OlegPowerC (15.02.2026 12:03, просмотров: 5309)-
- Да полно таких гнилых железок. У нас куда ни плюнь: то "управляемая
розетка", у которой коннект по http или telnet, то какие-то
действия с железом разрешены любому залогированному пользователю. Я
уж молчу, что пароли от БТА чуть ли не каждая собака знает ☺ Eddy_Em(534 знак., 16.02.2026 09:24)
- СКУД != охранная сигнализация. А так да, защита от пионеров не
более. - Yft(16.02.2026 09:46)
- У меня с автоматами могли приехать, при несанкционированном доступе - Anvar(16.02.2026 10:02)
- Просто немножко более расширенная версия обычной сигналки, которая
имеет терминалы со всякими "ключами/карточками" и ведет учет, кто
когда куда входил (ну и, соответственно, кому куда можно). Эта
херня под пивко за неделю пишется! Были бы протоколы… - Eddy_Em(16.02.2026 09:55)
- Основным стандартом для систем контроля и управления доступом
(СКУД) в РФ является ГОСТ Р 51241-2008 «Средства и системы контроля
и управления доступом. Классификация. Общие технические
требования». Yft(316 знак., 16.02.2026 10:24)
- Кому нафиг нужна эта навороченная система на двухста квадратных
метрах? Просто консольное приложение, в котором можно вести учет
ключей, через конф-файл контролировать зоны доступа, да просто
смотреть состояние сигналки и логи - кто когда куда шарахался... Eddy_Em(146 знак., 16.02.2026 11:22)
- Вот ты и будешь потом учетом и контролем через своё консольное
приложение заниматься, так что даже на звёзды посмотреть некогда
будет. Пока GUI-морду к нему не приделаешь. :)) - ЫЫyкпy(16.02.2026 11:28)
- Если за день добавить-удалить человек 10-20, то это работа минут на
пять. Да и вообще, можно сразу в отдел кадров инструкцию написать -
пусть сами конфиг-файл формируют ☺ - Eddy_Em(16.02.2026 12:01)
- Отдел кадров ничего не знает о правах доступа. Этим занимается
безопасность. Электрикам одно, Сантехникам другое, Уборщицам
третье, подрядчикам вообще в течение дня может меняться и т.д. и
т.п. А то что вы рассказываете, проще амбарные замки повесить и
ключи раздавать - Anvar(16.02.2026 12:17)
- Так де-факто эти карточки у нас вообще и не нужны! Ключи висят на
вахте, взял - записал... Eddy_Em(332 знак., 16.02.2026 13:21)
- Активировал, потому что дисциплины никакой. Сел паять вонючее - на
датчик перчатку резиновую надень. Допаял - перчатку сними, на место
спрячь. - maik-vs(16.02.2026 20:57)
- Где-то я что-то такое слышал... А, там в шахте датчики метана заклеивали. Горы трупов в итоге. Но не напрягать же начальство требованием установки вытяжки. У них, начальства, и так забот полон рот. Ну а датчики заклеим, вонь потерпим. Предки, вона, в горячих цехах, на химических производствах работали, и ничего. Помирали рано, но такова участь, надо смириться. - mr-x(17.02.2026 11:47)
- Вот я и посоветовал ему во время пайки на датчик хотя бы пакет
надевать или вообще его навечно заклеить: все равно на такое
маленькое помещение аж три датчика налепили! - Eddy_Em(16.02.2026 21:36)
- Вытяжку поставить не посоветовал? - Nikolay_Po(17.02.2026 12:44)
- Активировал, потому что дисциплины никакой. Сел паять вонючее - на
датчик перчатку резиновую надень. Допаял - перчатку сними, на место
спрячь. - maik-vs(16.02.2026 20:57)
- Так де-факто эти карточки у нас вообще и не нужны! Ключи висят на
вахте, взял - записал... Eddy_Em(332 знак., 16.02.2026 13:21)
- Отдел кадров ничего не знает о правах доступа. Этим занимается
безопасность. Электрикам одно, Сантехникам другое, Уборщицам
третье, подрядчикам вообще в течение дня может меняться и т.д. и
т.п. А то что вы рассказываете, проще амбарные замки повесить и
ключи раздавать - Anvar(16.02.2026 12:17)
- Если за день добавить-удалить человек 10-20, то это работа минут на
пять. Да и вообще, можно сразу в отдел кадров инструкцию написать -
пусть сами конфиг-файл формируют ☺ - Eddy_Em(16.02.2026 12:01)
- В пустом здании, никому не нужном здании да. В остальных случаях , как минимум СКУД должна быть связана с системой пожарной сигнализации, вентиляции, пожаротушения, безаварийным "гашением" оборудования. А то такой вы, запрете человека и удушите его или наоборот, создадите тягу для пожара, там где не надо. Это не вы Саяно-Шушенскую в августе 2009? - Anvar(16.02.2026 11:26)
