclusão • Existe uma melhoria significativa na segurança com a utilização de firewalls para separação das redes de processo das redes corporativas, por meio de DMZ e Vlan; • Utilizar um ambiente de rede que possua uma forma de autenticação e autorização para acesso ao meio é uma das formas de aumentar a segurança; • Com o processo de autorização, somente usuários legítimos e devidamente identificados tem acesso aos recursos disponíveis. Já o processo de autorização fornece flexibilidade para implementar uma hierarquia de acesso, bem como manter centralizada a base de usuários.

×