Bankir.Ru
25 мая, четверг 08:08

Объявление

Свернуть

На Bankir.ru начался цикл публикаций, созданных по следам обсуждений на форуме

Показать больше
Показать меньше

Торговый терминал с доступом по Ip

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Торговый терминал с доступом по Ip

    Господа!
    Имеется ли в Вашей практике техническое решение организации тогового (POS) терминала с каналом авторизации через корпоративную IP-сеть (Интранет). Возможно-ли с Вашей точки зрения такое вообще? На отдельном устройстве, на персоналке и пр.
    Напрашивающееся решение связки стандартного POS-терминала с IP-маршрутизатором (что-то вроде Cisco1xxx) рассматривать из-за высокой стоимости решения не будем.
    А задача получается почти типовая для нашей торговли, когда есть сеть торговых точек с корпоративной IP-сетью между собой. Сделать один шлюз и все.
    Ваше мнение?

  • #2
    Myxa
    Видел нечто такое у citinet , маршрутизатор на базе компа
    ATMMASTER

    Комментарий


    • #3
      Что в практике, что в теории: POS-терминал самостоятельно на IP не живет. Из коммуникаций у него есть: модем и порт RS-232. Вот и выкручивайся.
      В любом случае рядом с POS-терминалом должен ставиться некий девайс, который сможет "преобразовать" асинхронный трафик в IP. Это может быть Циска, это может быть PC, это может быть что-либо еще (читал я о коробочках, у которых с одной стороны RS232, а с другой RJ-45 для втыкания в ethernet, но живьем их не видел).

      "На персоналке" - это PC-POS ? Я думаю, можно. Но готовых решений не знаю.

      Отдельной строкой - а безопасность передаваемых данных в корпоративной IP-сети магазина кто будет обеспечивать? Решение есть: шифрование всего потока сообщений от/к POS-терминалу. Но кто это умеет? Мои Инженики умеют. Но я в Киеве. Кто еще?

      В общем, неприятная задача, красивого решения которой я еще не видел.

      Комментарий


      • #4
        Myxa
        Имеется ли в Вашей практике техническое решение организации тогового (POS) терминала с каналом авторизации через корпоративную IP-сеть (Интранет).

        Имеется.

        POS - Преобразователь RS-Ethrnet - Cisco - x.25 - Host

        + Соединение происходит очень быстро.
        + Прокладывать Ethernet кабель до ближайшего хаба проще, чем тянуть RS через все здание.
        - Решение дорогое. Преобразователь RS-Ethrnet чуть дешевле 300 уе.

        Про безопасность McSeem указал, но здесь уже как-то говорили и я согласен, что снимать информацию с RS не многим сложнее, чем в IP сети. Если поток терминала не защищен самим терминалом и хостом, то степень защиты системы останется низкой, каким бы сетевым интерфейсом ты не пользовался.

        Удачи.

        Комментарий


        • #5
          BlueJacket

          > POS - Преобразователь RS-Ethrnet - Cisco - x.25 - Host

          Я не понял, что такое "Преобразователь RS-Ethrnet", и зачем он нужен "при живой Циске" (с), даже младшие модели которой отлично работают в качестве терминального сервера?

          > Про безопасность McSeem указал, но здесь уже как-то говорили и я согласен, что снимать информацию с RS не многим сложнее, чем в IP сети. Если поток терминала не защищен самим терминалом и хостом, то степень защиты системы останется низкой, каким бы сетевым интерфейсом ты не пользовался.

          Полностью согласен. Критичный траффик должен защищаться криптографическими методами на уровне терминал-хост вне зависимости от транспорта.

          Про "чистый IP" на терминале. Я не вижу больших проблем реализовть на терминале PPP - почему бы нет. Но обычно, производители теримналов вместо него поддерживают устаревшие синхронные протоколы (sdlc), а жаль.

          С уважением,
          ============
          С уважением,
          ==========

          Комментарий


          • #6
            У Hypercom есть терминал с подключением к локальной сети. VeriFone тоже планировал выпустить такой.

            Комментарий


            • #7
              EUgeneUS
              Преобразователь RS-Ethernet - коробочка чуть меньше пачки сигарет находится рядом с терминалом в торговом центре на первом этаже. Cisco - в серверной на четвертом, разводка по зданию Ethernet. Преобразователь преобразует поток данных из/в RS232 в поток соединения TCP. Может сам устанавливать TCP соединение с Cisco после установки соответствующих сигналов RS'ом.

