¿Se acerca la era de los torniquetes IP? ?
¡Qué rápido pasa el tiempo! Desafortunadamente, no pude encontrar un reemplazo digno para esta frase al comenzar el artículo. Y efectivamente, ayer mismo el chiste que parecía tan divertido: “Hola, el dueño no está ahora en casa, su frigorífico te está hablando” ahora no es más que una breve descripción de otro dispositivo de red de moda y caro (por ahora).
Obviamente, la sociedad moderna siempre necesita algún tipo de fetiche para el culto, no sólo para crear plusvalía para un determinado grupo de personas, sino también en general, para no aburrirse.
Hoy en día, este papel lo desempeñan varios dispositivos con prefijo IP. Y aunque en el horizonte ya se ven claramente los contornos de un “reemplazo” del ídolo actual llamado “nano”, por el momento es poco probable que algo en el mercado de la seguridad pueda compararse con la popularidad de varios sistemas de red. Es bastante comprensible que los fabricantes y proveedores de sistemas de seguridad, en su impulso absolutamente racional de atacar mientras el hierro está caliente, intenten aprovechar al máximo la marca IP. Después de todo, es obvio que si de alguna manera conecta un puerto Ethernet al controlador ACS, entonces es muy posible llamar a este producto controlador IP. Algunos de nuestros colegas fueron más allá: resulta que si escondes un controlador IP dentro de un torniquete normal, obtienes un torniquete IP. La empresa, en mi opinión, es bastante razonable, creo que las próximas innovaciones en esta dirección no están lejos. Después de todo, es difícil imaginar cuántos otros lugares maravillosos existen donde se puede colocar un controlador IP.
Hablando en serio, entonces, en mi opinión, se trata de una sustitución ordinaria de conceptos que todos conocemos a la hora de elegir algún tipo de producto de consumo. Aquí no hay necesidad de emociones: ya estás acostumbrado a los SUV de tracción delantera en los concesionarios de automóviles y al zumo natural 100% reconstituido en los hipermercados. Lo que pasa es que cada uno ha desarrollado ciertos criterios sobre lo que se considera real y lo que no lo es tanto. Por eso solo quiero expresar mi opinión sobre los criterios según los cuales los controladores ACS y los sistemas creados a partir de ellos pueden clasificarse como conectados en red.
Comencemos con una mirada simple, diría incluso amateur, a la red de información como tal. ¿Qué asociaciones evoca la frase «red informática» en una persona común y corriente? Bueno, estas son, por supuesto, computadoras conectadas por el mismo «cable» que el administrador del sistema a veces revisa por alguna razón, arrastrándose debajo de la mesa y tropezando. ¡Bien! No pretendo decir cuándo apareció el término «red» en el mercado de CCTV, pero creo que la red ACS ha estado en nuestro mercado durante aproximadamente 10 años. La publicidad de este producto hasta el día de hoy a menudo se ve así: esquemáticamente. Se muestra una red informática con estaciones de trabajo designadas para operadores y administradores, que también muestra algunos «convertidores de red» para conectar controladores de control ACS a la red a través del mismo RS485, puerto COM virtual, etc. Bueno, entonces el controlador ACS principal o maestro real suele ser dibujado, combinando controladores junior o similares orgullosamente extendidos en diferentes direcciones con cables del mismo RS-485, RS-422 o bucle de corriente. No crea que es aburrido, pero ¿qué es exactamente una red aquí y por qué, para un sistema de «red» de este tipo, además de tender una red Ethernet en sus instalaciones, el cliente debe pensar en colocar kilómetros adicionales de varios pares trenzados en el ¿pantalla? Entonces, según tengo entendido, un sistema de red real debe tener comunicación entre sus diversos componentes a través de la red. Por supuesto, no me refiero a la periferia: interruptores de lengüeta, botones de salida, lectores, cerraduras y actuadores (aunque ¡quién sabe, quién sabe! – ver torniquete IP).
