Embed Size (px)
Citation preview
Infraestrutura e segurança de redes Ethernet
Industriais – garantindo a integridade e
segurança dos dados
RSTechEd
Leandro Costa – Territory Account Manager
+55 11 97404-3244
1
SM
PANDUIT Confidential Information
• Fundada em 1955
• Presença Global
• 112 Países com Operação
• +5.000 Funcionários
• 8–10% investidos em Pesquisa/Desenv.
• 30% vendas de produtos introduzidos nos ultimos 5 anos
• Foco em Solucões
Automação Industrial
Data Centers
Edíficios Conectados
Visão Geral PANDUIT
PANDUIT é uma empresa que desenvolve e fornece soluções de ponta, que
ajudam nossos clientes a otimizar a infraestrutura física e de mitigar o risco
através da simplificação, incrementando agilidade e eficiência operacional.
Mensagem Chave Aliança Estratégica
(Confidential) Copyright © 2013 Rockwell
Automation, Inc., Panduit All rights reserved.
Colaboração efetiva entre TI e Manufatura, desde o projeto inicial até a manutenção e
operações por toda a empresa, com a Infraestrutura Física Unificada da Panduit (UPI) e
abordagem da Arquiteturas de ReferênciaRockwell Automation / Cisco
Soluções de infra-estrutura física otimizadas para as tecnologias da Rockwell Automation
que ajudam a reduzir o tempo de implantação e custo total de propriedade mais baixo
Soluções integradas, arquiteturas e serviços através de uma melhor otimização de ativos e
gerenciamento de risco mais ampla
Agenda
4
Desafios em Segurança
Redes Industriais
Protocolos & Segurança
Arquiteturas Seguras
Como aplicar
Redes Industriais
Protocolos & Segurança
Arquiteturas Seguras
Como aplicar
Tendências em Segurança de redes industriais Problemas reportados ultimamente
5
Ações
involuntárias dos
colaboradores
Roubos
Ações não autorizadas a
funcionários
Acesso não
autorizado
Negação de
Serviços
Aplicação de
patches de
segurança
Acesso Remoto
não autorizado
Desastres Naturais ou
causados pelo homem
Sabotagem
Worms e vírus
Fundamentals of Securing EtherNet/IP Networks
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Riscos de Segurança não mapeados aumentam o potencial de
perturbar a disponibilidade e segurança dos sistemas de controle
“Você pode utilizar o mais avançado software de segurança do mercado,
segmentar sua rede de maneira mais precisa possível, mas se você negligenciar
o aspecto físico da segurança de rede, você nunca estará totalmente seguro”
Industrial IP Advantage, www.industrial-ip.org
“Cerca de 80% de todos os eventos são atribuídos a erros humanos. Em
alguns casos esse número chega a 90%. Aproximadamente 20 % das ocorrências
envolvem falhas de equipamentos. Quando os 80 % dos erros humanos são
análisados, os números revelam que a maioria dos erros associados aos
eventos nascem de fragilidades organizacionais, onde cerca de 30 % são
causados por funcionários manuseando o equipmento e sistemas na planta.
Claramente, focar esforços na redução do erro humano irá reduzir as ocorrências e
eventos”
2007 US Department of Energy Human Performance Handbook
Unified Physical Infrastructure
10
Soluções Industriais Panduit
IN-Route
IN-Field
IN-Panel
IN-Room
IN-Frastructure
Sistemas de Cobre
Sistemas de Aterramento
Organização do Cabeamento
Redes Gerenciáveis
Cabos e Acessórios De Amarração
Identificação
Cabeamento de rede Por Zona
Sistemas de Roteamento de Fibra
Sistemas de Fibra
Racks e Gabinetes
Unified Physical Infrastructure
11
RA/Cisco:
Ethernet-to-the-
Factory Design and
Implementation
Guide
Panduit preechendo a Lacuna
ODVA:
Media
Planning and
Installation
Manual
ODVA:
Network
Infrastructure for
Ethernet/IP
Introduction and
Consideration
Panduit:
Physical
Infrastructure
Reference
Architecture
Mapeia a “Visão Lógica”
para a “Visão Física”
Unified Physical Infrastructure
12
Desenho de rede Lógica para Física
Unified Physical Infrastructure
13
Agenda
13
Security Challenges
Redes Industriais
Protocols & Security
Secure Architectures
How to Deploy
Modelo OSI
• O Modelo de referência de sistemas abertos (Open Systems Interconnection Reference Model – Modelo ou referência OSI) é uma descrição abstrata para projetos de rede de computadores e protocolos para comunicação em camadas.
