O padrão OPC a partir da visão de usuário

Foco Cliente OPC − Parte 01

OPC para iniciantes
como eu
Carlos Henrique de Morais Bomfim

Departamento de Engenharia Eletrônica (DELT)

Escola de Engenharia da UFMG
e-mail: cbomfimufmg@gmail.com

Revisão: 05 de Março de 2018

Autor Carlos Henrique de Morais Bomfim 1 de 16

Conteúdo

Uma implementação de segurança cibernética

Autor Carlos Henrique de Morais Bomfim 2 de 16

 I Arquitetura sugerida para sistema de automação integrado à
rede corporativa.
I Esta arquitetura será usada como referência para construção
das regras do firewall.

Autor Carlos Henrique de Morais Bomfim 3 de 16

Autor Carlos Henrique de Morais Bomfim 4 de 16
A
rquitetura usada para o teste em sala de aula.
Cliente e servidor OPC instalados em máquinas virtuais com placa
de rede em modo bridge.

Autor Carlos Henrique de Morais Bomfim 5 de 16

Definição das regras - premissas
I Regras serão definidas segundo recomendação dos slides
anteriores
I Lembrar a seqüencia de passos necessários para
estabelecimento da comunicação OPC
I Usar endereços IP fixos para todas as máquinas envolvidas na
comunicação

Autor Carlos Henrique de Morais Bomfim 6 de 16

Observação da comunicação OPC
Seqüencia de uso de portas no OPC - DCOM

Table: Início de comunicação OPC

Origem Porta de Destino Porta de
Origem Destino
192.168.12.11 49202 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49202
192.168.12.11 49202 192.168.20.22 135
192.168.12.11 49202 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49202
192.168.12.11 49202 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49202
192.168.12.11 49203 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49203
192.168.12.11 49203 192.168.20.22 135
192.168.12.11 49203 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49203
192.168.12.11 49203 192.168.20.22 135
Autor Carlos Henrique de Morais Bomfim 7 de 16
Observação da comunicação OPC
Seqüencia de uso de portas no OPC - DCOM

Table: Início de comunicação OPC

Origem Porta de Destino Porta de
Origem Destino
192.168.12.11 49203 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49203
192.168.12.11 49202 192.168.20.22 135
192.168.20.22 135 192.168.12.11 49203
192.168.12.11 49204 192.168.20.22 49258
192.168.20.22 49258 192.168.12.11 49204
192.168.12.11 49204 192.168.20.22 49258
192.168.12.11 49204 192.168.20.22 49258
192.168.20.22 49258 192.168.12.11 49204
192.168.12.11 49204 192.168.20.22 49258
192.168.12.11 49204 192.168.20.22 49258
192.168.20.22 49258 192.168.12.11 49204
Autor Carlos Henrique de Morais Bomfim 8 de 16
Observação da comunicação OPC
Seqüencia de uso de portas no OPC - DCOM

Table: Início de comunicação OPC

Origem Porta de Destino Porta de
Origem Destino
192.168.20.22 49258 192.168.12.11 49204
192.168.12.11 49206 192.168.20.22 49258
192.168.20.22 49258 192.168.12.11 49206
192.168.12.11 49206 192.168.20.22 49258
192.168.12.11 49206 192.168.20.22 49258
192.168.20.22 49258 192.168.12.11 49206
192.168.12.11 49206 192.168.20.22 49258
192.168.12.11 49206 192.168.20.22 49258
192.168.20.22 49258 192.168.12.11 49206
192.168.20.22 49258 192.168.12.11 49206

Autor Carlos Henrique de Morais Bomfim 9 de 16

Regras implementadas I
1 ################################################################################
2 #E s t e s c r i p t f u n c i o n o u no R a s p b e r r y P I 2 2 7 / 0 5 / 2 0 1 8

#
3 # A u t o r : C a r l o s H e n r i q u e de M o r a i s Bomfim − E−m a i l :
c a r l o s . m o r a i s 1 6 @ y a h o o . com

#
4 #T e s t e do OPC f o i e x e c u t a d o com m á q u i n a s virtuais

#
5 #U t i l i z a d o os pacotes Conntrack e Recent

#
6 #_______________________________________________________________________________
#
7 #S c r i p t FW−OPC−DCOM | Rev : 0 | Data : 2 7 / 0 5 / 2 0 1 8 | Resp : C a r l o s
Bomfim

