19 августа, понедельник 05:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

О переходе УЭО группы №2 на схему взаимодействия с Банком России через ТШ КБР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Для пользователей ТШ КБР ПК АРМ КБР-Н.
    .
    Сейчас держать постоянно включенный ПК АРМ КБР-Н НЕЛЬЗЯ !
    Особенно если нет разделения сетей на подсети, где установлен ПК АРМ КБР-Н и выгрузка информации из АБС банка идет в директории открытой сети.
    Т.е. любой злоумышленник подложив в открытой сети файл с информацией на отправку для ПК АРМ КБР-Н спокойно отправит этот файл при постоянно запущенном ПК АРМ КБР-Н.
    .
    У нас в банке создана закрытая сеть для ПК АРМ КБР-Н, выгрузка файлов на отправку из АБС банка в ПК АРМ КБР-Н также идет в директорию закрытой сети. Просто так подложить ничего нельзя, доступа у пользователей в закрытую сеть банка нет. И мы не держим постоянно включенный ПК АРМ КБР-Н, только запускаем руками ПК АРМ КБР-Н на сеансах приема / отправки сообщений.
    .

    Комментарий


    • Сообщение от Jenyok Посмотреть сообщение
      Для пользователей ТШ КБР ПК АРМ КБР-Н.
      .
      Сейчас держать постоянно включенный ПК АРМ КБР-Н НЕЛЬЗЯ !
      Особенно если нет разделения сетей на подсети, где установлен ПК АРМ КБР-Н и выгрузка информации из АБС банка идет в директории открытой сети.
      Т.е. любой злоумышленник подложив в открытой сети файл с информацией на отправку для ПК АРМ КБР-Н спокойно отправит этот файл при постоянно запущенном ПК АРМ КБР-Н.
      .
      У нас в банке создана закрытая сеть для ПК АРМ КБР-Н, выгрузка файлов на отправку из АБС банка в ПК АРМ КБР-Н также идет в директорию закрытой сети. Просто так подложить ничего нельзя, доступа у пользователей в закрытую сеть банка нет. И мы не держим постоянно включенный ПК АРМ КБР-Н, только запускаем руками ПК АРМ КБР-Н на сеансах приема / отправки сообщений.
      .
      Ээээ. Вы ничего не путаете? В АРМ КБР-Н можно подложить только файл с уже установленными ЗК/КА. Откуда злоумышленник возьмёт такой файл? А вот в АРМ КБР, можно на вход подложить чистый УФЭБС без всяких подписей.

      Комментарий


      • Сообщение от Jenyok Посмотреть сообщение
        Для пользователей ТШ КБР ПК АРМ КБР-Н.
        .
        Т.е. любой злоумышленник подложив в открытой сети файл с информацией на отправку для ПК АРМ КБР-Н спокойно отправит этот файл при постоянно запущенном ПК АРМ КБР-Н.
        .
        А разве подписание в АБС токеном с неизвлекаемым ключом Оператора и Контролера на спасают от этой напасти?
        И как это связано с переходом на ТШ КБР и отвалившимся CiscoAnyConnect?

        Комментарий


        • Сообщение от Stalker_rus Посмотреть сообщение
          вообще, для справки, в МЦИ есть опция подписки на эти сообщения. Наш ответственный сотрудник получил СМС сообщение о необходимости перенастройки УТА ТШ около часа ночи.
          Предупрежден - вооружен!
          Напомните, как на них подписаться?

          Комментарий


          • Сообщение от rvroman Посмотреть сообщение
            Ээээ. Вы ничего не путаете? В АРМ КБР-Н можно подложить только файл с уже установленными ЗК/КА. Откуда злоумышленник возьмёт такой файл? А вот в АРМ КБР, можно на вход подложить чистый УФЭБС без всяких подписей.
            .
            В АБС злоумышленник может сформировать файл на отправку, подложить его и отправить.
            А так как ПК АРМ КБР-Н у Вас запущен постоянно, следовательно и ключи подключены, связь устанавливать НЕ надо, файл от злоумышленника уйдет без проблем.
            .

            Комментарий


            • У нас все работает. Для сведения- В лк входит по https://172.16.20.34:9697 при условии что этот порт разрешён на фаерволе

              Комментарий


              • Пробуем зайти в лк - пишет Сервис временно недоступен

                Комментарий


                • Сообщение от Jenyok Посмотреть сообщение
                  .
                  В АБС злоумышленник может сформировать файл на отправку, подложить его и отправить.
                  А так как ПК АРМ КБР-Н у Вас запущен постоянно, следовательно и ключи подключены, связь устанавливать НЕ надо, файл от злоумышленника уйдет без проблем.
                  .
                  необходимость поднимать впн или поднятый постоянно - на безопасность влияет мало. какие ключи в арм кбр Н если на вход падает уже подписанный файл - непонятно.
                  гораздо печальнее, что сейчас никакого vpn нет вообще, а протокол обмена - http.

                  Комментарий


                  • Сообщение от Jenyok Посмотреть сообщение
                    .
                    В АБС злоумышленник может сформировать файл на отправку, подложить его и отправить.
                    А так как ПК АРМ КБР-Н у Вас запущен постоянно, следовательно и ключи подключены, связь устанавливать НЕ надо, файл от злоумышленника уйдет без проблем.
                    .
                    А ключи злоумышленник где возьмёт? Чтобы сформировать ЗК/КА на этом файле?

