Maicon Dalmoro - Projeto Final PDF

ndice
ndice .........................................................................................................................................1
Lista de Figuras ........................................................................................................................3
Lista de Tabelas ........................................................................................................................6
Resumo ......................................................................................................................................7
Captulo 1 Introduo ...........................................................................................................8
Captulo 2 - Controle de Processos Industriais....................................................................11
2.1
Introduo.................................................................................................................11
2.2
Histrico das Tecnologias e Sistemas de Controle de Processos Industriais ...........11
2.3
Modelo Funcional Hierrquico.................................................................................15
2.4
Segurana..................................................................................................................18
2.5
Fuso do Ambiente Corporativo com o Ambiente Operacional ..............................22
2.6
Segurana no Ambiente Industrial ...........................................................................22
Captulo 3 - PROFIBUS (Process Fieldbus) ........................................................................24

3.1
Introduo.................................................................................................................24
3.2
Padronizao Internacional.......................................................................................24
3.3
Caractersticas Gerais ...............................................................................................25
3.4
Arquitetura do Protocolo ..........................................................................................25
3.5
Tecnologia de Transmisso ......................................................................................27
3.5.1
Meios Fsicos....................................................................................................27
3.5.2
Mtodo de Acesso ao Meio ..............................................................................28
3.6
Protocolos de Comunicao .....................................................................................30
3.6.1
PROFIBUS DP .................................................................................................30
3.6.2
PROFIBUS FMS ..............................................................................................32
3.7
3.7.1
3.8
Perfis de Aplicao...................................................................................................33
PROFIBUS PA .................................................................................................33
PROFInet ..................................................................................................................34
3.8.1
Estrutura do PROFInet .....................................................................................35
3.8.2
Comunicao PROFInet ...................................................................................35
3.8.3
Modelo de Objetos PROFInet ..........................................................................37
3.8.4
Integrao com outros sistemas........................................................................38
3.8.5
Tecnologias de Rede.........................................................................................39
3.8.6
Integrao Web.................................................................................................40
1
3.9
Aspectos de Segurana do Protocolo .......................................................................42
3.9.1
Acesso no autorizado ......................................................................................42
3.9.2
Ataque Distribudo de Negao de Servio......................................................45
3.9.3
Vrus e pragas similares....................................................................................47
3.10
Concluses Parciais ..................................................................................................48
Captulo 4 - Foundation Fieldbus .........................................................................................50

4.1
Introduo.................................................................................................................50
4.2
Caractersticas Gerais ...............................................................................................50
4.3
Foundation Fieldbus H1 (FF H1) .............................................................................51
4.3.1
Camada Fsica ..................................................................................................52
4.3.2
Topologias ........................................................................................................53
4.3.3
Camada de Enlace de Dados ............................................................................53
4.3.4
Camada de Aplicao .......................................................................................56
4.3.5
Camada de Usurio...........................................................................................59
4.4
Foundation Fieldbus High Speed Ethernet (FF HSE) ..............................................59
4.4.1
Histrico ...........................................................................................................60
4.4.2
Arquitetura do protocolo ..................................................................................60
4.4.3
Modelos de Comunicao ................................................................................62
4.4.4
Interconexo H1/HSE.......................................................................................64
4.4.5
Redundncia .....................................................................................................65
4.4.6
Acesso Remoto .................................................................................................66
4.5
4.5.1
Ataque ao DHCP ..............................................................................................67
4.5.2
Ataque tabela de status da rede (NST) ...........................................................69
4.5.3
4.6
Captulo 5 Modbus ..............................................................................................................74

5.1
Introduo.................................................................................................................74
5.2
Protocolo de Aplicao Modbus ..............................................................................75
5.3
Modbus Serial...........................................................................................................78
5.3.1
Camada Fsica ..................................................................................................79
5.3.2
Camada Enlace .................................................................................................79
5.4
5.4.1
Modbus TCP/IP ........................................................................................................80

Camada Fsica ..................................................................................................81
2
5.4.2
Camada de Enlace ............................................................................................82
5.4.3
Camada de Rede ...............................................................................................82
5.4.4
Camada de Transporte ......................................................................................82
5.4.5
Camada de Aplicao .......................................................................................83
5.5
Modelo de Componentes da Arquitetura MODBUS................................................85
5.6
5.6.1
Ataque de Buffer Overflow ..............................................................................87
5.6.2
Acesso No Autorizado ....................................................................................89
5.6.3
5.7
Captulo 6 - Concluso ...........................................................................................................93

Referncias Bibliogrficas .....................................................................................................96
Lista de Figuras
Figura 2.1 - Evoluo do uso das tecnologias de controle de processos
Industriais
15
Figura 2.2 - Sistema de controle utilizando o Modelo de referncia geral
16
Figura 3.1 Arquitetura do PROFIBUS
26
Figura 3.2 Rede PROFIBUS formada por 3 estaes mestre e 7 estaes

escravos
28
3
Figura 3.3 Sistema PROFIBUS DP mono-mestre
31
Figura 3.4 Sistema PROFIBUS DP multi-mestre
32
Figura 3.5 - Rede PROFIBUS PA.
33
Figura 3.6 Exemplo de uma rede PROFInet com seus componentes.
34
Figura 3.7 Diviso do ciclo de comunicao, possibilitando a

implementao de aplicaes baseadas em IRT
36
Figura 3.8 Modelo de objeto PROFInet
37
Figura 3.9 Integrao PROFInet com outros sistemas
38
Figura 3.10 Cenrios possveis para Integrao Web
40
Figura 4.1 Correspondncia entre modelo OSI e estrutura do FIELDBUS
50
Figura 4.2 Rede Fieldbus
51
Figura 4.3 Topologias de rede FF H1
52
Figura 4.4 Rede Fieldbus com um LAS principal e seu backup
53
Figura 4.5 Comunicao escalonada em uma rede Fieldbus H1
54
Figura 4.6 Comunicao no escalonada em uma rede FIELDBUS H1
54
Figura 4.7 Dicionrio de objeto FF H1
56
Figura 4.8 Estrutura de um dispositivo Fieldbus
57
Figura 4.9 Estrutura em camadas do FF HSE
60
Figura 4.10 Possibilidades de comunicao entre redes distintas
62
Figura 4.11 Sistema tolerante a falhas FF HSE
64
Figura 4.12 Arquitetura que permite acesso remoto, proposta por

fabricante de dispositivos HSE.
65
Figura 5.1 Comunicao Modbus entre redes distintas
73
Figura 5.2 Frame MODBUS genrico
74
Figura 5.3 Transao entre Cliente e Servidor sem erros
75
Figura 5.4 Transao entre Cliente e Servidor com erro
75
Figura 5.5 Correspondncia entre Modbus Serial e modelo OSI
77
Figura 5.6 Regra para endereamento Modbus Serial
79
Figura 5.7 Rede MODBUS Mista, TCP/IP e Serial
80
Figura 5.8 Envio de dados entre Cliente e Servidor numa rede

MODBUS TCP
82
Figura 5.9 Pacote MODBUS TCP
83
Figura 5.10 Modelo da arquitetura MODBUS
86
4
Lista de Tabelas
Tabela 3.1 - Padro IEC 61158
25
Tabela 5.1 Cdigos de exceo Modbus
Resumo
Os protocolos industriais foram projetados em uma poca em que no havia
preocupao com as questes de segurana. As redes industriais eram isoladas,
logo a probabilidade de sofrerem um ataque era pequena. No entanto houve um
processo de integrao entre as redes operacionais, instaladas no cho de fbrica,
com as redes corporativas. Essa integrao trouxe benefcios para o processo de
controle, entretanto trouxe tambm vulnerabilidades que at ento no existiam.
Este trabalho tem como objetivo realizar um estudo dos protocolos industriais
PROFIBUS, Fieldbus e Modbus e avaliar as questes relativas segurana destes
protocolos, tendo como resultado uma anlise que mostra as vulnerabilidades a que
cada protocolo est exposto, bem como mecanismos ou tcnicas que busquem
diminuir ou evitar que as falhas ocorram.
Captulo 1 Introduo
1.1 Contexto
O
ambiente
de
automao
industrial
vem
passando
por
mudanas
significativas. H alguns anos atrs era um local hostil e isolado, onde dispositivos
eletrnicos no podiam ser instalados, conseqentemente o processo de controle
era realizado por tecnologias mecnicas ou mesmo de forma manual.
O crescimento das indstrias aumentou significativamente a complexidade do
processo de controle, com isso, houve a necessidade de utilizao de tecnologia
confivel e eficiente para promover sua automao. Sem dvida os ganhos obtidos
com essa nova era, onde havia eletrnica controlando plantas industriais foram
enormes. Entretanto, os sistemas foram evoluindo de tal forma que as plantas
industriais deixaram de ser locais isolados e passaram a fazer parte de um complexo
sistema onde havia troca de informaes entre diversos nveis da corporao. Os
dados coletados de um dispositivo de campo podiam ser coletados e compilados,
gerando um relatrio que ajudaria a diretoria da empresa a tomar decises.
Apesar dos benefcios obtidos com a integrao entre estes dois ambientes, o
corporativo e o operacional, surgiram questes relativas segurana no ambiente
operacional que at ento somente eram identificadas no ambiente corporativo e
que agora devem ser analisadas.
1.2 Motivao
Uma das principais fontes de riqueza para as empresas o conhecimento que
elas detm. Manter este conhecimento protegido fator determinante para o
sucesso em um mundo cada vez mais competitivo e globalizado.
Outra questo importante diz respeito ao terrorismo presente em muitos pases
do mundo. Ataques a indstrias tornam-se operaes cada vez mais freqentes.
Com isso, de vital importncia promover a proteo dessas indstrias.
A motivao para este trabalho surge ao passo que os protocolos que so
utilizados para controle industrial no foram projetados para contemplar os requisitos
de segurana da informao. E a situao agrava-se quando considerada a
tendncia de integrao das plantas industriais com o ambiente corporativo. Desta
forma, faz-se necessrio um estudo adequado sobre esses protocolos, sob o
8
aspecto de segurana, analisando as vulnerabilidades que cada um apresenta, bem

como propor mecanismos para eliminar ou mitigar tais vulnerabilidades.
1.3 Objetivo
O objetivo deste trabalho estudar os protocolos PROFIBUS, Fieldbus e
Modbus e avaliar as questes relativas segurana em ambientes industriais nestes
protocolos.
O estudo desses protocolos levar em considerao as principais ameaas
existentes, gerando como resultado uma anlise para cada ameaa a que o
protocolo est exposto, bem como propostas para eliminao ou diminuio do risco
de ocorrncia das mesmas.
1.4 Metodologia
Para realizao deste trabalho foi feita uma pesquisa buscando pelas
especificaes dos protocolos estudados. Em seguida foi realizado um estudo sobre
as caractersticas dos protocolos visando conhecer a arquitetura e o funcionamento
de cada um. Em paralelo foi realizado um estudo sobre as principais
vulnerabilidades e ataques relacionados segurana da informao. Como
desfecho uma anlise sobre as vulnerabilidades e ataques aplicados a cada um dos
protocolos, bem como a proposio sobre tcnicas, mecanismos e prticas
adequadas foi realizada.
1.5 Estrutura da Monografia

Este trabalho est estruturado conforme a estrutura descrita abaixo:
No captulo 2 feita uma descrio sobre o processo evolutivo dos sistemas de
controle, contextualizando o leitor sobre o cenrio em que se encontram as plantas
industriais atualmente. apresentado o modelo hierrquico funcional das plantas
industriais. Por fim conceitos de segurana e ameaas so apresentados.
Nos captulos 3, 4 e 5 so realizados estudos, respectivamente, sobre os
protocolos PROFIBUS, FIELDBUS e MODBUS. Inicialmente suas estruturas e
mecanismos de funcionamento so apresentados. Em seguida realizada uma
anlise sobre as vulnerabilidades de cada um dos protocolos, sendo sugeridos

mecanismos e prticas para proteo das redes.
Finalmente no captulo 6 so apresentadas as concluses sobre o trabalho
realizado e as possibilidades de trabalhos futuros.
10
Captulo 2 - Controle de Processos Industriais

2.1 Introduo
Controlar processos industriais no uma tarefa simples, existem alguns
fatores dificultadores, o principal deles o ambiente muitas vezes hostil, devido ao
alto ndice de rudos, exposio a materiais corrosivos, vibraes excessivas, entre
outros, que so as plantas industriais, isso faz com que qualquer processo de
controle, seja
executado por homens ou mquinas, requeira um alto nvel de
especializao tanto de mo da obra como dos equipamentos. Alm da hostilidade

do ambiente h o fato de que a maioria dos processos industriais so crticos, o
impacto de um erro muito grave, vidas podem ser perdidas.
Com isso, um
eficiente e seguro sistema de controle de extrema necessidade.
2.2 Histrico das Tecnologias e Sistemas de Controle de

Processos Industriais
O controle de processos industriais sofreu muitas mudanas, os processos
tiveram um grande aumento em sua complexidade o que levou ao desenvolvimento
de tcnicas diversas.
No princpio o controle dos processos industriais era feito de forma manual,
necessitando interferncia constante de um operador que deveria verificar o valor de
sada e uma varivel, compar-lo com um valor esperado e realizar os ajustes.
Neste procedimento havia muitos problemas, entre eles o tempo de resposta que
era muito elevado e as grandes amplitudes geradas no perodo transiente do ajuste,
alm do risco a que estavam expostos os operadores, sempre prximos aos
equipamentos. Esse processo mostrou-se muito ineficiente para controle de
processos que primavam pela qualidade dos produtos e segurana de seus
operadores, dessa forma iniciou-se uma srie de estudos que visavam desenvolver
tcnicas para automao dos processos de controles industriais.
Os sistemas de controle automticos utilizavam equipamentos capazes de
realizar medies de uma varivel, comparao com um valor de referncia e
ajustes com a finalidade de diminuio do erro do valor da varivel de sada em
relao ao valor de referncia. Com isso surgiram tcnicas de controle como o PID
11
(Proporcional, Integral, Derivativo) [KUO, 1992] que faziam o controle de uma

varivel do processo de forma mais rpida e com menos overshooting.
Esse tipo de controle trouxe vantagens, tais como: aumento da produtividade,
diminuio de mo-de-obra, possibilidade de controle em reas instveis presena
humana e aumento da qualidade dos produtos visto que o tempo necessrio
correo dos parmetros diminuiu e a preciso no ajuste dos mesmos aumentou.
Os
primeiros
sistemas
de
controle
automtico
desenvolvidos
foram
implementados totalmente em campo, permitindo que os sensores, controladores e

elementos finais de controle, fossem instalados bem perto uns dos outros. Esta
implementao, denominada de controle local, permitia uma boa velocidade de
comunicao, considerando os padres da poca [MIRANDA, 2002].
A primeira tecnologia de transmisso utilizada foi a pneumtica. Esta
tecnologia modulava o valor de uma varivel em uma faixa padronizada de valores
de presso (3 a 15psi). A segunda tecnologia realizava a modulao dos valores de
uma varivel em valores de corrente eltrica. Era utilizada uma faixa entre 4 e 20mA.
A grande vantagem dessa nova tecnologia era a velocidade de transmisso das
informaes.
Essa tcnica de controle local possua vantagens, tais como baixo custo de
instalao e controle distribudo. Entretanto havia uma desvantagem, que era o fato
de sempre que um operador necessitasse fazer algum ajuste nos parmetros de
controle havia a necessidade de ir a campo. Com o passar do tempo as plantas
industriais
foram
ficando
mais
complexas,
aumentando
dificuldade
de
gerenciamento sobre equipamentos distribudos, com isso surgiu um novo elemento

no cenrio de controle de processos industriais: a sala de controle.
Esse novo elemento centralizou alguns equipamentos de controle permitindo
que o operador pudesse fazer ajustes sem ter que se deslocar para o campo
diminuindo o risco de acidentes. Com isto, foi possvel a utilizao de equipamentos
eletrnicos, pois at ento no havia tecnologia capaz de suportar as condies
hostis de temperatura e umidade caractersticas do campo.
Apesar das vantagens obtidas com a sala de controle, havia uma
desvantagem: o grande nmero e comprimento dos cabos necessrios interligao
dos elementos que continuavam no campo (sensores e atuadores) aos
equipamentos que realizavam o processamento do controle, que estavam
localizados na sala de controle. Isso trouxe um aumento nos custos e na
12
complexidade de implantao, alm de criar uma nova fonte de possveis erros no

processo gerados por falhas na comunicao. Outra desvantagem foi o aumento do
tempo de comunicao que comeava a se tornar um elemento importante do
processo. Alm disso, apesar dos operadores poderem realizar os ajustes dos
parmetros do processo na sala de controle ainda havia a necessidade de contato
com o campo para realizao de manutenes preventivas ou corretivas.
Com o passar do tempo a tecnologia de semicondutores foi evoluindo de tal
forma que foi possvel instalar os primeiros equipamentos eletrnicos no campo.
Dessa forma foi possvel incorporar algum processamento digital nesses
equipamentos, tornando-os mais eficientes. Apesar disso a comunicao entre os
dispositivos continuava a ser analgica, seguindo o padro 4 a 20mA.
O passo seguinte do processo evolutivo foi a criao dos SDCD (Sistemas
Digitais de Controle Distribudo). A partir da insero desse novo dispositivo foi
possvel realizar as primeiras comunicaes totalmente digitais. Esse tipo de
comunicao trazia inmeras vantagens, tais como: eficincia, robustez e a
possibilidade de distribuio do controle em diversos dispositivos interligados por
uma rede. A grande desvantagem dessa tecnologia foi o fato de cada fabricante
desenvolver seus prprios padres, o que impossibilitava a comunicao entre redes
formadas por dispositivos de fabricantes diferentes. Alm disso, a mo-de-obra
tornou-se extremamente especializada e o custo dos equipamentos aumentou muito.
Outro dado importante que apesar da comunicao entre os SDCD ser digital, a
comunicao entre esses dispositivos e os equipamentos de campo continuava a
ser analgica, no formato 4 a 20mA.
Uma outra inovao foi a criao dos PLCs (Controladores Lgicos
Programveis). Esses dispositivos eram capazes de controlar variveis analgicas e
tiveram grande aceitao no mercado. Da mesma forma que ocorreu com os
SDCDs, os fabricantes de PLCs seguiram a mesma tendncia, ou seja, desenvolver
tecnologia de comunicao digital baseada em protocolos proprietrios.
Outro aspecto importante foi a evoluo que sofreram os transmissores de
campo, que passaram a incorporar equipamentos eletrnicos, dessa forma foi
possvel realizar configurao remota dos mesmos atravs de protocolos de
comunicao digital. Com essa nova funcionalidade o operador no necessitava
mais dirigir-se ao campo para realizao de ajustes neste tipo de dispositivo.
Entretanto essa comunicao restringia-se transmisso de dados de configurao
13
dos dispositivos, os valores de variveis de controle continuavam a ser transmitidos

analogicamente. Inicialmente esses protocolos de configurao de dispositivos de
campo eram proprietrios, mas com o passar do tempo foram realizados esforos de
diversos fabricantes para criao de um protocolo aberto, assim surgiu o HART
(Highway Addressable Remote Transducer) [ELSON, 2007], que foi o primeiro
padro onde dispositivos criados por fabricantes diferentes puderam comunicar-se.
Apesar das vantagens trazidas pelo protocolo HART, ele ainda no o ideal
para comunicao de dados entre vrios dispositivos, devido sua baixa velocidade
e sua deficiente implementao nas trocas de mensagens.
Os estudos seguintes buscaram eliminar as desvantagens surgidas com a
criao da sala de controle, atacando dois pontos principais: o comprimento e
quantidade de cabos e o alto tempo de comunicao entre os dispositivos no campo
e a sala de controle. A soluo encontrada foi levar ao campo, novamente, os
dispositivos de controle. Agora era possvel realizar a configurao e ajuste de forma
remota. A implementao da soluo proposta s pde ter incio quando foram
desenvolvidos os Transmissores Inteligentes e os Protocolos Abertos de
Comunicao Digitais para Controle de Processos, tambm conhecidos como
Barramentos de Campo, Fieldbuses ou Redes de Cho de Fbrica.
Os Transmissores Inteligentes criaram a possibilidade de execuo do controle
local on board, executando as funes de controlador.
Aliando os Transmissores Inteligentes com o sistema Fieldbus foi possvel
realizar toda a comunicao de forma digital, incluindo no s as informaes de
controle e configurao, mas tambm a transmisso dos valores das variveis de
controle. Esse conjunto configurou uma grande inovao, trazendo benefcios, tais
como maior imunidade a campos magnticos fortes, comuns no cho de fbrica,
melhor desempenho e maior preciso de resultados, pois no havia mais a
necessidade das converses A/D e D/A durante o processo. Alm disso, houve um
maior nmero de informaes disponveis para consulta na rede, inclusive em nveis
mais elevados na hierarquia do processo.
O crescimento da utilizao dos sistemas Fieldbus acelerado, pois muitas
indstrias esto descobrindo as vantagens da utilizao desse tipo de tecnologia,
entretanto ainda h muitas plantas industriais que continuam utilizando tecnologias
como 4 a 20mA. Isso se deve a alguns fatores, tais como a inviabilidade financeira
da migrao, a inviabilidade tcnica e a falta de confiana por parte de gestores de
14
indstrias, por tratar-se de tecnologia recente. A figura 2.1 mostra a utilizao das
diversas tecnologias ao longo do tempo.
Tecnologia
Dominante
1960
DDC
SDCD
CLP FIELDBUS
1980
2000
2.1 Tempo
Figura 2.1 - Evoluo do uso das tecnologias de controle de processos industriais.
2.3 Modelo Funcional Hierrquico

