Узнать про меры безопасности:
ПАК "ФПСУ-IP"
1. Под управлением какой операционной системы функционирует ПАК «ФПСУ-IP»?
ПАК "ФПСУ-IP" функционирует на базе ядра ОС Linux с использованием собственного стека протоколов.
2. С использованием какого IP протокола строится VPN-туннель между программно-аппаратными комплексами ПАК «ФПСУ-IP»?
По-умолчанию, для создания туннеля используется протокол IP-53. Для оптимизации трафика возможно разделение потока на 8 независимых туннелей. ПАК "ФПСУ-IP" версии 3 позволяет создавать туннель с использованием протокола UPD порт 30004.
3. Два ПАК «ФПСУ-IP» не могут установить туннель. В чем причина?
В данном случае возможна следующая последовательность действий:
- необходимо проверить правильность настроек конфигурации «ФПСУ-IP»
- проверить правильность настроек LAN-адаптеров «ФПСУ-IP»
- проверить правильность коммутации портов «ФПСУ-IP» с сетевым оборудованием
- попробуйте изменить в конфигурации на обоих «ФПСУ-IP» служебный протокол для туннеля (например, можно использовать 110 IP протокол
(2 поток)).
Для проверки прохождения трафика по служебным протоколам можно использовать утилиту .
4. При загрузке ПАК «ФПСУ-IP» появляется сообщение «System destroyed». Что необходимо предпринять для восстановления системы?
Необходимо проверить:
- настройки BIOS (Первым загрузочным устройством должно быть «Access BIOS PnP» (INTEL BIOS) или LAN (Award BIOS)).
- дополнительный LAN адаптер или плату «АККОРД» (Возможно, потребуется вынуть-вставить плату в PCI-разъеме).
5. Настроили общие правила разделения потоков, а разделение по потокам не работает. Что не правильно?
«Общие правила разделения потоков могут быть описаны с использованием соответствующей команды меню конфигурации МЭ “ФПСУ-IP”. Подчеркнём, что операция по определению общих правил носит абстрактный характер, установленные здесь правила при работе комплекса не используются, а только служат “заготовками” при формировании параметров порта конфигурируемого МЭ “ФПСУ-IP”.» (Руководство администратора ч.4.2.7 Общие правила разделения потоков).
ПАК "Удаленный администратор "ФПСУ-IP"
1. С какими операционными системами работает ПАК "Удаленный администратор "ФПСУ-IP"?
Поддерживается ОС: Windows 2000, Windows XP, Server 2003, Windows Vista, Windows 7, 8, 10 для архитектуры Intel x86-x64 (Не совместима с Windows RT и Windows ARM)
2. С использованием какого IP протокола осуществляется взаимодействие между "Удаленным администратором "ФПСУ-IP" и ПАК "ФПСУ-IP"?
В зависимости от версии ПАК "ФПСУ-IP" может использоваться протокол IP-56 либо UDP/30003.
3. «Удаленный администратор ФПСУ-IP» имеет возможность осуществлять мониторинг ПАК «ФПСУ-IP» , но получить или отправить конфигурацию невозможно. В чем причина?
Данная проблема связана с MTU. Взаимодействие между «Удаленным администратором ФПСУ-IP» и ПАК «ФПСУ-IP» осуществляется при помощи IP пакетов, в которых установлен флаг «DF» (запрет фрагментации). При обработке этих пакетов транзитный маршрутизатор не может передать их далее по маршруту, т.к. MTU следующего транзитного канала меньше, чем MTU обрабатываемого пакета. Обычно транзитный маршрутизатор посылает отправителю данного пакета (т.е. в IP адрес АРМ «Удаленный администратор ФПСУ-IP» или ПАК «ФПСУ-IP») ICMP сообщение о необходимости уменьшить размер пакета. «Удаленный администратор ФПСУ-IP» при получении такого ICMP сообщения уменьшает свой MTU до указанного в пакете размера. Но проблема в том, что не все маршрутизаторы посылают такие ICMP сообщения (или же посланные сообщения не доходят до получателя). В ближайшем будущем в АРМ «Удаленный администратор ФПСУ-IP» будет добавлена возможность изменять MTU административно.
