Ранее уже писал о том, как всё-таки помирить  Амикон ФПСУ IP/Клиент и ISA Server. Однако, война не закончилась на этом. 21 марта СБ РФ разослал через клиент-банк “письма счастья”, в которых сообщил, что “всвязи с участившимися случаями хакерских атак на клиентов СБ РФ  программные средства СБ теперь будут блокировать новые TCP и UDP соединения при подключенном ФПСУ”. Обсудим и найдём решение…


Предыстория

Спасибо, конечно, за подобную заботу. Замечу, что подобный шаг предпринят не в соответствии с договором предоставлении услуг с использованием системы «Клиент-Сбербанк». Договором не предусматривается одностороннее изменение условий предоставления услуги, а именно это мы и имеем.

Но это же ведь СБЕРБАНК, ему ведь желание и мнение клиентов не столь важно, сколь их безопасность, хотя, если вдуматься в предлагаемые меры “по повышению безопасности”, ничем против троянов на хосте клиент-банка они помочь не смогут. Это больше защита самих сетей СБ РФ против сетевых червей, да и то, – достаточно условная.

Симптомы “заботы СБ РФ“ о нас:

  • в моём случае (у меня ФПСУ IP/Клиент стоит на маршрутизаторе (ISA хост)) при подключенном канале к ФПСУ банка новые сессии к ресурсам Интернет заканчиваются отказом, почта перестаёт уходить / приходить и так далее;
  • если у Вас стоит IP/Клиент на машине с клиент-банком, Ваши сетевые приложения перестанут работать при поднятом канале (то есть 1С, сам клиент-банк (если он в сетевом варианте установлен)), и, естественно, Вы удалённо с машиной ничего сделать не сможете.

Ну и первая рекомендация СБ РФ – ставьте отдельную машину, “не в сети”, и бегайте к ней (с чем? с флэшками? или ещё с чем? и это – технологии 21 века?)

Ответ на письмо счастья

Однако, после разговора с начальником отдела местного отделения выяснилось, что помочь в решение проблемы, созданной самим же Сбербанком, может письмо. То есть создают нам проблемы они без нашей воли, а вот решать их можно только по нашему письменному обращению! Ну что же, мы не гордые, пишем письмо:

Управляющему Новгородского отделения
№8629 ОАО «Сбербанк России»
Малькову М.В.
от директора …

В связи с технологическими особенностями рабочих мест кассиров-операционистов нашего предприятия прошу Вас отключить блокировку входящих TCP и UDP соединений средствами ФПСУ IP/Клиента. С ответственностью в соответствии с п.3.7 договора №… о предоставлении услуг с использованием системы «Клиент-Сбербанк» согласен. О риске мошеннических действий со стороны пользователей сети Интернет, который может возникнуть при отключенных блокировках, извещён.
С целью решения указанной задачи прошу выпустить новый ключ для ФПСУ/IP клиента.

С уважением,
Директор …

Написали письмо от имени директоров всех наших предприятий, отвезли VPN-key (да, их придётся поменять). Это было в четверг. И, о чудо, в пятницу звонок – новый ключ готов!

P.S. Хорошо тем, у кого несколько организаций на одной площадке. Думаю, я не открою военной тайны, сообщив Вам, что через Амикон ФПСУ IP/клиента любой из Ваших организаций могут работать все Ваши клиент-банки СБ РФ (естественно, если все они – в одном отделении СБ). Поэтому мы заменили сначала только один из ключей. И после полученного положительного результата заменим остальные.

Пробуем зелёного (VPN key, разумеется, а Вы что подумали :-)) на вкус

Итак, забираем ключ. Он уже иной, “зелёненький”. И, разумеется, работать с 3ей версией ФПСУ IP/клиента не хочет. А причина банальна – нет драйверов, ключ ведь теперь, наконец-то, нормальный smart card reader.

