Начальная

Windows Commander

Far
WinNavigator
Frigate
Norton Commander
WinNC
Dos Navigator
Servant Salamander
Turbo Browser

Winamp, Skins, Plugins
Необходимые Утилиты
Текстовые редакторы
Юмор

File managers and best utilites

Установка фпсу/ip-клиент. Эмулятор фпсу


ООО АМИКОН - Защита информации, Межсетевые экраны, VPN-построители, TLS-концентраторы, токены для ЭЦП и шифрования

ПО "ФПСУ-IP/Клиент"

Версия: 5.0

Актуальные версии ПО

Информационная система технической поддержки, решения проблем пользователей.

Программы Драйверы Документация
Модемы
Драйвер 3G-модема Huawei ( 5336,1 Кб, 18.01.2012)
Драйверы для VPN-Key-TLS
архитектура х86 (25 Кб, 01.08.2006) архитектура х64 (30 Кб, 01.08.2006)
Консоли
Драйвер для подключения консоли к ФПСУ-mini для Windows XP ( 4381 Кб, 03.07.2012)
Драйвер для подключения консоли к ФПСУ-mini для Windows Vista, 7, 8, 10 ( 1,25 Мб, 11.2016)
Драйверы для usb TM-считывателя (Touch Memory)
архитектура х86 (28 Кб, 04.2013) архитектура х64 (37 Кб, 04.2013)
ПАК "ФПСУ-IP"
Описание применения ПАК "ФПСУ-IP" ( 783 Кб, 04.2016)
Руководство Администратора ПАК "ФПСУ-IP" ( 3,19 Мб, 07.2017)
Инструкция по подключению к ПАК "ФПСУ-IP" через консольный порт ( 548 Кб, 11.2016)
ПАК "ФПСУ-IP/Клиент"
Руководство пользователя ПАК "ФПСУ-IP/Клиент" ( 1.3 Кб, 08.2016)
Инструкция по обновлению микрокода VPN-Key ( 403 Кб, 05.2015)
Инструкция по обновлению ПО "ФПСУ/IP-Клиент"
Для Windows (209 Кб, 23.06.2014), Для MacOS (239 Кб, 23.06.2014), Для Linux (204 Кб, 23.06.2014)
ПАК "Удаленный Администратор"
Руководство по применению ПАК "Удаленный Администратор" ( 2.78 Мб, 08.2017)
Программа "Центр выработки ключей"
Центр выработки ключей. Руководство по применению. ( 539 Кб, 02.2017)
Программа "Центр генерации ключей Клиентов"
Центр генерации ключей Клиентов. Руководство по применению. (770 Кб, 02.2017)
ПАК "ФПСУ-TLS"
Руководство Администратора ПАК "ФПСУ-TLS" ( 1 264 Кб, 10.2014)
ПАК "VPN-Key-TLS"
Руководство пользователя ПАК "VPN-Key-TLS" ( 1 671 Кб, 01.2014)

www.amicon.ru

ПАК ФПСУ-IP и его плюшки / Хабр

Аппаратная организация VPN в РФ в основном держится на следующем оборудовании: CSP VPN Gate (rVPN), ФПСУ, Континент, Check Point, Infotecs VipNet. В данной заметке попытаюсь рассказать о ФПСУ – «Программно-аппаратный комплекс «Фильтр Пакетов Сетевого Уровня – Internet Protocol», который используют по крайней мере в двух очень больших корпорациях, а его плюшки еще шире разлетелись по территории РФ. На мой скромный вкус, название не ахти, особенно 4 крайние буквы, которые запросто трансформируются в «2СУ», «2IP», «2*3OSI» или что-то подобное, т.к. по смыслу означают одно и то же. Не знаю почему, но мне сразу на ум приходит видео о КРИПО и их «интернет портале». Разработан ФПСУ российской компанией Амикон, и предназначен для организации туннелей между оконечным сетевым оборудованием.
Поставка
Из себя ПАК представляет 2-ух диновый helios блок Последние модификации были выполнены в blade стиле: В поставку идет: 2 патч корда, 2 тм-таблетки, ПО, ФОРМУЛЯР КСЗИ (для регуляторов). Вот здесь обнаруживается вопрос: верной является практика применения горячего резервирования ПАК, для этого в них предусмотрен третий Ethernet интерфейс для синхронизации, но crossover нет (до 2010 года адаптеры в ФПСУ не могли переворачивать). Ну ладно, обжать не проблема, но осадок то остался. Что приято, распаковывая ФПСУ, вы получается полностью функционально готовый ПАК, в котором лишь необходимо откалибровать ДСЧ, записать конфигурацию и выдать аутентификаторы.
Эксплуатация
В качестве ОС сейчас используются компоненты linux, раньше dos. Забавно следующее, ФПСУ под управлением dos не определяла 95% USB носителей, но если такой носитель был найден, то все каталоги и файлы на нем были доступны. После обновления до linux, флеш стали определяться без проблем, но виден был только корень диска. Какая из 2-ух зол меньшая? Приходилось применять смекалку, чтобы и конфиг достать и обновиться. Обратная совместимость версий и конфигураций односторонняя: 2,50 не примет конфигурацию от 2,53 – обратное без проблем. Обновлять ОС советую подождав некоторое время, «7 раз отмерь-1 раз отрежь», бывало что в обновлениях ОС, появлялось больше ошибок, чем в предыдущей версии. И еще, обновлять ОС можно только после того как новая версия прошла сертификацию в ФСБ. Основными этапами настройки с 0, а также обязательными перед использованием в рабочем режиме являются: 1. Проверка порядковой нумерации и MAC сетевых адаптеров (какой смотрит наружу, какой внутрь) 2. Установка конфигурации и верной версии ключей шифрования 3. Регистрация удаленного администратора – выдача аутентификатора ФПСУ 4. Настройка режима горячего резервирования.
Классические проблемы
Опишу с чем я сталкивался чаще всего: 1.Для моего региона смертью ФПСУ являлись пыль и жара, в итоге БП в утиль, он мог и не сгореть, а просто не давать нужных вольт-амперных характеристик, из-за этого ФПСУ не проходила POST. 2.Повреждение хранилища статистики, ФПСУ работает, но туннелей нет – только переустановка ОС. 3.«OS Crashed» — изменилось устройство загрузки, проверить порядок в BIOS. 4.«* Accord» — проверить параметры BIOS, вскрыть ФПСУ, передёрнуть PCI карту Аккорда. 5.«OS Starting…» — ПАК не загружается, только переустановка ОС. 6.ПАК работает, отсутствует туннель – если все в порядке с сетью, проверить версии ключей на двух концах туннеля, т.к. применяется симметричное шифрование. 7.С точки зрения логики ОС, никаких проблем в ФПСУ не было ни разу, кроме одной. Количество узлов, разрешенных на доступ группы, равен…84. Почему не 256, 512, почему вообще ограничено?
Дополнительные возможности
ФПСУ можно использоваться как МСЭ, не зря же в его названии есть слово «фильтр». По умолчанию ПАК отбрасывает все не зашифрованные пакеты, но настроить правила для портов и протоколов стека TCP возможно, что при небольшой нагрузке сэкономит финансы. Нагрузка в ФПСУ имеет очень большую роль при звездообразной топологии инфраструктуры сети, т.к. на центральном узле будут использованы все ключи от каждой транзитной ФПСУ и выполнять функции фильтрации и расшифрования одновременно будет проблематично (по крайней мере на ПАК предыдущего поколения, загрузка процессора постоянно около 100%). Также наличие 2 сетевых интерфейсов, позволяет использовать ФПСУ в качестве маршрутизатора. Но это уже на совсем крайний случай. Удаленный администратор и этим все сказано. Показывает состояние туннелей, версии ПО, ключи, статистику узла, можно обновлять, управлять ПАК, имеются различные фильтры, в общем все отлично. Но, есть очень полезная функция – «Пинг от ФПСУ» и она не работает! Забыли комментарии убрать в исходном коде при сборке, наверное… Статистика, просто невероятно не оптимизирована, за 1 рабочий день формирует файл объемом 24 Гб.
Плюшки
ФПСУ-IP клиент. Это USB-токен такого вида: Инициализируется в специальной оснастке, где в него вписывается конфигурация, номер группы и ключ ФПСУ, к которой он привязан. При этом данная группа на ФПСУ должна быть активирована. Использование токена позволяет строить VPN поверх интернета и также является МСЭ: В принципе позволяет заменить HSM в платежных системах, АТМ и УСО. Для корректной настройки на ЭВМ клиента необходимо установить софт. При установке на чисто ПО «ФПСУ-IP/Клиент» версию 4.3, на одном и том же моменте инсталятор виснет (проблема плавающая). Решается это так: ставим более старую версию 4.12, 4.2 и сверху накатываем 4.3. Работает!
В итоге
Все в общем-то достаточно на неплохом уровне, но мне кажется, что большие контрактные обязательства, не позволяют развиваться продукции от Амикон более интенсивно, а было бы интересно. Быть может это помогло бы избавиться от «детских болезней», хотя за 10 лет, можно было бы их решить, ведь версии ОС для ФПСУ меняются, а легендарный «поДудуплекс» в режимах настройки сетевых адаптеров все остается. Стабильность-признак мастерства в данном случае никак не в пользу отечественной продукции, стоимостью от 100 тыс. рублей за одну железку.

