Académique Documents
Professionnel Documents
Culture Documents
ndice .........................................................................................................................................1
Lista de Figuras ........................................................................................................................3
Lista de Tabelas ........................................................................................................................6
Resumo ......................................................................................................................................7
Captulo 1 Introduo ...........................................................................................................8
Captulo 2 - Controle de Processos Industriais....................................................................11
2.1 Introduo.................................................................................................................11
2.2 Histrico das Tecnologias e Sistemas de Controle de Processos Industriais ...........11
2.3 Modelo Funcional Hierrquico.................................................................................15
2.4 Segurana..................................................................................................................18
2.5 Fuso do Ambiente Corporativo com o Ambiente Operacional ..............................22
2.6 Segurana no Ambiente Industrial ...........................................................................22
Captulo 3 - PROFIBUS (Process Fieldbus) ........................................................................24
3.1 Introduo.................................................................................................................24
3.2 Padronizao Internacional.......................................................................................24
3.3 Caractersticas Gerais ...............................................................................................25
3.4 Arquitetura do Protocolo ..........................................................................................25
3.5 Tecnologia de Transmisso ......................................................................................27
3.5.1 Meios Fsicos....................................................................................................27
3.5.2 Mtodo de Acesso ao Meio ..............................................................................28
3.6 Protocolos de Comunicao .....................................................................................30
3.6.1 PROFIBUS DP .................................................................................................30
3.6.2 PROFIBUS FMS ..............................................................................................32
3.7 Perfis de Aplicao...................................................................................................33
3.7.1 PROFIBUS PA .................................................................................................33
3.8 PROFInet ..................................................................................................................34
3.8.1 Estrutura do PROFInet .....................................................................................35
3.8.2 Comunicao PROFInet ...................................................................................35
3.8.3 Modelo de Objetos PROFInet ..........................................................................37
3.8.4 Integrao com outros sistemas........................................................................38
3.8.5 Tecnologias de Rede.........................................................................................39
3.8.6 Integrao Web.................................................................................................40
1
3.9 Aspectos de Segurana do Protocolo .......................................................................42
3.9.1 Acesso no autorizado ......................................................................................42
3.9.2 Ataque Distribudo de Negao de Servio......................................................45
3.9.3 Vrus e pragas similares....................................................................................47
3.10 Concluses Parciais ..................................................................................................48
Captulo 4 - Foundation Fieldbus .........................................................................................50
4.1 Introduo.................................................................................................................50
4.2 Caractersticas Gerais ...............................................................................................50
4.3 Foundation Fieldbus H1 (FF H1) .............................................................................51
4.3.1 Camada Fsica ..................................................................................................52
4.3.2 Topologias ........................................................................................................53
4.3.3 Camada de Enlace de Dados ............................................................................53
4.3.4 Camada de Aplicao .......................................................................................56
4.3.5 Camada de Usurio...........................................................................................59
4.4 Foundation Fieldbus High Speed Ethernet (FF HSE) ..............................................59
4.4.1 Histrico ...........................................................................................................60
4.4.2 Arquitetura do protocolo ..................................................................................60
4.4.3 Modelos de Comunicao ................................................................................62
4.4.4 Interconexo H1/HSE.......................................................................................64
4.4.5 Redundncia .....................................................................................................65
4.4.6 Acesso Remoto .................................................................................................66
4.5 Aspectos de Segurana do Protocolo .......................................................................67
4.5.1 Ataque ao DHCP ..............................................................................................67
4.5.2 Ataque tabela de status da rede (NST) ...........................................................69
4.5.3 Ataque Distribudo de Negao de Servio......................................................70
4.6 Concluses Parciais ..................................................................................................72
Captulo 5 Modbus ..............................................................................................................74
5.1 Introduo.................................................................................................................74
5.2 Protocolo de Aplicao Modbus ..............................................................................75
5.3 Modbus Serial...........................................................................................................78
5.3.1 Camada Fsica ..................................................................................................79
5.3.2 Camada Enlace .................................................................................................79
5.4 Modbus TCP/IP ........................................................................................................80
5.4.1 Camada Fsica ..................................................................................................81
2
5.4.2 Camada de Enlace ............................................................................................82
5.4.3 Camada de Rede ...............................................................................................82
5.4.4 Camada de Transporte ......................................................................................82
5.4.5 Camada de Aplicao .......................................................................................83
5.5 Modelo de Componentes da Arquitetura MODBUS................................................85
5.6 Aspectos de Segurana do Protocolo .......................................................................87
5.6.1 Ataque de Buffer Overflow ..............................................................................87
5.6.2 Acesso No Autorizado ....................................................................................89
5.6.3 Ataque Distribudo de Negao de Servio......................................................90
5.7 Concluses Parciais ..................................................................................................92
Captulo 6 - Concluso ...........................................................................................................93
Referncias Bibliogrficas .....................................................................................................96
Lista de Figuras
Figura 2.1 - Evoluo do uso das tecnologias de controle de processos
Industriais 15
Figura 2.2 - Sistema de controle utilizando o Modelo de referncia geral 16
Figura 3.1 Arquitetura do PROFIBUS 26
Figura 3.2 Rede PROFIBUS formada por 3 estaes mestre e 7 estaes
escravos 28
3
Figura 3.3 Sistema PROFIBUS DP mono-mestre 31
Figura 3.4 Sistema PROFIBUS DP multi-mestre 32
Figura 3.5 - Rede PROFIBUS PA. 33
Figura 3.6 Exemplo de uma rede PROFInet com seus componentes. 34
Figura 3.7 Diviso do ciclo de comunicao, possibilitando a
implementao de aplicaes baseadas em IRT 36
Figura 3.8 Modelo de objeto PROFInet 37
Figura 3.9 Integrao PROFInet com outros sistemas 38
Figura 3.10 Cenrios possveis para Integrao Web 40
Figura 4.1 Correspondncia entre modelo OSI e estrutura do FIELDBUS 50
Figura 4.2 Rede Fieldbus 51
Figura 4.3 Topologias de rede FF H1 52
Figura 4.4 Rede Fieldbus com um LAS principal e seu backup 53
Figura 4.5 Comunicao escalonada em uma rede Fieldbus H1 54
Figura 4.6 Comunicao no escalonada em uma rede FIELDBUS H1 54
Figura 4.7 Dicionrio de objeto FF H1 56
Figura 4.8 Estrutura de um dispositivo Fieldbus 57
Figura 4.9 Estrutura em camadas do FF HSE 60
Figura 4.10 Possibilidades de comunicao entre redes distintas 62
Figura 4.11 Sistema tolerante a falhas FF HSE 64
Figura 4.12 Arquitetura que permite acesso remoto, proposta por
fabricante de dispositivos HSE. 65
Figura 5.1 Comunicao Modbus entre redes distintas 73
Figura 5.2 Frame MODBUS genrico 74
Figura 5.3 Transao entre Cliente e Servidor sem erros 75
Figura 5.4 Transao entre Cliente e Servidor com erro 75
Figura 5.5 Correspondncia entre Modbus Serial e modelo OSI 77
Figura 5.6 Regra para endereamento Modbus Serial 79
Figura 5.7 Rede MODBUS Mista, TCP/IP e Serial 80
Figura 5.8 Envio de dados entre Cliente e Servidor numa rede
MODBUS TCP 82
Figura 5.9 Pacote MODBUS TCP 83
Figura 5.10 Modelo da arquitetura MODBUS 86
4
5
Lista de Tabelas
Tabela 3.1 - Padro IEC 61158 25
Tabela 5.1 Cdigos de exceo Modbus 7
6
Resumo
Os protocolos industriais foram projetados em uma poca em que no havia
preocupao com as questes de segurana. As redes industriais eram isoladas,
logo a probabilidade de sofrerem um ataque era pequena. No entanto houve um
processo de integrao entre as redes operacionais, instaladas no cho de fbrica,
com as redes corporativas. Essa integrao trouxe benefcios para o processo de
controle, entretanto trouxe tambm vulnerabilidades que at ento no existiam.
Este trabalho tem como objetivo realizar um estudo dos protocolos industriais
PROFIBUS, Fieldbus e Modbus e avaliar as questes relativas segurana destes
protocolos, tendo como resultado uma anlise que mostra as vulnerabilidades a que
cada protocolo est exposto, bem como mecanismos ou tcnicas que busquem
diminuir ou evitar que as falhas ocorram.
7
Captulo 1 Introduo
1.1 Contexto
O ambiente de automao industrial vem passando por mudanas
significativas. H alguns anos atrs era um local hostil e isolado, onde dispositivos
eletrnicos no podiam ser instalados, conseqentemente o processo de controle
era realizado por tecnologias mecnicas ou mesmo de forma manual.
