Беспроводная сеть на особо охраняемом и особо экранированном фармзаводе кое-где в России +85




Началось всё с того, что нас обыскали и переодели. Потом, на выходе из обследуемого помещения, раздели и помыли. Потому что мы могли обсыпаться одним из веществ, которые использует завод, а потом вынести его на коже. Или слизать друг с друга, я не знаю.

Вторым сюрпризом было то, что это же помещение и ещё ряд критичных «чистых зон» были обшиты шикарной плитой PARTECO. Это специальная плита со взрывозащитными и химзащитными свойствами. 4,5 сантиметра композитных материалов, из которых 20 (!) миллиметров — отлично экранирующий алюминий. Для сравнения: бронежилеты для защиты от пулемётов и снайперских винтовок начинаются с пластин толщиной 8 мм.

Через такую плиту из излучений может пробиться аэропортовский радар, но не Wi-Fi-сеть. Дверь такая же. Окон нет. Швов нет — предполагаются перепады давления.

В этих условиях мы были уже, кажется, шестыми, кто приходил на радиообследование. Предыдущие пять контрагентов (в том числе производители Wi-Fi-оборудования) клали свою самую мощную излучающую антенну на плиту, врубали максимум, делали замер в комнате, пожимали плечами и уходили.

Но мы очень упорные. И весьма коварные.

Про упорность


На радиообследовании выявлено три зоны: офис (плотное покрытие, интерференции), склад (про него дальше, там своя атмосфера) и производство. На производстве есть несколько помещений, которые обшиты вот этой волшебной «бронеплитой». На деле она нужна для предотвращения биологических и химических угроз.

Над почти всем производством есть технический этаж (что-то типа фальшпотолка), по которому можно ходить. Там размещается разное оборудование. Предполагалось, что мы разместим там свои точки доступа и будем направленным усилием воли пробивать плиту в эти закрытые помещения.

Естественно, те, кто пытался делать это до нас, использовали мощные антенны и нарывались на то, что:

  1. Даже мощная антенна своим сигналом не пробивает плиту.
  2. Ответное оборудование (слабое) уж точно не пробивает плиту, когда отправляет данные из комнаты.
  3. На техэтаже царит такая интерференция, что можно снимать документальный фильм «Кошмары связиста».

Как я говорил, мы очень коварные. Поэтому мы предложили просверлить плиту и смонтировать туда антенну в специальном герметике, «приближенном к боевому». Нам, понятное дело, сразу отказали. Но мы обратили внимание на вводы питающего кабеля, на монтаж датчиков пожарной сигнализации и на монтаж видеонаблюдения — там точно так же защищённые устройства и пуленепробиваемый герметик. После довольно долгих согласований нам пошли навстречу. Надо сказать, что мы делали для этого заказчика телефонию, локальную сеть и оснащали ЦОД, поэтому кредит доверия инженерам уже был.

Монтаж на производстве


Вот запотолочное пространство:



Да! Помимо распространения сигнала, были жёсткие требования к тому, что все металлизированные помещения регулярно чистятся. Человек приходит с мойкой и под давлением просто всё моет.

В общем, в этих самых суперпомещениях решили делать так:



Получилось вот так внутри помещения:



При монтаже точек важно было не нарушить герметизацию помещения, т. к. в лабораторных помещениях искусственно нагнетается давление, чтобы при открывании дверей воздух только выходил из помещений и внутрь не попадал загрязнённый воздух. Есть даже есть целый НФ-рассказ про этот эффект чистой зоны в ЦОДах, где по всей планете спаслись только админы. Так вот, у нас по тестам всё нормально. Фармацевты тоже спасутся.

Само устройство — на фото в начале поста.

На остальной части производства прошло без приключений. Были ещё особенные точки, где хранились взрывоопасные вещества. Там обособленное здание, где хранились опасные соединения. Предъявлялись требования к индустриальным точкам. Одна из них на картинке сверху.

Офис


В офисе всё относительно стандартно. Но плотность потребителей и тот факт, что у них много мобильных терминалов, заставили нас уделить особое внимание радиообследованию. В итоге мы смоделировали оптимальную плотность точек. Цисковские точки для офиса умеют отлично видеть друг друга и не мешать, плюс в них массив антенн, так что точка в итоге умеет направлять диаграмму направленности на потребителей.

Если бы повтыкали больше точек, была бы соканальная интерференция и снижение скоростей, сбои, реконнекты и прочие радости жизни. Меньше скорость.

Натыкали бы меньше точек, были бы непокрытые углы помещений.

Вот радиообследование:



А вот часть нагрузочного тестирования:



Склад


Склад на момент тестирования был пустой:



Но мы узнали, что они там собираются хранить, — и да, это готовая продукция. То есть таблетки. Сами по себе таблетки почти радиопрозрачны, но вот их блистеры — это фольга. То есть если вы посмотрите на картинку, то увидите не просто поглощатели сигнала, а самые настоящие безэховые камеры: они имеют похожую архитектуру. В них ещё тестируют радиотерминалы.

Поэтому наше решение — направленные антенны в проходах сверху.

Вот такие:





Приходилось нанимать высотников, вешать. Основные сложности были с монтажом, надо было альпинистов привлекать. Мы пробовали собирать туру, вешать точку, двигать и т. п. Это оказалось очень долго. Высотники-альпинисты делали быстро. Обслуживать тоже будут с их помощью, скорее всего, но по этим точкам очень хорошая статистика работы без отказа.

