Jump to content
Vintik

Администратор 4 - пароль на ЦУС не принимает и HW..

Recommended Posts

Всем привет.

Что делать если на ЦУС пароль "сломался" или потеряли - не могут понять. там всё в куче.

На всё нашли на ЦУС не чего не подходит. Думаю вдруг что то сломалось? Это уже всё?

и 2-е, совсем чудеса.

на администратора сети не обновляли пароль и в апреле 2017 он закончился.

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

На клиенте випнет понятно не пускает как и надо.

 

Есть идеи.

Share this post


Link to post
Share on other sites

Привет

Что делать если на ЦУС пароль "сломался" или потеряли - не могут понять. там всё в куче.

На всё нашли на ЦУС не чего не подходит. Думаю вдруг что то сломалось? Это уже всё?

Ошибка при вводе имени администратора и пароля
Если при входе в клиентское приложение ViPNet Центр управления сетью вы ввели правильное имя пользователя и пароль, но в результате появилось сообщение о вводе неверных данных пользователя, это может быть вызвано сбоем серверного приложения.
Для решения проблемы остановите службу NccService, затем снова запустите ее.

 

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

На HW в BIOS дату откатить ( когда пароль админа был действителен).

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

webgui-fcgi-server — обеспечивает функционирование сервера веб-интерфейса входит в состав ПО ViPNet Coordinator HW.

Наверно демон не проверяет текущую дату на HW ,из-за этого заходит под админом.Думаю скоро будет анонс уязвимости ПО ViPNet Coordinator HW на  https://bdu.fstec.ru/ ))))))))

 

 

 

 

 

 

Share this post


Link to post
Share on other sites
1 час назад, fakedevelopers сказал:

В итоге на HW не могут зайти, НО на ВЭБ форме пустил админом - это как???

 Какая версия прошивки?

Share this post


Link to post
Share on other sites
1 час назад, fakedevelopers сказал:

webgui-fcgi-server — обеспечивает функционирование сервера веб-интерфейса входит в состав ПО ViPNet Coordinator HW.

Наверно демон не проверяет текущую дату на HW ,из-за этого заходит под админом.Думаю скоро будет анонс уязвимости ПО ViPNet Coordinator HW на  https://bdu.fstec.ru/ ))))))))

Ой - лучше бы не говорил, а то как то "нажаловался" - "что за ерёнда, випнет запускается и до запуска спокойно любим "РДП" прохожу" Так потом это исправили и столько матов уже наслушался от админов, где пароль на сеть им не дают и при пересбросе и т.п. сервера - не зайти))) приходится искать обходы им и конечно находят, а иначе работать не возможно.

Про ЦУС - что то службы то не проверил, блин, вдруг и правда в них было дело, но сейчас до этого там уже столько переделали, что теперь концов не найти и какой пароль точно не кто не знает. На УКЦ главное чётко есть и на остальное - а на ЦУС как бду то не было. 

Посмотрю на службы, мне кажется там уже переустанавливали ЦУС и по новой конвертировать пытались, по логам заметил.

\ Инструкции же не для нас.. \

Share this post


Link to post
Share on other sites
58 минут назад, zero сказал:

Какая версия прошивки?

Точно не помню, но не самая последняя. 4.0.1 вроде что то такое. Но вроде это не важно т.к. не ожидал такого. Показывал, что вот в УКЦ пароль до апреля 2017, потому и не принимает у вас другая, где ранее ДСТ активировали, да и рабочая не примет, потому на рабочую надо обновить и отправить (и как раз узнали, что ЦУС то запустить не возможно для этого) и как вариант также сказал сбрасывать (откатывать) время (если там ещё пароль на BIOS не сменили и тоже забыли). Ну и продемострировал  это на випнет клиенте (там всё как надо, сказал устарел он) и при не удачной попытки зайти по SSH (т.к. могу уже пусть vipnet там или user для входя на 4-й версии (по моему user)) просто заiёл через IP:8080 и тут вдруг он легко проходит и я совсем запутался.

Share this post


Link to post
Share on other sites

Попробовал разные сценарии, "ломанной" службы ncc или sql агента, на демо стенде и скорее всего они не причём. Если ncc служба не работает то он не как не обращается и сообщает именно такую ошибку. SQL менеджер поставил и попробовал посмотреть что в sql - но там только пользователи которые в описании (и файлах конфигирации) надеялся что ещё там можно его "сбросить".

Share this post


Link to post
Share on other sites
15 часов назад, Vintik сказал:

Точно не помню, но не самая последняя. 4.0.1 вроде что то такое

 На актуальных версиях такого поведения нет, а 4.0 лучше обновить до 4.2.

Если у Вас остался бэкап администратора (делается в УКЦ), то лучше восстановиться с него, другое дело, если Вы и старого пароля не помните, тогда только ТП поможет.

 

Share this post


Link to post
Share on other sites

Вот примерный мини отчёт:

Цитата

Админ 4.6.1.3861
Випнет Клиент  4.2.1.23386
===
C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore
- почему то копий нет
===
SQL 2014
===
Сделали рез.копию вручную
===
На HW 1000
Версия ПО 4.1.(1.1231)
Версия ОС hw1000 (Linux 3.10.61 x86_64) 
===
ЦУС - (пароль пока не найден или кэш повредился)
Предпологаеммые "стандартные" и найденные пароли
которые могли быть (7 шт) не подошли.
===
Обновление на Клиенте ЦУС обновлялись 27.06.2016
3 шт (если не чистили журнал то значит не чего не обновлялось практически)

....

Ну короче всё собрал... ещё у тех.п. уточнил не может ли быть ХЭШ повредиться... потом "криво косо, всякими "атаками" - удалось вскрыть ларчик и ура.

