Об использовании корпоративных сетей и сетей общего пользования для организации централизованной охраны

Анатолий Илюшин, директор ООО «Охранное бюро «СОКРАТ» (г. Иркутск)

Наряду с этим ООО «Охранное бюро «СОКРАТ» (г. Иркутск) были проведены работы в части построения групповых каналов связи (ГКС) с использованием Internet-технологий, протоколов TCP/IP. Опыт адаптации систем централизованного наблюдения к цифровым каналам связи в УВО по Ставропольскому краю, Иркутской области с применением указанных методов уже был рассмотрен на страницах журнала «Охрана». Принцип работы группового канала связи системы «Приток» состоит в том, что сигналы от ретрансляторов различных СПИ обрабатываются специальными контроллерами и только после этого объединяются в один общий (групповой) канал для передачи на ПЦО. Первичная обработка данных контроллерами резко снижает трафик передачи данных на участках «ПЦО-ретранслятор». Контроллеры СПИ устанавливаются в блоки сопряжения (БС), размещаемые на АТС. Блоки сопряжения и АРМы ПЦО объединены единой корпоративной сетью ПЦО, разворачиваемой на основе сетей общего пользования. В рамках корпоративной сети обеспечивается сверхвысокая надежность и скорость передачи данных. Наряду с этими неоспоримыми преимуществами такой схемы организации централизованной охраны следует отметить, что поскольку в корпоративных сетях в силу особенностей их реализации исключено взаимодействие с публичными сетями (InterNet), то и вероятность внешних атак на сеть сведена к нулю. Эти данные подтверждаются тем, что за все время эксплуатации корпоративных сетей ПЦО (начиная с 2001 г.) в подразделениях УВО по Иркутской области, Красноярскому краю, Кемеровской области, Приморскому краю, Магаданской области, Республике Карелии, Краснодарскому краю и др. таких фактов зафиксировано не было.

Наряду с поддержкой блоков сопряжения по протоколу TC/IP, ООО «Охранное бюро «СОКРАТ» разработало ретрансляторы Приток-А (исп. -01, -02, -03), которые без дополнительных устройств могут включаться в такие сети и несколько типов коммуникаторов, обеспечивающих работу по протоколу TCP/IP ретрансляторов СПИ Фобос, Юпитер, а также объектового оборудования.

В связи с дальнейшим совершенствованием и развитием аппаратуры, программного обеспечения цифровых систем связи появились новые возможности организации закрытых каналов связи на основе сетей общего пользования, так называемых Виртуальных Частных Сетей (Virtual Private Network — VPN). В первую очередь это вызвано стремлением снизить расходы на содержание корпоративных сетей за счет более дешевого подключения пользователей через сеть InterNet. Сеть VPN, например, может объединять центральный офис организации с ее филиалами, домашних и мобильных пользователей независимо от расстояния, везде, где есть возможность (в том числе беспроводная) подключения к InterNet. Но при таком объединении возникает вопрос о том, как обеспечить безопасность передачи данных, ведь IP-адреса пользователей в этом случае являются открытыми и доступными всему миру, в отличие от адресов в корпоративных сетях. Таким образом, ответственность за обеспечение конфиденциальности передаваемой информации в VPN сетях лежит на пользователях этих сетей (спасение утопающих — дело рук самих утопающих), в отличие от сетей корпоративных, где таковая обеспечивается операторами связи.

Поэтому построение централизованной охраны с помощью сети VPN должно начинаться с решения именно этих вопросов, поскольку просчеты и недооценки вероятностей угроз атак могут обойтись слишком дорого.

Одним из способов решения этих вопросов является организация виртуальных выделенных каналов (туннелей). При организации такого канала, инициатор туннеля модифицирует (инкапсулирует) IP-пакеты локальной сети в новые IP-пакеты, содержащие свой адрес и адрес другого конца (терминатора) туннеля, который производит извлечение исходного пакета и передачу его адресату.

Таким образом, со стороны InterNet сторонний наблюдатель видит только входы в туннель (IP-адреса инициатора и терминатора туннеля). Но простого туннелирования явно недостаточно для обеспечения конфиденциальности передаваемой информации, поэтому обязательно должно быть предусмотрено шифрование передаваемых данных. В качестве алгоритмов шифрования в VPN-сетях могут использоваться протоколы PPTP, IPSec, L2F, IKE и др. Сети VPN могут строиться различными способами — с использованием межсетевых экранов, сетевых операционных систем (Windows NT, поскольку протокол PPTP интегрирован в нее) или маршрутизаторов.

На наш взгляд, в VPN сетях централизованной охраны должно применяться специализированное оборудование, такое, как, например, маршрутизаторы компании Cisco Systems.

Маршрутизаторы Cisco поддерживают протоколы шифрования IPSec, L2PT, режимы идентификации при установлении туннельных соединений и обмен ключами шифрования.

Обобщенная схема построения системы централизованной охраны с использованием оборудования системы «Приток», поддерживающего InterNet-технологии, корпоративную сеть и сеть VPN приведена на рисунке.