• O Modelo OSI apresenta sete camadas usadas em troca de mensagens de rede e descreve funcionalidades específicas
− Layer 1 – Physical media,
− Layer 2 – MAC Addresses,
− Layer 3 – IP Addresses ,
− Layer 4 – TCP / UDP,
− Layer 5 – SQL,
− Layer 6 – JPEG,
− Layer 7 – HTTP
2
3
4
5
6
7
1
O Modelo de Referência
15
Níveis e Camadas
Juntado as Peças
– Camada 3 (OSI)
Switches de
Distribuição
(Campus Network)
– Camada 2 (OSI)
Switches de Acesso
(Campus Network)
Nível 0 (Purdue Reference Model) dispositivos
Blue Square = Switch = Layer 2 (OSI) functionality
17
O que uma rede industrial faz?
• Historiador –
amrmazena &
encaminha dados
• Controle de Qualidade
• Gerenciamento e
Distribuição de receitas
• IHM
• Manter as conexões
reguladores
Derrubar a rede
derruba o processo
Tendências de Segurança em Redes Industriais Desafios de Negócios
• Proteção de pessoas, ativos e propriedade intelectual (IP) contra ações não intencionais ou uma ações nocivas
• Paradas – Sistemas de Controle de Produção
• Perda de Dados – produção, agendamento, rastreabilidade e
padrões de qualidade
• Perda de tempo para o mercado ou
perda de confiabilidade
• Incidentes Físicos
– Perda de ativos físicos
– Acidentes pessoais ou perda de vidas
18
Fundamentals of Securing EtherNet/IP Networks
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Os riscos potenciais de aplicações industriais podem ser
devastadores
Agenda
19
Security Challenges
Plant Networks
Protocolos & Segurança
Secure Architectures
How to Deploy
Protocolos de Redes Industriais passado e futuro
20
EtherNet/IP – Habilitando e Direcionando a Convergência de Controle e Informação
Modelo de Rede Industrial Converged Plantwide EtherNet/IP
Corporate Network
Sensors and other Input/Output Devices
Motors, Drives Actuators
Supervisory Control
Robotics
Back-Office Mainframes and Servers (ERP, MES, etc.)
Office Applications, Internetworking, Data Servers, Storage
Human Machine Interface (HMI)
Safety Controller
Modelo de rede IndustrialTradicional – 3 Tier
Corporate Network
Sensors and other Input/Output Devices
Controller
Motors, Drives Actuators
Robotics
Back-Office Mainframes and Servers (ERP, MES, etc.)
Office Applications, Internetworking, Data Servers, Storage
Control Network Gateway
Human Machine Interface (HMI)
Supervisory Control
Camera
Phone
Industrial Network Industrial Network
Safety I/O
I/O
Controller
Roadmap
Por que estamos vendo tanto a Ethernet como parte
do Sistema de Controle?
21
• Preste muita atenção onde o
switch está localizado na sua
rede.
• Se o Switch está sendo usado
como um uplink ou conexão
entre a rede corporativa e os
Sistema de Controle essa é uma
técnica de configuração antiga.
Sensor
Drive
I/O
Plant Ethernet
Controller
Switch
Ethernet
Control or DeviceNet
Roadmap
Por que estamos vendo tanto a Ethernet como parte
do Sistema de Controle?
22
• Se o Switch está sendo usado
como uma conexão entre o
controlador e os dispositivos,
essa é uma “Nova”técnica de
configuração
• Agora o switch pode ser usado
com prioridades de controle
(QoS) e determinar conectividade
de rede tais como VLANs
• Torna-se fundamental que o
Switch esteja profundamente
integrado no próprio sistema de
controle!
