Администратор 4 - пароль на ЦУС не принимает и HW..

[Vintik]

Всем привет.

Что делать если на ЦУС пароль "сломался" или потеряли - не могут понять. там всё в куче.

На всё нашли на ЦУС не чего не подходит. Думаю вдруг что то сломалось? Это уже всё?

и 2-е, совсем чудеса.

на администратора сети не обновляли пароль и в апреле 2017 он закончился.

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

На клиенте випнет понятно не пускает как и надо.

 

Есть идеи.

[fakedevelopers]

Привет

Что делать если на ЦУС пароль "сломался" или потеряли - не могут понять. там всё в куче.

На всё нашли на ЦУС не чего не подходит. Думаю вдруг что то сломалось? Это уже всё?

Ошибка при вводе имени администратора и пароля
Если при входе в клиентское приложение ViPNet Центр управления сетью вы ввели правильное имя пользователя и пароль, но в результате появилось сообщение о вводе неверных данных пользователя, это может быть вызвано сбоем серверного приложения.
Для решения проблемы остановите службу NccService, затем снова запустите ее.

 

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

На HW в BIOS дату откатить ( когда пароль админа был действителен).

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

webgui-fcgi-server — обеспечивает функционирование сервера веб-интерфейса входит в состав ПО ViPNet Coordinator HW.

Наверно демон не проверяет текущую дату на HW ,из-за этого заходит под админом.Думаю скоро будет анонс уязвимости ПО ViPNet Coordinator HW на  https://bdu.fstec.ru/ ))))))))

 

 

 

 

 

 

[zero]

  01.03.2018 в 14:54, fakedevelopers сказал:

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

Расширить  

 Какая версия прошивки?

[Vintik]

  01.03.2018 в 14:54, fakedevelopers сказал:

webgui-fcgi-server — обеспечивает функционирование сервера веб-интерфейса входит в состав ПО ViPNet Coordinator HW.

Наверно демон не проверяет текущую дату на HW ,из-за этого заходит под админом.Думаю скоро будет анонс уязвимости ПО ViPNet Coordinator HW на  https://bdu.fstec.ru/ ))))))))

Расширить  

Ой - лучше бы не говорил, а то как то "нажаловался" - "что за ерёнда, випнет запускается и до запуска спокойно любим "РДП" прохожу" Так потом это исправили и столько матов уже наслушался от админов, где пароль на сеть им не дают и при пересбросе и т.п. сервера - не зайти))) приходится искать обходы им и конечно находят, а иначе работать не возможно.

Про ЦУС - что то службы то не проверил, блин, вдруг и правда в них было дело, но сейчас до этого там уже столько переделали, что теперь концов не найти и какой пароль точно не кто не знает. На УКЦ главное чётко есть и на остальное - а на ЦУС как бду то не было. 

Посмотрю на службы, мне кажется там уже переустанавливали ЦУС и по новой конвертировать пытались, по логам заметил.

\ Инструкции же не для нас.. \

[Vintik]

  01.03.2018 в 16:07, zero сказал:

Какая версия прошивки?

Расширить  

Точно не помню, но не самая последняя. 4.0.1 вроде что то такое. Но вроде это не важно т.к. не ожидал такого. Показывал, что вот в УКЦ пароль до апреля 2017, потому и не принимает у вас другая, где ранее ДСТ активировали, да и рабочая не примет, потому на рабочую надо обновить и отправить (и как раз узнали, что ЦУС то запустить не возможно для этого) и как вариант также сказал сбрасывать (откатывать) время (если там ещё пароль на BIOS не сменили и тоже забыли). Ну и продемострировал  это на випнет клиенте (там всё как надо, сказал устарел он) и при не удачной попытки зайти по SSH (т.к. могу уже пусть vipnet там или user для входя на 4-й версии (по моему user)) просто заiёл через IP:8080 и тут вдруг он легко проходит и я совсем запутался.

[Vintik]

Попробовал разные сценарии, "ломанной" службы ncc или sql агента, на демо стенде и скорее всего они не причём. Если ncc служба не работает то он не как не обращается и сообщает именно такую ошибку. SQL менеджер поставил и попробовал посмотреть что в sql - но там только пользователи которые в описании (и файлах конфигирации) надеялся что ещё там можно его "сбросить".

[zero]

  01.03.2018 в 17:14, Vintik сказал:

Точно не помню, но не самая последняя. 4.0.1 вроде что то такое

Расширить  

 На актуальных версиях такого поведения нет, а 4.0 лучше обновить до 4.2.

Если у Вас остался бэкап администратора (делается в УКЦ), то лучше восстановиться с него, другое дело, если Вы и старого пароля не помните, тогда только ТП поможет.

 

[Vintik]

Вот примерный мини отчёт:

  Цитата

Админ 4.6.1.3861
Випнет Клиент  4.2.1.23386
===
C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore
- почему то копий нет
===
SQL 2014
===
Сделали рез.копию вручную
===
На HW 1000
Версия ПО 4.1.(1.1231)
Версия ОС hw1000 (Linux 3.10.61 x86_64) 
===
ЦУС - (пароль пока не найден или кэш повредился)
Предпологаеммые "стандартные" и найденные пароли
которые могли быть (7 шт) не подошли.
===
Обновление на Клиенте ЦУС обновлялись 27.06.2016
3 шт (если не чистили журнал то значит не чего не обновлялось практически)

Расширить  

....

Ну короче всё собрал... ещё у тех.п. уточнил не может ли быть ХЭШ повредиться... потом "криво косо, всякими "атаками" - удалось вскрыть ларчик и ура.