Com a crescente utilizao da tecnologia Fieldbus foi possvel obter uma
grande quantidade de informaes sobre o processo que at ento no era possvel.
Isso permitiu uma integrao dos diversos nveis da organizao, permitindo que
informaes que outrora s existiam nas redes de cho de fbrica pudessem tornarse disponveis nas redes gerenciais.
A partir desta nova realidade a ISA - International Society for Measurement
and Control, prope um modelo que define e estrutura os diversos nveis da
organizao, identificando os elementos e funcionalidades de cada um. A figura 2.2
mostra um esquema do modelo proposto pela ISA.
15
Figura 2.2 - Sistema de controle utilizando o Modelo de referncia geral [BARBOSA,

2006].
Como pode ser visto na figura 2.2 existem seis nveis definidos, cada um
agregando uma esfera da organizao. A seguir a descrio de cada um dos nveis
[BARBOSA, 2006]:
Nvel 5: Corporativo.
Inclui os sistemas corporativos da empresa, como sistemas financeiros,
sistemas de correio eletrnico, intranet e outros.
16
Nvel 4: Administrao (Planejamento de negcios e logstica).

Este nvel inclui os sistemas de planejamento da produo, gerenciamento
operacional, gerenciamento de manuteno e inspeo, entre outros.
Nvel 3: Operaes de manufatura e controle.
Neste nvel esto includos os sistemas de planejamento detalhado de
produo, gerao de dados histricos (PIMS - Process Information Management
System) com longo perodo de armazenamento, anlise off-line dos dados para
funes de suporte de engenharia, otimizao de custos para reas de produo
especficas, consolidao de relatrios de produo e outros.
Nvel 2: Operao, controle e superviso.
Neste nvel so realizadas as funes de operao da planta de produo. Os
sistemas deste nvel so responsveis por prover uma interface homem-mquina
para o operador, gerar alarmes e alertas, realizar funes de controle e superviso
alm de gerar dados histricos com curto prazo de armazenamento.
Nvel 1: Controle bsico de processo.
Este nvel inclui os equipamentos de controle e monitorao, que esto
diretamente ligados aos sensores (instrumentos de medio de variveis de
processo) e elementos finais de controle do processo (vlvulas de controle, motores
eltricos e outros).
Nvel 0: Rede campo.
Este nvel tambm conhecido como cho de fbrica e inclui os vrios tipos de
sensores e elementos finais de controle que so diretamente conectados ao
processo ou aos equipamentos de um processo industrial.
Existe ainda um outro nvel, que estaria abaixo do nvel 0, o chamado nvel de
Segurana Crtica. Este nvel inclui sistemas de segurana de processo que tomam
aes automticas em casos de falhas para manter a segurana da planta, como
por exemplo, as PSVs (vlvulas de segurana).
Como visto anteriormente, cada um dos nveis possui diversos elementos e
funcionalidades. Neste trabalho sero abordados protocolos que atuam no nvel 2 da
hierarquia, como PROFINet, Fieldbus HSE e MODBUS/TCP.
17
2.4 Segurana
Segurana de dados tem se tornado um assunto muito discutido no mundo.
Empresas investem milhes de dlares na criao de sistemas que possam manter
intrusos longe de um de seus ativos mais valiosos: a informao.
rgos
normativos trabalham para desenvolvimento de normas capazes de criar polticas

organizacionais capazes de minimizar os riscos e/ou os impactos causados por
falhas em sistemas de segurana. No Brasil, a ABNT NBR ISO/IEC 17799:2005 e
mais recentemente a ABNT NBR ISO/IEC 27001:2006 tratam da criao de um
Sistema de Gesto da Segurana da Informao (SGSI). Segundo estas normas a
adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A
especificao e implementao do SGSI de uma organizao so influenciadas
pelas suas necessidades e objetivos, exigncias de segurana, os processos
empregados e o tamanho e estrutura da organizao.
Os organismos normativos tambm definem alguns requisitos que caracterizam
um sistema seguro, so eles:
Disponibilidade: propriedade de ser acessvel e utilizvel sob demanda por

uma entidade autorizada. [ISO/IEC 13335-1:2004].
Confidencialidade: propriedade de que a informao no ser disponibilizada

ou divulgada a indivduos, entidades ou processos sem autorizao. [ISO/IEC
13335-1:2004].
Integridade: propriedade de proteo preciso e perfeio de recursos.

[ISO/IEC 13335-1:2004].
Um sistema seguro dever atender aos requisitos acima, entretanto h
diferentes nveis de segurana, que primam por um ou outro dos requisitos com
maior rigorosidade.
Um sistema bancrio, por exemplo, ter um grau de
preocupao muito maior com os requisitos confidencialidade e integridade do que

com a disponibilidade, j um sistema que realize o controle de um reator nuclear de
uma usina ter uma grande preocupao com o requisito disponibilidade.
A tarefa de manter os dados confidenciais, ntegros e disponveis no fcil,
principalmente com o aumento de pragas do mundo moderno, tais como vrus,
trojans, cavalos de tria, ataques de hackers, entre outros.
18
Apesar de existirem empresas altamente especializadas na construo de

sistemas e ferramentas que visam aumentar o grau de segurana dos sistemas, o
nmero de estragos causados por ataques e pela ao de vrus cresce em um ritmo
acelerado. A internet tem papel fundamental nesse crescimento, pois seu alcance
inigualvel, alm disso, a falta de preparo dos usurios de computadores contribui
muito para o sucesso dessas pragas. A seguir so mostradas algumas das
principais ameaas:
Vrus
Consistem em pequenos programas criados para causar algum dano ao
computador infectado, seja apagando dados, seja capturando informaes, seja

alterando o funcionamento normal da mquina. Esses "programas maliciosos"
receberam o nome vrus porque possuem a caracterstica de se multiplicar
facilmente, assim como ocorre com os vrus reais, ou seja, os vrus biolgicos. Eles
se disseminam ou agem por meio de falhas ou limitaes de determinados
programas, se espalhando como em uma infeco. Um exemplo disso, so os vrus
que se espalham atravs da lista de contatos do cliente de e-mail do usurio. Apesar
de existirem ferramentas eficientes contra vrus, os chamados anti-vrus, a
velocidade com as quais as vacinas so desenvolvidas pode muitas vezes ser
insuficiente e os danos causados por sua ao quase sempre so desastrosos.
Cavalos-de-Tria (trojans)
So um tipo de praga digital que, basicamente, permitem acesso remoto ao
computador aps a infeco. Os cavalos-de-tria podem ter outras funcionalidades,

como captura de dados do usurio e execuo de instrues presentes em scripts.
Entre tais instrues, podem haver ordens para apagar arquivos, destruir aplicativos,
entre outros.
Quando um cavalo-de-tria permite acesso ao computador, o que ocorre que
a praga passa a utilizar portas TCP e de alguma maneira informa a seu criador a
"disponibilidade" daquele computador. Esta ainda pode se conectar a servidores e
executar instrues que estejam disponveis no momento do acesso.
Worms (vermes)
Podem ser interpretados como um tipo de vrus mais inteligente que os demais.
A principal diferena entre eles est na forma de propagao: os worms podem se

propagar rapidamente para outros computadores, seja pela Internet, seja por meio
de uma rede local. Geralmente, a contaminao ocorre de maneira discreta e o
19
usurio s nota o problema quando o computador apresenta alguma anormalidade.

O que faz destes vrus inteligentes a gama de possibilidades de propagao. O
worm pode capturar endereos de e-mail em arquivos do usurio, usar servios de
SMTP (sistema de envio de e-mails) prprios ou qualquer outro meio que permita a
contaminao de computadores (normalmente milhares) em pouco tempo.
Spywares
So programas que ficam "espionando" as atividades dos internautas ou
capturam informaes sobre eles. Para contaminar um computador, os spywares

podem
vir
embutidos
em
softwares
desconhecidos
ou
serem
baixados
automaticamente quando o internauta visita sites de contedo duvidoso.
Keyloggers
Os keyloggers so pequenos aplicativos que podem vir embutidos em vrus,
spywares ou softwares suspeitos, destinados a capturar tudo o que digitado no

teclado. O objetivo principal, nestes casos, capturar senhas.
Alm da ao destas pragas, existe uma outra ameaa que pode causar
grandes prejuzos, os ataques. Um ataque visa invadir um sistema para obter
informaes privilegiadas, apenas descobrir falhas nos sistemas ou ento para
causar danos no sistema invadido. Existe uma grande variedade de tipos de
ataques. Os ataques podem ser classificados em trs categorias [GARFINKEL,
1996]:
a) Invaso: ocorre quando um atacante consegue acesso a um sistema como se
fosse um usurio legtimo.
b) Espionagem Industrial e roubo de informaes: compreende os ataques
entre os concorrentes de um mercado especfico (ou at mesmo entre pases),
onde os alvos mais comuns so os registros dos clientes, informaes sobre
processos industriais e especificaes de produtos e servios.
c) Negao de servio (Denial of Service): consiste na negao dos servios
oferecidos aos usurios legtimos de um sistema. Nesta categoria o atacante ir
explorar fraquezas especficas dos protocolos para atingir seu objetivo final.
Da mesma forma, os tipos de ataques utilizados para obter acesso (ou
interromper o funcionamento) de um sistema tambm podem ser categorizados da
seguinte maneira [CARRARETO, 2002]:
20
a) Engenharia Social: baseia-se no pouco conhecimento das pessoas e na sua

boa vontade de cooperao, fornecendo informaes para que o atacante
possa invadir o sistema.
b) Personificao: o tipo de ataque onde o atacante captura uma identificao
de usurio (e sua senha) e o utiliza para ter acesso ao sistema. A captura pode
ser feita por engenharia social, ou ainda pela utilizao de programas
especficos que monitorem o contedo trafegado na rede.
c) Falhas de projeto/implementao: a maioria dos programas produzida sem
ter foco na segurana em mente e muitas vezes possuem brechas que podem
ser utilizadas para dar acesso aos sistemas.
d) Orientados a dados: geralmente tomam a forma de vrus ou de cavalos-detria. Um cdigo malicioso inserido em uma aplicao (ou documento)
aparentemente
inofensivo
que,
quando
executado
pelo
usurio,
ir
comprometer a segurana do seu equipamento.

e) Infraestrutura: so os ataques de tipo DNS Spoofing, ICMP Bombing e Source
Routing. O primeiro ocorre quando uma mquina toma o controle do servio de
DNS e passa a fornecer nomes falsos (normalmente de mquinas j
comprometidas), fazendo com que os usurios acessem um servio diferente
do que eles haviam requisitado, porm acreditando que esto acessando o
servio correto. O segundo baseado no envio de vrias mensagens ICMP,
que so utilizadas para enganar o roteamento ou simplesmente para
sobrecarregar a rede e os roteadores. O terceiro ocorre quando informaes de
roteamento pela origem so includas no pacote da mensagem, forando que
esta retorne por uma rota pr-determinada, usualmente passando por uma rede
comprometida pelo atacante.
O fato que no h sistema totalmente seguro, sendo assim os analistas de
segurana devem estar preparados para detectar o mais rpido possvel um ataque,
reagir de forma rpida e adequada, alm de conseguir reparar rapidamente o que foi
danificado pela ao do invasor.
21
2.5 Fuso do Ambiente Corporativo com o Ambiente Operacional

At a dcada de 90 havia dois mundos: o ambiente industrial e o ambiente
corporativo. O primeiro era formado pelos equipamentos utilizados diretamente no
controle de processos, como os atuadores, medidores e controladores. Estes
equipamentos eram interligados por meio de redes isoladas e proprietrias. O
segundo era formado pelos sistemas gerenciais e de apoio, que eram interligados
por redes geralmente baseadas no padro Ethernet e na sua maioria conectados
com o mundo externo atravs da internet.
Neste cenrio as decises gerenciais eram baseadas em relatrios gerados
manualmente a partir da leitura dos dados de processo no campo ou diretamente na
sala de controle, pelos funcionrios que trabalhavam no setor operacional.
Entretanto, nem sempre havia dados suficientes e/ou apresentados em tempo hbil
para que decises estratgicas pudessem ser tomadas. Com o aumento da
competitividade entre as empresas, esta falta de integrao passou a ser um entrave
para o aumento da qualidade dos produtos. Logo, passou-se a desenvolver
tecnologias capazes de integrar estes dois ambientes. Com isso houve o surgimento
de diversos sistemas capazes de apresentar dados ao nvel gerencial em tempo
real, de armazenar grandes massas de dados histricos, que poderiam ser utilizados
na gerao de clculos estatsticos, entre outros. A integrao destes dois mundos
um fato e uma tendncia globalizada [BARBOSA, 2006].
2.6 Segurana no Ambiente Industrial

A integrao do ambiente operacional com o ambiente corporativo trouxe uma
srie de benefcios. Entretanto um problema que at ento no existia passou a
gerar preocupao: a segurana das redes industriais.
Os requisitos de segurana que devem ser observados so os mesmos do
ambiente corporativo, entretanto a importncia dada a cada um deles muda. Logo, o
termo Sistema Seguro possui significado distinto se aplicado ao mundo gerencial e
ao mundo operacional. No primeiro, os cuidados devem ser tomados para que
pessoas no autorizadas tenham acesso a informaes confidenciais. Alm disso,
algumas falhas, indisponibilidade ou perda de desempenho so aceitveis. J no
segundo, a tolerncia falhas e a disponibilidade so mais rgidas, pois problemas
22
gerados por uma destas situaes podem implicar em riscos segurana de

pessoas.
O professor Constantino Seixas [SEIXAS, 2005] exemplifica esta situao da
seguinte forma: imagine uma fbrica onde um operador ao tentar entrar no sistema
digita sua senha errada e o sistema bloqueia sua entrada, conforme procedimento
estabelecido. Aps a terceira tentativa sua senha cancelada para averiguao do
caso, porm vrios alarmes esto soando e ele precisa urgentemente acessar o
sistema para reconhecimento destes. Nesse caso, a continuidade operacional
(disponibilidade) muito mais importante do que qualquer outro requisito de
segurana de informao (confidencialidade e integridade).
No passado s havia a preocupao com disponibilidade do sistema. Com a
integrao das redes de campo s redes corporativas os outros requisitos de
segurana passaram a consumir grande parte da ateno dos analistas de
segurana. Isso ocorre porque todas as ameaas existentes nas redes corporativas
passaram a fazer parte do mundo operacional, entretanto o nmero de tcnicas e
ferramentas disponveis para proteo no ambiente operacional menor, tornando
este ambiente muito mais vulnervel.
23
Captulo 3 - PROFIBUS (Process Fieldbus)

3.1 Introduo
No incio dos anos 70 os primeiros sistemas fieldbus foram instalados,
entretanto no houve esforos para criao de uma padronizao do protocolo at a
metade dos anos 80 quando a comunidade europia decidiu intensificar os estudos
para criao de um padro internacional.
Em 1987 o governo alemo coordenou um grupo de pesquisa formado por ele,
fabricantes e usurios de equipamentos utilizados em automao com o objetivo de
criar um padro aberto, que seria utilizado na automao de processos industriais.
Foi ento que surgiu o projeto estratgico PROFIBUS, formado por 21 membros,
dentre eles companhias e institutos. O objetivo era a realizao e estabilizao de
um barramento de campo bitserial, sendo o requisito bsico a padronizao da
interface de dispositivo de campo. Por esta razo, os membros relevantes das
companhias do ZVEI (Associao Central da Industria Eltrica) concordaram em
apoiar um conceito tcnico mtuo para manufatura e automao de processos. Um
primeiro passo foi a especificao do protocolo de comunicaes complexas
PROFIBUS FMS (Fieldbus Message Specification - Especificao de Mensagens
Fieldbus), que foi costurado para exigncia de tarefas de comunicao. J nos anos
90 surgiram o PROFIBUS DP (Decentralized Periphery - Periferia Descentralizada) e
o PROFIBUS PA (Process Automation Automao de Processos). Com a
popularizao das redes Ethernet e a crescente integrao entre os ambientes
operacional e corporativo surgiu a necessidade de criao de um protocolo baseado
no protocolo TCP/IP, essa necessidade foi suprida com o lanamento do
PROFINET.
3.2 Padronizao Internacional

O processo de padronizao das redes fieldbus foi essencial para sua
aceitao. A tecnologia PROFIBUS foi padronizada inicialmente pelo DIN
(Deutsches Institut fr Normung ou Instituto Alemo para Normatizao) atravs dos
documentos DIN 19245, Partes 1-3, que foram publicados entre 1991 e 1993. O
passo seguinte foi criar uma padronizao que atingisse todo o meio europeu, dessa
forma surgiram o EN 50170 e EN 50254. Em janeiro de 2000, o PROFIBUS foi
24
firmemente estabelecido com a IEC 61158, ao lado de mais sete outros protocolos,
que foram classificados com protocolos do tipo fieldbus.
O padro IEC 61158 - Digital Data Communication for Measurement and
Control Fieldbus for Use in Industrial Control Systems foi dividido em seis partes
designadas 61158-1, 61158-2, etc. A tabela 3.1 enumera cada uma destas partes.
IEC 61158-1
IEC 61158-2
IEC 61158-3
IEC 61158-4
IEC 61158-5
IEC 61158-6
Part 1: Overview and guidance for the IEC 61158 series

Part 2: Physical layer specification and service definition
Part 3: Data link service definition
Part 4: Data link protocol specification
Part 5: Application layer service definition
Part 6: Application layer protocol specification
Tabela 3.1 - Padro IEC 61158
3.3 Caractersticas Gerais

O PROFIBUS especifica as caractersticas tcnicas e funcionais de um sistema
de comunicao industrial, atravs do qual dispositivos digitais podem se
interconectar desde do nvel de campo at o nvel de clulas [REF DESC TEC
PROFIBUS 2006]. Ele composto por dois tipos de dispositivos, os mestres e os
escravos.
Mestres: so classificados como estaes ativas, pois tem a capacidade de
enviar mensagens mesmo que no tenham sido realizadas requisies
externas, basta que detenham o poder de transmisso no barramento
naquele momento, ou seja, estejam de posse do token.
Escravos: so classificados como estaes passivas, pois realizam

comunicao quando solicitados pelo dispositivo mestre que os controla.
3.4 Arquitetura do Protocolo

O protocolo PROFIBUS baseado no modelo de referncia OSI (Open System
Interconnection), da ISO. Como o modelo da ISO, o PROFIBUS tambm segue a
estrutura de camadas. Alm disso, o protocolo pode ser dividido em trs sees.
25
Perfis de
Aplicao
Protocolos de
Comunicao
Tecnologias de
Transmisso
Figura 3.1 Arquitetura do PROFIBUS.

