Возможно уязвимость -WinXP+ICS - нет фильтрации по ИСТОЧНИКУ

[mihmih]

<r><B><s></s>Преамбула:<e></e></B>
Сеть у клиента: машинки с WinXP назовем их А и Б
Машина А - две сетевые платы - локалка и интернет (кабельный провайдер) включен ICS? т.е. машина работает шлюзом, "раздает" интернет в локальную сеть.

Машина Б - только локальная сеть, шлюзом по-умолчанию прописана А.

Интернет есть на обоих машинах, все работает.
На обеих этих машинах стоит КлиентБанк и ФПСУ-клиент.
На А клиент банк ООО "Рога и копыта", на Б - ЧП Пупкин. Владелец бизнеса один, но бухгалтеры разные - потому клиентбанки и на разных машинах.
<B><s></s>Проблема:<e></e></B>
При включении ФПСУ клиента на машине А работает клиентбанк (идет шифрование) на машине А, но на Б ФПСУ клиент не соединяется! Хотя на Б (!) клиент-банк работает (хотя не должен) и без "поднятия" ФПСУ-туннеля (как я понял -через А)
При отключении ФПСУ на А - на Б ФПСУ начинает подключаться.

Насколько я понимаю проблема в том что ФПСУ-клиент "перехватывает" пакеты "не глядя" на их <B><s></s>источник<e></e></B> (надо только с локального хоста).

Теоретически, клиент Б может опротестовать(читай принести проблемы банку) платеж, мотивируя тем что его USB-свисток не включался в это время.

P.S. Предложения клиенту по изменению архитектуры сети разобъются об железный аргумент типа: "почему мы должны что-то менять/докупать когда ВСЕ остальные программы (налоговые и прочие банки) работают?</r>

 

[Джинн]

>Теоретически, клиент Б может опротестовать(читай принести проблемы банку) платеж, мотивируя тем что его USB-свисток не включался в это время.

а практически, трафик от компа Б также идёт через туннель, установленный компом А. Ключи равноценны, и без разницы от какого компа начинается туннель.
Не было бы ЕГО, не было бы и коннекта к Абонентскому пункту.

 

[mihmih]

<r><QUOTE author="Джинн"><s>

</s>>
а практически, трафик от компа Б также идёт через туннель, установленный компом А. Ключи равноценны, и без разницы от какого компа начинается туннель.
Не было бы ЕГО, не было бы и коннекта к Абонентскому пункту.<e>

</e></QUOTE>
В том то и дело, что трафик идет (в отсутствие подключения брелка Б) а <B><s></s>НЕ ДОЛЖЕН<e></e></B>! "По инструкции", каждый клиент должен соединяться ТОЛЬКО через свой туннель. А идет он потому, что на компе А заворачиваются ВСЕ пакеты, вне зависимости от источника, а в случае с клиент-банком не должны!</r>

 

[Alex_]

Если у вас в локальной сети несколько комплексов ФПСУ-ip/клиент и все они подключаются к одному серверу ФПСУ,то на этом сервере ФПСУ должен быть включен NAT для данных клиентов.
С этим вопросом обратитесь к администратору ФПСУ.

 

[Айдар]

а если на компе Б в локальных настройках ФПСУ-IP\Клиента поставить галочку "работать только через ФПСУ" и создать правила разрешающие траффик мимо туннеля, т.е. неКлиент-Банковский?

 

[Deonis]

Re: Возможно уязвимость -WinXP+ICS - нет фильтрации по ИСТОЧ

<r><QUOTE author="mihmih"><s>

</s>
<B><s></s>Проблема:<e></e></B>
При включении ФПСУ клиента на машине А работает клиентбанк (идет шифрование) на машине А, но на Б ФПСУ клиент не соединяется! Хотя на Б (!) клиент-банк работает (хотя не должен) и без "поднятия" ФПСУ-туннеля (как я понял -через А)
При отключении ФПСУ на А - на Б ФПСУ начинает подключаться.<e>

</e></QUOTE>

Думаю, это нормально, если банковский VPN сервер ФПСУ разрешает только одно VPN подключение с одного IANA IP адреса. Так как у вас поднят NAT, то, при обращении узла Б к VPN серверу через узел А, происходит трансляция "соединяния" из локальной сети в порт внешнего интерфеса узла А и VPN сервер "видит" приходящий пакет, как пакет от узла А.

<QUOTE author="mihmih"><s>

</s>Насколько я понимаю проблема в том что ФПСУ-клиент "перехватывает" пакеты "не глядя" на их <B><s></s>источник<e></e></B> (надо только с локального хоста).<e>

</e></QUOTE>

Ничего не перехватывается, работает обычная маршрутизация и фильтр-драйвер VPN клиента ФПСУ делает свое дело.

<QUOTE author="mihmih"><s>

</s>Теоретически, клиент Б может опротестовать(читай принести проблемы банку) платеж, мотивируя тем что его USB-свисток не включался в это время.<e>

</e></QUOTE>

А смысл?
В вашем USB брелоке всего лишь ключ шифрования для создания защищенного соединения с банком. Так как банк у вас один и тот же, то фактически без разницы с помощью какого именно ключа было установлено соединение. Клиент Б опротестовать ничего не может, так как защищенный канал связи с банком не имеет никакого отношения к цифровой подписи отправленного в банк документа. VPN канал всего-лишь защита от перехвата коммерческой информации.

<QUOTE author="mihmih"><s>

</s>P.S. Предложения клиенту по изменению архитектуры сети разобъются об железный аргумент типа: "почему мы должны что-то менять/докупать когда ВСЕ остальные программы (налоговые и прочие банки) работают?<e>

</e></QUOTE>

Для начала попробуйте на узле А отключить ФПСУ фильтр драйвер от интерфейса обращенного в локальную сеть.</r>

 

[mihmih]

<r><QUOTE><s>

</s> VPN сервер "видит" приходящий пакет, как пакет от узла А.<e>

</e></QUOTE>
Сервер видит не только IP-адрес А но и ИСХОДЯЩИЙ UDP-ПОРТ, а он у каждого клиента разный (маршрутизатор на базе Windows или железная коробочка DLink - при выполнении NAT подменяют не только адрес, но и порт источника, т.н. MASQUERADE в терминах Linux)

Раньше да, сервер не принимал несколько подключений с одного белого IP, но сейчас нормально работают через NAT с одного IP (у нас десятки клиентов подключаются с одного белого местного провайдера)

<QUOTE><s>

</s>Для начала попробуйте на узле А отключить ФПСУ фильтр драйвер от интерфейса обращенного в локальную сеть.<e>

</e></QUOTE>
Вот это дело, завтра попробую.</r>

 

[semd]

>Теоретически, клиент Б может опротестовать(читай принести проблемы банку) платеж, мотивируя тем что его USB-свисток не включался в это время

Не может, читайте регламент в договоре.
Опротестовать что либо можно только если это "что-либо" шифровано закрытым ключом не ваших действующих подписантов.

>А идет он потому, что на компе А заворачиваются ВСЕ пакеты, вне зависимости от источника, а в случае с клиент-банком не должны!

Это проблема настройки ФПСУ, а не самого ФПСУ. Если уж "А" несет такую странную для ПК, "несущего золотые яйца", функцию, как шлюз сети - подумать об этом можно было...