UM ESTUDO SOBRE A APLICAÇÃO DE SEGURANÇA CIBERNÉTICA NA MONITORAÇÃO DOS SERVIÇOS DE TELECOMUNICAÇÕES QUE SUPORTAM A OPERAÇÃO DO ONS

UM ESTUDO SOBRE A APLICAÇÃO DE SEGURANÇA CIBERNÉTICA NA MONITORAÇÃO DOS SERVIÇOS DE TELECOMUNICAÇÕES QUE SUPORTAM A OPERAÇÃO DO ONS

Jamil de Almeida Silva * Jéssica Marié Maciel

ONS ONS

RESUMO DO ARTIGO:

A operação do Sistema Interligado Nacional (SIN) está estreitamente relacionada aos circuitos de telecomunicações que transportam os dados e a canalização de voz de todos os Agentes do setor elétrico até os centros regionais de operação do ONS (Operador Nacional do Sistema Elétrico).

Cada Agente deve disponibilizar um ou mais circuitos de telecomunicações, desde a sua instalação até o centro regional de operação do ONS, responsável pelo despacho de tal Agente. Para fins de contingência e Disaster Recovery, cada Centro Regional de Operação do ONS dispõe de dois pontos de presença fisicamente distintos, porém, numa mesma região metropolitana, denominadas SAR – Sistema de Aquisição Remoto e SAL – Sistema de Aquisição Local, onde são efetuadas as conexões com os Agentes. O processo de monitoração da disponibilidade e qualidade dos circuitos de telecomunicações deve ser feito de modo seguro e sem onerar os recursos existentes.

A apuração dos índices de disponibilidade e qualidade desses circuitos é uma das responsabilidades e desafios do ONS. Como essa apuração envolve diversos atores (Agentes, Provedores e ONS), o aspecto de segurança cibernética se torna um ponto de destaque, visto que muitas técnicas amplamente utilizadas atualmente apresentam fragilidades. A solução implementada pelo ONS e divulgada neste artigo mostrará uma proposta para a configuração da infraestrutura, permitindo a criação de meios mais seguros para o trânsito das informações, a fim de reduzir as vulnerabilidades existentes e garantindo a confiabilidade dos dados recebidos, permitindo a atuação proativa na eventualidade de falhas.

PALAVRAS-CHAVE:

Segurança cibernética, Monitoração, Serviços de telecomunicações, Qualidade, Disponibilidade, Confiabilidade.

UM ESTUDO SOBRE A APLICAÇÃO DA SEGURANÇA CIBERNÉTICA NA MONITORAÇÃO DOS SERVIÇOS DE TELECOMUNICAÇÕES QUE SUPORTAM A OPERAÇÃO DO ONS

1. INTRODUÇÃO

A segurança cibernética é uma disciplina que tem adquirido um caráter de obrigatoriedade em todas as empresas de missão crítica. A implementação de processos e ferramentas mais aprimoradas de segurança cibernética é um assunto com visibilidade crescente, dado o avanço das técnicas de invasão às redes empresariais. Para garantir um sistema mais robusto e menos sensível a falhas, a melhor abordagem é o uso de camadas de segurança, englobando diferentes níveis de proteção do acesso à informação. Este artigo mostrará a solução adotada pelo ONS para garantir a integridade das informações provenientes dos Agentes, que inclui o uso de SNMPv3, que apresenta vantagens significativas quando comparada com a versão 2, prioritariamente no quesito de criptografia, em conjunto com o recurso Cisco IP SLA, que viabiliza a aquisição de informações sobre a qualidade do link de comunicação, possibilitando ações preventivas. Seguindo o propósito de ampliar as medidas de segurança, o ONS adota o uso de firewalls e ACLs (Acess Control List – Lista de Controle de Acesso), restringindo o acesso a rede interna, além de VLANs dedicadas para cada agente, impedindo o tráfego conjunto de informações.

A importância do uso de um sistema integrado e confiável de aquisição de dados provenientes dos Agentes visa garantir a operação do Sistema Interligado Nacional (SIN). Este processo de aquisição de dados, por sua vez, depende fortemente dos circuitos de telecomunicações, cuja monitoração é essencial para garantir o fiel cumprimento dos requisitos mínimos dispostos do Procedimento de Rede (Submódulo 13).