Итог


  • Точки: AP2802E — 286 шт., AP3802E — 16 шт., IW3702E — 6 шт.
  • Антенны: ANT2524V4C — 250 шт., ANT2524DW — 80 шт., ANT2566P4W — 32 шт., ANT2547VG-N — 24 шт.
  • Два контроллера Cisco WLC 5520 в отказоустойчивом кластере.
  • Система управления и мониторинга Cisco Prime Infrastructure.
  • Система предотвращения вторжений в БЛВС Cisco WIPS на базе Cisco MSE.



Зачем сеть? Офис — просто и понятно: мобильные устройства, почта. Склад — это учёт товара на поступление, терминалы сбора данных: регистрируют перемещения, приход и уход. Как только они перемещают вещество со склада на производство, сразу надо проконтролировать. Ушло со склада — сразу запись. Всё это через сеть, требует Wi-Fi. На производстве по нормативам всё фармоборудование должно иметь подключение к сети, чтобы передавать информацию о том, сколько таблеток и с каким составом сделано. Это требование регулятора.

С 2018 года в России вступит в действие постановление, обязывающее фармацевтов предоставлять потребителям всю информацию о медикаментах — подлинность, срок годности, место производства, данные компании, состав, конкретную серию препарата, уникальный код отдельной пачки. Узнать эти данные можно путём простого считывания штрих-кода, расположенного прямо на упаковке. Также, считав штрих-код, фармацевт может легко проверить, сколько препаратов в наличии в аптеке, сколько продано и пр.

Горизонтальная разводка сделана медью, всё это на кроссовую этажа, дальше звезда. Кабель от провайдера — оптика. Провайдера два. ЛВС проектировалась целиком, оборудование закупалось тоже сразу одной итерацией.

Сейчас всё это штатно эксплуатируется.

Оборудование


Циско — корпоративный стандарт заказчика, при возможности сверления плиты выбор уже не стоял, поэтому вся инфраструктура сразу на них.

В качестве беспроводных точек доступа используются три модели: Cisco Aironet 2802E, Cisco Aironet 3802E и Cisco Aironet IW3702-2E. Внешние антенны, оба диапазона:



Для мест повышенной концентрации пользователей используются Cisco Aironet 3802. Они IEEE 802.11a/b/g/n/ac (Wave 2), имеют MU-MIMO 4x4 с тремя пространственными потоками, поддерживают технологии MRC и Cisco ClientLink 4.0, имеют интегрированный анализатор спектра (технология CleanAir).

В местах установки точек доступа с агрессивной и взрывоопасной средой используются Cisco Aironet IW3702, обладающие классом защиты IP67 и диапазоном рабочих температур от -40°C до 70°C:


Внешний вид точки доступа Cisco Aironet IW3702

Подключение точек доступа к ЛВС производится по каналам 1000Base-TX через коммутаторы уровня доступа ЛВС. Питание точек доступа осуществляется данными коммутаторами по технологии питания через неэкранированную витую пару IEEE 802.3at (PoE+).

В качестве внешних антенн для точек доступа Cisco Aironet 2802E и 3802E используются всенаправленные AIR-ANT2524DW-R= или AIR-ANT2524V4C-R= и секторные AIR-ANT2566P4W-R=. В качестве внешних антенн для точек доступа Cisco Aironet IW3702-2E используются всенаправленные AIR-ANT2547VG-N. Все модели используемых точек доступа и антенн работают в диапазонах частот 2,4 и 5 ГГц.

Внешний вид антенны AIR-ANT2524V4C-R=:



Характеристики антенны AIR-ANT2524V4C-R=. Тип антенны: патч-антенна всенаправленная, коэффициент усиления антенны на 2,4 ГГц: 2 dBi, коэффициент усиления антенны на 5 ГГц: 4 dBi, ширина луча на 3dB в азимутальной плоскости для 2,4 и 5 ГГц: всенаправленный, ширина луча на 3dB в угломестной плоскости для 2,4 ГГц: 69°, ширина луча на 3dB в угломестной плоскости для 5 ГГц: 60°.

Внешний вид антенны AIR-ANT2566P4W-R=:



Характеристики антенны AIR-ANT2566P4W-R=. Патч-антенна направленная, коэффициент усиления антенны на 2,4 ГГц: 6 dBi, коэффициент усиления антенны на 5 ГГц: 6 dBi, ширина луча на 3dB в азимутальной плоскости для 2,4 ГГц: 105°, ширина луча на 3dB в азимутальной плоскости для 5 ГГц: 110°, ширина луча на 3dB в угломестной плоскости для 2,4 ГГц: 65°, ширина луча на 3dB в угломестной плоскости для 5 ГГц: 55°.

Диаграммы направленности антенны AIR-ANT2566P4W-R=:



Управление точками доступа выполняется кластером из двух контроллеров беспроводной сети Cisco Wireless LAN Controller 5520. Управление точками доступа — по открытому протоколу CAPWAP (RFC5415). Точкам доступа в такой архитектуре отводятся лишь функции подключения беспроводных клиентских устройств и шифрование передаваемых данных на канальном уровне.



Недостаток в том, что отказ контроллера приводит к выходу из строя всей беспроводной сети. По этой причине осуществляется резервирование контроллеров. Контроллеры объединены в отказоустойчивый кластер. В случае отказа основного контроллера точки доступа переходят под управление резервного контроллера без разрыва сессии пользователей.

