Com a evolução da automação em direção a processos cada vez mais eficientes, o uso de dispositivos IIoT e a integração contínua de dados ampliaram a superfície de possíveis ataques. Sistemas de controle industrial, que antes operavam de forma isolada e protegida, tornaram-se mais expostos e, por consequência, mais vulneráveis tanto a ciberataques quanto a falhas operacionais.
Nesse cenário de convergência, aplicar medidas de segurança atualizadas ao universo IIoT deixa de ser uma escolha e se torna uma necessidade urgente para a proteção da infraestrutura de rede. Embora os ataques externos frequentemente dominem as manchetes, uma análise mais profunda das vulnerabilidades operacionais revela um risco ainda mais silencioso, e muitas vezes subestimado: a ameaça interna.
Grande parte das brechas de segurança em ambientes OT não decorre de invasores altamente sofisticados, mas de situações cotidianas, como falta de conscientização dos colaboradores, configurações inadequadas ou simples negligência durante os procedimentos operacionais. São falhas pequenas, mas capazes de abrir portas para incidentes que comprometem a disponibilidade, integridade e segurança de toda uma cadeia produtiva.
A proteção precisa se concentrar em deter a movimentação de tráfego malicioso dentro da própria rede industrial. Para isso, os switches, que estão posicionados diretamente na borda, próximos aos ativos críticos como CLPs, IHMs e inversores de frequência, devem ir além da função tradicional de conectividade. Eles precisam atuar como uma defesa lógica, filtrando, segmentando e controlando o tráfego antes que qualquer ameaça tenha a chance de se propagar.
O papel das zonas e condutos na redução de riscos
Em uma arquitetura OT sem segmentação, qualquer ativo comprometido, ou mesmo um simples erro de configuração, pode se tornar um ponto crítico de falha. Sem barreiras entre equipamentos, processos e níveis de controle, incidentes que deveriam ficar isolados em uma área específica acabam se propagando por toda a operação.
É por isso que a segmentação em zonas e condutos é tão importante. Ela estabelece limites claros entre funções, processos e níveis de criticidade, impedindo a movimentação lateral de falhas e ataques e garantindo que um problema localizado não evolua para uma paralisação sistêmica. Ou seja, uma rede industrial não segmentada é, por definição, vulnerável.
A segmentação transforma a rede em agrupamentos lógicos (Zonas), separando sistemas críticos que não precisam se comunicar entre si. Se o CLP da Zona de Mistura não tem necessidade de interagir diretamente com a IHM da Zona de Embalagem, por exemplo, essa ausência de isolamento representa um sério risco de governança. Implementar o isolamento lógico reduz o raio de propagação de incidentes, e minimizam o impacto de qualquer ameaça antes que ela comprometa toda a operação.
O principal pilar dessa segmentação é a tecnologia VLAN (Virtual Local Area Network) definida pela IEEE 802.1Q. Porém, para atingir os níveis de defesa exigidos pela IEC 62443 e viabilizar uma arquitetura onde nenhum dispositivo é considerado confiável por padrão, mesmo dentro da mesma sub-rede, é indispensável adotar recursos avançados de camada 2 (L2), como VLANs privadas e IP Source Guard. Esses recursos elevam o isolamento lógico a um patamar mais rigoroso, capaz de bloquear movimentações indevidas e reforçar a integridade da rede industrial.
A função estratégica do switch: gerenciável vs. não gerenciável
A nossa Série Connect foi pensada para a diversidade e a complexidade dos ambientes industriais, oferecendo switches que atendem tanto às necessidades de robustez física quanto às exigências de segurança lógica. Para habilitar recursos avançados de proteção e controle de tráfego, a capacidade de gerenciamento é essencial para transformar o switch em um elemento ativo da estratégia de defesa da rede.
Os switches não gerenciáveis Connect, como os modelos CET2-0500, ET2-0800, ET2-1600 e PT2-0500-24, são projetados para oferecer máxima confiabilidade em ambientes hostis. Nessa categoria, a segurança não está nos recursos lógicos, mas sim na robustez física e elétrica, que garante operação confiável mesmo sob condições extremas.
A série protege a infraestrutura por meio de características fundamentais, como:
- – Design moderno: nossos switches possuem invólucro de metal com proteção IP30, projetados para montagem em trilho DIN e resistentes a vibrações;
- – Alimentação redundante: suportam entradas redundantes de alimentação DC (ex: 12-48 Vdc) e contam com proteção contra sobrecarga e inversão de polaridade;
- – Plug and Play: esses dispositivos são ideais para pontos de conexão onde a comunicação é direta e a prioridade é a continuidade do sinal mesmo em condições severas.
Learn more: RSTP vs ERPS: qual anel de redundância escolher para redes industriais?
Mas, esses switches oferecem apenas funcionalidades lógicas essenciais, como suporte automático a MDI/MDI-X e Controle de Fluxo IEEE 802.3x. Entretanto, não incluem recursos programáveis de segurança de rede, como criação de VLANs, ACLs, VLANs Privadas ou Proteção de Origem IP. Para arquiteturas que demandam segmentação lógica rigorosa o uso equipamentos gerenciáveis torna-se indispensável.