habr.com

Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор

Возникла необходимость обеспечить работу с несколькими разными ФПСУ банка (часть организаций “вынудил” СБ работать через СПЭД, часть – всё ещё на клиенте СБ, а ФПСУ то разные). Описанное ранее решение работало только в случае, если ключ один. Посему и пришлось искать другое решение, но на рабочие станции ставить ФПСУ IP клиент вообще никакого желания нет. Реализованное решение и опишу.

Принцип работы ФПСУ клиента уже ранее описывал, повторяться не буду. Приведу идею:

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор

Учитывая проблемы, которые нам уже создавал Сбербанк, не будем создавать себе проблемы и пытаться решить проблему только в рамках ISA хоста. Для этих целей будем использовать “ведро” – простенькую рабочую станцию, на которой работать уже грешно, а выкидывать жалко. Назовём её “наш Амикон-маршрутизатор”, или просто — “Амикон-маршрутизатор”.

P.S. В конце статьи остановлюсь на том, как реализовать это решение на виртуальном сервере, так как в случае наличия Windows Enterprise Server реализация в рамках виртуального сервера не потребует от Вас дополнительных затрат (на лицензирование).

Готовим маршрутизатор

Всё, что нам потребуется от самодельного маршрутизатора – хотя бы один USB порт, минимальные требования совместимости с MS Windows 2000/2003 Standard Server (да, потребуется сервер, потому как потребуется RRAS ради NAT) и два сетевых интерфейса. Можно обойтись и Windows XP, но в этом случае Вам потребуется через реестр включить маршрутизацию и NAT включить через netsh.

Устанавливаем ФПСУ IP-клиент

Пришло время установить сам клиент (сразу после установки Windows Server).

  • Качаем сам ФПСУ IP-Клиент: https://www.amicon.ru/download_client/. На момент написания статьи была доступна версия 4.1.18, о ней дальше и пойдёт речь (сейчас уже по той же ссылке доступна версия 4.3.0, причём эта версия замечательно устанавливается поверх, даже без отключения VPN, после перезагрузки канал сам поднимается!).
  • И устанавливаем его. Сама процедура не изменилась, я её уже описывал для Windows 2000, повторяться не стану. В процессе установки Вас предупредят, что ставить через терминальное подключение (через RDP) не рекомендуется. Если используете удалённое подключение, рекомендую вариант mstsc /admin,иначе проблему с ФПСУ клиентом гарантированы.
  • Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор Прежде, чем двигаться дальше, обращу Ваше внимание на одну немаловажную деталь, из-за которой несколько часов потерял сам. Если Вы настраиваете Ваше “ведро” (Амикон-маршрутизатор) не сидя за его консолью, а через RDP, следует вспомнить о том, что по умолчанию с RDP-клиента подключаются в том числе и устройства чтения smartcard, коим, в том числе, является ключ ФПСУ клиента. Другими словами, ФПСУ клиент не увидит ключа, подключенного к нашему маршрутизатору. Он увидит только ключи, подключенные к хосту, с которого Вы запустили RDP-клиента. Запретим Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторподключение устройств чтения смарт карт. И сделаем это политикой (GPO, рисунок справа): Конфигурация компьютера \  Административные шаблоны \ Компоненты Windows \ Службы терминалов \ Сервер терминалов \ Перенаправление устройств и ресурсов \ Не разрешать перенаправление устройств чтения смарт-карт.
  • Той же политикой меняем режим запуска службы смарт-карт и параметры её восстановления (SCardSvr). Но и после этого единственная возможность управлять соединением через удалённую сессию — войти сначала локально, затем заблокировать сессию, после чего уже можно будет подключиться удалённо. Видимо, интерфейс фильтра Амикона проверяет, каким образом была инициирована сессия.
Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторНастраиваем сетевые интерфейсы маршрутизатора
  • Называем его сетевые интерфейсы LAN и Amicon соответственно (картинка справа).
  • Теперь же настроим наши сетевые интерфейсы:
    • Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторОт интерфейса Amicon отвязываем все службы и фильтры, кроме фильтра Amicon NDIS IM Filter Driver и протокола TCP/IP.
    • Также рекомендую отключить регистрацию подключения Amicon в DNS. И после этого жмём Ok, интерфейс Amicon настроен.
    • Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторДа, кстати, нам потребуются фиксированные ip адреса на этих интерфейсах. Явно прописываем ip адреса в параметрах подключения.
    • Теперь настроим LAN интерфейс нашего маршрутизатора. От него мы отвяжем Amicon NDIS IM Filter Driver.
    • Также фиксируем IP адрес.
    • В идеале, шлюз (ISA хост) и все внешние ресурсы (WAN) должны быть доступны только через Amicon интерфейс (192.168.202.201 в моём примере), локальная сеть – только через LAN интерфейс. Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторДля этих целей самым простым решением будет следующее – интерфейсы должны быть в разных подсетях, как и предлагаю. Поэтому для интерфейса Amicon адрес — 192.168.202.201, например, маска – 255.255.255.0, шлюз – 192.168.202.9.  Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторА адрес шлюза (192.168.202.9) дописываем в качестве дополнительного на LAN интерфейсе ISA хоста. При этом, однако, следует проконтролировать метрику шлюза в Интернет для WAN интерфейса Вашего ISA хоста – она (метрика) должна быть максимальной (то есть этот маршрут должен обладать самым низким приоритетом, рисунок слева). Если Вы всё сделали правильно, то таблица маршрутизации на ISA хосте должна выглядеть приблизительно так: route print =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x2 ...00 0c 76 28 8c c8 ...... Intel(R) PRO/1000 MT Desktop Adapter (Microsoft' s Packet Scheduler) 0x1000003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x1000005 ...00 0c 76 28 8c c9 ...... Intel(R) PRO/100 M Network Connection =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 213.148.164.197 213.148.164.198 200 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.31.0.0 255.255.0.0 172.31.0.9 172.31.0.9 1 172.31.0.9 255.255.255.255 127.0.0.1 127.0.0.1 1 172.31.3.19 255.255.255.255 127.0.0.1 127.0.0.1 1 172.31.255.255 255.255.255.255 172.31.0.9 172.31.0.9 1 192.168.202.0 255.255.255.0 192.168.202.9 172.31.0.9 1 192.168.202.9 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.202.255 255.255.255.255 192.168.202.9 172.31.0.9 1 213.148.164.192 255.255.255.192 213.148.164.198 213.148.164.198 10 213.148.164.198 255.255.255.255 127.0.0.1 127.0.0.1 10 213.148.164.255 255.255.255.255 213.148.164.198 213.148.164.198 10 213.182.185.2 255.255.255.255 0.0.0.0 ffffffff 1 223.11.23.30 255.255.255.255 0.0.0.0 ffffffff 1 224.0.0.0 224.0.0.0 172.31.0.9 172.31.0.9 1 224.0.0.0 224.0.0.0 213.148.164.198 213.148.164.198 10 255.255.255.255 255.255.255.255 172.31.0.9 172.31.0.9 1 Default Gateway: 213.148.164.197 =========================================================================== Persistent Routes: None
    • Как видно, теперь лучшим маршрутом к 192.168.202.201 будет именно маршрут через LAN интерфейс ISA хоста (7ая запись в таблице), а не через шлюз по умолчанию. Уже сейчас ping из Вашей LAN должен успешно достигать Amicon интерфейса нашего маршрутизатора (192.168.202.201).
    • В результате всех выше описанных манипуляций таблица маршрутизации на нашем Амикон-маршрутизаторе (“ведре”) изменилась следующим образом: route print =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x2 ...00 c0 26 a8 e7 76 ...... Realtek RTL8139/810x Family Fast Ethernet NIC - Amicon NDIS IM Filter Driver (Miniport) 0x10004 ...00 0c 76 9d f9 de ...... Intel(R) PRO/100 VE Network Connection =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.202.9 192.168.202.201 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.31.0.0 255.255.0.0 172.31.2.200 172.31.2.200 20 172.31.2.200 255.255.255.255 127.0.0.1 127.0.0.1 20 172.31.255.255 255.255.255.255 172.31.2.200 172.31.2.200 20 192.168.202.0 255.255.255.0 192.168.202.201 192.168.202.201 20 192.168.202.201 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.202.255 255.255.255.255 192.168.202.201 192.168.202.201 20 224.0.0.0 240.0.0.0 172.31.2.200 172.31.2.200 20 224.0.0.0 240.0.0.0 192.168.202.201 192.168.202.201 20 255.255.255.255 255.255.255.255 172.31.2.200 172.31.2.200 1 255.255.255.255 255.255.255.255 192.168.202.201 192.168.202.201 1 Default Gateway: 192.168.202.9 =========================================================================== Persistent Routes: None
    • Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор Как видно, теперь единственный маршрут в Интернет проходит через Amicon интерфейс (192.168.202.201) (для чего мы убрали шлюз по умолчанию на интерфейсе LAN, рисунок справа), и единственный маршрут в нашу сеть – через LAN интерфейс, что и требовалось. Итак, с маршрутами на нашем маршрутизаторе разобрались. Автоматизировать настройку (или сохранить её в машиночитаемом виде для целей восстановления) можно с помощью netsh, скрипт в моём случае выглядит следующим образом: # ---------------------------------- # Interface IP Configuration # ---------------------------------- pushd interface ip # Interface IP Configuration for "Amicon" set address name="Amicon" source=static addr=192.168.202.201 mask=255.255.255.0 set address name="Amicon" gateway=192.168.202.9 gwmetric=0 set dns name="Amicon" source=static addr=none register=NONE set wins name="Amicon" source=static addr=none # Interface IP Configuration for "LAN" set address name="LAN" source=static addr=172.31.2.200 mask=255.255.0.0 set dns name="LAN" source=static addr=172.31.0.22 register=PRIMARY add dns name="LAN" addr=172.31.0.6 index=2 set wins name="LAN" source=static addr=none popd # End of interface IP configuration
  • Необходимо, чтобы маршрутизация между сетевым интерфейсами работала. Для любителей реестра рекомендую проверить следующий параметр: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ IPEnableRouter (Тип данных: REG_DWORD), он должен быть равен 1 (для серверных ОС он и так установлен в 1, для ОС рабочих станций и персональных ОС – 0).
NAT, Amicon ФПСУ IP/клиент и RRAS

