Treinamento expert

Indústria 4.0 e IOT

CYBERSECURITY & INFRAESTRUTURA

MÓDULO7-PRODUÇÃO
DISPOSITIVOS ACESSO Segurança &
DE REDE REMOTO
Abordaremos os Vamos entender como infraestrutura
seguintes componentes: funcionam os acessos
Roteadores, Firewall,
Wifi. Também falaremos
remotos em
infraestruturas industriais andam lado a
lado
sobre VPN e Proxy. e Automation Security.

CERTIFICADOS / NUVEM E
AUTENTICAÇÃO DEPLOY
Criaremos os certificados Entendimento entre
para criptografa dos nuvem privada e publica.
dispositivos IOT, Configuração de broker
autenticação das em nuvem como SAAS e
aplicações e garantir conexão de apps em
HTTPS para acesso. nuvem.
Segurança é
Primeira coisa a ser entendida.

feita em CYBERSECURITY NÃO É UMA COISA

camadas Quando iniciamos a estudar o assunto,
temos a impressão que segurança é uma
coisa engessada, mas não é.
Assim como na segurança de pessoas,
utilizamos vários EPI's (capacete, óculos,
protetor auricular e etc..), na segurança da
informação temos dispositivos ou
softwares que garantem a segurança de
um sistema.
 ENTENDENDO A INTERNET

Vamos assistir este vídeo. Apesar de ser antigo, explica como funciona a internet
e trafego de informações de maneira muito simples.
https://www.youtube.com/watch?v=IOIWEjh5QNA
 RISK ASSESSMENT

Assim como em qualquer sistema,

segurança possui custo, colocamos
complexibilidade em um sistema e
posteriormente exige governança.
Portanto, os riscos devem ser avaliados e
sistemas projetados para atender as
necessidades.

ISO 27001 Information Security

Management System (ISMS)
DISPOSITIVOS DE
REDE
Roteadores, switches, Firewall, VLAN, Wifi.
Também falaremos sobre VPN e Proxy.
 Roteador
Basicamente, um roteador é responsável por conectar redes diferentes. É o que
chamamos de roteamento.
Este roteamento é realizado de acordo com um conjunto de regras que formam a
tabela de roteamento.

MÓDULO7-PRODUÇÃO
 Switches
Switches não gerenciados: Categoria de switch é a que costuma ter o custo de
aquisição mais barato e é ideal para cenários de implantação que requerem apenas a
camada 2 básica de rede.

Switches Gerenciados: Os switches gerenciados são projetados para oferecer um

conjunto mais abrangente de recursos, os mais altos níveis de segurança, controle e
gerenciamento mais precisos da rede e oferecer uma maior escalabilidade da sua
rede.

MÓDULO7-PRODUÇÃO
 Switches industriais
Possuem características similares aos switches convencionais, porém suportam
ambientes industriais.

https://new.siemens.com/global/en/products/automation/industrial-
communication/industrial-ethernet/industrial-ethernet-switches-scalance-x.html

https://www.rockwellautomation.com/pt-br/products/hardware/allen-bradley/network-security-
and-infrastructure/ethernet-networks/stratix-5700-industrial.html

https://www.industrialnetworking.com/Hirschmann-Gigabit-Switch-Solutions

MÓDULO7-PRODUÇÃO
 Firewall & DMZ
Um firewall é um dispositivo de segurança da rede que monitora o tráfego de rede de
entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um
conjunto definido de regras de segurança.

Em segurança de computadores, uma DMZ ou zona desmilitarizada, também

conhecida como rede de perímetro, é uma sub-rede física ou lógica que contém e
expõe serviços de fronteira externa de uma organização a uma rede maior e não
confiável, normalmente a Internet.

MÓDULO7-PRODUÇÃO
 Firewall & DMZ
Basicamente, o firewall determina se um determinado IP+Porta poderá trafegar informações
tanto de dentro para fora quanto de fora para dentro.
Sendo mais prático, vamos fazer uma analogia. Imagine que o endereço IP é o CEP e RUA de um
prédio, a porta é o apartamento. O porteiro seria o firewall, ou seja, de acordo com a regra
estipulada o porteiro deixa ou não subir para o apartamento. Podemos ter entrega em um prédio,
mas o porteiro liga para o apartamento em questão.

MÓDULO7-PRODUÇÃO
 Firewall & DMZ
Trazendo para um sistema: Temos as portas de "OUTBOUND" e "INBOUND", ambas liberam a
direção que permite o tráfego. O MQTT trabalha com a conexão não segura na porta 1883 (em
breve com os certificados trabalharemos com a porta 8883), porém precisamos abrir somente a
porta de "OUTBOUND" para conexão com o broker.
Com dois firewalls e a aplicação no meio, temos a DMZ configurada. Com isso, isolamos
completamente as redes construindo uma comunicação extremamente segura.