Основой системы является локальная сеть, объединяющая АРМы персонала ПЦО, шлюз сети VPN, базовый модуль подсистемы охраны Приток-GSM. Локальная сеть связана с корпоративной сетью ПЦО, а шлюз VPN — с сетью InterNet. В качестве шлюза ПЦО в системе применены маршрутизаторы Cisco 1841-HSEC/K9.

К корпоративной сети ПЦО подключаются:

• блоки сопряжения (АТС);
• ретрансляторы Приток-А;
• коммуникаторы Приток-TCP/IP-СПИ, к которым подключаются ретрансляторы серии Фобос, Приток-А-Ф, Юпитер, Приток-А-Ю;
• объектовые коммуникаторы для подключения различных приборов приемно-контрольных охранно-пожарных (на рисунке показан один из вариантов исполнения (-06) объектового коммуникатора Приток-TCP/IP, к которому подключаются ППКОП 011-8-1 Приток-А4(8) -05).

К сети VPN на охраняемых объектах через шлюз могут быть подключены ППКОП серии Приток (исп. -03 TCP, -01 TCP, -041 TCP) и объектовые коммуникаторы Приток-TCP/IP (исп. -06, -07, -08, -09, -010).

Для обеспечения резервного канала передачи извещений (по каналам сотовой связи стандарта GSM) на объектах охраны, подключенных к АРМ ПЦО через сеть VPN, могут устанавливаться ППКОП 01-8-1 Приток-А-4(8) вариант исп. -011.

Следует отметить, что количество поддерживаемых IP-соединений (в корпоративной сети) и туннелей (в сети VPN) ограничивается производительностью применяемого оборудования — серверов, компьютеров АРМ и маршрутизаторов.

Так, например, АРМ системы Приток на компьютере стандартной конфигурации обеспечивает поддержку до 1000 IP-соединений c ППКОП, объектовыми коммуникаторами с максимальным временем их опроса не более 5 сек.

В случае VPN-сети очевидно, что шлюз, расположенный на ПЦО должен быть гораздо производительнее объектовых шлюзов для обеспечения гарантированной поддержки количества туннелей, равного количеству объектовых шлюзов. Так, примененный в настоящее время в системе маршрутизатор Cisco 1841 стоимостью $2995 обеспечивает работу порядка 800 IPSec-туннелей. В случае увеличения количества объектов, охраняемых по сети VPN, можно установить еще один аналогичный маршрутизатор или установить более производительный.

Что касается объектовых шлюзов, то здесь могут в принципе использоваться маршрутизаторы с аналогичными функциями, но гораздо меньшей производительности и соответственно стоимости — например, DI-804 HV ($70), DFL-700 ($330), DFL-800, FVS 318EE и пр. Стоимость указанных моделей лежит в ценовом диапазоне $70-330.

При выборе оборудования необходимо учитывать возможную несовместимость аппаратуры разных производителей в части процедур настройки туннельных соединений, автоматического обмена ключами шифрования и поддержки различных алгоритмов шифрования.

Нельзя не отметить и такую проблему VPN сетей (являющейся следствием организации их на базе сети Internet), как отсутствие гарантированной доставки извещений в пределах интервала времени, определяемого требованиями к системам передачи извещений, что впрочем решается организацией резервного канала передачи (например, по каналу сотовой связи).

VPN-сеть может быть организована и с использованием так называемых приватных адресов, когда устройствам, подключаемым к какому-либо маршрутизатору (например, находящемуся у оператора связи) присваиваются IP-адреса из адресных блоков 192.168.0.0 или 169.254.0.0. В этом случае к маршрутизатору подключается дополнительный сервер, который обрабатывает данные, приходящие от устройств с приватными адресами и организовывает туннель на ПЦО. В этом случае отпадает необходимость установки шлюзов на объектах охраны, достаточно иметь один, работающий в блоке приватных адресов данного маршрутизатора.

В заключение хотелось бы обратить особое внимание на следующие моменты.

Если использование корпоративных IP-сетей от ПЦО до объекта — состоявшееся решение, подтвержденное многолетним опытом эксплуатации, то сети VPN — только начало пути.

Поэтому организацию централизованной охраны с использованием таких сетей, несмотря на их привлекательность, необходимо проводить с особой осторожностью.

Определенный опыт работы в этом направлении показал:

• недопустимо подключение приборов охранно-пожарной сигнализации непосредственно к сети общего пользования из-за возможности имитации их работы извне, т.е. непосредственно через сеть;
• в целях исключения организации атак на ПЦО со стороны терминатора туннеля, на объекте к шлюзу должно быть подключено только охранное оборудование;
• учитывая, что сети общего пользования не гарантируют доставки извещений в пределах интервала времени, определенного требованиями к системам передачи извещений, необходимо предусматривать их резервирование другими каналами передачи информации (автодозвон, сотовая связь и т.п.)