SlideShare ist ein Scribd-Unternehmen logo

Segurança SCADA Distribuição Água

Als PPTX, PDF herunterladen
Rodrigo Campos
Rodrigo Campos

O documento propõe uma arquitetura de segurança para sistemas SCADA na distribuição de água com base nas normas ISO 27002 e ISA 99. A proposta sugere a arquitetura 8 do estudo GAIT, combinando firewalls e VLANs entre as redes de automação e corporativa, e complementa com mecanismos de autenticação e autorização RADIUS/LDAP. A validação ocorreu em ambiente de produção e laboratório para testar o processo de autenticação.

1 von 20
Segurança em Centro de Controle da Operação para Sistemas de Automação SCADA na Distribuição de Água Apresentação do Artigo Sistemas de Proteção de Perímetro Prof. Dr. Adilson Eduardo Guelfi Aluno: Silvio Rocha
• Motivadores e Justificativa • Objetivo • Referencial Teórico • Trabalhos Relacionados • Proposta • Validação • Conclusão Agenda
Motivadores e Justificativas  Envolvimento com ambientes SCADAs no setor de saneamento com foco na distribuição de água;  A área de sistemas automatizados vem ganhando maior visibilidade nos últimos anos e a sua utilização torna-se cada vez mais importante para os negócios, principalmente pela sua integração com as redes corporativas;  Garantir uma melhor proteção das informações que trafegam nas redes de automação, que se atacadas podem ter grande impacto na sociedade;  Os sistemas de controle e aquisição de dados (Supervisory Control and Data Acquisition – SCADA) estavam protegidos de ataques externos e internos graças a seus protocolos proprietários e redes isoladas;  Com o crescente uso do padrão Ethernet nas estruturas de automação industrial, esse ambiente vem convergindo para sistemas abertos e com isso levanta a questão da segurança da informação.
Motivadores e Justificativas Figura 1 – Compara três anos e mostra o crescimento em incidentes (azul) e o nível de impacto (vermelho) para as organizações que utilizem sistemas de controle. Figura 2 – Mostra a distribuição por setor para todos os incidentes relatados em 2011. No setor de saneamento (água) temos um elevado número de incidentes devido as características de acesso remoto inseguro.
Objetivo O objetivo do artigo é propor um modelo de arquitetura conceitual de segurança, gerenciamento e disponibilidade, tendo por base as normas ISO 27002 e ISA 99 para os ambientes de automação no saneamento, com foco principal no processo de distribuição de água.
Referencial Teórico Segurança da Informação De uma maneira simplista, a grande maioria dos incidentes é causado intencionalmente por pessoas maliciosas. Para tornar uma rede segura e proteger contra ameaças e ataques, pode-se utilizar:  Sistema de Detecção de Intruso – IDS  Firewall  Criptografia  Tecnologias de Autenticação e Autorização O padrão 802.1x se integra com o padrão AAA (Authentication, Authorization and Accounting) da IETF (Internet Engineering Task Force). Em segurança da informação, o padrão AAA é uma referência aos protocolos relacionados com os procedimentos de:  autenticação;  autorização e  contabilização
Norma ISA 99 - Arquitetura da Automação Industrial Entre os principais elementos dessa arquitetura estão os sistemas SCADA ou supervisórios, são sistemas digitais que provem supervisão, controle, gerenciamento e monitoramento dos processos em tempo real.  Unidade de Terminal Remota (Remote Terminal Unit – RUT)  Controlador Lógico Programável (Programmable Logic Controller – PLC)  Interface Homem-Máquina (Humam Machine Interface – HMI)  Protocolos de Redes Industriais (CAN Bus, Modbus, Profibus, etc) O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a arquitetura AAA. Implementado em pontos de acesso sem fio, switches e outros tipos de dispositivos que permitem acesso autenticado a redes de computadores. O protocolo RADIUS é definido pela RFC 2865 (RIGNEY, 2000). O RADIUS foi idealizado para centralizar as atividades de Autenticação, Autorização e Contabilização.
Trabalhos Relacionados Tipo Tema Objetivo Dissertação Cibersegurança em sistemas de automação em plantas de tratamento de água. Propor uma metodologia cujo foco seja e minimização dos riscos de segurança. Artigo ICS-CERT Incident Response Summary Report: 2009 – 2011. Apresentar um resumo dos incidentes cibernéticos e orinetar a defesa dos ambientes de sistema de automação contra ameaças cibernéticas emergentes. Guia Guia de Referência para a Segurança das Infraestruturas Críticas da Informação – Versão 01 – Nov/2010. Reunir métodos e instrumentos, visando garantir a Segurança das Infraestruturas Críticas da Informação e com isso assegurar, dentro do espaço cibernético, ações de segurança da informação e comunicações como fundamentais para garantir disponibilidade, integridade, confidencialidade e autenticidade da informação, no âmbito da Administração Pública Federal.