Но чтоб ещё так попадать - чур меня.

\ Не ответственно относятся, а потом мы ещё и виноваты \

Т.З. 

 

[Vintik]

Кстате, тех.п. молодцы, быстро отреагировали на запрос и объяснили про HW, всё сводится опять к лиц. соглашению (образно) то что как бы за сроками следить должны админы, а их дело только предупредить, но вся неприятность в том и все это знают, что дальнейшее что они предложили нереализуемо бывает часто. Это всем известно обновить в сети и передать (это и дураку понятно) и второе - новую ключевую применить (а это я дурак не понимаю только как сделать если не могу в этот "енайблед" выйти т.к. пароль то просрочен. И потому и кажется потом, что издеваются над нами :-) 

А вот про откат времени они не сказали, наверно такой метод не по формату, хотя многих выручал именно он. 

[zero]

В Администраторе предупреждение об окончании действия пароля присутствует. А конечному пользователю знать об этом не всегда следует. Логично было бы предупреждать и в веб о приближении его окончания, но только если пользователь уже зашел под админом. Можете попросить доработать ПО.

В 4 версиях ПАК Вы не сможете "откатить время" и получить доступ под истекшим паролем администратора. Система теперь следит за этим банальным способом обхода срока действия пароля. Спасать должно одно - отправка из ЦУС актуальной справочно-ключевой информации. Она применится вне зависимости от того, истёк пароль или нет. 

[Vintik]

Ну вот - это не банальное было а не обходимое, по причине того, что в 90% бюджетников есть такие HW как МЭ настраиваются один раз и забывают про них, или как недавний случай, почему то им надо именно "холодное" резервирование, потому HW-шку достали, а там уже и сети то нет которая была.

Потому очень надеюсь что если речь только о предупреждении, то этим и надо ограничиваться!!! А не блокировать пароль и потом говорить - это всего лишь предупреждение.

Представляете на машине едите и она РАЗ колом встаёт по среди дороги и говорит "Дальше не поеду, я выболтала время и замени масло" - что это такое ???

Вот для чего приходилось откат делать, а уж если кто то добрался до HW чтоб так откатить (в серверную) то я уж тогда проще диски сворую (клонирую) и всё.

[zero]

 

  02.03.2018 в 16:30, Vintik сказал:

такие HW как МЭ настраиваются один раз и забывают про них

Расширить  

 На ПАК всё равно введены ключи, он является СКЗИ и действуют требования регулятора, а они с каждым годом всё жестче и жестче.

  02.03.2018 в 16:30, Vintik сказал:

почему то им надо именно "холодное" резервирование

Расширить  

 Действительно зачем? Если есть хорошее "горячее" резервирование через failover. А так получается, что холодный ПАК не может всё-равно встать в строй. Нужно сеть перенастраивать, а значит и сам МЭ. Проще восстановить из актуального vbe после полной перепрошивки, вся процедура занимает 5-10 минут.

 Пример с машиной не очень корреткный, так как Вам сразу сообщают, что она после определенной даты будет ехать, но изменить маршрут будет нельзя и вот Вы едете-едете, а тут раз и эта самая дата.  

  02.03.2018 в 16:30, Vintik сказал:

уж если кто то добрался до HW чтоб так откатить (в серверную) то я уж тогда проще диски сворую (клонирую) и всё

Расширить  

И об этом станет известно практически сразу, пломбы-то сорваны. ПАК утилизируют, а ключи поменяют. И все будут в безопасности. 

А вот что Вы там "в прошлом" будете делать, если время в биос откатите, вызывает большие опасения. Может Вас уволили и пароль сменили, а Вы "пробрались" и ведете разрушительную деятельность под старым паролем. Все сломали, вернули время обратно и ушли через чёрный ход. 

   

[Vintik]

Согласен с вами, тоже не понимал зачем делать копию настроек и убирать его в сторону и как видно на годы, а потом не возможно с ним что то сделать, даже сбросить не получается по нормальному.

Прошивки я понял у них нет, HW обновляли где то там (вроде даже в Инфотекс отправляли т.к. надо было дорабатывать). Обновили нормально т.к. всё работает, только прошивки, как бывает, не предоставили и потому сейчас получается версия 4, откатить как вы написали не получится, чтоб сбросить ключевую информацию т.к. пароль не принимается, прошивки нет.

На счёт последнего - это был образный пример, то что если кто то сделал откат даты, то это не так опасно, к тому же это всё заметно будет повсюду (если кто то конечно следит).

Про увольнение смешно получилось - вот как раз тут поувольнялись и хоть бы один знал пароль, то проблемы бы не было :-)

Самое важное из этого - надеюсь кто то, что то усвоит.

\ Коллега, теперь вывший, уволился, тот который как раз по Випенту диплом делал и как я и писал, он сам эти слова сказал когда отдавал книги - надеюсь больше с этим не столкнусь больше не когда :-) \

[zero]

Прошивку нужно просить в ТП, если есть контракт. В крайнем случае в коммерческий отдел. Самое страшное, что может случиться, это придётся купить диск с сертифицированной прошивкой (той вериии, что стояла при покупке или текущей, на что договорятся) и продлить контракт на ТП.

 Випнет точно не для ленивых немотивированных  и забывчивых. Это факт. Поддерживать управляющее ПО в работоспобном состоянии, иметь актуальный архив настроек, все пароли и хотя бы одну актуальную прошивку для ПАК- обязательный минимум. И еще понимание как этим всем пользоваться.