O crescimento das indstrias aumentou significativamente a complexidade do
processo de controle, com isso, houve a necessidade de utilizao de tecnologia
confivel e eficiente para promover sua automao. Sem dvida os ganhos obtidos
com essa nova era, onde havia eletrnica controlando plantas industriais foram
enormes. Entretanto, os sistemas foram evoluindo de tal forma que as plantas
industriais deixaram de ser locais isolados e passaram a fazer parte de um complexo
sistema onde havia troca de informaes entre diversos nveis da corporao. Os
dados coletados de um dispositivo de campo podiam ser coletados e compilados,
gerando um relatrio que ajudaria a diretoria da empresa a tomar decises.
Apesar dos benefcios obtidos com a integrao entre estes dois ambientes, o
corporativo e o operacional, surgiram questes relativas segurana no ambiente
operacional que at ento somente eram identificadas no ambiente corporativo e
que agora devem ser analisadas.
1.2 Motivao
Uma das principais fontes de riqueza para as empresas o conhecimento que
elas detm. Manter este conhecimento protegido fator determinante para o
sucesso em um mundo cada vez mais competitivo e globalizado.
Outra questo importante diz respeito ao terrorismo presente em muitos pases
do mundo. Ataques a indstrias tornam-se operaes cada vez mais freqentes.
Com isso, de vital importncia promover a proteo dessas indstrias.
A motivao para este trabalho surge ao passo que os protocolos que so
utilizados para controle industrial no foram projetados para contemplar os requisitos
de segurana da informao. E a situao agrava-se quando considerada a
tendncia de integrao das plantas industriais com o ambiente corporativo. Desta
forma, faz-se necessrio um estudo adequado sobre esses protocolos, sob o
8
aspecto de segurana, analisando as vulnerabilidades que cada um apresenta, bem
como propor mecanismos para eliminar ou mitigar tais vulnerabilidades.
1.3 Objetivo
O objetivo deste trabalho estudar os protocolos PROFIBUS, Fieldbus e
Modbus e avaliar as questes relativas segurana em ambientes industriais nestes
protocolos.
O estudo desses protocolos levar em considerao as principais ameaas
existentes, gerando como resultado uma anlise para cada ameaa a que o
protocolo est exposto, bem como propostas para eliminao ou diminuio do risco
de ocorrncia das mesmas.
1.4 Metodologia
Para realizao deste trabalho foi feita uma pesquisa buscando pelas
especificaes dos protocolos estudados. Em seguida foi realizado um estudo sobre
as caractersticas dos protocolos visando conhecer a arquitetura e o funcionamento
de cada um. Em paralelo foi realizado um estudo sobre as principais
vulnerabilidades e ataques relacionados segurana da informao. Como
desfecho uma anlise sobre as vulnerabilidades e ataques aplicados a cada um dos
protocolos, bem como a proposio sobre tcnicas, mecanismos e prticas
adequadas foi realizada.
9
anlise sobre as vulnerabilidades de cada um dos protocolos, sendo sugeridos
mecanismos e prticas para proteo das redes.
Finalmente no captulo 6 so apresentadas as concluses sobre o trabalho
realizado e as possibilidades de trabalhos futuros.
10
Captulo 2 - Controle de Processos Industriais
2.1 Introduo
Controlar processos industriais no uma tarefa simples, existem alguns
fatores dificultadores, o principal deles o ambiente muitas vezes hostil, devido ao
alto ndice de rudos, exposio a materiais corrosivos, vibraes excessivas, entre
outros, que so as plantas industriais, isso faz com que qualquer processo de
controle, seja executado por homens ou mquinas, requeira um alto nvel de
especializao tanto de mo da obra como dos equipamentos. Alm da hostilidade
do ambiente h o fato de que a maioria dos processos industriais so crticos, o
impacto de um erro muito grave, vidas podem ser perdidas. Com isso, um
eficiente e seguro sistema de controle de extrema necessidade.
Tecnologia
Dominante
DDC SDCD CLP FIELDBUS
15
Figura 2.2 - Sistema de controle utilizando o Modelo de referncia geral [BARBOSA,
2006].
Como pode ser visto na figura 2.2 existem seis nveis definidos, cada um
agregando uma esfera da organizao. A seguir a descrio de cada um dos nveis
[BARBOSA, 2006]:
Nvel 5: Corporativo.
Inclui os sistemas corporativos da empresa, como sistemas financeiros,
sistemas de correio eletrnico, intranet e outros.
16
Nvel 4: Administrao (Planejamento de negcios e logstica).
Este nvel inclui os sistemas de planejamento da produo, gerenciamento
operacional, gerenciamento de manuteno e inspeo, entre outros.
Nvel 3: Operaes de manufatura e controle.
Neste nvel esto includos os sistemas de planejamento detalhado de
produo, gerao de dados histricos (PIMS - Process Information Management
System) com longo perodo de armazenamento, anlise off-line dos dados para
funes de suporte de engenharia, otimizao de custos para reas de produo
especficas, consolidao de relatrios de produo e outros.
Nvel 2: Operao, controle e superviso.
Neste nvel so realizadas as funes de operao da planta de produo. Os
sistemas deste nvel so responsveis por prover uma interface homem-mquina
para o operador, gerar alarmes e alertas, realizar funes de controle e superviso
alm de gerar dados histricos com curto prazo de armazenamento.
Nvel 1: Controle bsico de processo.
Este nvel inclui os equipamentos de controle e monitorao, que esto
diretamente ligados aos sensores (instrumentos de medio de variveis de
processo) e elementos finais de controle do processo (vlvulas de controle, motores
eltricos e outros).
Nvel 0: Rede campo.
Este nvel tambm conhecido como cho de fbrica e inclui os vrios tipos de
sensores e elementos finais de controle que so diretamente conectados ao
processo ou aos equipamentos de um processo industrial.
Existe ainda um outro nvel, que estaria abaixo do nvel 0, o chamado nvel de
Segurana Crtica. Este nvel inclui sistemas de segurana de processo que tomam
aes automticas em casos de falhas para manter a segurana da planta, como
por exemplo, as PSVs (vlvulas de segurana).
Como visto anteriormente, cada um dos nveis possui diversos elementos e
funcionalidades. Neste trabalho sero abordados protocolos que atuam no nvel 2 da
hierarquia, como PROFINet, Fieldbus HSE e MODBUS/TCP.
17
2.4 Segurana
Segurana de dados tem se tornado um assunto muito discutido no mundo.
Empresas investem milhes de dlares na criao de sistemas que possam manter
intrusos longe de um de seus ativos mais valiosos: a informao. rgos
normativos trabalham para desenvolvimento de normas capazes de criar polticas
organizacionais capazes de minimizar os riscos e/ou os impactos causados por
falhas em sistemas de segurana. No Brasil, a ABNT NBR ISO/IEC 17799:2005 e
mais recentemente a ABNT NBR ISO/IEC 27001:2006 tratam da criao de um
Sistema de Gesto da Segurana da Informao (SGSI). Segundo estas normas a
adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A
especificao e implementao do SGSI de uma organizao so influenciadas
pelas suas necessidades e objetivos, exigncias de segurana, os processos
empregados e o tamanho e estrutura da organizao.
Os organismos normativos tambm definem alguns requisitos que caracterizam
um sistema seguro, so eles:
Disponibilidade: propriedade de ser acessvel e utilizvel sob demanda por
uma entidade autorizada. [ISO/IEC 13335-1:2004].
Confidencialidade: propriedade de que a informao no ser disponibilizada
ou divulgada a indivduos, entidades ou processos sem autorizao. [ISO/IEC
13335-1:2004].
Integridade: propriedade de proteo preciso e perfeio de recursos.
[ISO/IEC 13335-1:2004].
18
Apesar de existirem empresas altamente especializadas na construo de
sistemas e ferramentas que visam aumentar o grau de segurana dos sistemas, o
nmero de estragos causados por ataques e pela ao de vrus cresce em um ritmo
acelerado. A internet tem papel fundamental nesse crescimento, pois seu alcance
inigualvel, alm disso, a falta de preparo dos usurios de computadores contribui
muito para o sucesso dessas pragas. A seguir so mostradas algumas das
principais ameaas:
Vrus
Consistem em pequenos programas criados para causar algum dano ao
computador infectado, seja apagando dados, seja capturando informaes, seja
alterando o funcionamento normal da mquina. Esses "programas maliciosos"
receberam o nome vrus porque possuem a caracterstica de se multiplicar
facilmente, assim como ocorre com os vrus reais, ou seja, os vrus biolgicos. Eles
se disseminam ou agem por meio de falhas ou limitaes de determinados
programas, se espalhando como em uma infeco. Um exemplo disso, so os vrus
que se espalham atravs da lista de contatos do cliente de e-mail do usurio. Apesar
de existirem ferramentas eficientes contra vrus, os chamados anti-vrus, a
velocidade com as quais as vacinas so desenvolvidas pode muitas vezes ser
insuficiente e os danos causados por sua ao quase sempre so desastrosos.
Cavalos-de-Tria (trojans)
So um tipo de praga digital que, basicamente, permitem acesso remoto ao
computador aps a infeco. Os cavalos-de-tria podem ter outras funcionalidades,
como captura de dados do usurio e execuo de instrues presentes em scripts.