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор В процессе длительных экспериментов наблюдал следующую картину: с нашего “самопального” маршрутизатора соединение с ФПСУ банка устанавливается, сервера банка доступны (tracert показывает маршрут в один hop, что и понятно – пролетает весь путь в туннеле ФПСУ). А с других компьютеров, с которых маршрут к серверам банка ведёт через наш Амикон-маршрутизатор, сервера банка недоступны. Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор При этом на в ФПСУ IP/Клиенте в статистике видно, что пакеты он отправляет, а обратно ничего не возвращается. Возникло предположение, что сервер ФПСУ Амикона не выполняет NAT (об этом информация пробегала здесь). Именно этим, на мой взгляд (здесь – исключительно догадки), объясняется работоспособность решения с установкой фильтра на ISA хост с привязкой к WAN интерфейсу – ISA реализует NAT на WAN интерфейсе. Поэтому и выбрал серверную ОС – ради NAT (в RRAS). Итак, нам необходим NAT на интерфейсе Amicon.

В первую очередь останавливаем службу ICS (Internet Connection Sharing), устанавливаем для неё режим запуска – Отключена (рекомендую этот шаг выполнить через созданный выше GPO), запускаем мастер настройки маршрутизации и удалённого доступа. При настройке выбираем вариант NAT маршрутизатора без файрвола. После установки RRAS настроить его можно следующим сценарием NetSh:

pushd routing reset popd pushd routing ip reset set loglevel error add preferenceforprotocol proto=LOCAL preflevel=1 add preferenceforprotocol proto=STATIC preflevel=3 add preferenceforprotocol proto=NONDOD preflevel=5 add preferenceforprotocol proto=AUTOSTATIC preflevel=7 add preferenceforprotocol proto=NetMgmt preflevel=10 add interface name="LAN" state=enable set filter name="LAN" fragcheck=disable add interface name="Amicon" state=enable set filter name="Amicon" fragcheck=enable add interface name="internal" state=enable set filter name="internal" fragcheck=disable add interface name="loopback" state=enable set filter name="loopback" fragcheck=disable popd pushd routing ip dnsproxy uninstall popd pushd routing ip igmp uninstall popd pushd routing ip nat uninstall install set global tcptimeoutmins=1440 udptimeoutmins=1 loglevel=ERROR add interface name="LAN" mode=PRIVATE add interface name="Amicon" mode=FULL add interface name="internal" mode=PRIVATE popd pushd routing ip ospf uninstall popd pushd routing ip relay uninstall popd pushd routing ip rip uninstall popd pushd routing ip routerdiscovery uninstall popd pushd routing ip autodhcp uninstall popd

Но суть сценария в разделе настройки NAT: интерфейс Amicon в режиме NAT-full, LAN – в режиме NAT-private.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор На этом настройка нашего Амикон-маршрутизатора закончена практически. Теперь, при установленном соединении с ФПСУ банка сервера банка будут доступны с любой рабочей станции Вашей сети (благодаря NAT и маршрутам на ISA хосте).

P.S. Кстати, мы по-прежнему можем контролировать доступ к серверам банка с наших рабочих станций. Для этих целей мы можем использовать правила фильтрации на RRAS, которые, кстати, можно установить через GPO+GPP.

Настраиваем ISA Server

Теперь мы должны написать маршруты, благодаря которым трафик, направленный в адрес ФПСУ банка и хостов банка, будет направлен на наш Амикон-маршрутизатор.

Маршрутизация

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторДля начала следует уточнить адрес ФПСУ банка и адреса серверов банка (хостов в терминологии ФПСУ). Для этих целей щёлкаем правой кнопкой на значке ФПСУ IP/клиента в трее, пункт – “VPN-key Settings”. После ввода PIN кода администратора (Вы должны были получить PIN коды вместе с ключом) не забудьте установить опцию — “Администратор”, после чего жмём Ok.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор

Окно с настройками IP клиента представлено слева. Нас интересует разделы ФПСУ (адрес межсетевого экрана банка, в моём примере – 84.204.34.245) и Хосты (адреса серверов банка, маршрут к которым возможен только через туннель ФПСУ, в моём примере – 55.251.189.1).

