Информация

Дата основания
Местоположение
Россия
Сайт
www.sigrand.com
Численность
11–30 человек
Дата регистрации

Блог на Хабре

Обновить
Комментарии 69
Продукция заинтересовала. Вопрос к производителю: предоставляет полный набор продуктов для организации видео наблюдения, включая ПО?
Хотелось бы еще узнать актуальные цены. Все ПО, как я понял, у вас OpenSource?
Да все ПО свободное,
цена лучше запросить на sales@sigrand.ru
Да, то же интересует ПО. А так же поподробней о коммутаторе и если не трудно примеры видео (и ночную съемку с подсветкой)
По поводу ПО скоро сделаем отдельную статью пока можно качать и ставить с
github.com/sigrand/OpenNVR.
Все наши камеры можно смотреть онлайн 192.168.2.84:8080/moment/
и днем и ночью
лестница явно от «диадемы» или «квесты»? не помню, давно в шараш-конторах не закупался…
ага мы вместе с Диадемой сидим
Ой, а они еще живы? Тогда они пережили большинство контор моего детства :) и теряют право называться шараш-конторой :)
Есть почти-стандарт UPoE, 60вт на порт. Свитчам вендора, который такое умеет, как-то больше доверия, чем вашим. Не планируется выпуск соответствующих камер под эту технологию или добавление поддержки в существующие?

— 6 портов 10/100BASE-T, Passive PoE+ (до 60 Вт в режиме 4-х портов или до 60 Вт в режиме 4-х портов)

Не понял.

Вообще, вариации на тему passive PoE неплохо умеют жечь порты оборудования, которое не поддерживает это дело и было нечаянно воткнуто в инжектор…
У нас есть проверка на короткое замыкание, как правило этого хватает, чтобы не спалить большинство устройств.
Исправили ошибку, спасибо (до 60 Вт в режиме 4-х портов или до 40 Вт в режиме 6-ти портов)
UPoE это судя по всему по двум парам питание идет, и все это будет дороже,
а мы не хотим удорожания и вряд ли будем в ближайшее время поддерживать эту технологию.
Там в любом случае питание идет в том числе по тем же парам, что и данные, что, конечно, может удорожить схемотехнику по сравнению с довольно безмозглой передачей питания по двум ранее незадействованным парам.
Мы не сможем применить эту технологию для последовательного подключения камер в цепочку,
а как оказалась это очень полезная фишка.
Какую не сможете? UPoE? Есть свитчи, умеющие питаться от него и дополнительно кормить стандартными 16вт подключенные к ним устройства, так что задача вполне реализуема. Но, опять же, что дороже выйдет по сравнению с passive PoE — спору нет.
Ага все дороже, а реального преимущества нет.
А купольных PTZ- камер нет и не намечается?
меня всегда интересовал вопрос: что будет, если в камеру посветить лазером на 500-800мВт более-менее продолжительное время?
Не пробовали, но и так понятно что ничего хорошего не будет даже с меньшей мощностью.
У меня данная конструкция вызывает некоторые сомнения по поводу безопасности
Wifi антенна, торчащая из камеры снизу
image
открутят и нет связи и нет видео.
Так и с верху и с боку тоже открутят.
ну да, но при установке в публичных местах антенн не напасешься. Антивандальные камеры у вас есть?
Антивандальных нет, но конструкция очень крепкая разбить можно только стекло,
как в прочем у любой антивандальной.
А сколько времени WiFi камера может работать непрерывно? Какие аккумуляторы используются? И еще, на сколько устойчива камера к разрывам соединения на wifi роутере?
В камере нет аккумуляторов, питание получается по PoE, может работать как клиент если нет соединения по ethernet
или как точка доступа если есть ethernet. По поводу разрывов соединения, все разумеется зависит от расстояния,
надо тестировать.
Хмм, а как на практике происходит монтаж камер которые работают через PoE? Предлагается сверлить стену или стеклопакет?
Извините не совсем понял вопрос.
Вроде ни у кого не вызывало проблемы с монтажом.
Вопрос такой: если я хочу поставить такую камеру, мне надо делать дырку в доме, так?
Если на улице нет питания то придется делать.
дырку можно и не делать, запитавшись от освещения двора. Но оно не всегда 24 часа работает. А сигнал по радиоканалу отправлять.
Скажите, а как технически выходит, что можно подключать камеры последовательно? в каждой из них свой мини-роутер?
тупой или полоумный (своё внутрь, не своё дальше) хаб.
сейчас настолько это подешевело?
как у него с mac flood'ом?
Не сталкивались еще с этим.
Чип вроде не совсем тупой,
в крайнем случаем позволят задать руками
не обновляемую таблицу mac адресов.
понятно, камеры выставлять в общую сеть нельзя.
они как правило всегда во внутренней стоят,
сейчас подняли на них openvpn можно
спокойно цеплять хоть куда
я про то, что даже во внутренней нельзя оставлять — что с ней будет в случае шторма большой вопрос; или если вася кулхацкер попробует макфлудом врубить броадкаст. так что только в VPN… хотя, я подозреваю, vpn оно не умеет, так что провод должен идти к камерам отдельный и в отдельной сети/vpn уровнем коммутатора следующего.
если вася кулхацкер попробует макфлудом врубить броадкаст