Entre tais instrues, podem haver ordens para apagar arquivos, destruir aplicativos,
entre outros.
Quando um cavalo-de-tria permite acesso ao computador, o que ocorre que
a praga passa a utilizar portas TCP e de alguma maneira informa a seu criador a
"disponibilidade" daquele computador. Esta ainda pode se conectar a servidores e
executar instrues que estejam disponveis no momento do acesso.
Worms (vermes)
Podem ser interpretados como um tipo de vrus mais inteligente que os demais.
A principal diferena entre eles est na forma de propagao: os worms podem se
propagar rapidamente para outros computadores, seja pela Internet, seja por meio
de uma rede local. Geralmente, a contaminao ocorre de maneira discreta e o
19
usurio s nota o problema quando o computador apresenta alguma anormalidade.
O que faz destes vrus inteligentes a gama de possibilidades de propagao. O
worm pode capturar endereos de e-mail em arquivos do usurio, usar servios de
SMTP (sistema de envio de e-mails) prprios ou qualquer outro meio que permita a
contaminao de computadores (normalmente milhares) em pouco tempo.
Spywares
So programas que ficam "espionando" as atividades dos internautas ou
capturam informaes sobre eles. Para contaminar um computador, os spywares
podem vir embutidos em softwares desconhecidos ou serem baixados
automaticamente quando o internauta visita sites de contedo duvidoso.
Keyloggers
Os keyloggers so pequenos aplicativos que podem vir embutidos em vrus,
spywares ou softwares suspeitos, destinados a capturar tudo o que digitado no
teclado. O objetivo principal, nestes casos, capturar senhas.
Alm da ao destas pragas, existe uma outra ameaa que pode causar
grandes prejuzos, os ataques. Um ataque visa invadir um sistema para obter
informaes privilegiadas, apenas descobrir falhas nos sistemas ou ento para
causar danos no sistema invadido. Existe uma grande variedade de tipos de
ataques. Os ataques podem ser classificados em trs categorias [GARFINKEL,
1996]:
a) Invaso: ocorre quando um atacante consegue acesso a um sistema como se
fosse um usurio legtimo.
b) Espionagem Industrial e roubo de informaes: compreende os ataques
entre os concorrentes de um mercado especfico (ou at mesmo entre pases),
onde os alvos mais comuns so os registros dos clientes, informaes sobre
processos industriais e especificaes de produtos e servios.
c) Negao de servio (Denial of Service): consiste na negao dos servios
oferecidos aos usurios legtimos de um sistema. Nesta categoria o atacante ir
explorar fraquezas especficas dos protocolos para atingir seu objetivo final.
Da mesma forma, os tipos de ataques utilizados para obter acesso (ou
interromper o funcionamento) de um sistema tambm podem ser categorizados da
seguinte maneira [CARRARETO, 2002]:
20
a) Engenharia Social: baseia-se no pouco conhecimento das pessoas e na sua
boa vontade de cooperao, fornecendo informaes para que o atacante
possa invadir o sistema.
b) Personificao: o tipo de ataque onde o atacante captura uma identificao
de usurio (e sua senha) e o utiliza para ter acesso ao sistema. A captura pode
ser feita por engenharia social, ou ainda pela utilizao de programas
especficos que monitorem o contedo trafegado na rede.
c) Falhas de projeto/implementao: a maioria dos programas produzida sem
ter foco na segurana em mente e muitas vezes possuem brechas que podem
ser utilizadas para dar acesso aos sistemas.
d) Orientados a dados: geralmente tomam a forma de vrus ou de cavalos-de-
tria. Um cdigo malicioso inserido em uma aplicao (ou documento)
aparentemente inofensivo que, quando executado pelo usurio, ir
comprometer a segurana do seu equipamento.
e) Infraestrutura: so os ataques de tipo DNS Spoofing, ICMP Bombing e Source
Routing. O primeiro ocorre quando uma mquina toma o controle do servio de
DNS e passa a fornecer nomes falsos (normalmente de mquinas j
comprometidas), fazendo com que os usurios acessem um servio diferente
do que eles haviam requisitado, porm acreditando que esto acessando o
servio correto. O segundo baseado no envio de vrias mensagens ICMP,
que so utilizadas para enganar o roteamento ou simplesmente para
sobrecarregar a rede e os roteadores. O terceiro ocorre quando informaes de
roteamento pela origem so includas no pacote da mensagem, forando que
esta retorne por uma rota pr-determinada, usualmente passando por uma rede
comprometida pelo atacante.
O fato que no h sistema totalmente seguro, sendo assim os analistas de
segurana devem estar preparados para detectar o mais rpido possvel um ataque,
reagir de forma rpida e adequada, alm de conseguir reparar rapidamente o que foi
danificado pela ao do invasor.
21
2.5 Fuso do Ambiente Corporativo com o Ambiente Operacional
At a dcada de 90 havia dois mundos: o ambiente industrial e o ambiente
corporativo. O primeiro era formado pelos equipamentos utilizados diretamente no
controle de processos, como os atuadores, medidores e controladores. Estes
equipamentos eram interligados por meio de redes isoladas e proprietrias. O
segundo era formado pelos sistemas gerenciais e de apoio, que eram interligados
por redes geralmente baseadas no padro Ethernet e na sua maioria conectados
com o mundo externo atravs da internet.
Neste cenrio as decises gerenciais eram baseadas em relatrios gerados
manualmente a partir da leitura dos dados de processo no campo ou diretamente na
sala de controle, pelos funcionrios que trabalhavam no setor operacional.
Entretanto, nem sempre havia dados suficientes e/ou apresentados em tempo hbil
para que decises estratgicas pudessem ser tomadas. Com o aumento da
competitividade entre as empresas, esta falta de integrao passou a ser um entrave
para o aumento da qualidade dos produtos. Logo, passou-se a desenvolver
tecnologias capazes de integrar estes dois ambientes. Com isso houve o surgimento
de diversos sistemas capazes de apresentar dados ao nvel gerencial em tempo
real, de armazenar grandes massas de dados histricos, que poderiam ser utilizados
na gerao de clculos estatsticos, entre outros. A integrao destes dois mundos
um fato e uma tendncia globalizada [BARBOSA, 2006].
22
gerados por uma destas situaes podem implicar em riscos segurana de
pessoas.
O professor Constantino Seixas [SEIXAS, 2005] exemplifica esta situao da
seguinte forma: imagine uma fbrica onde um operador ao tentar entrar no sistema
digita sua senha errada e o sistema bloqueia sua entrada, conforme procedimento
estabelecido. Aps a terceira tentativa sua senha cancelada para averiguao do
caso, porm vrios alarmes esto soando e ele precisa urgentemente acessar o
sistema para reconhecimento destes. Nesse caso, a continuidade operacional
(disponibilidade) muito mais importante do que qualquer outro requisito de
segurana de informao (confidencialidade e integridade).
No passado s havia a preocupao com disponibilidade do sistema. Com a
integrao das redes de campo s redes corporativas os outros requisitos de
segurana passaram a consumir grande parte da ateno dos analistas de
segurana. Isso ocorre porque todas as ameaas existentes nas redes corporativas
passaram a fazer parte do mundo operacional, entretanto o nmero de tcnicas e
ferramentas disponveis para proteo no ambiente operacional menor, tornando
este ambiente muito mais vulnervel.
23
Captulo 3 - PROFIBUS (Process Fieldbus)
3.1 Introduo
No incio dos anos 70 os primeiros sistemas fieldbus foram instalados,
entretanto no houve esforos para criao de uma padronizao do protocolo at a
metade dos anos 80 quando a comunidade europia decidiu intensificar os estudos
para criao de um padro internacional.
Em 1987 o governo alemo coordenou um grupo de pesquisa formado por ele,
fabricantes e usurios de equipamentos utilizados em automao com o objetivo de
criar um padro aberto, que seria utilizado na automao de processos industriais.
Foi ento que surgiu o projeto estratgico PROFIBUS, formado por 21 membros,
dentre eles companhias e institutos. O objetivo era a realizao e estabilizao de
um barramento de campo bitserial, sendo o requisito bsico a padronizao da
interface de dispositivo de campo. Por esta razo, os membros relevantes das
companhias do ZVEI (Associao Central da Industria Eltrica) concordaram em
apoiar um conceito tcnico mtuo para manufatura e automao de processos. Um
primeiro passo foi a especificao do protocolo de comunicaes complexas
PROFIBUS FMS (Fieldbus Message Specification - Especificao de Mensagens
Fieldbus), que foi costurado para exigncia de tarefas de comunicao. J nos anos
90 surgiram o PROFIBUS DP (Decentralized Periphery - Periferia Descentralizada) e
o PROFIBUS PA (Process Automation Automao de Processos). Com a
popularizao das redes Ethernet e a crescente integrao entre os ambientes
operacional e corporativo surgiu a necessidade de criao de um protocolo baseado
no protocolo TCP/IP, essa necessidade foi suprida com o lanamento do
PROFINET.