Trabalhos Relacionados Tipo Tema Objetivo Norma ANSI/ISA–99 Segurança para Automação Industrial e Sistemas de Controle: Terminologia, Conceitos e Modelos Artigo Arquitetura de Segurança da Informação em Redes de Controle e Automação. Ilustrar uma arquitetura de uma solução de segurança para os diversos estágios de evolução dos sistemas de automação que compõem as instalações da Companhia Hidro Elétrica do São Francisco – CHESF. Guia Firewall Deployment for SCADA and Process Control Networks – Good Practice Guide - CPNI Coleção de informações que foram resumidas em um artigo em termos de arquitetura de firewall, implantação, concepção e gestão para determinar práticas de segurança atuais. Livro Industrial Network Security Proteção de infraestruturas críticas, Redes para Smart Grid, SCADA e outras sistemas de controle industrial. Norma ABNT NBR ISO/IEC 27002 Código de prática para a gestão da segurança da informação.
Proposta  A proposta desenvolvida foi norteada por todos os trabalhos relacionados nessa apresentação, porém teve forte influência das normas ANSI/ISA 99 e ISO 27002, como também do Guia de Boas Práticas do Centro de Proteção Nacional de Infraestrutura (CPNI).  Para o artigo optou-se pelo estudo dos modelos de arquitetura de automação SCADA que pudessem se aplicados no setor de saneamento, em especial distribuição de água.
 Com base na norma ISA 99, veremos no próximo slide um diagrama de uma arquitetura recomendada para uma série de situações práticas e mostra como definir zonas de segurança. Proposta
Proposta
Proposta Outro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da Informação Avançada (Group for Advanced Information Technology – GAIT) que analisou implantações de redes SCADA e identificou oito arquiteturas: Arquiteturas Segurança Gerenciamento Disponibilidade Pontuação 1) Duas interfaces de Rede nos Computadores; 1,00 2,00 1,00 4,00 2) Servidor com duas interfaces de rede e com software de firewall pessoal; 2,00 1,00 1,00 4,00 3) Filtragem de pacotes Router/Switch Camada 3 entre a Rede de Controle de Processos e a Rede Corporativa; 2,00 2,00 4,00 8,00 4) Firewall com duas portas, uma na Rede de Controle de Processos e outra na Rede Corporativa; 3,00 5,00 4,00 12,00 5) Combinação de Router/Firewall entre Rede de Controle de Processos e Rede Corporativa; 3,50 3,00 4,00 10,50 6) Firewall com zonas desmilitarizadas entre a Rede de Controle de Processos e a Rede Corporativa; 4,00 4,50 4,00 12,50 7) Firewalls emparelhados entre a Rede de Controle de Processos e a Rede Corporativa; 5,00 3,00 3,50 11,50 8) Combinações de Firewall e VLAN entre a Rede de Controle de Processos e a Rede Corporativa. 4,50 3,00 5,00 12,50 Pontuação aproximada para arquiteturas de redes SCADA Pontuação (1 = Pior e 5 = Melhor)
Sistemas de Negócio e Informação SCADA e Sistemas Supervisório Automação Industrial e Sistemas de Controle SCADA DMZ Proposta Mesmo com essas diferenças funcionais entre as redes de automação e as redes corporativas, a integração é necessário conforme já explanado. Por essa razão é recomendado uma arquitetura segura e que para validação desse artigo será adotado a arquitetura de número 8 – Combinações de Firewall e VLAN entre Rede de Controle de Processos e a Rede Corporativa. Essa arquitetura será complementada de alguns mecanismos de proteção de perímetro ligados a tecnologia de autenticação e autorização, propostos pelo autor deste artigo.
Validação Para validação da proposta utilizou-se de duas situações:  Ambiente existente de produção com os servidores SCADAs segregados por VLAN;  Ambiente de laboratório prático para validação do processo de autenticação e autorização RADIUS, por meio do servidor FreeRadius e serviço de diretório LDAP.
Centro de Controle Rede de Controle do Processo Estação de Tratamento de Água Reservatórios de Água Rede Corporativa Internet Rede de Automação Rede de Automação no Campo Servidor Aplicação Servidor SCADA Corporativo Servidor OPC Servidor RADIUS/ LDAP Servidor Historiador HMI Local HMI Local HMI Local Estação de Tratamento de Água RTU ou PLC RTU ou PLC RTU ou PLC Arquitetura Conceitual Filias Servidor SCADA WEB Rede Corporativa
Frame Relay Automação MPLS - Rede Corporativa RADIUS/MSCHAP Servidor RADIUS/LDAP Servidor Historiador Servidor SCADA WEB Rede Corporativa Servidor Aplicação Servidor SCADA Corporativo Servidor OPC Rede de Controle do Processo Centro de Controle 802.1x/PEAP/MSCHAPv2 RADIUS/TLS Arquitetura Física e Lógica Rede IP 10.66.8.0/21 VLAN 2 Rede IP 172.21.0.0/24 VLAN 1 Firewall/NAT Rede IP 192.168.0.0/24 Autenticação com 802.1x Liberação de acesso na VLAN Internet
Autenticação e autorização
 O acesso da rede corporativa é possível pelas regras de acessos (Access Rules) aplicadas nos contextos da arquitetura proposta, além do NAT entre a rede de automação e rede corporativa. Firewall - DMZ
Conclusão • Existe uma melhoria significativa na segurança com a utilização de firewalls para separação das redes de processo das redes corporativas, por meio de DMZ e Vlan; • Utilizar um ambiente de rede que possua uma forma de autenticação e autorização para acesso ao meio é uma das formas de aumentar a segurança; • Com o processo de autorização, somente usuários legítimos e devidamente identificados tem acesso aos recursos disponíveis. Já o processo de autorização fornece flexibilidade para implementar uma hierarquia de acesso, bem como manter centralizada a base de usuários.

