Professional Documents
Culture Documents
ENGENHARIA DA COMPUTAO
AVALIAO DE SEGURANA
EM
REDES DE AUTOMAO
Danilo de Oliveira
Felipe Bertini Martins
Ferigs Rezende
Fernando Lombardi
Marcos Antonio Lopes
Jundia
2007
FACULDADE POLITCNICA DE JUNDIA
ENGENHARIA DA COMPUTAO
AVALIAO DE SEGURANA
EM
REDES DE AUTOMAO
Orientador:
Prof. Eberval Oliveira Castro
Orientados:
Danilo de Oliveira 0300512
Felipe Bertini Martins 0300848
Ferigs Rezende 0300581
Fernando Lombardi 0305013
Marcos Antonio Lopes 0301540
Jundia
2007
FACULDADE POLITCNICA DE JUNDIA
ENGENHARIA DA COMPUTAO
AVALIAO DE SEGURANA
EM
REDES DE AUTOMAO
Orientados:
Danilo de Oliveira 0300512
Felipe Bertini Martins 0300848
Ferigs Rezende 0300581
Fernando Lombardi 0305013
Marcos Antonio Lopes 0301540
_______________________________________
Orientador: Prof. Eberval Oliveira Castro
Jundia,_____de_________________de 2007
Aos colegas de estudo e aos familiares que nos
apoiaram e incentivaram para a realizao
deste trabalho.
AGRADECIMENTOS
RESUMO
Este trabalho discute sobre segurana na integrao entre redes corporativas e redes de automao
industrial, no qual sero apresentados riscos, falhas e vantagens das redes, com o intuito de
conscientizar e demonstrar a importncia de possuir uma rede com maior nvel de segurana possvel,
buscando minimizar o risco de ataques e invases que possam causar prejuzos empresa. Ser
apresentada a parte histrica da automao industrial, definio e tipos de protocolos envolvidos nas
redes, sistemas de superviso que permitem o gerenciamento remoto e o controle de automao na
empresa, troca de informaes entre o ambiente industrial e corporativo, anlises realizadas em
ambientes reais avaliando a segurana existente na rede e buscando mtodos para melhorias.
A great technological revolution in the field of the industrial automation has been
presented in the last years, starting of a total isolated environment where the proprietors
systems used to dominate and the technologies were dedicated to an integrated environment
and shared by all the corporative systems. This paper is about the security in the integration
between corporative nets and industrial automation nets where risks, imperfections and
advantages of the nets will be presented. Intending to acquire knowledge and to show the
importance of having a net with the biggest level of possible security, trying to minimize the
risk of attacks and invasions that can cause harmful damages to the company. It will be
presented the historical part of the industrial automation, definition and types of involved
protocols in the nets, supervision systems that allow the remote management and the control
of automation in the company, information exchange between the industrial and corporative
environment, analyses done in real environments evaluating the existing security in the net
and searching methods for improvements. It will also be presented the main techniques used
for invasion and attacks of industrial systems.
LISTA DE FIGURAS
INTRODUO..............................................................................................................11
1. REFERENCIAL HISTRICO..........................................................................13
1.1 Histria das redes Ethernet.................................................................................14
2. CLP (Controlador Lgico Programvel)............................................................16
2.1 Comunicao em rede........................................................................................17
2.3 Funcionamento de um CLP................................................................................18
3 . O QUE SO REDES DE AUTOMAO.......................................................20
3.1 Protocolos de comunicao................................................................................22
4 . REDES ETHERNET EM AMBIENTE INDUSTRIAL...................................25
5. SEGURANA EM REDES DE AUTOMAO.......................................................28
5.1 Novo contexto na indstria................................................................................29
5.2 Integrao entre ambiente de TI e TA................................................................32
6. AMEAAS AO AMBIENTE DE AUTOMAO INDUSTRIAL...........................34
6.1 Tcnicas para acesso no autorizado........................................................................36
7. MEDIDAS PARA MINIMIZAR VULNERABILIDADES.......................................38
7.1 Normas ligadas segurana de informaes............................................................39
8.IMPLEMENTAO DE SEGURANA EM REDES DE AUTOMAO..............42
CONCLUSO................................................................................................................47
REFERNCIAS..............................................................................................................48
APNDICE A Regra do Firewall................................................................................51
INTRODUO
H cerca de dez anos, o ambiente de automao industrial era isolado do ambiente corporativo
de uma empresa. Com a constante evoluo tecnolgica, hoje uma necessidade que esses
dois ambientes sejam interligados e compartilhem informaes, pois necessrio que
sistemas inteligentes como sistemas de otimizao de processo e gerenciamento de produo
sejam alimentados com essas informaes.