#
8 #___________________
|_________|________________|_______________________________________________
#
9 ################################################################################
10 ### Começa a q u i
11 #
12 # a j u s t a a p o l í t i c a do r o t e a d o r p a r a d r o p − p r o i b e t u d o
13 #
14 s u d o i p t a b l e s −P FORWARD DROP
15 #
16 # c r i a uma f i l a de c o m u n i c a ç ã o b l o q u e a d a
17 #
Autor Carlos Henrique de Morais Bomfim 10 de 16
Regras implementadas II
18 s u d o i p t a b l e s −N LOGGING
19 #
20 # c r i a a l i s t a de n ó s que s e c o m u n i c a r a m
21 #
22 s u d o i p t a b l e s −N CNX−OPC
23 #
24 # para l o g a r toda comunicação descomente e s t a l i n h a a s e g u i r
25 s u d o i p t a b l e s −A FORWARD − j LOG −−l o g −p r e f i x " i p t a b l e s _ t e s t e : "
26 #
27 # a c e i t a o p e d i d o e poe o nó na t a b e l a
28 #
29 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 1 2 . 1 1 −d 1 9 2 . 1 6 8 . 2 0 . 2 2 −p t c p
−−d p o r t 135 −m c o n n t r a c k −−c t s t a t e NEW −m r e c e n t −−s e t −−r d e s t
−−name CNX−OPC − j ACCEPT
30 #
31 # v ê s e o nó e s t á na t a b e l a e a c e i t a o p e d i d o
32 #
33 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 1 2 . 1 1 −d 1 9 2 . 1 6 8 . 2 0 . 2 2 −p t c p −m
r e c e n t −−r c h e c k −−s e c o n d s 60 −−name CNX−OPC − j ACCEPT
34 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 1 2 . 1 1 −d 1 9 2 . 1 6 8 . 2 0 . 2 2 −p t c p
−−d p o r t 135 −m c o n n t r a c k −−c t s t a t e ESTABLISHED −m r e c e n t −−s e t
−−name CNX−OPC − j ACCEPT
35 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 1 2 . 1 1 −d 1 9 2 . 1 6 8 . 2 0 . 2 2 −p t c p
−−d p o r t 135 −m c o n n t r a c k −−c t s t a t e RELATED −m r e c e n t −−s e t −−name
CNX−OPC − j ACCEPT
36 #
37 #s e j á c o m u n i c o u a c e i t a o s p a c o t e s e r o t e i a
38 #
39 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 1 2 . 1 1 −d 1 9 2 . 1 6 8 . 2 0 . 2 2 −m c o n n t r a c k
−−c t s t a t e ESTABLISHED − j ACCEPT
40 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 1 2 . 1 1 −d 1 9 2 . 1 6 8 . 2 0 . 2 2 −m c o n n t r a c k
−−c t s t a t e RELATED − j ACCEPT

Autor Carlos Henrique de Morais Bomfim 11 de 16

Regras implementadas III
41 #
42 # a r e g r a a b a i x o c o l o c a o s e r v i d o r na l i s t a quando e l e r e s p o n d e na
p o r t a 135 do c l i e n t e , no i n í c i o da c o n v e r s a .
43 # a i n d a t e s t a n d o p a r a v e r s e tem o u t r o j e i t o . No C i s c o p a r e c e que
f u n c i o n a a s s i m j á que a s r e g r a s s ã o e s p e l h a d a s
44 # do c l i e n t e p a r a o s e r v i d o r e do s e r v i d o r p a r a o c l i e n t e
45 #
46 # a r e g r a a b a i x o p e r m i t e que o s e r v i d o r i n i c i e a c o n v e r s a
47 #
48 #s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −p t c p
−−d p o r t 135 −m c o n n t r a c k −−c t s t a t e NEW −m r e c e n t −−s e t −−name
CNX−OPC − j ACCEPT
49 #
50 # v ê s e o nó e s t á na t a b e l a e a c e i t a o p e d i d o .
51 #O tempo d e v e s e r a j u s t a d o na i n s t a l a ç ã o . Depende d o s te m po s que o
s e r v i d o r e c l i e n t e gastarem para responder .
52 #
53 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −p t c p −m
r e c e n t −−r c h e c k −−s e c o n d s 60 −−name CNX−OPC − j ACCEPT
54 #
55 #s e j á c o m u n i c o u a c e i t a o s p a c o t e s a c e i t a o p e d i d o e poe o nó na t a b e l a
56 #
57 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −p t c p −m
r e c e n t −−r c h e c k −−s e c o n d s 60 −−name CNX−OPC − j ACCEPT
58 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −p t c p
−−d p o r t 135 −m c o n n t r a c k −−c t s t a t e ESTABLISHED − j ACCEPT
59 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −p t c p
−−d p o r t 135 −m c o n n t r a c k −−c t s t a t e RELATED − j ACCEPT
60 #
61 #s e j á c o m u n i c o u a c e i t a o s p a c o t e s na p o r t a ou s e r e l a c i o n a a
comunicação e x i s t e n t e
62 #