1) Традиционно принято размещать подобное безопасниковское оборудование в отдельных VLAN'ах. Даже простой доступ Васи к камере по маршрутизируемому TCP нежелателен — мало ли какие там дыры и баги?
2) Вопреки распространенному мнению, переполнение таблицы MAC адресов не превращает свитч в хаб. Новые адреса учиться не будут, это да, а старые никуда не денутся, если камера шлет хотя бы по одному пакету за интервал експайринга записей. Каждый пакет сбрасывает счетчик для записи в таблице. Если камера непрерывно передает поток на сервер, то из CAM таблицы она не пропадет никогда. Разве что если свитч перезагрузится, и Вася успеет переполнить его до того, как камера пошлет первый пакет.
3) Камеры и свитчи под них и так будут физически изолированы. И к их свитчам нельзя подключать ничего кроме камер — сгорит (выше говорят обратное, но недостаточно уверенно).
> Даже простой доступ Васи к камере по маршрутизируемому TCP нежелателен — мало ли какие там дыры и баги?
это поведение прошлого века. в современном мире умных вещей, всё может быть подключено напрямую в публичную сеть.

> Вопреки распространенному мнению
подтверждённому опытом

> переполнение таблицы MAC адресов не превращает свитч в хаб
тот чип, который стоит в камере именно так делает? проверяли?

> Камеры и свитчи под них и так будут физически изолированы.
ну как минимум маршрутизатор предыдущего уровня к нему должен спокойно подключаться ;)
в современном мире умных вещей, всё может быть подключено напрямую в публичную сеть.

Да? Файрволы не нужны? Ну давайте высунем сервера баз данных голой задницей в интернет. Вы, наверное, часто предлагаете такое клиентам?
подтверждённому опытом

Значит, это был некорректно проведенный опыт.
тот чип, который стоит в камере именно так делает?

Это типичное поведение всех распространенных чипов. Принцип действия следующий:
1) Посмотреть mac адрес отправителя полученного пакета.
2) Выполнить запрос в CAM таблицу. Если запись есть, то сбросить для нее таймер. Если записи нет, то добавить. Если места не осталось, то не добавлять.
Эта логика реализована аппаратно, даже от багов в софте особо не зависит. Нет ни одной причины сбрасывать все имеющиеся записи при превышении таблицы, а вы утверждаете, что именно это и происходит.
ну как минимум маршрутизатор предыдущего уровня к нему должен спокойно подключаться

А еще маршрутизатор первого хопа должен знать, что на интерфейсе в сторону камеры надо использовать отдельный 802.1q тег, и что к пакету в сторону этого интерфейса надо применить ACL (хотя бы так).
Немало камер монтируется методом «прикрутил камеру к столбу, воткнул в камеру usb свисток».
Есть камеры с wifi — тут вообще, я думаю, не стоит объяснять, что она фактически смотрит на улицу.

> Это типичное поведение всех распространенных чипов.
я рад, что этот баг пофикшен в основном. чип, стоящий в камере, тестировали?

кстати, учитывая passthru, после монтажа на последней камере есть еще один порт, куда можно физически подключиться и оказаться в той же LAN/VLAN что и все камеры цепочки…
Я думаю порт можно зашатдаунить. Вопрос, вы всё коммутационное оборудование тестируете на переполнение таблицы коммутации?
а вот такой опции в админке не вижу. есть только «IP spoofing protection».
нет, не тестирую. я же не производитель железа.
Немало камер монтируется методом «прикрутил камеру к столбу, воткнул в камеру usb свисток».

А USB свисток смотрит в отдельный VRF внутри сети оператора вместо интернета, имеет назначенный владельцем камеры приватный адрес без всяких NATов на пути от провайдерской до внутренней сети, и трафик с него нигде не пересекается с интернетовским? Только так можно делать. Если, конечно, организацию хоть немного заботит вопрос безопасности и камеры нужны ей не только «для галочки». У нас например установка IP камер весьма серьезно обсуждалась с безопасниками с сетевой точки зрения, много чего сделано, чтобы была полная изоляция от остальной сети и защищенность от большинства видов атак.
Есть камеры с wifi — тут вообще, я думаю, не стоит объяснять, что она фактически смотрит на улицу.

Как все плохо-то :)
WPA2/AES с 802.1x и EAP-TLS, а также без ошибок со стороны администратора, безопасен почти как витая пара. За АНБ не поручусь, но никто не из спецслужб такое не проломит даже если будет долбиться всю жизнь. Но учитывая ваше предложение полностью отказаться от файрволов, я верю, что вы используете WEP.
я рад, что этот баг пофикшен в основном

Еще раз: это не баг, а некорректное тестирование с вашей стороны. Вы скорее всего нарушили правило «не менее одного пакета за expiry time».
после монтажа на последней камере есть еще один порт, куда можно физически подключиться и оказаться в той же LAN/VLAN что и все камеры цепочки…

А это безусловно может быть дырищей. Еще можно крокодилами прицепиться к любому перегону кабеля.
> А USB свисток смотрит в отдельный VRF внутри сети оператора вместо интернета
Нет, простоая ёта. Дальше openvpn и поток по tcp. :D

> У нас например установка IP камер весьма серьезно обсуждалась с безопасниками с сетевой точки зрения,
Это правильный подход, тут вы молодцы. Но у большинства нет безопасников — полагаются только на производителя.

