Система безопасного доступа к web-сервисам на базе «ФПСУ-TLS» и специализированного USB-устройства «VPN-Key-TLS»
Описание VPN-Key-TLS
VPN-Key-TLS - это общее название семейства сертифицированных персональных USB устройств, применяемых для безопасного удаленного доступа к web-сервисам в концепции абсолютно "тонкого" клиента. Кроме того, устройства реализуют квалифицированную цифровую подпись как определенных структурированных данных в информационных системах, так и отдельных пользовательских файлов.
Ключевая система устройств полностью совместима с инфраструктурой открытых ключей (Public Key Infrastructure).
На сегодняшний день семейство представлено базовым устройством VPN-Key-TLS и двумя интерактивными устройствами - VPN-Key-TLS Touch (с сенсором) и VPN-Key-TLS Screen (с экраном).
Основные характеристики устройств
Базовые возможности
Возможности VPN-Key-TLS Touch
Возможности VPN-Key-TLS Screen
Преимущества
Вот докатилась и до моей улицы чума. Руководство постановило открыть счета в сбебранке. А к ним, как водится, подключить интернет-банк, он же банк-клиент.
Тут надо отметить, что у сбебранка есть две версии банк-клиента. Одна работает с применением VPN плюс использования аппаратного средства криптозащиты. То бишь, есть некий девайс, который совмещает в себе флешку и некую хитрую смарт-карту. На флешке лежит софтина. Запускаешь exe-шник, софтина устанавливает защищенный канал связи с сервером банка, поднимает на интерфейсе локальной петли прокси-сервер, после чего запускается браузер, который цепляется к этому прокси-серверу. Шифрование при этом происходит средствами смарт-карты. Основная идея тут в том, закрытый ключ при таком подходе украсть вроде как невозможно.
Беда в том, что данная схема заточена на взаимодействие с аппаратным ключом напрямую, мимо виндовой подсистемы работы со смарткартами (которая SmartCard Service), а посему про RDP-сеансы можно забыть. Нас такой подход категорически не устраивает, поэтому мы выбрали другой вариант.
Альтернативная версия банк-клиента использует для двухфакторной авторизации обычные SMS-ки и работает просто через обычный браузер без каких-либо дополнительных заморочек. Основной её недостаток по сравнению с предыдущим вариантом — на каждую транзакцию нужно вводить отдельный код из отдельной SMSки. Которая ещё может и не придти, или поступить с большой задержкой. И если сотрудник проводит в день несколько сотен операций, то процесс становится, мягко говоря, весьма утомительным. Но тем не менее мы сочли это меньшим злом, нежели нестандартный ни с чем не совместимый токен.
Штука в том, что логином для SMS-варианта банк-клиента является адрес электронной почты. При всём при этом он является регистрочувствительным (!). Да-да. Логин. Регистрочувствительный. Заключать договор поехал некий профильный специалист-финансист, ничего не понимающий в IT. Подал заявку. В каком регистре он (от руки) написал адрес электропочты в заявлении, никто не знает. И уж тем более никто не знает, в каком регистре всё это безобразие внесла в систему операционистка Сбебранка.
А затем начинаются бодрые наезды со стороны финансового отдела на отдел IT из серии "а фигли вы тут нам не можете обеспечить работоспособность банк-клиента". Дык я бы и рад помочь, только ж я ни разу не знаю, как именно нужно вводить присланный мне логин. Где большие буквы, а где маленькие. Попробовал угадать. С двадцати попыток не получилось. Сдался.
Звоню по телефону в техподдержку Сбебранка. От начала и до конца объясняю ситуацию. Вежливый молодой человек с той стороны меня внимательно выслушал, записал данные юрлица, контакты, открыл заявку, продиктовал её номер. А потом ответил, что помочь ничем не может, поскольку служба техподдержки не видит и не знает логины пользователей. Меня отправили в пешее эротическое путешествие до офиса Сбебранка, где открывались счета. И посоветовали взять там некий "информационный лист", в котором якобы должны быть указаны все имена-пароли-явки. А ещё типа удивились, почему операционистка не предоставила такой лист по умолчанию. После чего радостно закрыли мою заявку.
Вот спрашивается, и на кой ляд нужна такая техподдержка, если она не способна решить даже такой элементарный вопрос, как напомнить пользователю его логин (о пароле речь даже и не шла)? Причём даже и не сам логин, а всего-навсего регистр символов в оном.
