IoTs – Como construir uma infraestrutura

segura para conectividade das coisas

Rosendo Perez – Mobwin Consultoria
Diretor de Tecnologia da AET
 Segurança no ambiente de IoTs
• Esforços Nacionais  Avaliar os IoTs para Cidades Inteligentes
• 2018 - INMETRO/ ABDI  Projetar infraestrutura para testes de conectividade de IoTs
• 2019 – Contratar o Ambiente de Demonstração de IoTs p/ Cidades Inteligentes (pendente).

Ataques de exaustão aos IoTs

O ambiente inclui a construção na Sede do INMETRO em (Xerem – RJ), de uma infraestrutura de
rede de telecomunicações segura e com capacidade de armazenamento de dados de testes
efetuados nos IoTs (em BigData), para avaliar a resiliência dos IoTs aos ataques cibernéticos.

Resultados dos testes dos IoTs  Recomendações do INMetro

Os resultados analisados pelo Inmetro, irão definir se um determinado IoT, de um determinado

fabricante cumpre ou não, com os requisitos exigidos em termos de segurança cibernética, para
o ambiente de Cidades Inteligentes.
 Os testes envolverão:

• 35 tipos de tecnologias de IoTs

• + de 180 fabricantes de soluções
• IoTs NarrowBand (sem Fio)
• IoTs BroadBand (em fibras opticas)

Cidades Inteligentes, diferente das atuais Cidades Digitais, serão cidades que se beneficiam de infraestrutura
simples e segura, capaz de transportar de forma transparente qualquer tipo de IoT em qualquer tecnologia de
transporte sem sofrer ataques cibernéticos, sema necessidade de novos investimentos no próximos 30 anos.
O Campus do Inmetro será contornado por duplo anel de fibras ópticas totalmente subterrâneo
“
Conceito do Backbone em duplo Anel
• O Backbone de duplo anel Ethernet é
totalmente subterrâneo, prevendo dois anéis
independentes de F.O de 10 Gbps cada.
• Será a Infraestrutura permanente, em 2 dois
anéis de alta velocidade de 20Gbps, no padrão
Ethernet (SPB).
• Contorna o Campus do Inmetro por inteiro
oferecendo o transporte de até 16 Milhões de
Serviços (IS-ID) ou IoTs.
• O anel só é aberto nos prédios que tem
elementos vitais do Ambiente de testes de
cidades Inteligentes. Todos demais serão
atendidos por infraestrutura FTTH de acesso.
(Backbone secundário).
• Para melhor resiliência tem um corte
longitudinal entre os Prédios 6 e 20.
• Para ser extremamente seguro foi planejado
Pop-MZ4 para dupla abordagem nos prédios (entra pela
frente sai por detrás).
 Transporte Transparente
Switches de Backbone – Duplo Anel Óptico

Comparação das
Tecnologias
SPB x IP/MPLS
As escolha de switches, não é uma opção de custo e sim de inteligência. Poucos switches
inteligentes garantem a segurança no transporte dos IoTs no backbone. A tecnologia IP/MPLS
(de 1999), não é uma tecnologia do século passado e sim do milênio passado.
 Transporte transparente em camada 2 
menor custo e mais simplicidade de operação
Protocolos Protocolos
Camada 3 – IP / MPLS Camada 2 - Ethernet

Layer 3 – IP

MPLS Auto-Discovery

MPLS Service Signalling

Resiliency and Multicasting Layer 3 – IP

Layer 2 – Ethernet
MPLS Tunnelling Protocol

IP Routing Protocol

Layer 2 – Ethernet

O transporte em camada 2 (Ethernet), impossibilita os ataques internos ou externos aos

IoTs no backbone da rede, pois não usa a Camada 3 (IP/MPLS) para rotear, reduzindo
custos, simplificando a operação e facilitando a manutenção (menor custo de propriedade).
 O switches desta decada e as normas IEEE atualizadas
garantem segurança e compatibilidade, à prova de futuro
Padrão Ano Nome Loopfree Numero de Provisio- Virtualização
Service namento
Topologia ID‘s/Vlans

