Wiegand, OSDP, OSDP-SC, SSCP protokollok gyakorlati összehasonlítása


Wiegand, OSDP, OSDP-SC, SSCP protokollok gyakorlati összehasonlítása
A címben olvasható rövidítések a kártyaolvasók és vezérlők közti vezetékes kommunikáció szabványai. Azért született ez a cikk, mert szeretném felhívni a figyelmet a jelenleg is széles körben használt beléptető rendszerek elképesztő sebezhetőségére. Rendszeresen tartunk oktatásokat, osztunk meg videókat is a témáról, de még mindig úgy érzem, beszélhetnénk többet a sürgető problémákról.

Egy korábbi CIKKBEN bemutattam néhány nagyon egyszerű támadási módszert a gyakorlatban. Nem is kellett mást tennünk, mint rendelni az interneten néhány kis “játékszert”, és ezekkel teszteltük a beléptető rendszereket és kommunikációs protokollokat. Igyekszem röviden, gyakorlatiasan összefoglalni a tapasztalatainkat.

Wiegand-interfész
A kártyaolvasók és vezérlők közötti titkosítatlan, vezetékes kommunikáció nagyon népszerű szabványa. A 80-as évektől egészen napjainkig rendkívül gyakran használják leginkább a Wiegand olvasók alacsony ára miatt. A szakemberek körében közismert tény, hogy a technológia elavult, nem biztonságos. Egy tipikus “közbeékelődéses” támadásról rövid videót is készítettünk.


Mindezek ellenére gyakran látok olyan létesítményekben titkosítatlan, Wiegand olvasókat, ahol a személy- és vagyonbiztonság fontos szempont lenne.

OSDP (Open Supervised Device Protocol)



Az OSDP-nek sok előnyös tulajdonsága van a Wieganddal szemben. A kommunikáció RS-485 buszon zajlik, így akár 1000 méter is lehet a vezérlő és a kártyaolvasó közti távolság. A buszra akár 32 eszköz is felfűzhető és maximum 10 megabit/s sávszélességet is el lehet érni elméletileg.


Jól hangzik, de van egy probléma: Nem biztonságosabb, mint a Wiegand, mert nem titkosított!

Megnézted a videót a közbeékelődéses támadásról? Egy Mellon névre keresztelt kis eszköz ugyanarra képes az OSDP buszon, mint az ESP Key a Wiegand adatvonalon. Az OSDP-t gyakorlatilag már akkor feltörték, amikor még el sem terjedt széles körben. Cselekedni kellett, így az OSDP szabványhoz hozzáadtak egy kiegészítést, a “Secure Channel”-t.

OSDP-SC (OSDP – Secure Channel)
A Secure Channel már lehetővé tette az OSDP-alapú kommunikáció 128 bites AES titkosítását. Ezt az algoritmust helyes használat esetén lehetetlen feltörni. Az interneten kutakodva ellentmondásos információkat találtam. Bizonyos cikkek szerint az OSDP a jövő, más cikkek szerint az OSDP-SC sem elég biztonságos. Mi magunk is leteszteltük néhány közismert márka OSDP megoldásait.

A legfontosabb, amire felhívnám a figyelmed: azért, mert egy olvasó vagy vezérlő “OSDP kompatibilis”, még egyáltalán nem biztos, hogy titkosított is. Sok esetben a Secure Channel nincs is implementálva!

Azt tapasztaltuk, hogy ha implementálva is van az SC kiegészítés, alapértelmezetten nincs bekapcsolva. A vezérlő telepítési módban titkosítatlanul kommunikál, és a rendszer nem figyelmezet arra, hogy kapcsoljuk ki ezt és titkosított módra váltsunk.

Bizonyos rendszereknél ha új olvasót aktiválunk az OSDP-SC buszon, akkor a vezérlő az első kapcsolatfelvtelnél elküldi a titkosítási kulcsot az olvasónak titkosítatlanul!

Büszkék vagyunk rá, hogy Európában az elsők között valósítottuk meg a lehető legmélyebb integrációt az STid márkával, Predor rendszerben nem fordulhat elő, hogy egy SSCP kompatibilis olvasóval a vezérlő titkosítatlanul kommunikáljon.

