Военные хакеры США проникли в российские системы

Андрей!

Вот пример борьбы со штормами в D-Link: http://forum.dlink.ru/viewtopic.php?p=719140

"Уровень" шторма настраивается.

Я бы сам с удовольствие послушал специалистов.

Я бы сам с удовольствие послушал специалистов.

Хоть я и не являюсь специалистом в области построения ЛВС, но всё же кой какой опыт работы с управляемыми коммутаторами за последние время накоплен и по этому еще раз повторю:

1. Дорого.

Потому как, чтобы иметь возможность блокировки на уровне каждого отдельно взятого порта - весь ваш ВЫДЕЛЕННЫЙ сегмент ЛВС (ВН+ОПС+СКУД) - просто обязан быть ПОЛНОСТЬЮ построен на управляемых коммутаторах, но при таком построении физически отдельной ЛВС стоимость её построения и обслуживания - уже вполне может превысить стоимость самой системы "охранного ШЗ" транслируемого через данную ЛВС.

2. Достоверно отловить "шторм" (да еще и на аппаратному уровне самого коммутатора) для потокового вещания (будь то аудио или видео с динамическим сжатием и с динамически меняющимся количеством получателей этих потоков) - просто нереально и именно из-за динамики процессов.

3. Т.к. видео потоки крайне чувствительны к задержкам (джиттер), то по этому - и в коммутаторах и в видеокамерах и существуют технологии а-ля QoS,

4. Multicast или Unicast видео, еще больше чувствителено к задержкам, а потому должен передаваться с высоким приоритетом.

5. Т.к. видео (равно как и аудио) поток может быть не только в TCP, но UDP, то никакого увеличения трафика на порту коммутатора к которому подключен потоковый источник UDP пакетов и даже при увеличении колличества подключенных к этому источнику потребителей - не происходит.

А вот из-за увеличения трафика широковещательных пакетов UDP в вашем выделенном сегменте ЛВС, "штормить" этот сегмент начнет ни подтески, и вам, хотите вы того или нет, но придется пользоваться функцией коммутатора IGMP snooping, или же создавать потоковые VLAN, назначать ими самые высокие приоритеты и т.д. и т.п..

Вот и ответьте себе на простой вопрос:

- А технически и финансового, вы готовы ко всему этому сегментированию ЛВС под задачи ОПС ВН и СКУД?

Волан-Де-Морт! Ну что Вам сказать в ответ?

Вы правы!

Вы привели вполне резонные аргументы.

Но обратите внимание, что каждый из аргументов касается только из одной из граней проблемы. А граней этих множество!

Дорого? Да, расходы потребуются... Можно попробовать их оптимизировать, но деньги все равно понадобятся. А можно и вообще ничего не ставить, вообще не тратиться на ШЗ... Но тогда придется заплатить в другом месте.

Недостоверно? Тоже верно. Но "недостоверно" - что именно? Необходимо формулировать задачу. И исходя из задачи и методы выбирать.

Но давайте вернемся в самое начало. Какую задачу решаем? И очень быстро придем к банальному выводу: надо применять КОМПЛЕКС мер.

Наш разговор будет продуктивным, если мы сможем сформулировать эти угрозы, определить способы их выявления и противодействия.

Я озвучил одну из очевидных угроз. Обсуждение показало, что меры противодействия (пусть и с разной эффективностью) имеются.

Можете назвать другие угрозы?

Я вот предполагаю такие: удаление архивов в видеорегистраторе, выключение видекамеры либо фальсификация изображения по командам из-вне, либо по уже заложенному алгоритму. Вот угроза так угроза. На этом фоне "шторма" - детский лепот...

- А технически и финансового, вы готовы ко всему этому сегментированию ЛВС под задачи ОПС ВН и СКУД?

Да, готовы.

Но Ваш вопрос риторический и зависит от конкретных условий.

Там, где мало ШЗ ВН и СКУД - вообще никаких мер можно не применять.

Там, где много ШЗ ВН и СКУД - этот вопрос решается еще на этапе согласования и проектирования.

Борьба с уязиимостью ШЗ оборудования (не только ВН и СКУД) не является самоцелью.

Целью является стабильная работа ШЗ оборудования и сохранность данных (что в ВН, что в СКУД, что в ОС).

Волан-Д.... .... .... Целью является стабильная работа ШЗ оборудования и сохранность данных (что в ВН, что в СКУД, что в ОС).

Улыбнуло! Ну коли Волан-Д..., так пусть будть Волад-Д, Бог с Вами.

:))

Ну т.к. мне команды фас, никто не давал (да и сомнительно что дать смогёт), то позвольте уж Андрей, обращаться к Вам по прежнему, т.е. просто по имени.

Дорого? Да, расходы потребуются... Можно попробовать их оптимизировать, но деньги все равно понадобятся. А можно и вообще ничего не ставить, вообще не тратиться на ШЗ... Но тогда придется заплатить в другом месте.

Андрей, так может стоит начинать именно с самого начала? Начать с этого самого проектирования и подсчета по смете расходов, но только в свете стоимости реально работающей IP vs реально работающей КТВ?

Ведь я же не утверждаю (да и вообщем-то никогда не утверждал) того, - что создать качественно и надежно работающую IP-систему передачи под охранные задачи - в принципе нельзя.

Как раз таки можно.

Но вот только сколько за это, реально работающее ШЗ - придется заплатить?

Вы Андрей считали?

