Включил ФПСУ-IP пропала локальная сеть.

[donkrasn]

Решение с двумя интерфейсами интересное, но вот у меня в интерфейсах нет галочки драйвера фпсу.
И я не могу задать по дефолту, какой интерфейс будет для фпсу, а какой будет вторым.
Как же решить такой проблем?

 

[texpoimet]

Принудительную блокировку входящих tcp соединений в конце марта ввёл Сбербанк. Он всех предупредил, но не все видимо поняли, о чём. Я не видел сообщения и, поскольку у меня клинт-банк на виртуальной машине, стал её трясти, пока не вспомнил, что фильтр амикона умеет устанавливать блокировки.
Это, разумеется, редкостное свинство -- вмешиваться в фильтрацию пакетов у клиента. Скорее всего, проще попросить Сбербанк лишить вас такого счастья.

Сам решал проблему вторым интерфейсом, на обоих галочки у фильтра стоят. Блокировки применяются только к тому, через который идут пакеты на другой конец тоннеля.

 

[PaulA]

<r><QUOTE author="texpoimet"><s>

</s> проще попросить Сбербанк лишить вас такого счастья.<e>

</e></QUOTE>
Попросить-то проще, но вот дождаться этой милости - уже сомневаюсь что получится. 2 недели от даты письма на исходе..</r>

 

[texpoimet]

Для меня вообще загадка, как можно обеспечить безопасность, заблокировав входящие tcp соединения.

 

[Alex_]

<r><QUOTE author="texpoimet"><s>

</s>Для меня вообще загадка, как можно обеспечить безопасность, заблокировав входящие tcp соединения.<e>

</e></QUOTE>
Ну здесь то по крайней мере все логично. Подключение через удаленную систему управления(которая может быть использована пользователем, не имеющим соответствующих полномочий)будет сразу же отключено, как только установится соединение с сервером ФПСУ.</r>

 

[PaulA]

<r><QUOTE author="Alex_"><s>

</s>Подключение через удаленную систему управления(которая может быть использована пользователем, не имеющим соответствующих полномочий)будет сразу же отключено, как только установится соединение с сервером ФПСУ.<e>

</e></QUOTE>
Ничего подобного. Принудительно разрывать установленные соединения, благо, никто пока не додумался. Другими словами, если уж "злоумышленник" подключился удаленно - ничто ему не помешает выполнить сеанс связи с ФПСУ.
С другой стороны, данная "мера" вынуждает придумывать дополнительные способы доступа с "потенциально заблокированному" компьютеру (ведь работать-то надо). А дополнительные способы доступа - это, как Вы понимаете, дополнительные риски неправомерного доступа. Добавьте сюда все неудобства, связанные с временной блокировкой компьютера.
Вот такая вот получается "забота о безопасности".</r>

 

[RN3QTB]

<r>В общем мне пофиг, кто там Сбербанк ломает! Я плачу деньги за связь с банком, а о защите моего оборудования и интернет канала заботятся совершенно другие организации! Я их не просил ничего придумывать и менять, а уж тем более - блокировать! Покупать отдельный комп я не собираюсь! Корячиться с железом - то же! Короче я зол до невозможности и в понедельник банк ждет жесткое разбирательство!
ЗЫ.
Отписал в другой теме, похожей по смыслу, сначала - эту тему не заметил.
<URL url="http://www.amicon.ru/forum/viewtopic.php?t=79">http://www.amicon.ru/forum/viewtopic.php?t=79</URL></r>

 

[mfxp]

<r>Дяденьки "добрые" хакеры поламайте этот ключ востановите возможность снятие этой галочки <E>:lol:</E> <E>:lol:</E></r>

 

[sh12q]

<r><QUOTE author="RN3QTB"><s>

</s>Короче я зол до невозможности и в понедельник банк ждет жесткое разбирательство!
<e>

</e></QUOTE>

Есть положительные результаты?
Интересно, каким образом какой-то банк-клиент лочит все входящие соединения в винде? КАК винда дает этому клиенту такие права?</r>

 

[Nescoffe]

<r><QUOTE author="sh12q"><s>

</s>Интересно, каким образом какой-то банк-клиент лочит все входящие соединения в винде? КАК винда дает этому клиенту такие права?<e>

</e></QUOTE>
1. С помощью клиента Амикон ФПСУ-IP
2. Так же как и любому фаерволу</r>

 

[rawsik]

Выражаю негодование по поводу блокировки входящих tcp! И отдельно тьфу в карму, тем, кто принял решение делать это без должного информирования.

в клиенте есть "настройки локальные", но меня в них не пускает, ни админа ни с оператора пином. Возможно там можно исправить.

