Alarme über bestehende IT-Netze schleusen?

Alarme über bestehende IT-Netze schleusen?

Update am 25.03.2013:

In Firmen/Behörden/Organisationen mit großer IT-Abteilung oder externen EDV-Abteilungen ist die (in meinem Blogbeitrag vom 11.01.2013) angesprochene Problematik wirklich immer wieder die Gleiche…

Alarmanlagen der Filialen sollen über das bestehende Netzwerk mit der Notrufzentrale verbunden werden. Endlose Meetings bei denen die verschiedensten IT-Mitarbeiter aufmaschieren, dann aber doch nicht zuständig oder nur halbwissend sind machen jedes Projekt zu einer „Never Endig Story“ und erschweren massiv die Verbeitung von IP Anlagen in Filialbetrieben…

Am Ende ist es dann doch immer irgendwie möglich (wenn man dann letztendlich zum kompetenten IT-Verantwortlichen vorgedrungen ist und der dann bereit ist, ein wenig guten Willen zu zeigen oder vielleicht doch noch einmal in seinen alten MCSE-Unterlagen über Routing nachzulesen ;-)

Wie auch immer, ich kann nur

  • allen Projektleitern Mut machen: Es ist möglich!
  • Und alle Errichter mutlos machen: Ihr werdet viel Zeit reinstecken müssen :-(
  • Aber mein Angebot, ich stelle Euch auch gerne meine Zeit für Meeting mit dem Kunden / dessen Technikern / IT-Verantwortlichen zur Verfügung, meist geht in Doppelteams: Errichter/Leitstelle mehr weiter…

Erstbeitrag: Datum: 11.01.2013

Hier möchte ich mich einer Problematik widmen, die uns jetzt sehr häufig beschäftigt:

Wie Alarme von TCP/IP Alarmanlagen über bestehende Firmennetzwerke führen?

Dem (hoffentlich geneigten) Leser / Leserin mit technischem Know-How wird vielleicht die Problematik nicht klar sein, für Verbindungen von Alarmanlagen gilt doch:

  • Kleinstes Datenvolumen (Kann unmöglich ein Netzwerk belasten)
  • Verschlüsselung und Entschlüsselung wird von der Alarmanlage/IP-Wählgerät) und dem Empfangsgerät gemacht, somit ist kein VPN Tunnel nötig.
  • Private IP-Adressen für die Alarmanlage sind kein Problem
  • Meist wird nur über ein bis maximal 3 Ports kommuniziert, die bekannt sind.
  • Der Empfangsserver in der Leitstelle hat eine fixe IP-Adresse, er kann also einfach in Firewall-Regeln für ausgehenden Verkehr (inkl. erlaubtes Port) definiert werden
  • Bei vielen Sendern und Empfängern kann man sogar über ein einfaches PING (Sobald dies in der Leitstelle für Installationszwecke freigeschaltet wurde) oder Polling der Anlage leicht feststellen, ob richtig geroutet wurde.

Klingt super, ist super!

Doch leider sind in der Praxis diese Art von Aufschaltungen überaus problematisch. Meist sperrt sich die Haus IT Alarmdaten über ihre Netze zu routen, legt Stolpersteine wie zusätzliche Verschlüsselung und VPN-Tunnel (von der ohnehin verschlüsselten Information) in den Weg. Netze werden eigens separiert, mit eigenen XDSL Leitungen auf Standleitung gebracht, in der Zentrale oder Regionen zusammengefasst… viele entnervte Errichter haben oft schon einfach eine GPRS-SIMkarte verwendet um die TCP/IP Information in die Leitstelle zu bekommen, da es „unmöglich“ war, über das Firmennetz durchzukommen.

Ich kann nur jedem Errichter aus leidvoller Erfahrung raten: Wenn „freies“ Internet verfügbar ist, versucht das zu nutzen und geht nicht über die Firmennetzwerke.

Alle IT-Verantwortliche und Administratoren kann ich nur bitten: Macht den Errichtern das Leben nicht schwerer, als es ist. Mit unseren Mini-Text-Protokollen, die wir senden stören und belasten wir nicht Eure Resourcen und und stören auch nicht Eure Kreise… – anderer Meinung? Ich freue mich auf Eure Kommentare.