Фпсу ip клиент что это
Фпсу ip клиент что это
По вопросам гарантии обращаться по e-mail shestakov@amicon.ru.
Внутренние добавочные номера для связи с отделами:
| Бухгалтерия | 105 |
| АНЕТ | 127 |
| Закупки | 117 |
| Техническая поддержка | 106 |
Программно-аппаратный комплекс (ПАК) «ФПСУ-TLS» является программно-техническим средством защиты от несанкционированного доступа к информации, в котором реализован необходимый набор телекоммуникационных функций сервера в соответствии с требованиями протокола TLS (The Transport Layer Security Protocol, RFC 5246). Комплекс выполняет функцию защиты данных, передаваемых в соответствии с протоколом HTTP в глобальных и локальных вычислительных сетях.
В составе комплекса «ФПСУ-TLS» используется средство криптографической защиты информации (СКЗИ) «Туннель-TLS», что позволяет осуществлять шифрование передаваемой информации в соответствии с ГОСТ 28147-89.
ПАК «ФПСУ-TLS» предназначен для применения в вычислительных сетях, использующих среду передачи данных Ethernet, тип кадра Ethernet_II, и стек протоколов TCP/IP. Основным назначением ПАК «ФПСУ-TLS» является обеспечение защиты от несанкционированного доступа (НСД) к информации, передаваемой между HTTP-серверами локальной вычислительной сети и удаленными абонентскими пунктами через сети передачи данных общего пользования.
Комплекс является основным компонентом (сервером) распределенной системы защиты передаваемых данных от НСД. В качестве абонентских пунктов системы (клиентов) может выступать программное или программно-аппаратное решение, взаимодействующее с ПАК «ФПСУ-TLS» в роли клиента в соответствии с протоколом TLS (далее TLS-клиент).
При построении защищенных соединений осуществляется:
• обязательная двухсторонняя аутентификация взаимодействующих «ФПСУ-TLS» и TLS-клиента при установлении TLS-соединения;
• шифрование HTTP-трафика с использованием встроенного СКЗИ «Туннель TLS», обеспечивающее сокрытие и целостность передаваемых данных.
Разграничение доступа администраторов и контроль их полномочий при запуске комплекса «ФПСУ-TLS» и управлении его работой осуществляется подсистемой ACCESS-TM SHELL по предъявляемым администраторами электронным идентификаторам «touch-memory».
Для реализации функций шифрования протокола TLS в состав комплекса входит средство криптографической защиты информации (СКЗИ) «Туннель-TLS», разработанное ООО Фирма «ИнфоКрипт» по заказу ООО «АМИКОН».
Фпсу ip клиент что это
По вопросам гарантии обращаться по e-mail shestakov@amicon.ru.
Внутренние добавочные номера для связи с отделами:
| Бухгалтерия | 105 |
| АНЕТ | 127 |
| Закупки | 117 |
| Техническая поддержка | 106 |
Для обеспечения удаленного доступа от абонентского пункта (отдельной ПЭВМ) к ресурсам информационной системы (ИС) по открытым каналам связи ООО «АМИКОН» предлагает использовать высокоэффективную технологию VPN, реализуемую при взаимодействии комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент».
Данная программно-аппаратная система обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом «ФПСУ-IP» сетью через открытые сети передачи данных. Комплекс «ФПСУ-IP/Клиент» устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизованно с использованием АРМ «Удаленного управления», при этом может одновременно использоваться до 12-ти АРМ, наделенных соответствующими полномочиями, что предопределяет высокую устойчивость и надежность управления с возможностью осуществления перекрестного аудита управления.
Комплекс «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя, устанавливаемого на ПЭВМ, и интеллектуального USB-устройства «VPN-key/Клиент», хранящего уникальный идентификатор клиента, ключевую и служебную информацию и являющегося, по существу, микро-ЭВМ.
После этого комплексы «ФПСУ-IP/Клиент» и «ФПСУ-IP» (содержащий соответствующую подсистему обслуживания комплексов «ФПСУ-IP/Клиент») выполняют аутентификацию и авторизацию пользователя и устанавливают защищенное соединение. Аутентификация происходит при создании VPN-туннеля между комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP». После аутентификации комплексом «ФПСУ-IP» выполняется авторизация клиента. Одновременно обеспечивается трансляция реального IP-адреса клиента в IP-адрес защищаемой сети.