> Но учитывая ваше предложение полностью отказаться от файрволов,
Прошу процитировать меня.

> Еще раз: это не баг, а некорректное тестирование с вашей стороны.
> Вы скорее всего нарушили правило «не менее одного пакета за expiry time».
Возможно. Но перехватывать поток с компа занимающимся стримингом удавалось. Либо expiry time слишком короткий, либо не знаю что.

> Еще можно крокодилами прицепиться к любому перегону кабеля.
А крокодил на UTP разве не readonly?
Дальше openvpn и поток по tcp

То есть доступа к камере снаружи нет. Хотя все-таки засовывание в отдельный VRF надежнее будет.
Прошу процитировать меня.

Цитирую: «в современном мире умных вещей, всё может быть подключено напрямую в публичную сеть». Понимается однозначно. По мне, нет разницы между прямым доступом снаружи к камерам безопасникам и серверам видеонаблюдения/СКУД, и прямым доступам снаружи к серверам баз данных. Вы ведь понимаете, что обычно даже размещение камер видеонаблюдения и их ориентация в пространстве является конфиденциальной информацией?
Но перехватывать поток с компа занимающимся стримингом удавалось.

Жду полное описание эксперимента с указанием моделей сетевого оборудования и топологии.
А крокодил на UTP разве не readonly?

А как устроен давно вымерший мамонт под названием «хаб»? Ну и там, где можно зацепиться крокодилом, можно и свой свитч на три порта поставить.
Я не зря просил меня процитировать — но вы даже тогда не заметили, что сказал я СОВСЕМ не то же, что вы «понимаете однозначно».
У вас проф.деформация корпоративного уровня, а я говорю сейчас про контекст SOHO. Вы же абсолютно правы, но в своём контексте.
То есть IP камера видеонаблюдения вдруг из вполне типичного корпоративного девайса превратилась в нечто хомячковое? В случае SOHO безопасность не нужна вообще? Тогда зачем вообще ставить камеру?

Предлагаю Sigrand назначить bounty хотя бы в $1000 за программное нарушение работоспособности их опубликованных в интернет камер. Интересно, сколько минут продержатся :)
Видеонаблюдение — не только вопрос безопасности, но так же и присмотра за продавцами, например. Она универсальна, и не ограничивается банками.
В случае SOHO безопасность нужна, но на другом уровне. Нужен не bullet-proof решение, нужно решение, покрывающее текущие задачи бизнеса, и не привносящие новые головные боли.
Необходимость прокладки второй сети и замены оборудования для обеспечения работоспособности камер — это плохое решение.
Кстати, это камень не только про безопасность, но и про галюны работы большинства IP камер по TCP.

> Интересно, сколько минут продержатся :)
Думаю, не меньше часа — надо же людям прочитать про акцию :)
Видеонаблюдение — не только вопрос безопасности, но так же и присмотра за продавцами, например.

А продавец, опять же, был бы рад, если бы камера взяла и перестала работать. И все равно это сводится в итоге к безопасности (бизнеса).
Необходимость прокладки второй сети и замены оборудования для обеспечения работоспособности камер — это плохое решение.

Но именно это решение и рекомендовано производителем. Хотя не совсем. Заменять не надо, надо докупать.
> Но именно это решение и рекомендовано производителем.
С этого всё и началось. Производитель свешивает свои проблемы на плечи покупателя — это подход прошлого века.
Какие еще проблемы?

Варианты организации питания камер:
1) Упомянутый выше UPoE, чтобы не покупать новое оборудование. Но проблема: свитч с UPoE может стоить как все расходы мелкий фирмы на IT за десять лет.
2) Какая-то дешевая вариация PoE.
3) Тянуть параллельно витую пару и кабель питания.

Первые два варианта мне нравятся больше третьего. Вот третий — точно подход прошлого века. А что такого устаревшего в первых двух — не пойму. Тем более не пойму, про какие такие проблемы идет речь.
WPA2/AES с 802.1x и EAP-TLS, а также без ошибок со стороны администратора, безопасен почти как витая пара.


не совсем. витую пару без физического доступа сложно сделать неработоспособной, в отличие от wifi-сети.
Разумеется. Потому безопасниковские камеры видеонаблюдения подключают кабелями, несмотря на удобство беспроводной связи.
Кабелем подключают потому как по нему гораздо надежнее сигнал передавать чем по воздуху.
О том и речь. Иначе сценарий из любого шпионского фильма «достал из кармана маленький прибор, нажал кнопку, и все камеры вокруг отключились» станет реальностью.
ну оно и с кабелем возможно. только надо чтоб кардиостимулятора не стояло, и, на всякий случай, не было колец, пирсинга, штифтов и металлических зубов…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.