12 слабых мест в СКУД

Avk.

Т.е. при наличии канала связи шифрование не нужно?

Т.е. при наличии канала связи шифрование не нужно?

Почему это, Андрей??? Вот, извините, никак не понимаю - как из моего поста следует это предположение?

На самом-то деле все РОВНО НАОБОРОТ!

Как Вы понимаете, данные на карту пишутся не ради того, чтобы они ТАМ (на карте) и оставались. Их надо как-то с карты передавать в БД - и делать это желательно "в фоновом режиме", чтобы не напрягать пользователя обязательными визитами в "специальную" комнату и т.д.

А значит - снимать данные с карты нужно при проходе через какую-то ключевую точку (например - на ввсеми любимом турникете). Т.е. отдавать данные СНАЧАЛА в онлайн (у нас это однозначно IP) контроллер - и уже он будет переправлять их в БД.Он же, кстати, из базы будет данные назад на карту засылать - при необходимости.

И кто же согласится делать это без шифрования??

Т.е. при наличии канала связи шифрование не нужно?

Я, похоже, не совсем верно понял Ваш вопрос..

Если Вы имели ввиду "ИЛИ нешифрованный канал передачи данных - ИЛИ зашифрованные данные на карте", то такая постановка вопроса не совсем верна.

В предыдущем посте я объяснил, что наличие данных на карте означает необходимость наличия шифрованного канала в ключевых точках. Но речь шла о точках доступа в рамках ОДНОЙ системы.

Если же говорить о противопоставлении разных архитектур для решения одной задачи - то корректнее было бы озвучить вариант "ИЛИ проводной канал ИЛИ зашифрованные данные на карте".

Будет ли этот проводной канал шифрованным или нет - это АБСОЛЮТНО другой вопрос, никак не связанный с первым.

И кто же согласится делать это без шифрования??

До сих пор большинство (производителей СКУД) соглашалось.

корректнее было бы озвучить вариант "ИЛИ проводной канал ИЛИ зашифрованные данные на карте".

Во-первых, почему именно проводной? А беспроводный что, не катит? Во-вторых, почему вообще противопоставление? Типа, имеем шифрокарту и КДшки с RS-485?

-----

А вообще, слегка абстрагируясь от данного треда: в упор не представляю себе реального "overchannel-перехвата" данных идентификации в любой объектовой СКУД. Так, по-взрослому ежели - брэд оф сив кэйбл.

До сих пор большинство (производителей СКУД) соглашалось.

Troll - Вы не поняли. Речь не идет о "требовании" к абсолютно любой СКУД, передающей данные по сети (не важно, какой).

Речь о конкретной архитектуре, подразумевающей (изначально) использование именно IP сетей (без требования их обзательной физической защиты и изоляции).

Во-первых, почему именно проводной? А беспроводный что, не катит? Во-вторых, почему вообще противопоставление?

Согласен! Мне кажется - мы увлеклись этими "противопоставлениями" и слишком углубились в дебри сетей, протоколов, сертификатов и т.п.

А вообще, слегка абстрагируясь от данного треда: в упор не представляю себе реального "overchannel-перехвата" данных идентификации в любой объектовой СКУД. Так, по-взрослому ежели - брэд оф сив кэйбл.

Не в такой жесткой форме - но тоже согласен. При наличии вышеописанных проблем с клонированием карт, например, не предстваляю себе объект, на котором "нехороший дяденька" будет заморачиваться перехватом трафика вместо тупого и ненапряжного клонирования карт "не вынимая из кармана директора". А еще проще и дешевле будет, наверное, купить на корню Вашего любимого вахтера :-)

Осталось убедить Андрея Бухарова и Вадима Тюрина, что мы не в те мельницы копья вонзаем...

P.S. Хотя, с другой-то стороны... "Если у Вас мания преследования - это еще не значит, что за Вами не следят" :-)

А еще проще и дешевле будет, наверное, купить на корню Вашего любимого вахтера :-)

Эх, и язва же вы :-)!

Вспомнилось из прошлого: сидели мы (ещё до Такира было) в одном довольно секретном НИИ. Режим, правила, ограничений масса - того не вноси, этого не выноси, с фотиком - прям сотрясение основ! Тем не менее, к нам в офис регулярно заходили офени - торговцы в разнос всякими продуктами - шоколадками, чаем, печеньем-вафлями и пр. подоб - и галантереей (носочки, платочки, расчёски, мяу). Часть из них были местные же сотрудники. А часть просто с улицы народ, хотя и прикормленный - вернее, наоборот, прикормивший вахту :-))).

Но! Есть и таких мест, где вахтёра хрен купишь. Вообще. Убить можно, а купить нет. Сидели мы и в таком месте тоже. Хотя там ограничений было меньше на порядок, но зайти чужому - внатуре без мазы :-).

2 avk

А при передаче данных в локальной сети (к контроллерам on-line) трафик шифруется?

Осталось убедить Андрея Бухарова и Вадима Тюрина, что мы не в те мельницы копья вонзаем...

Честно говоря, я вообще не понял куда вы копья мечете...

Осталось убедить Андрея Бухарова и Вадима Тюрина, что мы не в те мельницы копья вонзаем...

Андрей!?

Да я вообще после того как Вы меня, причем именно как не столь искушенного во всем многообразии СКУД - окончательно запутали тем что есть на самом деле и тем что Вы просто хотели бы в современном СКУД видеть; - так вот после всего этого я, как то кот Васька: - только слушаю и ем, хотя вернее: - только и успеваю молча - лапшу с ушей смахивать :-).

Вадим - здравствуйте. А я уж было решил, что Вы куда-то по делам уехали...

Ваши слова, однако, обидно звучат. Намек на "лапшу" нужно понимать как обвинение в наглой и неприкрытой дезинформации? Это где же я Вас обманул, простите? Ткните, так сказать, паршивца носом...

Все, чем я Вас так старательно "запутывал", либо уже давно существует в серийном продукте - либо СУЩЕСТВУЕТ как пред-релизный продукт (это я про своих поставщиков, т.е. SALTO). Так что никаких моих личных "хотелок", простите, я не озвучивал.

По тому же BLE не одни мои испанцы (мягко говоря) работают - они и на рынок с готовым продуктом точно не первые выйдут. Хотите - вот Вам новость от всеми уважаемого HID: http://www.nfcworld.com/2014/06/24/329922/hid-adds-ble-digital-keys-platform/

Андрей - о "копьях" это я о том, что на мой взгляд мы со всеми этими тонкостями шифрования, нюнсами беспроводных протоколов семейства 802 и т.д. слегка увлеклись.

Боюсь, эти наши баталии стали окончательно непонятны и неинтересны клиентам (если они вдруг этот форум посещают) и инсталляторам, не столь "погруженным" в тему.

Хотя возможно я и не прав...

P.S.

А при передаче данных в локальной сети (к контроллерам on-line) трафик шифруется?

https://www.youtube.com/watch?v=2I_aG2l_4o0

<iframe width="640" height="360" src="https://www.youtube-nocookie.com/embed/2I_aG2l_4o0?rel=0" frameborder="0" allowfullscreen></iframe>