IEC 61158-1 Part 1: Overview and guidance for the IEC 61158 series
IEC 61158-2 Part 2: Physical layer specification and service definition
IEC 61158-3 Part 3: Data link service definition
IEC 61158-4 Part 4: Data link protocol specification
IEC 61158-5 Part 5: Application layer service definition
IEC 61158-6 Part 6: Application layer protocol specification
Tabela 3.1 - Padro IEC 61158
25
Perfis de
Aplicao
Protocolos de
Comunicao
Tecnologias de
Transmisso
26
3.5 Tecnologia de Transmisso
Esta seo engloba as duas camadas inferiores do modelo OSI. Ela
subdividida em duas: Meios Fsicos e Mtodo de Acesso ao Meio.
RS485
Amplamente utilizada por tratar-se de uma tecnologia de fcil manuseio, com
boas taxas de transferncia e baixo custo. Normalmente apenas um cabo de par
tranado blindado suficiente para sua implementao, alm disso, sua topologia
permite que estaes possam ser adicionadas ou retiradas sem necessidade de
reconfigurao, possibilitando expanses futuras. Sua taxa de transmisso pode ser
escolhida entre 9,6 kbit/s e 12 Mbit/s, contudo, somente uma taxa pode ser utilizada
em todo o barramento. Uma demanda por um meio de transmisso intrinsecamente
seguro impulsionou o desenvolvimento do padro RS485-IS. Nesse padro so
estabelecidos limites mximos de corrente para uma dada tenso, garantindo o
funcionamento e evitando acidentes.
IEC 61158-2
Esse padro veio atender demanda criada pelas indstrias qumica e
petroqumica. Trata-se um padro intrinsecamente seguro com um taxa de
transmisso de 31,25 Kbits/s. A energizao dos equipamentos realizada pelo
mesmo cabo que transmite os dados, assim pode ser utilizado em reas
classificadas.
O Instituto Tecnolgico de Fsica da Alemanha desenvolveu um modelo de
barramento para ser utilizado em reas com possibilidade de exploso. Esse modelo
tornou-se um padro internacional e conhecido como FISCO (Fieldbus Intrinsically
Safe Concept).
Para se operar uma rede PROFIBUS em rea classificada necessrio que
todos os componentes utilizados na rea classificada sejam aprovados e certificados
de acordo com o modelo FISCO e IEC 61158-2 por organismos certificadores
autorizados tais como PTB, BVS (Alemanha), UL, FM (EUA). Se todos os
componentes utilizados forem certificados e se as regras para seleo da fonte de
27
alimentao, comprimento de cabo e terminadores forem observadas, ento nenhum
tipo de aprovao adicional do sistema ser requerida para o comissionamento da
rede PROFIBUS [PROFIBUS DESCRIO TCNICA, 2006].
Fibra ptica
Este meio de transmisso utilizado em ambientes onde o nvel de rudo
eletromagntico elevado ou ento quando se deseja aumentar a distncia de
transmisso mantendo-se uma boa taxa de transmisso. Possui um custo elevado,
principalmente em suas pontas, alm disso, h necessidade de mo-de-obra e
equipamentos especializados para sua instalao e manuteno. Existem
fabricantes que disponibilizam dispositivos capazes de realizar a converso de sinal
RS485 para fibra ptica e vice-versa, criando uma facilidade de troca entre os dois
meios.
28
Figura 3.2 Rede PROFIBUS formada por 3 estaes mestre e 7 estaes
escravos.
O tempo que cada estao ir dispor do token ser definido no momento da
inicializao da rede. Esse tempo dever levar em considerao o tempo do
processo que est sendo controlado e o nmero de estaes mestre que formam o
anel. importante que o tempo de cliclo do token, ou seja, o tempo necessrio para
que o token passe por todas as estaes mestre seja inferior ao tempo de controle
do processo.
No exemplo da figura 3.2 a estao Master 1 ter a posse do token por um
tempo T, durante este tempo ela poder requisitar ou enviar informaes para Slave
1, Slave 2 ou Slave 3, alm disso, poder comunicar-se com as estaes Master 2
e Master 3. Findo o tempo T o token dever ser passado para Master 2, que deter
o token por um tempo T tambm e poder comunicar-se com Slave 4 e Slave 5 ou
ento trocar informaes com os outros dois Master. Em seguida o token ser
passado a Master 3 que realizar a comunicao necessria com seus escravos e
outros mestres durante o mesmo tempo T. Quando todos os mestres j tiverem a
posse do token pelo tempo T, um ciclo de token ser completado e o mesmo ser
passado novamente ao primeiro mestre do anel, gerando um processo cclico. Este
protocolo garante que nenhum mestre tentar ocupar o meio quando um outro
mestre estiver transmitindo.
29
3.6 Protocolos de Comunicao
3.6.1 PROFIBUS DP
Este protocolo foi projetado para especificar a comunicao entre os
dispositivos controladores, PLCs, por exemplo, e os dispositivos de campo, como
vlvulas, atuadores, etc. A transmisso de dados realizada atravs de um link
serial de alta velocidade, abrangendo a faixa de 9,6 kbit/s a 12 Mbit/s. Existem dois
grupos de funes de comunicao utilizadas no PROFIBUS DP:
Funes Bsicas: esto disponveis em todas as verses do protocolo e so
especificadas no documento EM 50170. Com elas possvel que o mestre
leia ou escreva dados em seus escravos ciclicamente. importante frisar que
o tempo de ciclo do barramento deve ser menor do que o tempo de leitura do
programa do PLC.
Funes Estendidas: alm da leitura e escrita cclica nos escravos, existem
funes que permitem leitura, escrita, diagnstico, configurao e
manipulao de alarmes. Estas funes so executadas de forma acclica e
esto presentes em dispositivos de campo inteligentes. So especificadas no
documento PROFIBUS 2.042.
Existem trs verses do protocolo disponveis, o DP-V0, DP-V1 e DP-V2:
DP-V0: fornece as funcionalidades bsicas do protocolo, como leitura e
escrita nos escravos, alm disso, funes de diagnstico da estao, do canal
esto disponveis. Todas as funes so realizadas de forma cclica.
DP-V1: incorporou a possibilidade comunicao acclica, permitindo que
funes de parametrizao, operao, visualizao e manipulao de
alarmes possam ser executadas de forma paralela s funes cclicas.
DP-V2: surgiu com algumas funcionalidades novas, como comunicao
escravo-escravo, sincronizao de dispositivos atravs de um relgio
diferente do barramento e possibilidade de upload e download de arquivos
nos dispositivos de campo, permitindo que atualizaes de programas
possam ser realizadas sem a necessidade de carga manual diretamente no
dispositivo.
30
O sistema que utiliza o PROFIBUS DP pode ser configurado na forma mono ou
multi-mestre e possuir trs componentes: Classe-1 DP Master, Classe-2 DP Master
e DP Slave.
Classe-1 DP Master (DPM1): este tipo de controlador, em conjunto com seus
escravos, forma um subsistema independente, onde um mestre l e escreve
dados em seus escravos especficos
Classe-2 DP Master (DPM2): utilizado geralmente no processo de
comissionamento1 da planta ou ento para monitoramento e configurao.
Sua insero no obrigatria.
DP Slave: so os dispositivos perifricos (dispositivos de I/O, drivers, IHM,
vlvulas, etc) responsveis pela leitura da varivel a ser controlada e envio do
valor lido ao controlador, quando solicitado.
A figura 3.3 mostra um sistema mono-mestre comunicando-se com seus
escravos. possvel verificar que como s existe um controlador, que pode ser um
PLC, SDCD ou PC Industrial. O tempo de ciclo de barramento zero, assim o
controlador no precisa passar o token para um prximo controlador, dessa forma a
resposta do sistema fica limitada s respostas dos dispositivos de campo. Neste tipo
de configurao possvel que 125 escravos sejam conectados a um mestre pelo
mesmo barramento.
1
Comissionamento: fase em que os sistemas so testados e ajustados antes que a planta industrial
entre em funcionamento
31
Figura 3.3 Sistema PROFIBUS DP mono-mestre [PROFIBUS DESCRIO
TCNICA 2006].
32
para a comunicao entre dispositivos controladores. Entretanto, no mais
indicado como parte do PROFIBUS International, ou seja, no mais recomendado
pelo comit gestor do PROFIBUS, por isso no ser explicado em detalhes.
3.7.1 PROFIBUS PA
Este protocolo define o uso do PROFIBUS em dispositivos e aplicaes tpicas
de automao e controle de processos [PROFIBUS DESCRIO TCNICA 2006].
Seu perfil est descrito no documento 3.042 da Associao PROFIBUS. Pode
utilizar qualquer um dos meios fsicos permitidos pelo PROFIBUS, alm disso, utiliza
como protocolo de comunicao o PROFIBUS DP.
O PROFIBUS PA define os parmetros dos dispositivos de campo tpicos,
possibilitando assim intercambialidade dos dispositivos e independncia do
fabricante, para isso faz uso de um modelo chamado de Blocos de Funes
(Function Blocks).
