Главная > Uncategorized > Совместный удаленный доступ к ДБО

Совместный удаленный доступ к ДБО

Решил поделиться решением задачи по совместному удаленному доступу к ДБО, вдруг кому-то будет полезно.

Итак, дано:
Есть доступ в систему ДБО. Логин-пароль, вход подтверждается по SMS, вход возможен только при наличии eToken’а класса Aladdin Pro. Подпись документов, отправляемых в банк, происходит тоже с помощью ключей.

Требуется:
Организовать возможность доступа в систему ДБО в общем случае N удаленных людей.

Решение:
Вся инфраструктура в нашей локальной сети доступна удаленным пользователям через OpenVPN. В локальной сети поднимается виртуальная машина, в хост в USB вставляется eToken и подключается к виртуальной машине. На виртуальную машину устанавливается ПО USB over Network, которое позволяет подключить удаленное USB-устройство к локальной машине так же, как если бы оно было вставлено в локальный USB-порт. Далее eToken расшаривается для удаленного доступа, конечно с паролем.

Теперь SMS. Берется любой планшет или телефон на Android, ставится программа SMS Forwarder, в которой задается правило: все смс с такого-то номера отправлять на такие-то почтовые адреса. Android-устройство подключатся к WiFi-сети нашей инфраструктуры. Очевидно, в устройстве должна стоять та SIM-карта, на которую приходят одноразовые пароли.

Works like Charm.

p.s. Чего-то мне кажется, что всякие банковские трояны используют эту схему уже давно. Полагаю, спецы подтвердят.

Реклама
  1. Serg
    24.08.2014 в 22:25

    скорее похоже на IT решение, чем ИБ. Со стороны ИБ больше вопросов чем ответов )

    • 25.08.2014 в 14:37

      IT-решение для совместной работы по ИБ! )

      p.s. А какие вопросы без ответов с т.з. ИБ?

  2. Serg
    26.08.2014 в 09:04

    может я не уяснил всю схему и могу быть не прав, но я вижу так:
    1. предположу что на етокене хранятся ключи для подписания документов, и тогда на компьютере должны работать ПО СКЗИ, на которое по требованиям ФСБ налагается ограничение в виде запрета использования на виртуальных машинах, одновременную многопользовательскую работу в ОС.
    2. USB устройство подключенный в хост виртуальный , доступен со всех гостевых ОС, не говоря уже про админов(ну это так мне говорили спецы)
    3. и тоже вопрос — ключи наверняка выданы на определенное лицо и оно будет отвечать за все документы подписанные в этом ДБО, как Вы будете устанавливать кто на самом деле сделал подпись под документом, если допустим в систему за короткий промежуток времени заходили несколько человек(опенвп и логон он комп)
    4. под вопросом протоколы работы USB over Network, что и как там передается, тем более когда оно используется для етокена.
    5. к WiFi-сети тоже должны предъявляется определенные требования, но думаю все конечно учтено.

    В целом для меня выглядит так — данное решение обходит все придуманные средства безопасности как то использование етокена и ключей определенным лицом, привязку телефона для СМС пароля
    и поэтому похоже на ИТ решение )

    • 29.08.2014 в 11:14

      Дык все так! )
      Цель-то не работать в ДБО как клиент ДБО, а работать в ДБО как тестировщик

  3. Алексей Постников
    19.04.2015 в 06:11

    Вы что курите ребят )) ?

    • 19.04.2015 в 12:08

      Мы не курим — мы спорстмены!
      А по сути есть комментарий? )

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: