Ed53 Fasc Automacao Subestacoes CapVI
5
72 O Setor Elétrico / Junho de 2010 Apoio Automação de subestações Equipe de engenharia da Schweitzer Engineering Laboratories (SEL) Capítulo VI Segurança em redes de computadores aplicadas a subestações de energia elétrica Até a década de 1990, os equipamentos de automação e proteção de subestações, que já tinham se tornado microprocessados, ainda estavam fora das redes de computadores e compunham soluções isoladas, sem conexão física com a rede mundial. As concepções de segurança estavam limitadas a isolar estes equipamentos em salas climatizadas, em que o acesso era restrito às pessoas autorizadas; preservação contra incêndios, etc. Contendo as invasões físicas, o sistema estava protegido e em condições adequadas de segurança. Existem dois conceitos básicos de segurança que podemos nos servir da língua inglesa para melhor defini- los: Safety – São os conceitos aplicados à segurança das pessoas. Iniciativas são tomadas para mitigar situações de risco que podem ferir o ser humano ou, de forma mais geral, o meio ambiente. Existem normas mundiais que disciplinam esta matéria, sendo que a IEC 61508 e a IEC 61511 são as mais conhecidas. Security – São conceitos aplicados à segurança dos ativos de uma empresa. As instalações, os equipamentos, os negócios, os faturamentos e os lucros. Para este caso, podemos citar a norma IEC 62351. A consequência de invasões em uma rede de computadores de uma empresa de energia elétrica está mais ligada ao conceito de “security”. Apesar de a segurança das pessoas também estar exposta ao risco, este artigo está focado na segurança dos ativos das empresas e na continuidade de fornecimento de energia elétrica, preservando os requisitos de qualidade definidos pela Agência Nacional de Energia Elétrica (Aneel). Com o crescimento exponencial da utilização da tecnologia TCP/IP e internet no mundo moderno, a automação de subestações não ficou imune. Hoje, os novos projetos adotam TCP/IP de forma ampla, total e irrestrita. É evidente que os problemas de segurança em redes de computadores passaram a integrar as preocupações dos profissionais de tecnologia de automação, conhecida como TA. Neste contexto, foi adotada a terminologia “invasão ou ataque eletrônico“ (no contexto de TI é conhecido como “invasão ou ataque cibernético”). As ameaças de invasão por meios eletrônicos estão aumentando por diversos fatores sociais, políticos e tecnológicos. Nos dias atuais, existem vários fatores que contribuem para o aumento de nossas preocupações: • De mainframes e protocolos proprietários, passamos para redes distribuídas e protocolos abertos. Interligação de redes originalmente isoladas por meio destes protocolos; • Pressão na indústria pela automatização e corte de custos para manter margem de lucros; • Legislação Nacional, Operador Nacional do Sistema (ONS) e Agência Nacional de Energia Elétrica (Aneel). O consumidor tem o direito de acessar dados das concessionárias de serviço públicos (servidores Web); • Aumento da capacidade e complexidade do Sistema Interligado Nacional (SIN), de geração e transmissão de energia. Paradoxalmente, aumenta sua fragilidade; • Aumento vertiginoso da interconectividade a sites remotos por meio de modems discados ou internet; • Instabilidade no mercado de trabalho nas empresas de energia, causados pela competição e desregulamentação; • Aumento de incidentes – China, Google e Intel; • Rápido aumento da população com habilidades e conhecimentos consistentes em redes de computadores; • Disseminação de literatura e ferramentas de hackers pela
-
Upload
aline-luiza-lima-leite -
Category
Documents
-
view
11 -
download
1
description
automacao
Transcript of Ed53 Fasc Automacao Subestacoes CapVI
-
72
O Setor Eltrico / Junho de 2010
Apo
io
Automao de subestaes
Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)
Captulo VI
Segurana em redes de computadores aplicadas a subestaes de energia eltrica
At a dcada de 1990, os equipamentos de
automaoeproteodesubestaes,quej tinhamse
tornadomicroprocessados,aindaestavamforadas redes
decomputadores e compunhamsolues isoladas, sem
conexo fsica com a redemundial.As concepes de
seguranaestavamlimitadasa isolarestesequipamentos
em salas climatizadas, em que o acesso era restrito s
pessoas autorizadas; preservao contra incndios, etc.
Contendoasinvasesfsicas,osistemaestavaprotegidoe
emcondiesadequadasdesegurana.
