Мы покупаем новый дом, и я подумал, что пора обновить некоторые компоненты. Один из моих бывших коллег заставил меня позавидовать своей системе UniFi Network, поэтому я купил UniFi Dream Machine Pro и UniFi POE switch.
Немного предыстории: в моём нынешнем доме у меня есть система контроля доступа, которую я сам разработал и установил. Она довольно проста: ты предъявляешь удостоверение, система его проверяет, и, если тебе разрешено, дверь открывается. Легко и надежно. К тому же она нормально работает, когда к считывателю одновременно приложено несколько токенов, чего у многих устройств не получается. Используются DESFire EV1 карточки, чтобы избежать клонирования карт. Я также добавил поддержку безопасной аутентификации Tesla Key Card, что позволяет использовать одну и ту же карту и для машины, и для дома, при этом сохраняя защиту от клонирования. Красиво.
После того как я получил UniFi Dream Machine, услышал про UniFi Access. Выглядело оно намного круче моей системы (которая просто выглядела как пустая пластиковая панель на стене) — с камерой и сенсорным экраном. К тому же намекали на возможность поддержки альтернативных типов удостоверений. Выглядело настолько стильно, что мне просто пришлось его взять. Пришло вчера.
Хочу сделать более подробный обзор, когда будет время, а пока — первые впечатления. Я ещё не устанавливал систему, потому что в новый дом я ещё не переехал, так что все наблюдения пока из того, что лежит у меня на столе.
Выглядит отлично. Настройка достаточно простая. ВАЖНО: считыватели надо подключать к door hub. Они не будут работать нормально, если подключить их напрямую к основному PoE коммутатору. После спаривания, если перенести их на обычный порт коммутатора, они будут казаться как будто работают, но на самом деле — нет. Там магия в хабе. Ошибок нет, просто дверь через считыватель открыть не получится.
Одному человеку можно назначить только одну NFC-карту. Плохо.
Из интерфейса невозможно просто управлять дверями.
Дверь продолжит работать даже если UniFi Access controller офлайн, но при аутентификации не покажется изображение, пока контроллер не вернётся в сеть. Однако, без простой возможности запускать контроллер от резервного аккумулятора (без дорогого PoE UPS) это может быть малоэффективно.
Хаб и считыватели потребляют довольно много энергии — больше 12 ватт. Меня это удивило, моя текущая система не потребляет больше 5 ватт.
Функция дверного звонка пока, кажется, не реализована. Надеюсь, в будущем можно будет подключить её к AUX-порту хаба.
LDAP интеграции нет, как и отмечали другие.
Не могу разобраться, как добавить считыватель к уже добавленному хабу, не удаляя и не добавляя заново весь хаб. Странно.
Камеру нельзя использовать как UniFi protect камеру. Жаль.
Пока не буду глубоко погружаться в NFC, вот еще несколько наблюдений:
Чип в картах UniFi Access (UA-Card) — DESFire EV2 4k. 4к кажется большим для такого применения, не очень понятно, что там делают с таким объёмом памяти.
Это не просто пустая карта: она персонализирована на заводе и настроена так, чтобы давать минимум информации о своей внутренней структуре. Я не могу просмотреть или добавить приложения. Планирую как-нибудь перехватить данные между считывателем и картой, но сомневаюсь, что удастся узнать больше, кроме AID, так как DESFire шифруют связь.
Неясно, меняются ли UA-Card карты при добавлении в систему. Если нет, то значит в каждом UniFi Access есть мастер-ключи, скорее всего в защищённом элементе считывателя.
Неясно, можно ли одну UA-Card использовать на нескольких объектах.
Любую NFC-карту, кроме UA-Card, можно использовать, но тогда идентифицируется только NFC ID — аутентификации нет, и легко сделать клоны, которые будут работать как оригиналы. Это касается даже защищённых NFC-токенов типа Yubikey.
Система не персонализирует пустую DESFire EV2 карту для безопасного использования. Такие карты воспринимаются как сторонние и аутентифицируются только по NFC ID.
Также можно использовать NFC type B метки (кроме type A), но они считаются небезопасными ключами.
Номера карт начинаются с 100001 и увеличиваются. Связь между номерами и карточками хранится в контроллере.
У меня есть пара пожеланий по функционалу:
Общая поддержка распространённых асимметричных токенов. Например, возможность добавить персонализированную PIV-карту, чтобы люди могли использовать Yubikey для безопасной аутентификации. Поддержка FIDO2 CTAP2 токенов тоже была бы классной. Для владельцев Tesla можно было бы разрешить использовать их существующую карту как ключ для доступа в здание — это было бы полезно, особенно в жилых домах (см. Tesla Key Card Protocol). Для этого я могу предоставить код.
Позволить иметь более одной карты на человека.
Сделать крупное предупреждение при добавлении карты без защиты (сейчас в интерфейсе предупреждений нет).
Позволить безопасно использовать DESFire EV2 (или EV1) карты, которые не заблокированы. На такие карты можно добавлять новые приложения с новыми ключами, если мастер-ключ установлен, но карта не настроена на запрет этого. Это позволит использовать и пустые карты.
Показывать больше информации о карте, чем просто номер и уровень безопасности. Например, NFC ID. При поддержке большего количества типов карт было бы полезно видеть тип карты.
Добавить возможность прикреплять заметки к каждой карте.
Когда добавят поддержку дверного звонка — позволить управлять AUX-линией на хабе.
Позволить спаривать считыватель с системой без подключения к хабу. Это удобно для настроек привязки карт к пользователям.