На основном контроллере установлена лицензия на управление 300 точками доступа. В случае отказа основного контроллера данная лицензия активируется на резервном контроллере, что не требует покупки отдельных лицензий для резервного контроллера. С ростом беспроводной сети количество точек доступа, поддерживаемых кластером контроллеров, может быть расширено лицензиями до 1500.

Централизованное управление и мониторинг устройств БЛВС сделаны с помощью системы Prime Infrastructure, устанавливаемой на виртуальный сервер на базе VMware ESXi. Это для обнаружения и локализации неисправностей оборудования в сети, получения статистической информации о функционировании всей сети или отдельных её компонентов. Она же позволяет реконфигурировать сеть из одной консоли.

Ссылки

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (80):

  1. REPISOT
    /#18814675 / +1

    по всей планете спаслись только админы. Так вот, у нас по тестам всё нормально. Фармацевты тоже спасутся.
    Админы спаслись, потому, что они там живут, рядом с сервером. А фармацевты только на работу приходят.

    • mikhailian
      /#18814791

      А что за НФ рассказ-то?

      • mistergrim
        /#18814843 / +2

        Кори Доктороу — «когда сисадмины правили Землей» (полагаю)

        • arthi7471
          /#18815439 / +2

          Мы и сейчас правим. Бойцы невидимого фронта.

          • AmberSP
            /#18816275 / +15

            Пока электрик разрешает

            • barbaris76
              /#18817523 / +1

              Чёт анекдот вспомнился: «А у нас в дурдоме кто с утра раньше всех халат успеет надеть — тот и главврач».

            • hzs
              /#18818497 / +1

              Электрику ой как далеко от уборщицы, имеющей ключи от серверной.

          • achekalin
            /#18816277 / +2

            “You’re not a fucking doctor,” she said,… “You’re a goddamned systems administrator.”
            ©

          • Voiddancer
            /#18817175

            Рассказ расставляет всё по местам.

      • Svyato
        /#18815309 / +2

        When Sysadmins Ruled the Earth, вроде бы.

  2. Aquahawk
    /#18814753

    Забавно что в чистом помещении висят обычные армстронги и такая пылища в запотолочном пространстве.

  3. dirkar
    /#18814775 / +2

    Нам разрешили сверлить дырки, поэтому мы круче, чем 5 предыдущих, которым не разрешили.
    Ниочем.

    • TimsTims
      /#18814827 / +1

      поэтому мы круче
      Потому-что они упоротые упорнее, чем предыдущие 5 которые забили и не проявили смекалку (дырки то уже имеются), и не проявили тактику убеждения (с безопасниками общаться надо уметь).

      • K0styan
        /#18814881

        Надо сказать, что мы делали для этого заказчика телефонию, локальную сеть и оснащали ЦОД

        Сюда же…

        • TimsTims
          /#18815991 / +1

          Не виноватая я, он сам пришел!
          К Кроку всё-же не сразу пришли, значит шанс был и у остальных. Я бы тоже вместе с вами возмущался, если бы этим отказали, а кроку сразу всё разрешили, но даже им (читай по-вашему: «своим») отказывали, и пришлось бодаться.

    • SchmeL
      /#18820023

      Ну вот серьезно, исходя из собственной практики общения с подобными заказчиками и исполнителями. Крупное гос. учереждение, госзакупка на хорошенькую сумму теперь. Как допустить «правильного» поставщика — правильно, отсеять предыдущих. Как? А просто, мешать им так, чтобы они сами ушли, всячески вставляя палки в колеса, а потом остается единственный поставщик, который за большую сумму делает контракт. Которому, уже можно сверлить в правильных местах, менять тех. условия и тп. Почему? Да потому, что

      Надо сказать, что мы делали для этого заказчика телефонию, локальную сеть и оснащали ЦОД

      Рад буду, если это не так, но наши реалии таковы, что стоит один раз договориться с «правильным» поставщиком и все контракты будут идти через него, а потом говорить, что другие рукожопы, а вот эти молодцы…

      • Barbaresk
        /#18821959

        А еще тут простор для откатов…

  4. igruh
    /#18814809

    но вот их блистеры — это фольга. То есть если вы посмотрите на картинку, то увидите не просто поглощатели сигнала, а самые настоящие безэховые камеры
    Тут у меня приключился разрыв шаблона — как алюминиевая фольга из идеального отражателя превратилась в идеальный поглотитель? Безэховая камера — штука крайне непростая в изготовлении, т.к. отражают не только металлы, но и диэлектрики. Именно поэтому приходится формировать из поглотителей уголковые структуры, наращивать толщину заметно больше длины волны и использовать пористые материалы.

    • MKazakov_croc
      /#18815033

      Идеальный искажатель, скорее. Много параллельных пластинок отражателя, проложенные поглотителями. Почти схема безэховой камеры, но из немного другого материала

      • igruh
        /#18815455 / +4

        Позволю себе снова Вас процитировать:

        Сами по себе таблетки почти радиопрозрачны
        Каким образом это будет безэховой камерой? Это сотовая насадка, в которую всё войдёт, отразится от чего-то на торце и выйдет обратно. Вы явно бросаетесь словами.

      • Dius79
        /#18815489 / +6

        При всем уважении, ничего общего с безэховой камерой нет.

        • Zwerg
          /#18816625 / +2

          Как я понимаю — идея была в том, что там много блистеров, которые лежат друг на друге. Сигнал попадая между блистерами будет многократно отражаться и постепенно затухать, что схоже с принципом действия безэховой камеры.