IEEE 1998 Virtual Lans Spanning Tree 4096 VLANs Edge and Core Layer 2
802.1Q
(VLAN Tagging)

IEEE 2005 Provider Bridging Spanning Tree 4096x4096 Edge and Core Layer 2
802.1ad
(QinQ) 16Mil
VLANs

IEEE FTTx Redundant PON

802.3ah 2004 1 Gb EPON Point-Multipoint 16Mil Only Acess Layer 2
Spliters (1:32) VLANs
802.3av 2006 10Gb EPON
IEEE 2008 Provider Backbone Eliminate 16Millões Edge and Core Layer 2
802.1ah Bridging (MacInMac)
Spanning Tree de I-SIDs

IEEE 2011 Shortest Path Link-State- 16Millões Only Service IEEE: Layer 2
802.1aq Bridging (SPBm) Protocol (IS-IS) de I-SIDs Access Points
IETF draft:
MacinMac + I-SID Network Layer 3
Virtualization Unicast &
(VRFs L2 & L3) Multicast
8
 Shortest Path Bridging (SPB) 802.1aq
MacInMac de 2011 roteia 802.1ah de 2008
Após 2008
Após 2011, os Switches SPB,
Switches Switches eth
eliminam o Spannnig Tree e
16K Vlans Mac-in-Mac c/ Vlan Trunking e passam a
Switches Após 2005 16 milhoes I-
4096 Vlans roteiam em Ethernet (Layer 2)
SIDs
Hubs Eth Após 1998
antes de Conteúdo dos campos
1998
C-SA = Customer Source MAC
C-DA = Customer Destinat.MAC
C-TAG = Customer TAG
TPID = Tag Protocol IDentifier
S-TAG = Service TAG
I-TAG = Service Instance TAG
I-SID = Service ID
B-TAG = Backbone TAG
B-DA = Backbone DA
O protocol SPB (803.aq (encapsula B-SA = Backbone SA
IP) roteia em camada 2 16 milhões
de I-SIDs em anel sem Spanning
Tree. (Para Ethernet das coisas)
 Arquitetura para
Trasnporte seguro de IoTs
 transporte transparente

O backbone em duplo anel SPB permitirá o

transporte transparente e seguro entre as
soluções de IoT (comunicação com gateways,
controladores, bem como com os demais
elementos da rede incluindo o NOC e Data Center.
 Segurança com o uso do Shortest Path Bridging
(SPB) Mac-In-Mac no transporte seguro de IoTs
Segurança com encapsulamento MAC-in-MAC dos pacotes Ips gerados pelos IoTs
O SPBM usa o frame IEEE 802.1ah, ou seja, o Provider Backbone Bridging (PBB), com
encapsulamento MAC-in-MAC, que esconde o MAC do IoT (C-MAC), em um outro MAC (B-
MAC). O encapsulamento MAC-in-MAC define um BMAC-DA e BMAC-SA para identificar a
fonte de backbone e endereços de destino.
Contolador d e IoT
IoT
SPB C-MAC-DA
C-MAC-DA BMAC-DA MAC-in-MAC BMAC-DA
C-MAC-SA
C-MAC-SA BMAC-SA BMAC-SA
IEEE 802.1aq

• Diferente de uma rede MPLS, Não troca o rótulo ou faz uma pesquisa de rota em cada nó;
• O encaminhamento sempre é mais eficiente pelo melhor caminho (rota mais curta);
• Melhora escalabilidade da rede (16 milhões de instancias de serviços), sem aprendizagem dos
MAC de todos IoTs conectados nas camadas mais baixas. (Subredes Ethernet ou acessos FTTH)
• Melhora significativamente a robustez da rede: Subredes com loops loops não causam efeito
sobre o backbone.
 O transporte MAC-in-MAC no transporte
transparente e seguro de dados dos IoTs
Pacotes Ethernet dos Encapsulamento: O switch de saída do
O switch SPB de O frame do IoT é backhbone para o
IoTs (IPv4 ou IPV6) encaminhado pela rede Storage
chegam do acesso backbone acrescenta Data Center remove o (Blades)
um novo cabeçalho utilizando as cabeçalho (Mac-in-
FTTH nos switches informações do
SPB do Backbone (Mac-in-Mac), Mac)
encapsulando o IPv4 ou cabeçalho (Mac-in-
IPV6 do originado no do Mac)  rota mais curta
IoT, com um I-SID de
identificação de serviço.