Ahora, como dicen, pasemos de la forma al contenido. Si observa de cerca los productos que quedan después del «corte» anterior, llamados «sistemas de control de acceso a la red», puede notar fácilmente que la gran mayoría de los fabricantes utilizan los mismos convertidores Ethernet a un puerto COM o a RS- 485. En otras palabras, los controladores ACS y los módulos de interfaz, generalmente desarrollados mucho antes de la era IP, se comunican entre sí, por ejemplo, a través del mismo RS-485, sin saber que en la línea de comunicación entre ellos ahora hay una cadena de » intermediarios” que convierten la señal primero de RS-485 al protocolo de red y luego viceversa. Formalmente, se trata realmente de un sistema de control de acceso que opera a través de una red. Pero esta opción tiene una serie de limitaciones funcionales que, en mi opinión, a una cierta escala del sistema, desdibujan la idea misma de la ventaja de utilizar una solución de red en el sitio. En primer lugar, la mera presencia de una cadena de dichos convertidores para la conversión de señales, junto con el paso de paquetes de información a través de una red que consta no de una, sino, por ejemplo, de varias subredes con puertas de enlace, convertidores, etc., puede provocar un gran retraso. en la señal de respuesta del controlador esclavo a la solicitud del maestro. Y el controlador maestro bien puede percibir este retraso como un mal funcionamiento (les recuerdo que los controladores “no saben” que se están comunicando a través de la red). En segundo lugar, probablemente los convertidores Lantronix RS-485/Ethernet más populares (y bastante económicos) en el mercado ACS admiten la operación de red utilizando el protocolo UDP, diseñado principalmente para operar en redes peer-to-peer, donde no hay entrega garantizada de mensajes. y el requisito de disponibilidad obligatoria de determinadas direcciones en la red no es un gran problema*. Además, los propios fabricantes de ACS a menudo recomiendan conectar no más de 4 a 8 esclavos a través de la red a un controlador maestro, incluso si en la versión estándar, cuando la comunicación entre el maestro y los esclavos se realiza a través de RS-485, puede haber hasta 32 o más. Entonces, para operar en este modo, el cliente necesita una subred dedicada para operar exclusivamente el sistema de control de acceso, con restricciones adicionales en la cantidad de puntos de control del sistema. Pero entonces surge una pregunta razonable: ¿por qué sacrificar la funcionalidad de un buen sistema de control de acceso en aras de alguna innovación efímera? Aún así, solo tendrá que colocar conexiones de cables debajo, así que ¿no sería mejor usar el viejo RS-485, donde todo funciona de manera confiable y el bucle en sí, si lo desea, se puede ampliar con repetidores de señal de 1200 m mediante ¿más de 3 kilómetros?
Entonces, según tengo entendido, el controlador de red debe tener un puerto Ethernet completamente implementado (software y hardware) con el protocolo de red TCP/IP y soporte para el sistema de distribución dinámica de direcciones (DHCP), lo que evita errores de configuración causados por la necesidad de ingresar valores para cada dispositivo de red manualmente. DHCP también ayuda a prevenir conflictos de direcciones causados por el uso de una dirección IP previamente asignada al configurar una nueva computadora en la red. De hecho, debería ser una computadora industrial (probablemente con sistema operativo Linux), que permita, como controlador del sistema de control de acceso a la red, aprovechar todas las ventajas de un intercambio completo de información entre los módulos y el servidor del sistema en el marco de la red ya existente en el sitio del cliente. Además, la plena implementación de todas las capacidades de red implica la creación de un sistema de control de acceso con inteligencia distribuida. En otras palabras, el software de dichos controladores debe garantizar una interacción eficaz no sólo a nivel del controlador — servidor del sistema, sino también en variantes como controlador — controlador (peer-to-peer), controlador — CCTV externo o sistema de alarma contra incendios, controlador – soporte vital o sistema de ahorro de energía del edificio, etc. La idea general es que después de cargar ciertos escenarios operativos en los controladores ACS, puedan de forma independiente (sin la intervención de un servidor de gestión), si es necesario, interactuar entre sí para realizar las tareas. funcionalidad de acceso necesaria (el ejemplo más simple: antipassback global), y también encender cámaras IP externas para grabar utilizando un protocolo que comprendan, enviar comandos al sistema de ahorro de energía para apagar las luces en oficinas vacías y, a su vez, recibir comandos y información de otros sistemas de gestión de edificios a través de la red (empresa) que operan en el sitio del cliente. Además, este modo de funcionamiento para controladores sin interacción activa con el servidor del sistema no debería ser una especie de emergencia, sino, por el contrario, estándar.