Запрос по железу: поддержка подключения резервного 12В аккумулятора к хабу.
Более подробный разбор будет позже.
Немного предыстории: в моём нынешнем доме у меня есть система контроля доступа, которую я сам разработал и установил. Она довольно проста: ты предъявляешь удостоверение, система его проверяет, и, если тебе разрешено, дверь открывается. Легко и надежно. К тому же она нормально работает, когда к считывателю одновременно приложено несколько токенов, чего у многих устройств не получается. Используются DESFire EV1 карточки, чтобы избежать клонирования карт. Я также добавил поддержку безопасной аутентификации Tesla Key Card, что позволяет использовать одну и ту же карту и для машины, и для дома, при этом сохраняя защиту от клонирования. Красиво.
После того как я получил UniFi Dream Machine, услышал про UniFi Access. Выглядело оно намного круче моей системы (которая просто выглядела как пустая пластиковая панель на стене) — с камерой и сенсорным экраном. К тому же намекали на возможность поддержки альтернативных типов удостоверений. Выглядело настолько стильно, что мне просто пришлось его взять. Пришло вчера.
Хочу сделать более подробный обзор, когда будет время, а пока — первые впечатления. Я ещё не устанавливал систему, потому что в новый дом я ещё не переехал, так что все наблюдения пока из того, что лежит у меня на столе.
Выглядит отлично. Настройка достаточно простая. ВАЖНО: считыватели надо подключать к door hub. Они не будут работать нормально, если подключить их напрямую к основному PoE коммутатору. После спаривания, если перенести их на обычный порт коммутатора, они будут казаться как будто работают, но на самом деле — нет. Там магия в хабе. Ошибок нет, просто дверь через считыватель открыть не получится.
Одному человеку можно назначить только одну NFC-карту. Плохо.
Из интерфейса невозможно просто управлять дверями.
Дверь продолжит работать даже если UniFi Access controller офлайн, но при аутентификации не покажется изображение, пока контроллер не вернётся в сеть. Однако, без простой возможности запускать контроллер от резервного аккумулятора (без дорогого PoE UPS) это может быть малоэффективно.
Хаб и считыватели потребляют довольно много энергии — больше 12 ватт. Меня это удивило, моя текущая система не потребляет больше 5 ватт.
Функция дверного звонка пока, кажется, не реализована. Надеюсь, в будущем можно будет подключить её к AUX-порту хаба.
LDAP интеграции нет, как и отмечали другие.
Не могу разобраться, как добавить считыватель к уже добавленному хабу, не удаляя и не добавляя заново весь хаб. Странно.
Камеру нельзя использовать как UniFi protect камеру. Жаль.
Пока не буду глубоко погружаться в NFC, вот еще несколько наблюдений:
Чип в картах UniFi Access (UA-Card) — DESFire EV2 4k. 4к кажется большим для такого применения, не очень понятно, что там делают с таким объёмом памяти.
Это не просто пустая карта: она персонализирована на заводе и настроена так, чтобы давать минимум информации о своей внутренней структуре. Я не могу просмотреть или добавить приложения. Планирую как-нибудь перехватить данные между считывателем и картой, но сомневаюсь, что удастся узнать больше, кроме AID, так как DESFire шифруют связь.
Неясно, меняются ли UA-Card карты при добавлении в систему. Если нет, то значит в каждом UniFi Access есть мастер-ключи, скорее всего в защищённом элементе считывателя.
Неясно, можно ли одну UA-Card использовать на нескольких объектах.
Любую NFC-карту, кроме UA-Card, можно использовать, но тогда идентифицируется только NFC ID — аутентификации нет, и легко сделать клоны, которые будут работать как оригиналы. Это касается даже защищённых NFC-токенов типа Yubikey.
Система не персонализирует пустую DESFire EV2 карту для безопасного использования. Такие карты воспринимаются как сторонние и аутентифицируются только по NFC ID.
Также можно использовать NFC type B метки (кроме type A), но они считаются небезопасными ключами.
Номера карт начинаются с 100001 и увеличиваются. Связь между номерами и карточками хранится в контроллере.
У меня есть пара пожеланий по функционалу:
Общая поддержка распространённых асимметричных токенов. Например, возможность добавить персонализированную PIV-карту, чтобы люди могли использовать Yubikey для безопасной аутентификации. Поддержка FIDO2 CTAP2 токенов тоже была бы классной. Для владельцев Tesla можно было бы разрешить использовать их существующую карту как ключ для доступа в здание — это было бы полезно, особенно в жилых домах (см. Tesla Key Card Protocol). Для этого я могу предоставить код.
Позволить иметь более одной карты на человека.
Сделать крупное предупреждение при добавлении карты без защиты (сейчас в интерфейсе предупреждений нет).
Позволить безопасно использовать DESFire EV2 (или EV1) карты, которые не заблокированы. На такие карты можно добавлять новые приложения с новыми ключами, если мастер-ключ установлен, но карта не настроена на запрет этого. Это позволит использовать и пустые карты.
Показывать больше информации о карте, чем просто номер и уровень безопасности. Например, NFC ID. При поддержке большего количества типов карт было бы полезно видеть тип карты.
Добавить возможность прикреплять заметки к каждой карте.
Когда добавят поддержку дверного звонка — позволить управлять AUX-линией на хабе.
Позволить спаривать считыватель с системой без подключения к хабу. Это удобно для настроек привязки карт к пользователям.
Запрос по железу: поддержка подключения резервного 12В аккумулятора к хабу.
Более подробный разбор будет позже.