          Просьба к разбирающимся в физике процесса пояснить — будет ли иметь место такой эффект для wifi сигнала?

          • Dius79
            /#18818761

            Не знаю, читают ли комментарии на следующий день, но тем не менее отвечу. В безэховой камере смысл в том, чтобы во-первых, исключить влияние извне, во-вторых убрать переотражения внутри помещения, т.е. либо изучать прямое излучение, либо дифракцию на каком-то предмете без паразитных излучений. Блистеры, безусловно, внесут искажения в сигнал, и да, ослабят его. Но проблема в том, что это будет происходить бессистемно, случайным образом, т.к. расположены они будут неоднородно. При длинах волны 12.5 и 6 см для 2.4 и 5 ГГц соответственно между коробками тупо будут щели, через которые сигнал будет проникать. Но главная, проблема — это, повторюсь, бессистемность и случайное распространение сигнала. Поэтому с безэховой камерой ничего общего и нет. Хотя сам принцип обеспечения связи на складе — абсолютно верный.

    • geisha
      /#18816895 / +3

      Тут у меня приключился разрыв шаблона — как алюминиевая фольга из идеального отражателя превратилась в идеальный поглотитель?
      Рецепт абсолютно черного тела: берешь любой материал и делаешь из него большую-большую сферу, в которой делаешь маленькую-маленькую дырочку. Свет, попавший внутрь, поглотится и рассеится, но не отразится.

  5. ionicman
    /#18814875 / -1

    А может быть это не очень правильно — делать то, что легко поддается утечке и уязвимо там, где этого допускать нельзя?

    Может не нужен был Wi-Fi вообще? — но Вы прогнули договорились и насверлили дырок (хотя можно было даже и с вифи сделать без новых) — вместо того, чтобы подумать как сделать правильней — настоящий ИНТЕГРАТОР :D

    Ибо после этого всего данное помещение смотрится с т.з. информационной безопасности как банковский сейф без двери.

    • Am0ralist
      /#18814941

      Если судить из статьи, то вайфай хотела сама контора со своими безопасниками, которые сами решают вопросы безопасности.
      Но у меня есть куча вопросов к вам:
      Как будет уязвим вайфай в коробке, в которую извне не пробиться и так?
      Какие угрозы безопасности возникают от вайфая в ЧИСТОЙ комнате, где происходит синтез какой-нибудь? Или где хранятся взрывоопасные вещества?
      Ах да, и как же «можно было даже и с вифи сделать без новых», если минимум 6 контор не придумали как это сделать?
      И это далеко не полный список.

      • ionicman
        /#18815021

        Если обращаются к профессионалам, то те не только выполняют то «что хочет клиент» но и объясняют все плюсы и минусы и предлагают альтернативы. Правда к интеграторам это обычно не относится, увы.

        Как будет уязвим вайфай в коробке, в которую извне не пробиться и так?

        С радио-излучением проблема также, как и с водой — если вдруг хоть где-то нарушится «герметичность» — протечет. Это может произойти там, где никто даже внимание не обратит и по абсолютно дурацкой причине — грунт усел — и стенку здания чуток повело — появилась трещина под армстронгом где-то; дырку не полностью залили герметиком и т.д. (это так, не вдаваясь в подробности что там и как, и с чем сталкивался) — но это будет утечка, которой можно будет воспользоваться. Знаете, есть такое правило Мерфи — «Если что-то может случится — оно обязательно случается». По-этому иногда не следует применять даже хорошие технологии, но которые могут стать источником проблем.

        Как будет уязвим вайфай в коробке, в которую извне не пробиться и так?

        Я нигде не писал про угрозы внутри комнаты, основные угрозы здесь находятся снаружи, однако сеть, построенная на радиоканале может быть гораздо проще использована злоумышленником при попадании его в зону ее действия. Подключится к кабелю быстро и не вызывая подозрений крайне проблематично, к радиоканалу-же легко.

        можно было даже и с вифи сделать без новых

        Можно вполне, но не так легко. Например можно использовать уже заведенные кабели.
        Можно передать и через саму пластину — например используя эффект волнового резонанса — ничего сверлить не надо будет, плита из металла идеальна для этого.

        Еще раз — радиоканал в жестко охраняемых объектах недопустим. Это не мое мнение — почитайте соответствующую литературу.

        • Am0ralist
          /#18815147 / +4

          Если обращаются к профессионалам, то те не только выполняют то «что хочет клиент» но и объясняют все плюсы и минусы и предлагают альтернативы. Правда к интеграторам это обычно не относится, увы.
          Знаете, по хорошему, такие слова называются клеветой. Ну если не подкреплены документальными свидетельствами.
          С радио-излучением проблема также, как и с водой — если вдруг хоть где-то нарушится «герметичность» — протечет. Это может произойти там, где никто даже внимание не обратит и по абсолютно дурацкой причине — грунт усел — и стенку здания чуток повело — появилась трещина под армстронгом где-то; дырку не полностью залили герметиком и т.д. (это так, не вдаваясь в подробности что там и как, и с чем сталкивался) — но это будет утечка, которой можно будет воспользоваться.
          В этом случае у предприятия ожидают куда большие проблемы, чем потенциальная уязвимость радиоканала. Исходя из специфики этих помещений.
          Я нигде не писал про угрозы внутри комнаты, угрозы здесь находятся снаружи.
          И при разработке таких систем их принято оценивать.
          Можно вполне, но не так легко. Например можно использовать уже заведенные кабели.
          Нет, конечно же, никто из 6 контор об этом явно не думал!
          Можно передать и через саму пластину, или используя эффект волнового резонанса — ничего сверлить не надо будет, плита из металла идеальна для этого.
          Ага, то есть вайфай внутрь комнаты, стены которой его успешно глушат, засунуть нельзя — уязвимо, а превратить всю комнату в антену — это норм? Это не усилит утечки радиоизлучений?
          Еще раз — Радиоканал в жестко охраняемых объектах недопустим. Это не мое мнение — почитайте соответствующую литературу.
          У предприятия, ещё раз, должны быть свои ПРОФЕССОНАЛЫ по ИБ. Которые данную литературу изучают, знают как применять и понимают к каким местам это применимо.
          Например, кто вам сказал, что эти части объекта настолько жесткоохраняемы?
          ИБ это не про то, что надо отрицать прогресс и пользоваться счетами.