- Вот ты и будешь потом учетом и контролем через своё консольное
приложение заниматься, так что даже на звёзды посмотреть некогда
будет. Пока GUI-морду к нему не приделаешь. :)) - ЫЫyкпy(16.02.2026 11:28)
- Кому нафиг нужна эта навороченная система на двухста квадратных
метрах? Просто консольное приложение, в котором можно вести учет
ключей, через конф-файл контролировать зоны доступа, да просто
смотреть состояние сигналки и логи - кто когда куда шарахался... Eddy_Em(146 знак., 16.02.2026 11:22)
- Основным стандартом для систем контроля и управления доступом
(СКУД) в РФ является ГОСТ Р 51241-2008 «Средства и системы контроля
и управления доступом. Классификация. Общие технические
требования». Yft(316 знак., 16.02.2026 10:24)
- СКУД != охранная сигнализация. А так да, защита от пионеров не
более. - Yft(16.02.2026 09:46)
- Когда очень давно заходили на эту поляну - всем было насрать. На
99% объектов до сих пор считки на wiegand висят. Там, где вопрос
волнует - порт не зазеркалишь просто так. Где не волнует - есть и
более простые способы взлома. Этот рынок не про лучшие решения, а
про совместимость и цену. - LightElf(15.02.2026 21:34)
- Вспомнил фразу: "Система контроля доступа не должна превращаться в
систему его пресечения". Cкpипaч(111 знак., 15.02.2026 23:02)
- Кто первый встал - того и тапки ;-) Продал свой СКУД в головной
офис - все филиалы твои. Но цены на всякие считки/замки/контроллеры
не интересные давно, так что мы не стали погружаться в этот рынок.
Изредка выпиливаем что-то специфичное, но это не сфера интересов. - LightElf(16.02.2026 02:39)
- Филиалы... У меня на сервисе В ОДНОМ здании четыре абсолютно разных
СКУД. Потому что департаменту логистики и закупок похуй на проблемы
сервисников (даже наверное какая-то скрытая радость от них). Зато
все четыре СКУД софт дали бесплатно. - Cкpипaч(16.02.2026 09:03)
- У нас это было модно в первую итерацию оСКУДевания, лет 15 назад.
Тогда еще железо было дорогое и заклинания про "решения от мировых
лидеров" работали. До сих пор местами стоят всякие Honeywell и
прочее Apollo, как памятник той романтической эпохи. Потом
заказчиков попустило и такой херней маются сейчас только особо
одарённые. Собственно тогда мы и соскочили с темы, бо
поконкурировать с Honeywell весело и интересно, а вот с каким
Болидом - кисло и скучно считать LightElf(131 знак., 16.02.2026 10:31)
- Я эти времена помню со стороны Honeywell. Куча пионеров, с сырыми
поделками из фекалий и веточек и бешенные наценки на нормальных
продуктах. Тендеры "Honeywell против Siemens" побеждались с
двухкратными накрутками. Cкpипaч(105 знак., 16.02.2026 10:36)
- Huawei? на что именно? их сетевое оборудование стоит ровно столько
сколько за него заплатят - примерно чуть подешевле Cisco но совсем
немного просто потому что альтернативы сильно хуже. - OlegPowerC(16.02.2026 13:39)
- Что значит "сколько заплатят"? Есть партнерские цены, есть "стоп-цена" для розницы. Если продаешь ниже стоп-цены, имеешь не иллюзорный шанс вылететь из клуба. Выше - да, продавай как хочешь (если найдешь покупателя). - Cкpипaч(16.02.2026 17:52)
- Да-а, были времена :-) Тогда еще можно было заработать на оборудовании. - LightElf(16.02.2026 10:49)
- Huawei? на что именно? их сетевое оборудование стоит ровно столько
сколько за него заплатят - примерно чуть подешевле Cisco но совсем
немного просто потому что альтернативы сильно хуже. - OlegPowerC(16.02.2026 13:39)
- Я эти времена помню со стороны Honeywell. Куча пионеров, с сырыми
поделками из фекалий и веточек и бешенные наценки на нормальных
продуктах. Тендеры "Honeywell против Siemens" побеждались с
двухкратными накрутками. Cкpипaч(105 знак., 16.02.2026 10:36)
- Четыре разных арендатора? - AlexBi(16.02.2026 09:07)
- Четыре разных закупки. - Cкpипaч(16.02.2026 09:30)
- У нас это было модно в первую итерацию оСКУДевания, лет 15 назад.