 

[PaulA]

<r><QUOTE author="Nescoffe"><s>

</s><QUOTE author="sh12q"><s>

</s>Интересно, каким образом какой-то банк-клиент лочит все входящие соединения в винде? КАК винда дает этому клиенту такие права?<e>

</e></QUOTE>
1. С помощью клиента Амикон ФПСУ-IP
2. Так же как и любому фаерволу<e>

</e></QUOTE>
Ну не совсем так, насколько мне представляется.
1. Лочит с помощью драйвера, который устанавливается для сетевой карты. У меня он называется Amicon NDIS IM Filter Driver
2. А драйвер - это уже часть системы, поэтому прав у него предостаточно <E></E>

<QUOTE author="rawsik"><s>

</s>в клиенте есть "настройки локальные", но меня в них не пускает, ни админа ни с оператора пином<e>

</e></QUOTE>
Попробуйте с пустым паролем. По умолчанию ставится он. К пинам из конверта это поле не имеет отношения.
<QUOTE author="rawsik"><s>

</s>Возможно там можно исправить.<e>

</e></QUOTE>
К сожалению там можно внести только дополнительные блокировки, а вот возможности что-то разрешить - там нет.

Кстати, решение данной проблемы с помощью второй сетевой карты на днях порекомендовали моему знакомому в службе тех.поддержки СБ. Как говорится, без комментариев. <E>:lol:</E></r>

 

[Nescoffe]

<r><QUOTE author="PaulA"><s>

</s>
Ну не совсем так, насколько мне представляется.
1. Лочит с помощью драйвера, который устанавливается для сетевой карты. У меня он называется Amicon NDIS IM Filter Driver
<e>

</e></QUOTE>
: ) А драйвер это разве не часть клиента Амикон-ФПСУ-IP ?</r>

 

[rawsik]

<r><B><s></s>PaulA<e></e></B>
спасибо. в настройки локальные зашёл, толку только ноль.

<B><s></s>SwiMMeR<e></e></B>
так заработало! спасибо за идею)</r>

 

[FaraonTM]

<r>Спасибо <B><s></s>SwiMMeR<e></e></B> за помощь в решении проблемы. А никто не подумал, что совершив манимуляции с компьютерами клиента, Сбербанк попал на статью 207 УК РФ? Лично наша компания думает подать на них в суд и вытрясти компенсацию, так как они блокировали бухгалтерский терминальный сервер в самый разгар отчетного периода, а писмьо с сообщением о данной беде прислали только через три дня после того, как поставили галочку. А теперь вопрос к господам из Амикона: получается, что ваш ФСПУ-IP клиент позволяет технарям из сбербанка залезать удаленно на комп, где он установлен и менять настройки? А что еще этот клиент позволяет делать на компе, где он установлен? Это мы что, трояна себе поставили?</r>

 

[FaraonTM]

Кстати, на письмо поповоду убрать галочку сбербанк ответил нам отказом.

 

[Dmitriy]

<r>Думаю, пора закрывать данную тему, т.к. здесь обсуждаются вопросы, не связанные с тематикой форума. Решение проблемы было дано пользователем SwiMMeR. Тем, кто не согласен с политикой безопасности банка, необходимо пытаться наладить диалог с банком - мы здесь вам помочь, к сожалению, не сможем. На наш запрос в банк было получено следующее письмо (подобное должен был получить каждый пользователь системы "Банк-клиент"):

<QUOTE><s>

</s>Об усилении политики безопасности

Уважаемый Клиент!

В связи с продолжающимися фактами хакерских атак на компьютеры клиентов системы «Клиент-Сбербанк», грубо нарушающих требования информационной безопасности, вследствие чего мошенники получают удаленный доступ к компьютеру и возможность отправки в Банк фальшивых платежных документов, Сбербанк в рамках централизованной политики безопасности VPN-сети банка <B><s></s>с 4 марта 2010 г.<e></e></B> вводит на комплексах ФПСУ-IP/Клиент принудительную настройку, блокирующую все новые попытки подключений к компьютеру клиента во время установленного с Банком защищенного канала.

Данная мера безопасности является дополнительной и не исключает необходимость использования на компьютере системы «Клиент-Сбербанк» лицензионного, регулярно обновляемого антивирусного и системного программного обеспечения, мер безопасности пр работе с ключами ЭЦП , требований "компьютерной гигиены" и пр.

При обнаружении любых признаков вирусного заражения, несанкционированных операций, удаленного управления необходимо незамедлительно связаться с сотрудниками, обслуживающего Вас подразделения Банка, для проведения выверки остатков и последних операций, выполненных по счету.

ОАО Сбербанк России<e>

</e></QUOTE>

P.S. to <B><s></s>FaraonTM<e></e></B> Блокировку входящих TCP-соединений осуществляет драйвер-перехватчик сетевых пакетов, такой же как, например, у <URL url="http://support.kaspersky.ru/faq/?qid=208636717"><s></s>Касперского<e></e></URL>.</r>