A integrao do ambiente industrial para o corporativo levanta uma srie de questes de
segurana que antes eram somente do ambiente corporativo da empresa, tais como: a
explorao de falhas de programao, ataques a servios, acessos no autorizados, vrus e
outros tipos de vulnerabilidades e ameaas. Uma questo tambm importante que a maioria
dos protocolos desenvolvidos no foram projetados para atender s necessidades de segurana
das redes corporativas.
A motivao para o desenvolvimento deste trabalho o estudo e anlise de segurana na
integrao entre redes industriais e corporativas, de forma a orientar e minimizar riscos e
ameaas aos ambientes.
No decorrer do trabalho foram encontradas algumas dificuldades, porm, a principal foi a
deficincia de material nacionalizado para este tipo de assunto.
Este trabalho estruturado da seguinte forma:
No captulo 1, apresentado um histrico da evoluo tecnolgica dos sistemas de controle e
automao industrial, bem como as redes de comunicao.
No captulo 2, definido um controlador lgico programvel e suas principais caractersticas.
No captulo 3, so apresentadas as redes de automao e seus principais protocolos,
abordando suas principais funcionalidades.
No captulo 4, ser abordado o tema de redes Ethernet em ambiente industrial, apresentando
os tipos de redes e sua classificao.
No captulo 5, focaremos a segurana da automao que passou a ser um tema abrangente
para todas as tecnologias que se comunicam atravs de redes, o papel do CLP e suas
vulnerabilidades, a interao do ambiente TI e TA, e sistemas PIMS.
No captulo 6, veremos a exposio dos sistemas SCADA, tipos de vulnerabilidades, vrus,
worms, cavalos de tria, tipos de ataques e acessos, como spooling, relay, negao de servio,
ARP, e discovery.
12
O sistema possui o nome Ethernet devido a uma meno ao ter luminoso, atravs do
qual, os fsicos do sculo XIX acreditavam que a radiao eletromagntica propagava-se
(TANENBAUM, 2003).
Na dcada de 70, na University of Hawaii, Norman Abramson e colegas queriam
conectar-se da ilha em um computador que se encontrava em Honolulu. Como soluo,
usaram um rdio de ondas curtas, no qual havia duas freqncias: ascendente e descendente.
Para se comunicar com um computador, o rdio transmitia em um canal ascendente, que era
confirmado no canal descendente do computador ao qual se desejava fazer a comunicao
(TANENBAUM, 2003).
Antes da existncia das redes de computadores, a troca de informaes acontecia de
maneira manual, com o prprio usurio copiando as informaes e as transportando de uma
mquina para outra (CONTI, 2007).
15
Antes do CLP, esse feito era realizado substituindo componentes eltricos (rels, por
exemplo) e modificando projetos com grandes grupos de painis de controle (BERGE, 1998).
As principais vantagens de um CLP em relao a lgicas a rel so:
Menor tamanho fsico necessrio;
Ser programvel (possibilitando alteraes de lgicas de controle);
Capacidade de comunicao com sistemas que gerenciam a produo.
