Форум Системы безопасности / Форум Системы контроля доступа /
Avk
Бывалый
Сообщений: 148
Рейтинг: 635
09.07.2014 12:38:32
Ну вот и крупица истины родилась
Не понял насчет орнитологии... Проблема клонирования (потеря "уникальности" идентификатора или компрометация носителя) актуальна в любых типах систем, идентификационной - верификационной, не важно.
Откуда постулат насчет "... другого все равно нету..."? Он ошибочек, и ошибочны сделанные выводы.
Из общения с заказчиками. Многие (слишком многие) искренне удивляются, что может быть по-другому. Потому что "авторитетные специалисты" их убедили, что может быть только так и никак иначе.
Давно уже все СКУД сведены к набору известных действий, практически одинаковых в разных системах.
Вы меня, боюсь, неверно поняли. Я говорил о том, что ЛЮБАЯ СКУД адекватно работает только в руках адекватного специалоиста при соблюдении известных мер (при правильном использовании, проще говоря). Но это не значит, что СКУД может содержать n-ное количество системных дыр в безопасности - с которыми пользователь должен потом как-то сам бороться "организационными методами"...
Приведите пример - обсудим.
марку системы обсуждать нет смысла - приведу пример архитектуры.
Система, использующая перезаписываемые носители информации (те самые защищенные карты доступа) для хранения плана доступа пользователя и другой системной информации (динамически изменяющейся при этом) - а также использующая в качестве точек доступа оборудование 3-х типов:
1. онлайн контроллеры лоступа, параллельно работающие в качестве хаба по обмену информацией между картой и БД СКУД в оба направления.
2. онлайн RF (беспроводные) точки доступа, использующие радиочастоту для контроля и управления в реальном времени.
3. standalone точки доступа, обменивающиеся информацией с БД СКУД через карты пользователей (т.е. не в реал-тайме)
Сделал человек свой выбор, и заплатил за него. Вольному воля.Ага... забыли добавить "Аминь.. Мир праху"... И производитель авто - заметьте - абсолютно ни при чем...
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
09.07.2014 13:09:25
марку системы обсуждать нет смысла - приведу пример архитектуры.
Упрощенный вариант описанной Вами системы - метрополитен в Москве.
Более развитый вариант - система оплаты, электронный кошелек.
Термин "идентификатор" вы можете и не использовать, но суть не меняется.
Еще раз утверждаю, что СКУДу нет разницы какой идентификатор используется.
Для системы, подобной вашей, вместо разгона кодов карт по контроллерам используется запись данных в карту через специальный специальный контроллер (обычно их называет регистрационным комплектом).
С точки зрения ПО СКУД что коды в контроллеры СКУД писат, что массив данных в "специальный контроллер" - одно и то же.
Не зависит СКУД от идентификаторов...
А Вы сейчас являетесь заложником выбранной технологии (подозреваю, что это все тот же ISO14443 :-)))
Ваша защитная мантра - это защищенный протокол обмена. Как только будут украдены ключи шифрования будет взломана ВСЯ система! И восстановить ее нормальную работу (т.е. перешить все валидные карты) будет непросто.
Защищая носитель, Вы забываете о другим путях атаки (тоже, конечно, банальность... все надо делать комплексно).
Т.о., я еще раз прихожу в выдвинутому мною тезису, что вопрос защиты идентификатора/носителя носит частный характер.
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
09.07.2014 13:11:50
Из общения с заказчиками. Многие (слишком многие) искренне удивляются, что может быть по-другому. Потому что "авторитетные специалисты" их убедили, что может быть только так и никак иначе.
Опытный аптекарь учит молодого продавать очки: — Называешь цену 10 долларов и смотришь на покупателя. Если тот не удивляется, говоришь: «Это только за стекла». Если по-прежнему все в порядке, добавляешь: «За каждое».
Avk
Бывалый
Сообщений: 148
Рейтинг: 635
09.07.2014 14:58:37
Термин "идентификатор" вы можете и не использовать, но суть не меняется.