          • ionicman
            /#18815413 / -11

            Вы в КРОК-е работаете, судя по всему? :)))

            В этом случае у предприятия ожидают куда большие проблемы, чем потенциальная уязвимость радиоканала. Исходя из специфики этих помещений.

            Далеко не всегда, т.к. часто данные помещения находятся внутри других. Если имели опыт — поймете про что я.

            И при разработке таких систем их принято оценивать.

            Конечно, однако в статье об этом — ни слова.

            Нет, конечно же, никто из 6 контор об этом явно не думал!

            Возможно и думали, но это хлопотно и дорого. Спецы нужны другого уровня, втюхать сложнее из-за всех этих факторов.

            а превратить всю комнату в антену — это норм

            В школу вам надо, на урок физики, чтобы глупости не писали. Волновой резонанс совершенно по другому используется.
            Однако если плитки не сцеплены друг с другом, а изолированы — вполне возможно одну такую превратить в антенну — и да, при небольшой мощности фонить оно будет куда меньше, чем обычная антенна, но и направленность у нее будет плохая (но она там и не нужна) — и да, это еще один способ.

            ПРОФЕССОНАЛЫ по ИБ

            Все верно, точно также, как и они должны быть у того, кто внедряет.
            ИБ — это про информационную безопасность и прогресс и счеты тут вообще не причем. И если есть удобная современная технология, но она не безопасна / может привести к утечке — внедрять ее нельзя. Потому что для ИБ главное — ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ ИНФОРМАЦИИ и лишь потом все остальное.

            Дальнейший спор смысла не представляет ибо Вы неграмотны ни в вопросах ИБ, ни в физике, ни в сетях — так что всего хорошего.

            • Dius79
              /#18815483 / +1

              Однако если плитки не сцеплены друг с другом, а изолированы — вполне возможно одну такую превратить в антенну — и да, при небольшой мощности фонить оно будет куда меньше, чем обычная антенна, но и направленность у нее будет плохая (но она там и не нужна) — и да, это еще один способ.

              После этого ваш реверанс относительно незнания кем-то физики выглядит забавным. Как нагрузочное сопротивление будете согласовывать? Если «такой исключительно интересный вариант» получится, надеюсь, не нужно объяснять, что панель будет «вещать» не только внутрь комнаты, но и наружу?

              • ionicman
                /#18815515 / -1

                Речь была про то, какие можно варианты использовать, правда?
                «Не как сделать», а «как можно сделать».


                Естественно при реальном воплощении каждого варианта в жизнь будут какие-то проблемы, что-то вообще не взлетит — и это нормально.

                Так вот, возвращаясь к физике — то, что я описал — вполне возможно сделать, передать то надо по сути только за стенку — а там можно уже усилить / преобразовать, отретранслировать и т.д.

                И конечно-же антенна вещать будет не только четко за стену. Однако и это можно отчасти побороть, как и сопротивление.

                Еще раз — разговор был про гипотетические способы.

                Все это с физикой это никак не конфликтует, так что забавно выглядит Ваш комментарий про забавность моего. Вы еще обвините меня в том, что я рассчеты не выложил :D

                • Dius79
                  /#18815633 / +1

                  Поймите, теоретезировать можно сколько угодно. Я сам сюда зашел за чем-то, что может быть мне не известно и удивит. Но нет. Нет так нет. Но Ваши теории об использовании панели в качестве резонатора, с точки зрения практики смешны, хотя вы и не поверите моим словам, учитывая Вашу манеру ведения разговора. Если бы Вы могли просчитать то о чем пишите, или практиковали в создании нестандартных беспроводных решений — Вы бы не написали многое из того, что написали.

                  • ionicman
                    /#18815671

                    Давйте развенчаю Ваш миф парой примеров — на одном предприятии была система напыления покрытий в герметичном металлическом боксе, в котором был вакуум и разогретые частицы вещества, которым собственно и шло покрытие.

                    Требовалось установить туда систему оценки качества покрытия.
                    Она была, и работала по BT, естественно внутри железного контейнера BT не работал наружу совсем — странно, правда?

                    Так вот, умельцы на заводе сделали систему из трех катушек снаружи и изнутри этой камеры, убрали модуль BT, подключив свой преобразователь и передали таки сигнал. Пришлось подбирать частоту для того, чтобы все это стабильно работало — но все получилось. Связь была на уровне 4800 бод, но этого воплне хватало для обмена с датчиком — там совсем небольшие пакеты ходят. Я участвовал в этой системе со стороны программной части.