В процессе взаимодействия комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP» выполняется фильтрация и передача данных в зашифрованном виде по VPN-каналу от РС пользователя до комплекса «ФПСУ-IP». Дополнительно может осуществляться проходное сжатие передаваемых данных, что существенно уменьшает объем передаваемой информации и повышает скорость взаимодействия.
Разрыв соединения происходит либо по запросу пользователя, либо при отключении устройства «VPN–key/Клиент» от USB-порта ПЭВМ.
Особенностью технологии «ФПСУ-IP/Клиент» является возможность работы пользователя из произвольного места размещения РС в сети, т.е. не требуется привязка к определенному IP-адресу. При этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP. Идентификация пользователя осуществляется по четырехзначному цифровому PIN-коду пользователя, количество попыток ввода которого ограничено (с дальнейшим переходом на необходимость использования 10-ти значного PUK-кода). Авторизация и аутентификация пользователей обеспечивается средствами комплекса «ФПСУ-IP».
Система удаленного администрирования и мониторинга комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент» обеспечивает полное управление и наблюдение за защищаемой сетью. Возможности системы аудита позволяют выполнять раздельный подсчет объемов передаваемых данных между конкретными РС и комплексами «ФПСУ-IP», что позволяет организовать четкий контроль за работой абонентов.
Комплекс «ФПСУ-IP/Клиент» абсолютно прозрачен для всех стандартных Интернет протоколов и может использоваться совместно с любым программным обеспечением, обеспечивающим доступ к ресурсам информационных систем.
Для обеспечения большей защищенности имеется возможность административно (удаленно или локально) ограничивать доступ пользователям «ФПСУ-IP/Клиент» к открытым сегментам сети при работе с защищаемыми ресурсами, вплоть до полного запрета.
За счет аппаратной реализации комплекса и интуитивно понятного интерфейса управления использование системы «ФПСУ-IP/Клиент» удобно для пользователя и не требует значительных дополнительных накладных расходов на обучение.
МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивается за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Количество клиентов, обслуживаемых одним комплексом ФПСУ-IP – до 128000. Максимальная пропускная способность комплексов ФПСУ-IP/Клиента на современной аппаратной платформе (Intel Core i7) – не менее 250 Мбит/с.
При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.
На настоящий момент комплексы эксплуатируются в крупных защищенных ИС, общее количество внедрений – более 400 000 комплексов «ФПСУ-IP/Клиент».
Хранение ключевых контейнеров СКЗИ КриптоПро (до 4 контейнеров)
Функции смарт-карты для хранения сертификатов и аутентификации в домене Microsoft.
«ФПСУ-IP/Клиент» для Android и IOS
Alex_N
Администратор
V1tam1n
New Member
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
Прошел 1 год. Как обычно, никому ничего не нужно, одни слова. Или обещанного 3 года ждут.
Alex_N
Администратор
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
New Member
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
А где скачать альфа-версию для Android?
Dmitriy
Администратор
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
Для тестирования пользователями данная версия пока недоступна, т.к. доработки требует и софт ФПСУ-IP, который заказчикам еще не предоставлен.
При готовности версии мы опубликуем анонс на сайте.
Alex_N
Администратор
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
Первая версия ФПСУ-IP/Клиент для Android готова.
Светлана Прошкина
New Member
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
Есть какие нибудь новости или продвижения??
Dmitriy
Администратор
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
Клиент под Android готов. Заказчики успешно используют его.
asvasv
New Member
Re: Планы относительно «ФПСУ-IP/Клиент» для Android и IOS
Не рассматривается вариант подключения ФПСУ ключа к устройству Андроид через OTG кабель?
Тогда не нужно будет печатать QR-коды, нельзя будет их ксерить и т.д.
Спасибо.
Member
Dmitriy
Администратор
elfuego57
New Member
Скачал клиент на iPad Pro, но для работы требуется QR код, который мне не выдавали. Как быть? Почему нельзя работать просто через usb-token и PIN так же, как на mac os?
Бетке Сергей: iT блог
Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation
Итак, дело минувших дней, но всё-таки. Решил привести летопись тех военных действий. Задача: заставить работать клиент-банк СБ РФ с рабочей станции пользователя, при этом не открывая с машины клиента VPN соединения. Избавимся также от принудительной блокировки TCP и UDP соединений. В этой статье опишу решение с установкой фильтра на ISA хост, в отдельной статье опишу процесс установки на отдельный специализированный сервер-маршрутизатор. Читайте дальше, и станет понятна логика.