Já os modelos gerenciáveis (linhas ET5, PG5 e EG5) são a base da segurança em Nível 2. Eles oferecem controle preciso sobre o tráfego e o comportamento das portas, permitindo que o switch passe a atuar como um ponto ativo para a aplicação de políticas de segurança, suportando uma vasta gama de recursos, incluindo gerenciamento seguro via HTTPS, SSH, SNMP v3, autenticação RADIUS e TACACS+, e, o mais importante, oferecendo suporte nativo aos mecanismos avançados de segmentação e integridade de endereço que serão detalhados a seguir: VLAN Privada e Proteção de Origem IP.
VLANs privadas e isolamento de portas
A segmentação por VLAN (IEEE 802.1Q) é o ponto de partida para a criação de Zonas, separando domínios de broadcast e organizando o tráfego Norte–Sul. Porém, a segurança industrial exige ir além: é necessário aplicar micro segmentação em nível mais granular para controlar rigorosamente o tráfego lateral (Leste–Oeste) entre dispositivos que coexistem na mesma sub-rede.
Em uma VLAN tradicional, todos os dispositivos agrupados logicamente compartilham a mesma sub-rede e, por isso, podem se comunicar livremente. Isso significa que, se dez CLPs de uma linha de produção estiverem na VLAN 100, um ataque ou a injeção de tráfego malicioso originado em apenas um deles pode se propagar para todos os demais. Sem controle sobre o tráfego lateral, a integridade e a disponibilidade dos ativos críticos ficam expostas. É exatamente nesse ponto que a VLAN Privada se torna um diferencial estratégico.
A VLAN Privada é um recurso avançado de Nível 2 que restringe rigorosamente o tráfego em portas individuais, mesmo que essas portas pertençam logicamente à mesma VLAN primária e sub-rede. O objetivo é impor o isolamento entre dispositivos que não precisam se comunicar diretamente, garantindo que o tráfego entre eles seja forçado a passar por um ponto de controle central (como um firewall ou o servidor SCADA).
A arquitetura da PVLAN utiliza três tipos de portas, cada uma com regras estritas de comunicação, o que é essencial para o design de redes de controle:
| Porta PVLAN | Function and restrição | Aplicações na automação OT |
| Promiscuous | Ponto central de comunicação. Comunica-se com todas as outras portas (Isoladas e de Comunidade). | Conexão de uplink ao sistema SCADA, servidor de engenharia, ou firewall industrial (Comunicação Norte-Sul). |
| Isolated | Porta de máxima segregação. Comunica-se somente com a porta Promíscua. Não se comunica com nenhuma outra porta Isolada ou de Comunidade. | Conexão de ativos críticos que devem ter acesso estrito e exclusivo ao supervisor, impedindo qualquer comunicação Leste-Oeste. |
| Community | Permite o intercâmbio de tráfego entre membros do mesmo grupo. Comunica-se com o Promíscuo e com outras portas de Comunidade. | Conexão de dispositivos de grupo (ex: coletores de dados regionais ou sensores que precisam trocar informações localmente antes de enviar para o SCADA). |
O principal benefício da PVLAN é que ela elimina a comunicação de broadcast desnecessária entre dispositivos adjacentes, um requisito vital para a defesa no Nível 2. Isso reduz drasticamente a eficácia de ataques baseados em ARP spoofing, ARP flooding e diversas formas de inundação de rede, protegendo a disponibilidade dos ativos, que é a prioridade máxima em ambientes OT.
Learn more: Switches PoE: otimizando a indústria com energia e dados no mesmo cabo
A garantia da integridade de rede: IP Source Guard (IPSG)
A segurança de rede começa pela confiança na identidade dos dispositivos conectados. Em ambientes OT, a simples inserção de um equipamento com endereço IP estático duplicado ou configurado incorretamente pode causar interrupções inesperadas. Ainda mais crítico, técnicas de spoofing, falsificação de endereços IP ou MAC, permitem que um invasor se disfarce como um CLP legítimo, intercepte dados sensíveis ou até envie comandos maliciosos para os equipamentos.
A Proteção de Origem IP (IP Source Guard – IPSG) é o mecanismo de defesa que resolve essa questão, atuando como um policiamento dinâmico no Nível 2. O IPSG é um recurso de segurança de porta que valida cada pacote de entrada, verificando se o endereço IP de origem corresponde a um par IP-MAC autorizado, registrado em uma tabela confiável.