Empfohlen

[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio RochaTI Safe
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
Documento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASEDocumento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASETI Safe
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
Overview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaOverview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaLucas Monzo Nichele
 
13 45-2-pb
13 45-2-pb13 45-2-pb
13 45-2-pbGoverno Federal do Brasil
 
Mw corp-2013-ss
Mw corp-2013-ssMw corp-2013-ss
Mw corp-2013-ssOduvaldo Zeferino
 

Empfohlen

[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio RochaTI Safe
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
Documento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASEDocumento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASETI Safe
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
Overview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaOverview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaLucas Monzo Nichele
 
13 45-2-pb
13 45-2-pb13 45-2-pb
13 45-2-pbGoverno Federal do Brasil
 
Mw corp-2013-ss
Mw corp-2013-ssMw corp-2013-ss
Mw corp-2013-ssOduvaldo Zeferino
 
CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresTI Safe
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiTI Safe
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any CloudAlexandre Freire
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoTI Safe
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
ESET Endpoint Solutions (Datasheets)
ESET Endpoint Solutions (Datasheets)ESET Endpoint Solutions (Datasheets)
ESET Endpoint Solutions (Datasheets)ESET Brasil
 
Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)ESET Brasil
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Rodrigo Immaginario
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy ManagerSite Blindado S.A.
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2GrupoAlves - professor
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 

Weitere ähnliche Inhalte

Was ist angesagt?

CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresTI Safe
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiTI Safe
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoTI Safe
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
ESET Endpoint Solutions (Datasheets)
ESET Endpoint Solutions (Datasheets)ESET Endpoint Solutions (Datasheets)
ESET Endpoint Solutions (Datasheets)ESET Brasil
 
Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)ESET Brasil
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Rodrigo Immaginario
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 

Was ist angesagt? (20)

CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael Soares
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos Mandolesi
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security Solutions
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo Cardoso
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
ESET Endpoint Solutions (Datasheets)
ESET Endpoint Solutions (Datasheets)ESET Endpoint Solutions (Datasheets)
ESET Endpoint Solutions (Datasheets)
 
Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 

Ähnlich wie Segurança SCADA Distribuição Água

Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADAAlexandre Freire
 
Apresentação LabSIn
Apresentação LabSInApresentação LabSIn
Apresentação LabSInvpmachado
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...TI Safe
 
Comunicações Wireless em ambientes industriais
Comunicações Wireless em ambientes industriaisComunicações Wireless em ambientes industriais
Comunicações Wireless em ambientes industriaisInês Rebelo de Sousa
 
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT Vitor Donaduzzi
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Alexandre Freire
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...TI Safe
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel GuilizeTI Safe
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 

Ähnlich wie Segurança SCADA Distribuição Água (20)

Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADA
 
Apresentação LabSIn
Apresentação LabSInApresentação LabSIn
Apresentação LabSIn
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
 
Comunicações Wireless em ambientes industriais
Comunicações Wireless em ambientes industriaisComunicações Wireless em ambientes industriais
Comunicações Wireless em ambientes industriais
 
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Virtualização
VirtualizaçãoVirtualização
Virtualização
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 

Mehr von Rodrigo Campos

Velocity Conference NYC 2014 - Real World DevOps
Velocity Conference NYC 2014 - Real World DevOpsVelocity Conference NYC 2014 - Real World DevOps
Velocity Conference NYC 2014 - Real World DevOpsRodrigo Campos
 
DevOps no mundo real - QCON 2014
DevOps no mundo real - QCON 2014DevOps no mundo real - QCON 2014
DevOps no mundo real - QCON 2014Rodrigo Campos
 
7Masters Webops in the Cloud
7Masters Webops in the Cloud7Masters Webops in the Cloud
7Masters Webops in the CloudRodrigo Campos
 
Otimização holistica de ambiente computacional
Otimização holistica de ambiente computacionalOtimização holistica de ambiente computacional
Otimização holistica de ambiente computacionalRodrigo Campos
 
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Rodrigo Campos
 
Mistério ou tecnologia? Paralelismo!
Mistério ou tecnologia? Paralelismo!Mistério ou tecnologia? Paralelismo!
Mistério ou tecnologia? Paralelismo!Rodrigo Campos
 
z/VM Performance Analysis
z/VM Performance Analysisz/VM Performance Analysis
z/VM Performance AnalysisRodrigo Campos
 
Devops at Walmart GeC Brazil
Devops at Walmart GeC BrazilDevops at Walmart GeC Brazil
Devops at Walmart GeC BrazilRodrigo Campos
 
Disk IO Benchmarking in shared multi-tenant environments
Disk IO Benchmarking in shared multi-tenant environmentsDisk IO Benchmarking in shared multi-tenant environments
Disk IO Benchmarking in shared multi-tenant environmentsRodrigo Campos
 
Cloud Computing Oportunidades e Desafios
Cloud Computing Oportunidades e DesafiosCloud Computing Oportunidades e Desafios
Cloud Computing Oportunidades e DesafiosRodrigo Campos
 