Сразу оговорюсь – если ищите информацию о том, как избавиться от принудительной блокировки TCP и UDP соединений – читайте сюда, особенно комментарии после статьи. Здесь речь пойдёт об установке и ФПСУ IP/Клиента.
Поясню подход. С моей точки зрения, за обеспечение сеансового, и тем более транспортного уровня (с точки зрения OSI) должен отвечать не клиент, а маршрутизатор. В нашем случае – ISA Server (да, у нас всё ещё MS ISA). Для клиента всё должно быть просто и прозрачно – открываем сеанс и используем тот протокол сервера, который нам необходим. Что при этом происходит на сеансовом и транспортном уровне – не проблема клиента. Кто, где и что будет перехватывать, “заворачивать”, кодировать, подписывать – не должно волновать ни клиента, ни даже сервер. Другими словами, ни о каких VPN на рабочих станциях и задумываться не следует — и не безопасно, да и софт ставить, ключи выдавать сотрудниками, а в случае падения workstation – всё это долго переставлять… Я постараюсь привести решение с минимальными проблемами для администраторов.
Что нам говорит FAQ (мы так делать не будем :-)):
СБ РФ от нас требует организовать защищённый канал до их сервера посредством ФПСУ-IP/Клиента и МСЭ (межсетевого экрана) на их стороне, что логично. Другими словами, ни клиент-банк, ни сервер не задумываются о том, кто, что, и как (и где) их защищает, что и логично. Но ставить при этом ФПСУ-IP/Клиента на рабочие станции – это не для нас.
Автоматическое определение MTU через ICMP ФПСУ-IP/Клиент явно выполнить не в состоянии. За MTU в нашем случае ответит операционная система с поддержкой автоматического определения “чёрных дыр” (на них наткнулся при организации VPN канала с другим банком – ISA не умеет заворачивать ICMP трафик в созданный RRAS исходящий VNP канал, но это тема другой статьи).
Проверю сразу версию на сайте http://amicon.ru/forum/viewtopic.php?t=615. На момент написания статьи на сайте версия 3.1.2, и в этой статье речь пойдёт именно об этой версии. (Сейчас ссылка на новую версию доступна со страницы http://amicon.ru).
Судя по описанию, следует «бояться» следующего: Клиент устанавливает фильтрацию TCP UDP соединений (точнее – может устанавливать). Но, так как он реализован как фильтр, блокировать соединения он будет только на тех интерфейсах, к которым привязан (bindings). Об этом следует помнить в случае сетевых проблем.
Для шифрования используется решение СКЗИ «Туннель/клиент», оно встроено в ФПСУ IP клиент. Итак,
Устанавливаем ФПСУ-IP/Клиент
Устанавливаем клиента на ISA Server.
Однако, из терминальной сессии ставиться клиент отказался напрочь. Так что будем пробовать ставить, сидя за консолью. А не хотел так ставиться по одной причине — RDP отваливается во время установки, так как устанавливается драйвер сетевого уровня.
После установки поднимается сервис: “Amicon FPSU-IP/Client service” (Amicon FPSU-IP/Client service for Amicon FPSU-IP) («C:\Program Files\Amicon\Client FPSU-IP\ip-client.exe» RunAsService). Запуск — автоматический. Именно этот сервис отслеживает «появление» ключа в USB, и пытается сразу установить соединение.
Может ли «ФПСУ-IP/Клиент» восстанавливать соединение при использовании Dial-Up? Да, начиная с версии 1.42. И речь не только о dial-up. При переподключении сетевого интерфейса тоже всё в ажуре.
Начиная с версии 1.42 доступна возможность соединиться и рассоединиться при помощи командной строки: ip-client connect и ip-client disconnect (программа уже должна быть запущена).
Видим новый сетевой фильтр в стеке протоколов (справа). Напоминаю, на внешнем интерфейсе этот фильтр должен быть привязан (на картинке видно, что галка стоит), и TCP/IP также. Всё остальное – отвязываем. А на внутренних интерфейсах фильтр Amicon NDIS IM Filter Driver отвязываем. P.S. Позднее мы вообще отвяжем фильтр от всех интерфейсов, которые нам необходимы для функционирования нашей сетевой инфраструктуры и оставим его привязанным только к специально созданному ради Амикона интерфейсу, но об этом позднее.