              Давно наблюдаю за такими приборами, жалко пока не заметно тенденции на снижение цен на них. т е если бы они стоили 100 (примерно в цену модема) мы брали бы их точно.

              FBruks
              Сейчас почти все ведущие производители терминалов имеют модели с сетевым модульем. Только к сожалению их цена примерно на 200 уе выше чем у базовых моделей.

              Удачи.

              Комментарий


              • #8
                McSeem а безопасность передаваемых данных в корпоративной IP-сети магазина кто будет обеспечивать? Решение есть: шифрование всего потока сообщений
                Шифровать оно конечно надо (чтоб спать спокойнее). Но с другой стороны, а что собственно скрывать? Номер карточки? Так его и так много посторонних людей (те же кассиры) глядя на карточку увидят. Сумму покупки? В принципе тоже нет большого смысла прятать, кроме как от собирающих досье. Разве что содержимое трека карточки? Так а если в магазине не POS-терминалы, а кассовые аппараты с ридерами стоят? Тогда вся эта информация все равно проходит через кассовый софт и кто знает где она там оседает... Впрочем вопрос был о посах. Ну и чего? Ну если там вдруг пин-пад есть, то пин все равно в зашифрованном виде идет. Хотя лучше бы сам терминал все шифровал бы.
                И это в принципе возможно. Немного поправить терминальный софт - и получится нестандартный протокол. Хотя наплевать, ведь свой-то процессинг всегда под него подстроить можно.
                К чему это все? А к тому. Даже если не шифровать, то какой серьезный ущерб от этого можно получить? Разве что маленький геморройчик, во избежание которого и стоит шифровать.

                P.S.
                "На персоналке" - это PC-POS ? Я думаю, можно. Но готовых решений не знаю.
                А они есть

                Комментарий


                • #9
                  WildCat
                  Ну если там вдруг пин-пад есть, то пин все равно в зашифрованном виде идет. Хотя лучше бы сам терминал все шифровал бы.

                  Шифровать и макировать должно устойство для того предназначенное, а не как програмисту удобнее.

                  Даже если не шифровать, то какой серьезный ущерб от этого можно получить? Разве что маленький геморройчик, во избежание которого и стоит шифровать.

                  Безответственно. Геморрой маленьким в области денег ( а не заднего прохода) не бывает.

                  Комментарий


                  • #10
                    BlueJacket
                    Шифровать и макировать должно устойство для того предназначенное, а не как програмисту удобнее.
                    Не совсем понял: пин должен шифроваться пин-падом, макировать должен пос (ну так они это и делают), а про какое еще устройство здесь идет речь?
                    Ну а с остальным полностью согласен, только вот хотелось подискутировать о возможных последствиях.

                    Комментарий


                    • #11
                      WildCat

                      С чего это вдруг макировать должен пос a пин должен шифроваться пин-падом . Все криптографические функции с применением симметричных алгоритмов должны выполнятся в устойствах сертифицированных для хранения ключей. Если терминал не имеет такого модуля, то и макировать он не может. Т. е. технически может, но это я и называю поступать как удобно программисту.

                      Что касается дискуссии, пожалуйста пара примеров:
                      1. В году 95-96 стали известны детали нескольких платежей по карте господина Чубайса. Причем номер карты никто не разглашал, только суммы. Чубайс вроде не пострадал , а вот еще тогда живой Мост вынужден был давать обьяснения, как такое могло произойти.
                      2. Ситуация с UC и белым пластиком для меня до сих пор не понятна. Слухов море. Репутация компании была подорвана.

                      И в том и другом случае, финансовые потери клиентов гораздо меньше потерь компаний, оказавшихся вовлеченными в скандал. А когда СБ начинает искать, где происходит утечка, они начинают трясти в первую очередь разработчиков. И правильно делают. У меня есть большое желание прикрыть свою задницу от СБ и геморооя Вон посмотри на McSeem - он весел и доволен, т.к на одну степень защиты у него в системе больше.

                      Удачи.

                      Комментарий


                      • #12
                        BlueJacket

                        А рядом с терминалами рабочих станций (тех же касс интеллетаульных), подключенных к Етхернету, не наблюдается?

                        С уважением,
                        ===========
                        С уважением,
                        ==========

                        Комментарий


                        • #13
                          2 All

                          Большое спасибо всем за информацию.

                          2 FBruks

                          Если возможно, плз, наименование конкретных моделей таких терминалов.
                          Заранее благодарю.