The good, the bad and the big... data
The good, the bad and the big... dataThe good, the bad and the big... data
The good, the bad and the big... dataRodrigo Campos
 
CMG 2012 - Tuning where it matters - Gerry Tuddenham
CMG 2012 - Tuning where it matters - Gerry TuddenhamCMG 2012 - Tuning where it matters - Gerry Tuddenham
CMG 2012 - Tuning where it matters - Gerry TuddenhamRodrigo Campos
 
A Consumerização da TI e o Efeito BYOT
A Consumerização da TI e o Efeito BYOTA Consumerização da TI e o Efeito BYOT
A Consumerização da TI e o Efeito BYOTRodrigo Campos
 
CMG Brasil 2012 - Uso de Lines nos z196
CMG Brasil 2012 - Uso de Lines nos z196CMG Brasil 2012 - Uso de Lines nos z196
CMG Brasil 2012 - Uso de Lines nos z196Rodrigo Campos
 
Racionalização e Otimização de Energia em Computação na Nuvem
Racionalização e Otimização de Energia em Computação na NuvemRacionalização e Otimização de Energia em Computação na Nuvem
Racionalização e Otimização de Energia em Computação na NuvemRodrigo Campos
 
SDN - Openflow + OpenVSwitch + Quantum
SDN - Openflow + OpenVSwitch + QuantumSDN - Openflow + OpenVSwitch + Quantum
SDN - Openflow + OpenVSwitch + QuantumRodrigo Campos
 
AWS RDS Benchmark - CMG Brasil 2012
AWS RDS Benchmark - CMG Brasil 2012AWS RDS Benchmark - CMG Brasil 2012
AWS RDS Benchmark - CMG Brasil 2012Rodrigo Campos
 

Mehr von Rodrigo Campos (20)

Velocity Conference NYC 2014 - Real World DevOps
Velocity Conference NYC 2014 - Real World DevOpsVelocity Conference NYC 2014 - Real World DevOps
Velocity Conference NYC 2014 - Real World DevOps
 
DevOps no mundo real - QCON 2014
DevOps no mundo real - QCON 2014DevOps no mundo real - QCON 2014
DevOps no mundo real - QCON 2014
 
7Masters Webops in the Cloud
7Masters Webops in the Cloud7Masters Webops in the Cloud
7Masters Webops in the Cloud
 
14 guendert pres
14 guendert pres14 guendert pres
14 guendert pres
 
Large and Giant Pages
Large and Giant PagesLarge and Giant Pages
Large and Giant Pages
 
Otimização holistica de ambiente computacional
Otimização holistica de ambiente computacionalOtimização holistica de ambiente computacional
Otimização holistica de ambiente computacional
 
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
 
13 coelho final-pres
13 coelho final-pres13 coelho final-pres
13 coelho final-pres
 
Mistério ou tecnologia? Paralelismo!
Mistério ou tecnologia? Paralelismo!Mistério ou tecnologia? Paralelismo!
Mistério ou tecnologia? Paralelismo!
 
z/VM Performance Analysis
z/VM Performance Analysisz/VM Performance Analysis
z/VM Performance Analysis
 
Devops at Walmart GeC Brazil
Devops at Walmart GeC BrazilDevops at Walmart GeC Brazil
Devops at Walmart GeC Brazil
 
Disk IO Benchmarking in shared multi-tenant environments
Disk IO Benchmarking in shared multi-tenant environmentsDisk IO Benchmarking in shared multi-tenant environments
Disk IO Benchmarking in shared multi-tenant environments
 
Cloud Computing Oportunidades e Desafios
Cloud Computing Oportunidades e DesafiosCloud Computing Oportunidades e Desafios
Cloud Computing Oportunidades e Desafios
 
The good, the bad and the big... data
The good, the bad and the big... dataThe good, the bad and the big... data
The good, the bad and the big... data
 