Запускаем службу, затем ПО (через меню Амикон). Получаем в результате нечто в system tray. Активируем приложение.
Подробно на настройке останавливаться не буду, в документации подробно. Только на особенностях.
Итак, в локальных настройках обязательно ставим галку “Помнить введённый PIN код, пока VNP-key не отсоединён”. Мы же не собираемся постоянно руками “поднимать” канал, воткнули ключ и забыли про сервер.
Далее нам потребуется Ip адрес ФПСУ-IP экрана (со стороны СБ) (должен быть указан на пакете ключа) (в нашем случае — 213.148.164.72) и Ip адрес сервера за экраном (со стороны СБ) — 213.148.164.75. 
Вводим PIN код пользователя (PIN, не PIN2, последний потребуется, если Вы выберите Расширенные настройки) и получаем окно параметров клиента.
Нас будут интересовать две страницы: ФПСУ и хосты.
Именно в этом диалоге и прописываем (если они уже не прописаны) полученные адреса межсетевого экрана (ФПСУ) и серверов за ним (хосты). Физический смысл данных настроек следующий. Фильтр Amicon NDIS IM Filter Driver “ловит” все пакеты, направленные в адреса, прописанные на странице “хосты”. Именно “хосты”, а не “ФПСУ”. То есть наш клиент-банк с рабочей станции открывает ftp соединение напрямую с сервером (хостом), не задумываясь о межсетевом экране. А фильтр Amicon NDIS IM Filter Driver на ISA Server перехватывает пакеты этого соединения. О том, что он (фильтр) с ними делает – позднее.
Разъединились и соединились успешно. Пробуем пинговать «хост» 213.148.164.75 – всё в порядке.
Настраиваем ISA Server
Но это не всё. Судя по логам firewall, клиент СБ РФ пытается использовать ftp на 20+21 портах, а также порт 1024. Итак, мы должны также прописать разрешающие правила на протоколы клиента в том числе! Одна из прелестей предлагаемого решения в том, что всё взаимодействие клиент-банка с банком в логах ISA будет!
При написании правил на протоколы клиента следует учесть, что fwc для этого трафика у нас будет отключен. Поэтому правила на протоколы клиента должны быть либо без авторизации, либо с авторизацией по ip адресам. Авторизация по учётным записям здесь недопустима!
Сверху — клиент отключен, снизу — включен. Отсюда видно, что ICMP трафик, в том числе и с локальной машины при ФПСУ клиенте, установленном на isa, замечательно заворачивается в туннель (маршрут становится короче, ведь трафик “пролетает” ряд маршрутизаторов сети по туннелю, для него этот туннель – один hop).
Icmp трафик, судя по всему, успешно заворачивается в туннель.
Сам клиент связывается успешно (ФПСУ ip клиент), то есть с 87udp проблем нет.
Видимо, проблемы с tcp трафиком. Причём — после упаковки fwc клиентом. Отсюда: нужно экспериментировать с fwc клиентом, ftp командлетой и разрешающими правилами на isa.
Настраиваем FWC
Пожалуй, именно здесь и есть ключевой момент для понимания того, что происходит. IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, иначе последний их просто “не поймает”.
Что же нам может помешать? А помешать нам может FWC – firewall client for ISA. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они минуют фильтр Amicon NDIS IM Filter Driver (возможно, связано с порядком применения фильтров, ведь firewall client тоже не просто так сбоку стоит). И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка.
P.S. Можно было бы и не избегать, если бы мы поставили ФПСУ-IP/Клиент на маршрутизатор за ISA сервером (скажем – на внешний ISA firewall, уже за DMZ), при этом на внутреннем (до DMZ) никакого ФПСУ-IP/Клиента. В этой конфигурации и FWC можно было бы в покое оставить.
Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:
Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:
Сейчас создал файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом. Перезапустил клиент-банк. Пробуем связь. Неуспешно. Потому как “клиент” в данном случае – в system32. Поэтому такой вариант конфигурации использовать не будем. Будем пробовать глобальную конфигурацию.
Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.
Но при этом абсолютно все пакеты (и tcp1024, и tcp21) я вижу в логах Firewall service на ISA.
