5 декабря, четверг 17:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

О переходе УЭО группы №2 на схему взаимодействия с Банком России через ТШ КБР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Мы перешли 23
    22 нам прислали напоминаловку
    на эл. почту

    Уважаемый участник обмена!
    Вы подтвердили готовность к переключению на промышленный ТШ КБР 23.02.2019.
    План работ на 23.02.2019 (суббота) следующий:
    - с 8:00 до 9:00 (мск) Банк России переключает обмен электронными сообщениями участников обмена с СВК МЦИ на ТШ КБР, разблокирует прикладные учётные записи участников обмена на ТШ КБР, блокирует прикладные учётные записи участников обмена на отправку электронных сообщений в СВК МЦИ ;
    - с 9:00 (мск) субботы участник обмена должен обменяться зондами с промышленной платежной системой (ED999) и/или ЦОС (СПФС) (ED599) через промышленный ТШ КБР.

    После переключения на промышленный ТШ КБР участник обмена, при необходимости, сможет забрать оставшиеся сообщения (направленные Вам до переключения) из СВК МЦИ в течение нескольких рабочих дней.
    Отправку сообщений в адрес платежной системы и/или ЦОС(СПФС) после переключения необходимо производить через промышленный ТШ КБР.

    С целью сокращения времени проведения работ 23.02.2019 просим заранее провести подготовительные мероприятия.
    Для этого уже сейчас можно:
    - настроить VPN-соединение с промышленным ТШ КБР;
    - зайти в Личный кабинет промышленного ТШ КБР и сменить первоначальные пароли учётных записей;
    - настроить УТА (или иные средства отправки/приёма сообщений) на работу с промышленным ТШ КБР. Напоминаем, что в потоке приёма УТА параметр <Принимать расширенный список сообщений> должен быть установлен в значение <Нет>.
    Также рекомендуем очистить временные папки УТА от <старых> файлов, если такие имеются. По умолчанию, путь к временным папкам УТА C:\Program Files(x86)\Bank of Russia\УТА\workdir\temp

    Также напоминаем, что сообщения в адрес СПФС должны отправляться от имени прикладной учётной записи ххххххх_53 так как именно за ней закреплен АРМ 53 для работы с промышленным ЦОС (СПФС). Таким образом поле From служебного конверта должен быть указан АРМ 53 <props: From>хххххх00053</props:From>.

    В настоящее время учётные записи участников обмена в промышленном ТШ КБР работают только на приём справочников поступающих от платёжной системы.
    Таким образом, запустив УТА участник обмена может уже сейчас убедиться в корректности настроек только на приём электронных сообщений через промышленный ТШ КБР.

    IK Soft

    Комментарий


    • Поделюсь своими грабельками перехода на ТШ:
      У нас всегда и во всех местах (Бой СВК, ССТ СВК, ССТ ТШ КБР) в настройках УТА на входящих потоках стояла "сегментация". В наследство в таком виде досталось и всё работало.
      Так вот на Бою ТШКБР сегментации не должно быть! Если есть - УТА видит входящие сообщения, но получить их не может...

      цитата из телефонного разговора с хэлпдеском: "...ну особенность такая..."

      Комментарий


      • Добрый день!

        Если не сложно, подскажите а что за АРМ 50? 00 - это для взаимодействия с УОС, в WEB Кабинете можно переключиться между 00 и 50, и туда сыпятся файлики.
        АРМ-Н у нас один.

        Комментарий


        • И еще одна проблемка. Боевой ТШ КБР, в качестве транспорта сам АРМ-Н, соединение канальное непосредственно рабочее место в провайдера последней мили для РСТ.
          В течении дня происходит такая история: происходит соединение, АРМ-Н видит на той стороне файлы и начинает их по одному принимать, в какой то момент (на каком-то файле) происходит какая-то коллизия, АРМ-Н считает, что он его принял и даёт команду перенести в Архив, но сам файл не появляется в системе, его также нету и в ERR и в TEMP, далее все может идти штатно, но за день можно не принять половину файлов.
          Кусок лога из АРМ-Н:

          Info25.02.2019 09:41:52.00WS0013kbrn_oper1kbrTSH-rcvЗапуск.
          Warning25.02.2019 09:42:02.07WS0013kbrn_oper1kbrTSH http.browseSystem.Net.WebException: Время ожидания операции истекло
          в System.Net.HttpWebRequest.GetResponse()
          в uarm.Gate.SVKHTTPTransport.browseAll()
          в uarm.Gate.SVKHTTPSource.browse()
          Trace25.02.2019 09:42:22.02WS0013kbrn_oper1kbrTSH-rcvПринято ID ba905ecf4edf0953a41eb0d1110a134f0000000000000001. Размер 4275.