Но чтоб ещё так попадать - чур меня.

\ Не ответственно относятся, а потом мы ещё и виноваты \

Т.З. 

 

Share this post


Link to post
Share on other sites

Кстате, тех.п. молодцы, быстро отреагировали на запрос и объяснили про HW, всё сводится опять к лиц. соглашению (образно) то что как бы за сроками следить должны админы, а их дело только предупредить, но вся неприятность в том и все это знают, что дальнейшее что они предложили нереализуемо бывает часто. Это всем известно обновить в сети и передать (это и дураку понятно) и второе - новую ключевую применить (а это я дурак не понимаю только как сделать если не могу в этот "енайблед" выйти т.к. пароль то просрочен. И потому и кажется потом, что издеваются над нами :-) 

А вот про откат времени они не сказали, наверно такой метод не по формату, хотя многих выручал именно он. 

Share this post


Link to post
Share on other sites

В Администраторе предупреждение об окончании действия пароля присутствует. А конечному пользователю знать об этом не всегда следует. Логично было бы предупреждать и в веб о приближении его окончания, но только если пользователь уже зашел под админом. Можете попросить доработать ПО.

В 4 версиях ПАК Вы не сможете "откатить время" и получить доступ под истекшим паролем администратора. Система теперь следит за этим банальным способом обхода срока действия пароля. Спасать должно одно - отправка из ЦУС актуальной справочно-ключевой информации. Она применится вне зависимости от того, истёк пароль или нет. 

Share this post


Link to post
Share on other sites

Ну вот - это не банальное было а не обходимое, по причине того, что в 90% бюджетников есть такие HW как МЭ настраиваются один раз и забывают про них, или как недавний случай, почему то им надо именно "холодное" резервирование, потому HW-шку достали, а там уже и сети то нет которая была.

Потому очень надеюсь что если речь только о предупреждении, то этим и надо ограничиваться!!! А не блокировать пароль и потом говорить - это всего лишь предупреждение.

Представляете на машине едите и она РАЗ колом встаёт по среди дороги и говорит "Дальше не поеду, я выболтала время и замени масло" - что это такое ???

Вот для чего приходилось откат делать, а уж если кто то добрался до HW чтоб так откатить (в серверную) то я уж тогда проще диски сворую (клонирую) и всё.

Share this post


Link to post
Share on other sites

 

В 02.03.2018 в 19:30, Vintik сказал:

такие HW как МЭ настраиваются один раз и забывают про них

 На ПАК всё равно введены ключи, он является СКЗИ и действуют требования регулятора, а они с каждым годом всё жестче и жестче.

В 02.03.2018 в 19:30, Vintik сказал:

почему то им надо именно "холодное" резервирование

 Действительно зачем? Если есть хорошее "горячее" резервирование через failover. А так получается, что холодный ПАК не может всё-равно встать в строй. Нужно сеть перенастраивать, а значит и сам МЭ. Проще восстановить из актуального vbe после полной перепрошивки, вся процедура занимает 5-10 минут.

 Пример с машиной не очень корреткный, так как Вам сразу сообщают, что она после определенной даты будет ехать, но изменить маршрут будет нельзя и вот Вы едете-едете, а тут раз и эта самая дата.  

В 02.03.2018 в 19:30, Vintik сказал:

уж если кто то добрался до HW чтоб так откатить (в серверную) то я уж тогда проще диски сворую (клонирую) и всё

И об этом станет известно практически сразу, пломбы-то сорваны. ПАК утилизируют, а ключи поменяют. И все будут в безопасности. 

А вот что Вы там "в прошлом" будете делать, если время в биос откатите, вызывает большие опасения. Может Вас уволили и пароль сменили, а Вы "пробрались" и ведете разрушительную деятельность под старым паролем. Все сломали, вернули время обратно и ушли через чёрный ход. 

   

Share this post


Link to post
Share on other sites

Согласен с вами, тоже не понимал зачем делать копию настроек и убирать его в сторону и как видно на годы, а потом не возможно с ним что то сделать, даже сбросить не получается по нормальному.

Прошивки я понял у них нет, HW обновляли где то там (вроде даже в Инфотекс отправляли т.к. надо было дорабатывать). Обновили нормально т.к. всё работает, только прошивки, как бывает, не предоставили и потому сейчас получается версия 4, откатить как вы написали не получится, чтоб сбросить ключевую информацию т.к. пароль не принимается, прошивки нет.

На счёт последнего - это был образный пример, то что если кто то сделал откат даты, то это не так опасно, к тому же это всё заметно будет повсюду (если кто то конечно следит).

Про увольнение смешно получилось - вот как раз тут поувольнялись и хоть бы один знал пароль, то проблемы бы не было :-)

Самое важное из этого - надеюсь кто то, что то усвоит.

\ Коллега, теперь вывший, уволился, тот который как раз по Випенту диплом делал и как я и писал, он сам эти слова сказал когда отдавал книги - надеюсь больше с этим не столкнусь больше не когда :-) \

Share this post


Link to post
Share on other sites

Прошивку нужно просить в ТП, если есть контракт. В крайнем случае в коммерческий отдел. Самое страшное, что может случиться, это придётся купить диск с сертифицированной прошивкой (той вериии, что стояла при покупке или текущей, на что договорятся) и продлить контракт на ТП.

 Випнет точно не для ленивых немотивированных  и забывчивых. Это факт. Поддерживать управляющее ПО в работоспобном состоянии, иметь актуальный архив настроек, все пароли и хотя бы одну актуальную прошивку для ПАК- обязательный минимум. И еще понимание как этим всем пользоваться.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.