2. POR QUE MONITORAR?

O ONS dispõe de profissionais treinados e capacitados para prover uma monitoração efetiva dos circuitos de dados e voz dos Agentes, visto que permite a visualização de comportamentos inesperados nos links de comunicação. Ademais, a monitoração é utilizada para a apuração da conformidade, ou não, com o disposto no Procedimento de Rede, que é feita via geração de relatórios mensais com os índices de disponibilidade dos Agentes, em granularidade suficiente para extrair informações de cada circuito, possibilitando assim ações corretivas.

As Figuras 1 a 3 mostram os gráficos de desempenho do serviço (dados) e dos circuitos de telecomunicação de um dos Agentes apurado pelo ONS. O acompanhamento constante dos indicadores revela a necessidade de melhorias nos circuitos dos Agentes, como mostra o aqui exemplificado na Figura 1, tendo em vista que nos primeiros meses os índices apresentados são inferiores aos previstos no Procedimento de Rede (disponibilidade≥ 99,98%). Munidos de tal informação, a equipe do ONS analisa a topologia de rede do agente, com o objetivo de identificar pontos de melhoria e enviar-lhes sugestões de adequação. O agente, por sua vez, encaminha ao ONS um plano de ação para alcançar os índices nos padrões exigidos. Seguindo os

procedimentos supracitados, observam-se bons resultados nos índices dos Agentes, exemplificado na melhoria das medições apresentadas nas Figuras 1,2 e 3.

Figura 1- Gráfico de Desempenho do Serviço de Telecom (Dados) de um Agente monitorado

Figura 2 - Gráfico de Desempenho do Circuito de Telecom de Agente monitorado 99,44 99,55 99,63 99,68 99,72 99,75 99,78 99,8 99,81 99,98 99,99 100 100 99,1 99,2 99,3 99,4 99,5 99,6 99,7 99,8 99,9 100 100,1

jun/17 jul/17 ago/17 set/17 out/17 nov/17 dez/17 jan/18 fev/18 mar/18 abr/18 mai/18 jun/18

Agente X

Desempenho do Serviço de Telecom DADOS

76,97 76,97 78,06 78,06 78,23 78,26 78,41 78,55 78,71 82,27 90,42 97,52 99,98 0 20 40 60 80 100 120

jun/17 jul/17 ago/17 set/17 out/17 nov/17 dez/17 jan/18 fev/18 mar/18 abr/18 mai/18 jun/18

Agente X

Desempenho do Circuito de Telecom

Link 1 - Provedora A - SAL

Figura 3- Gráfico de Desempenho do Circuito de Telecom de um Agente monitorado O trabalho de acompanhamento dos índices não se encerra quando o agente atinge o valor regulamentado. Conforme mostram as Figuras 2 e 3 acima, mesmo que o indicador tenha atingido 99,98%, os links de comunicação permanecem sob constante monitoração e apuração, visando manter a disponibilidade em conformidade com o limite aceitável. Neste caso, a equipe do ONS realiza medidas preventivas junto ao Agente com o intuito de garantir que os índices apresentem resultados satisfatórios.

Os Procedimentos de Rede exigem que, além de prover circuitos com elevada disponibilidade, padrões de qualidade previamente determinados sejam cumpridos. Portanto, a equipe do ONS monitora jitter, latência, perda de pacote, uso de CPU, memória e temperatura, permitindo um nível ainda maior de suporte junto ao Agente.

3. FERRAMENTAS DE MONITORAÇÃO 3.1 SNMPv3

A aferição das medidas relativas aos equipamentos presentes nas instalações dos Agentes e do ONS utilizados para a operação do SIN é feita por meio do protocolo SNMP, que apresenta uma gama extensiva de informações, como uso de CPU, memória, temperatura, entre outros e é amplamente difundido entre os dispositivos utilizados. Tendo em vista a aquisição dos dados seguindo os padrões de segurança, optou-se por utilizar a versão 3 do SNMP.