Вы всё ещё хотите открыть вклад в Сбебранке? Лично я шарахаюсь от ентого зомби-пакмана как от огня. И будь я председателем ЦБ РФ, в первую очередь отозвал бы лицензию именно у него. Но однако, даже среди моих коллег (!) находятся люди, которые добровольно (!) несут свои деньги в этот совок. Мне никогда не понять.
Инструкция по настройке токена.
1. Вставьте токен в USB-порт компьютера.
2. В операционной системе появится новый сменный диск (рис.1)
3. Запустите файл tlsapp. exe с данного диска.
4. Откроется окно браузера с формой авторизации пользователя токена (рис.2)
Внимание!
В случае, если сменный диск не появился, перезагрузите компьютер и выполните пункты
инструкции еще раз.
P. S. если на компьютере Клиента в целях безопасности отключен автозапуск, необходимо последовательно запустить TLSAPP. EXE потом SSLGATE
https://pandia.ru/text/78/055/images/image002_178.jpg" width="623" height="196">
В случае, если после того как токен подключен к компьютеру, не появилось окно запуска программы (см. рис 2). Необходимо проверить следующие настройки:
1. Если на компьютере отключен автозапуск, то необходимо вручную запустить программу токена. Для этого необходимо зайти в «Мой компьютер», а затем выбрать в «устройствах со съемными носителями». Далее открыть двойным щелчком мыши и запустить файл «TLSAPP. EXE».
2. Если не удалось запустить программу по технологии, описанной выше, необходимо проверить корректность установки драйвера. Для этого необходимо зайти для Windows
XP
: «Панель управления» -> «Система» -> Вкладка «Оборудование» -> «Диспетчер устройств»
3. Если токен не определился как смарт-карта, так как указано на рисунке, то необходимо в списке устройств найти токен и обновить у него драйвер. Для обновления драйвера нажать правой кнопкой мыши на устройство, выбрать «Свойства», зайти на вкладку драйвер и нажать «Обновить». При обновлении выбрать «Нет, не в этот раз», затем выбрать «Установка из указанного места» и указать диск, под которым определился токен у Вас на компьютере.
Краткая инструкция запроса сертификата при использовании " VPNKey- TLS" (Токена)
"VPNKey-TLS" (Токена) – USB устройство, предназначенное для защищенного доступа через открытую сеть передачи данных (например, Интернет) к ресурсам Веб-Сервиса (Интернет-Банка).
Обязательный порядок действий клиента после получения Токена.
Для начала необходимо запустить VPNKey-TLS
Необходимо подключите устройство "VPNKey-TLS" к USB-порту компьютера
Если не произойдет автоматический запуск, то необходимо запустить вручную.
Войти в систему: выбрать учетную запись и ввести PIN-код
ПРИМЕЧАНИЕ: Если сотрудников имеющих право подписи несколько, то входить и запрашивать сертификат им необходимо каждому под отдельным ПИНом
Необходимо Перейти на страницу банка
Войти в систему СББОЛ, ввести логин и пароль с «информационного листа». Пройти по ссылкам: Услуги →Обмен крипроинформацией→Запросы на новый сертификат и создать запрос, нажав на инструмент
Откроется форма запроса на новый сертификат. В ней необходимо выбрать криптопрофиль (нажать на кнопку Электронная почта" href="/text/category/yelektronnaya_pochta/" rel="bookmark">электронной почты необходимо заполнить вручную. После этого необходимо нажать на кнопку «Сформировать запрос на сертификат»
P. S. должность в прошивке токена 391 должна подставляться из криптопрофиля автоматически..jpg" width="43" height="35"> Необходимо распечатать сертификаты и предоставить в банк на бумажном носителе!!!
Для печати необходимо нажать на инструмент , а именно на стрелочку. После нажатия инструмент предложит 2 документа, каждый сертификат ЭЦП и ключа шифрования необходимо распечатать в 3 экземплярах и предоставить в Банк, по месту заключения договора.
После того как удостоверяющий центр выпустит сертификат запрос встанет на статус «издан банком» это означает, что клиент может войти в систему и ему будет предложено принять сертификат на токен в автоматическом режиме.
ПРИМЕЧАНИЕ: Если сотрудников имеющих право подписи несколько, то входить и запрашивать сертификат им необходимо каждому отдельно и под разными ПИНами. Клиенту при выдаче токена выдается 5 ПИН-конвертов