A principal caracterstica que impulsionou este protocolo foi a capacidade de
transmisso de informao e dados em um nico par de fios, desta forma foi
possvel utiliz-lo em reas classificadas.
33
Figura 3.5 - Rede PROFIBUS PA.
3.8 PROFInet
PROFInet uma verso do protocolo PROFIBUS que utiliza o padro Ethernet
para comunicao com os dispositivos de campo. Este protocolo surgiu em resposta
s necessidades do mercado de utilizao de tecnologias mais difundidas, pois
desta forma a construo de sistemas baseados nessas tecnologias torna-se menos
custosa. Alm disso, a manuteno deste tipo de sistema exige mo-de-obra menos
especializada, consequentemente mais barata.
34
3.8.1 Estrutura do PROFInet
A estrutura do PROFInet similar do PROFIBUS DP, onde h um dispositivo
controlador que gerencia alguns dispositivos de campo.
35
necessrio para cada etapa da comunicao entre os dispositivos e o tipo de
aplicao que est sendo executada.
Comunicao padro utilizando TCP/UDP: os dois protocolos de transporte
so utilizados juntamente com o protocolo IP para transferncia de dados que
no possuem tempo crtico, utilizados na parametrizao e configurao do
sistema. por meio deste modelo de comunicao que ocorre a integrao
entre a rede do nvel operacional e as redes pertencentes aos nveis
gerenciais.
Soft Real Time (SRT): este tipo de comunicao utilizado para atender
demanda dos processos de automao em tempo real. Este canal de
comunicao baseado na camada 2 do modelo TCP/IP, isto significa que as
funcionalidades presentes nas camadas superiores so deixadas a cargo da
aplicao, sendo assim o tempo necessrio para preparao dos pacotes que
sero transmitidos na rede e o tamanho dos mesmos reduzido. Esse
processo de otimizao na preparao e transferncia dos dados no
suficiente para garantia dos tempos necessrios s aplicaes de tempo real,
desta forma, utilizado um mecanismo de priorizao de pacotes. Isso
garante a prioridade de transmisso dos pacotes pertencentes s aplicaes
de tempo real, possibilitando que o PROFInet atenda aos requisitos deste tipo
de aplicao.
Isochronous Real Time (IRT): embora o modelo de comunicao Soft Real
Time atenda de forma satisfatria grande parte das aplicaes de tempo real,
existem algumas, como o controle de movimento de robs, por exemplo, em
que o tempo de atualizao dos dados tem que ser prximo de 1ms. Para
esta classe de aplicaes foi desenvolvido o IRT. A implementao deste tipo
de comunicao baseia-se na diviso do ciclo de comunicao em duas
partes: determinstica (Deterministic Communication) e no determinstica
(Open Communication).
36
Figura 3.7 Diviso do ciclo de comunicao, possibilitando a implementao de
aplicaes baseadas em IRT.
38
Figura 3.9 Integrao PROFInet com outros sistemas.
39
Gerncia: da mesma forma que o DHCP, no h obrigatoriedade de
implementao do padro SNMP (Simple Network Management Protocol)
para gerncia de rede, entretanto a maioria dos fabricantes que fornecem
este tipo de funcionalidade em seus dispositivos utiliza este protocolo.
Atravs destas tecnologias diversas ferramentas de monitoramento e
configurao de redes Ethernet podem ser utilizadas em redes industriais.
40
D
41
servidor web correspondente, que por sua vez far acesso ao dispositivo de
campo.
PROFIBUS
Facilidade para realizar a invaso: baixa, pelo fato das redes geralmente
serem isoladas. Dessa forma o invasor teria que conectar-se fisicamente
rede para tentar o ataque. Entretanto, mesmo que tivesse acesso ao
ambiente onde a rede est instalada, o invasor teria que conhecer as
caractersticas do PROFIBUS, como endereamento, mtodos de acesso ao
meio, mtodo de comunicao entre dispositivos, etc. importante ressaltar
que essas caractersticas no seguem os padres difundidos no mercado. A
facilidade pode aumentar se ocorrer uma situao onde o papel de
42
controlador da rede executado por um computador, e este est ligado
outras redes, pois dessa forma o invasor pode tentar o ataque atravs da
rede corporativa.
Impacto no processo: alto, pois caso o invasor tenha acesso privilegiado ao
dispositivo controlador da rede, ele poder fazer alteraes nos parmetros
de controle do processo e dependendo do grau dessas alteraes, acidentes
graves podem ocorrer.
Medidas de segurana adotadas no protocolo: na especificao do
protocolo no h definies sobre este tipo de vulnerabilidade.
Comentrios: o fato das redes geralmente serem isoladas contribui para uma
diminuio da probabilidade dessa falha ocorrer, entretanto esse fato pode ter
efeito contrrio, visto que no h preocupao alguma com segurana. Isto
confirmado pela no incluso de medidas de segurana na especificao do
protocolo, logo um projetista no ter conscincia de que sua rede poder
sofrer um ataque, principalmente se o cenrio onde o controlador integrado
rede corporativa ocorrer. Dessa forma, importante ressaltar que medidas
de segurana devem ser tomadas. A principal delas proteo do
computador que far o papel de controlador (cenrio proposto), garantindo
que: seu sistema operacional esteja sempre com as ltimas atualizaes, as
portas do protocolo TCP/IP que no esto sendo utilizadas estejam fechadas,
o sistema de autenticao de usurios esteja configurado corretamente,
compartilhamentos estejam devidamente configurados, etc. Vale lembrar que
caso uma invaso ocorra, o impacto poder ser muito alto.
PROFInet
PROFIBUS
Facilidade para realizar o ataque: muito baixa, pelo fato das redes
geralmente serem isoladas. Mesmo que o papel do controlador seja
executado por um computador conectado a uma rede corporativa,
provavelmente este dispositivo no ser publicado na internet.
Impacto no processo: mdio, pois caso o invasor consiga realizar este tipo
de ataque em um computador executando o papel de um controlador o
atacante poder consumir os recursos do dispositivo impedindo que o mesmo
realize o controle do processo de forma eficiente.
Medidas de segurana adotadas no protocolo: na especificao do
protocolo no h definies sobre este tipo de vulnerabilidade.
Comentrios: apesar deste tipo de ataque ser muito eficiente, h uma baixa
probabilidade de ocorrer em redes PROFIBUS. Entretanto, deve-se
considerar a situao em que um computador exerce o papel de controlador e
45
este est ligado a uma rede corporativa. Neste caso importante que o
administrador do sistema no utilize este computador para fornecimento de
servios que estejam disponveis na internet, pois caso isto ocorra o
controlador e consequentemente a malha de controle se tornaro alvos para
este tipo de ataque.
PROFInet
Facilidade para realizar o ataque: alta, pois como foi visto na seo
Integrao Web, h a presena de servidores web na rede PROFInet. Eles
podem estar embarcados no dispositivo PROFInet, seja ele um controlador ou
dispositivo de campo, ou conectados rede. Dessa forma, esses servidores
tornam-se alvos para o ataque, pois disponibilizam servios atravs da
internet, bastando que o atacante tenha conhecimento do endereo de cada
um deles.
Impacto no processo: alto. Existem duas possibilidades quem devem ser
avaliadas quanto a este tipo de ataque. A primeira ocorre quando o servidor
web est integrado a um dispositivo PROFInet. Neste caso o impacto ser
alto porque o dispositivo vtima do ataque perder a capacidade de realizar
sua tarefa, comprometendo o sistema de controle. Na segunda possibilidade
o servidor web est apenas conectado rede PROFInet. O impacto tambm
ser alto quando esta situao ocorrer, pois o intenso trfego gerado na rede
ir comprometer a comunicao entre os controladores e os dispositivos de
campo.
Medidas de segurana adotadas no protocolo: na especificao do
protocolo no h informaes a respeito de medidas de preveno ou
contramedidas contra este tipo de ataque.
Comentrios: apesar da especificao do protocolo no fazer citao a
respeito deste tipo de ataque, importante ressaltar que trata-se de um dos
mais eficientes e que pode trazer grandes danos. Dessa forma, importante
que o administrador da rede esteja preparado para agir quando o ataque
acontecer. Algumas prticas podem ser utilizadas para preveno e reao,
como o uso de ferramentas que detectam o grande volume de trfego na rede
e avisam o administrador, o uso de firewall pode ser adequado porque depois
46
de detectado o ataque ele pode ser configurado para descartar os pacotes
direcionados a um determinado n da rede. Dessa forma o servio no estar
disponvel na internet, mas a malha de controle no ser afetada. Outra
tcnica consiste no uso de sistemas redundantes. O PROFInet permite que
haja dispositivos redundantes na rede, assim o administrador ao detectar um
ataque pode desligar o dispositivo que est atuando como principal,
permitindo que o dispositivo redundante entre em ao, isso faz com que o
alvo do ataque deixe de existir e a malha de controle continue em operao.