Autor Carlos Henrique de Morais Bomfim 12 de 16

Regras implementadas IV

63 sudo i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −m c o n n t r a c k
−−c t s t a t e ESTABLISHED − j ACCEPT
64 s u d o i p t a b l e s −A FORWARD −s 1 9 2 . 1 6 8 . 2 0 . 2 2 −d 1 9 2 . 1 6 8 . 1 2 . 1 1 −m c o n n t r a c k
−−c t s t a t e RELATED − j ACCEPT
65 #
66 #t r a n s f e r e a s m e n s a g e n s p a r a o u t r a f i l a l o g a r o s d e s c a r t a d o s e b l o q u e a r
m e n s a g e n s não p e r m i t i d a s
67 s u d o i p t a b l e s −A FORWARD − j LOGGING
68 s u d o i p t a b l e s −A LOGGING − j LOG −−l o g −p r e f i x " i p t a b l e s _ t e s t e :
{DROPPED}" −−l o g −l e v e l 4
69 s u d o i p t a b l e s −A LOGGING − j DROP
70 ################################################################################
71 # A u t o r : C a r l o s H e n r i q u e de M o r a i s Bomfim − E−m a i l :
c a r l o s . m o r a i s 1 6 @ y a h o o . com

#
72 #F i n a l do s c r i p t

#
73 #U t i l i z a d o os pacotes Conntrack e Recent

#
74 ################################################################################

Autor Carlos Henrique de Morais Bomfim 13 de 16

Teste das regras

Tentativas de acesso feitas

I ping : não funciona. IMCP não permitido
I compartilhamento de arquivos: não funciona por não ser
permitido
I acesso a área de trabalho remota do Windows: não funciona
por não ser permitido
I FTP: não funciona por não ser permitido
I outras aplicações que não DCOM: : não funcionam por não
serem permitidas ( ainda não totalmente verificado)

Autor Carlos Henrique de Morais Bomfim 14 de 16

Acesso pelo fornecedor do sistema

Acesso de engenharia
I Software de engenharia na estação do fornecedor
I Comunicação deve ser feita direto com os PLCs, controladores ou RTUs, na rede dos
dispositivos
I Opção 1: criar um canal seguro até a rede dos dispositivos: prós e contras
I Opção 2: criar uma conexão direta, usando canal seguro, com conexão restrita até o
dispositivo onde será feito o trabalhos: prós e contras

I Software de engenharia na estação do cliente

I Comunicação deve ser feita para acesso à estação de engenharia local na rede dos
dispositivos
I Opção 1: criar um canal seguro até uma estação na rede corporativa e desta estação
acessar via acesso remoto a estação de engenharia do cliente instalada na rede dos
dispositivos: prós e contras
I Opção 2: criar um canal seguro até a estação de engenharia do cliente instalada na rede
dos dispositivos: prós e contras

I outras soluções

Autor Carlos Henrique de Morais Bomfim 15 de 16

Discussão e conclusão

I Modelo apresentado passou nos testes feitos: é suficiente? O

que precisaria ser feito a mais?
I Firewall tipo caixa preta versus Linux+IPtables : qual escolher
I Sistema aberto versus segurança cibernética: mais que um
firewall!
I Administração com o sistema instalado em vários e distantes
locais
I Contribuições adicionais

Autor Carlos Henrique de Morais Bomfim 16 de 16