                    Другая история была вообще шикарна — там не стали мудорствовать с резонансом и просто отбивали на корпус сердечником катушки, а с другой стороны также снимали — этакий динамик и микрофон — как раз шло общение через титановую пластину около 30x30x10 мм размером.

                    Так вот — прежде чем говорить, что что-то там про теорию и невозможно нужно собрать спецов сесть и хорошо подумать — и практически всегда все окажется возможно.

                    • Dius79
                      /#18815733

                      Представленные Вами решения — интересные. Да чего уж там — крутые. По-сути специалисты новую систему создали, исключив стандартизарованную. Причем здесь Ваше предложение использовать панель в качестве резонатора? Если заказчик хотел именно WiFi с определенной скоростью передачи данных. Ну, и если до сих пор не поняли, спрошу по другому: Если на антенне написано 700 МГц, что будет если к ней подключить источник сигнала на 5ГГц?

                      • ionicman
                        /#18816081

                        Можно увеличить / уменьшить частоту (демодулировать сигнал) — естественно расплатой будет ширина полосы пропускания.

                        • Dius79
                          /#18816259 / -2

                          Все ясно. Забавно, что Вы кого-то обвиняете в некомпетентности, при этом продолжаете спорить в сфере, в которой, простите, не бум-бум. Всего хорошего.

                          • ionicman
                            /#18816291 / -1

                            Можно обойтись волноводами без электронной схемы — но насколько корректно они работать будут — надо опыты ставить. Но что возможно — вполне.

                            Мало того, можно взять модем на частоту 700Мгц (как Вы выше написали) и передав ее через нужную среду, на противоположной стороне собрав таким-же модемом — что, невозможно?

                            Модемы на разные частоты изготовляются промышленно — ничего колхозить не придется.

                            И после этого Вы меня в некомпетентности обвиняете :D
                            Ну-ну, специалист.

                    • TimsTims
                      /#18816017

                      Пришлось подбирать частоту для того, чтобы все это стабильно работало
                      Частоту работы WiFi тоже подбирать?
                      Связь была на уровне 4800 бод,
                      Ну всё! Все выкидываем устаревший wifi, переходим на 4800 бод, этого хватит всем! Срочно использовать резонирующие панели, они же смогли, и мы сможем! /sarcasmoff

                      Вот вы же сами пишете — такая технология бывает, её сделали на заводе, связь была очень узкая. И теперь пишете, что КРОК некомпетентен, и он должен был стать компанией CISCO и изобрести собственные WiFi-модули, использующие резонирующие пластины, только потому-что у вас это почти получилось?

                      • ionicman
                        /#18816093 / -2

                        Еще раз — там вверху было написано про «чисто гипотетические возможности». Вы понимаете про что это?

                        А про КРОК — там уже были вводы слаботочки — можно было их использовать. Можно было использовать внутри точки в контейнере с нужной IP защитой — для вифи это было-бы практически прозрачно (контейнер пластиковый), и удорожало стоимость точно бы не больше сверления дырок с последующей их изоляцией ну и т.д.

                        Куча способов есть куда менее экзотических и теоретических. Вместо этого они сделали то, что написали — и это как раз повод не обращаться к ним.

                        На все мои «был ли аудит», «поставлена ли система обнаружения утечек» тишина в комментариях — это значит что сказать нечего и ничего не было. И это-же подтверждает их компетентность. Т.е. как всегда «срубили бабла» — а дальше хоть потоп.

                        • SADKO
                          /#18817017

                          там уже были вводы слаботочки — можно было их использовать

                          Вот и меня удивляет, в подобном кейсе, правда без слаботочки вообще, использовал модемы на вводе электричества…

                        • Lennonenko
                          /#18825913 / +1

                          А про КРОК — там уже были вводы слаботочки — можно было их использовать

                          нет, нельзя, там же не дыра 10х10 прорублена, а просверлены вводы необходимого диаметра, после монтажа — загерметизированы
                          тут же не просто ввод, а крепление антенны в нём

                          вам уже миллион минусов наставили, а вы всё не уймётесь, может, пора уже задуматься, что же всё-таки не так?

            • Am0ralist
              /#18815799

              Вы в КРОК-е работаете, судя по всему? :)))
              нет, в медлаборатории. а что?
              Конечно, однако в статье об этом — ни слова.
              потому что оценивать это должны были другие люди, внезапно
              Возможно и думали, но это хлопотно и дорого.
              и не нужно, когда существует куча вполне работающих практик
              Волновой резонанс совершенно по другому используется.
              велосипедостроение в ваших книжках тоже считалось более защищенным способом, чем промышленные стандарты?
              Дальнейший спор смысла не представляет ибо Вы неграмотны ни в вопросах ИБ, ни в физике, ни в сетях — так что всего хорошего.
              Да, десять лет назад изучал все эти предметы и в отрасли не работал. Однако что не отменяет регламенты и анализ угроз начальный.
              Который в данном случае утрированно начнется с:
              1) завод обогащает уран?
              2) если первый пункт положительный, ваша страна — Иран?
              3) в самой чистой комнате происходит что-либо, являющимся секретным с точки зрения передачи данных?
              4) кто-то по этому вайфаю из чистых комнат будет вылазить, не дай бог, в интернет или внутреннюю сеть?
              И прочее.
              Ну то есть вначале нужно понять на кой черт на складе половых тряпок сейфовая дверь, а потом туда ее ставить. если к вашим аналогиям про сейфы перейти.

