Информационный поток
Задания вакансии материалы разработки сообщения форума
Форум

Обсуждение к заданию: Нужна консультация

    • #1
    • 18.02.2015 16:30
    0
    У клиента в нескольких банках открыты по несколько расчетных счетов в сумме около 30 штук к ним прилагается соответственно около 30 usb ключей. Клиент просит настроить на двух буках банк клиент д...  Подробнее>>
    • #2
    • 18.02.2015 16:37
    0
    Насколько я помню, по rdp ключи не видятся. Но на серверных ОС не пробовал. Как вариант сохранение их в реестре и подключение реестрового ключа к банк-клиенту. В таком случае страдает безопасность, но с 30 ключами, конечно удобство на лицо.
    • #3
    • 18.02.2015 16:48
    0
    Добрый день!
    Только не ясно, причем здесь сервер с 1Ской?
    По моему мнению, для грамотного решения данного вопроса вам стоит сделать следующее:
    1. Выделить отдельную машину, в которую воткнуть с помощью нескольких USB-хабов все эти ключи.
    2. Настроить на данной машине все эти «Интернет банки» для каждого счета под одним пользователем Windows.
    3. Обеспечить доступ по RDP к данной машине. Чтобы клиент смог с любого из своих ноутбуков, через «Удаленный рабочий стол», в любое время соединиться с данной машиной. Главное, чтобы он с любого из своих ноутбуков, входил на данную машину под тем же пользователем Window, под которым вы настраивали все эти «Интернет банки».
    Но на самом деле, при кажущейся легкости данной операции, вопрос довольно «геморройный». А именно: Мой опыт показывает, что настройка любого «Интернет банка» без «танцев с бубном» не обходится. Поскольку с программами криптозащиты не всегда всё так просто. А у вас их целых 30 штук. И зачастую не обходится без общения с техподдержкой банка. Поэтому никто не скажет, сколько это займет времени. А так могу помочь, если что.

    P.S.
    В ответ на предыдущий пост:
    Если ключи воткнуты непосредственно в удаленную машину, то есть в ту к которой вы подключаетесь по RDP, то USB ключи прекрасно видятся.
    • #4
    • 18.02.2015 17:03
    0
    Вариант весьма интересный и я думаю реальный, но если есть возможность перенести все на одну флешку и использовать только ее одну думаю нужно попытаться.
    • #5
    • 18.02.2015 17:10
    0
    Нужно разобраться, в каком виде ключи. Есть USB-токены, а есть просто скопированный на флешку сертификат. Все это можно объединить на одной машине. Если просто сертификаты на флешки, то закинуть их в шифрованную папку и подсовывать КБ по мере надобности именно из папки( путь один раз прописывается, потом сохраняется). Если токены, то опять же на сколько реально их копировать в реестр, не всегда можно это сделать. Если можно, то тоже реальный вариант, проделывал уже не раз.
    • #6
    • 18.02.2015 17:15
    0
    Ну если совсем грамотно, то токен должен подключатся при начале сеанса и отключаться после его завершения.
    Я правильно понимаю, что ключи должны быть подключены, например, к терминальному серверу? Не к локальной машине.
    Если так, то эту ситуацию я и описывал. Сидишь за самой машиной токен виден, если удаленно подключаешься нет. На форуме рутокена описывается подобная ситуация. Там говорится что пробросить с локальной машины можно токен, а работать с токеном по rdp на удаленной машине не получится. Только если подключится к машине, например, по vnc. Вот ответ тех поддержки:
    "Рутокен является ПЕРСОНАЛЬНЫМ средством аутентификации.
    Удаленная работа с токеном не предусмотренна вообще самой концепцией его использования.
    По какой причине у Вас удалось удаленно обратиться к токену не понятно, НО, еще раз повторюсь, Рутокен нужно использовать ЛОКАЛЬНО, а не удаленно."
    То есть получается, что если и удалось, то посредством танцев с бубном. Но это вопрос еще.
    А Вам лично удалось подключить таким образом токен?
    • #7
    • 18.02.2015 17:23
    0
    Вообщем завтра буду пытаться перенести все токены на одну флешку.
    • #8
    • 18.02.2015 17:27
    0
    Флэшка будет видна без проблем. Этот вариант от реестра отличается, на мой взгляд, только тем, что можно отключить носитель. Бывает на токены ключ записывают без возможности копирования. Тут еще может быть проблема. Хотя видел такое крайне редко.
    • #9
    • 18.02.2015 18:49
    0
    У меня все эти банковские ключи всегда удаленно работали без проблем, приведу пример с прошлой работы, чтобы вы меня правильно поняли:
    Имеем обычный компьютер (desktop) c Windows 7 Pro на борту, находящийся в офисе. Это компьютер нашего бухгалтера. В данный компьютер физически воткнут USB-ключ для доступа к «Интернет банку». Наша бухгалтер соединяется со своим компьютером удаленно (по RDP) из дома (если болеет) и работает как обычно, делает любые платежи. И всё работает без проблем.

    Для этого в офисе на роутере, который смотрит в интернет, делается проброс портов, а именно:
    1. Например, ваш внешний IP-адрес: «83.28.135.18» (взят от балды для примера)
    2. Внутренний IP-адрес машины, к которой подключаемся удаленно: «192.168.1.20»
    3. Стандартный порт RDP всегда: «3389», а мы придумаем ещё один порт «10500»

    С внешнего «83.28.135.18 порт 10500» перебрасываем на внутренний «192.168.1.20 порт 3389»

    Соответственно ваш клиент открывает на любом из своих ноутбуков «Подключение к удаленному рабочему столу» набирает там адрес 83.28.135.18:10500 (внешний IP и порт через двоеточье) и соединятся с нужной машиной.

    Вот собственно и всё.
    И не нужно никаких терминальных серверов, на которых как раз чаще всего и возникают проблемы.
    • #10
    • 18.02.2015 20:37
    0
    А что за USB-ключ? Это все-таки токен или флэшка? Проверил как раз на Win7 Pro. Крипто-про на локальной машине видит подписи на рутокене, даже не закрывая окно с выбором ключей после подключения к машине ключи сначало видны, а потом исчезают.
    Ну такая схема через проброс портов не безопасна. Лучше тогда поднять vpn.
    • #11
    • 19.02.2015 19:35
    • Отредактировано: 19.02.2015 19:36:27
    0
    VPN - это в идеале. Но сразу настройки безопасного соединения, это 2/3 трудозатрат для IT специалиста.

    Зачем сервер с 1С?, туда совсем не нужно это пускать, туда вообще ничего нельзя пускать, кроме 1С, интернет тем более, в тех же целях безопасности.

    Можно работать с клиент-банком через веб-интерфейс, как многие и делали на моей памяти. Выгрузка и загрузка. При определенной ответственности сотрудников, это наиболее безопасный вариант, ИМХО.

    На флэшку с последним CryptoPro вроде можно записать 30 ключей. Не проверял. но думаю так. На токены вроде как до 8-ми до сих пор максимум.

    Мое мнение - использовать с банком web-диалог c обменом файлами через защищенный корпоративный узел ftp, а ключи раздать на лаптопы кому какие надо.
Яндекс-директ
Для участия в обсуждении Вам необходимо авторизоваться либо   зарегистрироваться