Este protocolo apresenta três versões disponíveis que se diferem, primordialmente, no quesito segurança. A versão mais atual, SNMPv3, oferece como principais vantagens: a possibilidade de configuração de usuários e senha, além do uso de criptografia no tráfego das informações. 99,47 99,47 99,6 99,6 99,6 99,63 99,8 99,8 99,8 99,98 99,99 99,99 99,99 99,2 99,3 99,4 99,5 99,6 99,7 99,8 99,9 100 100,1

jun/17 jul/17 ago/17 set/17 out/17 nov/17 dez/17 jan/18 fev/18 mar/18 abr/18 mai/18 jun/18

Agente X

Desempenho do Circuito de Telecom

Link 2 - Provedora B - SAR

Diferentemente do SNMP versão 2, que exige somente o uso de uma comunidade previamente configurada, a versão 3 possibilita a configuração de usuários, tornando mais restrito o acesso às informações, ou seja, implementando um maior nível de segurança que o seu antecessor. Em conjunto com essa configuração, existe a possibilidade do uso de autenticação, criando senhas associadas aos usuários cadastrados.

3.2 IP SLA

Para obter dados referentes à qualidade de um link de comunicação, é necessário gerar um fluxo de informação entre os dispositivos em análise. O recurso escolhido pelo ONS para fazer essa apuração foi o Cisco IP SLA, que permite a configuração de envio de pacotes UDP ou ICMP através de uma rede, simulando tráfego de dados reais e coletando informações sobre a performance da rede em tempo real, podendo, assim, gerar e analisar tráfego entre ativos Cisco ou a partir de um ativo Cisco até um dispositivo IP remoto, como um servidor.

Por meio do uso desse recurso, cujo objetivo é medir parâmetros de performance da rede, é possível obter informações de jitter, latência e perda de pacotes nos circuitos de comunicação em tempo real, viabilizando medir a qualidade do link conforme exposto nos Procedimentos de Rede. O fluxo gerado pelo IP SLA pode ser originado por qualquer dispositivo Cisco, logo, para facilitar a configuração e centralizar as informações coletadas, utilizam-se os equipamentos localizados no SAR e no SAL, do lado do ONS.

Além dos recursos supracitados, o IP SLA disponibiliza outras funcionalidades, apresentando uma gama de possíveis usos, conforme exemplifica a figura 4 abaixo. Esses recursos possibilitam a implementação de novas aplicações que podem ser usadas para incrementar a qualidade da monitoração, reduzindo os riscos de não operabilidade.

O armazenamento dos dados coletados em MIBs SNMP incrementa a segurança visto que utilizamos o SNMPv3, além de possuir uma boa interoperabilidade com o PI System (Sistema de Monitoração utilizado no ONS). Ademais, a integração existente com o PI viabiliza a configuração de notificações com base em thresholds, possibilitando a apuração do cumprimento ou não do disposto nos Procedimentos de Rede, que são:

 Latência ≤ 140ms – para redes sem uso de links terrestres;  Latência ≤ 700ms – para redes com uso de satélites;  Taxa de perda de pacotes < 1%;

 Jitter ≤ 20ms – para redes sem uso de links terrestres;  Jitter ≤ 90ms – para redes com uso de satélites. 3.3 IP de LoopBack

Como complemento do sistema de monitoração adotado pelo ONS, utiliza-se o IP de LoopBack, com a finalidade de isolar os tráfegos, visto que o IP de LoopBack nos permite criar filtros nos roteadores de borda do ONS, de maneira que somente o IP de LoopBack do circuito do SAL seja recebido pelos roteadores de borda do ONS no SAL e de forma equivalente no SAR, ou seja, todo dado enviado é devolvido pela mesma rota da chegada. A importância dessa configuração para o ONS é garantir que as informações trafegadas nos circuitos conectados ao SAL trafeguem exclusivamente por esse link de comunicação, assim como aqueles conectados ao SAR, impedindo tráfego conjunto de informações e medidas imprecisas dos parâmetros de disponibilidade e qualidade.

4. O MODELO DO ONS

Na topologia típica de interligação de um Agente ao ONS (com a conexão baseada no uso de dois links de comunicação – Classe A do Procedimento de Rede, Submódulo 13.2), o endereço IP de LoopBack e o SNMP são configurados nos roteadores do lado do Agente. O IP SLA, por sua vez, é configurado nos roteadores Core nas instalações do ONS, tanto no SAL quanto no SAR e de maneira redundante em cada uma das localidades.

Como configuração adicional de segurança, os roteadores Core possuem filtros ACLs com as rotas de comunicação, garantindo assim que o tráfego de informações somente ocorra entre o ONS e os Agentes presentes na lista de permissão dos filtros. A transferência de dados nos circuitos é segmentada através de VLANs dedicadas, assegurando que não haja troca de informação entre diferentes Agentes.