A partir da figura 3.1 podemos identificar cada uma destas sees.
Tecnologia de transmisso: nesta seo so definidas as caractersticas

fsicas, como o meio fsico em que ser transmitido o sinal e as regras para
acesso ao barramento.
Protocolos de Comunicao: nesta seo so descritos os protocolos que

sero utilizados para comunicao entre dispositivos, sejam eles mestres ou
escravos. Existem duas tecnologias possveis, PROFIBUS FMS e PROFIBUS
DP. A primeira tecnologia faz uso da camada 7 do modelo juntamente com as
camadas 1 e 2. J na segunda as funes da camada de aplicao devem
ser implementadas pelo usurio, no fazendo uso dos servios oferecidos
pela camada 7.
Perfis de Aplicao: neste nvel do protocolo descrito como determinada

aplicao ou equipamento far uso das duas sees anteriores.
26
3.5 Tecnologia de Transmisso

Esta seo engloba as duas camadas inferiores do modelo OSI. Ela
subdividida em duas: Meios Fsicos e Mtodo de Acesso ao Meio.
3.5.1
Meios Fsicos
RS485
Amplamente utilizada por tratar-se de uma tecnologia de fcil manuseio, com
boas taxas de transferncia e baixo custo. Normalmente apenas um cabo de par
tranado blindado suficiente para sua implementao, alm disso, sua topologia
permite que estaes possam ser adicionadas ou retiradas sem necessidade de
reconfigurao, possibilitando expanses futuras. Sua taxa de transmisso pode ser
escolhida entre 9,6 kbit/s e 12 Mbit/s, contudo, somente uma taxa pode ser utilizada
em todo o barramento. Uma demanda por um meio de transmisso intrinsecamente
seguro impulsionou o desenvolvimento do padro RS485-IS. Nesse padro so
estabelecidos limites mximos de corrente para uma dada tenso, garantindo o
funcionamento e evitando acidentes.
IEC 61158-2
Esse padro veio atender demanda criada pelas indstrias qumica e
petroqumica. Trata-se um padro intrinsecamente seguro com um taxa de
transmisso de 31,25 Kbits/s. A energizao dos equipamentos realizada pelo
mesmo cabo que transmite os dados, assim pode ser utilizado em reas
classificadas.
O Instituto Tecnolgico de Fsica da Alemanha desenvolveu um modelo de
barramento para ser utilizado em reas com possibilidade de exploso. Esse modelo
tornou-se um padro internacional e conhecido como FISCO (Fieldbus Intrinsically
Safe Concept).
Para se operar uma rede PROFIBUS em rea classificada necessrio que
todos os componentes utilizados na rea classificada sejam aprovados e certificados
de acordo com o modelo FISCO e IEC 61158-2 por organismos certificadores
autorizados tais como PTB, BVS (Alemanha), UL, FM (EUA). Se todos os
componentes utilizados forem certificados e se as regras para seleo da fonte de
27
alimentao, comprimento de cabo e terminadores forem observadas, ento nenhum

tipo de aprovao adicional do sistema ser requerida para o comissionamento da
rede PROFIBUS [PROFIBUS DESCRIO TCNICA, 2006].
Fibra ptica
Este meio de transmisso utilizado em ambientes onde o nvel de rudo
eletromagntico elevado ou ento quando se deseja aumentar a distncia de
transmisso mantendo-se uma boa taxa de transmisso. Possui um custo elevado,
principalmente em suas pontas, alm disso, h necessidade de mo-de-obra e
equipamentos especializados para sua instalao e manuteno. Existem
fabricantes que disponibilizam dispositivos capazes de realizar a converso de sinal
RS485 para fibra ptica e vice-versa, criando uma facilidade de troca entre os dois
meios.
3.5.2 Mtodo de Acesso ao Meio

Neste ponto do protocolo sero definidas as regras para que uma estao
mestre tenha acesso ao barramento. A figura 3.2 mostra uma rede PROFIBUS
composta por trs estaes mestre e por sete estaes escravas. A estao Master
1 comanda os trs primeiros escravos. Master 2 controla os escravos 4 e 5. J
Master 3 comunica-se com os escravos 6 e 7. As estaes mestre formam entre si
um anel lgico, desta forma cada uma ter acesso ao meio quando estiver de posse
do token, ou seja, poder transmitir ou requisitar informaes de seus escravos ou
comunicar-se com os outros mestres.
28
Figura 3.2 Rede PROFIBUS formada por 3 estaes mestre e 7 estaes

escravos.
O tempo que cada estao ir dispor do token ser definido no momento da
inicializao da rede. Esse tempo dever levar em considerao o tempo do
processo que est sendo controlado e o nmero de estaes mestre que formam o
anel. importante que o tempo de cliclo do token, ou seja, o tempo necessrio para
que o token passe por todas as estaes mestre seja inferior ao tempo de controle
do processo.
No exemplo da figura 3.2 a estao Master 1 ter a posse do token por um
tempo T, durante este tempo ela poder requisitar ou enviar informaes para Slave
1, Slave 2 ou Slave 3, alm disso, poder comunicar-se com as estaes Master 2
e Master 3. Findo o tempo T o token dever ser passado para Master 2, que deter
o token por um tempo T tambm e poder comunicar-se com Slave 4 e Slave 5 ou
ento trocar informaes com os outros dois Master. Em seguida o token ser
passado a Master 3 que realizar a comunicao necessria com seus escravos e
outros mestres durante o mesmo tempo T. Quando todos os mestres j tiverem a
posse do token pelo tempo T, um ciclo de token ser completado e o mesmo ser
passado novamente ao primeiro mestre do anel, gerando um processo cclico. Este
protocolo garante que nenhum mestre tentar ocupar o meio quando um outro
mestre estiver transmitindo.
29
3.6 Protocolos de Comunicao

3.6.1
PROFIBUS DP
Este protocolo foi projetado para especificar a comunicao entre os

dispositivos controladores, PLCs, por exemplo, e os dispositivos de campo, como
vlvulas, atuadores, etc. A transmisso de dados realizada atravs de um link
serial de alta velocidade, abrangendo a faixa de 9,6 kbit/s a 12 Mbit/s. Existem dois
grupos de funes de comunicao utilizadas no PROFIBUS DP:
Funes Bsicas: esto disponveis em todas as verses do protocolo e so

especificadas no documento EM 50170. Com elas possvel que o mestre
leia ou escreva dados em seus escravos ciclicamente. importante frisar que
o tempo de ciclo do barramento deve ser menor do que o tempo de leitura do
programa do PLC.
Funes Estendidas: alm da leitura e escrita cclica nos escravos, existem

funes
que
permitem
leitura,
escrita,
diagnstico,
configurao
manipulao de alarmes. Estas funes so executadas de forma acclica e

esto presentes em dispositivos de campo inteligentes. So especificadas no
documento PROFIBUS 2.042.
Existem trs verses do protocolo disponveis, o DP-V0, DP-V1 e DP-V2:
DP-V0: fornece as funcionalidades bsicas do protocolo, como leitura e

escrita nos escravos, alm disso, funes de diagnstico da estao, do canal
esto disponveis. Todas as funes so realizadas de forma cclica.
DP-V1: incorporou a possibilidade comunicao acclica, permitindo que

funes de parametrizao, operao, visualizao e manipulao de
alarmes possam ser executadas de forma paralela s funes cclicas.
DP-V2: surgiu com algumas funcionalidades novas, como comunicao

escravo-escravo, sincronizao de dispositivos atravs de um relgio
diferente do barramento e possibilidade de upload e download de arquivos
nos dispositivos de campo, permitindo que atualizaes de programas
possam ser realizadas sem a necessidade de carga manual diretamente no
dispositivo.
30
O sistema que utiliza o PROFIBUS DP pode ser configurado na forma mono ou

multi-mestre e possuir trs componentes: Classe-1 DP Master, Classe-2 DP Master
e DP Slave.
Classe-1 DP Master (DPM1): este tipo de controlador, em conjunto com seus

escravos, forma um subsistema independente, onde um mestre l e escreve
dados em seus escravos especficos
Classe-2 DP Master (DPM2): utilizado geralmente no processo de

comissionamento1 da planta ou ento para monitoramento e configurao.
Sua insero no obrigatria.
DP Slave: so os dispositivos perifricos (dispositivos de I/O, drivers, IHM,

vlvulas, etc) responsveis pela leitura da varivel a ser controlada e envio do
valor lido ao controlador, quando solicitado.
A figura 3.3 mostra um sistema mono-mestre comunicando-se com seus
escravos. possvel verificar que como s existe um controlador, que pode ser um
PLC, SDCD ou PC Industrial. O tempo de ciclo de barramento zero, assim o
controlador no precisa passar o token para um prximo controlador, dessa forma a
resposta do sistema fica limitada s respostas dos dispositivos de campo. Neste tipo
de configurao possvel que 125 escravos sejam conectados a um mestre pelo
mesmo barramento.
Comissionamento: fase em que os sistemas so testados e ajustados antes que a planta industrial
entre em funcionamento
31
Figura 3.3 Sistema PROFIBUS DP mono-mestre [PROFIBUS DESCRIO

TCNICA 2006].
J a figura 3.4 ilustra um sistema multi-mestre formado por dois controladores
do tipo DP-1 Master. Neste sistema h o tempo de passagem do token entre os
controladores, dessa forma, o ciclo deste sistema mais longo do que sistemas
mono-mestre.
importante
ressaltar
que
cada
controlador
comunica-se
exclusivamente com seus escravos, logo um benefcio desta formao a diviso

de tarefas e, conseqentemente uma diviso de carga entre os dispositivos. No caso
o PLC comunica-se com o Remote I/O e com algum equipamento da rede Profibus
PA. J o PC Industrial realiza comunicao com os Drivers e com algum outro
equipamento da rede PROFIBUS PA, diferente do que est se comunicando com o
PLC. Dessa forma, h a formao de dois sub-sistemas independentes em termos
de funcionalidades que possuem em comum o mesmo barramento de acesso.
Figura 3.4 Sistema PROFIBUS DP multi-mestre [PROFIBUS DESCRIO

TCNICA 2006].
3.6.2 PROFIBUS FMS

Foi o primeiro protocolo de comunicao a ser finalizado, mais completo e
pesado do que o PROFIBUS DP. Foi implementado com o objetivo de criar meios
32
para a comunicao entre dispositivos controladores. Entretanto, no mais

indicado como parte do PROFIBUS International, ou seja, no mais recomendado
pelo comit gestor do PROFIBUS, por isso no ser explicado em detalhes.
3.7 Perfis de Aplicao

Os perfis de aplicao iro definir as caractersticas e o comportamento das
aplicaes que atuaro nas redes PROFIBUS. Suas especificaes so definidas
em conjuntos com os fabricantes e usurios e devem seguir recomendaes
definidas pela famlia do perfil ao qual pertencem. Existem diversos perfis de
aplicao como: PROFIsafe, HART on PROFIBUS DP, Time Stamp, PROFIBUS PA,
etc.
3.7.1
PROFIBUS PA
Este protocolo define o uso do PROFIBUS em dispositivos e aplicaes tpicas

de automao e controle de processos [PROFIBUS DESCRIO TCNICA 2006].
Seu perfil est descrito no documento 3.042 da Associao PROFIBUS. Pode
utilizar qualquer um dos meios fsicos permitidos pelo PROFIBUS, alm disso, utiliza
como protocolo de comunicao o PROFIBUS DP.
O PROFIBUS PA define os parmetros dos dispositivos de campo tpicos,
possibilitando assim intercambialidade dos dispositivos e independncia do
fabricante, para isso faz uso de um modelo chamado de Blocos de Funes
(Function Blocks).
A principal caracterstica que impulsionou este protocolo foi a capacidade de
transmisso de informao e dados em um nico par de fios, desta forma foi
possvel utiliz-lo em reas classificadas.
33
Figura 3.5 - Rede PROFIBUS PA.

A figura 3.5 um exemplo de uma rede PROFIBUS composta por dois
segmentos distintos. A rede azul representa um ambiente com risco de exploso,
logo utilizado o PROFIBUS PA em conjunto com o meio de fsico IEC 611158-2.
interessante ressaltar que os equipamentos que formam a rede PROFIBUS PA no
se comunicam diretamente com o restante da rede PROFIBUS, h a necessidade de
insero de um elemento acoplador chamando Segment Coupler ou Link,
responsvel por fazer a converso de eltrica e lgica dos sinais. Entretanto, no h
necessidade de insero de um elemento controlador exclusivo na rede PROFIBUS
PA, como pode ser visto o controlador utilizado nico para ambos os segmentos.
3.8 PROFInet
PROFInet uma verso do protocolo PROFIBUS que utiliza o padro Ethernet
para comunicao com os dispositivos de campo. Este protocolo surgiu em resposta
s necessidades do mercado de utilizao de tecnologias mais difundidas, pois
desta forma a construo de sistemas baseados nessas tecnologias torna-se menos
custosa. Alm disso, a manuteno deste tipo de sistema exige mo-de-obra menos
especializada, consequentemente mais barata.
34
3.8.1
Estrutura do PROFInet
A estrutura do PROFInet similar do PROFIBUS DP, onde h um dispositivo

controlador que gerencia alguns dispositivos de campo.
Figura 3.6 Exemplo de uma rede PROFInet com seus componentes.

A figura 3.6 um exemplo de uma rede PROFInet. Os dispositivos escravos do
PROFIBUS DP so chamados de IO-Devices e o Controlador de IO-Controller. A
principal diferena entre os dois protocolos o barramento, que no PROFInet segue
o padro IEEE 802.3, tambm conhecido como Ethernet. Alm disso, o mtodo de
acesso mestre-escravo do PROFIBUS DP deu lugar ao modelo produtorconsumidor.
Os dispositivos que compe o protocolo PROFInet so divididos em trs
grupos:
IO-Controller: o dispositivo em que o programa de controle executado,

geralmente um PLC.
IO-Device: dispositivo de campo, responsvel por realizar a leitura das

variveis de controle e disponibilizar os dados para o IO-Controller.
IO Supervisor: um dispositivo no obrigatrio na rede, geralmente

representado por um PC que tem por objetivo realizar diagnsticos na rede e
auxiliar no comissionamento da planta.
3.8.2 Comunicao PROFInet

O modelo de comunicao baseado no padro Ethernet do PROFInet pode ser
definido em trs nveis. A classificao leva em considerao o tempo de resposta
35
necessrio para cada etapa da comunicao entre os dispositivos e o tipo de

aplicao que est sendo executada.
Comunicao padro utilizando TCP/UDP: os dois protocolos de transporte

so utilizados juntamente com o protocolo IP para transferncia de dados que
no possuem tempo crtico, utilizados na parametrizao e configurao do
sistema. por meio deste modelo de comunicao que ocorre a integrao
entre a rede do nvel operacional e as redes pertencentes aos nveis
gerenciais.
Soft Real Time (SRT): este tipo de comunicao utilizado para atender
demanda dos processos de automao em tempo real.
Este canal de
comunicao baseado na camada 2 do modelo TCP/IP, isto significa que as

funcionalidades presentes nas camadas superiores so deixadas a cargo da
aplicao, sendo assim o tempo necessrio para preparao dos pacotes que
sero transmitidos na rede e o tamanho dos mesmos reduzido. Esse
processo de otimizao na preparao e transferncia dos dados no
suficiente para garantia dos tempos necessrios s aplicaes de tempo real,
desta forma, utilizado um mecanismo de priorizao de pacotes. Isso
garante a prioridade de transmisso dos pacotes pertencentes s aplicaes
de tempo real, possibilitando que o PROFInet atenda aos requisitos deste tipo
de aplicao.
Isochronous Real Time (IRT): embora o modelo de comunicao Soft Real

Time atenda de forma satisfatria grande parte das aplicaes de tempo real,
existem algumas, como o controle de movimento de robs, por exemplo, em
que o tempo de atualizao dos dados tem que ser prximo de 1ms. Para
esta classe de aplicaes foi desenvolvido o IRT. A implementao deste tipo
de comunicao baseia-se na diviso do ciclo de comunicao em duas
partes: determinstica (Deterministic Communication) e no determinstica
(Open Communication).
36
Figura 3.7 Diviso do ciclo de comunicao, possibilitando a implementao de

aplicaes baseadas em IRT.
Na primeira parte so transmitidos os dados crticos e que tem tempo definido
para transmisso e recepo. J na segunda parte so enviados os dados baseados
no TCP/IP. Este tipo de abordagem permite que os dados crticos sejam transferidos
mesmo que haja uma grande quantidade de dados no crticos aguardando para
serem enviados.
A comunicao inicial entre o controlador e os dispositivos de campo
estabelecida utilizando-se o TCP/IP. Atravs desta conexo inicial realizada a
configurao, parametrizao e diagnsticos dos dispositivos de campo. O passo
seguinte consiste na configurao ou no de uma conexo para transmisso de
dados em tempo real. Caso a aplicao no possua dados que precisam ser
transmitidos em tempos crticos, as informaes sero trocadas normalmente entre
controlador e dispositivos de campo no modelo produtor-consumidor, de forma
cclica e atravs do TCP/IP.
3.8.3 Modelo de Objetos PROFInet

O modelo PROFInet foi baseado na tecnologia de Orientao a Objetos, onde
dispositivos do mundo real so representados como objetos no mundo
computacional. Os objetos so caracterizados por dois tipos de componentes:
mtodos, que so funes que um determinado objeto capaz de realizar, eles
estabelecem o comportamento do objeto diante de determinada situao e por
atributos, que so dados ou informaes a respeito do objeto.
O protocolo PROFInet define um modelo de objeto que deve ser seguido por
todos os fabricantes que desejam implementar dispositivos que seguem o padro.
37
Figura 3.8 Modelo de objeto PROFInet.