          Комментарий


          • Сообщение от mosinkas Посмотреть сообщение

            отвечу сам себе, т.к. был ответ от ЦБ:
            Мы знаем об этой проблеме и ждём ответа от вендора по способу её централизованного решения. В качестве промежуточного решения можно изменить параметр: <BypassDownloader>false</BypassDownloader> на <BypassDownloader> true </BypassDownloader> в файле C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\AnyConnectLocalPolicy.xml Предварительно сделав бэкап файла AnyConnectLocalPolicy.xml В итоге все работает в автомате и без всяких окошек.
            .
            Никто НЕ обратил внимания на следующую запись в инструкции ЦБ РФ по настройке ТШ КБР.
            Инструкция ЦБ РФ по настройке ТШ КБР стр. 8, после слова выделенного жирным "Важно." пункт 2). Цитата с ошибками от ЦБ РФ.
            "2) В открывшейся окне (рисунок 16)" выполнить команду "set-executionpolicy remotesigned" .
            Ну во первых, правильная команды выглядит так
            "Set-ExecutionPolicy -ExecutionPolicy RemoteSigned" .
            .
            НО самое главное НЕ в этом.
            Данной командой разрешается запуск ВООБЩЕ любых скриптов, в том числе и вредоносных с использованием PowerShell. Тем самым открыта прекрасная лазейка для злоумышленников по уводу денег через вредоносные скрипты с ПОДАЧИ и по ИНСТРУКЦИИ ЦБ РФ !
            На вопрос в адрес helpdeskmci@cbr.ru о том, что данное "наколеночное решение" полностью противоречит Положению ЦБ РФ 595-П ответа получено НЕ было.
            Т.е. делаем вывод, что решение по подключению ТШ КБР ЦБ РФ полностью НЕ продуманное и НЕ протестированное, является "наколеночным решением", сделанным кое-как.
            Но САМОЕ ГЛАВНОЕ это решение полностью противоречит Положению 595-П ЦБ РФ, следовательно ДОЛЖНО быть или отменено Положение 595-П ЦБ РФ или предложено совсем другое решение по подключению ТШ КБР ЦБ РФ.
            .
            Ответа от ЦБ РФ так до сих пор и НЕ получено !
            .

            Комментарий


            • Jenyok

              Используйте vpncli в пакетниках, powershell не нужен
              Ушел, всем пока.

              Комментарий


              • Есть образцы скриптов?
                столкнулся с тем, что пароль не принимает скрипт. Спецсимвол только - !

                Комментарий


                • Сообщение от vlsdtv Посмотреть сообщение
                  Есть образцы скриптов?
                  столкнулся с тем, что пароль не принимает скрипт. Спецсимвол только - !
                  См. в этой ветке выше
                  Ушел, всем пока.

                  Комментарий


                  • Коллеги, расскажите пожалуйста, в чем смысл использования скриптов ? На сколько я понял, многие страдают проблемой постоянных обрывов AnyConnect ? У нас она не обрывается от слова "совсем". За несколько недель тестирования ТШ КБР был всего один обрыв.

                    Комментарий


                    • Нашел, спасибо
                      Пытаюсь адаптировать под себя, но:

                      :\Новая папка>"C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobilit
                      ient\vpncli.exe" -s 0<vpn_mci.txt
                      Cisco AnyConnect Secure Mobility Client (version 4.5.04029) .

                      Copyright (c) 2004 - 2017 Cisco Systems, Inc. All Rights Reserved.


                      >> state: Disconnected
                      >> state: Disconnected
                      >> warning: Lost connection to VPN service. Reattaching...
                      VPN>
                      >> Verify your network connection.
                      >> No Network Connectivity
                      >> registered with local VPN subsystem.
                      >> contacting host (172.16.20.42) for login information...
                      >> notice: Contacting 172.16.20.42.
                      AnyConnect cannot verify server: 172.16.20.42
                      - Certificate does not match the server name.
                      Connecting to this server may result in a severe security compromise!

                      Most users do not connect to untrusted servers unless the reason for the err
                      ondition is known.

