Форум Системы безопасности / Форум Антикражные системы /
iTuneDVR
Старожил
Сообщений: 547
Рейтинг: 2590
19.11.2016 20:52:52
Андрей!
Этот режим (под разными названиями) есть у всех производителей сетевого оборудования. Ничего необычного в этом предложении нет. Производители сетевого оборудования о сетевой безопасности и знают, и умеют больше, чем большинстов из нас. Надо уметь использовать то, что уже имеется.Я к своему не умению использовать еще и не знаю пока такого. Привидите конкретный пример пожалуйста этого, что у всех есть и ряд названий этого.Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
19.11.2016 21:48:45
Вот пример борьбы со штормами в D-Link: http://forum.dlink.ru/viewtopic.php?p=719140
"Уровень" шторма настраивается.
Я бы сам с удовольствие послушал специалистов.
Неизвестный
20.11.2016 08:13:57
Я бы сам с удовольствие послушал специалистов.
Хоть я и не являюсь специалистом в области построения ЛВС, но всё же кой какой опыт работы с управляемыми коммутаторами за последние время накоплен и по этому еще раз повторю:
1. Дорого.
Потому как, чтобы иметь возможность блокировки на уровне каждого отдельно взятого порта - весь ваш ВЫДЕЛЕННЫЙ сегмент ЛВС (ВН+ОПС+СКУД) - просто обязан быть ПОЛНОСТЬЮ построен на управляемых коммутаторах, но при таком построении физически отдельной ЛВС стоимость её построения и обслуживания - уже вполне может превысить стоимость самой системы "охранного ШЗ" транслируемого через данную ЛВС.
2. Достоверно отловить "шторм" (да еще и на аппаратному уровне самого коммутатора) для потокового вещания (будь то аудио или видео с динамическим сжатием и с динамически меняющимся количеством получателей этих потоков) - просто нереально и именно из-за динамики процессов.
3. Т.к. видео потоки крайне чувствительны к задержкам (джиттер), то по этому - и в коммутаторах и в видеокамерах и существуют технологии а-ля QoS,
4. Multicast или Unicast видео, еще больше чувствителено к задержкам, а потому должен передаваться с высоким приоритетом.
5. Т.к. видео (равно как и аудио) поток может быть не только в TCP, но UDP, то никакого увеличения трафика на порту коммутатора к которому подключен потоковый источник UDP пакетов и даже при увеличении колличества подключенных к этому источнику потребителей - не происходит.
А вот из-за увеличения трафика широковещательных пакетов UDP в вашем выделенном сегменте ЛВС, "штормить" этот сегмент начнет ни подтески, и вам, хотите вы того или нет, но придется пользоваться функцией коммутатора IGMP snooping, или же создавать потоковые VLAN, назначать ими самые высокие приоритеты и т.д. и т.п..
Вот и ответьте себе на простой вопрос:
- А технически и финансового, вы готовы ко всему этому сегментированию ЛВС под задачи ОПС ВН и СКУД?
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
20.11.2016 09:52:39
Волан-Де-Морт! Ну что Вам сказать в ответ?
Вы правы!
Вы привели вполне резонные аргументы.
Но обратите внимание, что каждый из аргументов касается только из одной из граней проблемы. А граней этих множество!
Дорого? Да, расходы потребуются... Можно попробовать их оптимизировать, но деньги все равно понадобятся. А можно и вообще ничего не ставить, вообще не тратиться на ШЗ... Но тогда придется заплатить в другом месте.
Недостоверно? Тоже верно. Но "недостоверно" - что именно? Необходимо формулировать задачу. И исходя из задачи и методы выбирать.
Но давайте вернемся в самое начало. Какую задачу решаем? И очень быстро придем к банальному выводу: надо применять КОМПЛЕКС мер.
Наш разговор будет продуктивным, если мы сможем сформулировать эти угрозы, определить способы их выявления и противодействия.
Я озвучил одну из очевидных угроз. Обсуждение показало, что меры противодействия (пусть и с разной эффективностью) имеются.