                          Комментарий


                          • #14
                            EUgeneUS
                            А рядом с терминалами рабочих станций (тех же касс интеллетаульных), подключенных к Етхернету, не наблюдается?

                            Наличие рядом рабочей станции можно прогнозировать с высокой долей вероятности. т.к. схема опирается на сеть предприятия. Но не гарантии, что:
                            1. Станция действительно есть.
                            2. У нее есть свободный порт.
                            3. Мой конвертер пустят работать на эту станцию.

                            Удачи.

                            Комментарий


                            • #15
                              2 BlueJacket

                              Как обзывается преобразователь RS/Ethernet? Это случайно не RAD-овская линейка оборудования?
                              Поделитесь, плз.

                              С уважением

                              Комментарий


                              • #16
                                2 All

                                Если рабочее место кассира предусматривает наличие РС, то возможно ли подключение POS-терминала по RS к Com-порту компьютера, а затем транспортировка запроса по IP до любимой Cisco?

                                C Уважением.

                                Комментарий


                                • #17
                                  Myxa

                                  Как обзывается преобразователь RS/Ethernet?
                                  http://www.lantronix.com/products/xds/mss100/index.html

                                  возможно ли подключение

                                  "Imagine, there is no spoon." (c) The Matrix

                                  Удачи.

                                  Комментарий


                                  • #18
                                    Myxa Если возможно, плз, наименование конкретных моделей таких терминалов.
                                    Заранее благодарю.


                                    В Hypercom есть терминал ICE6000, который конектится только по ethernet.
                                    Не имеет принтера.
                                    Есть специальный принтерный блок (для терминалов ICE5000 (в настоящее время уже не выпускаются) и ICE 6500), где в качестве комуникации используется ethernet.
                                    Ростислав.
                                    Нам и карты в руки!

                                    Комментарий


                                    • #19
                                      Муха
                                      Если рабочее место кассира предусматривает наличие РС, то возможно ли подключение POS-терминала по RS к Com-порту компьютера, а затем транспортировка запроса по IP до любимой Cisco?

                                      Есть такое решение. Мы это делаем больше года для одного банка как раз в такой ситуации как Ваша - есть корпоративная IP сеть, объединяющая все ПВНы с уже установленными РС и нет желания тратиться на дополнительные коммуникации.

                                      Комментарий


                                      • #20
                                        2 МУХА

                                        Я такой POS уже год пользую. Клиенты очень довольны, правда те у который PC стоит в торговом зале.

                                        Комментарий


                                        • #21
                                          2 Снайпер KAB Alisoman BlueJacket

                                          Безмерно благодарен Вам господа за информацию.
                                          Жизнь-то налаживается...

                                          С уважением

                                          Комментарий


                                          • #22
                                            WildCat

                                            В пакетах финансового протокола ездят не просто номера карточек. Кассир на чеке может прочитать только PAN, да и то, если на терминале нету функции забивания нескольких цифр PANа на чеке. В пакетах ездят Track2Data, а вот это то, что нужно мошенникам. Имея Track2 карту подделать можно. PIN-блоки расшифровываются трудно, поэтому за них можно не беспокоится.

                                            А если через терминал работают еще и другие приложения, типа продажи предоплаченный сервисов, тут еще хуже. Например, можно подсмотреть коды пополнения к мобильным телефонам.

                                            Думаю, что шифрование трафика вещь необходимая.

                                            А что касается подключения терминала в IP, так ставится софт GM100SE на комп в торговой точке (там наверняка он уже есть), подключается несколько терминалов прямо по RS. Если кабель для RS спаять на основе UTP, то его длина может быть чуть ли не 100м. Шифрование трафика в такой схеме предусмотрено.

                                            К PC-POSам отношусь скептически. Их есть смысл применять только в отделении банка в кассах. Ставить в других местах не безопасно.

                                            Комментарий


                                            • #23
                                              BlueJacket

                                              С PIN-блоками то все понятно.
                                              В каких это терминалах MAC считается специальным устройством?
                                              В банкоматах - другое дело.

                                              Более того, во многих банках MAC на терминалах не используется. Выглядит это странно, но факт.

                                              Комментарий


                                              • #24
                                                rost7
                                                В каких это терминалах MAC считается специальным устройством?

                                                Я не понял вопроса. Что интересует конкретно: модель, приложение, банк, где такие терминалы стоят? Или это просто восклицание?

                                                В банкоматах - другое дело.
                                                Да тоже самое дело. Это вопрос общей безопасности системы.

