Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФ
Ранее уже писал о том, как всё-таки помирить Амикон ФПСУ IP/Клиент и ISA Server. Однако, война не закончилась на этом. 21 марта СБ РФ разослал через клиент-банк “письма счастья”, в которых сообщил, что “всвязи с участившимися случаями хакерских атак на клиентов СБ РФ программные средства СБ теперь будут блокировать новые TCP и UDP соединения при подключенном ФПСУ”. Обсудим и найдём решение…
Предыстория
Спасибо, конечно, за подобную заботу. Замечу, что подобный шаг предпринят не в соответствии с договором предоставлении услуг с использованием системы «Клиент-Сбербанк». Договором не предусматривается одностороннее изменение условий предоставления услуги, а именно это мы и имеем.
Но это же ведь СБЕРБАНК, ему ведь желание и мнение клиентов не столь важно, сколь их безопасность, хотя, если вдуматься в предлагаемые меры “по повышению безопасности”, ничем против троянов на хосте клиент-банка они помочь не смогут. Это больше защита самих сетей СБ РФ против сетевых червей, да и то, – достаточно условная.
Симптомы “заботы СБ РФ“ о нас:
- в моём случае (у меня ФПСУ IP/Клиент стоит на маршрутизаторе (ISA хост)) при подключенном канале к ФПСУ банка новые сессии к ресурсам Интернет заканчиваются отказом, почта перестаёт уходить / приходить и так далее;
- если у Вас стоит IP/Клиент на машине с клиент-банком, Ваши сетевые приложения перестанут работать при поднятом канале (то есть 1С, сам клиент-банк (если он в сетевом варианте установлен)), и, естественно, Вы удалённо с машиной ничего сделать не сможете.
Ну и первая рекомендация СБ РФ – ставьте отдельную машину, “не в сети”, и бегайте к ней (с чем? с флэшками? или ещё с чем? и это – технологии 21 века?)
Ответ на письмо счастья
Однако, после разговора с начальником отдела местного отделения выяснилось, что помочь в решение проблемы, созданной самим же Сбербанком, может письмо. То есть создают нам проблемы они без нашей воли, а вот решать их можно только по нашему письменному обращению! Ну что же, мы не гордые, пишем письмо:
Управляющему Новгородского отделения
№8629 ОАО «Сбербанк России»
Малькову М.В.
от директора …В связи с технологическими особенностями рабочих мест кассиров-операционистов нашего предприятия прошу Вас отключить блокировку входящих TCP и UDP соединений средствами ФПСУ IP/Клиента. С ответственностью в соответствии с п.3.7 договора №… о предоставлении услуг с использованием системы «Клиент-Сбербанк» согласен. О риске мошеннических действий со стороны пользователей сети Интернет, который может возникнуть при отключенных блокировках, извещён.
С целью решения указанной задачи прошу выпустить новый ключ для ФПСУ/IP клиента.С уважением,
Директор …
Написали письмо от имени директоров всех наших предприятий, отвезли VPN-key (да, их придётся поменять). Это было в четверг. И, о чудо, в пятницу звонок – новый ключ готов!
P.S. Хорошо тем, у кого несколько организаций на одной площадке. Думаю, я не открою военной тайны, сообщив Вам, что через Амикон ФПСУ IP/клиента любой из Ваших организаций могут работать все Ваши клиент-банки СБ РФ (естественно, если все они – в одном отделении СБ). Поэтому мы заменили сначала только один из ключей. И после полученного положительного результата заменим остальные.
Пробуем зелёного (VPN key, разумеется, а Вы что подумали :-)) на вкус
Итак, забираем ключ. Он уже иной, “зелёненький”. И, разумеется, работать с 3ей версией ФПСУ IP/клиента не хочет. А причина банальна – нет драйверов, ключ ведь теперь, наконец-то, нормальный smart card reader.
Посему качаем версию 4 ФПСУ IP/Клиента (я поставил себе 4.1). Напоминаю, Вам необходимо иметь непосредственный доступ к консоли того хоста, на котором ставите ФПСУ IP/клиента, удалённое подключение не поможет Вам.
