1

1. Idea komunikacji MultiCash PRO

poprzez Internet

1.1 OGÓLNE INFORMACJE O TRANSMISJI MULTICASH POPRZEZ

INTERNET

System MultiCash PRO dla komunikacji z Bankiem wykorzystuje protokół MCFT
(MultiCash File Transfer Protocol). Protokół MCFT charakteryzuje:

szyfrowanie 3DES, długość klucza 128bit,
upgrade klucza sesji po skończonej transmisji wg. algorytmu Diffie-Hellmann,
podpis elektroniczny RSA długość kluczy 768bit lub 1024bit.

W przypadku transmisji poprzez Internet, dla zwiększenia bezpieczeństwa, stosuje się
dodatkowo tunelowanie połączenia MCFT protokołem PPTP (Point to Point Tunneling
Protocol). Protokół PPTP charakteryzuje:

szyfrowanie jest oparte o 128-bitowy protokół MPPE (Microsoft),
uwierzytelnianie: MSCHAP v2.

Dzięki dodatkowemu tunelowaniu połączenia MultiCash poprzez Internet osiągamy bardzo
wysoki poziom bezpieczeństwa, zapewniający:

podwójne szyfrowanie transmisji (najpierw MCFT, potem PPTP),
dostęp do serwera bankowego poprzez Internet możliwy jest po zestawieniu

połączenia Virtual Private Network, co chroni zarówno Klienta, jak i Bank przez
atakami hakerów,

logowanie wszelkiej aktywności użytkowników, jak próby połączenia oraz czasy

transmisji.

1.2 JAK DZIAŁA VPN?

VPN – Virtual Private Network jest technologią umożliwiającą bezpieczną wymianę
informacji pomiędzy komputerami poprzez sieci publiczne jak Internet. Pakiety danych są
szyfowane oraz zabezpieczone przed modyfikacją. Nawet w przypadku monitorowania
transmisji, osoby nieuprawnione nie będą w stanie odszyfrować treści komunikatu. W celu
nawiązania połączenia Klient legitymuje się nazwą użytkownika i hasłem na serwerze VPN.

- 3 -

VPN Client

VPN Server

VPN Tunnel

Internet

Typ Virtual Private Network użyty w transmisji MultiCash poprzez Internet to PPTP (Point to
Point Tunneling Protocol.) PPTP posługuje się:

szyfrowaniem opartym o 128-bitowy protokół MPPE (Microsoft),
uwierzytelnianiem MS-CHAP v2. MS-CHAP v2 jest protokołem typu challenge

response zapewniającym obustronną autentykację. Klucz sesyjny jest oparty o hasło
użytkownika i przypadkowy łańcuch znaków otrzymany od serwera. Przy kolejnych
autentykacjach zostaną wynegocjowane inne klucze sesyjne. Do wysyłania i odbioru
danych są używane różne klucze. Autentykacja MS-CHAPv2 przebiega następująco:

- serwer

wysyła "challenge" do klienta zawierający identyfikator sesji i losowy

challenge string,

- klient odpowiada nazwą użytkownika, losowym peer chalenge string - zostaje

nawiązane szyfrowanie,

- serwer

wysyła potwierdzenie nawiązania połączenia z szyfrowaniem,

- Klient weryfikuje odpowiedź serwera w oparciu o nią używa bądź zrywa

połączenie.

1.3 JAK DZIAŁA TRANSMISJA MULTICASH POPRZEZ INTERNET?

MultiCash standardowo szyfruje transmisję protokołem MCFT, co biorąc pod uwagę długość
klucza szyfrowania (128bit) spełnia nowoczesne wymagania dotyczące poziomu
bezpieczeństwa dla tego typu systemów. W przypadku transmisji poprzez Internet, dla
osiągnięcia najwyższego możliwego poziomu bezpieczeństwa, zaszyfrowana wymiana
danych wg. oryginalnego protokołu MultiCash MCFT jest dodatkowo tunelowana protokołem
VPN PPTP. Osiągamy w ten sposób bardzo wysoki poziom bezpieczeństwa transmisji
danych. Przebieg transmisji przy użyciu protokołów MCFT wraz z PPTP jest następujący:

1. Stacja robocza Klienta zestawia połączenie VPN, podając w tym celu unikalne (dla

każdego Klienta) USERID i HASŁO VPN.

2. Po zestawieniu połączenia system MultiCash łączy się z serwerem komunikacyjnym

strony bankowej MC za pomocą protokołu MCFT (MultiCash File Transfer Protocol).

3. Protokół MCFT sprawdza:

- Aktualność pliku BPD (Bankowy Plik Dostępu) oraz podane hasło transmisji
- Uprawnienia

użytkownika do wykonywanego typu sesji transmisji

- (W przypadku transmisji zleceń) prawidłowość podpisu elektronicznego dla

pliku ze zleceniami.

4. Po zakończonym transferze obliczany jest nowy klucz sesji wg. algorytmu Diffie-

Hellmanna i MultiCash Klient rozłącza się z serwerem MultiCash Bank. Połączenie
MCFT jest zamknięte.