Os dados são coletados pelo Sonda MDS e tratados pelo PI Server. No caso da sonda localizada no SAR, os dados são enviados, para o SAL, via ROP (Rede de Operação – responsável por estabelecer a troca de dados entre as localidades principal e remota e entre os diferentes centros do ONS). Ambos os servidores, responsáveis pelo tratamento dos dados, estão protegidos por Firewall, acrescentando mais uma camada de segurança. Os Firewalls desempenham um papel de extrema importância nessa topologia, visto que constituem a camada de segurança que impede a entrada de informações maliciosas na rede interna.

A Figura 5 ilustra a topologia genérica dos Agentes monitorados pelo ONS, exemplificando os componentes supracitados.

Figura 5 - Topologia de um Agente monitorado pelo ONS

5. CONCLUSÃO

A segurança cibernética é uma disciplina que tem adquirido um caráter de obrigatoriedade em todas as empresas de missão crítica. A segurança cibernética tem sido uma preocupação crescente nas grandes empresas, haja vista o relato de ocorrências e o avanço das técnicas de invasão as redes. Dado que nenhum sistema de segurança é completamente efetivo por ser suscetível a falhas, é preciso adotar o conceito de segurança em camadas, ou seja, o uso de vários níveis de segurança em conjunto.

A solução apresentada neste artigo mostrou o uso das ferramentas adotadas pelo ONS, cujo foco é garantir uma monitoração segura e efetiva da disponibilidade e qualidade dos circuitos de telecomunicação dos Agentes conectados ao ONS. A monitoração destes ativos é de extrema importância haja vista que é um elemento essencial para a garantia de um dos pilares da tríade de segurança cibernética (CIA – Confidencialidade, Integridade e Disponibilidade), a disponibilidade.

REFERÊNCIAS BIBLIOGRÁFICAS

[1] CCNP SWITCH: Implementing IP Switching – Chapter 5: Implementing High Availability and Redundancy in a Campus Network. Cisco Networking Academy.

[2] Understanding the Loopback Interface – Disponível em:

https://www.juniper.net/documentation/en_US/junos/topics/concept/interface-security-loopback-understanding.html - Acessado em: 16/06/2018.

[3] IP SLAs Configuration Guide – IP SLAs Overview – Disponível em:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipsla/configuration/15-mt/sla-15-mt-book/sla_overview-0.html - Acessado em: 23/06/2018.

[4] Artigos publicados pelo autor principal.

[5] ONS, Requisitos de Telecomunicações, Procedimentos de Rede, Rev. 1, Resolução Autorizativa ANEEL no. 756/16, de dezembro de 2016. Submódulo 13.2,

http://www.ons.org.br/%2FProcedimentosDeRede%2FM%C3%B3dulo%2013%2FSubm%C3%

B3dulo%2013.2%2FSubm%C3%B3dulo%2013.2%202016.12.pdf –acessado em 10/07/2018.

[6] ONS, Requisitos de Telecomunicações, Procedimentos de Rede, Rev. 1, Resolução Autorizativa ANEEL no. 756/16, de dezembro de 2016. Submódulo Submódulo 13.5,

http://www.ons.org.br/%2FProcedimentosDeRede%2FM%C3%B3dulo%2013%2FSubm%C3%

B3dulo%2013.5%2FSubm%C3%B3dulo%2013.5%202016.12.pdf

–

[7] ONS, Instrução Técnica para Monitoração dos Canais de Dados, Voz e Plataforma UNIFY – Dezembro de 2016.

BIOGRAFIAS DOS AUTORES

JAMIL DE ALMEIDA SILVA, graduado em Telecomunicações (1986) pelo CEFET-GO e em Física (1996) pela UNB. Mestrado em Engenharia de Produção (2001) pela UFSC. Pós-graduado no CAISE – Capacitação em Aspectos Institucionais do Setor Elétrico (2010), pela PUC-RIO. Atualmente é Especialista do ONS.

E-mail: jamil@ons.org.br Fone: (61) 3241-5304

JÉSSICA MARIÉ MACIEL, graduada em Engenharia Elétrica (2018) pela Universidade de Brasília.

Começou sua carreira profissional como Estagiária de Engenharia, no ONS, desde abril de 2016. Atualmente é Engenheira Trainee do ONS.

E-mail: jessica@ons.org.br Fone: (61) 3241-5433