Посему качаем версию 4 ФПСУ IP/Клиента (я поставил себе 4.1). Напоминаю, Вам необходимо иметь непосредственный доступ к консоли того хоста, на котором ставите ФПСУ IP/клиента, удалённое подключение не поможет Вам.

Сначала сносим 3ю версию. Можно без перезагрузки. (P.S. если сразу начала ставить 4ую – не переживайте. Ставьте её, сносите (потому как не поставится), потом снова – ставьте, и всё будет нормально). Ставим 4ую. Всё проходит без проблем.

Теперь вставляем ключ (VPN key) в USB порт. И видим нераспознанное устройство. Драйвер для него – usbccid.sys. А PID его выглядит следующим образом: USB\VID_2022&PID_0008&MI_01\6. Если в роли хоста у Вас Windows XP или старше – проблем быть не должно, драйвер будет найден. Если Windows 2000 – придётся явно его указать: %ProgramFiles%\Amicon\Client FPSU-IP\Drivers\UsbCCID.Напомню – в 3ей версии клиента Вы его не найдёте.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФИтак, если драйвер указан правильно, в менеджере устройств Вы увидите smart card reader. Кроме того, ключ работает также как накопитель, но только после ввода PIN кода. Поэтому его можно использовать в качестве хранилища сертификатов для клиент-банка, если ФПСУ IP/Клиент будет у Вас стоять на машине бухгалтера.

Не забываем зайти в IP/клиента под администратором (ставим галку “Администратор”, и вводим PIN2), и установить опции “Помнить введённый PIN код, пока VNP-key не отсоединён”. По крайней мере, для меня (ФПСУ клиент на ISA хосте) этот шаг необходим.

Меняем IP packet filter на ISA

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФ Тут я уже расслабился, думал – на этом всё. А не тут то было. “ФПСУ хост недоступен по неизвестной причине”. Проверяю, и выясняю – ip адрес ФПСУ СБ РФ для ключей, которые не будут блокировать TCP и UDP подключения, иной. Поэтому в моём случае необходимо поправить ip packet filter (так как у меня ФПСУ IP/клиент на ISA хосте).

Стоило поправить ip packet filter (в части адреса удалённого компьютера, указать следует новый адрес ФПСУ СБ РФ) – и всё. Сейчас всё функционирует, сеть при этом не падает.

Очень хочется верить, что в ближайшее время забота СБ РФ обойдёт нас стороной. Ведь другие то банки и заботу проявляют, и желанием клиента интересуются, и предлагают выбор среди нескольких технологий.

Конец?

Конечно же нет, это пистолет (вспоминая анекдот о Штирлице). Всё-таки нашёл и реализовал и технологическое решение, решающее проблему с блокировками, и позволяющее работать одновременно с несколькими банками / ФПСУ. Будет интересно — разберёмся с серверной частью ФПСУ, насколько это возможно без доступа к консоли и без документации Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФ

.

Отзывы » (14)

  1. В форуме Амикона пробежала интересная тема. Предложено решение: установить второй сетевой адаптер и отключить на нём фильтр Амикона. И на этом интерфейсе блокировки TCP и UDP соединений не будет. Мало того, в том же форуме пробежало и подтверждение факта решения. Попробую воспользоваться таким решением.
    Планирую следующую схему:
    - устанавливаем на ISA хост 3 сетевых интерфейса (WAN, LAN и Amicon — последний так назвал условно);
    - фильтр Амикона оставляем привязанным только к интерфейсу Amicon;
    - прописываем на ISA хосте статический маршрут к серверу банка (не к ФПСУ хосту, а именно к серверу) — через интерфейс Amicon.