A figura 3.8 apresenta os diversos componentes de um objeto PROFInet. Cada
dispositivo de hardware representado por um nico dispositivo fsico (Physical
Device). J um dispositivo fsico pode conter vrios dispositivos lgicos (Logical
Device) que so softwares rodando no dispositivo fsico e que representam um
dispositivo de campo (vlvula, controlador, driver, etc) realizando uma tarefa no
processo de automao.
Um dispositivo lgico tem associado a ele um mdulo chamado ACCO (Active
Control Connection Object). Este mdulo responsvel por oferecer a possibilidade
de comunicao com os dispositivos lgicos.
Um dispositivo lgico pode ser formado por um ou vrios RT-Autos, que so
abrastraes de objetos relacionados ao processo de automao.
3.8.4 Integrao com outros sistemas

Existem duas maneiras de prover a integrao de uma rede PROFInet com
uma rede que atenda a outro protocolo. A figura 3.9 apresenta uma rede onde
ocorre a integrao das duas maneira possveis.
38
Figura 3.9 Integrao PROFInet com outros sistemas.
Atravs de Proxy: esta opo insere um mecanismo capaz de converter os

dados de uma rede para outra, mantendo seu significado. Desta forma, os
dispositivos de campo que esto interligados pelo barramento Fieldbus X so
representados por um IO Device.
Atravs de Aplicao: atravs desta forma de integrao uma aplicao

inteira mapeada como um componente PROFInet, ou seja, a rede
PROFInet no conhece os componentes individualmente, somente o
processo como um todo. No exemplo da figura 3.9 a rede PROFIBUS
mapeada como um componente da rede PROFInet, este mapeamento
realizado pelo controlador da rede PROFIBUS.
3.8.5 Tecnologias de Rede

Algumas tecnologias utilizadas nas redes corporativas foram transferidas para
o mundo operacional com a criao do PROFInet.
Endereamento: como o protocolo utiliza o sistema de endereamento IP h

a necessidade de definio de uma poltica para atribuio destes endereos
a cada um dos dispositivos presentes na rede. Apesar de no ser obrigatria
a implementao do padro DHCP (Dynamic Host Configuration Protocol),
este tem se tornado um padro de facto, pois a maioria dos equipamentos
fabricados segue este padro.
39
Gerncia: da mesma forma que o DHCP, no h obrigatoriedade de

implementao do padro SNMP (Simple Network Management Protocol)
para gerncia de rede, entretanto a maioria dos fabricantes que fornecem
este tipo de funcionalidade em seus dispositivos utiliza este protocolo.
Atravs destas tecnologias diversas ferramentas de monitoramento e
configurao de redes Ethernet podem ser utilizadas em redes industriais.
3.8.6 Integrao Web

Alm do acesso atravs da rede local aos dispositivos que compe o
PROFInet, h a possibilidade de acesso por meio da internet e/ou intranet. Isso
possvel atravs da insero de um modulo adicional chamado Web Integration.
Esse mdulo utiliza diversas tecnologias disponveis no mercado e que tem uso
difundido no meio acadmico e comercial. Dentre estas tecnologias podem ser
citadas: utilizao de navegadores web como clientes, protocolo HTTP como
protocolo de comunicao, HTML e XML como linguagem de formatao dos dados
a serem exibidos pelos clientes e servidores web de uso especfico (desenvolvido
e/ou fornecido pelo fabricante do dispositivo PROFInet) ou de uso geral, como IIS ou
Apache.
O protocolo utiliza a tecnologia de Web Services para integrao entre as
aplicaes
os
dispositivos
PROFInet.
Dessa
forma,
existem
diversas
possibilidades de trocas de dados entre sistemas distintos, como a comunicao

entre clientes web e dispositivos de campo, ou ento entre dispositivos de campo e
sistemas ERP. Esta ltima forma de integrao promover a integrao entre os
mundos operacional e corporativo.
Existem algumas possibilidades de interao entre os componentes do
PROFInet.
40
D
B
A
C
Figura 3.10 Cenrios possveis para Integrao Web

A figura 3.10 apresenta os cenrios disponveis no padro PROFInet para
Integrao Web.
Servidor Web integrado ao dispositivo PROFInet (A): o servidor web est

completamente integrado ao dispositivo fsico, sendo que os dois possuem o
mesmo endereo IP.
Servidor Web externo (B): o servidor web est conectado rede local
atravs do barramento Ethernet, podendo controlar vrios dispositivos de
campo. Alm disso, o servidor possui um endereo IP diferente dos
dispositivos e a comunicao realizada atravs do protocolo DCOM.
Proxy PROFInet com Web Server (C): sob o ponto de vista do PROFInet,
no h distino entre um proxy e um outro dispositivo. Dessa forma existe a
possibilidade do servidor web estar integrado ao proxy ou estar externo. Na
figura 3.10, parte C a segunda possibilidade utilizada.
Servidores web combinados com um Plant Web Server (D): nesta

configurao o acesso aos servidores web no feito diretamente. Assim,
sempre que um cliente desejar fazer um acesso a um dispositivo de campo, a
requisio ser inicialmente atendida pelo Plant Web Server que ir acessar o
41
servidor web correspondente, que por sua vez far acesso ao dispositivo de
campo.
3.9 Aspectos de Segurana do Protocolo

Esta seo apresenta consideraes a respeito da segurana dos protocolos
PROFIBUS e PROFInet. importante ressaltar que erros nos processos de
automao causados por falhas de segurana da rede que os controla podem trazer
srios problemas, no s de vazamento de informaes confidenciais, mas tambm
de danos a equipamentos e, possivelmente, riscos integridade dos trabalhadores
do ambiente fabril.
A seguir so apresentadas algumas situaes onde h possibilidade de falha
de segurana no protocolo, sendo realizadas as anlises do risco e impacto deste
tipo de vulnerabilidade.
3.9.1
Acesso no autorizado
Este tipo de vulnerabilidade tem como objetivo obter acesso privilegiado em um

computador para controlar suas atividades. Dessa forma, o invasor tem a
possibilidade de obter informaes sobre o processo, bem como alterar
caractersticas do funcionamento do mesmo. classificada como de alto risco, pois
as conseqncias da alterao do funcionamento de um computador controlador de
um processo industrial podem ser catastrficas.
O acesso no autorizado pode ser obtido explorando-se falhas de configurao
do mtodo de autenticao, falhas do sistema operacional, entre outras.
PROFIBUS
Facilidade para realizar a invaso: baixa, pelo fato das redes geralmente
serem isoladas. Dessa forma o invasor teria que conectar-se fisicamente
rede para tentar o ataque. Entretanto, mesmo que tivesse acesso ao
ambiente onde a rede est instalada, o invasor teria que conhecer as
caractersticas do PROFIBUS, como endereamento, mtodos de acesso ao
meio, mtodo de comunicao entre dispositivos, etc. importante ressaltar
que essas caractersticas no seguem os padres difundidos no mercado. A
facilidade pode aumentar se ocorrer uma situao onde o papel de
42
controlador da rede executado por um computador, e este est ligado

outras redes, pois dessa forma o invasor pode tentar o ataque atravs da
rede corporativa.
Impacto no processo: alto, pois caso o invasor tenha acesso privilegiado ao

dispositivo controlador da rede, ele poder fazer alteraes nos parmetros
de controle do processo e dependendo do grau dessas alteraes, acidentes
graves podem ocorrer.
Medidas de segurana adotadas no protocolo: na especificao do

protocolo no h definies sobre este tipo de vulnerabilidade.
Comentrios: o fato das redes geralmente serem isoladas contribui para uma
diminuio da probabilidade dessa falha ocorrer, entretanto esse fato pode ter
efeito contrrio, visto que no h preocupao alguma com segurana. Isto
confirmado pela no incluso de medidas de segurana na especificao do
protocolo, logo um projetista no ter conscincia de que sua rede poder
sofrer um ataque, principalmente se o cenrio onde o controlador integrado
rede corporativa ocorrer. Dessa forma, importante ressaltar que medidas
de segurana devem ser tomadas. A principal delas proteo do
computador que far o papel de controlador (cenrio proposto), garantindo
que: seu sistema operacional esteja sempre com as ltimas atualizaes, as
portas do protocolo TCP/IP que no esto sendo utilizadas estejam fechadas,
o sistema de autenticao de usurios esteja configurado corretamente,
compartilhamentos estejam devidamente configurados, etc. Vale lembrar que
caso uma invaso ocorra, o impacto poder ser muito alto.
PROFInet
Facilidade para realizar a invaso: mdia, a diferena em relao ao

PROFIBUS ocorre pelo fato do PROFInet utilizar tecnologias bastante
difundidas no mercado, como endereamento IP e Ethernet. Esse fato
aumenta a facilidade de conexo de um dispositivo novo na rede, pois basta
que o invasor utilize um computador com uma placa de rede comum, ou seja,
que siga o padro Ethernet, e que seu sistema suporte o modelo de
endereamento DHCP para estar conectado fisicamente rede. A partir da o
invasor poder utilizar diversas tcnicas e explorar falhas dos sistemas para
conseguir tomar o controle de alguma mquina da rede. Outra possibilidade
43
de se tentar tomar o controle de alguma das mquinas da rede atravs do

modelo de integrao web proposto pelo protocolo. Atravs dele o invasor
pode explorar as vulnerabilidades dos servidores web, como configurao do
sistema de autenticao de usurios inadequada, portas no utilizadas
abertas, permisso para execuo de cdigo maliciosos dentro do servidor,
entre outros.
Impacto no processo: alto, pois caso o invasor tenha acesso privilegiado a

algum dispositivo da rede, ele poder fazer alteraes nos parmetros de
controle do processo e dependendo do grau dessas alteraes, acidentes
graves podem ocorrer.
Medidas de segurana adotadas no protocolo: a especificao do

protocolo deixa a cargo dos fornecedores de equipamentos e dos usurios a
proteo contra vulnerabilidades. Dessa forma h apenas sugestes, como o
uso de firewall, SSL, entre outros. Alm disso, cabe ao administrador do
sistema a configurao correta do sistema de autenticao, dos nveis de
acesso dos web services alm da escolha de quais informaes estaro
disponveis para consulta e/ou escrita na internet atravs destes mesmos web
services. Na seo sobre segurana do protocolo h sugesto para que
sejam disponibilizadas apenas informaes para leitura de dados
Comentrios: a especificao do protocolo apenas cita esta vulnerabilidade,

entretanto, deixa a cargo dos implementadores e dos usurios a
responsabilidade de evitar este tipo de ataque. Isso pode ser considerado
como uma grande falha de segurana, pois a ausncia de um rgido padro
de segurana sobre um servio crtico e que est disponvel na internet pode
causar grandes danos. Dessa forma, o especialista em rede deve fazer uma
anlise ampla sobre quais servios sero disponibilizados atravs de web
services e a forma como esses servios foram implementados. O protocolo
sugere
em
sua
seo
de
segurana,
como
uma
boa
prtica,
disponibilizao apenas de opes de leitura de informaes atravs dos web

services, entretanto na seo em que so apresentados os modelos de
integrao web, a possibilidade da configurao de parmetros do processo
de automao de forma remota atravs da internet tida como um grande
benefcio do PROFInet. Sendo assim h o incentivo de uma tecnologia sem a
especificao de segurana adequada.
44
3.9.2 Ataque Distribudo de Negao de Servio

Um ataque de negao de servio (Denial of Service DoS), no possui o
objetivo de invadir um sistema, mas sim de tornar seus recursos indisponveis para
seus utilizadores atravs de uma sobrecarga. H duas maneiras de realizar este tipo
de ataque:
Consumir todos os recursos do sistema vtima de forma que ele no possa

mais fornecer seu servio adequadamente.
Obstruir a mdia de comunicao entre os utilizadores e o sistema vtima,

impedindo a comunicao entre eles.
Uma variao mais eficiente do DoS o Ataque Distribudo de Negao de
Servio (Distributed Denial of Service- DDoS). Este tipo de ataque consiste em um

ataque de negao de servio ampliado pela instalao de vrios agentes remotos
instalados em muitos computadores distribudos pela internet. O atacante consegue
coordenar os diversos zumbis (computadores que foram invadidos e agora so
controlados pelo atacante) de forma que todos iniciem o ataque a um determinado
alvo ao mesmo tempo. Trata-se de uma tcnica muito eficiente, pois a dificuldade
para localizao do atacante principal grande e no h muitas contramedidas a
serem tomadas quando o ataque ocorre.
PROFIBUS
Facilidade para realizar o ataque: muito baixa, pelo fato das redes
geralmente serem isoladas. Mesmo que o papel do controlador seja
executado por um computador conectado a uma rede corporativa,
provavelmente este dispositivo no ser publicado na internet.
Impacto no processo: mdio, pois caso o invasor consiga realizar este tipo
de ataque em um computador executando o papel de um controlador o
atacante poder consumir os recursos do dispositivo impedindo que o mesmo
realize o controle do processo de forma eficiente.

protocolo no h definies sobre este tipo de vulnerabilidade.
Comentrios: apesar deste tipo de ataque ser muito eficiente, h uma baixa
probabilidade de ocorrer em redes PROFIBUS. Entretanto, deve-se
considerar a situao em que um computador exerce o papel de controlador e
45
este est ligado a uma rede corporativa. Neste caso importante que o
administrador do sistema no utilize este computador para fornecimento de
servios que estejam disponveis na internet, pois caso isto ocorra o
controlador e consequentemente a malha de controle se tornaro alvos para
este tipo de ataque.
PROFInet
Facilidade para realizar o ataque: alta, pois como foi visto na seo
Integrao Web, h a presena de servidores web na rede PROFInet. Eles
podem estar embarcados no dispositivo PROFInet, seja ele um controlador ou
dispositivo de campo, ou conectados rede. Dessa forma, esses servidores
tornam-se alvos para o ataque, pois disponibilizam servios atravs da
internet, bastando que o atacante tenha conhecimento do endereo de cada
um deles.
Impacto no processo: alto. Existem duas possibilidades quem devem ser

avaliadas quanto a este tipo de ataque. A primeira ocorre quando o servidor
web est integrado a um dispositivo PROFInet. Neste caso o impacto ser
alto porque o dispositivo vtima do ataque perder a capacidade de realizar
sua tarefa, comprometendo o sistema de controle. Na segunda possibilidade
o servidor web est apenas conectado rede PROFInet. O impacto tambm
ser alto quando esta situao ocorrer, pois o intenso trfego gerado na rede
ir comprometer a comunicao entre os controladores e os dispositivos de
campo.

protocolo no h informaes a respeito de medidas de preveno ou
contramedidas contra este tipo de ataque.
Comentrios: apesar da especificao do protocolo no fazer citao a

respeito deste tipo de ataque, importante ressaltar que trata-se de um dos
mais eficientes e que pode trazer grandes danos. Dessa forma, importante
que o administrador da rede esteja preparado para agir quando o ataque
acontecer. Algumas prticas podem ser utilizadas para preveno e reao,
como o uso de ferramentas que detectam o grande volume de trfego na rede
e avisam o administrador, o uso de firewall pode ser adequado porque depois
46
de detectado o ataque ele pode ser configurado para descartar os pacotes

direcionados a um determinado n da rede. Dessa forma o servio no estar
disponvel na internet, mas a malha de controle no ser afetada. Outra
tcnica consiste no uso de sistemas redundantes. O PROFInet permite que
haja dispositivos redundantes na rede, assim o administrador ao detectar um
ataque pode desligar o dispositivo que est atuando como principal,
permitindo que o dispositivo redundante entre em ao, isso faz com que o
alvo do ataque deixe de existir e a malha de controle continue em operao.
3.9.3 Vrus e pragas similares

O vrus um programa capaz de causar dano a um ou mais elementos de uma
rede. Alm dos vrus, h outras pragas que possuem forma similar de contaminao
e promovem danos diversos, so eles os Cavalos-de-tria, Worms, Spywares,
Keyloggers, etc. Pelo fato de serem responsveis por grandes estragos em diversas
redes do mundo inteiro, ser realizada uma anlise sobre estes tipos de programas.
PROFIBUS
Facilidade para realizar a infeco: mdia-baixa, pelo fato das redes

geralmente serem isoladas. Caso o papel do controlador seja executado por
um computador conectado a uma rede corporativa, o risco poder aumentar,
caso contrrio ser muito baixo, pois no existem vrus ou outras pragas
desenvolvidas para redes que rodem protocolos especficos, como o
PROFIBUS.
Impacto no processo: alto, pois caso o papel de controlador esteja sendo

executado por um computador e este seja infectado, o processo de controle
da planta ser comprometido.

protocolo no h definies sobre este tipo de ameaa.
Comentrios: este tipo de ameaa no existia at o momento em que surgiu

a possibilidade de conexo de um dispositivo da rede PROFIBUS a uma rede
corporativa, sendo assim no h preocupao dos administradores dos
sistemas. Entretanto, o nmero de vrus que circula nas redes de todo o
mundo e o despreparo dos usurios sobre a questo contribui para que
47
muitas redes sejam infectadas. Logo, alguns cuidados devem ser tomados,
como instalao e atualizao constante de dispositivos antivrus no
dispositivo que faz parte das duas redes, treinamento dos usurios da rede
corporativa sobre o comportamento adequado para que infeces sejam
evitadas, entre outros.
PROFInet
Facilidade para realizar a infeco: mdia-alta. A utilizao de tecnologias

difundidas como base para a rede PROFInet proporciona uma facilidade para
propagao dos vrus. Alm disso, o uso de sistemas operacionais comuns
(Windows, por exemplo) e a conexo de dispositivos PROFInet com a
internet, contribuem para aumentar o risco de infeco.
Impacto no processo: alto, pois como dito anteriormente um vrus pode se

propagar para diversos dispositivos da rede. Dessa forma, a infeco de um
dispositivo da rede pode ser o suficiente para desencadear uma srie de
infeces, comprometendo todo o processo de controle.

protocolo no h informaes a respeito de medidas de preveno contra
este tipo de ameaa.
Comentrios: este tipo de ameaa pode ser encarada como um srio risco a
rede PROFInet, pois a vulnerabilidade de um n pode significar o
comprometimento de toda a rede. Logo importante que o administrador seja
capaz de identificar e proteger todos os possveis pontos de infeco,
instalando sistemas de proteo antivrus e mantendo atualizados e
configurados os sistemas operacionais de todos os dispositivos. Outro fator
importante treinar os usurios da rede corporativa, pois grande parte dos
vrus consegue realizar a infeco devido falta de preparo dos mesmos.
3.10 Concluses Parciais

O fato de o protocolo PROFIBUS ter surgido em uma poca em que as
ameaas de invaso, ataques e pragas da internet no existiam contribuiu para o
baixo nvel de preocupao com sua segurana. Alm disso, os equipamentos at
48
ento utilizados eram especficos, dessa forma o ataque ou vrus deveria ser
especfico. Contudo, com a utilizao de computadores executando papel de
dispositivos da rede, abre-se uma brecha de segurana que pode ser explorada e
que pode gerar falhas nos sistemas de controle.
Em contrapartida, o PROFInet foi criado para suprir a necessidade de uso de
equipamentos difundidos no mercado, que possuem baixo custo de implantao e
manuteno. Entretanto, no houve a preocupao devida com esse tipo de rede,
pois a especificao do protocolo deixa a cargo dos implementadores toda e
qualquer medida para proteo das redes. Isso faz com que falhas graves possam
ser exploradas, comprometendo de forma significativa as malhas de controle.
Independente do protocolo utilizado, fica claro a falta de preocupao com a
segurana das redes PROFIBUS/PROFInet. Dessa forma, importante que seja
criada uma cultura sobre segurana no ambiente industrial, que at ento no
existe.
49
Captulo 4 - Foundation Fieldbus
4.1 Introduo
Na dcada de 80 o uso de redes do tipo fieldbus apresentava um ritmo
acelerado de crescimento. A padronizao torna-se necessria. Dessa forma, em
1985, a ISA International Society for Measurement and Control, juntamente com o
IEC International Eletrotechnical Committee, uniram esforos para criao de um
padro internacional que trataria da comunicao entre dispositivos de campo e
sistemas de controle, utilizados no controle de processo e manufatura.
O processo de criao do padro foi muito longo, por isso, fabricantes e
usurios finais da indstria de controle uniram-se e comearam a utilizar as partes
do padro at ento desenvolvidas confiando que o restante seria publicado em
breve. Foi ento constituda uma organizao de todos os principais fabricantes
chamada Foundation Fieldbus, que tinha como objetivo construir uma base de
implementao e apoio ao IEC, fazendo com que os equipamentos fossem
desenvolvidos conforme o padro Foundation Fieldbus. Essa organizao criada em
1994 vem usando os recursos das companhias associadas para definir e testar o
protocolo padro. Como havia partes no descritas ainda pelo IEC, e a necessidade
de padronizao crescia, a organizao formada pelas empresas e o IEC fizeram
um acordo, onde as partes faltantes seriam definidas pela Foundation Fieldbus, com
o apoio do IEC, desde que essas partes fossem acrescentadas no documento final
oficial.
Em seu estado atual, alm de compor a norma internacional IEC 61158, a qual
foi adotada nacionalmente pela ABNT, tambm figura na norma europia CENELEC
EN 50170 [PANTONI, 2006].
4.2 Caractersticas Gerais

FF um protocolo de comunicao determinstico, bidirecional, digital e
multiponto, baseado no modelo de referncia OSI/ISO de sete camadas para
protocolos de comunicao digitais [ISO/IEC 7498-1, 1994].
50
Assim como todos os protocolos definidos na norma IEC 61158, o FF

compactado em apenas trs camadas de rede: camada fsica (nmero 1), camada
de enlace (nmero 2) e de aplicao (nmero 7), alm de uma camada de usurio,
que baseada em processos de aplicao de blocos funcionais e situada
hierarquicamente acima das camadas de rede que compem o chamado stack
(pilha) de comunicao [PANTONI, 2006], como apresentado na figura 4.1.
Figura 4.1 Correspondncia entre modelo OSI e estrutura do FIELDBUS.