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизаторИдея в следующем. На ISA хосте мы должны прописать маршрут к серверам банка через наш новоявленный Амикон-маршрутизатор. Я добавил маршрут через консоль RRAS, можно – через route add, как удобнее будет. В результате таблица маршрутизации на ISA хосте будет выглядеть приблизительно так:

>route print =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x2 ...00 0c 76 28 8c c8 ...... Intel(R) PRO/1000 MT Desktop Adapter (Microsoft' s Packet Scheduler) 0x1000003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x1000005 ...00 0c 76 28 8c c9 ...... Intel(R) PRO/100 M Network Connection =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 213.148.164.197 213.148.164.198 200 55.251.189.1 255.255.255.255 172.31.2.200 172.31.0.9 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.31.0.0 255.255.0.0 172.31.0.9 172.31.0.9 1 172.31.0.9 255.255.255.255 127.0.0.1 127.0.0.1 1 172.31.3.19 255.255.255.255 127.0.0.1 127.0.0.1 1 172.31.255.255 255.255.255.255 172.31.0.9 172.31.0.9 1 192.168.202.0 255.255.255.0 192.168.202.9 172.31.0.9 1 192.168.202.9 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.202.255 255.255.255.255 192.168.202.9 172.31.0.9 1 213.148.164.192 255.255.255.192 213.148.164.198 213.148.164.198 10 213.148.164.198 255.255.255.255 127.0.0.1 127.0.0.1 10 213.148.164.255 255.255.255.255 213.148.164.198 213.148.164.198 10 213.182.185.2 255.255.255.255 0.0.0.0 ffffffff 1 223.11.23.30 255.255.255.255 0.0.0.0 ffffffff 1 224.0.0.0 224.0.0.0 172.31.0.9 172.31.0.9 1 224.0.0.0 224.0.0.0 213.148.164.198 213.148.164.198 10 255.255.255.255 255.255.255.255 172.31.0.9 172.31.0.9 1 Default Gateway: 213.148.164.197 =========================================================================== Persistent Routes: None

Видите маршрут к серверам банка (55.251.189.1) через наше “ведро” (172.31.2.200)? Важно, чтобы это маршрут имел меньшую метрику, чем шлюз по умолчанию.

Маршрут прописываем только до серверов банка (хостов), ни в коем случае не до ФПСУ банка! (иначе получим кольцо и связи не будет).

P.S. Для каждого ФПСУ нам придётся использовать своё “ведро”-маршрутизатор, и для каждого – маршрут на ISA хосте.

Забыли про LAT?

Я думаю, Вы уже получили ругань в журнале событий на ISA хосте. И правильно — мы новую локальную подсеть создали, а в LAT то её кто будет прописывать? В общем — вносим 192.168.202.0-192.168.202.255 в LAT в консоли ISA сервера, перезапускаем ISA Control.

Правила протоколов (protocol rules)

ISA готова к эксперименту. Не забываем перезапустить службу Microsoft Firewall.

Эксперименты

Теперь пришло время подключить VPN. На нашем “маршрутизаторе”, в меню клиента ФПСУ – Подключить. Если на предыдущем шаге всё сделано правильно, то с нашего маршрутизатора tracert выдаст следующий результат:

>tracert -d 55.251.189.1 Трассировка маршрута к 55.251.189.1 с максимальным числом прыжков 30 1 6 ms 5 ms 5 ms 55.251.189.1 Трассировка завершена.

Ну а благодаря NAT аналогичный результат (как минимум – на один hop длиннее) мы получим с любой рабочей станции Вашей сети.

MTU + ФПСУ IP клиент = проблемы

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор Однако, без без потенциальных проблем и здесь не обошлось. Очевидно, что фильтру Амикона требуется увеличить размер пакета, чтобы дописать свой заголовок. По результатам экспериментов – 28 байт требуется. В моём случае до  ФПСУ банка допустим MTU 1500. Из-за дополнительного заголовка ФПСУ – 1472 байта. Первое, что приходит в голову – установить на интерфейсе Amicon MTU 1472.

Но не тут то было. Запускаем тест с рабочей станции Вашей сети:

ping -t 213.148.164.75 -f -l -1470

Флагом –f мы запрещаем фрагментацию пакетов. Размер пакета (1470) меньше MTU (1472), поэтому ICMP ответа “требуется фрагментация” не последует. Но с заголовком размер пакета  составит 1498. Меньше 1500. Но ведь размер – больше MTU, поэтому и уйти такой пакет через сетевой интерфейс не сможет. И какой бы размер MTU мы не установили в реестре, проблема размером в 28 байт сохранится.

По моему субъективному мнению, разработчикам IP клиента была допущена архитектурная ошибка. Не было бы никаких проблем, если бы клиент создавал новый виртуальный сетевой интерфейс, как и многие другие VPN решения. Тогда не возникло бы и проблем с установкой MTU для этого нового виртуального интерфейса – берём MTU сетевого интерфейса, через который поднят VPN, вычитаем 28 – и получаем MTU виртуального Amicon VPN интерфейса. Но Амикон пошёл другим путём, они создали NDIS фильтр. Хотя, судя по MSDN, фильтры не должны изменять размеры пакетов. А фильтр Амикона – меняет. Вот и результат.

Другими словами – с MTU проблема у ФПСУ IP-клиента. В любом варианте установки. При этом, если отправитель не выставит флаг “фрагментация запрещена” – проблем не будет (пакет будет фрагментирован, что подтверждается успешным выполнением ping –t 213.148.164.75 –l 2000). А если отправитель выставит этот флаг, и размер пакета будет меньше MTU сетевого интерфейса, но больше, чем (MTU-28 байт) – не будет и ICMP ответа о необходимости фрагментации, и пакет отправлен не будет.

По факту могу сказать, что ни клиент СБ РФ, ни СПЭД не выставляет флага “фрагментация запрещена”. Поэтому и проблем не возникает, хотя потенциальная проблема при этом существует.

Периодический разрыв соединения и что с этим делать

По поводу разрыва соединения через интервал keep-alive пришла в голову идея — а он и должен рваться! Он не может не рваться, я бы сказал. Ведь не стоит забывать, что на ISA работает NAT. Protocol rule — send-receive. Время жизни динамического сопоставления UDP в NAT невелико. В моём случае из огромого потока коротких UDP сессий время жизни UDP сопоставления пришлось уменьшить до 1 минуты. При установке RRAS на Windows 2003 по умолчанию время жизни UDP сопоставлению будет 60 минут. Дальше всё зависит от keep-alive интервала, установленного на ФПСУ сервере. Ответный пакет (точнее любой входящий пакет) от ФПСУ сервера к клиенту будет пропущен не позднее, чем через (время жизни UDP сопоставления) после отправки последнего пакета от клиента серверу! А keep-alive на стороне ФПСУ сервера, как я понял (опять-таки — догадки), обрабатывается просто — сервер посылает пакет клиенту. И в моём случае это время выше времени жизни UDP сопоставления. Ну так пакет клиента и не достигнет.

Предложил разработчикам контролировать keep-alive на стороне клиента ФПСУ, а не сервера. Именно клиент должен посылать запрос (пакет) через keep-alive интервал после последней активности. Если не получает ответ — канал разорван. А сервер просто ждёт чуть больше, чем keep-alive интервал на клиенте. Если нет пакетов от клиента — то и слать незачем. Можно попытки на сервер и оставить, они не помешают, но на клиенте их надо ввести. В этом случае клиент отправляет пакет, вновь создаётся (либо «обновляется» время жизни существующего) сопоставления на NAT для NAT клиентов, и ответ от сервера в течение времени жизни UDP сопоставления спокойно пройдёт обратно.Пока же, если у Вас также имеют место быть ограничения на максимальное время жизни UDP сопоставления на NAT, предлагаю создать назначенное задание на Амикон маршрутизаторе от имени Local System: раз в пять минут запускаем

<br /> %ComSpec% /c ping 55.251.189.1<br />

В роли ip — адрес любого из хостов, прописанных в Вашем VPN-key. Подобное простое задание лучше всего повесить через GPP, и оно будет поддерживать UDP сопоставление на ISA NAT.

А что же FWC?

По логике вещей на нашем спецмаршрутизаторе не нужен FWC вовсе. Но с другой стороны – он и не помешает, не сможет! Так что никаких специальных настроек FWC не потребуется. Однако, рекомендую отключить службу агента клиента межсетевого экрана, опять-таки – через GPO (можно даже и без GPP).