MÓDULO7-PRODUÇÃO
 Firewall & DMZ
Rede interna/Rede privada
192.168.0.50

192.168.0.100 192.168.0.200

Origem: 192.168.0.100 Origem: 192.168.0.50

Destino: 192.168.0.200 Destino: 192.168.0.200
Outbound: 8883 Outbound: 8883

MÓDULO7-PRODUÇÃO
 Firewall & DMZ

MÓDULO7-PRODUÇÃO
 Firewall & DMZ

MÓDULO7-PRODUÇÃO
 WIFI
Wi-fi é um termo que designa a
tecnologia que permite transmitir dados
via internet sem a utilização de cabos. O
termo vem do nome da empresa que
desenvolveu a tecnologia a Wi-Fi
Alliance, sendo que wi-fi é uma
denominação popular, o nome original
dessa tecnologia é IEEE 802.11.
 Projetos Wifi na indústria
Há uma grande lacuna no mercado Wi-Fi Profissional corporativo, pois há uma
carência de especialistas.
Portanto, a grande dificuldade em criar, projetar ou até mesmo configurar uma rede
Wi-Fi, está principalmente na visão do projetista da rede.
Atualmente as empresas procuram criar “a rede Wi-Fi Profissional”, principalmente
por utilizar faixas livres.
Além de 2.4 GHz e 5 GHz, as frequências de 900MHz e 24 GHz que é a faixa
conhecida como “zona de Wi-Fi”, onde “não” é necessário uma licença da ANATEL
para operar.
A maior parte das empresas, tratam a frequência de 2 GHz como principal, devido ao
problema de indisponibilidade de outras frequências em dispositivos móveis.
 Projetos Wifi na indústria
Empresas profissionais, utilizam softwares para dimensionamento da quantidade de antenas,
porém são muito custosos e quando falamos em ambientes industriais, existem muitas
interferências que podem induzir ao erro. Após análise, determinamos a quantidade de antenas
a serem instaladas em uma determinada área e quando concluídas as instalações visitamos as
plantas para verificar a cobertura e geramos o mapa de calor da área.
Normalmente, utilizamos access points conectados em switches existentes (quando não existem
números de portas disponíveis, estes switches são substituídos.

Access point Access point

Switch
outdoor indoor

OBS: Até 90m utilizamos cabo de rede. Acima disso, com auxílio de conversores de mídia, utilizamos fibra óptica.
A maioria das antenas, funcionam POE (Power Over Ethernet), ou seja, a alimentação vai junto no cabo de rede.
 Exemplo de projeto

AP#03

AP#02

-45dB@-60dB
Excelente@muito bom

AP#01
 VLAN
A VLAN é um protocolo usado para organizar vários dispositivos dentro de uma rede física única sem precisar
fazer mudanças físicas na infraestrutura, que são mais caras e demoradas.

O termo VLAN significa “Virtual LAN”, sendo que LAN se refere a “Local Area Network” (“rede local”, em tradução
livre). O “virtual” indica que a organização da rede não é feita de acordo com a forma pela qual os dispositivos
estão conectados fisicamente, e sim definidos pelo administrador de acordo com a necessidade.

VLAN1: 10.240.72.XXX VLAN2: 10.240.104.XXX VLAN3: 10.240.35.XXX

 Software MDM
O Mobile Device Management (MDM), ou em português Gerenciamento de Dispositivos Móveis, é um
software que permite gerenciar dispositivos móveis como smartphones, tablets e laptops, de forma remota,
para controlar, proteger e ativar políticas de uso.
Os dispositivos não são abertos para instalação como celulares ou tablets convencionais. Outra boa
prática, é que estes dispositivos normalmente possuem um certificado que garante a autencidade para
conexão com as redes.
 VPN
Uma conexão VPN estabelece uma conexão segura entre você e a Internet. Por meio da VPN, todo o tráfego de dados
é roteado por um túnel virtual criptografado. Isso disfarça seu endereço IP quando você usa a internet, tornando sua
localização invisível para todos. Uma conexão VPN também é segura contra ataques externos.
 VPN de acesso remoto
A VPN de acesso remoto permite que um usuário se conecte a uma rede e acesse seus serviços e recursos
remotamente. A conexão é segura e privada e ocorre através da Internet.
 VPN site a site
VPN site a site também é chamada de VPN “roteador a roteador” e é usada principalmente a nível empresarial. As
empresas usam esta tecnologia para conectar matriz a escritórios em diferentes localizações geográficas. Quando
vários escritórios da mesma empresa na mesma localização geográfica são conectados desta maneira, isso é
chamado de VPN baseada na Intranet. Quando as empresas usam este tipo de VPN para se conectar ao escritório de
outra empresa, ele é chamado de VPN baseada em Extranet. Basicamente, a VPN site a site cria uma ponte virtual
entre as redes em escritórios distantes, conectando-as através da Internet a fim de manter uma comunicação segura
e privada entre elas.
VPN site a site & Acesso Remoto
 Proxy
Proxy pode ser definido como o intermediário entre usuário e servidor. Ou seja, o recurso tem a função de conectar o
computador local à internet.
A partir do momento que é feita uma requisição, como a necessidade de abrir determinado site, o proxy garante o
acesso ao destino.
 Proxy, para que serve?
Camada extra de proteção e ajuda a garantir uma velocidade maior.