Em uma anlise preliminar, o FF pode ser dividido em nvel fsico (Physical
Layer) que corresponde camada fsica do modelo OSI e responsvel pela
definio das tcnicas de interligao dos instrumentos e nveis de software
(Communication Stack) que tratam da comunicao digital entre os equipamentos.
Existem trs implementaes, ou tipos, definidos na norma IEC 61784 para o
protocolo FF: H1, H2 e HSE.
4.3 Foundation Fieldbus H1 (FF H1)

O FF H1 um protocolo desenvolvido para comunicao em tempo real dos
dispositivos de campo. Seu objetivo contempla a interligao de equipamentos
diferentes construdos por diversos fabricantes.
Principais caractersticas do FF H1:
Utiliza o conceito de mensagens para troca de informaes entre os
dispositivos.
As informaes so transmitidas de forma serial, bit a bit.
51
Possibilidade comunicao half-duplex.

Comunicao com diversos dispositivos da rede ao mesmo tempo.
Figura 4.2 Rede Fieldbus.

A figura 4.2 mostra uma rede formada por equipamentos de campo interligados
por uma rede FF H1. O protocolo implementa o conceito de descentralizao, desta
forma, possvel distribuir as funcionalidades de controle entre os dispositivos.
4.3.1 Camada Fsica

A camada fsica do protocolo H1 padronizada pela norma IEC 61158-2 e
proporciona uma velocidade de transmisso de 31.25 Kbps.
A rede formada por um barramento, onde so conectados os diversos
dispositivos. Podem ser conectados ao tronco de 2 a 32 dispositivos quando o
ambiente no requer segurana intrnseca e com fonte de alimentao separada, no
entanto esse nmero varia de acordo com as exigncias de segurana do ambiente.
O comprimento da somatria dos cabos (includos os sub-barramentos) no
pode ultrapassar 1900 metros, podendo ser ampliada caso sejam utilizados
repetidores, limitados a 4. Outro fato importante que os cabos so polarizados,
dessa forma, uma inverso pode causar danos aos equipamentos.
52
4.3.2 Topologias
Existem diversas topologias possveis para construo de uma rede FF H1. A
figura 4.3 apresenta algumas delas.
Figura 4.3 Topologias de rede FF H1.
Ponto-a-Ponto: cada dispositivo ligado diretamente ao Link Device..
Barramento:
nesta
topologia
utiliza-se
um
barramento
nico
onde
equipamentos ou barramentos secundrios (spurs) so conectados diretos a

ele.
Cadeia: todos os equipamentos so ligados em srie. Devem ser utilizados

conectores para que quando um equipamento for desconectado a rede
continue a funcionar.
rvore: um equipamento (caixa de juno) concentra a ligao de vrios

equipamentos.
Todas as topologias citadas podem ser encontradas separadamente ou
combinadas em uma determinada rede.
4.3.3 Camada de Enlace de Dados

Esta camada tem como objetivo garantir a integridade dos dados transmitidos
entre os dispositivos e controlar quem ter acesso ao meio em determinado instante.
Para realizar a primeira tarefa so acrescentados dados de controle no final de cada
53
mensagem. A segunda tarefa executada acrescentando-se um dispositivo que ir

controlar o acesso determinstico ao meio, chamado LAS (Link Active SchedulerI).
Uma rede FF H1 formada por dispositivos que podem ser de trs tipos:
Link Master (A): este dispositivo executa as funes de um dispositivo de

campo bsico podendo suportar as funes de LAS.
Bsico (B): este dispositivo apenas executa sua funo (vlvula, atuador,
etc)
Linking Device (C): este dispositivo executa a funo de LAS podendo atuar
interligando outros segmentos H1.
Figura 4.4 Rede Fieldbus com um LAS principal e seu backup.

O padro H1 especifica que deve existir somente um Link Master executando o
papel de LAS em um segmento. Caso exista mais de um dispositivo capaz de
assumir este papel, o que possuir menor nmero de ns ter a capacidade de
controlar a comunicao no barramento. Caso o LAS saia do ar, haver a tentativa
de eleger um novo Link Master para atuar como controlador do barramento. A figura
PPP mostra uma rede composta por vrios dispositivos bsicos (B), um Link Device
(C) que no momento da partida ser o LAS e um Link Master (A) que atuar como
LAS se o dispositivo C sair do ar.
O LAS possui mecanismos para realizar a sincronizao dos dispositivos
presentes na rede, identificao de novos dispositivos, proporcionando uma conexo
do tipo plug-and-play. Outra funcionalidade controlar o acesso ao meio. Existem
54
dois tipos de comunicao possveis entre os dispositivos integrantes do segmento,

[SOUZA, 2004] que so descritos a seguir.
Comunicao escalonada: neste tipo de comunicao o LAS possui uma

lista com os tempos de transmisso de todos os dispositivos que precisam
transferir dados ciclicamente. Quando chega a hora de um dispositivo
transmitir, o LAS envia uma mensagem para o dispositivo informando que o
mesmo pode publicar seu dado no barramento, a partir da todo dispositivo
que quiser poder consumir este dado.
Figura 4.5 Comunicao escalonada em uma rede Fieldbus H1.
Comunicao no escalonada: todos os dispositivos tm a possibilidade de

transmitir informaes no escalonadas entre os ciclos de transmisso de
mensagens cclicas. O LAS garante uma permisso para um dispositivo usar
o barramento emitindo uma mensagem do tipo PT (Pass Token). Quando o
dispositivo recebe o token ele tem o direito de usar o barramento por um
tempo determinado.
Figura 4.6 Comunicao no escalonada em uma rede FIELDBUS H1.
55
4.3.4 Camada de Aplicao

A camada de aplicao responsvel por oferecer servios de comunicao
para as aplicaes que esto na camada de usurio. Estes servios sero
transparentes para o usurio.
Esta camada divida em duas subcamadas, Fieldbus Acess Layer e Fieldbus
Message Specification.
Fieldbus Access Sublayer (FAS)

Esta camada tem por objetivo oferecer servios de comunicao camada
superior (FMS) utilizando as funes fornecidas pela camada de enlace de dados.
Estes servios so descritos por VCRs (Virtual Communication Relationship). Um
VCR como uma abreviatura de acesso, uma pequena estrutura que resume um
conjunto maior de dados pr-armazenados.
Existem diferentes tipos de VCRs [FIELDBUS TUTORIAL, 2006]:
Cliente-Servidor: comunicao do tipo enfileirada2, no escalonada, iniciada

pelo usurio, um para um, utilizada para troca de informaes entre
dispositivos no barramento. Quando um dispositivo recebe o token do LAS,
ele envia uma mensagem para outro dispositivo. O remetente chamado de
cliente e o destinatrio o servidor. Quando o servidor tiver a posse do token
ele ir responder solicitao do cliente.
Distribuio de Relatrios: enfileirada, no escalonada, iniciada pelo

usurio, um para muitos, entre dispositivos no barramento. Quando um
dispositivo recebe o token do LAS ele envia uma mensagem para um grupo
de endereos definidos em seu VCR. Os dispositivos que estiverem
configurados para receber esta mensagem iro receber o relatrio.
Produtor-Consumidor: buferizada3, um para muitos. O LAS envia uma

mensagem do tipo Compel Data (CD) para o dispositivo que ir disponibilizar
no barramento sua mensagem, esse dispositivo ser chamado de produtor.
Enfileirada: mensagens so envidas na ordem fornecida para transmisso, respeitadas as
prioridades sem sobrescrever as mensagens anteriores.

3
Buferizada: quer dizer que somente a ltima verso da mensagem mantida.
56
Todos os dispositivos interessados no dado iro receb-lo, os receptores

sero chamados de consumidores.
Fieldbus Message Specification (FMS)

Esta subcamada fornece um servio de comunicao padronizado entre
aplicaes de usurios, descrevendo os servios de comunicao, formatos de
mensagens e comportamento do protocolo necessrio para que a comunicao
possa ser realizada de forma correta.
De acordo com o tipo de dado a ser transmitido, sero utilizados servios de
comunicao distintos. Para que a escolha do servio seja realizada de forma
adequada e padronizada, so utilizados descries de objetos (Object Descriptions).
Estes objetos contm definies de todos os formatos de mensagem utilizados na
transmisso, alm de incluir dados especficos da aplicao. Para cada tipo de
objeto existem servios de comunicao especiais e pr-definidos.
Descries de Objetos so agrupadas, formando estruturas chamadas
Dicionrios de Objetos (Object Dictionary - OD).
Figura 4.7 Dicionrio de objeto FF H1.

Cada Object Description identificado no Object Dictionary atravs de seu
ndice. O ndice 0 chamado de cabealho e utilizado para descrever o prprio
dicionrio, alm de informar em qual ndice estar o primeiro OD da aplicao do
usurio, este ndice dever ser maior do que 255. Object Descriptions cujos ndices
esto entre 1 e 255 descrevem tipos de dados bsicos, que sero utilizados para
construo de OD mais complexos.
57
Virtual Field Device VFD

So estruturas criadas para permitir o acesso remoto aos dados do dispositivo,
que esto descritos no Dicionrio de Objetos. Um dispositivo FF tpico possui pelo
menos 2 VFDs, como pode ser visto na figura 4.8.
Figura 4.8 Estrutura de um dispositivo Fieldbus.
User Application VFD: esta estrutura incorpora o Object Dictionary
com
informaes sobre a aplicao do usurio. A figura 4.8 exemplifica o User

Application VFD, com seu Object Dictionary, que por sua vez formado por
dois Object Descriptions, o FBAP (Function Block Application Process), que
contm os metadados utilizados para construo dos Function Block, e o
FBAP Object Data, que contm os dados utilizados nas aplicaes utilizadas
pelo usurio.
Network and System Management Application: atravs desta estrutura

possvel realizar a configurao e gerenciamento do dispositivo. O Network
Management Information Base - NMIB utilizado para gerncia, permitindo
58
que seja feito o acesso a variveis dinmicas, estatsticas e tarefas do LAS,

caso o dispositivo seja um Link Master . J o System Management
Information Base SMIB inclui tags do dispositivo, informaes de
endereamento e escalonamento para execuo de Function Blocks.
4.3.5 Camada de Usurio

A camada de usurio trabalha com as aplicaes que iro realizar as
atividades no processo de controle da planta. Nesta camada utilizado o conceito
de Function Blocks, que so estruturas que representam os dispositivos de campo.
O protocolo especifica trs grupos de blocos de funo:
Blocos funcionais: a norma define blocos funcionais como elementos de

software que modelam algoritmos paramtricos, os quais transformam
parmetros de entrada em parmetros de sada [PANTONI,2006].
Blocos transdutores: so blocos que ficam entre os blocos de I/O e o

hardware de I/O. So, portanto, encarregados de transformar sinais fsicos em
variveis e vice-versa. Eles isolam os blocos funcionais dos dispositivos de
hardware especficos de I/O como sensores, atuadores e chaves de cada
dispositivo. Seus algoritmos internos controlam os dispositivos de I/O e
apresentam uma interface padronizada para os blocos funcionais, realizam
tambm funes como calibrao, filtragem de sinais e converso de dados
[BRANDO, 2005].
Blocos de recurso: um bloco que descreve as caractersticas de hardware

do dispositivo nos seus parmetros de configurao. Tal qualidade desatrela
os blocos funcionais das caractersticas de hardware dos dispositivos. O
algoritmo do bloco de recurso utilizada para monitorar o estado de operao
do hardware e indicar possveis alarmes nesse aspecto. Esse bloco no
possui parmetros de entrada ou de sada. Tal execuo segue as regras que
so definidas pelo fabricante [BRANDO, 2005].
4.4 Foundation Fieldbus High Speed Ethernet (FF HSE)

O Foundation Fieldbus High Speed Ethernet tem por objetivo prover uma
soluo para integrao entre a rede de campo e a rede corporativa, fornecendo um
59
meio para transmisso de mensagens em alta velocidade entre segmentos H1 ou de

outros fabricantes, alm de possibilitar que os dados fornecidos por dispositivos de
campo sejam utilizados em sistemas corporativos, como ERPs (Enterprise Resource
Planning).
4.4.1 Histrico
Em maro de 1998 foi aprovado pela diretoria do Fieldbus Foundation o projeto
de desenvolvimento do FF HSE. A partir da comearam os estudos para o
desenvolvimento de um protocolo que mantivesse a compatibilidade com o FF H1 e
ao mesmo tempo utilizasse a tecnologia Ethernet como base. Em junho de 1998 um
grupo formado por 35 arquitetos de sistemas, engenheiros de projeto e gerentes
pertencentes ao Foundation Fieldbus apresentaram a arquitetura do sistema.
Um Draft Preliminary Specification (DPS) foi distribudo para os membros da
fundao para reviso em outubro de 1998 e prottipos para testes em laboratrios
foram entregues a diversos fornecedores de equipamentos, incluindo a Smar
Equipamentos Industriais Ltda, sediada em Sertozinho, Brasil. Com o trmino dos
testes em laboratrio a fundao distribuiu aos seus membros em setembro de 1999
uma especificao preliminar, a HSE Preliminary Specification (PS).
Em maro de 2000 foi lanada a especificao final do protocolo, chamada de
HSE Final Specification (FS), que estava de acordo com o padro internacional
sobre protocolos fieldbus, o IEC 61158.
4.4.2 Arquitetura do protocolo

O FF HSE foi desenvolvido seguindo a premissa de ser compatvel com a
estrutura existente, dessa forma sua arquitetura tambm baseada em camadas,
como o H1. Outra premissa importante a utilizao de equipamentos de
prateleira, como forma de diminuir o custo de instalao das redes. A figura 4.9
apresenta a estrutura de camadas do protocolo.
60
Figura 4.9 Estrutura em camadas do FF HSE.

Camada Fsica: esta camada segue o padro IEEE 802.3, conhecido como
Ethernet. Entretanto algumas novas caractersticas foram incorporadas para
atender a aplicaes que rodem em ambientes industriais. A rede pode
transmitir dados a 10 Mbps, 100 Mbps ou 1 Gbps, dependendo do meio de
transmisso utilizado. O cabeamento utilizado deve seguir o padro 802.3,
entretanto como o cho de fbrica muitas vezes um ambiente hostil devem
ser utilizados cabos com maior imunidade a rudos ou fibra ptica,
dependendo do caso.
Camada de Enlace de Dados: da mesma forma que a camada fsica, esta
camada segue o padro Ethernet. Para controle de acesso ao meio
utilizada a tcnica de CSMA/CD e para controle de erro so realizados
Checksum dos frames transmitidos. Alm disso, esta camada responsvel
por estabelecer os enlaces entre os dispositivos comunicantes. importante
ressaltar que dispositivos utilizados em redes Ethernet comuns podem ser
utilizados nas redes FF HSE, como switches ou bridges.
Camada de Rede: esta camada segue o padro internet, que mantido pelo
IAB (Internet Architecture Board) que tem como principal protocolo o IP
(Internet Protocol). Dessa forma, toda a estrutura de endereamento do
mundo IP utilizada em redes HSE, ou seja, cada dispositivo ser
identificado unicamente na rede atravs de um endereo que segue o formato
IP.
61
Camada de Transporte: segue o mesmo padro da camada de rede e tem

como principais protocolos o TCP e o UDP. Utilizando esta camada torna-se
possvel a comunicao entre redes distintas, utilizando equipamentos como
roteadores e tabelas de roteamento. Alm disso, esta camada oferece s
camadas superiores diversos servios, como transmisso de mensagens com
confirmao (TCP) ou sem confirmao (UDP).
Camadas de Sesso e Apresentao: no so implementadas no padro
FF HSE.
Camada de aplicao: assim como no FF H1, esta camada tem por objetivo
oferecer servios para a camada de usurio. Algumas tecnologias que foram
testadas e so amplamente utilizadas no H1 foram mantidas, como a
subcamada
FMS
(Fieldbus
Message
Specification),
SM
(System
Management) e FBAP (Function Blocks Application Process). Alm das

tecnologias j sedimentadas pelo H1 surgiu a necessidade de insero de
funcionalidades especficas para o HSE, como o FDA(Field Device Access) e
o SM HSE(System Management for HSE). O primeiro um agente e tem por
objetivo permitir que os servios de gerenciamento do sistema (SM) e de
comunicao padronizada (FMS) utilizados pelos dispositivos H1 possam ser
convertidos em servios que rodem sobre o TCP ou UDP. Assim, dispositivos
HSE podem se comunicar com dispositivos H1 que esto conectados no
barramento HSE via Linking Device. Alm disso, o agente FDA permite que
os dispositivos HSE ou H1 acessados atravs de um Linking Device possam
ser acessados e configurados remotamente. J o SM HSE tem por objetivo
garantir que as funes em nvel de sistema dos diversos dispositivos estejam
coordenadas. Estas funes incluem sincronizao de relgios, adio e
remoo de dispositivos da rede e escalonamento de blocos de funo.
4.4.3 Modelos de Comunicao

Uma das premissas que o protocolo HSE deveria atender era a de
interconectar dispositivos e redes distintas. Para isso foram criados mecanismos
capazes de gerenciar a transio de informaes geradas em redes. A figura 4.10
mostras diversas possibilidades de comunicao:
62
Figura 4.10 Possibilidades de comunicao entre redes distintas.