Sensor
Drive
I/O
Plant Ethernet
Controller
Switch
Ethernet
Padrão Ethernet e Segurança
• Benefícios da Segurança Ethernet
– Autenticação do controle e acesso
– VLANs
– VPN
• Industrial IP Advantage
– Ethernet Padrão, não modificada
– Usa o mesmo protocolo internet corporativo para a fábrica
– Usa switches padrão, mais escaláveis, conjuntos de habilidades comuns
– Sem gateways ou dispositivos especiais
• Ethernet Modificada
– Hardware especial necessário
– Os equipamentos de segurança modificados não pode ser mantida tão facilmente
como não modificada para acompanhar a evolução das ameaças
23
EtherNet/IP Advantage
• ODVA
– Prioridades definidas QoS para dispositivos EtherNet/IP de Automação Industrial e
Sistemas de controle Established – 300+ Vendors, over 4,500,000 nodes
– Suportado - Todos os produtos Ethernet / IP requerem testes de conformidade
• Amigável ao TI- Standard Ethernet and TCP/IP Protocol Suite
• Serviços de Segmentação de rede padrão para camadas 2 e 3 - VLANs
– Prioridades – QoS
– Gerenciamento MultiCast - IGMP
• Pronto para o Futuro – Sustentável
– Padrões Industriais como IEEE e IETF
24
Fundamentals of Securing EtherNet/IP Networks
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
www.industrial-ip.org
Agenda
25
Security Challenges
Plant Networks
Protocols & Security
Arquiteturas Seguras
How to Deploy
Roadmap
Arquitetura de Referência
26
… não é nada mais do que
uma série de exemplos ou de
um modelo apresentado de
tal forma a dar ao usuário
uma visão geral de como a
coisa é feita para uma
determinada aplicação.
Start
Roadmap
O que é uma Arquitetura de Referência para
Automação Industrial
27
• Uma estrutura que descreve as relações entre
os componentes.
• Um conjunto de princípios para orientar o
projeto.
• Um exemplo para os usuários em
como Implantar.
Central Computer
Management
Level Local Control
System
Sensors
Analyzers
Field
Devices
Control
Computers
Operator
Station
Server
DMZ
Server
Enterprise
Control
Level
Process
Control
Level
Field Level
Industrial
Ethernet
Control
Network
Device
Network
Office
Ethernet
Roadmap
Zona de Equip.
Zona Fabril
Zona
Desmilitarizada
Zona
Corporativa
Componentes de uma rede Industrial
28
Zona de
Células e
Áreas
Segurança de Rede (firewall)
Rede Corporativa Level 5
Planejamento de Negócios e
Logística Level 4
Operação e Controle
da Planta Industrial Level 3
Controle da Área Level 2
Controle Básico Level 1
Processo Level 0
Equipamentos Críticos e
Segurança Pessoal
Rockwell Model Purdue Reference Model
Roadmap
De-Militarized Zone (DMZ)
Enterprise Zone (EZ)
De-Militarized Zone (DMZ)
Manufacturing Zone
Manufacturing Zone
Cell/Area Zone
FIREWAL
L
(ACTIVE)
FIREWAL
L
(STANDB
Y)
GE Link for
Failover
Detection
LAYER
3
ROUTE
R
LAYER
3
ROUTE
R
LAYER
3
SWITC
H
LAYER
3
SWITC
H
(Redundant Star
Topology) (Ring Topology) (Bus/Star Topology)
Rockwell/Cisco RA
29
Segurança de Rede (firewall)
Rede Corporativa Level 5
Planejamento de Negócios e
Logística Level 4
Operação e Controle
da Planta Industrial Level 3
Controle da Área Level 2
Controle Básico Level 1
Processo Level 0
Equipamentos Críticos e
Segurança Pessoal Zona de Equip.