Existem dois conceitos bsicos de segurana que
podemosnosservirdalnguainglesaparamelhordefini-
los:
Safety So os conceitos aplicados segurana das
pessoas.Iniciativassotomadasparamitigarsituaesde
riscoquepodem feriro serhumanoou,de formamais
geral, o meio ambiente. Existem normas mundiais que
disciplinamestamatria,sendoqueaIEC61508eaIEC
61511soasmaisconhecidas.
Security So conceitos aplicados segurana dos
ativosdeumaempresa.Asinstalaes,osequipamentos,
osnegcios,osfaturamentoseoslucros.Paraestecaso,
podemoscitaranormaIEC62351.
A consequncia de invases em uma rede de
computadores de uma empresa de energia eltrica
estmais ligada ao conceitode security.Apesarde a
seguranadaspessoastambmestarexpostaaorisco,este
artigoestfocadonaseguranadosativosdasempresas
e na continuidade de fornecimento de energia eltrica,
preservando os requisitos de qualidade definidos pela
AgnciaNacionaldeEnergiaEltrica(Aneel).
Comocrescimentoexponencialdautilizaoda
tecnologia TCP/IP e internet no mundo moderno, a
automaodesubestaesnoficouimune.Hoje,os
novosprojetosadotamTCP/IPdeformaampla,totale
irrestrita.
evidentequeosproblemasdeseguranaemredes
decomputadorespassaramaintegraraspreocupaesdos
profissionaisdetecnologiadeautomao,conhecidacomo
TA.Nestecontexto,foiadotadaaterminologiainvasoou
ataqueeletrnico(nocontextodeTIconhecidocomo
invasoouataqueciberntico).
As ameaas de invaso pormeios eletrnicos esto
aumentando por diversos fatores sociais, polticos e
tecnolgicos.
Nosdiasatuais,existemvriosfatoresquecontribuem
paraoaumentodenossaspreocupaes:
De mainframes e protocolos proprietrios, passamos
pararedesdistribudaseprotocolosabertos.Interligaode
redesoriginalmenteisoladaspormeiodestesprotocolos;
Pressonaindstriapelaautomatizaoecortedecustos
paramantermargemdelucros;
Legislao Nacional, Operador Nacional do Sistema
(ONS) e Agncia Nacional de Energia Eltrica (Aneel).
O consumidor tem o direito de acessar dados das
concessionriasdeserviopblicos(servidoresWeb);
Aumento da capacidade e complexidade do Sistema
InterligadoNacional (SIN), de gerao e transmissode
energia.Paradoxalmente,aumentasuafragilidade;
Aumento vertiginoso da interconectividade a sites
remotospormeiodemodemsdiscadosouinternet;
Instabilidadenomercadodetrabalhonasempresasde
energia,causadospelacompetioedesregulamentao;
AumentodeincidentesChina,GoogleeIntel;
Rpido aumento da populao com habilidades e
conhecimentosconsistentesemredesdecomputadores;
Disseminaodeliteraturaeferramentasdehackerspela
-
73
O Setor Eltrico / Junho de 2010
Apo
io
internet;
Aumento do nmero de pases com iniciativas sustentadas pelo
governodecontramedidasinvasoouataqueseletrnicos.
Invaso ou ataque eletrnico o acesso subestao via linhas telefnicas ou outros meios
eletrnicos para manipular ou causar distrbios nos Dispositivos
Eletrnicos Inteligentes (IEDs). Estes IEDs incluem rels digitais,
registradores de faltas, equipamentos de diagnsticos, oscilgrafos,
equipamentos de automao, Unidades de Aquisio e Controle
(UACs),UnidadesTerminaisRemotas(UTRs),computadoresservidores
dasubestao,ControladoresLgicosProgramveis(CLPs)einterfaces
decomunicao.
A extenso dos ataques eletrnicos ainda desconhecida,
pois poucas empresas possuem IntrusionDetection System (IDS). E
aquelasquedetectamtmpoucavontadededivulgar,poisseriauma
publicidadenegativa.
Aindaassim:
25%dasempresasusamalgumtipodeIDS;
17%destasreportaramtentativasdeinvasoeletrnica.
Os invasores sabem como abrir vlvulas, apertar botes, abrir/
fechar disjuntores, ento de se supor que, se eles invadirem o
sistema,queiramfazerisso.,portanto,necessrioeinadivelumato
deresponsabilidadeparacomasociedadeemgeraleconsumidores
discutirasameaaseestudarosmtodosdemitigaodosriscos.
A segurana deve ser uma atitude empresarial. Uso de senhas,
vriosnveisdeacessoeauditoriade loginsdevemserutilizadosde
formacuidadosa,apesardeaumentarosprocedimentosburocrticos.