1
17
No mnimo, todo CLP dispe de pelo menos uma porta de comunicao serial onde o
usurio vai conectar o cabo serial programador que, normalmente, um computador
executando um software fornecido pelo fabricante do CLP. Atravs desta porta, o usurio faz
todas as atividades de manuteno: verifica o status da CPU (Central Processing Unit -
Unidade Central de Processamento), dos mdulos de E/S (Entrada/Sada), o tempo de ciclo do
programa aplicativo, faz a carga e leitura do programa para salvar em disco.
Essa porta normalmente uma rede mestre-escravo que pode ser utilizada para outras
funes, tais como: conectar um sistema de superviso ou uma IHM (Interface Homem
Mquina) local. No entanto, como essa porta destinada para manuteno, se ela for utilizada
para conectar uma IHM, por exemplo, toda vez que o usurio precisar conectar o computador
para a manuteno, dever retirar o cabo da IHM e depois de concludo o servio, recoloc-lo.
Para evitar esse tipo de problema desejvel que a CPU tenha mais canais de
comunicao para permitir, alm da conexo com IHMs locais, a conexo em rede com outros
sistemas.
1
18
O hardware do CLP composto por trs partes: uma fonte de alimentao eltrica, uma
CPU e interface de E/S.
Fonte de alimentao eltrica: transforma a energia eltrica para voltagem usada pelo
equipamento.
CPU: Segundo (MORAES e CASTRUCCI, 2001), responsvel pela execuo do
programa do usurio, atualizao da memria de dados e memria-imagem das entradas e
sadas [...].
Interfaces de Entrada e Sada: entendem-se como teclados, monitores etc.
Na figura 3, mostrado um exemplo de funcionamento de um CLP, sendo iniciado pela
leitura nas entradas digitais ou analgicas, aps isso, o programa executado e suas sadas so
atualizadas.
1
19
INICIAR
LER ENTRADA
PROGRAMA
ATUALIZA
SADA
Os processamentos feitos pelo CLP atravs dos dados de entrada so programveis por
lgicas combinacionais, seqenciais ou pelas duas.
Segundo Natale (2000), Automatizar um sistema significa fazer uso de funes
lgicas, representadas, por sua vez, por portas lgicas que podem ser implementadas [...]
O CLP faz uso da lgica de programao ladder.
Possui as seguintes representaes:
-| |- Contato aberto;
-|/|- Contato fechado;
-( )- Bobina;
-(|)- Bobina inversa;
-(S)- Bobina set;
-(R)- Bobina reset;
-(M)- Bobina Memria;
3 O QUE SO REDES DE AUTOMAO
tambm temos uma interface homem-mquina para controle local dos processos e um sistema
de superviso SCADA para supervisionar e coletar todos os dados para estudo e anlise do
processo.
Figura 4 Rede de
controle e superviso
Pode-se concluir que as tecnologias de redes industriais esto em contnua evoluo, uma
vez que as empresas buscam definir padres com perfis de redes mais seguras e de alto
desempenho [...] (WATANABE, 2006).
Redes industriais so sistemas distribudos, que representam diversos dispositivos
trabalhando simultaneamente de modo a supervisionar e controlar um determinado processo.
Esses dispositivos, por exemplo, sensores, atuadores, CLPs, PCs; esto interligados e trocam
informaes de forma rpida e precisa. Um ambiente industrial , geralmente, hostil, de modo
que os dispositivos ligados rede industrial devem ser confiveis, rpidos e robustos
(OLIVEIRA, 2005).
Para se implementar um sistema de controle distribudo, baseado em redes, tem-se a
necessidade de vrios estudos detalhados sobre o processo a ser controlado, buscando o
sistema que melhor se enquadre para as necessidades do usurio (OGATA, 2003).
As redes industriais tm como padro trs nveis hierrquicos, sendo eles responsveis
pela conexo de diferentes tipos de equipamentos.