По описанным выше причинам авторизация на протокол UDP87 возможна только по IP адресам. Если требуется авторизация по учётным записям, следует запускать службу Амикона от имени специальной учётной записи, включить FWC — и авторизация возможна. Но здесь не об этом.

Да, FWC не требует настройки на Amicon-маршрутизаторе, но на клиенте-то (СПЭД, клиент СБ РФ) требует!

IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, то есть — до нашего Amicon-маршрутизатора, иначе последний их просто “не поймает”.

Что же нам может помешать? А помешать нам может FWC. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они не попадут на наш Amicon-маршрутизатор. И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка (точнее — для любого трафика, который должен идти через туннели ФПСУ).

Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:

[Common] ... [Servers Ip Addresses] ... [Master Config] ... [winppr32] Disable=1 [dllhost] Disable=1 ... [wCLNT] Disable=1 [EXCHANGE] Disable=1

Важны последние две секции: для «родного» клиент-банка и для СПЭД соответственно.

Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:

The Firewall Client software looks for a Wspcfg.ini file in the folder in which the client WinSock program is installed. If this file is found, Firewall Client looks for a [WSP_Client_App] section, where WSP_Client_App is the name of the WinSock program without the .exe file name extension. If this section does not exist, Firewall Client looks for the [Common Configuration] section. If this section also does not exist, Firewall Client looks for the same sections in the Mspclnt.ini file. Firewall Client uses only the first section that it finds during this search to apply the program-specific configuration settings.

Подробности http://support.microsoft.com/kb/323457

Для СПЭД можно использовать файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом, для «родного» клиент-банка — нет. Будем пробовать глобальную конфигурацию.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.

ISA, DNS PTR и проблемы с подключением Амикон ФПСУ IP-Клиента

Остановлюсь на одном неочевидном моменте, не имеющим напрямую отношения к ФПСУ. Проверьте наличие PTR записи в обратной зоне DNS для IP адреса ФПСУ сервера банка. В моём случае:

nslookup 245.34.204.84.in-addr.arpa Server: ***.novgaro.ru Address: 172.31.0.22 *** ***.novgaro.ru can't find 245.32.204.84.in-addr.arpa: Non-existent domain

Если для Вашего ФПСУ картина та же — будут проблемы. Соединение с ФПСУ банка будет устанавливаться далеко не с первого раза, и во время нагрузок ситуация вообще будет плачевная (с 100ого раза, а то и того хуже). Причину подсказал Network Monitor:

3 14407.387625 {UDP:0, IPv4:0} 192.168.202.201 84.204.34.245 UDP UDP:SrcPort = 2579, DstPort = Any private terminal link(87), Length = 43 4 14416.403250 {UDP:0, IPv4:0} 84.204.34.245 192.168.202.201 UDP UDP:SrcPort = Any private terminal link(87), DstPort = 2579, Length = 44

Хорошо видно, что между запросом и ответом прошло более 9 секунд!, естественно, клиент ответа не дождался. А причина такого поведения ISA (задержка именно из-за ISA, проверено с помощью сниффера провайдера) — в отсутствии PTR записи для ФПСУ сервера в обратной зоне DNS.

Решение следующее:

  • либо отключаем логгирование на isa для firewall service («отключение» полей с fqdn не помогает, проверено)
  • либо заставляем админов банка добавить ptr запись в обратную зону для своего сервера
  • либо создаём на своих dns серверах обратную зону для адресов их сервера (да, это неправильно, но от них реакции ждать долго, а это решение можно реализовать за несколько секунд).
  • возможно, есть решение с отключением rdns запросов на isa (для логгирования) через реестр, но пока его не нашёл. Буду рад подсказкам.

У себя создал обратную DNS зону на своих серверах следующего содержания:

; ; Database file 34.204.84.in-addr.arpa.dns for 34.204.84.in-addr.arpa zone. ; Zone version: 4 ; @ IN SOA server-***.novgaro.ru. hostmaster.novgaro.ru. ( 4 ; serial number 900 ; refresh 600 ; retry 86400 ; expire 3600 ) ; default TTL ; ; Zone NS records ; @ NS server-***.novgaro.ru. @ NS server-***.novgaro.ru. ; ; Zone records ; 245 PTR proxy.inet.services.novgaro.ru.

И без перезапуска сервисов на ISA всё просто «залетало». Соединение поднимается с первого раза за доли секунды! Результаты RDNS запроса:

nslookup 84.204.34.245 Server: server-***.novgaro.ru Address: 172.31.0.22 Name: proxy.inet.services.novgaro.ru Address: 84.204.34.245

Вот такие вот тонкости…

Итоги

На этом и всё. Итого – мы добились работоспособности клиентов банка СБ РФ без каких-либо настроек ФПСУ на клиентах, не устанавливая при этом потенциально проблемного софта на ISA/TMG.

Можно избежать лишних затрат на технику и на лицензии, если у Вас есть лицензия на Windows Enterprise Server. Для описанных задач вполне подойдёт и виртуальный сервер. Но – нет поддержки в Hyper-V передачи USB портов в виртуальную среду. Зато есть сторонние решения типа USB-to-LAN. Я надеюсь, в ближайшее время смогу испробовать это решение в описанной задачи.

Кроме того, доступны программные решения для организации виртуальных сетевых интерфейсов, которые в контексте описанной задачи помогут исключить необходимость во втором “физическом” сетевом адаптере (безусловно, в случае виртуального сервера подобное решение смысла не имеет).

Задача решена,так или иначе.

sergey-s-betke.blogs.csm.nov.ru

Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation

Итак, дело минувших дней, но всё-таки. Решил привести летопись тех военных действий. Задача: заставить работать клиент-банк СБ РФ с рабочей станции пользователя, при этом не открывая с машины клиента VPN соединения. Избавимся также от принудительной блокировки TCP и UDP соединений. В этой статье опишу решение с установкой фильтра на ISA хост, в отдельной статье опишу процесс установки на отдельный специализированный сервер-маршрутизатор. Читайте дальше, и станет понятна логика.

Сразу оговорюсь – если ищите информацию о том, как избавиться от принудительной блокировки TCP и UDP соединений – читайте сюда, особенно комментарии после статьи. Здесь речь пойдёт об установке и ФПСУ IP/Клиента.

Поясню подход. С моей точки зрения, за обеспечение сеансового, и тем более транспортного уровня (с точки зрения OSI) должен отвечать не клиент, а маршрутизатор. В нашем случае – ISA Server (да, у нас всё ещё MS ISA). Для клиента всё должно быть просто и прозрачно – открываем сеанс и используем тот протокол сервера, который нам необходим. Что при этом происходит на сеансовом и транспортном уровне – не проблема клиента. Кто, где и что будет перехватывать, “заворачивать”, кодировать, подписывать – не должно волновать ни клиента, ни даже сервер. Другими словами, ни о каких VPN на рабочих станциях и задумываться не следует  — и не безопасно, да и софт ставить, ключи выдавать сотрудниками, а в случае падения workstation – всё это долго переставлять… Я  постараюсь привести решение с минимальными проблемами для администраторов.

Что нам говорит FAQ (мы так делать не будем :-)):

6) Возможна ли совместная работа Microsoft ISA Client и ФПСУ-IP/Клиент? В связи с тем , что Microsoft ISA Client использует инкапсуляцию пользовательских пакетов для отправки их через Microsoft ISA Server, для работы Приложений через ФПСУ-IP/Клиент необходимо проделать следующее: 1. Установить на рабочую станцию Microsoft ISA Client и ФПСУ-IP/Клиент (версия 142 и выше), при помощи специальной утилиты деинсталлировать LSP-драйвер ФПСУ-IP/Клиента 2. Настроить на Microsoft ISA Server прохождение во внешний сегмент UDP 87 (прописать отдельное правило в Protocol Rules (предварительно создав описание в Protocol Definitions «UDP 87 , SEND RECEIVE»)) 3. На Microsoft ISA Server в настройках Microsoft ISA Client необходимо указать имя Приложения (имя исполняемого файла без расширения) , для которого Microsoft ISA Client действовать не будет (например, указать имя «opera» или «explorer»). (Возможно, в настройках Microsoft ISA Client потребуется нажать кнопку «Update now» для активизации сделанных на Microsoft ISA Server изменений). 4. Из-за деинсталлированного LSP-драйвера могут возникнуть проблемы с передачей файлов по FTP при использовании NAT-трансляции на ФПСУ. В этом случае, поля собственного IP- адреса рабочей станции должны быть больше (или равны) полям NAT-адреса (Пример : 1. Собственный IP : 10.10.10.10 , NAT-адрес: 10..9.10.10 — работать не будет. Пример : 2. Собственный IP : 100.100.200.10 , NAT-адрес: 200.200.100.99 — работать будет).