CMG 2012 - Tuning where it matters - Gerry Tuddenham
CMG 2012 - Tuning where it matters - Gerry TuddenhamCMG 2012 - Tuning where it matters - Gerry Tuddenham
CMG 2012 - Tuning where it matters - Gerry Tuddenham
 
A Consumerização da TI e o Efeito BYOT
A Consumerização da TI e o Efeito BYOTA Consumerização da TI e o Efeito BYOT
A Consumerização da TI e o Efeito BYOT
 
CMG Brasil 2012 - Uso de Lines nos z196
CMG Brasil 2012 - Uso de Lines nos z196CMG Brasil 2012 - Uso de Lines nos z196
CMG Brasil 2012 - Uso de Lines nos z196
 
Racionalização e Otimização de Energia em Computação na Nuvem
Racionalização e Otimização de Energia em Computação na NuvemRacionalização e Otimização de Energia em Computação na Nuvem
Racionalização e Otimização de Energia em Computação na Nuvem
 
SDN - Openflow + OpenVSwitch + Quantum
SDN - Openflow + OpenVSwitch + QuantumSDN - Openflow + OpenVSwitch + Quantum
SDN - Openflow + OpenVSwitch + Quantum
 
AWS RDS Benchmark - CMG Brasil 2012
AWS RDS Benchmark - CMG Brasil 2012AWS RDS Benchmark - CMG Brasil 2012
AWS RDS Benchmark - CMG Brasil 2012
 