O nvel mais alto o que interliga os equipamentos usados para o planejamento da
produo, controle de estoque, estatsticas da qualidade, previses de vendas. Geralmente
implementado usando-se programas gerenciais, por exemplo, sistemas SAP, Arena etc. O
protocolo TCP/IP, com padro Ethernet o mais utilizado nesse nvel (DECOTIGNIE, 2001,
apud SILVA, CRUZ e ROSADO, 2006).
No nvel intermedirio, encontramos os CLPs, nos quais trafegam, principalmente,
informaes de controle de mquina, aquelas informaes a respeito do status de
equipamentos como robs, mquinas ferramentas, transportadores etc. (OLIVEIRA, 2005).
O terceiro nvel o que se diz referncia para a parte fsica da rede, onde se encontra os
sensores, atuadores, contadores etc.
A classificao das redes industriais:
2
27
A segurana deixou de ser um tema centrado nas redes de computadores e passou a ser
um tema abrangente para todas as tecnologias que se comunicam atravs de redes.
Segundo Souza (2002),
A maioria dos sistemas operacionais e equipamentos de comunicao de dados
fabricados hoje possuem interfaces para comunicao com redes TCP/IP, ou seja,
so capazes de se comunicar com outros equipamentos e redes que tambm utilizam
o padro TCP/IP [...]
A tecnologia atual permite que qualquer circuito eletrnico que possua rede Ethernet
integrada em seu sistema possa se comunicar com computadores interligados por rede. Essa
facilidade faz com que dados sejam coletados mais rapidamente e mais facilmente, porm
deixa o circuito vulnervel rede de computadores.
A vulnerabilidade do circuito acontece se na implementao dos protocolos no houve
nenhuma preocupao com a segurana dos dados, ou seja, se o hardware deixar alguma
possvel falha para que outras pessoas possam acessar seus dados e modific-los sem
autorizao.
O CLP um circuito eletrnico que possui rede integrada e comunica-se com outras
redes utilizando diversos protocolos, podendo tambm ser interligado em redes de
computadores.
Podemos visualizar melhor o papel do CLP em uma rede atravs da figura 6, onde o
CLP comunica-se com duas redes distintas, sendo uma rede dos equipamentos da automao e
uma rede para controle da IHM e interligao com a rede corporativa de computadores.
2
29
210000 197892
150000
120000
90000 75722
68000
54607
60000
25092
30000 12301
3107 5997
0
1999 2000 2001 2002 2003 2004 2005 2006
Ano (1999 a junho de 2006)
Junto com toda a evoluo tecnolgica da automao industrial surgiram muitas outras
questes que necessitam de uma ateno especial das pessoas ligadas rea.
At a dcada de 90 o ambiente de automao industrial era totalmente parte do
ambiente corporativo de uma indstria [...] (BARBOSA, 2006), no qual redes de
computadores corporativas baseadas no padro IEEE 802.3 (Ethernet) no eram interligadas
s redes existentes de automao e os equipamentos de automao possuam sistemas
dedicados e computadores industriais exclusivos.
Redes de automao que se comunicam atravs do protocolo TCP/IP e esto
interligadas a uma rede corporativa tambm esto sujeitas a incidentes de segurana, pois
podem ser acessadas facilmente atravs de seu endereo IP na rede. A figura 8 ilustra um
exemplo de rede com computadores e CLP na mesma rede com informaes individuais,
sendo assim, o nome, IP e mscara de rede so fixos.
3
31
Muitas empresas esto criando mtodos e normas internas para tentar combater e
prevenir a falta de segurana, porm, muito importante que haja uma interao entre a
equipe de TI (Tecnologia da Informao) com a equipe de TA (Tecnologia da Automao)
para que a rede possa ser projetada da melhor forma possvel, unindo velocidade e segurana.
Atualmente, temos no mercado equipamentos e softwares para automao que so
abertos a todos os tipos de sistemas operacionais e que podem ser interligados s redes
corporativas das empresas, onde seus protocolos de comunicao possuem encapsulamento
em pacotes TCP (RODRIGUEZ, 2007).