СБ РФ от нас требует организовать защищённый канал до их сервера посредством ФПСУ-IP/Клиента и МСЭ (межсетевого экрана) на их стороне, что логично. Другими словами, ни клиент-банк, ни сервер не задумываются о том, кто, что, и как (и где) их защищает, что и логично. Но ставить при этом ФПСУ-IP/Клиента на рабочие станции – это не для нас.

Схема взаимодействия представлена на сайте Амикона:Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation хотя и не сильно прозрачная.

Автоматическое определение MTU через ICMP ФПСУ-IP/Клиент явно выполнить не в состоянии. За MTU в нашем случае ответит операционная система с поддержкой автоматического определения “чёрных дыр” (на них наткнулся при организации VPN канала с другим банком – ISA не умеет заворачивать ICMP трафик в созданный RRAS исходящий VNP канал, но это тема другой статьи).

Проверю сразу версию на сайте http://amicon.ru/forum/viewtopic.php?t=615. На момент написания статьи на сайте версия 3.1.2, и в этой статье речь пойдёт именно об этой версии. (Сейчас ссылка на новую версию доступна со страницы http://amicon.ru).

Судя по описанию, следует "бояться" следующего: Клиент устанавливает фильтрацию TCP UDP соединений (точнее – может устанавливать). Но, так как он реализован как фильтр, блокировать соединения он будет только на тех интерфейсах, к которым привязан (bindings). Об этом следует помнить в случае сетевых проблем.

Для шифрования используется решение СКЗИ "Туннель/клиент", оно встроено в ФПСУ IP клиент. Итак,

Устанавливаем ФПСУ-IP/Клиент

Устанавливаем клиента на ISA Server.

Однако, из терминальной сессии ставиться клиент отказался напрочь. Так что будем пробовать ставить, сидя за консолью. А не хотел так ставиться по одной причине — RDP отваливается во время установки, так как устанавливается драйвер сетевого уровня.

Локальная установка прошла штатно. После этого, естественно, потребовалось на ISA Server описать IP packet filter, разрешающий UDP (dynamic) -> UDP (87) send receive.

После установки поднимается сервис: “Amicon FPSU-IP/Client service” (Amicon FPSU-IP/Client service for Amicon FPSU-IP) ("C:\Program Files\Amicon\Client FPSU-IP\ip-client.exe" RunAsService). Запуск — автоматический. Именно этот сервис отслеживает "появление" ключа в USB, и пытается сразу установить соединение.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation

Может ли «ФПСУ-IP/Клиент» восстанавливать соединение при использовании Dial-Up? Да, начиная с версии 1.42. И речь не только о dial-up. При переподключении сетевого интерфейса тоже всё в ажуре. Начиная с версии 1.42 доступна возможность соединиться и рассоединиться при помощи командной строки: ip-client connect и ip-client disconnect (программа уже должна быть запущена).

Видим новый сетевой фильтр в стеке протоколов (справа). Напоминаю, на внешнем интерфейсе этот фильтр должен быть привязан (на картинке видно, что галка стоит), и TCP/IP также. Всё остальное – отвязываем. А на внутренних интерфейсах фильтр Amicon NDIS IM Filter Driver отвязываем. P.S. Позднее мы вообще отвяжем фильтр от всех интерфейсов, которые нам необходимы для функционирования нашей сетевой инфраструктуры и оставим его привязанным только к специально созданному ради Амикона интерфейсу, но об этом позднее.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstationКлиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstationЗапускаем службу, затем ПО (через меню Амикон). Получаем в результате нечто в system tray. Активируем приложение.

Подробно на настройке останавливаться не буду, в документации подробно. Только на особенностях.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstationКлиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation Итак, в локальных настройках обязательно ставим галку “Помнить введённый PIN код, пока VNP-key не отсоединён”. Мы же не собираемся постоянно руками “поднимать” канал, воткнули ключ и забыли про сервер.

Далее нам потребуется Ip адрес ФПСУ-IP экрана (со стороны СБ) (должен быть указан на пакете ключа)  (в нашем случае — 213.148.164.72) и Ip адрес сервера за экраном (со стороны СБ) — 213.148.164.75. Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation Вводим PIN код пользователя (PIN, не PIN2, последний потребуется, если Вы выберите Расширенные настройки) и получаем окно параметров клиента.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation Нас будут интересовать две страницы: ФПСУ и хосты.Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation Именно в этом диалоге и прописываем (если они уже не прописаны) полученные адреса межсетевого экрана (ФПСУ) и серверов за ним (хосты). Физический смысл данных настроек следующий. Фильтр Amicon NDIS IM Filter Driver “ловит” все пакеты, направленные в адреса, прописанные на странице “хосты”. Именно “хосты”, а не “ФПСУ”. То есть наш клиент-банк с рабочей станции открывает ftp соединение напрямую с сервером (хостом), не задумываясь о межсетевом экране. А фильтр Amicon NDIS IM Filter Driver на ISA Server перехватывает пакеты этого соединения. О том, что он (фильтр) с ними делает – позднее.

IP packet rule для ISA можно и ужесточить- разрешим UDP (dynamic) -> UDP (87) send receive только на 213.148.164.72 (адрес МСЭ, “ФПСУ”).

Разъединились и соединились успешно. Пробуем пинговать "хост" 213.148.164.75 – всё в порядке.

Настраиваем ISA Server

Как уже писал выше, требуется для начала IP packet rule для ISA — разрешим UDP (dynamic) -> UDP (87) send receive только на адрес “ФПСУ”.

Но это не всё. Судя по логам firewall, клиент СБ РФ пытается использовать ftp на 20+21 портах, а также порт 1024. Итак, мы должны также прописать разрешающие правила на протоколы клиента в том числе! Одна из прелестей предлагаемого решения в том, что всё взаимодействие клиент-банка с банком в логах ISA будет!  При написании правил на протоколы клиента следует учесть, что fwc для этого трафика у нас будет отключен. Поэтому правила на протоколы клиента должны быть либо без авторизации, либо с авторизацией по ip адресам. Авторизация по учётным записям здесь недопустима!

Что ещё интересно:

tracert -d 213.148.164.75 1 1 ms 1 ms 10 ms 213.148.164.197 2 1 ms 4 ms 4 ms 78.81.1.253 3 10 ms 10 ms 10 ms 213.148.164.72 4 1 ms 10 ms 1 ms 213.148.164.75 tracert -d 213.148.164.75 1 * * * Request timed out. 2 * * * Request timed out. 3 1 ms 1 ms 10 ms 213.148.164.75

Сверху — клиент отключен, снизу — включен. Отсюда видно, что ICMP трафик, в том числе и с локальной машины при ФПСУ клиенте, установленном на isa, замечательно заворачивается в туннель (маршрут становится короче, ведь трафик “пролетает” ряд маршрутизаторов сети по туннелю, для него этот туннель – один hop).

Итого, результаты:

Icmp трафик, судя по всему, успешно заворачивается в туннель.

Сам клиент связывается успешно (ФПСУ ip клиент), то есть с 87udp проблем нет.

Видимо, проблемы с tcp трафиком. Причём — после упаковки fwc клиентом. Отсюда: нужно экспериментировать с fwc клиентом, ftp командлетой  и разрешающими правилами на isa.

Настраиваем FWC

Пожалуй, именно здесь и есть ключевой момент для понимания того, что происходит. IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, иначе последний их просто “не поймает”.