Сначала сносим 3ю версию. Можно без перезагрузки. (P.S. если сразу начала ставить 4ую – не переживайте. Ставьте её, сносите (потому как не поставится), потом снова – ставьте, и всё будет нормально). Ставим 4ую. Всё проходит без проблем.
Теперь вставляем ключ (VPN key) в USB порт. И видим нераспознанное устройство. Драйвер для него – usbccid.sys. А PID его выглядит следующим образом: USB\VID_2022&PID_0008&MI_01\6
. Если в роли хоста у Вас Windows XP или старше – проблем быть не должно, драйвер будет найден. Если Windows 2000 – придётся явно его указать: %ProgramFiles%\Amicon\Client FPSU-IP\Drivers\UsbCCID.Напомню – в 3ей версии клиента Вы его не найдёте.
Итак, если драйвер указан правильно, в менеджере устройств Вы увидите smart card reader. Кроме того, ключ работает также как накопитель, но только после ввода PIN кода. Поэтому его можно использовать в качестве хранилища сертификатов для клиент-банка, если ФПСУ IP/Клиент будет у Вас стоять на машине бухгалтера.
Не забываем зайти в IP/клиента под администратором (ставим галку “Администратор”, и вводим PIN2), и установить опции “Помнить введённый PIN код, пока VNP-key не отсоединён”. По крайней мере, для меня (ФПСУ клиент на ISA хосте) этот шаг необходим.
Меняем IP packet filter на ISA
Тут я уже расслабился, думал – на этом всё. А не тут то было. “ФПСУ хост недоступен по неизвестной причине”. Проверяю, и выясняю – ip адрес ФПСУ СБ РФ для ключей, которые не будут блокировать TCP и UDP подключения, иной. Поэтому в моём случае необходимо поправить ip packet filter (так как у меня ФПСУ IP/клиент на ISA хосте).
Стоило поправить ip packet filter (в части адреса удалённого компьютера, указать следует новый адрес ФПСУ СБ РФ) – и всё. Сейчас всё функционирует, сеть при этом не падает.
Очень хочется верить, что в ближайшее время забота СБ РФ обойдёт нас стороной. Ведь другие то банки и заботу проявляют, и желанием клиента интересуются, и предлагают выбор среди нескольких технологий.
Конец?
Конечно же нет, это пистолет (вспоминая анекдот о Штирлице). Всё-таки нашёл и реализовал и технологическое решение, решающее проблему с блокировками, и позволяющее работать одновременно с несколькими банками / ФПСУ. Будет интересно — разберёмся с серверной частью ФПСУ, насколько это возможно без доступа к консоли и без документации
.
Отзывы » (13)
RSS комментарии
Обратная ссылка
В форуме Амикона пробежала интересная тема. Предложено решение: установить второй сетевой адаптер и отключить на нём фильтр Амикона. И на этом интерфейсе блокировки TCP и UDP соединений не будет. Мало того, в том же форуме пробежало и подтверждение факта решения. Попробую воспользоваться таким решением.
Планирую следующую схему:
- устанавливаем на ISA хост 3 сетевых интерфейса (WAN, LAN и Amicon — последний так назвал условно);
- фильтр Амикона оставляем привязанным только к интерфейсу Amicon;
- прописываем на ISA хосте статический маршрут к серверу банка (не к ФПСУ хосту, а именно к серверу) — через интерфейс Amicon.
В таком варианте я надеюсь на следующее:
- внутренний интерфейс (127.0.0.1) не блокируется;
- поэтому пакеты, адресованные ФПСУ серверу банка, будут по маршруту отправлены на интерфейс Amicon, где будут перехвачены фильтром Амикон, завёрнуты в VPN UDP87 и отправлены на ФПСУ хост банка уже через WAN интерфейс ISA хоста;
- и, учитывая, что фильтр Амикона отвязан от WAN и LAN интерфейсов, проблем он не должен создать никаких другим приложениям.