A partir deste cenrio, surgiram os sistemas historiadores de processo ou PIMS (Plant
Information Management Systems), que so capazes de obterem dados e gravar em um banco
de dados temporal, e usados em softwares de controle corporativo (BARBOSA, 2006).
A integrao do ambiente industrial e corporativo um fato, porm, possuem
caractersticas individuais. O ambiente industrial tem como prioridade a produo e a
segurana humana, j o ambiente corporativo prioriza o desempenho e a integridade dos
dados (BARBOSA, 2006). Pode-se visualizar melhor as prioridades de cada ambiente na
figura 9.
3
32
Ambiente TI: Prioriza a confidencialidade dos dados na rede, protegendo contra acessos
no autorizados, prioriza tambm a integridade e a disponibilidade (MORA, 2007).
Ambiente de TA: Sua maior prioridade a disponibilidade, pois no pode tolerar
pequenas interrupes podendo causar grandes perdas, sejam elas de produo ou danos ao
equipamento. Seguindo a ordem de prioridades vem a integridade e a confidencialidade dos
dados, protegendo e garantindo que os dados no sejam danificados ou acessados por pessoas
no autorizadas (MORA, 2007).
O hardware para equipamentos de TI projetado para ficar em ambientes no
agressivos e livres de interferncia eletromagnticas, j os equipamentos de automao so
projetados para ambientes de cho de fbrica, mais agressivos e com muita interferncia e
rudos.
Enquanto sistemas de TI (hardware e software) tm estimativa de vida na mdia de 5
anos, os sistemas de TA devem permanecer operando por no mnimo 10 anos (MORA, 2007).
6 AMEAAS AO AMBIENTE DE AUTOMAO INDUSTRIAL
rede interna, essa tcnica se encaixa perfeitamente. O nico problema para o atacante que
este um ataque cego, pois ele no recebe mensagens de confirmao de seus pacotes.
Replay: Monitora e copia pacotes de comunicao da rede, conseguindo reinserir na
rede quando achar necessrio. Atravs deste tipo de ataque possvel confundir o
equipamento destinatrio, pois ao mudar a seqncia dos pacotes podem surgir erros nas
instrues e lentido na aquisio de dados.
Negao de servio: Este ataque tambm conhecido como DoS (Denial of Service)
onde o usurio tenta derrubar o web service do equipamento, seja enviando pacotes invlidos
ou vlidos na tentativa de sobrecarregar o processamento do equipamento e travar para que
ningum possa utilizar seus servios. Lembrando que este tipo de ataque no uma invaso,
mas uma invalidao por sobrecarga de comunicao.
ARP (Address Resolution Protocol) spoofing: Burla o sistema de identificao das
mquinas, falsificando o MAC (Media Access Control) adress da placa de rede com o
propsito de receber pacotes endereados para outras mquinas. Podendo assim receber dados
sigilosos que o equipamento mandaria para um sistema de superviso e controle.
Discovery: Insere pacotes de dados na rede para obter informaes sobre outros
elementos da rede, como a quantidade e a identificao de cada CLP. Normalmente esta
modalidade antecede as descritas acima, pois atravs das informaes obtidas na rede, o
invasor consegue acesso s mquinas.
Existem muitas outras tcnicas utilizadas para acessos no autorizados, atravs das
quais so exploradas falhas nos protocolos de comunicao da prpria rede utilizada pelos
controladores (RODRIGUEZ, 2007).
7 MEDIDAS PARA MINIMIZAR VULNERABILIDADES
Normas e padres internacionais so utilizados nos mais variados casos para se facilitar
implementao e normalizao de solues que contribuem para a sociedade. No ano 2000,
a ISO (International Organization for Standardization) lanou a norma ISO/IEC 17799:2000,
disponvel no Brasil atravs da norma NBR-ISO 17999:2000. Essa norma evoluiu e se tornou
a atual ISO/IEC27001: 2005 abrangendo gestes de segurana das informaes, baseada na
4
40
Gesto de riscos;
Avaliaes do desempenho.
