Ügyfél-Bank Takarékpénztár (Sberbank Oroszország), FPSU-ip
Fogom elmagyarázni a megközelítést. Az én szempontból, hogy biztosítsa az ülés, és különösen a szállítási réteg (az OSI) ne válaszoljon az ügyfél és a router. Esetünkben - ISA Server (igen, még mindig van MS ISA). Az ügyfél számára, minden legyen egyszerű és átlátható - nyissa ki az ülésen, és használja a szerver protokoll, ami van szükségünk. Mi történik az ülésen és a szállítási réteg - nem az ügyfél problémáját. Ki, hol és mit fog elkapni, „wrap”, kódolni, írjon - nem kell aggódnia minden ügyfél, vagy akár egy szerveren. Más szóval, bármilyen VPN munkaállomásokon és gondolkodás nem is kell - és nem biztonságos, és lágy, hogy a kulcsokat személyzet számára állítják ki, és az esés esetén munkaállomás - mindez sokáig ... megpróbálom rendezni a ólomoldattal minimális problémát a rendszergazdák számára.
Mi azt mondja FAQ (tehát nem fogunk csinálni :-)):
Biztonsági Tanácsa, az Orosz Föderáció, akkor van szükség, hogy szervezzen egy biztonságos csatornán keresztül a kiszolgálóhoz való FPSU-IP / kliens és ITU (tűzfal) a saját oldalán, ez logikus. Más szóval, minden ügyfél-bank, vagy a szerver nem gondolt ki, mit, és hogyan (és hol) védve vannak, ez logikus. De ugyanakkor tegye FPSU-IP / kliens munkaállomások - ez nem nekünk való.
Reakcióvázlat kölcsönhatás helyét képviseli Amicon:
Automatikus felismerés ICMP MTU FPSU-IP / ügyfél nyilvánvalóan nem tudja végrehajtani. MTU ebben az esetben az operációs rendszer fog válaszolni támogatása automatikus észlelése „fekete lyukak” (jöttek a VPN csatornát szervezet egy másik bank - ISA nem tudja, hogyan, hogy csomagolja ICMP forgalmat generált RRAS VNP kimenőcsatornától, de ez a téma egy másik cikkben).
Ítélve a leírást, meg kell „félni” a következő: Kliens létrehozza TCP UDP kapcsolatokat szűrés (pontosabban - lehet telepíteni). De hiszen végre, mint egy szűrő, blokkolja a kapcsolatot akkor csak azok az interfészek, amelyekhez kapcsolódik (kötések). Ezt figyelembe kell venni, ha a hálózati problémákat.
Használt titkosítási megoldás CIPF „alagút / ügyfél”, be van építve FPSU IP kliens. Így
Állítsa FPSU-IP / Ügyfél
Telepítse az ügyfél az ISA Servert.
Mindazonáltal, a terminálkapcsolatot helyezi az ügyfél nem volt hajlandó határozottan. Tehát megpróbálunk tenni ül a konzolt. És nem akartam, hogy így csak egy céllal - RDP leesik a telepítés során, mert a hálózati illesztőprogram szintjén jön létre.
Helyi telepítés ment rendesen. Ezután persze, azt az ISA Server leírására IP csomagszűrő, amely lehetővé teszi az UDP (dinamikus) -> UDP (87) Levél kapni.
Miután telepítette a szolgáltatás emelkedik: "Amicon FPSU-IP / Client service" (Amicon FPSU-IP / ügyfélszolgálat Amicon FPSU-IP) ( "C: \ Program Files \ Amicon \ Client FPSU-IP \ ip-client.exe" RunAsService ). Launch - automatikus. Ez az üzemi vágányok „megjelenés” az USB kulcsot, és azonnal megpróbál kapcsolatot létesíteni.
Lehet „FPSU-IP / Client” helyreállítani a kapcsolatot a Telefonos? Igen, verziótól kezdődően 1.42. Ez nem csak a dial-up. Amikor újra csatlakoztatni a hálózati interfészt is, minden áttört.
Verzió óta 1,42 elérhető lehetőséget, hogy csatlakozzanak, és le a parancsot: ip-kliens csatlakozni, és ip-kliens bontja (a program kell már fut).