      • Alexsandr_SE
        /#18815313

        Сеть уже была как я понимаю, если в концевых точках продолжить файваем?

      • MKazakov_croc
        /#18815571 / -1

        Вероятность незаконного проникновения или атак на беспроводную сеть значительно снижается при размещении её внутри закрытого периметра в который имеет доступ только авторизованные персонал. Тем не менее нельзя игнорировать вероятность проникновения со стороны инсайдера. Поэтому применяются только самые надежные алгоритмы аутентификации (EAP-TLS) и шифрования (AES), так же развернута система обнаружения и предотвращения вторжений в беспроводную сеть Cisco Adaptive WIPS.

        • ionicman
          /#18815593 / +2

          А вы провели исследование снаружи — есть ли утечки? В том числе и с любых вводов в это помещение? Трубы, провода — все это отличный способ снять сигнал того, что внутри. Надеюсь не надо объяснять почему?

          Стоит ли система обнаружения посторонних радиосигналов снаружи для детекции появления утечек / проб эфира?

          Если провели — как делали, где про это в статье?

          • Lennonenko
            /#18825945

            просто снимать сигнал с кабеля нет никакого смысла, надеюсь, не надо объяснять, почему
            проверять, есть ли утечки, тоже никому нафиг не упало, надеюсь не надо объяснять, почему
            rogue detection — обычное дело в системах такого уровня, надеюсь, не надо объяснять, почему
            автор статьи совершенно не обязан перед вами отчитываться о проделанной работе, надеюсь, не надо объяснять, почему
            это просто рассказ об интересном случае, а не отчёт перед заказчиком

  6. betony
    /#18815165

    Не очень понятно, зачем для красивого монатажа сверлили в плите отверстия 60мм, если достаточно было просверлить 5-10мм для медного кабеля с PoE (в ущерб красоте, но не в ущерб структурной целостности плиты)

    • KorDen32
      /#18815299 / +2

      На потолке устанавливалась антенна, а не ТД. Антенна загерметизирована, с ней мало что может случиться в процессе эксплуатации, что потребуется замена. Если сгорит ТД — её просто меняют с той стороны потолка.

    • MKazakov_croc
      /#18815539 / +1

      60 мм нужно для монтажа антенны (см. схему монтажа антенны). Точку установить внутрь чистого помещения нельзя т.к. помещения моют, включая потолок, и под давлением, соответственно нужна точка с IP67 защитой, что значительно удорожает проект, а антенна уже имеет outdoor исполнение.

  7. tangro
    /#18815247 / +6

    Цирк какой-то с конями. Если в помещение уже заходили кабеля питания — почему нельзя было по ним же, чем-то типа Power line communication завести локальную сеть, а внутри уже повесить точки доступа как-угодно? Зачем было сверлить новые дырки и бодаться с безопасниками?

    • Am0ralist
      /#18815325

      Ммм, высокочастотные помехи в линии электропередач, к которым подключаются точные приборы? И передача, которая зависит от отсутствия других помех по сети?

      • IbhSvenssen
        /#18815779 / +1

        На помехи ставятся банальные фильтры из той же системы PLC. Они ограждают как оборудование так и выходы в сеть предприятия, изолируя по ВЧ сегмент сети.
        Поддержу tangro. Это оптимальный способ. Поскольку по условиям ТЗ в чистой комнате доступ в сеть имеет только оборудование и оно уже запитано от электросети, можно было не городить огород.

    • rt3879439
      /#18815377 / +2

      1.С таким подходом много денег не заработаешь.
      2.У безопасников свои тараканы своё виденье ситуации.

    • MKazakov_croc
      /#18815543 / +1

      Power line communication — очень спорный подход для построения локальных сетей, имеющий ряд недостатков и ограничений, заказчик такого уровня не согласует.

      • ionicman
        /#18815565

        У Вас там уже слаботочка была (пожарная сигнализация, телефонка) — ее можно было уплотнить элементарно и никакое PLC не нужно.

      • arheops
        /#18816053 / +2

        Можно было vdsl2 по телефонным линиям и внутрь в гермобоксах fxs адаптеры. Было бы не менее 300мбит на пару

        • Sheti
          /#18818371

          Людям хотелось дырки в потолке посверлить, а вы им тут простые идеи кидаете.

          • Lennonenko
            /#18825955

            людям захотелось современных беспроводных технологий, а половина комментаторов предлагает им через окошко семафорить

  8. Dius79
    /#18815317

    Покрытие планировалось под 2.4 или 5 ГГц? Делались ли расчеты покрытия, или все было построено на основе проведенных измерений?

    • MKazakov_croc
      /#18816025

      При радиообследовании основной упор делался на 5 ГГц.

      • Dius79
        /#18816267 / +1

        А какие требования заказчика были по пропускной способности? Если не секрет, конечно.

  9. KorDen32
    /#18815321 / +1

    IEEE 802.11a/b/g/n/ac (Wave 2), имеют MU-MIMO 4x4 с тремя пространственными потоками

    А вот интересно, на таких объектах, где список клиентского оборудования (и его возможностей) ясен, и где нет наводок от других точек — вырубаются ли старые стандарты (a/b/g) и режимы совместимости с ними для n/ac? Или там есть свои подводные камни?

    • MKazakov_croc
      /#18816033 / +2

      Да, мы полностью отключили 802.11b и низкие канальные скорости для 802.11a/g.