Тогда еще железо было дорогое и заклинания про "решения от мировых
лидеров" работали. До сих пор местами стоят всякие Honeywell и
прочее Apollo, как памятник той романтической эпохи. Потом
заказчиков попустило и такой херней маются сейчас только особо
одарённые. Собственно тогда мы и соскочили с темы, бо
поконкурировать с Honeywell весело и интересно, а вот с каким
Болидом - кисло и скучно считать LightElf(131 знак., 16.02.2026 10:31)
- Филиалы... У меня на сервисе В ОДНОМ здании четыре абсолютно разных
СКУД. Потому что департаменту логистики и закупок похуй на проблемы
сервисников (даже наверное какая-то скрытая радость от них). Зато
все четыре СКУД софт дали бесплатно. - Cкpипaч(16.02.2026 09:03)
- Кто первый встал - того и тапки ;-) Продал свой СКУД в головной
офис - все филиалы твои. Но цены на всякие считки/замки/контроллеры
не интересные давно, так что мы не стали погружаться в этот рынок.
Изредка выпиливаем что-то специфичное, но это не сфера интересов. - LightElf(16.02.2026 02:39)
- Вспомнил фразу: "Система контроля доступа не должна превращаться в
систему его пресечения". Cкpипaч(111 знак., 15.02.2026 23:02)
- Плюсую на счёт SNMPv3. Он хорош для мониторинга и ограниченного
объёма взаимодействия. В одной организации, где я работал, на SNMP
была возложена и часть СКУД - датчики открытия дверей и управление
замками для помещений узлов с аппаратурой. Не говоря уже о
противопожарных датчиках, температуры, датчиках затопления. Nikolay_Po(179 знак., 15.02.2026 17:55)
- А почему UDP, а не TCP? Датчики-то все равно по 485 подключаются (но я бы по CAN подключал: удобней и надежней, да и опрашивать их в этом случае не нужно)… - Eddy_Em(16.02.2026 09:26)
- Выскажу несколько слов в защиту самодельных протоколов. Шифрование
AES довольно тяжелое по ресурсам для микроконтроллера, не всякий
справится, в самодельном можно применить что-то более легкое.
Порты, используемые для передачи SNMP, используются одни и те же
для всех версий SNMP, их придется открыть повсеместно, что бы ваш
SNMP работал везде, а это открывает доступ к управлению
маршрутизаторами, свичами, и т.д. всем подряд. Свой протокол будет
использовать порты, которые не AlexBi(18 знак., 16.02.2026 08:52)
- SNMP может работать на любых портах. А шифрование AES - оно же rijndael совсем не сложное если 128 битное и куда проще чем DES - вот пример: OlegPowerC(32 знак., 16.02.2026 13:33, ссылка)
- Спасибо. Интересное и полезное замечание! - Nikolay_Po(16.02.2026 09:17)
- Вот и я думаю ниша какая то точно найдется - OlegPowerC(16.02.2026 00:42)
- "Плюсовать" каждый может. Пока лично ему вкладывать в проект деньги не нужно :) - Cкpипaч(15.02.2026 18:14)
- OSDP V2 протокол, и вот оно счастье. Хер его вскроешь. - Samum421(15.02.2026 16:21)
- Сделать можно, ставится ли цель продавать? Cкpипaч(110 знак., 15.02.2026 12:35)
- Ну вобще для начала - "Зачем вы это сделали? Потому что мы можем!"