Entre A e B ou A e C: nesta conexo um Host HSE interage com dispositivos
H1 atravs de um Linking Device, podendo configurar, diagnosticar, ler ou
escrever informaes nos dispositivos H1. O Linking Device responsvel por
fazer a converso dos formatos de mensagens e de endereamento.
Entre A e D: O Host HSE comunica-se diretamente com dispositivos de
campo HSE. O Host HSE capaz de diagnosticar, configura, ler ou escrever
informaes nos dispositivos de campo, sem a necessidade de nenhum
mecanismo intermedirio.
Entre B e C: nesta situao ocorre a interao entre dispositivos H1
localizados em segmentos distintos. Ambos dispositivos esto conectados ao
barramento Ethernet atravs de Linking Devices, isso faz com que a
comunicao entre esses dispositivos ocorra como se ambos estivessem em
um mesmo barramento, ou seja, de forma transparente para o dispositivo de
campo.
Entre A e E: neste modelo uma rede de um fabricante diferente conecta-se
rede HSE. Essa conexo feita atravs de um dispositivo chamado I/O
63
Gateway. Este dispositivo capaz de fazer a traduo da rede externa,

fazendo com que a mesma seja vista como um segmento de rede H1
interligado ao barramento atravs de um Linking Device. Assim, conexes do
tipo E e B tornam-se possveis, pois funcionam como se fossem uma conexo
do tipo B e C.
4.4.4 Interconexo H1/HSE

O FF HSE utiliza o padro Ethernet nas camadas fsica e enlace do modelo
OSI e os protocolos IP para a camada de rede e TCP ou UDP para a camada de
transporte. Dados vindos da camada de aplicao so encapsulados em mensagens
na camada de transporte formando a PDU (Protocol Data Unit) da camada de
transporte, a essa PDU acrescentado o cabealho da camada de transporte. Esse
conjunto PDU mais cabealho d origem SDU (Service Data Unit) da camada de
transporte, essa nova estrutura passada para a camada inferior e este mesmo
processo realizado nas camadas inferiores at que os dados sejam entregues ao
meio fsico.
A figura 4.10 ilustra uma conexo do tipo B e C, entre dois dispositivos H1,
atravs de um segmento HSE. Nesse tipo de comunicao duas situaes so
possveis: na primeira, os dados enviados pelo dispositivo H1 da rede B chegam ao
Linking Device da rede B e este simplesmente encapsula toda a mensagem em um
ou mais pacotes TCP/IP, lanando-o na rede atravs de broadcast, o Linking Device
da rede C captura estes pacotes retira o encapsulamento TCP/IP e publica estas
informaes no barramento H1. O FF HSE implementa uma tcnica diferente da
citada anteriormente. O dispositivo da rede B gera uma informao, estes dados so
enviados ao Linking Master da rede B, mas ao invs de simplesmente encapsular os
dados em pacotes TCP/IP, o Linking Master insere no campo de host destino o
endereo IP do dispositivo destino na rede C. Dessa forma, os pacotes so enviados
ao Linking Master
responsvel pela rede C, que por sua vez consegue enviar
diretamente ao dispositivo destino em sua rede. Esse tipo de estratgia evita trfego
desnecessrio na rede, pois os pacotes no so enviados por broadcast. Outro fato
importante que todos os dispositivos da rede estejam eles em uma rede HSE, H1,
ou de outro fabricante, so endereados unicamente atravs de seu endereo IP.
64
O FF HSE utiliza um servidor DHCP para distribuio dos endereos IP para os

dispositivos da rede.
4.4.5 Redundncia
O HSE proporciona um sistema de tolerncia a falhas, tanto a nvel de
dispositivo como de mdia, operando de forma transparente s aplicaes HSE.
A redundncia em nvel de mdia consiste na utilizao de mais de uma porta para
conectar o dispositivo a uma ou mais redes. Desta forma, caso a rede qual a porta
padro est conectada esteja congestionada, ser utilizada a outra porta, que est
conectada a outra rede, e as informaes percorrero uma nova rota que est mais
propcia para transmitir os dados. Esta situao est ilustrada na figura 4.11.
Figura 4.11 Sistema tolerante a falhas FF HSE.

J a redundncia de dispositivo consiste na utilizao de dispositivos
redundantes que ficam prontos para entrar em operao caso o principal tenha
algum problema.
O HSE LAN Redundancy Entity (LRE) a entidade presente nos dispositivos
HSE que coordena o sistema de redundncia, no existindo um sistema
centralizado.
Cada dispositivo HSE transmite periodicamente mensagens de diagnstico
informado sua viso do estado da rede para os outros dispositivos. Os dispositivos
65
ento utilizam estas informaes recebidas, juntamente com sua prpria viso para
manter uma tabela que ser utilizada para deteco de falhas e para seleo de
qual porta ser utilizada para transmisso, esta tabela chamada Network Status
Table (NST).
4.4.6 Acesso Remoto

Alguns fabricantes disponibilizam acesso remoto a seus dispositivos,
permitindo que administradores possam configurar os dispositivos remotamente ou
coletar informaes para serem utilizadas na tomada de decises ou para alimentar
outros sistemas. A figura 4.12 mostra uma arquitetura proposta por um fabricante de
dispositivos HSE.
Figura 4.12 Arquitetura que permite acesso remoto, proposta por fabricante de
dispositivos HSE.
Na arquitetura proposta, alm de acesso via barramento HSE Ethernet
possvel comunicao com dispositivos atravs de redes sem fio.
66

Esta seo trata de alguns aspectos sobre a segurana dos protocolos
Foundation Fieldbus H1 e Foundation Fieldbus HSE em relao determinadas
ameaas, analisando sua facilidade de execuo, nvel de danos, bem como as
protees propostas pelo protocolo.
4.5.1 Ataque ao DHCP

Quando um dispositivo se conecta fisicamente rede, basta que um servidor
DHCP esteja disponvel para que ele receba um endereo IP. Desta forma estar
apto a transmitir e/ou receber informaes de outros dispositivos da rede. Um
usurio mal intencionada conectado fisicamente uma rede com DHCP poder
iniciar um ataque de negao de servio no servidor, realizando inmeras
requisies de endereos IP, impossibilitando que outros dispositivos possam
receber seus respectivos endereos.
FF H1
Facilidade para realizar o ataque: baixa em redes exclusivamente H1, pelo

fato de no haver servidor DHCP nesse tipo de rede. Caso o Linking Device
que controla o segmento H1 esteja conectado a uma rede corporativa esta
facilidade torna-se mdia, pois o servidor DHCP dessa rede pode sofrer um
ataque, impedindo que Linking Device obtenha seu endereo IP.
Impacto no processo: baixo em segmentos que no esto conectados a

outras redes ou quando o segmento est conectado a uma rede corporativa e
fornece informaes para tomada de decises. Nesse caso, mesmo que
durante o ataque o Linking Device esteja impossibilitado de enviar dados para
a rede corporativa, o processo no ser interrompido, pois ele ter condies
de dar prosseguimento ao controle da malha H1 em questo.
Medidas de segurana adotadas no protocolo: no foram encontradas

informaes a respeito deste tipo de vulnerabilidade na documentao
estudada sobre o protocolo.
Comentrios: este tipo de ataque, apesar de parecer um tanto inofensivo

pode trazer srias conseqncias se for executado em uma partida de
fbrica, por exemplo, onde todos os dispositivos precisaro adquirir seus
67
respectivos endereos. A falta de aquisio de endereos vlidos poder

comprometer toda a comunicao na rede. O fato das redes H1 no
utilizarem DHCP proporciona uma diminuio do risco, entretanto quando h
a conexo desta rede com outras redes importante fazer uma varredura
completa a fim de identificar dispositivos estranhos planta de controle.
FF HSE
Facilidade para realizar o ataque: alta, pois as redes HSE precisam de um

sistema para distribuio de endereos IP, e na maioria dos casos utilizado
um servidor de DHCP para distribuio dinmica destes endereos. Desta
forma basta que um dispositivo conecte-se fisicamente rede para que possa
receber um endereo IP e iniciar o ataque.
Impacto no processo: alto, pois ao impedir que os dispositivos consigam

obter seus endereos IP, o atacante estar impedindo que seja realizada a
comunicao na rede, conseqentemente os dispositivos de campo no
conseguiro enviar dados para os dispositivos de controle, ou no
conseguiro trocar informaes entre si, quebrando o ciclo de coleta de
informaes, anlise e ao.

Comentrios: este tipo de ataque pode trazer srios danos ao processo de

controle porque poder inviabilizar o controle em uma planta. Alm disso, o
atacante poder utilizar as informaes obtidas do servidor DHCP para tentar
outros tipos de ataques, como o Acesso No Autorizado. As medidas para
que este tipo de ameaa ocorra passam por uma anlise fsica do local da
planta, buscando por dispositivos estranhos conectados fisicamente rede,
principalmente antes dar a partida em uma planta industrial. Uma situao
que deve ser avaliada tambm quando houver tecnologia wireless
envolvida. Neste caso, interessante utilizar autenticao para que os
dispositivos possam ter acesso rede. A maioria dos equipamentos
disponveis no mercado possui esta funcionalidade, mas o padro vir com
68
autenticao desativada, por isso o analista de segurana deve estar atento a

este tipo de equipamento, quando estiver presente na rede.
4.5.2 Ataque tabela de status da rede (NST)

O FF HSE apresenta em sua especificao um sistema de tolerncia a falhas
baseado em redundncia de mdia e dispositivos, como explicado na sesso 4.3.5.
Atravs deste sistema o dispositivo estar conectado a uma ou mais redes utilizando
portas diferentes. Um dispositivo que tenha acesso rede poder utilizar esta
tecnologia para inundar a rede com informaes falsas sobre o status da rede,
fazendo com que os dispositivos mudem suas rotas padro, direcionando as
informaes para locais escolhidos pelo atacante.
FF H1
Facilidade para realizar o ataque: nula, pois em redes H1 no h esta

tecnologia.
Impacto no processo: nulo.

Comentrios: caso a rede H1 esteja conectada a uma rede HSE, o

administrador deve estar atento ao comportamento do Linking Device, pois se
este dispositivo for invadido ele poder ser a estao que lanar o ataque
rede .
FF HSE
Facilidade para realizar o ataque: alta, pois um dispositivo pode conectar-se

com certa facilidade a uma rede HSE que disponibilize um servidor DHCP e a
partir da iniciar o ataque.
Impacto no processo: mdio, pois o atacante pode tentar direcionar o

trfego para determinados pontos da rede, permitindo que dados importantes
possam ser coletados e armazenados a fim de uma anlise posterior. Alm
69
disso, esse tipo de ataque pode tornar o processo de controle mais lento, pois
os dispositivos tero uma viso enganosa do status da rede e utilizaro
caminhos alternativos que estaro congestionados pelo fato de todos estarem
usando essas mesmas rotas alternativas.

Comentrios: apesar de o nvel de estragos causados por este tipo de

ataque ser classificado inicialmente como mdio, por no trazer uma parada
no processo de controle ou falha de comunicao importante ressaltar que
ele poder servir de porta de entrada para ataques com nveis de danos
maiores, como o Acesso No Autorizado. Isso pode ser possvel fazendo a
anlise das informaes coletadas atravs do desvio de trfego imposto pelo
atacante. Uma medida a fim de evitar este tipo de ataque instalar um
sistema de deteco de intruso na rede, a fim de analisar as informaes
que esto trafegando. Desta forma, se o sistema detectar um nmero alto de
mensagens de status informando congestionamento, um alarme deve ser
emitido fazendo com que o administrador faa a anlise do real status da rede
atravs de ferramentas adequadas. Caso seja detectado um ataque a
estao que est gerando as informaes incorretas deve ser desconectada,
e com isso o funcionamento correto ser restabelecido.

Conforme explicado na seo 3.5.2 este tipo de ataque no tem como objetivo
invadir um sistema, mas sim tornar seus recursos indisponveis para outras
mquinas atravs de uma sobrecarga.
Por se tratar de um ataque cada vez mais utilizado, ser feita uma anlise do
impacto caso ocorra em uma planta que tenha como protocolo o FF H1 ou FF HSE.
70
FF H1
Facilidade para realizar o ataque: baixa quando a rede H1 est isolada, ou

seja, no est conectada a um barramento HSE ou a uma rede corporativa.
Caso contrrio o nvel ser elevado para mdio, pois o atacante poder
realizar o ataque a partir de uma maquina da rede HSE ou corporativa, mas
para isso precisar conseguir acesso uma destas redes.
Impacto no processo: o impacto classificado como mdio quando a rede

H1 est conectada a uma rede HSE. Mesmo que o atacante ocupe o
dispositivo, a tcnica de redundncia poder ser utilizada e a tecnologia de
verificar como est o status da rede. Dessa forma o dispositivo poder decidir
por onde os dados sero enviados, conseguindo minimizar impacto do
ataque.

Comentrios: esse tipo de ataque costuma trazer grandes dificuldades para

os analistas de segurana por no haver contramedidas adequadas para
combat-lo. Entretanto, o uso de Linking Devices redundantes pode minimizar
esse impacto, pois o protocolo suporta uma transio transparente entre o
dispositivo principal e o secundrio. Cabe ao analista observar o
comportamento da rede, e quando for detectado o ataque promover o
dispositivo secundrio para principal, caso a rede j no o tenha feito.
FF HSE
Facilidade para realizar o ataque: alta, pois um dispositivo pode conectar-se

com certa facilidade a uma rede HSE que disponibilize um servidor DHCP e a
partir da iniciar o ataque. Alm disso, os fabricantes esto disponibilizando
equipamentos que permitem que conexes pela internet sejam estabelecidas,
dessa forma, a facilidade aumenta, pois o atacante pode coordenar um
ataque sem precisar tomar o controle de nenhum dispositivo da rede, apenas
conhecendo o endereo IP do alvo.
Impacto no processo: o impacto ser baixo se o alvo possuir um dispositivo

redundante, pois o administrador ou a prpria rede poder fazer a troca de
71
dispositivos. Caso no exista esse dispositivo secundrio o impacto ser alto,

pois o dispositivo deixar de realizar sua funo no sistema de controle,
podendo comprometer todo o processo.

Comentrios: apesar de ser um ataque difcil de se evitar algumas medidas

podem ser tomadas, como instalar dispositivos que monitorem a rede
buscando volumes grandes de pacotes direcionados a um nico dispositivo.
Utilizar dispositivos redundantes para equipamentos que sejam alvos
potenciais. Uso de equipamentos como firewall, pois ao ser detectado o
ataque poder ser configurado para rejeitar pacotes direcionados ao alvo.
Essa ltima medida impedir que as aplicaes externas tenham acesso s
informaes fornecidas pelo alvo, no entanto, a funcionalidade dentro do
processo de controle ser mantida. Alm disso, uma anlise rigorosa deve ser
realizada para avaliar quais equipamentos realmente precisam fornecer o
acesso externo.

O protocolo FF H1 foi projetado para atuar em cho de fbrica, dessa forma,
seus projetistas preocuparam-se em desenvolver questes como velocidade
adequada, confiabilidade nas transmisses, entre outros, sem avaliar questes
relacionadas com segurana contra ataques. Essa falta de preocupao tem sentido
at o ponto em que as redes ficavam isoladas, pois o acesso fsico rede era
complicado e o protocolo seguia tecnologias proprietrias. A partir do momento em
que houve integrao com redes HSE, alguns cuidados devem ser tomados, pois
como dito anteriormente, o protocolo atua no cho de fbrica, e falhas neste nvel
podem provocar danos graves.
J o FF HSE foi desenvolvido sob uma plataforma aberta com amplo uso no
mercado, conseqentemente, muito mais susceptvel s ameaas comuns. Dessa
forma, importante ressaltar que os cuidados devem ser maiores. O uso de
ferramentas como sistemas de deteco de intruso, firewalls, dispositivos
72
redundantes so opes imprescindveis para que um nvel mnimo de segurana

seja atingido.
Vale lembrar que os danos causados por ataques em redes que controlam
processos industriais esto relacionados no apenas com perdas materiais, mas sim
com a possibilidade de perdas humanas, desta forma, toda e qualquer medida que
tenha como objetivo minimizar os riscos de falhas em sistemas deste porte devem
ser adotadas.
73
Captulo 5 Modbus
5.1 Introduo
O protocolo Modbus foi desenvolvido no final da dcada de 70 pela empresa
Modicon, hoje chamada de Schneider Electric. Em 1979 foi lanada sua primeira
verso, o Modbus Serial.
Seu objetivo era promover a comunicao entre dispositivos controladores e
sensores, atravs de uma comunicao do tipo mestre-escravo/cliente-servidor. Pelo
fato da Modicon ter colocado as especificaes e normas que definem o protocolo
em domnio pblico, tornou-se um protocolo aberto, isso contribuiu para sua difuso
no mercado, tornando-se um dos protocolos mais utilizados.
O Modbus um protocolo que se encontra na camada sete (aplicao) do
modelo OSI. Sua estrutura permite que seja efetuada a troca de informaes entre
equipamentos de redes diferentes, como ilustrado na figura 5.1.
Figura 5.1 Comunicao Modbus entre redes distintas.

A figura 5.1 mostra que o Modbus possui a mesma implementao em sua
camada de aplicao, independente do meio fsico utilizado para sua transmisso,
por isso a camada de aplicao ser descrita primeiro. Em seguida as camadas
inferiores sero descritas para o Modbus Serial e o Modbus TCP.
74
5.2 Protocolo de Aplicao Modbus

O protocolo Modbus, na camada de aplicao (tendo o modelo OSI como
referncia), define uma simples PDU (do ingls, Protocol Data Unit), cujo contedo
transparente para a camada inferior. Esta PDU enviada para a camada inferior,
onde sero acrescidas novas informaes ou campos na ADU (do ingls,
Application Data Unit), dependendo do meio fsico em questo (Ethernet, serial e
outros) [BARBOSA, 2006].
Figura 5.2 Frame MODBUS genrico

A PDU do protocolo de aplicao Modbus composta pelo campo de dados e
pelo campo cdigo de funo. Esta PDU definida pela aplicao cliente, que inicia
uma transao com o servidor atravs de uma requisio.
O campo de cdigo de funo especifica qual o tipo de requisio est sendo
feita pelo cliente e qual ao deve ser tomada pelo servidor. Este campo definido
em um byte, tendo uma faixa decimal de 1 a 255 cdigos vlidos (os cdigos de 128
a 255 so utilizados para respostas a excees, o cdigo 0 no vlido). Existem
trs categorias de cdigos de funo: cdigos de funo pblicos, cdigos de funo
definidos pelo usurio e cdigos de funo reservados.
O campo de dados, enviado pelo cliente ao servidor, contm informaes
complementares ao cdigo de funo que so utilizadas pelo servidor para
processar a requisio. Em alguns casos, o campo de dados pode ser nulo. Isto
porque apenas o cdigo da funo suficiente para o servidor entender e processar
a requisio [MODBUS Application Protocol Specification V1.1b, 2006].
Ao receber a requisio enviada pelo cliente, o servidor processa a requisio
e, se nenhum erro ocorrer, prepara um quadro de resposta com os dados
requisitados. Este quadro tem a mesma estrutura do quadro de requisio: campo
cdigo de funo e campo de dados.
75
Figura 5.3 Transao entre Cliente e Servidor sem erros.

Em caso de erro, o servidor prepara e retorna um quadro contendo uma
resposta de exceo indicando ao cliente o tipo de erro ocorrido. Dessa forma, o
cliente poder tomar a ao adequada de acordo com o cdigo de erro retornado.
Figura 5.4 Transao entre Cliente e Servidor com erro.