    В таком варианте я надеюсь на следующее:
    - внутренний интерфейс (127.0.0.1) не блокируется;
    - поэтому пакеты, адресованные ФПСУ серверу банка, будут по маршруту отправлены на интерфейс Amicon, где будут перехвачены фильтром Амикон, завёрнуты в VPN UDP87 и отправлены на ФПСУ хост банка уже через WAN интерфейс ISA хоста;
    - и, учитывая, что фильтр Амикона отвязан от WAN и LAN интерфейсов, проблем он не должен создать никаких другим приложениям.

    В принципе, для подобной схемы нет необходимости в реальном сетевом интефейсе, достаточно будет и «виртуального». Надо будет опробовать эту схему в ближайшие дни, после праздников сразу.
    Блин, ведь должен был и сам догадаться, что не должен фильтр влиять на те интерфейсы, от которых отвязан…

    О результатах отпишусь. Подобная схема возможна и в том случае, когда ФПСУ IP/Клиент установлен на машине операциониста. Поэтому обяазательно опишу результаты.

  2. По поводу виртуального сетевого интерфейса с картинками и по-русски здесь: http://www.ntkernel.com.

  3. Александр:

    Здравствуйте. Надеюсь, что вы мне подскажите в какую сторону копать, чтобы «это» заработало :).
    Итак, имеем win2k server и isa 2000 + рабочая машина с XP SP3. Иса настроена по всем правилам с форума амикона, на раб.машине стоял ФПСУ версии 2.4.15 и все прекрасно работало до тех пор, пока не сгорел впн-ключ. Выдали новый зеленый, с версией 2.4.15 он не работает, скачали и поставили последнюю версию 4.1.10. Теперь никак не коннектится ФПСУ клиент. В логах исы никаких ошибок, в логе ФПСУ пишет, что сервер не доступен ( FPSU connection finished on state 4, error 14 FPSU-server is unreacheable).

    Пробовал вашу схему: http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sb-rf-fpsu-ipklient-amikon-i-isa-server-kak-zastavit-eto-rabotat-ne-trogaya-klientskie-workstation. ФПСУ соединяется, но из-за принудительной блокировки со стороны сбера не ходит почта и не работает фтп-сервер. Пробовал воткнуть 3-й сетевой адаптер, но он не определяется ни ИСой ни ФПСУ клиентом.

    • Александр, добрый день. Если всё настроено по рекомендациям форума — работать должно. Контрольные вопросы:
      - FWC отключили на машине? (или исключения ему в ini прописали? Если да, то какие? с точностью до регистра, он важен.)
      - UDP (dynamic) -> UDP (87) send receive как packet rule (в случае установки по моему рецепту) или как protocol rule в случае установки на XP есть?
      - в случае установки на ISA разрешающие правила (protocol rules) для протоколов самого клиента банка описаны? (ftp и tcp 1024)

      Теперь к моему рецепту. Блокировка, естественно, будет. Для решения этой проблемы эта статья и написана — пишите письмо в банк. Нам помогло.

      • Александр:

        - FWC отключили на машине? (или исключения ему в ini прописали? Если да, то какие? с точностью до регистра, он важен.)

        пробовал и с отключенным и с включенным (исключения все прописаны с учетом регистра ip-client и wCLNT)

        - UDP (dynamic) -> UDP (87) send receive как packet rule (в случае установки по моему рецепту) или как protocol rule в случае установки на XP есть?

        да

        - в случае установки на ISA разрешающие правила (protocol rules) для протоколов самого клиента банка описаны? (ftp и tcp 1024)

        да, есть. но проблема в том, что не соединяется ФПСУ клиент, а не банк клиент.

  4. Нашёл и технологическое решение проблемы, описал здесь. Так что и в этот раз нам СБ РФ не смог создать нерешаемых проблем.

  5. Irrigatorekb:

    купить ортодонтическую вестибулярную пластинку с бусинкой в екатеринбурге
    https://ekb.irrigator.ru/8-marta-cat.html

Опубликовать комментарий

XHTML: Вы можете использовать следующие HTML теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Tags Связь с комментариями статьи:
RSS комментарии
Обратная ссылка