В принципе, для подобной схемы нет необходимости в реальном сетевом интефейсе, достаточно будет и «виртуального». Надо будет опробовать эту схему в ближайшие дни, после праздников сразу.
Блин, ведь должен был и сам догадаться, что не должен фильтр влиять на те интерфейсы, от которых отвязан…
О результатах отпишусь. Подобная схема возможна и в том случае, когда ФПСУ IP/Клиент установлен на машине операциониста. Поэтому обяазательно опишу результаты.
Сергей, добрый день.
Получилось опробовать данную схему? Были какие-нибудь сложности?
Спасибо.
Сейчас пишу статью по результатам. Как только закончу — выложу сюда ссылку. Всё прекрасно на первый взгляд…
Если интерфейс Amicon — виртуальный, то схема «нерабочая». По сути, здесь нужен виртуальный маршрутизатор, которого не нашёл. Либо же всё-таки использовать дополнительный хост, на котором и будет стоять фильтр Amicon. Маршрут к серверам (хостам) банка в этом случае должен пролегать через этот хост, а машрут к ФПСУ банка — напрямую, минуя его. Пока только такая схема удалась.
Всё получилось, Евгений!, но иначе. Но — всё работает!
По поводу виртуального сетевого интерфейса с картинками и по-русски здесь: http://www.ntkernel.com.
Здравствуйте. Надеюсь, что вы мне подскажите в какую сторону копать, чтобы «это» заработало :).
Итак, имеем win2k server и isa 2000 + рабочая машина с XP SP3. Иса настроена по всем правилам с форума амикона, на раб.машине стоял ФПСУ версии 2.4.15 и все прекрасно работало до тех пор, пока не сгорел впн-ключ. Выдали новый зеленый, с версией 2.4.15 он не работает, скачали и поставили последнюю версию 4.1.10. Теперь никак не коннектится ФПСУ клиент. В логах исы никаких ошибок, в логе ФПСУ пишет, что сервер не доступен ( FPSU connection finished on state 4, error 14 FPSU-server is unreacheable).
Пробовал вашу схему: http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sb-rf-fpsu-ipklient-amikon-i-isa-server-kak-zastavit-eto-rabotat-ne-trogaya-klientskie-workstation. ФПСУ соединяется, но из-за принудительной блокировки со стороны сбера не ходит почта и не работает фтп-сервер. Пробовал воткнуть 3-й сетевой адаптер, но он не определяется ни ИСой ни ФПСУ клиентом.
Александр, добрый день. Если всё настроено по рекомендациям форума — работать должно. Контрольные вопросы:
- FWC отключили на машине? (или исключения ему в ini прописали? Если да, то какие? с точностью до регистра, он важен.)
- UDP (dynamic) -> UDP (87) send receive как packet rule (в случае установки по моему рецепту) или как protocol rule в случае установки на XP есть?
- в случае установки на ISA разрешающие правила (protocol rules) для протоколов самого клиента банка описаны? (ftp и tcp 1024)
Теперь к моему рецепту. Блокировка, естественно, будет. Для решения этой проблемы эта статья и написана — пишите письмо в банк. Нам помогло.
пробовал и с отключенным и с включенным (исключения все прописаны с учетом регистра ip-client и wCLNT)
да
да, есть. но проблема в том, что не соединяется ФПСУ клиент, а не банк клиент.
Фильтр Амикон должен быть привязан к тому интерфейсу, через который маршрут к ФПСУ банка лежит. То есть, если Вы ставите фильтр на ISA хост, то фильтр должен быть привязан к WAN интерфейсу.
это в случае с 2-мя сетевыми картами, а 3-я у меня не цепляется
с 3им виртуальным интерфейсом не получиться, пробовал… Нужен реальный интерфейс с маршрутами к ФПСУ хосту через него.
Нашёл и технологическое решение проблемы, описал здесь. Так что и в этот раз нам СБ РФ не смог создать нерешаемых проблем.