4. АРМ УА Выдал на экран сообщение об ошибке как передать сведения разработчикам?
Отправить файл ipadmfar.bug разработчикам с описанием действий, повлекших ошибку.
5. АРМ УА Выдал на экран дамп регистров как передать сведения разработчикам?
ПАК "ФПСУ-IP/Клиент"
1. Ошибка установки драйвера при установленном Kaspersky Internet Security
Для устранения ошибки, необходимо отключить самозащиту Kaspersky. Подробная инструкция: https://support.kaspersky.ru/13912 .
2. По какому протоколу строится VPN-туннель между ПАК «ФПСУ-IP/Клиента» и ПАК «ФПСУ-IP»?
Для построения VPN-туннеля используется UDP-протокол (на ПАК «ФПСУ-IP» используется 87 порт, «ФПСУ-IP/Клиент» использует стандартные порты выше 1024 (динамические)).
3. С какими операционными системами работает «ФПСУ-IP/Клиент»?
Windows 2000 (все версии), Windows XP (все версии), Server 2003 (с ограничениями по версиям), Vista (все версии), Server 2008 (все версии), Windows 7, 8, 10 для архитектуры Intel x86-x64 (Не совместима с Windows RT и Windows ARM), различные версии ОС на базе Linux, MAC OS X, Android OS.
4. Где можно скачать последнюю версию «ФПСУ-IP/Клиента»?
Можно скачать на нашем сайте, пройдя по .
5. Можно ли управлять соединением/рассоединением «ФПСУ-IP/Клиент» из командной строки?
Да, можно. Запустите файл ip-client.exe с параметром «/?» для получения более детальной информации.
6. Возможна ли совместная работа Microsoft Isa Client и ФПСУ-IP/Клиент?
В связи с тем, что Microsoft Isa Client использует инкапcуляцию пользовательских пакетов для отправки их через Microsoft Isa Server,
для работы Приложений через ФПСУ-IP/Клиент необходимо проделать следующее:
1. Установить на рабочую станцию Microsoft Isa Client и ФПСУ-IP/Клиент (версия 4.7 и выше).
2. Настроить на Microsoft Isa Server прохождение во внешний сегмент UDP 87 (прописать отдельное правило в Protocol Rules
(предварительно создав описание в Protocol Definitions «UDP 87 , SEND RECEIVE»))
3. На Microsoft Isa Server в настройках Microsoft Isa Client необходимо указать имя Вашего Приложения (имя исполняемого файла без
расширения) , для которого Microsoft Isa Client действовать не будет (например, указать имя «wCLNT»,«OPERA» или «IEXPLORE» c
параметром «Disable» , «0»).
Такие же настройки необходимо сделать для Приложения «IP-Client».(Возможно, в настройках Microsoft Isa Client потребуется
нажать кнопку «Update now» или перегрузить рабочую станцию для активизации сделанных на Microsoft Isa Server изменений).
7. При установке VPN-соединения через PPPoE-соединение, создаваемое на рабочей станции, останавливается передача данных или разрывается само PPPoE-соединение.
Проверьте, не установлены ли в настройках «ФПСУ-IP/Клиент» блокировки «Все пакеты, кроме IP стека протоколов».
Если эти блокировки установлены локально в VPN-key (маркеры в checkbox), то, используя PIN-код администратора, снимите их.
Если рядом с checkbox стоит значок «stop», то снять эту блокировку может только Администратор «ФПСУ-IP». Свяжитесь с организацией,
занимающейся эксплуатацией вашей системы.
Если для подключения к провайдеру используется "высокоскоростное подключение" активировать в "Локальных настройках" опцию для отключения блокировок используемого протокола L2TP или PPTP.
8. После установки «ФПСУ-IP/Клиента» возникают проблемы с установлением сетевых соединений у каких-либо других программ.