Zona Fabril
Zona
Desmilitarizada
Zona
Corporativa
Zona de
Células e
Áreas
Roadmap IN
-Fra
stru
ctu
re
IN-P
anel
IN-R
oom
IN-F
ield
IN
-Route
Rockwell/Cisco RA
30
De-Militarized Zone (DMZ)
Enterprise Zone (EZ)
De-Militarized Zone (DMZ)
Manufacturing Zone
Manufacturing Zone
Cell/Area Zone
FIREWALL
(ACTIVE)
FIREWALL
(STANDBY)
GE Link for
Failover
Detection
LAYER 3
ROUTER
LAYER 3
ROUTER
LAYER 3
SWITCH LAYER 3
SWITCH
(Redundant Star
Topology) (Ring Topology) (Bus/Star Topology)
Muita sobreposição para
obter uma discussão útil
sobre Infra-estrutura
Roadmap
IN-Solution (Reference Guide)
31
IN-Frastructure
Enterprise Zone
IN-Room
L3R L3R
L3S L3S PaS
DB
Manufacturing Zone
FWA FWB
DMZ
Cell/Area
Zones
HM
I D
RIV
E
L2S
L2S
CT
RLR
D
IST
i/O
L2S
L2S
IN-Panel
IN-Route
Zone
Enclosure
Zone
Enclosure
IN-Field
Defesa em Profundidade Segurança de Rede
• Segurança não é um componente
de aparafusamento
• Modelo de segurança de Defesa
da Rede abrangente e em
Profundidade
• Política de Segurança Industrial
• Implementação de DMZ
• Conceber Política de Acesso
remoto do Parceiro, com
implementação robusta e segura
32
Serviços de Segurança de Rede Não Devem comprometer as Operações das Células e Áreas fabris
Fundamentals of Securing EtherNet/IP Networks
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
SM
Segurança em Profundidade Zona Desmilitarizada (DMZ)
• Todo o tráfego de rede a partir de qualquer lado da DMZ termina na DMZ; tráfego de rede não atravessar diretamente a DMZ
• Espelho dos Dados de Aplicação
• Serviços primários não são armazenados no
DMZ
• DMZ não deve armazenar dados
permanentemente
• Não a controle de dados CIP no DMZ
• Está preparado para “derrubar” acesso via firewall
33
Fundamentals of Securing EtherNet/IP Networks Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
No Direct Traffic
Enterprise Security
Zone
Industrial Security
Zone
Disconnect Point
Disconnect Point
DMZ Replicated Services
Agenda
34
Security Challenges
Plant Networks
Protocols & Security
Secure Architectures
Como Aplicar
35
Redes Ethernet recentes
Distribuição de Switchs
Internet
ERP
MES
HMI
? ?
36
Segmentação de redes VLAN
• Os dados só são encaminhados para portas dentro da mesma VLAN
– Dispositivos dentro de cada VLAN só podem comunicar-se com outros dispositivos na mesma VLAN
• Segmenta o tráfego para restringir
a transmissão indesejada e tráfego
multicast
• Fácil de implementar fisicamente!!
• Proteção contra vírus muito
limitado, sem inspeção de pacotes
entre VLANs
• QoS e gerenciamento de
prioridades
• Riscos Cross-Patch / uso porta
errada
ERP
MES
HMI
Enterprise
MES
Control
Security
Internet
Segmentação Virtual Local Area Networks - VLANs
• Layer 2 VLAN trunking – Independente da localização do
switch
– Agrupa Logicamente ativos por tipo, função, área lógica, área física ou essas soluções híbridas
– Os dispositivos comunicam como se estivessem no mesmo segmento físico
37
Networking Best Practices for Real-Time EtherNet/IP Performance
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
= VLAN 42 – Scanners/Cameras
= VLAN 102 – EtherNet/IP Device
= VLAN 10 - VoIP
Drive
Controller HMI
= VLAN 42 – Scanners/Cameras
= VLAN 102 – EtherNet/IP Device
= VLAN 10 - VoIP
Drive
Controller HMI
Switch Layer 3
• Software configurável usando switches gerenciáveis
• Um Dispositivo Layer 3 (Router ou switch) é necessário
Segmentação Virtual Local Area Networks - VLANs
• Inter-VLAN routing
– Switch camada 3 ou roteador
• Blocos Nível 2 menores
• Redes Isoladas com controladores multiplos (ODVA)
– Examplos:
• Únicas células , Únicas Linhas, Diferentes Máquinas
Networking Best Practices for Real-Time EtherNet/IP Performance
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Controller
VFD Drive
HMI
I/O I/O
Servo Drive
Controller
VFD Drive
HMI
I/O
I/O
Servo Drive
Stratix 8300
38
VLAN 17
Subnet 10.17.10.0/24
VLAN 10
Subnet 10.10.10.0/24
ESCRITÓRIO
Sala de Controle
AMBIENTE FÁBRIL
39
Distribuição Física CPwE :
– Descrição
• Dentro da sala
de controle
• No chão de
fábrica
• Wireless?