                    Комментарий


                    • УТА все получила, но в ЛК не можем зайти

                      Комментарий


                      • Сообщение от Ekaterina_K Посмотреть сообщение

                        Напомните, как на них подписаться?
                        напишите на helpdeskmci@cbr.ru.

                        Комментарий


                        • А тестовый коннект работает у кого нибудь?

                          Комментарий


                          • Сообщение от Dimusik Посмотреть сообщение
                            А тестовый коннект работает у кого нибудь?
                            Даже пробовать не хочется...

                            Комментарий


                            • Сообщение от Dimusik Посмотреть сообщение
                              А тестовый коннект работает у кого нибудь?
                              тестовый ТШ работает.

                              Комментарий


                              • Теперь отправить через УТА не может, только принимает

                                Комментарий


                                • Сообщение от Dimusik Посмотреть сообщение
                                  А тестовый коннект работает у кого нибудь?
                                  Тестовый ТШ не работает. Ни 42, ни 74 хосты.
                                  С уважением...
                                  Lёssik

                                  Комментарий


                                  • Сообщение от jazzzz Посмотреть сообщение
                                    Пробуем зайти в лк - пишет Сервис временно недоступен
                                    С прикладной учеткой идёте? С _00 ?

                                    Комментарий


                                    • Сообщение от user_user Посмотреть сообщение

                                      тестовый ТШ работает.
                                      Тест не работает, в МЦИ говорят ждите сообщения

                                      Комментарий


                                      • Сообщение от admsam Посмотреть сообщение

                                        необходимость поднимать впн или поднятый постоянно - на безопасность влияет мало. какие ключи в арм кбр Н если на вход падает уже подписанный файл - непонятно.
                                        гораздо печальнее, что сейчас никакого vpn нет вообще, а протокол обмена - http.
                                        файлы зашифрованы сигнатурой.

                                        Комментарий


                                        • да это понятно, просто получается что из защиты остается только последний эшелон - скзи. а пока можно снифить логины-пароли к свк где-то в середине.

                                          Комментарий


                                          • Сообщение от admsam Посмотреть сообщение
                                            да это понятно, просто получается что из защиты остается только последний эшелон - скзи. а пока можно снифить логины-пароли к свк где-то в середине.
                                            да и шифрование Сигнатурой по алгоритму 89 года прямо скажем не добавляет уверенности.

                                            Комментарий


                                            • Сообщение от Dimusik Посмотреть сообщение
                                              А тестовый коннект работает у кого нибудь?
                                              Сообщение от службы поддержки:
                                              Обратите внимание на сообщение, размещенное на сайте Банка России http://cbr.ru/mcirabis/nreg/ На сегодняшний день соединение с промышленным ТШ КБР необходимо станавливать согласно описанных в письме настроек.

                                              Комментарий


                                              • Сообщение от kbvlb Посмотреть сообщение

                                                Сообщение от службы поддержки:
                                                Обратите внимание на сообщение, размещенное на сайте Банка России http://cbr.ru/mcirabis/nreg/ На сегодняшний день соединение с промышленным ТШ КБР необходимо станавливать согласно описанных в письме настроек.
                                                Связь какая?

                                                Комментарий


                                                • Сообщение от Dimusik Посмотреть сообщение
                                                  Связь какая
                                                  На прошлой неделе мы настроили VPN посредством Cisco AnyConnect. Сегодня не работает.
                                                  Временно предлагают настроиться на подключение к серверу ТШ КБР по адресу 172.16.20.34

                                                  Решили, что пока находимся в тестовом режиме - подождем восстановление штатного функционирования ТШ КБР ...

                                                  Комментарий


                                                  • Сообщение от admsam Посмотреть сообщение
                                                    да это понятно, просто получается что из защиты остается только последний эшелон - скзи. а пока можно снифить логины-пароли к свк где-то в середине.
                                                    Ну вот откуда такая информация, что можно снифить ? Там digest аутентифкация, старая, но вполне себе надежная

                                                    Комментарий


                                                    • Сообщение от rvroman Посмотреть сообщение
                                                      да и шифрование Сигнатурой по алгоритму 89 года прямо скажем не добавляет уверенности.
                                                      Учитывая то что шифрование производится на сеансовом ключе, который вырабатывается с использованием ДСЧ на основе алгоритма 2012 это уже не столь существенно.
                                                      Грубо говоря подобные стенания не имеют под собой сколь-нибудь серъезной почвы

                                                      Комментарий


                                                      • ТШ работает сегодня ?

                                                        Комментарий


                                                        • ССТ лежит
                                                          Ушел, всем пока.

                                                          Комментарий


                                                          • Сообщение от КрасКрипт Посмотреть сообщение

                                                            Учитывая то что шифрование производится на сеансовом ключе, который вырабатывается с использованием ДСЧ на основе алгоритма 2012 это уже не столь существенно.
                                                            Грубо говоря подобные стенания не имеют под собой сколь-нибудь серъезной почвы
                                                            А как мы свой сеансовый ключ до ЦБ доносим? Если мы его вырабатываем, ЦБ о нём ничего не знает. Т.е. он каким-то образом должен быть частью зашифрованных данных, которые мы передаём, нет?

                                                            Комментарий


                                                            • Сообщение от user_user Посмотреть сообщение
                                                              ТШ работает сегодня ?
                                                              Как и вчера без VPN. Что же там такое подохло, что вторые сутки починить не могут?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X