Segurança SCADA Distribuição Água

  • 1. Segurança em Centro de Controle da Operação para Sistemas de Automação SCADA na Distribuição de Água Apresentação do Artigo Sistemas de Proteção de Perímetro Prof. Dr. Adilson Eduardo Guelfi Aluno: Silvio Rocha
  • 2. • Motivadores e Justificativa • Objetivo • Referencial Teórico • Trabalhos Relacionados • Proposta • Validação • Conclusão Agenda
  • 3. Motivadores e Justificativas  Envolvimento com ambientes SCADAs no setor de saneamento com foco na distribuição de água;  A área de sistemas automatizados vem ganhando maior visibilidade nos últimos anos e a sua utilização torna-se cada vez mais importante para os negócios, principalmente pela sua integração com as redes corporativas;  Garantir uma melhor proteção das informações que trafegam nas redes de automação, que se atacadas podem ter grande impacto na sociedade;  Os sistemas de controle e aquisição de dados (Supervisory Control and Data Acquisition – SCADA) estavam protegidos de ataques externos e internos graças a seus protocolos proprietários e redes isoladas;  Com o crescente uso do padrão Ethernet nas estruturas de automação industrial, esse ambiente vem convergindo para sistemas abertos e com isso levanta a questão da segurança da informação.
  • 4. Motivadores e Justificativas Figura 1 – Compara três anos e mostra o crescimento em incidentes (azul) e o nível de impacto (vermelho) para as organizações que utilizem sistemas de controle. Figura 2 – Mostra a distribuição por setor para todos os incidentes relatados em 2011. No setor de saneamento (água) temos um elevado número de incidentes devido as características de acesso remoto inseguro.
  • 5. Objetivo O objetivo do artigo é propor um modelo de arquitetura conceitual de segurança, gerenciamento e disponibilidade, tendo por base as normas ISO 27002 e ISA 99 para os ambientes de automação no saneamento, com foco principal no processo de distribuição de água.
  • 6. Referencial Teórico Segurança da Informação De uma maneira simplista, a grande maioria dos incidentes é causado intencionalmente por pessoas maliciosas. Para tornar uma rede segura e proteger contra ameaças e ataques, pode-se utilizar:  Sistema de Detecção de Intruso – IDS  Firewall  Criptografia  Tecnologias de Autenticação e Autorização O padrão 802.1x se integra com o padrão AAA (Authentication, Authorization and Accounting) da IETF (Internet Engineering Task Force). Em segurança da informação, o padrão AAA é uma referência aos protocolos relacionados com os procedimentos de:  autenticação;  autorização e  contabilização
  • 7. Norma ISA 99 - Arquitetura da Automação Industrial Entre os principais elementos dessa arquitetura estão os sistemas SCADA ou supervisórios, são sistemas digitais que provem supervisão, controle, gerenciamento e monitoramento dos processos em tempo real.  Unidade de Terminal Remota (Remote Terminal Unit – RUT)  Controlador Lógico Programável (Programmable Logic Controller – PLC)  Interface Homem-Máquina (Humam Machine Interface – HMI)  Protocolos de Redes Industriais (CAN Bus, Modbus, Profibus, etc) O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a arquitetura AAA. Implementado em pontos de acesso sem fio, switches e outros tipos de dispositivos que permitem acesso autenticado a redes de computadores. O protocolo RADIUS é definido pela RFC 2865 (RIGNEY, 2000). O RADIUS foi idealizado para centralizar as atividades de Autenticação, Autorização e Contabilização.
  • 8. Trabalhos Relacionados Tipo Tema Objetivo Dissertação Cibersegurança em sistemas de automação em plantas de tratamento de água. Propor uma metodologia cujo foco seja e minimização dos riscos de segurança. Artigo ICS-CERT Incident Response Summary Report: 2009 – 2011. Apresentar um resumo dos incidentes cibernéticos e orinetar a defesa dos ambientes de sistema de automação contra ameaças cibernéticas emergentes. Guia Guia de Referência para a Segurança das Infraestruturas Críticas da Informação – Versão 01 – Nov/2010. Reunir métodos e instrumentos, visando garantir a Segurança das Infraestruturas Críticas da Informação e com isso assegurar, dentro do espaço cibernético, ações de segurança da informação e comunicações como fundamentais para garantir disponibilidade, integridade, confidencialidade e autenticidade da informação, no âmbito da Administração Pública Federal.
  • 9. Trabalhos Relacionados Tipo Tema Objetivo Norma ANSI/ISA–99 Segurança para Automação Industrial e Sistemas de Controle: Terminologia, Conceitos e Modelos Artigo Arquitetura de Segurança da Informação em Redes de Controle e Automação. Ilustrar uma arquitetura de uma solução de segurança para os diversos estágios de evolução dos sistemas de automação que compõem as instalações da Companhia Hidro Elétrica do São Francisco – CHESF. Guia Firewall Deployment for SCADA and Process Control Networks – Good Practice Guide - CPNI Coleção de informações que foram resumidas em um artigo em termos de arquitetura de firewall, implantação, concepção e gestão para determinar práticas de segurança atuais. Livro Industrial Network Security Proteção de infraestruturas críticas, Redes para Smart Grid, SCADA e outras sistemas de controle industrial. Norma ABNT NBR ISO/IEC 27002 Código de prática para a gestão da segurança da informação.
