http://www.e1.ru/news/spool/news_id-358123-section...
Можно только посочувствовать. И банку и ИП. Вот только возникает у меня недоумение - с чего вдруг "постоянно менять IP-адреса" вдруг стало мерой безопасности при работе в ИБ? 8(
Наоборот - мера безопасности это привязка к одному IP и MAC адресу.
Дык и я о том же. А ОТВ людЯм голову морочит.
Цитата: От пользователя: LomDiV
Это как реализовать дальше одной сети? я всегда считал что MAC
остается в пределах L2... да и меняется он ручками достаточно легко...
Только по MAC нет особого смысла привязывать. Но вот, предположим, с 1 IP выходит несколько машин, но ИК должен только с одной запускаться, тогда смысл есть.
Только по MAC нет особого смысла привязывать. Но вот, предположим, с 1 IP выходит несколько машин, но ИК должен только с одной запускаться, тогда смысл есть.
Нету никакого смысла в MACе и в этом случае, т.к. MAC-адрес - это
характеристика ethernet-фрейма, а не IP-пакета. Первый же шлюз "перепаковывает" IP-пакет в другой ethernet-фрейм с другими MAC-адресами. А может, и вообще не в ethernet, т.к. это не единственная среда передачи между компьютером клиента и сервером банка...
Кроме того, как уже заметили выше,
MAC-адрес подменяется не просто, а очень просто.
В таком случае, поясните, плиз, что к MAC-адресу предлагается привязывать и кто будет проверять это ограничение?
К IP-адресу привязывается доступ - с этого IP можно, с других нельзя. И это проверяет
сервер банка, т.к. он видит, с какого IP идет соединение.
Наоборот - мера безопасности это привязка к одному IP и MAC адресу.
чушь полная !!!
обьясню почему ! уже не секрет не для кого что многие антивирусные компании ещё 2 года назад сказали что появилась такая вещь как АЗ
(автозалив)
Главная функция АЗ в том что злоумышленник просто распространяет вирус по сети интернет, вирус сам определяет есть на компе жертвы клиент банк или нет. Приимущественно работает она на ибанк2, и метод работы заключается в том что идет подмена реквизитов, т.е. жертва заполняет
реквизиты компании куда желает отправить деньги. Подписывает документ, сохраняет и отправляет в банк. Сервер видит что именно с компа владельца счета идёт платежка и подписана верным ключем. И платёж уходит. Прикол в том что в этой АЗ стоят разные лимиты, и злоумышленники прекрасно знают что такое
смс информирование и т.д.
Еще есть паралельный рабочий стол но тут злоумышленники делают всё руками.
Год назад когда была открыта вакансия специалиста по противодейтсвию мошенничеству в точке я посылал резюме меня не взяли из за отсутствия практического опыта работы. :-D:-D:-D
А то что украв ключи эцп, логин и пароль можно отправить платёж полная чушь.
Дак а чо спорить... Выдержка из документации:
"Для каждого пользователя подсистемы Интернет-Клиент можно указать индивидуальные условия фильтрации по идентификационным признакам. Активация проверки идентификационных признаков и
указание условий фильтрации для пользователя подсистемы Интернет-Клиент выполняются в окне Настройка IP /MAC фильтрации для клиента. ... Окно содержит списки, предназначенные для просмотра и редактирования условий филь
трации по внутренним IP, внешним IP, MAC адресам сетевых устройств
пользователей."
Так что ничего я не придумываю.
Цитата: От пользователя: garik?
А то что украв ключи эцп, логин и пароль можно отправить платёж полная чушь.
:-D А как еще идентифицируется клиент в системе, если смс не подключено? По ауре?
:-D А как еще идентифицируется клиент в системе, если смс не подключено? По ауре?
Уважаемый не хочу Вас ничем обидеть !!! НО Вы многое не понимаете в работе интернет банкинга. Писать как всё устроено ОЧЕНЬ долго, в любой программе есть
дырки которые можно обойти. Любой человек обладающий знаниями в программирование и знающий принципы работы банковского сервера может понять то что я написал выше.
Понимаете, можно купить автомобиль и ездить на нём не понимая как получается так что машина при нажатии на газ едет, а при нажатии
на тормоз тормозит. А можно пользоваться ИБ и не понимать как это работает.
Работает и работает главное чтобы деньги были в сохранности.
Первое правило бизнеса, защищайте свои инвестиции (С) Этикет банкира 1775 год
Действительно, куда уж мне... :-D Работает и работает... Но, может, таки объясните кратенько, каким образом клиент распознается в Интернет-Банкинге? :-)
Но, может, таки объясните кратенько, каким образом клиент распознается в Интернет-Банкинге? :-)
Коротко если :-D
Есть программа такие как крипто про, которая устанавливается в кишки винды, и отправляет на сервер банка инфу о
компе, т.е. от номера и модели материнки до номера и модели жесткого. И привязывается к железу, и так же сертификаты которые имеют шифрование ключем. И когда есть логин пароль, и эцп ничего не сделать, ну максимум можно посмотреть выписку и всё.
Ну вроде если кратко то так
Замечательно. В документации написать можно что угодно, но в реальной жизни в приходящих на сервер ДБО пакетах стоит MAC-адрес ближайшего маршрутизатора или бриджа, а не клиентского компьютера.
Поэтому
"видеть" (т.е. узнавать по собственной инициативе) MAC-адрес клиента (а также его внутренний IP) сервер ДБО не может.
Цитата: От пользователя: Natalca
фильтрации по внутренним IP, внешним IP, MAC адресам сетевых устройств пользователей
Чтобы
это работало, прикладное ПО (клиентское) само должно брать и отправлять эту информацию на сервер ДБО, т.к. в адресной части сетевых пакетов она не сохраняется.
В любом случае, MAC подменяется не намного сложнее, чем IP. Так что эта "защита" приносит больше вреда, создавая ложное ощущение
защищенности. Плюс еще создаст головную боль законному пользователю, который выставил фильтр по MAC, а потом поменял сетевую карту :-)
О как. То, что Крипто Про привязывается к железу - это для меня новость. Народ, это действительно так? Какие версии, какие продукты?
В любом случае разговор об ИБ, а не о СКЗИ. Что, если банк использует другую систему
криптозащиты?
Цитата: От пользователя: Cybervlad
Чтобы это работало, прикладное ПО (клиентское) само должно брать и отправлять эту информацию на сервер ДБО, т.к. в адресной части сетевых пакетов она не сохраняется
Ну так ведь клиент не с чистого листа
работает. Я ничего не говорила о том, что МАС считывается из адресной части сетевых пакетов. Такая функция в клиентской части ДБО предусмотрена . И работает. Хотя, полностью согласна:
Цитата: От пользователя: Cybervlad
В любом случае, MAC подменяется не намного сложнее,
чем IP. Так что эта "защита" приносит больше вреда, создавая ложное ощущение защищенности. Плюс еще создаст головную боль законному пользователю, который выставил фильтр по MAC, а потом поменял сетевую карту
Так, устаревшая примочка. Потому и используется только как дополнение
Так что эта "защита" приносит больше вреда, создавая ложное ощущение защищенности.
Понятно, что это не панацея, это доп.защита, но говорить, что ставить сейф-дверь в квартиру бесполезно, оставьте деревянную, так как профи откроют её за
2 минуты - это неправильно. И вы же, умные дяденьки, пишете в банках эти инструкции и тут же говорите, все это фигня.
Ну, тут речь идет, скорее, о том, что отдельно эта мера защиты бесполезна. Ее нужно использовать в комплексе.
Если пользоваться подобными сравнениями - как дверь без замка.
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