Обновите версию ФПСУ-IP/Клиент до 4.7 и выше. Проверьте блокировки в настройках USB-устройства и Локальных настройках.
9. После установки «ФПСУ-IP/Клиента» возникают ошибки: подвисание системы при перезагрузке; перегрузка системы при попытке установить соединение (или послать пакет) через VPN.
а) Проверить, правильно ли отображаются существующие сетевые адаптеры и их параметры в «ФПСУ-IP/Клиенте» в разделе «О программе» - «Информация».10. При установленном ФПСУ-IP/клиенте разрывается, через какое то время, TCP соединение. Соединение при этом неактивно, то есть информационного обмена в данной TCP сессии нет продолжительное время.
В реестре есть ключ типа DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Amicon\Client FPSU-IP\TCPSessionIDLETimeout . В данном ключе содержится время в МИНУТАХ (по умолчанию час - 60 минут), в течение которого TCP сессия будет "жить", если по ней не идут пакеты, после этого времени будет заблокирована файерволом Амикон.
11. Ошибки соединения.
"Ошибка по тесту Р1" ."Проверьте настройки межсетевого экрана и IP-адрес ФПСУ"
.
Проверьте настройки сетевого подключения, а также доступность 87-го порта по протоколу UDP ().
"Удаленный хост недоступен"
.
Проверьте, подключен ли компьютер к сети internet.
При попытке установить соединение выдается следующее сообщение. Что оно означает?
Подобное сообщение означает, что маршрут для отправки запроса на соединение с ФПСУ-IP неизвестен. В этом случае необходимо
добавить маршрутизатор по умолчанию в настройках протокола TCP/IP сетевого подключения (или правильный маршрут в таблицу
маршрутизации).
12. Как организовать работу ФПСУ-IP/Клиент через proxy-server ?
a) В настройках ФПСУ-IP/Клиент в качестве IP-адреса Основного ФПСУ-IP указывается IP-адрес внутреннего порта proxy-server:Исходный пакет (UDP протокол) |
NAT пакет (UDP протокол) |
||||||
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
192.168.0.2 |
1024-65535 |
Внутренний адрес proxy-server |
Внешний адрес proxy-server |
1024-65535 |
Интернет адрес ФПСУ-IP |
13. Флэш-диск в "зеленых" ключах
В ключах с прошивкой 3.0.0 (прошивка Туннель-2.0) и выше имеется mass storage диск. Его размер зависит от объема установленного в ключе чипа памяти. Выпускаются ключи с двумя размерами памяти - ~480 KB и ~1950 KB. Скорость записи: 100 KB/s, чтения - 200-250 KB/s. Доступ к диску на запись или форматирование открывается только после успешного ввода ПИН-кода администратора.
14. Как проверить возможность соединения ФПСУ-IP/Клиент через межсетевой экран или прокси-сервер?
а) Скачайте тестовое приложение TEST CLIENT15. Ошибка установки драйвера устройства VPN-KEY
1) В диспетчере устройств "VPN-Key" без драйвера.
Для обновления драйвера устройства необходимо нажать на нем ПКМ (правая кнопка мыши) и выбрать пункт "Обновить драйвер".
Для поиска драйвера выбрать "Автоматический режим". Устройство VPN-Key составное, поэтому обновить драйвер потребуется 2 раза. Если автоматическое обновление драйвера невозможно, необходимо вручную указать путь к *.inf файлу драйвера: C:\Program Files\Amicon\Client FPSU-IP\Drivers (по умолчанию) и в зависимости от типа устройства ("vpn-key" или "USB Smart Card reader") выбрать в указанном каталоге папку VpnKey или UsbCCID.
Примечание:
В случае типа устройства "USB Smart Card reader" необходимо убедиться в наличии службы "Смарт-Карта".
2) На Windows 7 x64 ошибка "Невозможно открыть устройство драйвера".
В Windows 7 X64 изменился алгоритм цифровой подписи драйверов. Для решения проблем с установкой драйверов необходимо
установить обновления Windows.