  • 10. Proposta  A proposta desenvolvida foi norteada por todos os trabalhos relacionados nessa apresentação, porém teve forte influência das normas ANSI/ISA 99 e ISO 27002, como também do Guia de Boas Práticas do Centro de Proteção Nacional de Infraestrutura (CPNI).  Para o artigo optou-se pelo estudo dos modelos de arquitetura de automação SCADA que pudessem se aplicados no setor de saneamento, em especial distribuição de água.
  • 11.  Com base na norma ISA 99, veremos no próximo slide um diagrama de uma arquitetura recomendada para uma série de situações práticas e mostra como definir zonas de segurança. Proposta
  • 13. Proposta Outro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da Informação Avançada (Group for Advanced Information Technology – GAIT) que analisou implantações de redes SCADA e identificou oito arquiteturas: Arquiteturas Segurança Gerenciamento Disponibilidade Pontuação 1) Duas interfaces de Rede nos Computadores; 1,00 2,00 1,00 4,00 2) Servidor com duas interfaces de rede e com software de firewall pessoal; 2,00 1,00 1,00 4,00 3) Filtragem de pacotes Router/Switch Camada 3 entre a Rede de Controle de Processos e a Rede Corporativa; 2,00 2,00 4,00 8,00 4) Firewall com duas portas, uma na Rede de Controle de Processos e outra na Rede Corporativa; 3,00 5,00 4,00 12,00 5) Combinação de Router/Firewall entre Rede de Controle de Processos e Rede Corporativa; 3,50 3,00 4,00 10,50 6) Firewall com zonas desmilitarizadas entre a Rede de Controle de Processos e a Rede Corporativa; 4,00 4,50 4,00 12,50 7) Firewalls emparelhados entre a Rede de Controle de Processos e a Rede Corporativa; 5,00 3,00 3,50 11,50 8) Combinações de Firewall e VLAN entre a Rede de Controle de Processos e a Rede Corporativa. 4,50 3,00 5,00 12,50 Pontuação aproximada para arquiteturas de redes SCADA Pontuação (1 = Pior e 5 = Melhor)
  • 14. Sistemas de Negócio e Informação SCADA e Sistemas Supervisório Automação Industrial e Sistemas de Controle SCADA DMZ Proposta Mesmo com essas diferenças funcionais entre as redes de automação e as redes corporativas, a integração é necessário conforme já explanado. Por essa razão é recomendado uma arquitetura segura e que para validação desse artigo será adotado a arquitetura de número 8 – Combinações de Firewall e VLAN entre Rede de Controle de Processos e a Rede Corporativa. Essa arquitetura será complementada de alguns mecanismos de proteção de perímetro ligados a tecnologia de autenticação e autorização, propostos pelo autor deste artigo.
  • 15. Validação Para validação da proposta utilizou-se de duas situações:  Ambiente existente de produção com os servidores SCADAs segregados por VLAN;  Ambiente de laboratório prático para validação do processo de autenticação e autorização RADIUS, por meio do servidor FreeRadius e serviço de diretório LDAP.
  • 16. Centro de Controle Rede de Controle do Processo Estação de Tratamento de Água Reservatórios de Água Rede Corporativa Internet Rede de Automação Rede de Automação no Campo Servidor Aplicação Servidor SCADA Corporativo Servidor OPC Servidor RADIUS/ LDAP Servidor Historiador HMI Local HMI Local HMI Local Estação de Tratamento de Água RTU ou PLC RTU ou PLC RTU ou PLC Arquitetura Conceitual Filias Servidor SCADA WEB Rede Corporativa
  • 17. Frame Relay Automação MPLS - Rede Corporativa RADIUS/MSCHAP Servidor RADIUS/LDAP Servidor Historiador Servidor SCADA WEB Rede Corporativa Servidor Aplicação Servidor SCADA Corporativo Servidor OPC Rede de Controle do Processo Centro de Controle 802.1x/PEAP/MSCHAPv2 RADIUS/TLS Arquitetura Física e Lógica Rede IP 10.66.8.0/21 VLAN 2 Rede IP 172.21.0.0/24 VLAN 1 Firewall/NAT Rede IP 192.168.0.0/24 Autenticação com 802.1x Liberação de acesso na VLAN Internet
  • 19.  O acesso da rede corporativa é possível pelas regras de acessos (Access Rules) aplicadas nos contextos da arquitetura proposta, além do NAT entre a rede de automação e rede corporativa. Firewall - DMZ
  • 20. Conclusão • Existe uma melhoria significativa na segurança com a utilização de firewalls para separação das redes de processo das redes corporativas, por meio de DMZ e Vlan; • Utilizar um ambiente de rede que possua uma forma de autenticação e autorização para acesso ao meio é uma das formas de aumentar a segurança; • Com o processo de autorização, somente usuários legítimos e devidamente identificados tem acesso aos recursos disponíveis. Já o processo de autorização fornece flexibilidade para implementar uma hierarquia de acesso, bem como manter centralizada a base de usuários.