  10. r00tGER
    /#18815417

    Когда прочитал, что уже заходят кабеля, появилась интрига. Ох, какие вы хитрые, будете использовать силовые кабеля в качестве антенны, будут интересные решения…
    И такое дикое разочарование, когда услышал про банальное сверление дырок.

    • ChePeter
      /#18815563 / +2

      «Когда прочитал, что уже заходят кабеля, появилась интрига. Ох, какие вы хитрые, будете использовать силовые кабеля в качестве антенны, будут интересные решения…»
      А они и будут как антенны,
      только вот нет уверенности, что в проекте это учтено.

  11. amarao
    /#18815719 / +3

    А вы отделу безопасности вот эту красоту показывали?

    www.cvedetails.com/vulnerability-list/vendor_id-16/product_id-19974/Cisco-Wireless-Lan-Controller-Software.html

    … could allow an unauthenticated, remote attacker to cause an affected device to reload unexpectedly, resulting in a denial of service (DoS) condition.
    … with a race condition in the status of the administrative HTTP server, which allows remote attackers to bypass intended access restrictions by connecting to an Aironet access point on which this server had been disabled ineffectively
    … allow remote authenticated users to bypass wireless-management settings and read or modify the device configuration via an SNMP request
    … allows remote authenticated users to execute arbitrary code via a crafted HTTP User-Agent header
    … allow remote attackers to read or modify the configuration via unspecified vectors
    … allow remote attackers to cause a denial of service (device reload) via a sequence of IPv6 packets
    … allows remote authenticated users to bypass intended access restrictions and modify the configuration, and possibly obtain administrative privileges, via unspecified vectors

    Самая свежая из них — 2018-06-13, считай, ещё не остыла.

    • TrllServ
      /#18828431

      А вы отделу безопасности вот эту красоту показывали?
      Тогда это может стать последним заказом?
      Или очень долгим заказом, пока пойдут согласования, 2-3 раза объяснять серьёзным дядям в центральном офисе и тд

      • amarao
        /#18829095

        Ну, это означает, утаивать критическую информацию. Лично я, если бы я был начальником секьюрити, такое решето на <дальнобойность wifi'я> к заводу не подпустил бы.

  12. ganqqwerty
    /#18815921 / +2

    помнится, ставили вайфай на металлический теплоход «Ленин», тоже намучились

  13. lipkij
    /#18815971 / +1

    кто крутит саморезы в дно волны? :) рядом же пример был — как надо?

  14. achekalin
    /#18816249 / +2

    У Крока все чаще бывает, что тема интересная, но написана, скажем так, «не очень». Хотя бы «без вычитки придирчивыми коллегами».

    На производстве есть несколько помещений, которые обшиты вот этой волшебной «бронеплитой». На деле она нужна для предотвращения биологических и химических угроз.

    Пропустили фото, или я по тексту не понял контекст?

    И замените в заголовке «кое-где» на «где-то» — речь идет о желании спрятать локацию, а не о нескольких локациях (кое-где = «в некоторых местах»).

    • Eldhenn
      /#18816679 / +2

      кое-где = «а мы знаем где, а вы нет, хехехе, впрочем, кому надо, то знает»

      • kolossradosskiy
        /#18819511

        В статье есть ключ к разгадке. На схеме один из виланов назван valenta…
        30 сек гугления достаточно для поиска одноименной компании АО «Валента Фарм», еще 30 сек просмотра сайта и мы уже читаем пресс-релиз о новом научно-производственном комплексе «Валента», располагающийся в г. Щелково Московской области по адресу ул. Фабричная, д. 2. На одной из иллюстраций в пресс-релизе как раз изображен склад, который на фото в статье.

  15. mitzury
    /#18816773 / -2

    Есть даже есть целый НФ-рассказ про этот эффект чистой зоны в ЦОДах

    А не подскажете направление поиска, почитать? :)

    • Lennonenko
      /#18825979

      каменты не читай@сразу отвечай
      первый же тред

  16. igorkozinov
    /#18816813 / -2

    А шутка про format c:-евтов уже была тут ещё?

  17. Nubus
    /#18818017 / +6

    Работаю в чистой комнате сам. Сеть внутри это целая проблема. Ваши хваленые подключить передатчик к стене(пластине) и пустить сигнал и оно будет излучать не сработает по одной причине, тотальное заземление всех стен, потолков и пола. То есть если вы и подключите излучатель, то нихрена у вас не выйдет. Плюс обычно металл лежит обложенным композитов и т.п.
    Второе, все ссылаються на слаботочку и прочее. А кто вам сказал что ИБ даст подключить дополнительный сигнал и ток по системам Пожарной безопасности и Видео наблюдения? Оно им надо гемморой с раздлениями сигналов, шумом на линиях и прочем?
    И третье, если там подобная чистая комната которая занимаеться фармацептикой, то там стоят ОЧЕНЬ точные приборы. Допустим те-же весы с точностью до 0.00001 кг. Для подобной техники есть ОЧЕНЬ жесткие требования по питанию, и хрен вам кто даст подключиться к питанию там. Подобные приборы защищены от внешенего сигнала, но то что проходит к ним по кабелю питания тяжелее отсеять. Плюс фильтрация идет как снаружи комнаты, так и внутри, около приборов.

    • Happy_Forever
      /#18826767

      Допустим те-же весы с точностью до 0.00001 кг

      Всё-таки до четвёртого знака после запятой для граммов (0.0001 г) — это типичные аналитические весы, а вы указали точность измерения весов для приготовления грубых навесок? Или это какие-то весы для взвешивания очень больших масс с такой точностью?