PROFIBUS
PROFInet
49
Captulo 4 - Foundation Fieldbus
4.1 Introduo
50
Assim como todos os protocolos definidos na norma IEC 61158, o FF
compactado em apenas trs camadas de rede: camada fsica (nmero 1), camada
de enlace (nmero 2) e de aplicao (nmero 7), alm de uma camada de usurio,
que baseada em processos de aplicao de blocos funcionais e situada
hierarquicamente acima das camadas de rede que compem o chamado stack
(pilha) de comunicao [PANTONI, 2006], como apresentado na figura 4.1.
A figura 4.2 mostra uma rede formada por equipamentos de campo interligados
por uma rede FF H1. O protocolo implementa o conceito de descentralizao, desta
forma, possvel distribuir as funcionalidades de controle entre os dispositivos.
52
4.3.2 Topologias
Existem diversas topologias possveis para construo de uma rede FF H1. A
figura 4.3 apresenta algumas delas.
B
A
54
dois tipos de comunicao possveis entre os dispositivos integrantes do segmento,
[SOUZA, 2004] que so descritos a seguir.
Comunicao escalonada: neste tipo de comunicao o LAS possui uma
lista com os tempos de transmisso de todos os dispositivos que precisam
transferir dados ciclicamente. Quando chega a hora de um dispositivo
transmitir, o LAS envia uma mensagem para o dispositivo informando que o
mesmo pode publicar seu dado no barramento, a partir da todo dispositivo
que quiser poder consumir este dado.
55
4.3.4 Camada de Aplicao
A camada de aplicao responsvel por oferecer servios de comunicao
para as aplicaes que esto na camada de usurio. Estes servios sero
transparentes para o usurio.
Esta camada divida em duas subcamadas, Fieldbus Acess Layer e Fieldbus
Message Specification.
2
Enfileirada: mensagens so envidas na ordem fornecida para transmisso, respeitadas as
prioridades sem sobrescrever as mensagens anteriores.
3
Buferizada: quer dizer que somente a ltima verso da mensagem mantida.
56
Todos os dispositivos interessados no dado iro receb-lo, os receptores
sero chamados de consumidores.
57
Virtual Field Device VFD
58
que seja feito o acesso a variveis dinmicas, estatsticas e tarefas do LAS,
caso o dispositivo seja um Link Master . J o System Management
Information Base SMIB inclui tags do dispositivo, informaes de
endereamento e escalonamento para execuo de Function Blocks.
O Foundation Fieldbus High Speed Ethernet tem por objetivo prover uma
soluo para integrao entre a rede de campo e a rede corporativa, fornecendo um
59
meio para transmisso de mensagens em alta velocidade entre segmentos H1 ou de
outros fabricantes, alm de possibilitar que os dados fornecidos por dispositivos de
campo sejam utilizados em sistemas corporativos, como ERPs (Enterprise Resource
Planning).
4.4.1 Histrico
Em maro de 1998 foi aprovado pela diretoria do Fieldbus Foundation o projeto
de desenvolvimento do FF HSE. A partir da comearam os estudos para o
desenvolvimento de um protocolo que mantivesse a compatibilidade com o FF H1 e
ao mesmo tempo utilizasse a tecnologia Ethernet como base. Em junho de 1998 um
grupo formado por 35 arquitetos de sistemas, engenheiros de projeto e gerentes
pertencentes ao Foundation Fieldbus apresentaram a arquitetura do sistema.
Um Draft Preliminary Specification (DPS) foi distribudo para os membros da
fundao para reviso em outubro de 1998 e prottipos para testes em laboratrios
foram entregues a diversos fornecedores de equipamentos, incluindo a Smar
Equipamentos Industriais Ltda, sediada em Sertozinho, Brasil. Com o trmino dos
testes em laboratrio a fundao distribuiu aos seus membros em setembro de 1999
uma especificao preliminar, a HSE Preliminary Specification (PS).
Em maro de 2000 foi lanada a especificao final do protocolo, chamada de
HSE Final Specification (FS), que estava de acordo com o padro internacional
sobre protocolos fieldbus, o IEC 61158.
60
Figura 4.9 Estrutura em camadas do FF HSE.
Camada Fsica: esta camada segue o padro IEEE 802.3, conhecido como
Ethernet. Entretanto algumas novas caractersticas foram incorporadas para
atender a aplicaes que rodem em ambientes industriais. A rede pode
transmitir dados a 10 Mbps, 100 Mbps ou 1 Gbps, dependendo do meio de
transmisso utilizado. O cabeamento utilizado deve seguir o padro 802.3,
entretanto como o cho de fbrica muitas vezes um ambiente hostil devem
ser utilizados cabos com maior imunidade a rudos ou fibra ptica,
dependendo do caso.
Camada de Enlace de Dados: da mesma forma que a camada fsica, esta
camada segue o padro Ethernet. Para controle de acesso ao meio
utilizada a tcnica de CSMA/CD e para controle de erro so realizados
Checksum dos frames transmitidos. Alm disso, esta camada responsvel
por estabelecer os enlaces entre os dispositivos comunicantes. importante
ressaltar que dispositivos utilizados em redes Ethernet comuns podem ser
utilizados nas redes FF HSE, como switches ou bridges.
Camada de Rede: esta camada segue o padro internet, que mantido pelo
IAB (Internet Architecture Board) que tem como principal protocolo o IP
(Internet Protocol). Dessa forma, toda a estrutura de endereamento do
mundo IP utilizada em redes HSE, ou seja, cada dispositivo ser
identificado unicamente na rede atravs de um endereo que segue o formato
IP.
61
Camada de Transporte: segue o mesmo padro da camada de rede e tem
como principais protocolos o TCP e o UDP. Utilizando esta camada torna-se
possvel a comunicao entre redes distintas, utilizando equipamentos como
roteadores e tabelas de roteamento. Alm disso, esta camada oferece s
camadas superiores diversos servios, como transmisso de mensagens com
confirmao (TCP) ou sem confirmao (UDP).
Camadas de Sesso e Apresentao: no so implementadas no padro
FF HSE.
Camada de aplicao: assim como no FF H1, esta camada tem por objetivo
oferecer servios para a camada de usurio. Algumas tecnologias que foram
testadas e so amplamente utilizadas no H1 foram mantidas, como a
subcamada FMS (Fieldbus Message Specification), SM (System
Management) e FBAP (Function Blocks Application Process). Alm das
tecnologias j sedimentadas pelo H1 surgiu a necessidade de insero de
funcionalidades especficas para o HSE, como o FDA(Field Device Access) e
o SM HSE(System Management for HSE). O primeiro um agente e tem por
objetivo permitir que os servios de gerenciamento do sistema (SM) e de
comunicao padronizada (FMS) utilizados pelos dispositivos H1 possam ser
convertidos em servios que rodem sobre o TCP ou UDP. Assim, dispositivos
HSE podem se comunicar com dispositivos H1 que esto conectados no
barramento HSE via Linking Device. Alm disso, o agente FDA permite que
os dispositivos HSE ou H1 acessados atravs de um Linking Device possam
ser acessados e configurados remotamente. J o SM HSE tem por objetivo
garantir que as funes em nvel de sistema dos diversos dispositivos estejam
coordenadas. Estas funes incluem sincronizao de relgios, adio e
remoo de dispositivos da rede e escalonamento de blocos de funo.
63
Gateway. Este dispositivo capaz de fazer a traduo da rede externa,
fazendo com que a mesma seja vista como um segmento de rede H1
interligado ao barramento atravs de um Linking Device. Assim, conexes do
tipo E e B tornam-se possveis, pois funcionam como se fossem uma conexo
do tipo B e C.
64
O FF HSE utiliza um servidor DHCP para distribuio dos endereos IP para os
dispositivos da rede.
4.4.5 Redundncia
O HSE proporciona um sistema de tolerncia a falhas, tanto a nvel de
dispositivo como de mdia, operando de forma transparente s aplicaes HSE.
A redundncia em nvel de mdia consiste na utilizao de mais de uma porta para
conectar o dispositivo a uma ou mais redes. Desta forma, caso a rede qual a porta
padro est conectada esteja congestionada, ser utilizada a outra porta, que est
conectada a outra rede, e as informaes percorrero uma nova rota que est mais
propcia para transmitir os dados. Esta situao est ilustrada na figura 4.11.
65
ento utilizam estas informaes recebidas, juntamente com sua prpria viso para
manter uma tabela que ser utilizada para deteco de falhas e para seleo de
qual porta ser utilizada para transmisso, esta tabela chamada Network Status
Table (NST).
Figura 4.12 Arquitetura que permite acesso remoto, proposta por fabricante de
dispositivos HSE.
66
4.5 Aspectos de Segurana do Protocolo
Esta seo trata de alguns aspectos sobre a segurana dos protocolos
Foundation Fieldbus H1 e Foundation Fieldbus HSE em relao determinadas
ameaas, analisando sua facilidade de execuo, nvel de danos, bem como as
protees propostas pelo protocolo.