O protocolo Modbus define 3 PDUs para a camada de aplicao:
Requisio Modbus;
Resposta Modbus;
Resposta exceo;
As duas primeiras PDUs so utilizadas quando uma comunicao normal
ocorre, ou seja, o cliente requisita algo do servidor, que processa corretamente essa
requisio e responde adequadamente e em tempo hbil.
A terceira PDU utilizada quando um erro ocorreu no processo de
comunicao. Essa exceo pode ocorrer em algumas situaes, como:
76
O servidor no recebe uma requisio enviada por um cliente, logo a resposta

no ser enviada e o cliente que provavelmente processar uma exceo por
time out.
O servidor recebe uma requisio, mas detecta algum erro (paridade, CRC,
etc) e no envia uma resposta. O cliente executar uma exceo por time out.
O servidor recebe uma requisio, mas no consegue process-la

adequadamente. Nesse caso preparada uma PDU de resposta exceo
que enviada ao cliente.
Quando uma mensagem de exceo preparada, o campo de cdigo de
funo e o campo de dados so alterados. No campo de cdigo de funo, o bit

mais significativo do cdigo alterado para 1. O valor do cdigo ento acrescido,
em relao ao valor original, de um valor hexadecimal igual a 80. Com o bit mais
significativo do cdigo habilitado, o cliente pode entender que a resposta se trata de
uma exceo e pode analisar o campo de dados, que contm o cdigo da exceo.
A tabela 5.1 apresenta os cdigos de exceo:
Cdigo
Exceo
Comentrios
01
Funo ilegal
O cdigo de funo desconhecido pelo

servidor
02
Endereo de dados
ilegal
O endereo do dado recebido no um

endereo vlido
03
Valor de dados ilegal
O valor contido no campo de dados no um

valor vlido
04
Falha no dispositivo
escravo
O servidor falhou durante a execuo de um

requisio
Reconhecimento
O servidor aceitou a invocao de um servio,

mas levar um longo tempo tempo para executlo. enviada um reconhecimento com o intuito
de previnir erros por time out.
05
77
06
Dispositivo escravo
ocupado
O servidor est impossibilitado de aceitar a

requisio. O cliente dever refazer a requisio
posteriormente.
08
Erro de paridade de
memria
O servidor detectou um erro de paridade nos

dados em memria.
0A
Caminho do gateway
indisponvel
O gateway no conseguiu estabelecer uma

comunicao interna entre a porta de entrada e
a porta de sada.
AB
Falha de resposta do
gateway de destino
No foi possvel obter resposta do gateway para

o qual a requisio foi enviada
Tabela 5.1 Cdigos de exceo Modbus [BARBOSA, 2006]
5.3 Modbus Serial

O Modbus serial foi a primeira verso disponvel no mercado.
Sua
implementao baseada no modelo de comunicao Mestre-Escravo, onde os

escravos somente enviam mensagens quando solicitados por seu mestre, alm
disso, h somente um mestre em cada barramento.
O Modbus Serial segue o modelo de camadas e sua implementao segue o
modelo de referncia OSI. A figura 5.5 apresenta a correspondncia entre o
protocolo e o modelo OSI.
Figura 5.5 Correspondncia entre Modbus Serial e modelo OSI.
78
5.3.1 Camada Fsica

Nesta camada so definidas as caractersticas fsicas de transmisso dos
dados, como cabos, conectores, taxas de transmisso, etc. Segundo a especificao
do protocolo, recomendado que os dispositivos Modbus implementem uma
interface RS 485, e opcional que seja implementada uma interface RS 232.
Duas taxas de sinalizao devem ser implementadas: 9600 bps e 19.2 Kbps,
sendo a ltima a padro.
No objetivo deste trabalho descrever com detalhes o funcionamento da
camada fsica, por isso, para mais detalhes consultar a referncia [MODBUS over
Serial Line Specification and Implementation Guide V1.02, 2006].
5.3.2 Camada Enlace

O Modbus Serial um protocolo do tipo Mestre-Escravo. H somente um
mestre conectado ao barramento e um ou mais escravos conectados a este mesmo
barramento. Uma comunicao Modbus sempre iniciada pelo mestre, desta forma,
os dispositivos escravos no se comunicam entre si e somente uma comunicao
ocorre em cada momento.
O mestre pode iniciar uma comunicao com um escravo de duas maneiras:
Unicast: o mestre envia uma solicitao a um escravo diretamente, atravs

de seu endereo, que nico no barramento (cada escravo possui um
endereo entre 1 e 247). Aps processar a requisio o escravo retorna uma
mensagem diretamente ao mestre. Nesse tipo de comunicao duas
mensagens so geradas, uma solicitao do mestre e uma resposta do
escravo.
Broadcast: o mestre envia uma solicitao a todos os escravos. Nenhuma

resposta enviada ao mestre. Mensagens neste modo so necessariamente
comandos de escrita. O endereo 0 utilizado como endereo de broadcast.
O campo de endereo formado por 1 byte, havendo 256 endereos
possveis, entretanto nem todos podem ser utilizados para enderear escravos, a
figura 5.6 mostra a regra para endereamento.
79
Figura 5.6 Regra para endereamento Modbus Serial.

A camada de enlace tambm define o modo de transmisso utilizado. Esse
modo define o contedo dos bits de mensagens transmitidos, informando tambm
como as mensagens so empacotadas. H dois mtodos disponveis:
RTU (Remote Terminal Unit).
ASCII (American Standard Code for Information Interchange).

A primeira opo mais eficiente do que a segunda, por possuir uma maior
densidade de caracteres, conseguindo um maior throughput. Por isso, os

dispositivos devem implementar o modo de transmisso RTU. Este ser utilizado
como padro na maioria das comunicaes, j a implementao do modo ASCII
opcional. Para a efetiva comunicao entre dispositivos de um mesmo barramento
necessrio que todos estejam utilizando o mesmo modo de transmisso. A
especificao do protocolo tambm sugere que seja implementado um mecanismo
de escolha do modo de transmisso a ser utilizado, entretanto o default deve ser o
RTU.
5.4 Modbus TCP/IP

A implementao do Modbus sobre uma rede TCP/IP atendeu a uma demanda
de mercado pela utilizao de equipamentos de prateleira, no caso os dispositivos
utilizados para construo de uma rede baseada em TCP/IP, bem como
proporcionou uma integrao entre redes at ento isoladas ou com um baixo grau
de integrao.
Como dito anteriormente, o protocolo Modbus especifica uma PDU em sua
camada de aplicao que poder sofrer o acrscimo de informaes, dependendo
da tecnologia sobre a qual est sendo enviada.
A implementao do Modbus sobre TCP/IP possui diferenas em relao ao
Modbus Serial que sero apresentadas ao longo deste captulo.
Como um sistema de comunicao implementado sobre TCP/IP, o Modbus
TCP possui componentes como clientes, servidores e dispositivos de interconexo,
80
como roteadores, hubs, switches, bridges, entre outros. Estes dispositivos de

interconexo podem interligar duas redes TCP/IP ou uma rede TCP/IP e uma Serial,
permitindo a comunicao entre dispositivos de ambas as redes. A figura 5.7 mostra
um cenrio onde a diversidade de equipamentos e redes pode ser verificada. Existe
um barramento central Modbus sobre TCP/IP ao qual esto conectados alguns
dispositivos Modbus TCP clientes e servidores. Alm disso, existe um cliente
Modbus Serial conectado a um cliente TCP/IP que por sua vez est conectado ao
barramento central, configurando uma conexo indireta entre o cliente serial e o
barramento TCP. Uma outra situao apresentada mostra uma rede serial
conectada ao barramento TCP atravs de um gateway.
Figura 5.7 Rede MODBUS Mista, TCP/IP e Serial.
5.4.1 Camada Fsica

A camada fsica utilizada pelo Modbus TCP segue o padro das redes
corporativas rodam TCP/IP. Suas caractersticas no sero abordadas com detalhes
neste trabalho, mas algumas consideraes devem ser feitas.
importante lembrar que o ambiente em que as redes so instaladas
geralmente inclui o cho de fbrica, e que este ambiente muitas vezes apresenta
condies hostis, como alto ndice de rudos, exposio a materiais corrosivos,
vibrao excessiva, entre outros. Com isso, devero ser tomados cuidados com a
estrutura fsica utilizada. Deve-se dar preferncia para cabos com maior imunidade a
rudos, equipamentos mais resistentes a vibraes, bem como proteger os
equipamentos da exposio de itens corrosivos.
81
5.4.2 Camada de Enlace

A camada de Enlace tambm segue o padro TCP/IP. Os mecanismos de
estabelecimento de enlace, controle de erro, etc, so os mesmos presentes em
redes corporativas.
Nesta camada tambm devem ser tomados alguns cuidados com a tecnologia
empregada, pois trata-se de um ambiente diferente do ambiente para o qual o
protocolo foi projetado.
O uso de switches ao invs de hubs uma prtica
interessante, pois diminui o trfego na rede, fazendo com que a entrega de pacotes
seja uma tarefa mais confivel.
5.4.3 Camada de Rede

Como visto anteriormente, esta camada no era implementada no Modbus
Serial, o endereo de cada dispositivo era informado diretamente na PDU da
camada de aplicao. J no Modbus TCP h a utilizao do protocolo IP para
endereamento, desta forma, cada dispositivo na rede recebe um endereo no
formato IP, nico na rede. Caso seja necessria a comunicao entre dispositivos
TCP e Serial, atravs de algum dispositivo intermedirio, como um gateway, o
campo da PDU da camada de aplicao que identifica o dispositivo destino ser
substitudo por um outro campo em um cabealho extra que ser adicionado PDU.
Nessa situao o endereo de destino ser o IP do gateway, que por sua vez dever
ter a capacidade de extrair o endereo de destino do dispositivo serial, realizando o
envio em seguida.
Quando s existem dispositivos TCP que utilizam endereamento IP em uma
rede, o campo de endereo do dispositivo de destino da camada de aplicao perde
seu sentido, deve-se ento usar um valor sem significado, como zero ou 0xFF.
5.4.4 Camada de Transporte

O Modbus TCP fornece duas alternativas para os implementadores de
dispositivos Modbus. A primeira consiste em utilizar o sistema de gerenciamento de
conexes fornecido pelo TCP/IP. Esta opo deixa transparente para a aplicao a
forma como os dados so enviados, bem como a forma como as conexes so
estabelecidas, gerenciadas e configuradas.
Na outra possibilidade o desenvolvedor pode implementar os servios
fornecidos por esta camada. A especificao do protocolo sugere que seja utilizada
82
a primeira opo, j que a segunda exige um amplo conhecimento do protocolo

TCP/IP.
Caso o desenvolvedor opte por utilizar a primeira opo, os mecanismos
presentes no TCP/IP sero utilizados para estabelecimento de conexo, como o
three way handshake, e o sistema de confirmao de envio de pacotes, atravs dos
pacotes ack. Para que este sistema funcione, so disponibilizadas pelo TCP quatro
primitivas de servio:
Requisio (Request)
Indicao (Indication)
Resposta (Response)
Confirmao (Confirmation)
A figura 5.8 mostra a utilizao destas primitivas durante o envio de dados de
um cliente para um servidor. Os detalhes de utilizao destas primitivas no sero

abordados neste trabalho.
Um detalhe importante o fato de o Modbus ter uma porta reservada para
sua comunicao, a porta TCP 502.
Figura 5.8 Envio de dados entre Cliente e Servidor numa rede MODBUS TCP
[BARBOSA, 2006].
5.4.5 Camada de Aplicao

A camada de aplicao do Modbus TCP similar do Modbus Serial,
entretanto h um acrscimo de um cabealho PDU gerada. Esse cabealho
83
chamado de MBAP (Modbus Aplication Protocol Header) e utilizado para identificar

a ADU Modbus. As diferenas entre a ADU do Modbus Serial e do Modbus TCP so
necessrias para adaptar o protocolo Modbus ao TCP.
Figura 5.9 Pacote MODBUS TCP.

Esse novo cabealho formado por quatro campos:
Identificador da transao: utilizado para identificar uma comunicao

entre um cliente e um servidor. Uma requisio gerada em um cliente que
enviada ao servidor, essa mensagem contm um identificador da conexo, o
servidor recebe esse pacote, processa a requisio, e ao criar o pacote de
resposta copia o valor presente neste campo para que o cliente possa
identificar qual requisio esta resposta pertence. Este mecanismo permite
que vrias conexes possam ser estabelecidas entre equipamentos em uma
rede Modbus TCP, o que no era possvel em uma rede Modbus Serial.
Identificador do protocolo: usado para identificar o protocolo que est

sendo utilizado. O valor zero indica que o protocolo o Modbus.
Tamanho: utilizado para indicar o tamanho, em bytes, do restante do

pacote, incluindo o campo Identificador de Unidade e os campos de dados.
Identificador de unidade: este campo utilizado para fins de roteamento

entre um dispositivo Modbus TCP e um Modbus Serial. Este campo leva o
valor do endereo do dispositivo escravo de uma rede Modbus Serial.
Quando um dispositivo Modbus TCP precisa se conectar a um dispositivo
Modbus Serial atravs de uma ponte (gateway), o endereo IP de destino
o endereo da ponte. E a ponte utiliza o endereo descrito no campo
Identificador de Unidade para encaminhar a requisio ao dispositivo escravo
da rede MODBUS Serial [BARBOSA, 2006].
84
5.5 Modelo de Componentes da Arquitetura MODBUS

A comunidade Modbus-IDA props um modelo baseado em componentes para
implementao de dispositivos, sejam eles servidores, clientes ou ambos. Os
componentes desse modelo so apresentados na figura 5.10 e sero descritos
brevemente.
Camada de comunicao da aplicao (Communication Application

Layer):
Esta camada formada por:
Interface Cliente Modbus (Modbus Client Interface): atravs desta

interface que a aplicao do usurio far as requisies de envio e receber
as respostas do mdulo cliente.
Interface Servidor Modbus (Modbus Server Interface): atravs desta

interface o mdulo servidor realizar a comunicao com a aplicao do
usurio que rode no dispositivo servidor.
Cliente Modbus (Modbus Client): este componente recebe requisies da

aplicao do usurio solicitando o envio de alguma informao a algum
servidor. Para isso, esse mdulo recebe os parmetros da aplicao, monta a
PDU Modbus e passa para a camada inferior. Alm disso, h um mecanismo
de recepo da resposta enviada pelo servidor que far algumas checagens
antes de mandar a resposta diretamente para a aplicao, como por exemplo,
se o identificador de unidade vlido. Outra funcionalidade que este
componente deve ter um mecanismo de time out que envia aplicao uma
mensagem de erro caso o servidor no retorne nenhuma resposta.
Servidor Modbus (Modbus Server): este mdulo recebe as requisies dos

clientes atravs da porta TCP 502. Existem requisies que podem ser
processadas e respondidas sem a interao com a aplicao do usurio,
outras no. Ao receber uma requisio, o servidor faz algumas checagens,
como verificar se o valor do campo Identificador do Protocolo da MBAP
contm o valor zero, indicando que o trata-se do protocolo MODBUS, se este
campo estiver correto os outros campos da MBAP so verificados, se tudo
estiver correto ser feita a anlise do campo que contm o cdigo da funo e
a requisio ser processada caso o cdigo seja vlido. Se nenhum problema
85
ocorrer durante a requisio, ser gerado pacote de resposta que ser

enviado de volta ao cliente devidamente preenchido, caso algum erro ocorra
esse pacote conter o cdigo da exceo gerada.
Camada de gerncia TCP (Communication Application Layer):

Nesta camada ser especificada como ser realizada a gerncia de conexes.
importante ressaltar que o modelo Modbus recomenda a implementao de
um sistema de controle de acesso, o Access Control Module, que tem por objetivo
criar um sistema que valide se o dispositivo que est tentando estabelecer uma
conexo um dispositivo vlido ou no. Essa checagem feita construindo-se uma
lista que contenha para cada porta, uma lista de IPs autorizados a estabelecer
conexo. Esta lista deve ser checada toda vez que algum dispositivo solicite o
estabelecimento de conexo
O modelo prev que o protocolo TCP/IP possa ser adaptado para algum
sistema especfico. Entretanto a maioria dos sistemas utiliza a implementao do
BSD4 do TCP/IP.
O TCP/IP j possui um sistema de controle de fluxo, entretanto, o modelo
sugere que mecanismos para este fim sejam acrescentados em todas as camadas.
BSD: uma implementao do TCP/IP criada para o sistema operacional BSD na dcada de 80.
86
Figura 5.10 Modelo da arquitetura MODBUS

Nesta seo ser feita uma abordagem sobre aspectos de segurana dos
protocolos Modbus Serial e Modbus TCP.
5.6.1 Ataque de Buffer Overflow

O Modbus possui um tamanho de pacotes mximo, que de 256 Bytes. Caso
esse tamanho seja excedido, falhas ou mau funcionamento podero ocorrer no
dispositivo que esteja recebendo este pacote.
Para realizar este ataque, o atacante precisar ter acesso fsico ou lgico
rede e dever conhecer suas caractersticas, no caso basta que saiba que o
tamanho mximo de cada pacote Modbus de 256 Bytes. Uma vez tendo o acesso
rede, poder utilizar um programa que simule um dispositivo Modbus, alterando
seu cdigo fonte para gerar pacotes defeituosos e envi-los ao dispositivo alvo.
87
Modbus Serial
Facilidade para realizar o ataque: mdio, pois o atacante precisar de um

acesso fsico rede e o endereo do dispositivo alvo. No haver a
necessidade de recebimento, por parte do atacante, de um endereo vlido,
basta que ele escolha para si algum endereo da faixa de endereos vlidos
e o utilize para formar seus pacotes defeituosos.
Impacto no processo: alto, pois o alvo pode ser um equipamento crtico ao

processo, dessa forma, o processo de controle ser comprometido, visto que
o dispositivo no conseguir realizar sua tarefa com confiabilidade.

protocolo mostra que no h nenhum tipo de checagem quanto ao tamanho
do pacote recebido.
Comentrios: este tipo de ataque pode trazer srios problemas, pois no h

grande dificuldade para sua realizao, visto que o passo mais difcil obter
um acesso fsico rede. Por isso o analista de segurana deve estar atento a
possveis conexes no autorizadas na rede, fazendo uma varredura nas
instalaes da planta para detectar possveis ataques.
Modbus TCP
Facilidade para realizar o ataque: alta, pois basta que o atacante tenha um
acesso fsico rede e possua um programa capaz de gerar pacotes Modbus
mal formados para iniciar o ataque. No caso de redes Modbus TCP que
possam estar integradas com redes corporativas, h o agravante de o ataque
poder partir de alguma mquina invadida situada na rede corporativa.
Impacto no processo: alto, pois o atacante poder tornar inoperveis

dispositivos importantes ao processo de controle.
Medidas de segurana adotadas no protocolo: no h checagem quanto

ao tamanho dos pacotes que so recebidos.
Comentrios: o protocolo especifica que sero feitas algumas checagens,

como se o campo que identifica o protocolo contm zero, ou se o cdigo de
funo vlido, mas nada sobre o tamanho dos pacotes. A defesa contra
este tipo de ataque pode se basear em duas opes. A primeira busca evitar
que dispositivos no autorizados obtenham acesso fsico rede. Esta tarefa
88
muitas vezes no fcil, devido s caractersticas da plantas industriais,

como extensa rea, difcil monitoramento por sistemas de vigilncia. A outra
opo baseia-se em realizar um monitoramento dos pacotes que esto
trafegando na rede e com a ajuda de um programa de deteco de intruso
criar regras para que alertas sejam emitidos quando pacotes mal formados
forem detectados.
5.6.2 Acesso No Autorizado

Conforme explicado na seo 3.5.1, este tipo de ataque tem por objetivo obter
acesso privilegiado a um dispositivo na rede para controlar suas atividades.
MODBUS Serial
Facilidade para realizar o ataque: baixa, pois o atacante precisar

estabelecer uma conexo com o dispositivo alvo. Esta situao dificulta o
ataque a um dispositivo mestre, pois as conexes sempre so iniciadas pelo
mestre.
Impacto no processo: mdio, pois os ataques sero direcionados

principalmente a dispositivos escravos. Seu nvel ser elevado para alto caso
o atacante consiga um acesso privilegiado a um mestre, pois neste caso
vrios dispositivos escravos podero ser controlados indiretamente pelo
atacante.

protocolo no trata deste tipo de vulnerabilidade.
Comentrios: este tipo de ataque pode comprometer todo o sistema de

controle de uma nica vez. O atacante pode conseguir o acesso no
autorizado sobre um mestre e simplesmente esperar por um momento que
considera adequado para disparar o ataque. Este momento pode ser uma
troca de turno, ou algum outro momento onde a segurana seja diminuda.
Essa estratgia permitir que o dano seja maior. Uma tcnica interessante
para diminuir o risco desse tipo de ataque criar um poltica de segurana em
relao a acesso aos dispositivos, como troca constante de senhas.
89
MODBUS TCP
Facilidade para realizar o ataque: mdia. O uso de tecnologias difundidas

no mercado aumenta a facilidade desse tipo de ataque. Existem CLPs
(Controladores Lgicos Programveis) que possuem web services embutidos,
permitindo que o operador em qualquer parte da rede tenha acesso de leitura
e escrita no controle do processo, atravs de um browser [BARBOSA, 2006].
Essa estrutura de acesso remoto poder ser a porta de entrada para a
obteno de um acesso no autorizado.
Impacto no processo: alto, pois se o atacante tomar o controle de um

dispositivo servidor, todos os dispositivos clientes podero ser afetadas.

informaes sobre este tipo de vulnerabilidade na especificao do protocolo.
Comentrios: este tipo de ataque torna-se mais vivel em redes que utilizam
o protocolo industrial baseado na tecnologia Ethernet, pois h muito
conhecimento difundido sobre as caractersticas e falhas dessa tecnologia. O
fato de os dispositivos fornecerem acesso remoto aos operadores contribui
para aumentar o risco de que esse tipo de ataque ocorra, pois estes
dispositivos tornam-se a porta de entrada para uma invaso. O analista de
segurana deve tomar cuidado redobrado com este tipo de equipamento,
aplicando uma rigorosa poltica de senhas e realizando atualizaes
constantes dos softwares que rodam no mesmo. Uma boa prtica criar uma
classificao que indique quais equipamentos necessitem realmente oferecer
este tipo de funcionalidade, pois talvez seja mais interessante desativar o
acesso remoto do que correr o risco de uma invaso.

