Бетке Сергей: iT блог

Клиент-банка SB RF: вечно „начало на изпращане на файлове“ или NAT, FTP и други чудеса

И отново - проблеми с банката-клиент на SB RF. Задържаме се при „стартиране на изпращане на файл“ и задържаме завинаги. Ще се справим с този проблем и ще го разрешим.

Клиент SB RF и мрежови връзки

Вече писах за опциите за конфигуриране на Amikon FPSU IP/клиент повече от веднъж. Най-привлекателна за мен е последната внедрена опция - със специални FPSU-рутери (решението е ориентирано към сървъра и ни дава възможност да имаме няколко едновременно повдигнати канала към няколко FPSU-рутери).

В тази статия няма да засегна Amikon FPSU, ще говорим за един от проблемите на самия клиент wCLNT.exe.

wCLNT, FTP и NAT

Не по-рано от тази сутрин започнаха чудеса - всички клиентски банки на Съвета за сигурност на Руската федерация (имаме няколко организации), когато се опитваха да се свържат със сървъра на банката, затвориха на етапа „Започнете да изпращате файл ...“ (маслена живопис вдясно).

Не за първа година имам работа с банката-клиент на Съвета за сигурност на Руската федерация, така че знам, че той изпраща „файлове“ на ftp сървъра на банката. Стартирайте Network Monitor, задайте филтър за улавяне: FTP. (да, само FTP. Ще наблюдаваме целия FTP трафик). И ние пускаме нашия монитор. P.S. Нека ви напомня, че в моя случай клиентът на Amikon е инсталиран на друг хост, така че никой и нищо не ми пречи да контролирам реалния трафик на самия клиент, който все още не е обвит в UDP-87.

Виждам следната ftp сесия:

Клиентът получи „шок“ от банковия сървър, но в същото време продължава да „виси“ и да чака нещо друго.

Въпреки това е красиво. Клиент, предназначен предимно за корпоративна среда, в която NAT (или дори повече от един) е често срещан, се опитва да установи активна ftp връзка! Тази опция ще работи в корпоративна среда чрез свирка (USB модем) или всеки друг модем с бял ip. Използвайте клиента в пасивен ftp режим (по-долу ще дам пример за успешна сесия, която вече е в пасивен режим) - и изобщо няма проблем за никого!

И така, проблемът е локализиран. Трябва да принудите wCLNT.exe да използва пасивен ftp (PASV вместо PORT). P.S. До този момент не съм срещал този проблем поради особеностите на изпълнението на FPSU канала - използвах опцията с инсталация на ISA хоста. ISA има успешен ftp филтър, който осигури работоспособността на активния ftp чрез NAT и без този филтър проблемът се появи.

Традиционно консултациите с техническата поддръжка на банката не водят до решение на проблема. Специалистите от техническата поддръжка видяха „файлове с нулева дължина“, от които стигнаха до извода, че имаме проблеми със защитната стена или антивирусната програма. Всъщност файлът на ftp сървъра на банката се създава от командата APPE и връзката (в отговор на PORT) от сървъра на банката към сървъра на клиента все още не е установена и няма да бъде установена. В резултат на това има файл, в него няма съдържание. И причината е в активния режим на FTP връзка на клиента.

При търсенията в интернет попаднаха на трудни записи в регистъра на клиента:

Горното вече е „правилната“ стойност, когато е инсталирано в системния регистър, ще бъде 00000000. Този параметър е отговорен за режима на ftp връзка на клиента wCLNT. Единственият проблем е, че посоченият параметър Пасивен ще трябва да промените/създадете за всеки потребител (той не е в HKLM, а в HKCU), всяка клиентска банка (за всеки клиентXXXX) и за всяка сметка в клиентската банка (оператор XXXX, администратор и т.н. ). И GPO тук няма да помогнат много, за съжаление ...

Летете в мехлема - посоченият параметър не е валиден за всички версии на клиента! Използвахме препоръчаното от нашия клон на Съвета за сигурност на Руската федерация 7.12.5.2225.А именно, в тази версия посоченият параметър не влияе на поведението на клиента! Проблемът е отстранен, започвайки от версия 7.12.7, но актуализирах клиента веднага до версия 7.15.2.2240. И в посочената версия, промяна на стойността на параметъра Пасивен в регистъра вече е валиден. В резултат на това имаме сесия:

Вместо ПРИСТАНИЩЕ вижте PASV, тоест имаме пасивен ftp режим, който ще бъде съвместим с всеки NAT. Общо - проблемът е решен.

И така, описаният проблем ще възникне:

  • ако имате сив IP и NAT без ftp филтър;
  • дори ако имате NAT с ftp филтър (да речем - ISA/TMG), но връзката с банката е чрез IP/клиента Amikon FPSU (тъй като ftp филтърът на NAT е безсилен в този случай);
  • и дори да имате "свирка" или друг модем, но със сив IP.

И проблемът е решен:

  • или с изключение на NAT (бял ip, настройки на защитната стена под ftp);
  • или ftp филтър на NAT (но преди FPSU ip клиент!);
  • или чрез задаване на параметъра Пасивен в системния регистър, както е показано по-горе и актуализиране на клиентската версия.

Огромна молба към разработчиците на банката клиент SB RF:

  • напълно изключете възможността за използване на активна ftp връзка (пасивната ftp няма да създаде проблеми на никого);
  • добре или в краен случай предоставете поддръжка и приоритет на пасивния параметър в ключа HKLM \ Политики\ Софтуер \ SBRF \ WCLNT (точно в този смисъл, а не „по-дълбоко“, в краен случай - HKCU \Политики\ Software \ SBRF \ WCLNT) за други пасивни параметри в HKCU (в този случай поне ще бъде възможно да зададете този параметър чрез GPO за всички инстанции на банката клиент, сега - трябва да работите с ръце).