FF H1
FF HSE
68
autenticao desativada, por isso o analista de segurana deve estar atento a
este tipo de equipamento, quando estiver presente na rede.
FF H1
FF HSE
69
disso, esse tipo de ataque pode tornar o processo de controle mais lento, pois
os dispositivos tero uma viso enganosa do status da rede e utilizaro
caminhos alternativos que estaro congestionados pelo fato de todos estarem
usando essas mesmas rotas alternativas.
Medidas de segurana adotadas no protocolo: no foram encontradas
informaes a respeito deste tipo de vulnerabilidade na documentao
estudada sobre o protocolo.
Comentrios: apesar de o nvel de estragos causados por este tipo de
ataque ser classificado inicialmente como mdio, por no trazer uma parada
no processo de controle ou falha de comunicao importante ressaltar que
ele poder servir de porta de entrada para ataques com nveis de danos
maiores, como o Acesso No Autorizado. Isso pode ser possvel fazendo a
anlise das informaes coletadas atravs do desvio de trfego imposto pelo
atacante. Uma medida a fim de evitar este tipo de ataque instalar um
sistema de deteco de intruso na rede, a fim de analisar as informaes
que esto trafegando. Desta forma, se o sistema detectar um nmero alto de
mensagens de status informando congestionamento, um alarme deve ser
emitido fazendo com que o administrador faa a anlise do real status da rede
atravs de ferramentas adequadas. Caso seja detectado um ataque a
estao que est gerando as informaes incorretas deve ser desconectada,
e com isso o funcionamento correto ser restabelecido.
70
FF H1
FF HSE
73
Captulo 5 Modbus
5.1 Introduo
O protocolo Modbus foi desenvolvido no final da dcada de 70 pela empresa
Modicon, hoje chamada de Schneider Electric. Em 1979 foi lanada sua primeira
verso, o Modbus Serial.
Seu objetivo era promover a comunicao entre dispositivos controladores e
sensores, atravs de uma comunicao do tipo mestre-escravo/cliente-servidor. Pelo
fato da Modicon ter colocado as especificaes e normas que definem o protocolo
em domnio pblico, tornou-se um protocolo aberto, isso contribuiu para sua difuso
no mercado, tornando-se um dos protocolos mais utilizados.
O Modbus um protocolo que se encontra na camada sete (aplicao) do
modelo OSI. Sua estrutura permite que seja efetuada a troca de informaes entre
equipamentos de redes diferentes, como ilustrado na figura 5.1.
74
5.2 Protocolo de Aplicao Modbus
75
Figura 5.3 Transao entre Cliente e Servidor sem erros.
76
O servidor no recebe uma requisio enviada por um cliente, logo a resposta
no ser enviada e o cliente que provavelmente processar uma exceo por
time out.
O servidor recebe uma requisio, mas detecta algum erro (paridade, CRC,
etc) e no envia uma resposta. O cliente executar uma exceo por time out.
O servidor recebe uma requisio, mas no consegue process-la
adequadamente. Nesse caso preparada uma PDU de resposta exceo
que enviada ao cliente.
77
O servidor est impossibilitado de aceitar a
Dispositivo escravo
06 requisio. O cliente dever refazer a requisio
ocupado
posteriormente.
78
5.3.1 Camada Fsica
Nesta camada so definidas as caractersticas fsicas de transmisso dos
dados, como cabos, conectores, taxas de transmisso, etc. Segundo a especificao
do protocolo, recomendado que os dispositivos Modbus implementem uma
interface RS 485, e opcional que seja implementada uma interface RS 232.
Duas taxas de sinalizao devem ser implementadas: 9600 bps e 19.2 Kbps,
sendo a ltima a padro.
No objetivo deste trabalho descrever com detalhes o funcionamento da
camada fsica, por isso, para mais detalhes consultar a referncia [MODBUS over
Serial Line Specification and Implementation Guide V1.02, 2006].
79
Figura 5.6 Regra para endereamento Modbus Serial.
80
como roteadores, hubs, switches, bridges, entre outros. Estes dispositivos de
interconexo podem interligar duas redes TCP/IP ou uma rede TCP/IP e uma Serial,
permitindo a comunicao entre dispositivos de ambas as redes. A figura 5.7 mostra
um cenrio onde a diversidade de equipamentos e redes pode ser verificada. Existe
um barramento central Modbus sobre TCP/IP ao qual esto conectados alguns
dispositivos Modbus TCP clientes e servidores. Alm disso, existe um cliente
Modbus Serial conectado a um cliente TCP/IP que por sua vez est conectado ao
barramento central, configurando uma conexo indireta entre o cliente serial e o
barramento TCP. Uma outra situao apresentada mostra uma rede serial
conectada ao barramento TCP atravs de um gateway.
81
5.4.2 Camada de Enlace
A camada de Enlace tambm segue o padro TCP/IP. Os mecanismos de
estabelecimento de enlace, controle de erro, etc, so os mesmos presentes em
redes corporativas.
Nesta camada tambm devem ser tomados alguns cuidados com a tecnologia
empregada, pois trata-se de um ambiente diferente do ambiente para o qual o
protocolo foi projetado. O uso de switches ao invs de hubs uma prtica
interessante, pois diminui o trfego na rede, fazendo com que a entrega de pacotes
seja uma tarefa mais confivel.
Figura 5.8 Envio de dados entre Cliente e Servidor numa rede MODBUS TCP
[BARBOSA, 2006].
84
5.5 Modelo de Componentes da Arquitetura MODBUS
A comunidade Modbus-IDA props um modelo baseado em componentes para
implementao de dispositivos, sejam eles servidores, clientes ou ambos. Os
componentes desse modelo so apresentados na figura 5.10 e sero descritos
brevemente.
85
ocorrer durante a requisio, ser gerado pacote de resposta que ser
enviado de volta ao cliente devidamente preenchido, caso algum erro ocorra
esse pacote conter o cdigo da exceo gerada.
4
BSD: uma implementao do TCP/IP criada para o sistema operacional BSD na dcada de 80.
86
Figura 5.10 Modelo da arquitetura MODBUS
87
Modbus Serial
Facilidade para realizar o ataque: mdio, pois o atacante precisar de um
acesso fsico rede e o endereo do dispositivo alvo. No haver a
necessidade de recebimento, por parte do atacante, de um endereo vlido,
basta que ele escolha para si algum endereo da faixa de endereos vlidos
e o utilize para formar seus pacotes defeituosos.
Impacto no processo: alto, pois o alvo pode ser um equipamento crtico ao
processo, dessa forma, o processo de controle ser comprometido, visto que
o dispositivo no conseguir realizar sua tarefa com confiabilidade.
Medidas de segurana adotadas no protocolo: a especificao do
protocolo mostra que no h nenhum tipo de checagem quanto ao tamanho
do pacote recebido.
Comentrios: este tipo de ataque pode trazer srios problemas, pois no h
grande dificuldade para sua realizao, visto que o passo mais difcil obter
um acesso fsico rede. Por isso o analista de segurana deve estar atento a
possveis conexes no autorizadas na rede, fazendo uma varredura nas
instalaes da planta para detectar possveis ataques.
Modbus TCP
Facilidade para realizar o ataque: alta, pois basta que o atacante tenha um
acesso fsico rede e possua um programa capaz de gerar pacotes Modbus
mal formados para iniciar o ataque. No caso de redes Modbus TCP que
possam estar integradas com redes corporativas, h o agravante de o ataque
poder partir de alguma mquina invadida situada na rede corporativa.
Impacto no processo: alto, pois o atacante poder tornar inoperveis
dispositivos importantes ao processo de controle.
Medidas de segurana adotadas no protocolo: no h checagem quanto
ao tamanho dos pacotes que so recebidos.
Comentrios: o protocolo especifica que sero feitas algumas checagens,
como se o campo que identifica o protocolo contm zero, ou se o cdigo de
funo vlido, mas nada sobre o tamanho dos pacotes. A defesa contra
este tipo de ataque pode se basear em duas opes. A primeira busca evitar
que dispositivos no autorizados obtenham acesso fsico rede. Esta tarefa
88
muitas vezes no fcil, devido s caractersticas da plantas industriais,
como extensa rea, difcil monitoramento por sistemas de vigilncia. A outra
opo baseia-se em realizar um monitoramento dos pacotes que esto
trafegando na rede e com a ajuda de um programa de deteco de intruso
criar regras para que alertas sejam emitidos quando pacotes mal formados
forem detectados.
MODBUS Serial
Facilidade para realizar o ataque: baixa, pois o atacante precisar
estabelecer uma conexo com o dispositivo alvo. Esta situao dificulta o
ataque a um dispositivo mestre, pois as conexes sempre so iniciadas pelo
mestre.
Impacto no processo: mdio, pois os ataques sero direcionados
principalmente a dispositivos escravos. Seu nvel ser elevado para alto caso
o atacante consiga um acesso privilegiado a um mestre, pois neste caso
vrios dispositivos escravos podero ser controlados indiretamente pelo
atacante.