No ambiente de TA a grande preocupao o risco operacional, porm estes padres
podem ser seguidos para implementao da segurana das redes de automao, permitindo a
proteo da informao e a operao das corporaes [...] (RODRIGUES, 2007).
Para se implementar a segurana fazendo-se uso da norma ISO/IEC 27001, necessrio
seguir as etapas (RODRIGUEZ, 2007):
Definir escopo: Definir detalhes. Uma boa definio vai facilitar o desenvolvimento
dos passos seguintes. Pela norma, o escopo deve seguir as caractersticas do negcio.
Definir a Poltica de Segurana: Definir acesso dos altos nveis da organizao. Deve
ser aplicada ao escopo.
Elaborar mtodos das Anlises de Riscos: Criar uma estratgia para se avaliar os
riscos, definindo-se os riscos aceitveis e os que oferecem cuidados.
Tratamento dos Riscos: Feito atravs das Anlises de Riscos. Aes possveis so:
Aceitar o risco, negar o risco, mitigar o risco ou transferir o risco.
Abrangendo as medidas de:
Correo: Eliminao do risco.
Preveno: Para que o risco no volte a ocorrer.
Deteco: Identificar o risco.
Auditoria e reviso dos controles: Auditorias da empresa so necessrias para testar e
avaliar a implementao de segurana. Com base no resultado dessa auditoria, deve-se avaliar
e estudar possveis revises e atualizaes, caso necessrio.
8.IMPLEMENTAO DE SEGURANA EM REDES DE AUTOMAO
Para uma anlise e demonstrao efetiva de como proteger redes de automao, ser
demonstrado neste captulo, uma implementao real, na qual teremos duas redes distintas
representando as redes industrial e corporativa.
Na figura 10, possvel visualizar a topologia usada para esta anlise, sendo dividida
em duas redes, do lado direito, a rede industrial e do lado esquerdo, a rede corporativa. Para
realizao do experimento, foram utilizados os seguintes equipamentos:
CLP-01: CLP linha Twido da Schneider Electric, com 16 entradas digitais e 16 sadas
a rel, possui porta de comunicao Ethernet para comunicao externa de dados,
protocolo utilizado Modbus TCP/IP. Para este equipamento foi definido o IP
192.168.11.54, mscara de sub-rede 255.255.255.0 e Gateway padro
192.168.11.100.
Firewall: Computador responsvel pela separao das redes, cujo sistema
operacional Linux, distribuio CentOS, padro RedHat. A distribuio contm um
sistema de filtro, o Iptables, que controla trfego de pacotes e permite a configurao
de regras, deixando assim a configurao ajustvel conforme a necessidade. Para
essa diviso das redes, foram instaladas nesse computador, duas placas de rede (Eth0
e Eth1), sendo Eth0 responsvel pelo trfego de pacotes da rede corporativa e Eth1
pelo trfego de dados da rede industrial. Atravs da identificao das placas que
sero filtrados os pacotes vindos da rede corporativa. Para a placa da rede
corporativa (Eth0), foi definido o IP 192.168.10.100 e para a placa da rede industrial
(Eth1), o IP 192.168.11.100.
Superviso: Computador pessoal com sistema operacional Windows XP
Professional, utilizando software E3 verso 2.5 desenvolvido pela Elipse Software.
Esta verso de Windows possui um Firewall interno que tem o intuito de filtrar
pacotes, possveis acessos externos e arquivos suspeitos. No sero necessrias
configuraes adicionais para esse computador, pois o mesmo apenas ir ler e gravar
informaes do CLP. Para este equipamento foi definido o IP 192.168.10.50.
Estao de Trabalho: Computador pessoal com sistema operacional Windows XP
Professional, ser utilizado para simular acessos e teste de segurana sobre as regras
inseridas no Firewall. Para este equipamento foi definido o IP 192.168.10.51.