Infraestrutura de backbone transporte transparente

BigData
(Mac de
Destino)
I-ISID do IoT)

Acesso Acesso
FTTH OLT FTTH
OLT
Encapsulamento MAC-in-MAC dos IoTs
OLT OLT

TAP 2WAY TAP 2WAY

ONT
TAP 2WAY
ONT
Header ONT
TAP 2WAY
ONT

ONT
ONT
do IoT I-SID no ONT
ONT

ONT
ONT
Dados ONT
...
ONT
...
ONT
...
ONT do IoT Cabeçalho ONT
...
ONT
TAP 2WAY TAP 2WAY

ONT
TAP 2WAY
Mac-in-Mac ONT
TAP 2WAY

ONT ONT

Dados ONT
ONT
SPB ONT
ONT

... ONT

do IoTs . . .
ONT
... ... ONT
... ... ONT

... ONT
...
ONT
ONT ONT
 Topologia de duplo anel de Backbone SPB  Resiliencia dos IoTs nos acessos FTTH
Datacenters redundantes

Anél SPB de Anél SPB de

Datacenter1 Datacenter2 Fibra primário
Fibra primário
Ethernet #1 Ethernet #2

Backbone em
Backbone em Anél Fibra
duplo Anel
duplo Anel Camada de Backbone em duplo anel SPB monomodo 10
fisicamente (dois
fisicamente (dois Gbps #1
pares F.O.)
pares F.O.) e logicamente
e logicamente Anél Fibra redundante
redundante Camada de Backbone em duplo anel SPB monomodo 10 (switches
(switches Gbps #2 empilhados)
empilhados)

Macro Zon a1 Macro Zona2 Macro Zonana3 Macro Zona 4

NOC
... FTTH Acesso a
FTTH Acesso a IoTs, Gateways
IoTs, Gateways e outros
e outros dispositivos
dispositivos OLT
OLT OLT
OLT
OLT
OLT OLT
OLT OLT
OLT
Núcleo 7
TAP TAP TAP
TAP TAP TAP TAP TAP
TAP TAP
ONT ONT
ONT ONT ONT ONT ONT
ONT ONT ONT

Os IoTs nunca ficam ONT

ONT
ONT
ONT
ONT
ONT
ONT
ONT ONT
ONT

desconectados pois ONT

...
ONT
ONT
...
ONT
ONT
...
ONT
... ...
ONT
ONT
...
ONT
...
ONT
Os IoTs nunca ficam
... ... ONT ...
cada OLT está sempre ONT
TAP
ONT
ONT
TAP
ONT TAP
ONT
TAP TAP
ONT
ONT
TAP
ONT
TAP
ONT
desconectados pois
TAP TAP TAP
ligada aos dois ONT
ONT
ONT
ONT
ONT
ONT
ONT ONT cada OLT está sempre
ONT ONT

switches da pilha em ONT

ONT
ONT
ONT
ONT
ONT
ONT
ONT ONT
ONT ligada aos dois
Backbones separados ... ONT
... ... ONT ... ONT
... ONT
... ONT
... ... ONT ...
...
ONT
... ONT ... ONT
... ONT
switches da pilha em
... ... ... ONT
... ... ... ...
ONT ONT ONT
ONT ONT ONT
ONT ONT ONT
 Sub-anéis de fibras ópticas totalmente georreferenciado  Maior resiliência “
Backbone em duplo Anel Resiliência  Backbones fracionados
Resiliência
devido
aos Switches SPB SubAnel
Superior
(múltiplos sub-
anéis lógicos)

Anel Completo

SubAne
Inferior
Simulação de Falha de Switch Secundário  Situação antes da Falha
Tx - F1
Rx - F2 Backbone
Tx – F3 Primário
Rx –
F4