A Predor-Stid közös megoldásában a kártyaolvasók nem tárolják a titkosítási kulcsokat, így akkor sem nyerhetők ki belőlük a titkos adatok, ha valaki leszereli a falról és ellopja az olvasót.

A Predor megoldása ráadásul a lehető legegyszerűbb átállást biztosítja titkosítatlan Wiegand rendszerről NIS2 kompatibilis, titkosított rendszerre. A titkosítás a Predor szoftverből történik néhány kattintással.

Ha kérdésed lenne vagy segítségre van szükséged, keresd a Predor support csapatát!

Összefoglalva azt tapasztaltuk, hogy az OSDP-SC biztonságos megoldás, akkor ha megfelelő vezérlőt, megfelelő kártyaolvasót választunk és a konfigurációhoz kellő szekértelemmel rendelkezünk.

A szabvány hibája, hogy nem kényszeríti ki a titkosított kommunikációt, így könnyű hibázni.

SSCP (Smart & Secure Communication Protocol)
A Predor beléptető- és munkaidő-nyilvántartó rendszert is fel kellett készítenünk, hogy teljes mértékben megfleljen a NIS2 előírásainak. Olyan innovatív technológiai partnert kerestünk, amely a legmagasabb biztonsági szintet képviseli, de mégis egyszerű konfigurációt tesz lehetővé.

A biztonságos, OSDP-SC kompatibilis kártyaolvasók címzését, konfigurációját bonyolultnak találtuk, ráadásul az OSDP-SC szabvány hiányosságai is aggasztottak minket.

Az STid által fejlesztett SSCP (Smart & Secure Communication Protocol) protokoll segítségével a teljes adatvonalon AES128-as titkosítás védi a rendszert. Ráadásul az AES128 titkosításon felül minden csomag SHA256 kriptográfiai hash függvénnyel van aláírva, így biztosítva a csomag tartalmának eredetiségét. A protokoll használható RS-485, RS-232, TCP/IP, USB adatvonalon, így rendelkezik az OSDP-SC minden előnyével.

De mit tud az SSCP szabvány, amit az OSDP-SC nem?
Az, hogy az SSCP protokoll garantálja a titkosított kommunikációt, tehát ki is kényszeríti.


Büszkék vagyunk rá, hogy Európában az elsők között valósítottuk meg a lehető legmélyebb integrációt az STid márkával, Predor rendszerben nem fordulhat elő, hogy egy SSCP kompatibilis olvasóval a vezérlő titkosítatlanul kommunikáljon.

A Predor-Stid közös megoldásában a kártyaolvasók nem tárolják a titkosítási kulcsokat, így akkor sem nyerhetők ki belőlük a titkos adatok, ha valaki leszereli a falról és ellopja az olvasót.

A Predor megoldása ráadásul a lehető legegyszerűbb átállást biztosítja titkosítatlan Wiegand rendszerről NIS2 kompatibilis, titkosított rendszerre. A titkosítás a Predor szoftverből történik néhány kattintással.

Ha kérdésed lenne vagy segítségre van szükséged, keresd a Predor support csapatát!

Banai András
ügyvezető
Leviathan Solutions Kft
Forrás: https://www.predor.hu
Tagek: beléptető

Hirdetés
hírdetés
SecuriFocus

A SecuriFocus.com Magyarország első, a biztonságvédelmi szolgáltatások piacára szakosodott online hír- és információs portálja.
www.securifocus.com

SecuriForum

A SecuriForum Biztonságtechnikai és Tűzvédelmi Kiállítás & Konferencia a SecuriFocus Kft. által szervezett rendezvény.
www.securiforum.com

Elérhetőség

SecuriFocus Kft.
1118 Budapest
Nagyszeben u. 24/A
Tel: (30) 942-2789
Email: info@securifocus.com
A jövő beléptető rendszerei: Integrált és úszókábel nélküli innovációk liftek vezérlésénél
Olvasta már?
A jövő beléptető rendszerei: Integrált és úszókábel nélküli innovációk liftek vezérlésénél