Medidas de segurana adotadas no protocolo: a especificao do
protocolo no trata deste tipo de vulnerabilidade.
Comentrios: este tipo de ataque pode comprometer todo o sistema de
controle de uma nica vez. O atacante pode conseguir o acesso no
autorizado sobre um mestre e simplesmente esperar por um momento que
considera adequado para disparar o ataque. Este momento pode ser uma
troca de turno, ou algum outro momento onde a segurana seja diminuda.
Essa estratgia permitir que o dano seja maior. Uma tcnica interessante
para diminuir o risco desse tipo de ataque criar um poltica de segurana em
relao a acesso aos dispositivos, como troca constante de senhas.
89
MODBUS TCP
Facilidade para realizar o ataque: mdia. O uso de tecnologias difundidas
no mercado aumenta a facilidade desse tipo de ataque. Existem CLPs
(Controladores Lgicos Programveis) que possuem web services embutidos,
permitindo que o operador em qualquer parte da rede tenha acesso de leitura
e escrita no controle do processo, atravs de um browser [BARBOSA, 2006].
Essa estrutura de acesso remoto poder ser a porta de entrada para a
obteno de um acesso no autorizado.
Impacto no processo: alto, pois se o atacante tomar o controle de um
dispositivo servidor, todos os dispositivos clientes podero ser afetadas.
Medidas de segurana adotadas no protocolo: no foram encontradas
informaes sobre este tipo de vulnerabilidade na especificao do protocolo.
Comentrios: este tipo de ataque torna-se mais vivel em redes que utilizam
o protocolo industrial baseado na tecnologia Ethernet, pois h muito
conhecimento difundido sobre as caractersticas e falhas dessa tecnologia. O
fato de os dispositivos fornecerem acesso remoto aos operadores contribui
para aumentar o risco de que esse tipo de ataque ocorra, pois estes
dispositivos tornam-se a porta de entrada para uma invaso. O analista de
segurana deve tomar cuidado redobrado com este tipo de equipamento,
aplicando uma rigorosa poltica de senhas e realizando atualizaes
constantes dos softwares que rodam no mesmo. Uma boa prtica criar uma
classificao que indique quais equipamentos necessitem realmente oferecer
este tipo de funcionalidade, pois talvez seja mais interessante desativar o
acesso remoto do que correr o risco de uma invaso.
MODBUS Serial
Facilidade para realizar o ataque: baixa, pois geralmente as redes esto
isoladas. Caso ocorra a integrao com uma rede MODBUS TCP e o mestre
tambm exera o papel de equipamento de interconexo entre as redes, esta
facilidade se tornar mdia.
Impacto no processo: alto, pois a falta de operabilidade de um servidor
poder trazer conseqncias graves para o processo de controle.
Medidas de segurana adotadas no protocolo: a especificao do
protocolo no trata deste tipo de vulnerabilidade.
Comentrios: apesar de ser mais difcil de ser executado em uma rede
puramente serial, cuidados devem ser tomados quando ocorrer integrao
com redes Modbus TCP ou outras que utilizem a tecnologia Ethernet. Uma
boa prtica nesses casos manter uma vigilncia maior nos equipamentos de
interconexo das redes, pois estes sero os alvos de ataques deste tipo.
MODBUS TCP
Facilidade para realizar o ataque: mdia no caso em que o dispositivo
servidor no fornecer acesso remoto, pois o atacante precisar de uma
conexo fsica com a rede. Alta caso o servidor fornea o acesso remoto, pois
o atacante precisar apenas conhecer o endereo do dispositivo servidor para
comear o ataque.
Impacto no processo: alto, pois se o atacante conseguir inabilitar um
servidor, o processo como um todo poder ser comprometido.
Medidas de segurana adotadas no protocolo: no foram encontradas
informaes sobre este tipo de vulnerabilidade na especificao do protocolo.
Comentrios: este tipo de ataque de difcil preveno. Logo as aes
devem ser concentradas em realizar a deteco do ataque e na ttica que
ser utilizada quando um ataque for detectado. A especificao do Modbus
TCP no prope nenhum tipo de redundncia quanto aos dispositivos, e no
91
existe um mecanismo de troca automtica quando uma falha ocorre em uma
rede ou em um dispositivo, como encontrado no Foundation Fieldbus. Desta
forma, o analista de segurana dever atuar rapidamente quando um ataque
for detectado e procurar a fonte do ataque, caso esteja sendo realizado
atravs de um acesso remoto, o analista dever desabilitar esta
funcionalidade imediatamente. Caso parta de algum dispositivo conectado
rede interna a tarefa torna-se mais complicada, pois uma varredura fsica da
rede dever ser realizada.
92
Captulo 6 - Concluso
93
para o estabelecimento dos protocolos baseadas em TCP/IP. Quanto a isso dois
fatores devem ser considerados: o uso destes equipamentos aumentou o risco de
ataques s redes industriais, visto que j existem tcnicas e ferramentas disponveis
para realizao de ataques em redes deste tipo. Por outro lado tambm foi possvel
a utilizao de mecanismos de segurana construdos para redes Ethernet, como o
IDS SNORT.
Apesar das diferenas encontradas nas implementaes dos protocolos, os
problemas de segurana foram muito semelhantes em todos os casos. Os trs
protocolos ao oferecerem acesso remoto aos seus dispositivos esto expondo os
mesmos a um ataque do tipo Negao de Servio e Acesso No Autorizado.
Isso mostra a falta de preocupao com questes de segurana por parte dos
projetistas de protocolos industriais. Alm disso, os protocolos que mencionavam
questes relativas segurana em suas especificaes, o faziam como informativo
e deixavam a cargo do implementador a deciso de criar algum mecanismo que
pudesse tratar essas questes.
Como resultado, este trabalho apresentou uma anlise sobre questes de
segurana dos protocolos PROFIBUS, Fieldbus e Modbus, evidenciando as
vulnerabilidades a que cada um est sujeito e propondo boas prticas e mecanismos
para diminuir ou evitar que falhas na segurana ocorram.
A princpio a meta deste trabalho era estender o trabalho de [BARBOSA,
2006], fazendo uma anlise das questes de segurana dos trs protocolos e
criando regras para o sistema de deteco de intruso SNORT para os protocolos
Fieldbus e PROFIBUS. Entretanto, algumas dificuldades foram encontradas: a falta
de documentao aberta, visto que os documentos que contm as especificaes
dos protocolos Fieldbus e PROFIBUS so documentos pagos, a complexidade dos
protocolos, que aliada com o curto tempo para o desenvolvimento deste trabalho,
inviabilizou que as regras fossem criadas.
Desta forma, uma possibilidade de trabalho futuro consiste em aprofundar o
estudo nos protocolos Fieldbus e PROFIBUS, analisando como as mensagens so
formadas, identificando seus cdigos de funo com o objetivo de criar regras para
que o SNORT possa detectar possveis ataques na rede.
Cabe ressaltar que os ataques analisados para cada um dos protocolos no
constitui uma lista exaustiva. Um trabalho futuro consiste em ampliar a anlise para
diversos outros ataques conhecidos.
94
Outra possibilidade aplicar este modelo de anlise de segurana em outros
protocolos industriais e construir um mecanismo de anlise de risco para protocolos
industriais. A partir deste modelo, poderiam ser identificados os riscos a que cada
protocolo est exposto, sua facilidade de execuo, impactos no processo de
controle e medidas e contra-medidas a serem adotadas. Seria um primeiro passo
para criao de um padro para segurana em protocolos industriais.
[SANTOS, 2006] criou um ambiente de simulao que roda o protocolo
Modbus TCP. Este ambiente utilizado para testes das regras do IDS SNORT. Um
trabalho futuro consiste em ampliar este ambiente para que o mesmo suporte os
protocolos Fieldbus e PROFIBUS, sendo possvel realizao de testes das regras
criadas para estes protocolos. Alm disso, seria possvel a realizao de testes em
ambientes em que vrios protocolos rodem de forma integrada. A partir dos testes
realizados no ambiente virtual seria possvel melhorar a qualidade das regras,
diminuindo o nmero de falsos positivos gerados. Outra possibilidade seria a criao
de um sistema de deteco de intruso que pudesse tomar decises quando um
ataque fosse detectado, situao que no pode ser testada em um ambiente de
produo, pois as conseqncias podem ser graves.
95
Referncias Bibliogrficas
96
[8] PROFIBUS Descrio Tcnica 2006. Associao PROFIBUS. Disponvel
em: www.profibus.com.br. Acesso em: 20 fev. 2007.
97
[16] Foundation Fieldbus Technical Information. Samson. Disponvel em:
www.samson.de/pdf_en/l454en.pdf . Acesso em: 10 mar. 2007.
[17] IAN VERHAPPEN. High Speed Ethernet The Enterprise Integration
Enabler.
98
[25] The Foundation Fieldbus Primer Revision 1.1 Released June 4,
2001. Fieldbus Foundation. Disponvel em: www.fieldbus.org . Acesso em: 15
abr. 2007.
99