– Benefícios
– Custos
HMI
Internet
DMZ
MES
ERP
email ?
ERP/QC
PLANT ENVIRONMENT Sala De
Controle
DMZ
ENT
MFG
40
Métodos de implantação física CPwE Infra-estrutura compartilhada entre o Corporativo & Industrial
HMI
Internet
Atenção
‒ Esclareça quais Switchs
pertencem a qual lado do DMZ
‒ Identificar claramente objetivo e a
finalidade de cada dispositivo ou
porta
‒ Entenda o que o gabinete apoia
e quem pode acessar
CONTROL
ROOM Internet
DMZ
ENT
MFG
PLANT ENVIRONMENT
41
CPwE Physical Deployment Methods Separate Logical, Separate Physical
Link Permanente testado de acordo com a TIA 1005
42
1606-
XL
Allen
Bradley Stratix 8000
CPP12W
B
CPP12W
L
LayOut de cabeamento por Zonas
43
TR
Centralized Cabling – Home runs from
each node back to the
telecommunication room.
TR
Z
Z
Z
Zone Cabling – Provides for reduced
home-run wiring, easy moves / adds /
changes and reduced size of
telecommunication room
Soluções para Panel de Controle
Reduz riscos da Interferêcias EM,
economiza espaço e otimiza
conectividade EtherNet/IP
Simplificando a infraestrutura de
rede desde a área corporativa
até o chão-de-fábrica
Network Zone Enclosure
Building Block para
distribuição de rede robusta,
segura e escalonável
Micro Data Center
Building Block para
convergência corporativa e de
chão-de-fábrica
Building Blocks Considerações sobre design da Camada Física
Distribuição da Arquitetura de Referência & Building Blocks validados para Agilizar Instalação e Reduzir Riscos
Panduit Industrial Automation
5 Grupos de Soluções
IN-ROOMTM
Sala de Controle, Data
Center, Telco
IN-PANELTM
Control Panels, Electrical
Panels and MCC
IN-FIELDTM
On the Machine, In the
Process Area, or Outdoors
IN-FRASTRUCTURETM
Power Distribution, Lighting,
HVAC Security, Safety
IN-ROUTETM
Industrial Pathways, Network
Zone Enclosures
Zone Plant Level Control Panel On-Machine
Panduit Building Blocks
Um mapa para expandir a venda de Stratix com soluões otimizadas
Resultados da aplicação da solução
IN-Room
• Uso de sofisticadas tecnologias
para switches de chão-de-
fábrica
• Consolidação de funções Data
Center em um pequeno
dispositivo
• Organização das topologias
das zonas de manufatura
• Design para alta
disponibilidade
• Construído para segurança
Física
47
Zone Enclosures
• Gabinete Industrial para
distribuição de Switch
– UL Type 4/12, IP66
– 3 tamanhos
• Gerenciamento dos cabos – Cobre\ Fibra
• Patching – Teste e Diagnósticos
– Flexibilidade
• Segurança – Identificação
– Separação de equipamentos
de alta tensão
Room for UPS
Wire
management
Patching test
points
Indoor
• Indoor Opti-Core
Fiber
• Indoor Opti-Core
Interlocking Armor
• Indoor Industrial-Net
(PCF) Polymer Clad
Fiber
• Indoor All-Dielectric
Armored Fiber (DCF)
Dielectric Clad Fiber
Entendendo Fibra Ótica
Usado quando
existe proteção
suficiente para a
fibra
Usado quando a
própria fibra se
protege
**NOVO**
Electrician Friendly
crimpagem do
conector para
aplicação ponto a
ponto
**Novo** Todo benefício
da fibra armada sem o
metal. Use a área
suspeita de potenciais
desiguais
Conectividade de fibra rápida e confiável
OptiCam Connectors
• Conectorização de campo simples
e rápida
• Conectores reutilizáveis
• Ferramenta oferece sistema de
teste visual para conexões
• Reduz Custos de Terminação em
Campo
Ampie a segurança de rede física
Segurança de rede física
• Soluções Chaveadas de
Cobre e Fibra (LC)
• Bloqueio de remoção e uso
de conexões RL45
• Portas USB-A, B e C
Now 8 shielded keys + VL and IG
Panduit Keyed Copper Solution
Dúvidas?
54