Vamosrelacionarabaixoalgunsitensquedevemsercuidadosamente
consideradosnoplanejamentoenadefiniodapolticadesegurana.
Citamostermosimportantes,aindasementrarnosdetalhesdecadaum
deles:
- Tecnologia TCP/IP Transmisso de pacotes
Sniffers Ethereal Wireshark.
Avaliaoderiscos.Operigovemdedentro.
- Firewalls. Software ou software + hardware
FiltrodepacotesPolticanegartudooupermitirtudo
efazerasexceesregra.
Filtrodeaplicaesproxy.
Event Logging Syslog; Intrusion Detection Systems (IDS); Intrusion Prevention Systems (IPS); Condies de alarmes.
-
74
O Setor Eltrico / Junho de 2010
Apo
io
Figura 1 Cenrio de uma invaso.
Automao de subestaes -Roteadores proveem IDS, IPS, Event Logging, controledeacesso
porIP,PortNumber,gerenciamentodeseparaodetrfego,permetro
eletrnicodeseguranaeIEEE1613.
-Controledeacesso,switchesoupontodeacessowireless.
IEEE802.1XRemoteAuthenticationDialInUserService
(Radius)Passaporteparaentrarnarede.MACAddress.
TACACSTerminalAccessControlerAccessControlSys.
-Switchescomoalternativadesegurana.VLANIEEE802.1Q,CoS
-802.1P,RSTP802.1W.
-VirtualPrivateNetwork(VPN)criptografiaautenticao.
InternetProtocolSecurity(IPsec)RFC4301,4302,4303.
- IEEE 1613 Standard Environmental and Test Requirement for
Communication Networking Devices in Electric Power Substations.
ImunidadeecompatibilidadeeletromagnticaIEC61850-3.
A rea de segurana de redes uma cincia e vrios rgos
internacionaispropemsugestesdecomportamentooumedidasque
asempresasdevemobservar.Umadelas:
IEEE 1402-2000 Guia para segurana fsica e eletrnica de subestaes
do sistema de potncia.
Itensdealertaquefragilizamarede:
Errosgrosseiros,confusoeomisso.Resetsacidentaisde relsde
proteo,imperciaounegligncianamanutenodarede;
Fraudes, roubos, atividades criminais, hacker, attacker e intruder.
MotivaoeconmicaprejuzosdeUS$123milhesanuais;
Empregadosdescontenteseinescrupulosos,retaliaoeinsiders;
Curiosidade, ignorncia, invases por recreao ou maliciosa e
hackers;
Espionagem industrial. Em 1999, os prejuzos foram de US$ 60
milhes;
Cdigomalicioso:malware,vrus,worms,cavalosdetria,bombas
relgio,etc.quecrescemexponencialmente;
Abriranexoeclicaremlinksdee-mailsdesconhecidos;
Programasqueprometemaumentaravelocidadedesuarede,mas
estoroubandoinformaes;
Contramedidasaataqueseletrnicosfinanciadospelosgovernosde
vriospases.
A subestao como o ponto mais vulnervel de todo sistema eltrico Avaliao de riscos
A subestaodeenergiaeltricaumpontovulnervel,porque
permitemacessoremotoepoucaspossuemmecanismosdeproteo,
IDS, IPSoufirewalls, comoagravantequeuma falhapodeassumir
proporesnacionais.
Linhasdecomunicaoentre subestaes,centrosdecontrolee
computadoresderedecorporativasodeconhecimentopblico.
TodososIEDssosuscetveisaataques.Pormeiodeumaconexo
telefnica, um profissional pode resetar o dispositivo, ou mudar
oseuajuste.Umintrusoeletrnicopodediscaremumaporta
desprotegidaecolocarocontroladordedisjuntoremumnvelde
tolerncia alto a controles, permitindo telecomandos.Tambmpode
colocar o equipamento em condies muito sensveis, acima das
operaesnormais,equecausamshutdownparaautoproteo.
Observamos na Figura 1 o cenrio provvel de uma invaso
eletrnica.Usandoumprogramadiscador,ointrusofazumavarredura
nosnmerosacimaeabaixodonmerotelefnicodasubestao,que
deconhecimentopblico,procurandoporrespostademodems.Pode
usartambmumaplicativodePing,pesquisandomilharesdeIPsacima
eabaixodoIPdaconcessionria,quedeconhecimentopblico.
Quando uma provvel conexo identificada, so emitidos
mltiplosenters,pontosdeinterrogao,helpandhello,para
conseguir informaesdo tipodaconexo.Quandoconseguidoo
dilogodelogin,ointrusousaengenhariasocialparadeterminara
senha.Oulanaumataquecomdicionriosoudeforabruta.