Дополнительные материалы
Резюме
Итак, мы обеспечили функционирование клиент-банка СБ РФ через ФПСУ-IP/Клиента Амикон и ISA Server, при этом не устанавливая VPN соединения с машины, а возложив все сетевые тонкости на ISA хост, что и требовалось.
Послесловие
История на этом не закончилась… Об очередных кознях СБ РФ читаем здесь.
ФПСУ-IP/Клиент блокирует RDP и VNC
logdog
Member
Есть выход написать в Сбербанк, с просьбой отключить эту принудительную настройку (+ что Вы берёте на себя все риски). А вот удовлетворят ли Вашу просьбу, я незнаю (но такое решение нам предлагали в марте)
TI_Eugene
Member
А сбер тут при чем? Клиент стоит у меня на машине.
texpoimet
Active Member
Хорошо хоть амикон идёт навстречу.
Kitoboy
New Member
Deonis
Well-Known Member
Deonis
Well-Known Member
хуже обслуживания не встречал.
bambresso
New Member
Блокировки новых TCP подключений можно отключить написав письмо в СБ
sergey.s.betke
Well-Known Member
изврат с VPN ради того, чтобы соединение уже было на момент подключения к банку.
Не факт, что поможет. Но всё-таки.
PaulA
Member
ЗЫ: Вот такой вариант без проводов никто не пробовал?
1. Вместо реальной сетевушки втыкается виртуальная (например такая http://www.ntkernel.com/w&p.php?id=32 )
2. Поднимаем NAT на интерфейсе с интернетом и отключенным амиконом (например так http://ognivo777.livejournal.com/36093.html )
3. Настраиваем роутинг пакетов для СБ через виртуальную сетевушку.
Есть тут профессиональные администраторы дабы оценить такую схему на работоспособность (хотя бы теоретически)?
Trpek
New Member
Выяснял ситуацию с другом, работающем в главном офисе городского отделения СБ. Именно на банк-клиенте.
Данную ситуацию устроил именно СБ, Амикон не имеет никакого отношения. Ему что сказали, то он и сделал. Так что наезжать не надо, они один хрен ничем не помогут.
Отключается сия фича только из СБ по письменному заявлению, после чего СБ снимает с себя ответсвенность за взлом у вас банк-клиента и уворовывания денег со счёта. Отключается не оптом, исключительно персонально, по письменному заявлению.
При этом товарищ сильно напугал, рассказал кучу случаев взлома, сказал, что не во всех случаях деньги удалось вернуть назад, так что.
З.Ы. А с другой стороныы: на работе у моей жены устали с этим бороться и просто купили ЕЩЁ ОДИН КОМПЬЮТЕР специально для клиент-банка. Причём по письму с указаниями из СБ оставили его без локальной сети и без всяких программ. ОСь + клиент-банк. Мне кажется это уже всяко перебор. Отдельный комп для клиент-банка.
Мож ещё отдельного человека взять на работу, ну чтоб обслуживал связь со сбербанком?
sergey.s.betke
Well-Known Member
— эта идея была ещё до сетевухи. Хороша тем, что в этом варианте FWC можно вообще не настраивать, и оставить, соответственно, авторизацию в правилах ISA/TMG.
New Member
Вообще амниконовцы молодцы: даже при работе со сбером (. ) сумели оставить кое-какие лазейки: ip-client.exe /?
PaulA
Member
New Member
sergey.s.betke
Well-Known Member
Проблема следующая возникает с виртуальной сетевой картой, которая на самом деле отправляет пакеты на loopback:
— для начала фильтру необходимо установить соединение с ФПСУ хостом банка, и использовать для этих целей клиент хочет (и, видимо, может) только тот интерфейс, на котором привязан.
— если бы не этот момент, мы могли бы прописать маршрут через виртуальный интерфейс только к серверу банка, а не к ФПСУ банка, и теоретически всё должно было бы работать, так как «завёрнутые» пакеты отправлялись бы в адрес ФПСУ банка, маршрут к которому уже пролегает не через виртуальный интерфейс.
P.S. с реальной сетевой картой, с которой фактически существует маршрут до ФПСУ банка, проблем бы и не было.
Коллеги, есть ещё идеи, как можно использовать в этих целях именно виртуальный адаптер?
sergey.s.betke
Well-Known Member
Такая идея кажется рабочей, хотя и жуть какой некрасивой. Есть другие варианты, так чтобы сервера приложений и клиентов не трогать?