Что же нам может помешать? А помешать нам может FWC – firewall client for ISA. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они минуют фильтр Amicon NDIS IM Filter Driver (возможно, связано с порядком применения фильтров, ведь firewall client тоже не просто так сбоку стоит). И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка.

P.S. Можно было бы и не избегать, если бы мы поставили ФПСУ-IP/Клиент на маршрутизатор за ISA сервером (скажем – на внешний ISA firewall, уже за DMZ), при этом на внутреннем (до DMZ) никакого ФПСУ-IP/Клиента. В этой конфигурации и FWC можно было бы в покое оставить.

Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:

[Common] ... [Servers Ip Addresses] ... [Master Config] ... [winppr32] Disable=1 [dllhost] Disable=1 ... [wCLNT] Disable=1

Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:

The Firewall Client software looks for a Wspcfg.ini file in the folder in which the client WinSock program is installed. If this file is found, Firewall Client looks for a [WSP_Client_App] section, where WSP_Client_App is the name of the WinSock program without the .exe file name extension. If this section does not exist, Firewall Client looks for the [Common Configuration] section. If this section also does not exist, Firewall Client looks for the same sections in the Mspclnt.ini file. Firewall Client uses only the first section that it finds during this search to apply the program-specific configuration settings.

Подробности http://support.microsoft.com/kb/323457

Сейчас создал файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом. Перезапустил клиент-банк. Пробуем связь. Неуспешно. Потому как “клиент” в данном случае – в system32. Поэтому такой вариант конфигурации использовать не будем. Будем пробовать глобальную конфигурацию.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.

Но при этом абсолютно все пакеты (и tcp1024, и tcp21) я вижу в логах Firewall service на ISA.

Дополнительные материалы
Резюме

Итак, мы обеспечили функционирование клиент-банка СБ РФ через ФПСУ-IP/Клиента Амикон и ISA Server, при этом не устанавливая VPN соединения с машины, а возложив все сетевые тонкости на ISA хост, что и требовалось.

Послесловие

История на этом не закончилась… Об очередных кознях СБ РФ читаем здесь.

sergey-s-betke.blogs.csm.nov.ru

Установка фпсу/ip-клиент

Установка ФПСУ/IP-Клиент

Если вы для осуществления связи с банком используете Интернет соединение, то предварительно нужно установить в операционной системе программу фирмы АМИКОН ФПСУ- IP/Клиент версии не ниже 2.4.0. Для этого запустите инсталлятор AmiVPN_Х_Х_Х_for_Windows.exe из дистрибутивного комплекта (той версии которую вам дали)

Нажмите ОК

- нажмите Принимаю

- здесь брать галку Менеджер VPN-Ключей (если она есть) и нажать Далее.

- здесь нажать Установить

- нажать Далее

- установка ФПСУ-IP/клиент завершена. Перегружаем компьютер.После перезагрузки, проверьте чтобы работал Интернет на данной машине, а так же наличие иконки ФПСУ. Если такой иконки нет – значит сервис АМИКОН не заработал из-за каких-то особенностей вашей операционной системы и ее настроек.Затем вставляем в свободное USB-гнездо компьютера USB-устройство «ФПСУ/IP-клиент» (выглядит как флэшка и выдается вам вместе с дистрибутивным комплектом).

При подключении устройства, может появиться окно с запросом об установке драйверов для данного устройства – сделайте отмену поиска драйверов в Интернете (ответ – «нет не в этот раз») а затем укажите в этом окне поиска драйверов «автоматический» поиск драйвера. Иногда операционная система сама находит драйвера и данных сообщений может не появиться.

После успешной установки драйверов появится окно с приглашением ввести PIN- код для запуска устройства. Проверьте наличие у вас интернета и затем введите тот PIN1-код который указан в прилагаемой к «ФПСУ-IP/Клиент» на бумажном вкладыше. После ввода PIN-кода ФПСУ попытается соединиться с сервером банка и, в случае успешного соединения иконка ФПСУ измениться – красный крестик исчезнет:

!!! Если при вводе PIN-кода ФПСУ не смогло подключиться к серверу банка при условии что Интернет на компьютере есть, выдалось сообщение о невозможности подключения или иные ошибки, то это означает что либо у вас установлен Файервол (FireWall) или «Прокси-сервер» который не дает ФПСУ произвести соединение. Обратитесь к своему системному администратору или сопровождающему ваши компьютеры инженеру для решения этой проблемы. Многие решения по возникающим проблемам при работе ФПСУ описаны на форуме официального сайта АМИКОН - www.amicon.ru

Возможно нужно разрешить доступ на вашем Прокси-сервере для адресов 212.19.29.58:1024 и 212.19.29.60:1024 открыть UDP87 и TCP1024 (для проверки выполнить команду Ping 212.19.29.1 из командной строки)После установки ФПСУ и проверки ее работоспособности можно приступать к установке самого АРМ клиент-банка. Если АРМ «Клиент» уже установлен, то попробуйте проверить связь с банком из самого АРМ (нажать кнопку Отправить/получить). В случае успешного соединения появится в журнале АРМ надпись «Начало сеанса связи», и далее либо отправка, либо прием файлов.

dopoln.ru

| Sberbank Developers

Устройства защиты

Для взаимодействия с Fintech API необходимо, в первую очередь, установить защищённый канал связи с Банком.

Возможно 2 варианта подключения с использованием программно-аппаратных средств:
  • ПАК ФПСУ-IP;
  • ФПСУ-IP/Клиент.
ПАК ФПСУ-IP
Основные функциональные возможности:
  1. Сертификаты ФСТЭК, сертификаты ФСБ России на применяемое СКЗИ "Туннель 2.0".
  2. Соответствие требованиям федерального закона №152-ФЗ "О персональных данных" может применяться в ИСПД класса К1.
  3. 2 рабочих интерфейса, 3-й и/или 4-й могут быть задействованы для "горячего" резервирования комплексов (опционально). Тип интерфейсов — 10/100/1000 или 1/10G Ethernet (UTP, Optic).
  4. Обрабатываемые уровни ЭМВОС Сетевой, транспортный. Выборочно — сеансовый и прикладной.
  5. Полный аудит событий и действий персонала, разграничение доступа с помощью iButton и USB-Key.
  6. Дополнительные защитные функции — сокрытие топологии, NAT, сокрытие факта присутствия комплекса, VPN-проксирование протоколов управления.
  7. Дополнительные сетевые функции ARP-proxy, VLAN 802.1q, пропуск MPLS-фреймов, сохранение поля TOS в туннельном заголовке, маркирование молем TOS избранный трафик.
  8. Удалённый клиент для Windows 7/8/10, Server 2008/2012, Linux, Mac OS, Android, IOS.
  9. Производительность "ФПСУ-IP" ("ФПСУ-IP/Клиент") при включенном режиме "шифрования+МЭ" — до 12 (0,25) Гбит/с. Производительность "ФПСУ-IP" в режиме МЭ — до 20 Гбит/с PPS (packet per second), в режиме "шифрования+МЭ" — до 2,8 млн пакетов в секунду. Число VPN-туннелей c ФПСУ — до 1024. Число поддерживаемых "ФПСУ-IP/Клиент" — до 131072 (128 групп по 1024 пользователя).
ФПСУ-IP/Клиент
Данное средство защиты выполнено в виде флеш-носителя. Основные функциональные возможности:
  1. Сертификаты ФСТЭК, сертификаты ФСБ России на применяемое СКЗИ «Туннель 2.0».
  2. Соответствие требованиям федерального закона №152-фз «О персональных данных» может применяться в ИСПД класса К1.
  3. Поддерживаемые ОС Windows для устройств VPN-key с программным интерфейсом USB CCID: Windows 7/8, Windows 10, Server 2008/2012. Linux поддерживается только устройства программным интерфейсом USB CCID. MacOS. Linux поддерживается только устройства программным интерфейсом USB CCID.
  4. Управление и мониторинг: Централизованное получение локальной политики безопасности с ПАК «ФПСУ-IP».
  5. Поддерживаемые сетевые интерфейсы и протоколы Ethernet-адаптеры, WAN-адаптеры (в том числе 2G/3G/4G-модемы). Протоколы: Ethernet, PPP, PPPoE, L2TP, PPtP, TCP/IP.
  6. Производительность ПАК "ФПСУ-IP/Клиент" До 250 Мбит/сек.
  7. Дополнительные функции USB-устройства VPN-key Хранение ключевых контейнеров СКЗИ КриптоПро (до 4 контейнеров)Функции смарт-карты для хранения сертификатов и аутентификации в домене Microsoft.