:-) и да продавать туда где всетаки опасаются перехвата данных, а
именно это потенциально опасно с той точки зрения, что сотрудники
имеющие доступ к сети, могут даже прописать свои карточки в
контроллеры. - OlegPowerC(15.02.2026 12:53)
- Нет никакой истерики в том, чтобы передавать по незащищенному
соединению защищенные данные. А с номерами карточек вообще цирк, на одном крупном сайте мы
вынуждены параллельно вести ЧЕТЫРЕ базы данных карточек, в
купленных в разное время системах. Там и без шифрования все сильно
непросто. - Cкpипaч(15.02.2026 13:03)
- Ну там они не зашищенные , там видно что записывают и можно
записать свое - OlegPowerC(15.02.2026 15:12)
- "Видно" это когда подключаешься спец.оборудованием непосредственно
в кабель? Названную вами систему не знаю, но обычно в кабеле все же
передают зашифрованный прикладной фрейм. И есть некий непростой
регламент обновления в контроллерах ключей шифрования. Cкpипaч(408 знак., 15.02.2026 15:34)
- Ну использовать лучше не проприетарные протоколы а публичные -
просто потому что там уязвимости находят и публикуют и тысячи
безопасников их исследуют. - OlegPowerC(15.02.2026 15:49)
- Уверен, вы лично знаете МНОГИХ разработчиков СКУД и давно рассказали им это лично :) Cкpипaч(81 знак., 15.02.2026 16:03)
- Не, самый простой способ - админ сети делает зеркальный порт и
ловит все Wireshark’ом - OlegPowerC(15.02.2026 15:35)
- Т.е. речь идет о прямом должностном преступлении ответственного
сотрудника? - Cкpипaч(15.02.2026 15:40)
- Ну сейчас в других областях запрещено внутри сети использовать
Telnet и Http (нужно ssh и https) а тут считается нормой открытые
проприетарные протоколы - OlegPowerC(15.02.2026 15:41)
- На практике, для СКУД, СОС, ВН применяют отдельные изолированные
сети. Физически изолированные. - Cкpипaч(15.02.2026 15:47)
- Физическая изоляция не всегда возможна, чаще это все же просто VLAN - OlegPowerC(15.02.2026 15:50)
- Скажем так, в вопросах построения СКУД вы для меня безусловный
авторитет :) - Cкpипaч(15.02.2026 16:07)
- :-))) большая честь - OlegPowerC(15.02.2026 17:10)
- Скажем так, в вопросах построения СКУД вы для меня безусловный
авторитет :) - Cкpипaч(15.02.2026 16:07)
- Физическая изоляция не всегда возможна, чаще это все же просто VLAN - OlegPowerC(15.02.2026 15:50)
- ...однозначный косяк производителя. Одного из тысяч производителей оборудования для данной задачи. - Cкpипaч(15.02.2026 15:44)
- На практике, для СКУД, СОС, ВН применяют отдельные изолированные
сети. Физически изолированные. - Cкpипaч(15.02.2026 15:47)
- Ну сейчас в других областях запрещено внутри сети использовать
Telnet и Http (нужно ssh и https) а тут считается нормой открытые
проприетарные протоколы - OlegPowerC(15.02.2026 15:41)
- Т.е. речь идет о прямом должностном преступлении ответственного
сотрудника? - Cкpипaч(15.02.2026 15:40)
- Ну использовать лучше не проприетарные протоколы а публичные -
просто потому что там уязвимости находят и публикуют и тысячи
безопасников их исследуют. - OlegPowerC(15.02.2026 15:49)
- "Видно" это когда подключаешься спец.оборудованием непосредственно
в кабель? Названную вами систему не знаю, но обычно в кабеле все же
передают зашифрованный прикладной фрейм. И есть некий непростой
регламент обновления в контроллерах ключей шифрования. Cкpипaч(408 знак., 15.02.2026 15:34)
- Ну там они не зашищенные , там видно что записывают и можно
записать свое - OlegPowerC(15.02.2026 15:12)
- "Первый этап любого проекта - фатальная недооценка необходимого
времени и ресурсов!" 8) Существуют тома нормативки на охранные
системы. ДБН, ведомственные и "импортные". IMHO, начинать нужно с
нормативки. - Cкpипaч(15.02.2026 12:58)
- Ну видимо да - OlegPowerC(15.02.2026 13:01)
- Нет никакой истерики в том, чтобы передавать по незащищенному
соединению защищенные данные. А с номерами карточек вообще цирк, на одном крупном сайте мы
вынуждены параллельно вести ЧЕТЫРЕ базы данных карточек, в
купленных в разное время системах. Там и без шифрования все сильно
непросто. - Cкpипaч(15.02.2026 13:03)
- Ну вобще для начала - "Зачем вы это сделали? Потому что мы можем!"
:-) и да продавать туда где всетаки опасаются перехвата данных, а
именно это потенциально опасно с той точки зрения, что сотрудники
имеющие доступ к сети, могут даже прописать свои карточки в
контроллеры. - OlegPowerC(15.02.2026 12:53)
- Да полно таких гнилых железок. У нас куда ни плюнь: то "управляемая
розетка", у которой коннект по http или telnet, то какие-то
действия с железом разрешены любому залогированному пользователю. Я
уж молчу, что пароли от БТА чуть ли не каждая собака знает ☺ Eddy_Em(534 знак., 16.02.2026 09:24)