Для поддержки цифровой подписи файлов новым типом хэша SHA256 необходимо установить пакет сервисных обновлений SP1.
Система безопасного доступа к web-сервисам на базе «ФПСУ-TLS» и специализированного USB-устройства «VPN-Key-TLS»
Описание VPN-Key-TLS
VPN-Key-TLS - это общее название семейства сертифицированных персональных USB устройств, применяемых для безопасного удаленного доступа к web-сервисам в концепции абсолютно "тонкого" клиента. Кроме того, устройства реализуют квалифицированную цифровую подпись как определенных структурированных данных в информационных системах, так и отдельных пользовательских файлов.
Ключевая система устройств полностью совместима с инфраструктурой открытых ключей (Public Key Infrastructure).
На сегодняшний день семейство представлено базовым устройством VPN-Key-TLS и двумя интерактивными устройствами - VPN-Key-TLS Touch (с сенсором) и VPN-Key-TLS Screen (с экраном).
Основные характеристики устройств
Базовые возможности
Возможности VPN-Key-TLS Touch
Возможности VPN-Key-TLS Screen
Преимущества
Вот докатилась и до моей улицы чума. Руководство постановило открыть счета в сбебранке. А к ним, как водится, подключить интернет-банк, он же банк-клиент.
Тут надо отметить, что у сбебранка есть две версии банк-клиента. Одна работает с применением VPN плюс использования аппаратного средства криптозащиты. То бишь, есть некий девайс, который совмещает в себе флешку и некую хитрую смарт-карту. На флешке лежит софтина. Запускаешь exe-шник, софтина устанавливает защищенный канал связи с сервером банка, поднимает на интерфейсе локальной петли прокси-сервер, после чего запускается браузер, который цепляется к этому прокси-серверу. Шифрование при этом происходит средствами смарт-карты. Основная идея тут в том, закрытый ключ при таком подходе украсть вроде как невозможно.
Беда в том, что данная схема заточена на взаимодействие с аппаратным ключом напрямую, мимо виндовой подсистемы работы со смарткартами (которая SmartCard Service), а посему про RDP-сеансы можно забыть. Нас такой подход категорически не устраивает, поэтому мы выбрали другой вариант.
Альтернативная версия банк-клиента использует для двухфакторной авторизации обычные SMS-ки и работает просто через обычный браузер без каких-либо дополнительных заморочек. Основной её недостаток по сравнению с предыдущим вариантом — на каждую транзакцию нужно вводить отдельный код из отдельной SMSки. Которая ещё может и не придти, или поступить с большой задержкой. И если сотрудник проводит в день несколько сотен операций, то процесс становится, мягко говоря, весьма утомительным. Но тем не менее мы сочли это меньшим злом, нежели нестандартный ни с чем не совместимый токен.
Штука в том, что логином для SMS-варианта банк-клиента является адрес электронной почты. При всём при этом он является регистрочувствительным (!). Да-да. Логин. Регистрочувствительный. Заключать договор поехал некий профильный специалист-финансист, ничего не понимающий в IT. Подал заявку. В каком регистре он (от руки) написал адрес электропочты в заявлении, никто не знает. И уж тем более никто не знает, в каком регистре всё это безобразие внесла в систему операционистка Сбебранка.
А затем начинаются бодрые наезды со стороны финансового отдела на отдел IT из серии "а фигли вы тут нам не можете обеспечить работоспособность банк-клиента". Дык я бы и рад помочь, только ж я ни разу не знаю, как именно нужно вводить присланный мне логин. Где большие буквы, а где маленькие. Попробовал угадать. С двадцати попыток не получилось. Сдался.