Можете назвать другие угрозы?
Я вот предполагаю такие: удаление архивов в видеорегистраторе, выключение видекамеры либо фальсификация изображения по командам из-вне, либо по уже заложенному алгоритму. Вот угроза так угроза. На этом фоне "шторма" - детский лепот...
- А технически и финансового, вы готовы ко всему этому сегментированию ЛВС под задачи ОПС ВН и СКУД?
Да, готовы.
Но Ваш вопрос риторический и зависит от конкретных условий.
Там, где мало ШЗ ВН и СКУД - вообще никаких мер можно не применять.
Там, где много ШЗ ВН и СКУД - этот вопрос решается еще на этапе согласования и проектирования.
Борьба с уязиимостью ШЗ оборудования (не только ВН и СКУД) не является самоцелью.
Целью является стабильная работа ШЗ оборудования и сохранность данных (что в ВН, что в СКУД, что в ОС).
Неизвестный
20.11.2016 12:25:38
Волан-Д.... .... .... Целью является стабильная работа ШЗ оборудования и сохранность данных (что в ВН, что в СКУД, что в ОС).
Улыбнуло! Ну коли Волан-Д..., так пусть будть Волад-Д, Бог с Вами.
:))
Ну т.к. мне команды фас, никто не давал (да и сомнительно что дать смогёт), то позвольте уж Андрей, обращаться к Вам по прежнему, т.е. просто по имени.
Дорого? Да, расходы потребуются... Можно попробовать их оптимизировать, но деньги все равно понадобятся. А можно и вообще ничего не ставить, вообще не тратиться на ШЗ... Но тогда придется заплатить в другом месте.
Андрей, так может стоит начинать именно с самого начала? Начать с этого самого проектирования и подсчета по смете расходов, но только в свете стоимости реально работающей IP vs реально работающей КТВ?
Ведь я же не утверждаю (да и вообщем-то никогда не утверждал) того, - что создать качественно и надежно работающую IP-систему передачи под охранные задачи - в принципе нельзя.
Как раз таки можно.
Но вот только сколько за это, реально работающее ШЗ - придется заплатить?
Вы Андрей считали?
Лично я не считал, но прикидывал. ;))
И стоимость построения надежно работающей ЛВС (а это как вы не крутите должна быть не просто физически изолированная СКС под ЛВС, а ЛВС с управляемыми коммутаторами, с 1000 м/бит "стволом" и желательно на ВОЛС, с 100 м/бит-ными "ветвями" до ШЗ источников, с точкой доступа наконец и с точкой доступа не за 3 тыр, а за 30 и более и т.д. и т.п. )
И вот вся эта изолированная ЛВС, ну не как у меня не получается дешевле, чем стоимость построения физически изолированной сети аналогового КТВ (причем, топология СКС при подобной изоляции ЛВС - уже мало чем будет отличаться от топологии РК кабелей под аналоговое КТВ и пусть даже HD).
Ну а объяснять что, - аналоговая сеть КТВ, равно как и не IP сети ОПС и СКУД, уже по свое природе изолированы, защищены и более живучи: - надеюсь никакой необходимости нет.
Т.ч. единственным вопросом как был, так и остается вопрос стоимости построения и эксплуатации между СИСТЕМОЙ на базе ip - против стоимости построения и эксплуатации СИСТЕМЫ, но без использования ШЗ, ну или же с минимально возможным использованием уже существующих сетей IP.
ЗЫ
Там, где мало ШЗ ВН и СКУД - вообще никаких мер можно не применять.
Ну это Вы Андрей, потом, стоя в тазике с бетоном, сможите объяснить какому-нибудь "человеку похожему на прокурора" а-ли еще кому по прокурористей, про то - что мол мало и про то - что мол нужно, а чего не нужно защищать обещая безопасность.