Примечание: при обращении к Fintech API без активации бизнес-системы на устройстве защиты небоходимо обращаться по адресу localhost:28016/sbns-upg/upg

Смотри также:

developer.sberbank.ru

Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФ

Ранее уже писал о том, как всё-таки помирить  Амикон ФПСУ IP/Клиент и ISA Server. Однако, война не закончилась на этом. 21 марта СБ РФ разослал через клиент-банк “письма счастья”, в которых сообщил, что “всвязи с участившимися случаями хакерских атак на клиентов СБ РФ  программные средства СБ теперь будут блокировать новые TCP и UDP соединения при подключенном ФПСУ”. Обсудим и найдём решение…

Предыстория

Спасибо, конечно, за подобную заботу. Замечу, что подобный шаг предпринят не в соответствии с договором предоставлении услуг с использованием системы «Клиент-Сбербанк». Договором не предусматривается одностороннее изменение условий предоставления услуги, а именно это мы и имеем.

Но это же ведь СБЕРБАНК, ему ведь желание и мнение клиентов не столь важно, сколь их безопасность, хотя, если вдуматься в предлагаемые меры “по повышению безопасности”, ничем против троянов на хосте клиент-банка они помочь не смогут. Это больше защита самих сетей СБ РФ против сетевых червей, да и то, – достаточно условная.

Симптомы “заботы СБ РФ“ о нас:

  • в моём случае (у меня ФПСУ IP/Клиент стоит на маршрутизаторе (ISA хост)) при подключенном канале к ФПСУ банка новые сессии к ресурсам Интернет заканчиваются отказом, почта перестаёт уходить / приходить и так далее;
  • если у Вас стоит IP/Клиент на машине с клиент-банком, Ваши сетевые приложения перестанут работать при поднятом канале (то есть 1С, сам клиент-банк (если он в сетевом варианте установлен)), и, естественно, Вы удалённо с машиной ничего сделать не сможете.

Ну и первая рекомендация СБ РФ – ставьте отдельную машину, “не в сети”, и бегайте к ней (с чем? с флэшками? или ещё с чем? и это – технологии 21 века?)

Ответ на письмо счастья

Однако, после разговора с начальником отдела местного отделения выяснилось, что помочь в решение проблемы, созданной самим же Сбербанком, может письмо. То есть создают нам проблемы они без нашей воли, а вот решать их можно только по нашему письменному обращению! Ну что же, мы не гордые, пишем письмо:

Управляющему Новгородского отделения №8629 ОАО «Сбербанк России» Малькову М.В. от директора …

В связи с технологическими особенностями рабочих мест кассиров-операционистов нашего предприятия прошу Вас отключить блокировку входящих TCP и UDP соединений средствами ФПСУ IP/Клиента. С ответственностью в соответствии с п.3.7 договора №… о предоставлении услуг с использованием системы «Клиент-Сбербанк» согласен. О риске мошеннических действий со стороны пользователей сети Интернет, который может возникнуть при отключенных блокировках, извещён. С целью решения указанной задачи прошу выпустить новый ключ для ФПСУ/IP клиента.

С уважением, Директор …

Написали письмо от имени директоров всех наших предприятий, отвезли VPN-key (да, их придётся поменять). Это было в четверг. И, о чудо, в пятницу звонок – новый ключ готов!

P.S. Хорошо тем, у кого несколько организаций на одной площадке. Думаю, я не открою военной тайны, сообщив Вам, что через Амикон ФПСУ IP/клиента любой из Ваших организаций могут работать все Ваши клиент-банки СБ РФ (естественно, если все они – в одном отделении СБ). Поэтому мы заменили сначала только один из ключей. И после полученного положительного результата заменим остальные.

Пробуем зелёного (VPN key, разумеется, а Вы что подумали :-)) на вкус

Итак, забираем ключ. Он уже иной, “зелёненький”. И, разумеется, работать с 3ей версией ФПСУ IP/клиента не хочет. А причина банальна – нет драйверов, ключ ведь теперь, наконец-то, нормальный smart card reader.

Посему качаем версию 4 ФПСУ IP/Клиента (я поставил себе 4.1). Напоминаю, Вам необходимо иметь непосредственный доступ к консоли того хоста, на котором ставите ФПСУ IP/клиента, удалённое подключение не поможет Вам.

Сначала сносим 3ю версию. Можно без перезагрузки. (P.S. если сразу начала ставить 4ую – не переживайте. Ставьте её, сносите (потому как не поставится), потом снова – ставьте, и всё будет нормально). Ставим 4ую. Всё проходит без проблем.

Теперь вставляем ключ (VPN key) в USB порт. И видим нераспознанное устройство. Драйвер для него – usbccid.sys. А PID его выглядит следующим образом: USB\VID_2022&PID_0008&MI_01\6. Если в роли хоста у Вас Windows XP или старше – проблем быть не должно, драйвер будет найден. Если Windows 2000 – придётся явно его указать: %ProgramFiles%\Amicon\Client FPSU-IP\Drivers\UsbCCID.Напомню – в 3ей версии клиента Вы его не найдёте.

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФИтак, если драйвер указан правильно, в менеджере устройств Вы увидите smart card reader. Кроме того, ключ работает также как накопитель, но только после ввода PIN кода. Поэтому его можно использовать в качестве хранилища сертификатов для клиент-банка, если ФПСУ IP/Клиент будет у Вас стоять на машине бухгалтера.

Не забываем зайти в IP/клиента под администратором (ставим галку “Администратор”, и вводим PIN2), и установить опции “Помнить введённый PIN код, пока VNP-key не отсоединён”. По крайней мере, для меня (ФПСУ клиент на ISA хосте) этот шаг необходим.

Меняем IP packet filter на ISA

Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФ Тут я уже расслабился, думал – на этом всё. А не тут то было. “ФПСУ хост недоступен по неизвестной причине”. Проверяю, и выясняю – ip адрес ФПСУ СБ РФ для ключей, которые не будут блокировать TCP и UDP подключения, иной. Поэтому в моём случае необходимо поправить ip packet filter (так как у меня ФПСУ IP/клиент на ISA хосте).

Стоило поправить ip packet filter (в части адреса удалённого компьютера, указать следует новый адрес ФПСУ СБ РФ) – и всё. Сейчас всё функционирует, сеть при этом не падает.

Очень хочется верить, что в ближайшее время забота СБ РФ обойдёт нас стороной. Ведь другие то банки и заботу проявляют, и желанием клиента интересуются, и предлагают выбор среди нескольких технологий.

Конец?

Конечно же нет, это пистолет (вспоминая анекдот о Штирлице). Всё-таки нашёл и реализовал и технологическое решение, решающее проблему с блокировками, и позволяющее работать одновременно с несколькими банками / ФПСУ. Будет интересно — разберёмся с серверной частью ФПСУ, насколько это возможно без доступа к консоли и без документации Клиент банк Сбербанка (СБ РФ), ФПСУ IP/Клиент Амикон: избавляемся от блокировок TCP и UDP соединений при подключении к ФПСУ СБ РФ

.

sergey-s-betke.blogs.csm.nov.ru


 

..:::Новинки:::..

Windows Commander 5.11 Свежая версия.

Новая версия
IrfanView 3.75 (рус)

Обновление текстового редактора TextEd, уже 1.75a

System mechanic 3.7f
Новая версия

Обновление плагинов для WC, смотрим :-)

Весь Winamp
Посетите новый сайт.

WinRaR 3.00
Релиз уже здесь

PowerDesk 4.0 free
Просто - напросто сильный upgrade проводника.

..:::Счетчики:::..