Puedo sugerir una sencilla prueba de inteligencia de propiedad intelectual. Dibuje un diagrama de bloques de las conexiones de todos los componentes de su sistema de control de acceso a la red, luego tache el servidor del sistema en la imagen e intente responder la única pregunta de la manera más honesta posible: ¿qué y durante cuánto tiempo puede hacer su sistema ahora? La cantidad de funcionalidad restante y la duración de su soporte en este modo es directamente proporcional a mi comprensión de un sistema de control de acceso a la red que funcione correctamente con inteligencia verdaderamente distribuida.
En respuesta al eterno contraargumento sobre la inseguridad de las redes abiertas y su inadecuación para su uso por parte de los sistemas de seguridad, puedo responder una cosa: «¡Así que protéjanse, caballeros!» Se puede instalar un firewall en un controlador basado en una computadora industrial y se puede proteger el intercambio de información a través de redes abiertas implementando una conexión VPN. Por supuesto, esta tarea no es sencilla, pero en cualquier caso, con la correcta implementación del protocolo de red en los controladores ACS, todos los métodos informáticos de protección de la información disponibles en el mercado estarán disponibles para usted.
Otro atributo indispensable, en mi opinión, de un sistema de control de acceso a la red real es la tecnología de construcción cliente-servidor. Además, aquel en el que el cliente no es una aplicación especial instalada por separado, sino un navegador web. En otras palabras, un cliente web. En los sistemas de control de acceso independientes con funcionalidad estrictamente limitada, el servidor web está integrado directamente en los propios controladores y, en el caso de sistemas de red distribuidos, se instala en un servidor dedicado. El uso de clientes web no sólo proporciona movilidad completa a los usuarios del sistema (trabajando con el sistema a través de cualquier teléfono móvil con un navegador web), sino que también permite la máxima flexibilidad para personalizar la interfaz de usuario de acuerdo con sus tareas y responsabilidades.
Además, el cliente puede ahorrar en la instalación y funcionamiento del sistema.
No hay problemas con la actualización del software: se realiza simultáneamente en todas las máquinas de la red, incluida la administración remota/sucursales. Los usuarios no tienen dificultades asociadas con la desincronización de la base de datos o entradas incorrectas en la base de datos. Los requisitos de hardware de las computadoras en las que se implementarán las estaciones de trabajo se reducen significativamente (se pueden usar clientes ligeros). La carga en la red se reduce significativamente, ya que a través de la red solo se transmite el resultado del trabajo del servidor, y no una serie de datos. No hay dependencia del sistema operativo: las aplicaciones web son servicios multiplataforma. El problema de acceder a los recursos internos de la computadora se resuelve fácilmente; todos los procesos críticos están bloqueados por herramientas estándar del sistema operativo (actualmente, en varios sistemas de control de acceso, incluso para iniciar la estación del operador, se requieren derechos de administrador).
En cuanto a la cuestión de la inseguridad del acceso al sistema a través de la interfaz web por parte de terceros, me gustaría recordarles que todas las estructuras bancarias más grandes del mundo llevan bastante tiempo ofreciendo a los clientes acceso a la gestión de sus finanzas a través de varios portales web. En consecuencia, con el enfoque adecuado, este problema se puede solucionar gracias al protocolo SSL.
También tengo que terminar mi historia con una frase trillada: no existen sistemas ideales. Tampoco es probable que se encuentren en el mercado de seguridad sistemas que cumplan plenamente con los criterios anteriores, aunque de hecho hay un par de fabricantes de ACS serios que, en la mayoría de los parámetros, cumplen con mayor precisión los requisitos especificados.
Pero cada vez que vuelva a oír hablar de un sistema de acceso IP «real», no sea perezoso en aplicar mi «plantilla» a la información recibida: le garantizo que será interesante.
Y un deseo especial para los fabricantes de sistemas de control de acceso nacionales (los extranjeros no escucharán de todos modos). Su trabajo verdaderamente merece un profundo respeto si, en medio de una crisis económica, no perdió a sus clientes e incluso encontró tiempo para leer una publicación muy valiosa sobre seguridad. Lo que pasa es que tal vez deberías tener un poco más de cuidado al resaltar las soluciones IP que has desarrollado en las campañas publicitarias. En mi opinión, todas las partes se beneficiarán de esto.
*Las características del funcionamiento del ACS utilizando varios protocolos de red se tratan en detalle en las páginas de la revista TK en el artículo del Sr. Stasenko en el número 6 de 2008.