                                                Удачи.

                                                Комментарий


                                                • #25
                                                  EUgeneUS

                                                  Про "чистый IP" на терминале. Я не вижу больших проблем реализовть на терминале PPP - почему бы нет. Но обычно, производители теримналов вместо него поддерживают устаревшие синхронные протоколы (sdlc), а жаль.

                                                  Мы с вами уже касались темы скорости проведения транзакций

                                                  На терминале можно реализовать TCP/IP over PPP, правда только на новых моделях, в которых железо мощнее. Задача, конечно, не тривиальная. Самое неприятное в том, что скорость проведения транзакций резко упадет. Т.е. даже при прямом включении в порт скорость проведения транзакций будет как при Dial-Up доступе с использованием "старых" протоколов. А если TCP/IP over PPP + Dial-Up, то будет совсем долго. Мы анализировали возможность реализации такой схемы и пришли к выводу, что для POS-овых приложений это не годится. Вероятно, к такому же выводу пришли и другие.
                                                  POS-терминал с Ethernet картой и TCP/IP - решение нормальное, толко вот дорого.

                                                  А всякого рода "коробочки" с RS на входе и LAN на выходе интересны только тогда, когда нужен один порт. Когда портов нужно бульше, становится не выгодно.

                                                  Комментарий


                                                  • #26
                                                    rost7

                                                    > Т.е. даже при прямом включении в порт скорость проведения транзакций будет как при Dial-Up доступе с использованием "старых" протоколов

                                                    Конечно, использовать PPP на Диал-апе может привести к увеличению времени тр-ции. Ес-нно, что PPP хорошо использовать тогда, когда PPP-сессия устанавливается "раз и навсегда", т.е. выделенки, соединения порт-в-порт. Тогда время тр-ции не увеличится (накладные расходы на заголовки и прочий оверхед при скоростях выше определнной (скажем 9600-19200) роли не играют), а может и уменьшится (по сравнению с протоколами, при которых соединение (в том числе производится обработка скрипта) устанавливается на каждую тр-цию). С другой стороны PPP даст надежный канальный уровень (не даром между PPP и HDLC весьма много общего ), который поддерживается практически всеми коммуникационными боксами.

                                                    > А всякого рода "коробочки" с RS на входе и LAN на выходе интересны только тогда, когда нужен один порт. Когда портов нужно бульше, становится не выгодно.

                                                    Тогда надо брать другие "коробочки", с несколькими портами

                                                    С уважением,
                                                    ===========
                                                    С уважением,
                                                    ==========

                                                    Комментарий


                                                    • #27
                                                      BlueJacket

                                                      Если можно: модель и приложение

                                                      Может под специальным устройством вы SAM подразумевали?

                                                      З.Ы. Я без наездов

                                                      Комментарий


                                                      • #28
                                                        rost7

                                                        Имел дело с Ingenico 510 и OMNI 395, 3350. Первые два не имеют встоенных средств для храннения ключей. У последнего хитрая память и утверждается что в ней можно хранить данные в зашифрованном виде. На стойкость не проверял
                                                        Приложения магнитная полоса + локальный чип.

                                                        Специальным модулем может быть любое устойство. которое предназначено для надежного хранения секретных ключей SAM, PIN PAD. Если это может делать терминал, то и терминал.

                                                        Удачи.

                                                        Комментарий


                                                        • #29
                                                          2 BlueJacket
                                                          Имел дело с Ingenico 510 и OMNI 395, 3350. Первые два не имеют встоенных средств для храннения ключей.
                                                          Правильно, для Elite 510-16 используется PIN-PAD Elite 344, а модели мобильных терминалов Elite 730,770,790-16 и новый стационарный терминал Elite 710/712-16 содержат встроенный PIN-PAD.

                                                          Комментарий


                                                          • #30
                                                            rost7
                                                            В пакетах финансового протокола ездят не просто номера карточек.
                                                            Мне этого объяснять не надо.

                                                            К PC-POSам отношусь скептически.
                                                            Ну а всякие аппаратные прибабахи наверняка не на много недежнее.
                                                            Но я понимаю, оно на душе спокойнЕе, конечно...

                                                            Данные прятать безусловно надо, чтобы ими не воспользовалась более широкая аудитория. Но запрос, идущий прямо от поса по коммутируемому каналу тоже ведь можно перехватить при определенных условиях. Так что теоретически любая защита - фигня, а практически даже легкая защита уже является для большинства непреодолимым барьером.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X