Compartilhar a conexão, no caso de haver apenas um IP disponível. Assim, o proxy tem acesso à internet e
centraliza todas as solicitações de comunicação.

Aumentar a velocidade do acesso por meio do cache de páginas.

Bloquear o acesso a algumas páginas a partir de palavras-chave determinadas. Assim, é possível impedir o
acesso a sites pornográficos, de jogos e outros.

Controle de acesso.

Filtro de conteúdo.

Cache.
 Qual a diferença entre VPN e proxy?
Ambos utilizam um servidor intermediário na conexão com a internet. No entanto, há diferenças
significativas.
O proxy tem o dever de repassar o tráfego ao destino solicitado.

Por sua vez, o VPN é uma rede virtual privada, como a sigla indica. Portanto, ela criptografa o tráfego entre o
dispositivo e o servidor de VPN.
Exemplo

XXXXX
 Estrutura e acesso remoto
Sua casa
Sua casa
Layer5
Layer5
Internet
Internet

Layer4 ERP WMS Outros

Layer4 ERP WMS Outros

Firewall corporativo
Firewall corporativo

Layer3
WEBSERVER Layer3

Scada Client
Scada Client
Layer2 Firewall automação Layer2 Firewall automação

VNC

Scada Scada
server ENGENHARIA ENGENHARIA
server

Layer1 Layer1
Unified name space
Sua casa

Layer5
Internet

Layer4 ERP WMS Outros

Firewall corporativo

Layer3
Orquestrador MQTT

Scada Client
Layer2 Firewall automação

Scada
server ENGENHARIA

Layer1
 Deploy em ambiente corporativo
Sua casa

Layer5 Layer3
Internet Orquestrador MQTT

Layer4 ERP Garafana SQL

Layer2 Firewall automação

Firewall corporativo

Layer1
 Tarefas

Separar Nodered em duas estâncias. 1. CLP e Dashboard 2. Restante da aplicação;

Criar certificados para MQTT;

Criar certificado e usuário para Nodered estância 2;

Criar certificado HTTPS para Nodered;

Colocar estância 2 para iniciar automaticamente;

Proteger a rota ERP com usuário e senha;

 Certificado SSL/TLS
HTTPS MQTT
 Cloud computing
Computação em nuvem é um termo
coloquial para a disponibilidade sob
demanda de recursos do sistema de
computador, especialmente
armazenamento de dados e capacidade
de computação, sem o gerenciamento
ativo direto do utilizador.
Cloud computing vs Edge Computing
Cloud computing vs Edge Computing
Cloud computing vs Edge Computing
Cloud computing vs Edge Computing
Fluxo de aplicação desde sensor até a nuvem.
Nuvem privada & Nuvem pública & Nuvem Híbrida
Nuvem privada & Nuvem pública & Nuvem Híbrida
Nuvem privada & Nuvem pública & Nuvem Híbrida
Sua casa MQTT WMS Grafana

Layer5
Internet Internet

Layer4 ERP WMS Outros MQTT WMS Grafana

Internet
Firewall corporativo

Layer3
Nodered MQTT

Scada Client
Layer2 Firewall automação

Scada
server ENGENHARIA

Layer1
Fechamento do módulo
Tecnologia hoje é commodity. O que faz a diferença
são as pessoas. Por isso, as empresas inteligentes
têm investido cada vez mais no treinamento e
montado seus estoques de conhecimento, o que traz
velocidade e renovação constante aos negócios.
MARIO SERGIO CORTELLA

MÓDULO7-CYBERSECURITY & INFRAESTRATURA