Звоню по телефону в техподдержку Сбебранка. От начала и до конца объясняю ситуацию. Вежливый молодой человек с той стороны меня внимательно выслушал, записал данные юрлица, контакты, открыл заявку, продиктовал её номер. А потом ответил, что помочь ничем не может, поскольку служба техподдержки не видит и не знает логины пользователей. Меня отправили в пешее эротическое путешествие до офиса Сбебранка, где открывались счета. И посоветовали взять там некий "информационный лист", в котором якобы должны быть указаны все имена-пароли-явки. А ещё типа удивились, почему операционистка не предоставила такой лист по умолчанию. После чего радостно закрыли мою заявку.
Вот спрашивается, и на кой ляд нужна такая техподдержка, если она не способна решить даже такой элементарный вопрос, как напомнить пользователю его логин (о пароле речь даже и не шла)? Причём даже и не сам логин, а всего-навсего регистр символов в оном.
Вы всё ещё хотите открыть вклад в Сбебранке? Лично я шарахаюсь от ентого зомби-пакмана как от огня. И будь я председателем ЦБ РФ, в первую очередь отозвал бы лицензию именно у него. Но однако, даже среди моих коллег (!) находятся люди, которые добровольно (!) несут свои деньги в этот совок. Мне никогда не понять.
Ошибки TLS соединений в Сбербанк Бизнес Онлайн — проблема с которой приходится иногда сталкиваться пользователям системы. Последнее время дистанционное управление банковскими операциями приобрело большую популярность. Многие компании и частные предприятия оценили удобство сервиса: теперь нет необходимости тратить время на посещение банка, а управление счетами, заполнение платежных поручений можно проводить прямо в офисе за рабочим столом. Как и в любой системе, здесь не редки сбои в работе. Этого не избежать. Лучше заранее знать о возможных проблемах, чтобы легко справиться с ними.
Предусмотреть все погрешности в работе невозможно, но существуют наиболее часто встречающиеся, которые в большинстве случаев можно устранить самостоятельно.
Ошибка TLS соединения 0100 Сбербанк Бизнес Онлайн предупреждает о проблемах с сертификатом. При входе в систему происходит процедура проверки и подтверждения его подлинности. Сервер банка осуществляет проверку подлинности сертификата, срок действия, сравнивает адрес URL с указанным адресом в сертификате.
Причин возникновения этой проблемы может быть несколько. Конечно, это может быть элементарный сбой программы. Но чаще всего это связано с применением электронной цифровой подписи. Она является идентификатором пользователя и применяется при визировании различных документов. Скорее всего, мог истечь срок действия подписи, и поэтому она устарела и не является действительной. Для этого нужно обновить ее. Если же срок действия еще не истек, необходимо проверить корректность заполнение полей. Возможно, нужно установить Capicom для прикрепления цифровой подписи. В любом случае, надо быстро реагировать и обратиться за помощью в службу техподдержки банка, предварительно указав код и действия, предшествующие возникновению погрешности. Чтобы в дальнейшем не возникало подобных проблем, необходимо знать, когда истекает срок подписи.
Проверить это можно в хранилище сертификатов. Замену следует проводить заблаговременно: за время обновления сертификата в работе могут возникнуть ситуации, когда понадобится в срочном порядке подписывать любые платежные документы.
Если на экране возникает сообщение «Ошибка TLS соединения 0160» в системе Сбербанка, это говорит о том, что сервису не удалось проверить подлинность сертификата клиента. Это может означать одно, что у пин-кода закончился срок действия. Решение простое – обратиться в банковское учреждение для получения нового токена и пин-кодов.
Многие бизнес-структуры работают с программой Сбербанк Бизнес Онлайн, и не редки случаи возникновения ошибок TLS соединений. Поскольку денежный оборот у многих компаний существенен, то принимать решение об устранении неполадки следует сразу. Нельзя надеяться, что это обыкновенный сбой системы. Такое может быть, как и неполадки на сервере. Но чаще всего подобное возникает из-за несоответствия требований, предъявляемых техническому оснащению при подключении к программе. Следует серьезно подойти к ПО, чтобы в дальнейшем не возникало подобных проблем. В любом случае, чтобы ускорить решение данного вопроса стоит сразу обратиться в службу технической поддержки банковского учреждения.