                      Connect Anyway? [y/n]: 0) ACCESS-VPN-TSH-KBR
                      1) ACCESS-VPN-TSH-KBR(TEST)
                      2) PU-TSH-KBR-PLAT
                      3) PU-TSH-KBR-TEST
                      Group: [ACCESS-VPN-TSH-KBR(TEST)]
                      Username: [my user] Password:
                      >> Login failed.
                      0) ACCESS-VPN-TSH-KBR
                      1) ACCESS-VPN-TSH-KBR(TEST)
                      2) PU-TSH-KBR-PLAT
                      3) PU-TSH-KBR-TEST
                      >> notice: Contacting 172.16.20.42.

                      Username: [my user] Password:
                      >> Login error.
                      0) ACCESS-VPN-TSH-KBR
                      1) ACCESS-VPN-TSH-KBR(TEST)
                      2) PU-TSH-KBR-PLAT
                      3) PU-TSH-KBR-TEST

                      В чем я не прав?

                      Комментарий


                      • Jenyok

                        Ну то есть, использование некошерного IPSec и согласие подключаться с недоверенным сертификатом вас не смущает? Мне кажется уже после этого понятно, что никаким *-П это ну никак не может соответствовать.

                        Комментарий


                        • понятно, как то не посмотрел внимательно (
                          куда его пихать?

                          Комментарий


                          • vlsdtv

                            См. еще выше, все ньюансы уже разобраны в этой ветке
                            Ушел, всем пока.

                            Комментарий


                            • Сообщение от Jenyok Посмотреть сообщение
                              .
                              Никто НЕ обратил внимания на следующую запись в инструкции ЦБ РФ по настройке ТШ КБР.
                              Инструкция ЦБ РФ по настройке ТШ КБР стр. 8, после слова выделенного жирным "Важно." пункт 2). Цитата с ошибками от ЦБ РФ.
                              "2) В открывшейся окне (рисунок 16)" выполнить команду "set-executionpolicy remotesigned" .
                              Ну во первых, правильная команды выглядит так
                              "Set-ExecutionPolicy -ExecutionPolicy RemoteSigned" .
                              .
                              НО самое главное НЕ в этом.
                              Данной командой разрешается запуск ВООБЩЕ любых скриптов, в том числе и вредоносных с использованием PowerShell. Тем самым открыта прекрасная лазейка для злоумышленников по уводу денег через вредоносные скрипты с ПОДАЧИ и по ИНСТРУКЦИИ ЦБ РФ !
                              На вопрос в адрес helpdeskmci@cbr.ru о том, что данное "наколеночное решение" полностью противоречит Положению ЦБ РФ 595-П ответа получено НЕ было.
                              Т.е. делаем вывод, что решение по подключению ТШ КБР ЦБ РФ полностью НЕ продуманное и НЕ протестированное, является "наколеночным решением", сделанным кое-как.
                              Но САМОЕ ГЛАВНОЕ это решение полностью противоречит Положению 595-П ЦБ РФ, следовательно ДОЛЖНО быть или отменено Положение 595-П ЦБ РФ или предложено совсем другое решение по подключению ТШ КБР ЦБ РФ.
                              .
                              Ответа от ЦБ РФ так до сих пор и НЕ получено !
                              .
                              Вы бы хоть справку в PowerShell почитали по данной команде.

                              RemoteSigned. Requires that all scripts and configuration files downloaded from the Internet be signed by a trusted publisher.

                              Чтобы запускать ВООБЩЕ любые скрипты, нужно:
                              Unrestricted. Loads all configuration files and runs all scripts.

                              Комментарий


                              • Сообщение от skj Посмотреть сообщение

                                Вы бы хоть справку в PowerShell почитали по данной команде.

                                RemoteSigned. Requires that all scripts and configuration files downloaded from the Internet be signed by a trusted publisher.

                                Чтобы запускать ВООБЩЕ любые скрипты, нужно:
                                Unrestricted. Loads all configuration files and runs all scripts.
                                А вы на сами скрипты смотрели? Там вот ни один ни разу не подписан. Совсем.

                                Комментарий


                                • Сообщение от rvroman Посмотреть сообщение

                                  А вы на сами скрипты смотрели? Там вот ни один ни разу не подписан. Совсем.
                                  Мы в 10 группе. Только начинаем подключение. Обязательно посмотрим.

                                  Комментарий


                                  • Друзья!
                                    А на ТШ УПРАВЛЕНИЕ ПАРОЛЯМИ в УТА работает?
                                    Если работает, то какие параметры выставлять в настройках "Управление паролями"?

                                    Комментарий


                                    • И еще:
                                      платили мы нашему провайдеру последней мили Ин за старый канал 5,000р./мес
                                      теперь по новому доп.соглашению через ту же их коробку за новый канал они берут 30,000р./мес

                                      А у вас, коллеги, как с этим?