Látjuk az új túlfeszültségvédője protokoll (jobbra). Ne felejtsük el, a külső felület a szűrő kell csatolni (a képen egyértelmű, hogy a csóka ér), és a TCP / IP is. Minden más - akkor függetlenítése. A szűrő belső felületek Amicon NDIS IM Filter Driver függetlenítése. Ui Később mindannyian picsába szűrő az összes interfész, hogy mi szükséges a működéséhez a hálózati infrastruktúra és otthagyta kötve csak egy speciálisan kialakított Amicon felület, de erről bővebben később.
Indítsuk el a szolgáltatást, majd (via Amicon menü). Kapunk eredményeként valamit a tálcán. Az alkalmazás aktiválásához.
Beállításáról nem fogja megállítani a dokumentációban részletesen. Csak a funkciókat.
Szóval, biztos, hogy a csekket „Emlékezzél meg a PIN kód bevitele a VNP-kulcs nem húzza” a helyi beállításokat. Nem megyünk, hogy folyamatosan kezét „felvonó” a csatorna, beragadt a kulcsot, és felejtsd el a szervert.
Elkülönítve és sikeresen kapcsolódott. Azt próbálja pingelni „fogadó” 213.148.164.75 - minden rendben van.
Az ISA Server konfigurálása
Mi sokkal érdekesebb:
Top - az ügyfél le van választva az alsó - tartalmazza. Ez azt mutatja, hogy az ICMP forgalom, beleértve a helyi gépen, amikor FPSU kliens telepítve isa, csodálatosan csomagolva egy alagút (az útvonal rövidebb, mert a forgalom „repülő” egy hálózat lefedettségi router egy alagúton keresztül, az alagút számára - egy hop) .
ICMP forgalom, úgy tűnik, sikeresen csomagolva egy alagútban.
az ügyfél jár sikerrel (FPSU ip kliens), vagyis nem 87udp problémákat.
Úgy tűnik, tcp közlekedési problémákat. És - csomagolás után FWC ügyfél. Ezért: kell kísérletezni FWC kliens, ftp parancsmagjai és megengedő szabályok isa.
konfigurálása FWC
Ui Nem lehet elkerülni, ha teszünk FPSU-IP / Ügyfél a router az ISA szerver (például - a tűzfal külső ISA már DMZ), míg a hazai (legfeljebb DMZ) FPSU nem-IP / ügyfelet. Ebben a konfigurációban, és FWC hagyható egyedül.
Élvezi FWC beállításai (application.ini), és hozzáfűzi kivételt az ügyfél-bank:
Felhívom a figyelmet. Beállítások lehetnek a globális (az Mspclnt) és alkalmazás-specifikus (wspcfg.ini a program könyvtárban). Rend és prioritások:
A tűzfalügyfélprogramja keres egy Wspcfg.ini fájlt a mappába, ahol a kliens WinSock program telepítve. Ha ez a fájl, Firewall Client keres egy [WSP_Client_App] szakasz, ahol WSP_Client_App a neve a WinSock programot anélkül, hogy a .exe fájl neve kiterjesztés. Ha ez a rész nem létezik, Firewall Client keresi a [Common Configuration] szakaszban. Ha ez a rész is, nem létezik, Firewall Client megkeresi az azonos szakaszok a Mspclnt.ini fájlt. Firewall Client használja csak az első rész, amely úgy találja, közben a keresést, hogy alkalmazza a program-specifikus konfigurációs beállításokat.
Ki hozta létre a fájlt wspcfg.ini a fenti tartalmát az ügyfél-bank könyvtár mellett a futtatható fájlt. Indítsa újra az ügyfél-bank. Megpróbáljuk kommunikálni. Nem sikerült. Mivel a „megrendelő” ebben az esetben - a system32 mappában. Ezért az ilyen konfiguráció nem fog használni. Próbáljuk globális konfigurációt.
Bevezetett változások közvetlenül a ISA konzolt. Ezután indítsa újra a kliens tűzfal (FWC) a gépen, a munkamenet ügyfél-bank - és minden megy.
De abszolút minden csomagot (és tcp1024 és tcp21) látom a tűzfal szolgáltatás az ISA naplók.
további anyagok
Tehát van működésének biztosítása érdekében a kliens-bank Sberbank Oroszország keresztül FPSU-IP / Client Amicon és az ISA Server, anélkül, hogy egy VPN-kapcsolat a gép, és lefektette a finomságok a hálózat az ISA host, ha szükséges.
utószó
A történelem nem ért véget ... Azonnali machinációk az Orosz Föderáció Biztonsági Tanácsa itt olvasható.