Quandoaconexo forcompletada,o intrusoestdentrodeum
IED,controladorouScada.Podefazershutdown,mudarajustes,juntar
informaesparafuturosataques,plantarcdigosmaliciosos,etc.Este
ataqueclssicopodesersomadoengenhariasocialeaoutrosque
exemplificamosnaFigura2.
Engenhariasocialaaodeumapessoamalintencionadaquese
fazpassarporumaoumaispessoas,enganandooscolaboradoresde
umaorganizao.Estapessoautilizanomesdeusurioseadministrador
coletadas previamente. Com isso, consegue obter informaes
privilegiadas,comosenhas,ou induzirpessoasaexecutaraesque
enfraqueamasegurana,comoexecutarumtrojan.
O mtodo mais simples, mais usado e mais eficiente que os
engenheirossociaisutilizamparadescobrirumasenhaperguntando.
Se o colaborador da empresa estiver despreparado, h possibilidade
deseobtercomsucessoarespostapositivaperguntacerta,assim,o
engenheirosocialirganharacesso,controlareconseguirmaisacesso.
Muitosataquesdeengenhariasocialsocomplicados,envolvem
diversas etapas e planejamento elaborado, alm de combinar o
-
76
O Setor Eltrico / Junho de 2010
Apo
io
Figura 2 Mtodos de ataque.
Automao de subestaes conhecimentodamanipulaoedatecnologia.
O incio, namaioria das vezes, d-se pormeio de pesquisa na
internetsobreainstituioouoalvodeataque.Depossedealgumas
informaes, o ataque preparado, podendo ser feito por telefone,
ousepassandoporumfuncionrioterceirizadoqueprestaservios
organizao.
Contramedidas A preveno a melhor poltica. Descrevemos resumidamente
algunsmtodos:
Autenticao Dispositivosautorizadosautenticamunsaosoutros,
trocando chaves equivalente senha. Gateway pode autenticar
novosdispositivosqueentramnarede.
Smartcardsgeramasenhaemtemporealeelaenviadanaredee
podeserinterceptada;
Verificaodaintegridadeequivalenteaochecksum;
Etiquetadetempoevitaataquesdereplays;
Criptografiaalgoritmossimtricoseassimtricos,chavesduplas;
PKIPublicKeyEncryption;
IPseccriptografaospacotesTCP/IP;
AlgoritmosDiffie-Hellmanassimtricos.
Nopodeestaratreladaasoftwaresouahardwaresespecficos;
Nopodehaverexceoaindivduosougrupos.
Almdaspolticas,osinvestimentossoindispensveis.necessrio
equiparseusistemacomrecursosdehardwareesoftware.
Fazempartedoconjuntodedispositivosdesegurana(hardware
ou softwares) as lans virtuais, firewalls e criptografia (certificados
digitais).Sobreaslansvirtuais,jdedicamosumcaptulointeiroquando
abordamosasarquiteturasderede.
Firewalls Responsvel pela defesa do computador ou rede. Controla o
acessoaosistemapormeioderegrasefiltragemdedados.Filtragem
depacotesredespequenasoumdiasquedefinemqueendereos
IPspodemtransitarnarede.Porexemplo,serviosliberados(e-mail)ou
bloqueados(ICQ).
WindowsZoneAlarmwww.zonealarm.com;
LinuxIPTableswww.iptables.org;
TrabalhanascamadasIP(endereos)eTCP(servios);
Controle de aplicaes (exemplos SMTP, FTP, HTTP) instalados
em servidores conhecidos como proxy. Mais seguro, no permite a
comunicaodiretadocomputadorcomainternetetudopassapeloproxy;
Permiteacompanhamentodetrfegoderede;
Recursosdelogs;
Ferramentasdeauditoria.
Exemplos e sugestes:
As portasTCP que podem ser liberadas e continuar mantendo a
seguranadasuaredeso:portadeFTP,HTTP,HTTPSeserviode
e-mail,comooBlackBerry3101.Bloqueieaporta110 (POP3)caso
oservidordecorreionoautilize.Estaportapermitequeosusurios
de sua redepossambaixarmensagens particulares utilizando algum
softwaredecorreioeletrnico,sendoqueamaioriadosservidoresde
e-mailtrabalhaapenasutilizandoSMTPeIMAP.
Eviteregrasexcessivasetestecadaumadelas.Asregrasdeexterna
parainternasomuitoimportantes.Coloqueumaparacadaserviode
suarede.Porexemplo:jamaislibereaporta23ou21quenosejam
redirecionadosparaoservidorcorrespondente.Tambmnofazsentido
liberaroservioHTTPS(443)deexternapara internasenopossuir
algumservidorquetenhaSSLativo.