                                      Комментарий


                                      • Сообщение от EugenR Посмотреть сообщение
                                        Друзья!
                                        А на ТШ УПРАВЛЕНИЕ ПАРОЛЯМИ в УТА работает?
                                        Если работает, то какие параметры выставлять в настройках "Управление паролями"?
                                        не работает

                                        Комментарий


                                        • Jenyok
                                          Вы знаете, тут наверно все не против безопасности Но потрясти перед ЦБ их же документом, мне кажется не самая лучшая затея. Вот попадет сейчас Ваше обращение к инициативному безопаснику, поднимется шум и придет указание всем использовать строго GUI. Ваша обоснованная претензия будет удовлетворена, но жить легче не станет и мы все скажем Вам большое спасибо

                                          Комментарий


                                          • Сообщение от vampir Посмотреть сообщение
                                            Jenyok
                                            Вы знаете, тут наверно все не против безопасности Но потрясти перед ЦБ их же документом, мне кажется не самая лучшая затея. Вот попадет сейчас Ваше обращение к инициативному безопаснику, поднимется шум и придет указание всем использовать строго GUI. Ваша обоснованная претензия будет удовлетворена, но жить легче не станет и мы все скажем Вам большое спасибо
                                            Зато это такое приятное чуство!
                                            Когда закончился сертификат на Сигнатуру 3.6, я пол года указывал это как иницидент в ЦБэшной отчётности (по вине оператора платёжной системы), пока новую Сигнатуру не прислали ))))))

                                            Комментарий


                                            • Сообщение от EugenR Посмотреть сообщение
                                              И еще:
                                              платили мы нашему провайдеру последней мили Ин за старый канал 5,000р./мес
                                              теперь по новому доп.соглашению через ту же их коробку за новый канал они берут 30,000р./мес

                                              А у вас, коллеги, как с этим?
                                              платили мы 9000, и также осталось 9000 по последней миле, ну и резерв добавился, тоже 9000. Разовые работы всчет не берем

                                              Комментарий


                                              • Коллеги, кто как прошел:
                                                AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established

                                                У меня все пользователи на одной машине.

                                                Подключаюсь штатными скриптами, powershell + bat

                                                Комментарий


                                                • Сообщение от vlsdtv Посмотреть сообщение
                                                  Коллеги, кто как прошел:
                                                  AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established

                                                  У меня все пользователи на одной машине.

                                                  Подключаюсь штатными скриптами, powershell + bat
                                                  Смотрите выше, подробно рассматривалось и предлагались решения. Коротко: канал и УТА должны быть на другой машине

                                                  Комментарий


                                                  • Я до запуска УТА еще даже не дошел,

                                                    под админом запустил VPN, захожу под любым другим пользователем - VPN уже отвалился

                                                    Комментарий


                                                    • Сообщение от vlsdtv Посмотреть сообщение
                                                      Я до запуска УТА еще даже не дошел,

                                                      под админом запустил VPN, захожу под любым другим пользователем - VPN уже отвалился
                                                      Читайте, что вам отвечают!!!

                                                      Комментарий


                                                      • vlsdtv
                                                        Практикуем "запуск от имени..." без перелогинивания , ничего не падает.

                                                        Буквально вчера на тестовой машине надо было всё же временно перелогиниться, VPN упал.
                                                        НО, когда вернулся обратно под основную учётку - VPN сам тут же и поднялся. (пользую ЦБ-шные скрипты)

                                                        Комментарий


                                                        • понял, спасибо

                                                          Я уже развернул второй ПК
                                                          один будет - КБР, второй - УТА и ВПН
                                                          осталось понять, как и какие папки расшаривать, что бы они работали впаре

                                                          Комментарий


                                                          • Сообщение от vlsdtv Посмотреть сообщение
                                                            понял, спасибо

                                                            Я уже развернул второй ПК
                                                            один будет - КБР, второй - УТА и ВПН
                                                            осталось понять, как и какие папки расшаривать, что бы они работали впаре
                                                            Если KBR то шаришь exg (или как то так )\info
                                                            exg\out
                                                            exg\inc

                                                            и это все прописываешь на УТА.

                                                            Комментарий


                                                            • Сообщение от stimka Посмотреть сообщение
                                                              Если KBR то шаришь exg (или как то так )\info exg\out exg\inc и это все прописываешь на УТА.
                                                              в первый раз настраиваю
                                                              буду искать каталоги

                                                              Комментарий

                                                              Обработка...
                                                              X