4
43
O protocolo usado nesta anlise foi o TCP/IP para a rede corporativa e o Modbus
TCP/IP para a rede de automao.
A comunicao entre os equipamentos da rede deve seguir os seguintes parmetros e
requisitos de segurana:
O nico equipamento que acessa os dados do CLP o que possui instalado o sistema
de superviso, podendo requisitar e gravar dados livremente atravs da porta TCP
502, disponibilizada pelo CLP para comunicao de dados.
O nico equipamento que pode acessar a rede corporativa vindo da rede de
automao o CLP-01, utilizando apenas a porta TCP 502, eliminando assim, o
trfego de dados desnecessrios e possveis ataques oriundos de outros pontos da
rede.
O sistema de superviso acessa livremente a rede corporativa, podendo trafegar
dados sem restrio.
A estao de trabalho acessa livremente a rede corporativa, porm no tem nenhum
tipo de acesso para a rede de automao.
Para que os parmetros acima sejam cumpridos e efetivamente implementados
necessrio a configurao do Firewall. Foi implementado o seguinte trecho de cdigo para o
IPTables:
4
44
1 # Limpando as regras
2 iptables -F -t nat
3 iptables -F -t filter
4 iptables -X -t nat
5 iptables -X -t filter
6
7 # 1. - Permitindo o encaminhamento de ip
8 echo 1 > /proc/sys/net/ipv4/ip_forward
9
10
11 # 2. - Liberando IP do supervisrio para acesso ao CLP
12 /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.50 -d 192.168.11.54
13 -j ACCEPT
14
15
16 # 3. - Bloqueando acesso as demais mquinas
17 /sbin/iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -d
18 192.168.11.0/24 -j DROP
19
20
21 # 4. - Liberando acesso ao supervisrio para a porta 502
22 iptables -A FORWARD -d 192.168.10.50 -p tcp --sport 502 -j ACCEPT
23
24
25 # 5. - Bloqueando acesso aos outros micros da rede para a porta 502
26 iptables -A FORWARD -d 192.168.10.0/24 -p tcp --sport 502 -j DROP
Para uma anlise comparativa, na figura 12, temos um computador da rede corporativa
verificando a disponibilidade do CLP. Para isso, utilizamos a mesma topologia de rede,
porm, sem o Firewall e sem as regras de segurana descritas anteriormente neste captulo,
podemos observar que os pacotes de dados na rede trafegam sem nenhum tipo de bloqueio.
4
46
Para finalizar a anlise podemos observar que uma rede que no for bem planejada e
que no levar em considerao requisitos bsicos de segurana pode tornar-se vulnervel a
qualquer tipo aes originadas de usurios ou vrus.
O uso de Firewall para bloqueio de pacotes de dados indispensvel em qualquer
topologia de rede que possua duas redes interligadas e que exija um grau de segurana
elevado.
CONCLUSO
BERGE, Jonas. Fieldbuses for Process Control: Engineering, Operation and Maintenance.
Apostila do curso ministrado no CEETPES - E.T.E. Professor Armando Bayeux da Silva , no
ano de 1998 no Curso CLP Bsico, por Pedro Luis Antonelli.
PIRES, Paulo Srgio Motta; OLIVEIRA, Luiz Affonso Guedes de; BARROS, Diogo
Nascimento. Aspectos de segurana em sistemas SCADA uma viso geral, 4 Congresso
Internacional de Automao, Sistemas e Instrumentao. So Paulo, 2004.
SOUSA, Lindeberg Barros de. TCP/IP Bsico & Conectividade em Redes. 2 ed. So Paulo,
2002.
#!/bin/sh
# Regras do firewall
# Limpando as regras
iptables -F -t nat
iptables -F -t filter
iptables -X -t nat
iptables -X -t filter
# 1. - Permitindo o encaminhamento de ip
echo 1 > /proc/sys/net/ipv4/ip_forward
exit