Os switches gerenciáveis da Altus Série Connect oferecem suporte à Proteção de Origem IP (IPSG) e à sua tecnologia complementar, a Inspeção ARP (ARP Inspection). Para que o IPSG funcione de forma eficaz, o switch estabelece e mantém uma cadeia de confiança rigorosa, garantindo que cada pacote recebido tenha origem legítima. Essa cadeia é construída e validada pelo próprio switch da seguinte forma:
- – DHCP Snooping: o switch monitora o tráfego DHCP. Quando um cliente recebe uma concessão válida do servidor DHCP, normalmente no pacote DHCP ACK, o switch registra as informações em uma tabela interna chamada DHCP Binding Table, associando o endereço IP, o endereço MAC, a VLAN e a porta de entrada do cliente. Essa tabela é usada como referência confiável para controlar sessões DHCP e validar o tráfego subsequente da estação.
- – Inspeção ARP: a Inspeção ARP verifica cada solicitação e resposta ARP, garantindo que o mapeamento IP-MAC contido no pacote corresponda aos bindings dinâmicos gerados pelo DHCP Snooping ou entradas estáticas configuradas manualmente pelo administrador. Essa validação serve para mitigar ataques.
- – IP Source Guard: uma vez estabelecido o binding IP-MAC autorizado, o IPSG só permite o tráfego de saída daquela porta se os endereços IP e MAC de origem do pacote corresponderem exatamente ao registro de confiança. Qualquer pacote com uma combinação inválida é descartado imediatamente.
A implantação do IPSG significa que a integridade da comunicação é garantida, prevenindo tanto ataques deliberados de falsificação quanto erros operacionais acidentais de endereçamento. O IP Source Guard deve ser ativado seletivamente nas portas de acesso conectadas a dispositivos finais (pontos de acesso), garantindo que o policiamento seja aplicado o mais próximo possível da fonte do tráfego.
Implementando defesa inteligente com a Série Connect
A Série Connect, em seus modelos gerenciáveis, reúne alta performance, robustez industrial e um conjunto completo de recursos de segurança L2. Os modelos Fast Ethernet gerenciáveis (como ET5-0500, ET5-0600, ET5-0800, ET5-0602-M e ET5-0802-M) são a porta de entrada para a segurança L2 avançada. Todos esses modelos não apenas oferecem redundância de rede (G.8032 ERPS, STP/RSTP/MSTP) e robustez física, mas também possuem recursos avançados de segurança, como:
- – Segmentação e isolamento: suporte completo a VLAN IEEE 802.1Q, permitindo a atribuição de VLAN baseada em Porta, MAC, Protocolo ou Sub-rede IP. Mais importante, os switches suportam VLAN Privada e VLAN Visitante, habilitando o isolamento entre portas.
- – Controle de identidade: suporte para Proteção de Origem IP (IPSG) e Inspeção ARP, garantindo que apenas dispositivos com endereços IP e MAC válidos possam transmitir dados.
- – Autenticação e policiamento: implementação de autenticação 802.1X (Multi/Baseada em Porta), listas de controle de acesso (ACLs) para filtragem e o uso de RADIUS/TACACS+ para controle de acesso robusto.
Learn more: Um guia prático sobre portas SFP em switches industriais
Para projetos que exigem maior largura de banda ou maior densidade de portas, os switches Gigabit gerenciáveis (PG5-1204-SFP e EG5-2004-SFP) preservam o mesmo rigor em segurança L2, assegurando que o ganho de performance não venha acompanhado de fragilidades na defesa lógica da rede.
O modelo PG5-1204-SFP é um switch Gigabit que combina 8 portas PoE+ com 4 portas SFP, possuindo uma capacidade de backplane de 24 Gbps. Já o EG5-2004-SFP oferece 16 portas Gigabit Ethernet e 4 portas SFP, com uma capacidade impressionante de backplane de 40 Gbps, ideal para redes de grande volume.
Ambos os modelos incluem o pacote completo de segurança ativa, suportando integralmente VLAN Privada e Proteção de Origem IP. Isso permite escalar a velocidade e a densidade de portas sem abrir mão do rigoroso controle de acesso e segmentação exigidos para infraestruturas críticas.
Os switches gerenciáveis também garantem que a configuração dessas políticas de segurança L2 seja realizada por meio de canais seguros, como o SSH ou HTTPS, utilizando credenciais multiusuário e um sistema de autorização de 15 níveis.
O suporte a ACLs complementa o IPSG e a PVLAN. Enquanto o IPSG verifica a identidade e a PVLAN restringe a rota, as ACLs aplicam regras de filtragem de tráfego, permitindo que o administrador bloqueie protocolos específicos ou restrinja fluxos de dados.
A Série Connect da Altus oferece uma solução de defesa em camadas que atende aos pilares essenciais da cibersegurança: robustez em campo e inteligência de rede.
Para indústrias que buscam alinhar suas operações às rigorosas diretrizes da IEC 62443 e elevar o nível de proteção da infraestrutura, é fundamental que a segmentação vá além dos firewalls perimetrais e alcance o nível da porta de cada dispositivo crítico. É exatamente isso que os switches Connect proporcionam: uma arquitetura onde a conectividade é sinônimo de segurança e continuidade operacional.
Conheça nosso portfólio de switches através do formulário abaixo!