;)
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
20.11.2016 17:11:21
Т.ч. единственным вопросом как был, так и остается вопрос стоимости построения и эксплуатации между СИСТЕМОЙ на базе ip - против стоимости построения и эксплуатации СИСТЕМЫ, но без использования ШЗ, ну или же с минимально возможным использованием уже существующих сетей IP.
Да как-то решается этот вопрос без особых проблем...
А где не решается на ШЗ, дык на КТВ решается.
А потом все равно начинаются вопросы: а как это на компьютере посмотреть? А как удаленно посмотреть? А как на флешку скинуть и в другом месте посмотреть... И получаем тот же самый букет ШЗ...
ЗЫ
А почему что-то придется прокурору объяснять?
Мы уж тут не раз приходили к выводу, что безопасность в нашем деле ну вааще ни при чем
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
20.11.2016 17:25:03
А вот что тут при чем - так это выявление хищений, обстоятельства порчи имущества, состояние разных объектов до и после какого либо проишествия - это к нам.
Но эти вопросы мы решаем в серверной прохладе и тишине, без прокурора. Что обещали - то выполняем.
Неизвестный
20.11.2016 21:08:30
И получаем тот же самый букет ШЗ...
Тот же, да не тот, потому как обеспечить защиту одного (двух, трех....) LAN портов на одном (двух, трех.....) DVR-ах и пусть даже подключенных к общедоступной сети и даже с выходом в интернет - много проще и дешевле.
Мы уж тут не раз приходили к выводу, что безопасность в нашем деле ну вааще ни при чем
Как не бывает маленьких ролей, а бывают лишь маленькие актеры, так и не бывает большой или маленькой безопасности - безопасность она или есть, или же её нет.
Ну а поскольку мы с Вами Андрей, не в состоянии обеспечить физической безопасности для наших клиентов, то наша задача сводится хотя бы к обеспечению информационной безопасность, причем на любых "наших" объектах, в не зависимости от их размера и количества установленного на них железа.
А вот что тут при чем - так это выявление хищений,
Ну а хищение информации (ну скажем хищение той же самой видеоинформации), будет по Вашей Андрей классификации, - причем, или же не будет причем?
;)
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
20.11.2016 22:28:37
наша задача сводится хотя бы к обеспечению информационной безопасность
Я бы не обобщал...
Я под такие задачи не подписываюсь.
Круг моих умений и навыков позволяет НЕ позволяет мне ответсвенно решать вопросы информационной безопасности.
Неизвестный
21.11.2016 15:54:04
Можете назвать другие угрозы?
Ну видимо теперь, могу:
Я под такие задачи не подписываюсь.
Так может в этом и есть самая главная угроза?
Т.е. может угроза именно в том:
- Что никто, ни подо что не подписывается?
Вернее даже в том: - что никто, ни за что, никакой ответственности, не несет:
- Проектировщики - не подписываются под грамотностью своих мышкотычных проектов.
- Сметчики - не подписываются под обоснованностью сумм, которые они опять же "высчитывают в екселях".
- Монтажники - не подписываются нето что под мало-мальской работоспособностью, но и даже под соблюдением элементарных правил монтажа
- Пусконаладчики - не подписываются под знанием инструкции на оборудование и под их исполнением
- Сетевики - не подписываются под гарантированностью не то что доставки по проводным каналам СПИ, но уже и не подписываются под не-утечкой этой самой информации
:((((
PS
- Ребята, кто сшил костюм?
Они говорят:
- Мы!
Я говорю:
- Кто это «мы»?
Они говорят:
- У нас узкая специализация. Один пришивает карман, один - проймочку, я лично пришиваю пуговицы. К пуговицам претензии есть?
- Нет! Пришиты насмерть, не оторвёшь! Кто сшил костюм? Кто вместо штанов мне рукава пришил? Кто вместо рукавов мне штаны пришпандорил? Кто это сделал?
Они говорят:
- Скажите спасибо, что мы к гульфику рукав не пришили.
Представляете? Их – сто, а я – один. И все стоят, как пуговицы: насмерть.
И я сказал:
- Привет, ребята! Вы хорошо устроились!