Лично я не считал, но прикидывал. ;))

И стоимость построения надежно работающей ЛВС (а это как вы не крутите должна быть не просто физически изолированная СКС под ЛВС, а ЛВС с управляемыми коммутаторами, с 1000 м/бит "стволом" и желательно на ВОЛС, с 100 м/бит-ными "ветвями" до ШЗ источников, с точкой доступа наконец и с точкой доступа не за 3 тыр, а за 30 и более и т.д. и т.п. )

И вот вся эта изолированная ЛВС, ну не как у меня не получается дешевле, чем стоимость построения физически изолированной сети аналогового КТВ (причем, топология СКС при подобной изоляции ЛВС - уже мало чем будет отличаться от топологии РК кабелей под аналоговое КТВ и пусть даже HD).

Ну а объяснять что, - аналоговая сеть КТВ, равно как и не IP сети ОПС и СКУД, уже по свое природе изолированы, защищены и более живучи: - надеюсь никакой необходимости нет.

Т.ч. единственным вопросом как был, так и остается вопрос стоимости построения и эксплуатации между СИСТЕМОЙ на базе ip - против стоимости построения и эксплуатации СИСТЕМЫ, но без использования ШЗ, ну или же с минимально возможным использованием уже существующих сетей IP.

ЗЫ

Там, где мало ШЗ ВН и СКУД - вообще никаких мер можно не применять.

Ну это Вы Андрей, потом, стоя в тазике с бетоном, сможите объяснить какому-нибудь "человеку похожему на прокурора" а-ли еще кому по прокурористей, про то - что мол мало и про то - что мол нужно, а чего не нужно защищать обещая безопасность.

;)

Т.ч. единственным вопросом как был, так и остается вопрос стоимости построения и эксплуатации между СИСТЕМОЙ на базе ip - против стоимости построения и эксплуатации СИСТЕМЫ, но без использования ШЗ, ну или же с минимально возможным использованием уже существующих сетей IP.

Да как-то решается этот вопрос без особых проблем...

А где не решается на ШЗ, дык на КТВ решается.

А потом все равно начинаются вопросы: а как это на компьютере посмотреть? А как удаленно посмотреть? А как на флешку скинуть и в другом месте посмотреть... И получаем тот же самый букет ШЗ...

ЗЫ

А почему что-то придется прокурору объяснять?

Мы уж тут не раз приходили к выводу, что безопасность в нашем деле ну вааще ни при чем

А вот что тут при чем - так это выявление хищений, обстоятельства порчи имущества, состояние разных объектов до и после какого либо проишествия - это к нам.

Но эти вопросы мы решаем в серверной прохладе и тишине, без прокурора. Что обещали - то выполняем.

И получаем тот же самый букет ШЗ...

Тот же, да не тот, потому как обеспечить защиту одного (двух, трех....) LAN портов на одном (двух, трех.....) DVR-ах и пусть даже подключенных к общедоступной сети и даже с выходом в интернет - много проще и дешевле.

Мы уж тут не раз приходили к выводу, что безопасность в нашем деле ну вааще ни при чем

Как не бывает маленьких ролей, а бывают лишь маленькие актеры, так и не бывает большой или маленькой безопасности - безопасность она или есть, или же её нет.

Ну а поскольку мы с Вами Андрей, не в состоянии обеспечить физической безопасности для наших клиентов, то наша задача сводится хотя бы к обеспечению информационной безопасность, причем на любых "наших" объектах, в не зависимости от их размера и количества установленного на них железа.

А вот что тут при чем - так это выявление хищений,

Ну а хищение информации (ну скажем хищение той же самой видеоинформации), будет по Вашей Андрей классификации, - причем, или же не будет причем?

;)

наша задача сводится хотя бы к обеспечению информационной безопасность

Я бы не обобщал...

Я под такие задачи не подписываюсь.

Круг моих умений и навыков позволяет НЕ позволяет мне ответсвенно решать вопросы информационной безопасности.

Можете назвать другие угрозы?

Ну видимо теперь, могу:

Я под такие задачи не подписываюсь.

Так может в этом и есть самая главная угроза?

Т.е. может угроза именно в том:

- Что никто, ни подо что не подписывается?

Вернее даже в том: - что никто, ни за что, никакой ответственности, не несет:

- Проектировщики - не подписываются под грамотностью своих мышкотычных проектов.

- Сметчики - не подписываются под обоснованностью сумм, которые они опять же "высчитывают в екселях".

- Монтажники - не подписываются нето что под мало-мальской работоспособностью, но и даже под соблюдением элементарных правил монтажа

- Пусконаладчики - не подписываются под знанием инструкции на оборудование и под их исполнением

- Сетевики - не подписываются под гарантированностью не то что доставки по проводным каналам СПИ, но уже и не подписываются под не-утечкой этой самой информации

:((((

PS

_{- Ребята, кто сшил костюм?}

_{Они говорят:}

_{- Мы!}

_{Я говорю:}

_{- Кто это «мы»?}

_{Они говорят:}

_{- У нас узкая специализация. Один пришивает карман, один - проймочку, я лично пришиваю пуговицы. К пуговицам претензии есть?}

_{- Нет! Пришиты насмерть, не оторвёшь! Кто сшил костюм? Кто вместо штанов мне рукава пришил? Кто вместо рукавов мне штаны пришпандорил? Кто это сделал?}

_{Они говорят:}

_{- Скажите спасибо, что мы к гульфику рукав не пришили.}

_{Представляете? Их – сто, а я – один. И все стоят, как пуговицы: насмерть.}

_{И я сказал:}

- Привет, ребята! Вы хорошо устроились!