Клієнт-банк Ощадбанку (РБ РФ), ФПСУ-IP
Клієнт-банк Ощадбанку (РБ РФ), ФПСУ-IP/Клієнт Амікон: позбавляємося блокувань TCP та UDP з'єднань при підключенні до ФПСУ РБ РФ
Передісторія
Дякую, звичайно, за подібну турботу. Зауважу, що подібний крок зроблено не відповідно до договору про надання послуг з використанням системи «Клієнт-Сбербанк». Договором не передбачається одностороння зміна умов надання послуги, а саме це ми маємо.
Але ж це СБЕРБАНК, адже йому бажання і думка клієнтів не така важлива, як їхня безпека, хоча, якщо вдуматися в запропоновані заходи “з підвищення безпеки”, нічим проти троянів на хості клієнт-банку вони допомогти не зможуть. Це більший захист самих мереж СБ Україна проти мережевих черв'яків, та й то, – досить умовний.
Симптоми "турботи РБ РФ" про нас:
Ну і перша рекомендація СБ Україна - ставте окрему машину, "не в мережі", і бігайте до неї (з чим? з флешками? або ще з чим? і це - технології 21 століття?)
Відповідь на лист щастя
Однак, після розмови з начальником відділу місцевого відділення з'ясувалося, що допомогти у вирішенні проблеми, створеної самим Ощадбанком, може лист. Тобто створюють нам проблеми вони без нашої волі, а ось вирішувати їх можна лише за нашим письмовим зверненням! Ну що ж, ми не горді, пишемо листа:
Керівнику Новгородського відділення №8629 ВАТ «Сбербанк Укаїни» Малькову М.В. від директора …
У зв'язку з технологічними особливостями робочих місць касирів-операціоністів нашого підприємства прошу Вас відключити блокування вхідних TCP та UDP з'єднань засобами ФПСУ IP/Клієнта. З відповідальністю відповідно до п.3.7 договору №… про надання послуг із використанням системи «Клієнт-Сбербанк» згоден. Про ризикшахрайських дій з боку користувачів мережі Інтернет, який може виникнути при вимкнених блокуваннях, сповіщений. З метою вирішення зазначеної задачі прошу випустити новий ключ для ФПСУ/IP клієнта.
З повагою, Директор …
Написали листа від імені директорів усіх наших підприємств, відвезли VPN-key (так, їх доведеться поміняти). Це було у четвер. І, диво, у п'ятницю дзвінок – новий ключ готовий!
P.S. Добре тим, хто має кілька організацій на одному майданчику. Думаю, я не відкрию військової таємниці, повідомивши Вам, що через Амікон ФПСУ IP/клієнта будь-якої з Ваших організацій можуть працювати всі Ваші клієнт-банки СБ Україна (звісно, якщо всі вони – в одному відділенні СБ). Тому ми замінили спочатку лише один із ключів. І після отриманого позитивного результату замінимо решту.
Пробуємо зеленого (VPN key, зрозуміло, а Ви що подумали :-)) на смак
Отже, забираємо ключ. Він уже інший, "зелененький". І, зрозуміло, працювати з третьою версією ФПСУ IP/клієнта не хоче. А причина банальна – немає драйверів, адже ключ тепер, нарешті, нормальний smart card reader.
Тому качаємо версію 4 ФПСУ IP/Клієнта (я поставив собі 4.1). Нагадую, Вам необхідно мати безпосередній доступ до консолі того хоста, на якому ставите ФПСУ IP/клієнта, віддалене підключення не допоможе Вам.
Спочатку зносимо 3-ю версію. Можна без перезавантаження. (P.S. якщо відразу почала ставити 4ую - не переживайте. Ставте її, зносіть (бо не поставиться), потім знову - ставте, і все буде нормально). Ставимо 4-ту. Все відбувається без проблем.
Тепер вставляємо ключ (VPN key) у USB порт. І бачимо нерозпізнаний пристрій. Драйвер для нього –usbccid.sys. А PID його виглядає так: USB\VID_2022&PID_0008&MI01\6 . Якщо вролі хоста у Вас Windows XP або старше – проблем не повинно бути, драйвер буде знайдено. Якщо Windows 2000 - доведеться явно його вказати:%ProgramFiles%\Amicon\Client FPSU-IP\Drivers\UsbCCID.Нагадаю - у третій версії клієнта Ви його не знайдете.
Отже, якщо драйвер вказано правильно, у менеджері пристроїв Ви побачите smart card reader. Крім того, ключ працює також як накопичувач, але тільки після введення PIN-коду. Тому його можна використовувати як сховище сертифікатів для клієнт-банку, якщо ФПСУ IP/Клієнт у Вас стоятиме на машині бухгалтера.
Не забуваємо зайти в IP/клієнта під адміністратором (ставимо галку "Адміністратор", і вводимо PIN2), і встановити опції "Пам'ятати введений PIN код, поки VNP-key не від'єднаний". Принаймні для мене (ФПСУ клієнт на ISA хості) цей крок необхідний.
Змінюємо IP packet filter на ISA
Дуже хочеться вірити, що найближчим часом турбота СБ Україна омине нас. Адже інші банки і турботу виявляють, і бажанням клієнта цікавляться, і пропонують вибір серед кількох технологій.
Звичайно ж ні, це пістолет (згадуючи анекдот про Штірліца). Все-таки знайшов і реалізував і технологічне рішення, яке вирішує проблему з блокуваннями, і дозволяє працювати одночасно з кількома банками/ФПСУ. Буде цікаво – розберемося із серверною частиною ФПСУ, наскільки це можливо без доступу до консолі та без документації