Tx – F1
(Cross)
Rx – F2
(Cross)
Backbone
Secundário
Simulação de Falha de Switch Secundário  Situação depois da Falha
Tx - F1
Rx - F2 Backbone
Tx – F3 Primário
Rx
F4
– X
O tráfego do Tx – F1 (Cross)
Backbone Secundário
(F3 e F4) é redirecionado Rx – F2 (Cross)
ao Backbone Primário
(F1 e F2)
Backbone
Secundário

Os IoTs nunca são afetados pois cada OLT está sempre ligada aos dois switches da pilha
Simulação de rompimento do cabo óptico  Situação antes da Falha
Tx - F1
Rx - F2 Backbone
Tx – F3 Primário
Rx –
F4

Tx – F1
(Cross)
Rx – F2
(Cross)
Backbone
Secundário
Simulação de rompimento do cabo óptico  Situação depois da Falha
Tx - F1
Rx - F2
Backbone
Tx – F3 Primário
Rx –
F4

O tráfego do Backbone
Primário (F1 e F2)
e do Secundário (F3 e F4)
ambos são redirecionados

Backbone

X Secundário

Os IoTs nunca são afetados pois cada OLT está sempre ligada aos dois switches da pilha
Encaminhamento do duplo anel óptico de
backbone SPB em dutos subterrâneos e
interno ao meio da calçada
Meio fio com 2 dutos
(elétrica + Fibras ópticas)

* Patente RNP
 Infraestrutura de ancoragem aérea para instalação de IoTs
ANCORAGEM INICIAL (TIPO 1) PASSAGEM (TIPO 2) ANCORAGEM FINAL (TIPO 3)
BAP ou cinta
IoT do para fixação
alça azul drop fig8
S.U.C.O. laço azul drop fig8 fornecedor do IoT
drop fig8
alça vermelha cordoalha
BAP2
cordoalha BAP2 + cordoalha

2 x cabo feeder drop fig8 Reserva técnica

laço vermelho cordoalha
olhal para bap2
p/ manutenção
dos IoTs em solo

Peso Max.
Suportado
Peso Max. Ancoragem em Curva (TIPO 4)
Suportado
100 Kg
125 Kg

Max.500 Kg entre ancoragens

Poste Tipo1 Postes Tipo 2 Poste Tipo 3
ANCORAGEM PASSAGEM ANCORAGEM
INICIAL FINAL
A cada cinco1 postes os dois extremos (primeiro e quinto) são utilizados para ancoragem (esticar) os cabos.
Deve atender NORMA ABNT NBR 15214 - Compartilhamento de infraestrutura com redes de
telecomunicações.
Desenvolvimento do Projeto – Ambiente de testes de IoTs
MINISTÉRIO DA INDÚSTRIA, COMÉRCIO EXTERIOR E SERVIÇOS
Marcos Jorge de Lima
AGÊNCIA BRASILEIRA DE DESENVOLVIMENTO INDUSTRIAL – ABDI
Luiz Augusto de Souza Ferreira
Carlos Venícius Frees
Tiago Chagas Faierstein
INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA – INMETRO
Carlos Augusto de Azevedo
Rodolfo Saboia Lima de Souza
Luiz Roberto Mayr
CONSÓRCIO AMBIENTE SMART CITY
SPIN SOLUÇÕES PÚBLICAS INTELIGENTES | INSTITUTO SMART CITY BUSINESS AMERICA
Vitor Amuri Antunes (Coord.)
Jonny Romeiro Doin
Luciana Pitombo
Felipe Nogueira Stracci
Rosendo Correa Perez
Anderson Marcos Henriques
Regiane Relva Romano
Marcos Semola
Leopoldo de Albuquerque
Francisco Douglas Rodrigues
IoTs – Como construir uma infraestrutura
segura para conectividade das coisas
Rosendo Correa Perez
rosendo.perez@gmail.com
Consorcio Ambiente Smart City
Projeto de conectividade de IoTs
Diretor de Tecnologia da
Associação dos Engenheiros
de Telecom.
Consultor
Fone Com. (19) 3255-4849
Cel. WhatsApp (19) 9 8140-6722