Суть меняется принципиально. Хотя бы потому, что точки доступа могут принимать решение "пустить - не пустить" без участия центральной базы. Точнее - они только так и делают, при необходимости лишь сверяя свое решение с базой (если точка доступа в онлайне). К билетным системам эта архитектура не имеет никакого отношения, сходство только в использовании карты для переноса информации, а не хранения идентификатора.
вместо разгона кодов карт по контроллерам используется запись данных в карту через специальный специальный контроллер
Такой контроллер может быть один - два - несколько на объект, а общее число точек доступа при этом измеряться сотнями и тысячами. И тогда "разгонять карты в контроллер" / или обновлять карты в ключевой точке - становятся принципиально разным по реализации и стоимости процессом...
С точки зрения ПО СКУД что коды в контроллеры СКУД писат, что массив данных в "специальный контроллер" - одно и то же.
ПО СКУД в верификационной системе принципиально по другому работает и с контролелрами, и с данными, записываемыми на карту.
Никаких "массивов данных" в контроллер не пишется. При предъявлении карты этот "специальный контроллер", как Вы его назвали, считывает данные с карты - по ним (сравнивая права доступа на карте со своими параметрами) принимает решение "пустить - не пустить", паралельно с этим отправляет в БД накопленные на карте данные (историю проходов, данные о состоянии батареек беспроводных точек доступа и т.п.) - а назад получает данные, которые необходимо записать на карту (если такие данные есть).
А Вы сейчас являетесь заложником выбранной технологии (подозреваю, что это все тот же ISO14443 :-)))
Ровно наоборот - это Вы являетесь заложником той технологии, которую понимает прикрученный к Вашему контроллеру считыватель. накрылась технология - другого пути кроме как менять все считыватели и карты нет.
А когда Вы вместо "идентификатора" работаете с "данными" - кто мешает Вам шифровать эти данные еще и собственным программным методом? И кто мешает сделать считыватель мультиформатным, чтобы он одновременно мог работать с целой пачкой стандартов перезаписываемых карт? В этом случае проблема одного типа карт не приводит к замене всей логики и всех считывателей - в худшем случае меняете (постепенно) карты на более защищенные.
У нас вот только - только начали рекламировать "переход на защищенные Mifare карты" - но они-то уже cкомпрометированы! (MiFare Classic). А о картах MiFare PLUS (не говоря уже про Desfire EV1 и иже с ними) многие даже не слышали...
А с "выходом в массы" NFC так вообще картинка может поменяться кардинально.
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
09.07.2014 15:10:35
в карты записан срок действия?
Avk
Бывалый
Сообщений: 148
Рейтинг: 635
09.07.2014 15:12:29
дав карты записан срок действия?
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
09.07.2014 15:21:05
Я не вижу место дебатам.
Техногия рекламируемой Вами системы известна. Как и все прочее эта технология имеет плюсы и минусы.
Подделать карту mifare непросто, но и не обязательно.
Переходя к сути разговора могу сказать, что и эту СКУД нетрудно обмануть.
Avk
Бывалый
Сообщений: 148
Рейтинг: 635
09.07.2014 15:29:58
Как и все прочее эта технология имеет плюсы и минусы.
Безусловно...
Подделать карту mifare непросто, но и не обязательно.
Необязательно для чего? И почему Mifare? на этом типе карт мир клином не сошелся.
и эту СКУД нетрудно обманутьОткройте глаза - расскажите, как....
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
09.07.2014 15:31:53
Что делает система при потере/поломке карт?
Как удаленный контроллер узнает, что какую-то конкретную карту нельзя пускать?
Avk
Бывалый
Сообщений: 148
Рейтинг: 635
09.07.2014 15:40:12
Как удаленный контроллер узнает, что какую-то конкретную карту нельзя пускать?
технология "черного списка" - когда отмененная карта в него попадает, обновленный черный список автоматом попадает во все онлайн точки доступа - а также пишется на карты и через них разносится по всем standalone точкам доступа. Естественно - попытка прохода по карте из черного списка приводит к немедленной блокировке (физическому удалению информации с карты). Это касается любых точек доступа - как онлайн *проводных или беспроводных), так и standalone