Muitasempresaspossuemusuriosqueprecisamenviararquivospara
ReceitaFederal.Nestecaso,identificaraqualIPeportaqueoprograma
da Receita Federal est tentando se conectar (netstat-aon) e liberar
somenteesseIPeportaespecfica.
Criptografia e certificados digitaisSymmetric Key Algorithms amesmachavesecretausadapelo
transmissorereceptor.Usadohmilharesdeanos,amesmachave
paracriptografaredescriptografareusamenosrecursoscomputacionais
Elaborao da poltica de segurana Quaisrecursosseroprotegidos?Aquaisameaasestamossujeitos?
Quaisasvulnerabilidadesquepodemconcretizarasameaas?
Considerarositensaseguir:
Quemtemautoridadeparadefinirefazercumprir?
Meiosdedivulgaodapoltica;
Poltica de senhas, requisitos de formao (nmero mnimo de
caracteresalfanumricos)eperododevalidade;
Direitoseresponsabilidadesdosusurios;
Direitoseresponsabilidadesdoprovedorderecursos;
Aesprevistasnocasodeviolaodapoltica;
Apoiodaadministraosuperiorfundamental;
Periodicamenterevisada;
Mtodos de Ataque - Contramedidas.
Autenticao - Verificao - Criptografia.
Apesardasmedidasdesegurana,suamensagempodesofrerataques:1.Interrupodoservio-jamming2.Spoofing3.Homemnomeio4.Replay
TRANSMISSORReiescreveuma
mensagemparaseucomandante
1.Inundarsisternacommensagenssemnexo.(Bloquearaestradacompause
pedras
TRANSMISSOMensageirolevaamensgemnoterritriohostil
3.Alguminterceptaamensagememudaseu
contedo,semconhecimentodotransmisssoroudoreceptor.
4.Umamensagemverdadeira"deslocar15
Kmaoeste",serepetidacausaerroenorme.
RECEPTORComandantedecampointerpretaamensagemetomaasaesapropriadas
2.Algumsefazpassarpelorei,emandauma
mensagemfalsa.
-
77
O Setor Eltrico / Junho de 2010
Apo
io
Figura 3 Criptografia e certificados digitais em subestaes de energia eltrica.
*Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)
CONTINUA NA PRXIMA EDIOConfira todos os artigos deste fascculo em www.osetoreletrico.com.br
Dvidas, sugestes e comentrios podem ser encaminhados para o e-mail [email protected]
queoAsymmetric.necessriocombinarachavecomantecedncia.
Exemplos:PGPeSSL.
Asymmetric Key Algorithms Chavesdiferentesparacriptografar
edescriptografar. criadoumparde chaves umapblica eoutra
secreta. Mensagens criptografadas com a chave pblica s podem
ser descriptografadas pela chave secreta.As chaves so relacionadas
matematicamente,masimpossvelderivarachavesecretadachave
pblica.Oalgoritmofoidemonstradonadcadade1970porWhitfield
DiffieeMartinHellman.
Problema central Confianaqueachavepblicacorretaeque
realmentepertencepessoaouentidadequeafirmapossu-laenofoi
modificadaporintrusosmaliciosos.
IPSec combinadiferentestecnologiasparaprovermaiorsegurana,
comoummecanismodetrocadechavesdeDiffie-Hellman;criptografia
dechavepblicaparaassinaras trocasdechavedeDiffie-Hellman,
garantindo,assim,aidentidadedasduasparteseevitandoataquesdo
tipoman-in-the-middle(emqueoatacantesefazpassarpelaoutraparte
emcadaumdossentidosdacomunicao);algoritmosdeencriptao
paragrandesvolumesdedados,comooDES(DataEncryptionStandard);
algoritmosparaclculodehash(restodeumadiviso,detamanhofixo)
comutilizaodechaves,comoHMACcombinadocomosalgoritmos
dehash tradicionais,comooMD5ouSHAautenticandoospacotes
ecertificadosdigitaisassinadosporumaautoridadecertificadora,que
agemcomoidentidadesdigitais.
Comoconsideraesfinais,poderamosrelacionarosdispositivos
(hardwareesoftware)quenosauxiliariamnaproteodenossasredes.
Alistadedispositivosextensa.
CitamososswitchesRuggedCommeGarretCommeGatewaySEL,
queincluemtodatecnologiadeseguranadecriptografiaecertificados
digitais,IPSECnassubestaes.