Conforme explicado na seo 3.5.2, este tipo de ataque tem por objetivo tornar
indisponvel um sistema. No caso do MODBUS existe um cdigo de funo que
retornado pelo servidor indicando que o mesmo encontra-se ocupado realizando um
processamento. Quando isso ocorre o cliente decide se ir refazer a solicitao e
quando o far. Um atacante poderia inundar a rede com mensagens deste tipo,
fazendo com que todas as requisies geradas pelos clientes no sejam
processadas.
90
Uma outra possibilidade seria fazer diversas solicitaes ao servidor, de

maneira constante, impedindo que as solicitaes reais, vindas dos clientes possam
ser processadas.
MODBUS Serial
Facilidade para realizar o ataque: baixa, pois geralmente as redes esto

isoladas. Caso ocorra a integrao com uma rede MODBUS TCP e o mestre
tambm exera o papel de equipamento de interconexo entre as redes, esta
facilidade se tornar mdia.
Impacto no processo: alto, pois a falta de operabilidade de um servidor

poder trazer conseqncias graves para o processo de controle.

protocolo no trata deste tipo de vulnerabilidade.
Comentrios: apesar de ser mais difcil de ser executado em uma rede

puramente serial, cuidados devem ser tomados quando ocorrer integrao
com redes Modbus TCP ou outras que utilizem a tecnologia Ethernet. Uma
boa prtica nesses casos manter uma vigilncia maior nos equipamentos de
interconexo das redes, pois estes sero os alvos de ataques deste tipo.
MODBUS TCP
Facilidade para realizar o ataque: mdia no caso em que o dispositivo

servidor no fornecer acesso remoto, pois o atacante precisar de uma
conexo fsica com a rede. Alta caso o servidor fornea o acesso remoto, pois
o atacante precisar apenas conhecer o endereo do dispositivo servidor para
comear o ataque.
Impacto no processo: alto, pois se o atacante conseguir inabilitar um

servidor, o processo como um todo poder ser comprometido.

informaes sobre este tipo de vulnerabilidade na especificao do protocolo.
Comentrios: este tipo de ataque de difcil preveno. Logo as aes

devem ser concentradas em realizar a deteco do ataque e na ttica que
ser utilizada quando um ataque for detectado. A especificao do Modbus
TCP no prope nenhum tipo de redundncia quanto aos dispositivos, e no
91
existe um mecanismo de troca automtica quando uma falha ocorre em uma

rede ou em um dispositivo, como encontrado no Foundation Fieldbus. Desta
forma, o analista de segurana dever atuar rapidamente quando um ataque
for detectado e procurar a fonte do ataque, caso esteja sendo realizado
atravs de um acesso remoto, o analista dever desabilitar esta
funcionalidade imediatamente. Caso parta de algum dispositivo conectado
rede interna a tarefa torna-se mais complicada, pois uma varredura fsica da
rede dever ser realizada.

O protocolo Modbus Serial foi desenvolvido em uma poca em que no havia
preocupaes com segurana das redes, pois tratavam-se de pequenas ilhas sem
comunicao com o mundo externo. Com o surgimento do Modbus TCP e a
integrao entre redes Serial e TCP, surgiu a necessidade de que medidas de
controle de segurana fossem tomadas, como monitoramento dos dispositivos dos
equipamentos de interconexo, entre outras.
J o Modbus TCP surgiu em uma poca em que a segurana das redes
corporativas era um assunto muito difundido. Entretanto, pouco sobre este tema foi
previsto na sua especificao, deixando a cargo dos desenvolvedores de
equipamentos implementar qualquer medida. Por mais que os desenvolvedores
consigam criar bons sistemas de segurana, a falta de padronizao poder
comprometer o correto funcionamento e a integrao entre os mesmos. Dessa
forma, uma boa poltica seria criar um padro para questes de segurana
relacionadas ao Modbus.
[BARBOSA, FREITAS, 2006] criou um conjunto de regras para o Modbus a
serem utilizadas no sistema de deteco de intruso SNORT. Atravs desse
conjunto de regras e o SNORT possvel detectar assinaturas de ataques que esto
ocorrendo na rede e emitir alertas para o administrador da rede.
92
Captulo 6 - Concluso
Atravs deste trabalho foi possvel verificar que houve um processo de
integrao entre as redes industriais e as redes corporativas. Este processo trouxe
benefcios, mas tambm preocupaes com relao s questes de segurana da
informao, principalmente nas redes industriais onde os impactos de uma falha so
mais severos.
O estudo dos protocolos industriais mostrou que os protocolos PROFIBUS,
Fieldbus e Modbus, apesar de serem todos classificados como protocolo fieldbus e
seguirem um padro definido pela ISA, o ANSI-ISA 50.02 Fieldbus Standard for Use
in Industrial Control Systems, possuem diferenas significativas entre si.
O estudo do PROFIBUS revelou sua dependncia a um padro proprietrio
(DCOM). A utilizao desta tecnologia aumenta a vulnerabilidade deste protocolo,
visto que, existem vrus e pragas similiares espalhadas pela internet e de fcil
acesso.
O Fieldbus mostrou-se menos vulnervel em relao s questes de
segurana. Seu sistema de dispositivos redundantes se for implementado, pode
diminuir os riscos de uma falha ocorrer por ao de um ataque.
Foi possvel verificar tambm que o Modbus um protocolo mais simples do
que o Fieldbus e o PROFIBUS, e que tambm apresentou falhas de segurana. Sua
documentao aberta contribui para que sejam criados mecanismos com o objetivo
de melhorar sua segurana, como as regras para o SNORT criadas por [BARBOSA,
2006]. O que j no acontece com os outros dois protocolos, pois suas
especificaes so pagas, dificultando sua pesquisa, principalmente no meio
acadmico.
O estudo revelou tambm que os trs protocolos possuem uma verso para
utilizao em cho de fbrica. Essas apresentam menos vulnerabilidades do que as
verses que rodam sobre uma rede Ethernet. Isso no ocorre por possurem
mecanismos de segurana mais avanados, mas sim pelo fato de possurem um
nvel menor de integrao com outras redes. Esse risco aumenta consideravelmente
quando so conectadas a uma rede Ethernet.
Outro fator que deve ser considerado o uso de equipamentos de prateleira,
como hubs, switches, roteadores, etc. O uso destes equipamentos foi fundamental
93
para o estabelecimento dos protocolos baseadas em TCP/IP. Quanto a isso dois

fatores devem ser considerados: o uso destes equipamentos aumentou o risco de
ataques s redes industriais, visto que j existem tcnicas e ferramentas disponveis
para realizao de ataques em redes deste tipo. Por outro lado tambm foi possvel
a utilizao de mecanismos de segurana construdos para redes Ethernet, como o
IDS SNORT.
Apesar das diferenas encontradas nas implementaes dos protocolos, os
problemas de segurana foram muito semelhantes em todos os casos. Os trs
protocolos ao oferecerem acesso remoto aos seus dispositivos esto expondo os
mesmos a um ataque do tipo Negao de Servio e Acesso No Autorizado.
Isso mostra a falta de preocupao com questes de segurana por parte dos
projetistas de protocolos industriais. Alm disso, os protocolos que mencionavam
questes relativas segurana em suas especificaes, o faziam como informativo
e deixavam a cargo do implementador a deciso de criar algum mecanismo que
pudesse tratar essas questes.
Como resultado, este trabalho apresentou uma anlise sobre questes de
segurana dos protocolos PROFIBUS, Fieldbus e Modbus, evidenciando as
vulnerabilidades a que cada um est sujeito e propondo boas prticas e mecanismos
para diminuir ou evitar que falhas na segurana ocorram.
A princpio a meta deste trabalho era estender o trabalho de [BARBOSA,
2006], fazendo uma anlise das questes de segurana dos trs protocolos e
criando regras para o sistema de deteco de intruso SNORT para os protocolos
Fieldbus e PROFIBUS. Entretanto, algumas dificuldades foram encontradas: a falta
de documentao aberta, visto que os documentos que contm as especificaes
dos protocolos Fieldbus e PROFIBUS so documentos pagos, a complexidade dos
protocolos, que aliada com o curto tempo para o desenvolvimento deste trabalho,
inviabilizou que as regras fossem criadas.
Desta forma, uma possibilidade de trabalho futuro consiste em aprofundar o
estudo nos protocolos Fieldbus e PROFIBUS, analisando como as mensagens so
formadas, identificando seus cdigos de funo com o objetivo de criar regras para
que o SNORT possa detectar possveis ataques na rede.
Cabe ressaltar que os ataques analisados para cada um dos protocolos no
constitui uma lista exaustiva. Um trabalho futuro consiste em ampliar a anlise para
diversos outros ataques conhecidos.
94
Outra possibilidade aplicar este modelo de anlise de segurana em outros

protocolos industriais e construir um mecanismo de anlise de risco para protocolos
industriais. A partir deste modelo, poderiam ser identificados os riscos a que cada
protocolo est exposto, sua facilidade de execuo, impactos no processo de
controle e medidas e contra-medidas a serem adotadas. Seria um primeiro passo
para criao de um padro para segurana em protocolos industriais.
[SANTOS, 2006] criou um ambiente de simulao que roda o protocolo
Modbus TCP. Este ambiente utilizado para testes das regras do IDS SNORT. Um
trabalho futuro consiste em ampliar este ambiente para que o mesmo suporte os
protocolos Fieldbus e PROFIBUS, sendo possvel realizao de testes das regras
criadas para estes protocolos. Alm disso, seria possvel a realizao de testes em
ambientes em que vrios protocolos rodem de forma integrada. A partir dos testes
realizados no ambiente virtual seria possvel melhorar a qualidade das regras,
diminuindo o nmero de falsos positivos gerados. Outra possibilidade seria a criao
de um sistema de deteco de intruso que pudesse tomar decises quando um
ataque fosse detectado, situao que no pode ser testada em um ambiente de
produo, pois as conseqncias podem ser graves.
95
Referncias Bibliogrficas
[1] B. C. KUO, Digital Control Systems. Saunders College Publishing, 2nd
ed., 1992.
[2] EVERTON MIRANDA, Uma anlise das redes de cho de fbrica e de
sua possvel utilizao no controle de processos das plataformas de
produo da bacia de Campos. 2002.
[3] RON HELSON, Os benefcios do protocolo de comunicao HART em
sistemas de instrumentao inteligentes. Disponvel em:
http://www.smar.com/brasil2/hart.asp. Acesso em: 30 mar. 2007.
[4] HEBER ALMEIDA BARBOSA, Deteco de Intruso em Redes de
Automao Industrial. Especializao em Redes - Universidade Federal
do Esprito Santo, 2006.
[5] GARFINKEL, S. SPASSFORD, Practical UNIX and Internet Security. 2nd
Edition. United States: OReilly & Associates, Inc, 1996.
[6] RICARDO ENCARNAO CARRARETO, Uma proposta de infraestrutura

de autenticao para o IPSec baseada no uso integrado de
Certificados Digitais e diretrio LDAP.. Mestrado Universidade Federal
do Esprito Santo, 2002.
[7] CONSTANTINO SEIXAS FILHO, Tutorial ISA S-99 Segurana da

Informao. Revista In Tech, So Paulo, n71, p. 14-18, 2005.
96
[8] PROFIBUS Descrio Tcnica 2006. Associao PROFIBUS. Disponvel

em: www.profibus.com.br. Acesso em: 20 fev. 2007.
[9] PROFInet CBA Architecture Description and Specification Version

2.02. Identificao do documento: TC2-04-0001. PROFIBUS & PROFINET
International. 2004.
[10] PROFInet Technology and Application System Description Version

April
2006.
PROFIBUS
&
PROFINET
International.
Disponvel
em:
www.profinet.com. Acesso em: 25 mar. 2007.
[11] RODRIGO PALUCCI PANTONI, Desenvolvimento e implantao de uma

descrio
de
dispositivos
aberta
no
proprietria
para
equipamentos Foundation FIELDBUS baseada em XML.. Mestrado

Escola de Engenharia de So Carlos, Universidade de So Paulo, 2006.
[12]
ISO/IEC
7498-1:
interconnection
Information
basic
Technology
reference
model:
the
open
basic
systems
model.
International Organization for Standarization. 1994.

[13] FBIO DA COSTA SOUZA. FOUNDATION FIELDBUS. Escola
Politcnica da Universidade de So Paulo. 2004.
[14] FIELDBUS TUTORIAL A FOUNDATION FIELDBUS Technology
Overview. FIELDBUS FOUNDATION. Disponvel em: www.fieldbus.org.
Acesso em: 10 mar. 2007. 2006.
[15] DENNIS BRANDO. Ferramenta de simulao para projeto, avaliao

e ensino de redes fieldbus. Doutorado Escola de Engenharia de So
Carlos, Universidade de So Paulo. 2005.
97
[16] Foundation Fieldbus Technical Information. Samson. Disponvel em:

www.samson.de/pdf_en/l454en.pdf . Acesso em: 10 mar. 2007.
[17] IAN VERHAPPEN. High Speed Ethernet The Enterprise Integration

Enabler.
[18] IAN VERHAPPEN. Process Control Security Industry's New
Challenge.
[19] SEAN J. VINCENT. FOUNDATION Fieldbus High Speed Ethernet

Control System.
.
[20] JONAS BERGE. FOUNDATION HSE for high availability at the hostlevel.
[21] STEVE MACKAY. FOUNDATION FIELDBUS HIGH SPEED ETHERNET
(HSE) AND TCP/IP.
[22] NATIONAL INSTRUMENTS. FIELDBUS Foundation Fieldbus
Overview. EUA, 2003.
[23] Foundation Fieldbus Technical Overview FD-043 Revision 3.0.
Fieldbus Foundation. Disponvel em: www.fieldbus.org . Acesso em: 05 jan.
2007.
[24] DAVID A. GLANZER. HSE: An open, high-speed solution for

plantwide automationFoundation Fieldbus Technical Overview FD043 Revision 3.0. Fieldbus Foundation. Disponvel em: www.fieldbus.org .
Acesso em: 10 abr. 2007.
98
[25] The Foundation Fieldbus Primer Revision 1.1 Released June 4,

2001. Fieldbus Foundation. Disponvel em: www.fieldbus.org . Acesso em: 15
abr. 2007.
[26] MODBUS Application Protocol Specification V1.1b. Modbus-IDA.

Disponvel em: www.modbus.org . Acesso em: 10 mai. 2006.
[27] MODBUS over Serial Line Specification and Implementation Guide
V1.02. Modbus-IDA. Disponvel em: www.modbus.org . Acesso em: 10 mai. 2006.
[28] MODBUS Messaging TCP/IP Implementation Guide V1.0b. ModbusIDA. Disponvel em: www.modbus.org . Acesso em: 12 mai. 2006.
[29] HEBER ALMEIDA BARBOSA, SERGIO A. A. FREITAS. Sistema de
Deteco de Invaso em Redes de Automao Industrial. In: 6 Congresso
Internacional de Automao, Sistemas e Instrumentao, 2006, So Paulo.
99

Maicon Dalmoro - Projeto Final PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Maicon Dalmoro - Projeto Final PDF

Enviado por

Direitos autorais:

Formatos disponíveis

ndice

Histrico das Tecnologias e Sistemas de Controle de Processos Industriais ...........11

Modelo Funcional Hierrquico.................................................................................15

Fuso do Ambiente Corporativo com o Ambiente Operacional ..............................22

Segurana no Ambiente Industrial ...........................................................................22

Captulo 3 - PROFIBUS (Process Fieldbus) ........................................................................24

Caractersticas Gerais ...............................................................................................25

Arquitetura do Protocolo ..........................................................................................25

Tecnologia de Transmisso ......................................................................................27

Mtodo de Acesso ao Meio ..............................................................................28

Protocolos de Comunicao .....................................................................................30

PROFIBUS FMS ..............................................................................................32

Estrutura do PROFInet .....................................................................................35

Comunicao PROFInet ...................................................................................35

Modelo de Objetos PROFInet ..........................................................................37

Integrao com outros sistemas........................................................................38

Aspectos de Segurana do Protocolo .......................................................................42

Acesso no autorizado ......................................................................................42

Ataque Distribudo de Negao de Servio......................................................45

Vrus e pragas similares....................................................................................47

Concluses Parciais ..................................................................................................48

Captulo 4 - Foundation Fieldbus .........................................................................................50

Caractersticas Gerais ...............................................................................................50

Foundation Fieldbus H1 (FF H1) .............................................................................51

Camada Fsica ..................................................................................................52

Camada de Enlace de Dados ............................................................................53

Camada de Aplicao .......................................................................................56

Foundation Fieldbus High Speed Ethernet (FF HSE) ..............................................59

Arquitetura do protocolo ..................................................................................60

Modelos de Comunicao ................................................................................62

Acesso Remoto .................................................................................................66

Aspectos de Segurana do Protocolo .......................................................................67

Ataque ao DHCP ..............................................................................................67

Ataque tabela de status da rede (NST) ...........................................................69

Ataque Distribudo de Negao de Servio......................................................70

Concluses Parciais ..................................................................................................72

Captulo 5 Modbus ..............................................................................................................74

Protocolo de Aplicao Modbus ..............................................................................75

Camada Fsica ..................................................................................................79

Camada Enlace .................................................................................................79

Modbus TCP/IP ........................................................................................................80

Camada de Enlace ............................................................................................82

Camada de Rede ...............................................................................................82

Camada de Transporte ......................................................................................82

Camada de Aplicao .......................................................................................83

Modelo de Componentes da Arquitetura MODBUS................................................85

Aspectos de Segurana do Protocolo .......................................................................87

Ataque de Buffer Overflow ..............................................................................87

Acesso No Autorizado ....................................................................................89

Ataque Distribudo de Negao de Servio......................................................90

Concluses Parciais ..................................................................................................92

Captulo 6 - Concluso ...........................................................................................................93

Figura 2.2 - Sistema de controle utilizando o Modelo de referncia geral

Figura 3.1 Arquitetura do PROFIBUS

Figura 3.2 Rede PROFIBUS formada por 3 estaes mestre e 7 estaes

Figura 3.3 Sistema PROFIBUS DP mono-mestre

Figura 3.4 Sistema PROFIBUS DP multi-mestre

Figura 3.5 - Rede PROFIBUS PA.

Figura 3.6 Exemplo de uma rede PROFInet com seus componentes.

Figura 3.7 Diviso do ciclo de comunicao, possibilitando a

Figura 3.8 Modelo de objeto PROFInet

Figura 3.9 Integrao PROFInet com outros sistemas

Figura 3.10 Cenrios possveis para Integrao Web