5. Tunel VPN dodatkowo chroniący transmisję jest zamykany.

- 4 -

M u ltiCas h

Ban k s erv er

VPN Client

MultiCash Client

VPN s erv er

VPN tunnel

MCFT encryption

Internet

2. Zestawianie połączenia VPN do

Banku

2.1 JAK ZESTAWIĆ POŁĄCZENIE VPN DO BANKU?

Połączenie VPN użyte dla komunikacji MultiCash poprzez Internet jest protokołem PPTP
opracowanym przez Microsoft. Oprogramowanie klientowskie PPTP jest zawarte w
systemach operacyjnych Windows, od wersji 95 do XP. Dla starszych systemów (Win95, 98)
niezbędne jest wgranie odpowiednich uaktualnień VPN lub zwiększenie siły szyfrowania do
siły 128bit. Nowsze systemy (Win2000, WinXP) mają już zawarte odpowiednie składniki
VPN w standardowej wersji systemu operacyjnego. Poniżej przedstawiamy sposób
konfiguracji PPTP dla systemów:

Windows 95
Windows 98SE
Windows NT 4.0 Sp6a
Windows 2000
Windows XP.

2.1.1 KONFIGURACJA POŁĄCZENIA W WINDOWS 95

Do poprawnego funkcjonowania połączenia VPN wymagane jest zainstalowanie poniższego
patch’a zwiększającego siłę szyfrowania do 128 bit: Upgrade Dial-Up Networking 1.4
dostępnego na stronach Microsoft:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;285189

1. Należy wejść w okno Dial-Up Networking. Funkcja jest dostępna z menu

Start

→ Programy → Akcesoria → Dial-Up Networking.

2. Wybieramy ikonę Make New Connection

W oknie Make New Connection należy wpisać w polu Type a name for the computer you
are dialing nazwę Bezpieczne połączenie MultiCash poprzez Internet, w polu Select a
device należy wybrać Microsoft VPN Adapter.

- 5 -

5. Podczas pierwszego uruchomienia należy podać:

- nazwę użytkownika, która standardowo jest numerem klienta z pliku BPD,
- hasło połączenia VPN.

Uwaga! Zalecane jest zaznaczenie opcji Save password.

6. Po poprawnym pisaniu nazwy użytkownika i hasła program rozpocznie zestawianie

połączenia VPN MultiCash.

Okno łączenia przedstawiają kolejne etapy zestawiania połączenia VPN:

7. Zestawienie połączenia sygnalizowane jest ikoną połączenia na pasku aplikacji przy

zegarze:

- 7 -

2.1.2 KONFIGURACJA POŁĄCZENIA W WINDOWS 98 SE

Przed przystąpieniem do instalacji VPN należy sprawdzić czy podczas instalacji systemu
Windows 98SE zainstalowana została obsługa wirtualnych sieci prywatnych

(Panel sterowania

→ Dodaj usuń programy → Instalator systemu Windows →

Komunikacja).

Jeżeli obsługa nie jest zainstalowana, należy zaznaczyć opcje Wirtualne sieci prywatne,
system poprosi o włożenie CD z wersją instalacyjną Windows i doda obsługę Wirtualnych
sieci prywatnych.

Do poprawnego funkcjonowania połączenia VPN z szyfrowaniem 128bit wymagane jest
zainstalowanie poniższego patch’a Upgrade Dial-Up Networking 1.4 dostępnej na stronach
Microsoft:

http://www.microsoft.com/Windows98/downloads/contents/WURecommended/S_WUNetworking/dun1
4/Default.asp

1. Należy wejść w okno Dial-Up Networking. Funkcja jest dostępna z menu

Start

→ Programy → Akcesoria →Komunikacja → Dial-Up Networking.

2. Wybieramy ikonę Utwórz nowe połączenie

W oknie Utwórz nowe połączenie należy wpisać nazwę Bezpieczne połączenie VPN
MultiCash poprzez Internet, w polu Wybierz urządzenie należy wybrać Microsoft
VPN Adapter.

- 8 -

2. W kolejnym oknie należy wpisać adres serwera VPN MultiCash czyli

193.108.177.110
Uwaga! Nie zaleca się wpisywania nazwy DNS serwera VPN MultiCash
mc.bphpbk.pl

3. W kolejnym oknie wybieramy zakończ, zostanie utworzone połączenie VPN. Należy

utworzyć skrót do VPN na także na pulpicie.

4. Podczas pierwszego uruchomienia należy podać:

- nazwę użytkownika, która standardowo jest numerem klienta z pliku BPD,

- 9 -

- hasło połączenia VPN.

Uwaga! Zalecane jest zaznaczenie opcji Zapisz hasło.

5. Po poprawnym pisaniu nazwy użytkownika i hasła program rozpocznie zestawianie

połączenia VPN MultiCash:

Zestawienie połączenia sygnalizowane jest ikoną połączenia na pasku aplikacji przy zegarze:

- 10 -

2.1.3 KONFIGURACJA POŁĄCZENIA W WINDOWS NT 4.0 SP6A

2.1.3.1 DODANIE PROTOKOŁU PPTP

1. Należy wejść w okno Sieć. Funkcja jest dostępna z menu Start

→ Ustawienia →

Panel sterowania

→ Sieć.

2. Wybieramy zakładkę Protokoły.

3. Należy wybrać opcję Dodaj i w oknie Wybierz: protokół sieciowy zaznaczyć

protokół PPTP.

- 11 -

4. Program instalacyjny odwoła się do oryginalnego nośnika z systemem WindowsNT

5. W oknie Konfiguracja PPTP należy pozostawić Liczba wirtualnych sieci

prywatnych.

6. Pojawi się komunikat o konieczności skonfigurowania portów RAS.

7. W oknie Dodaj urządzenie RAS należy wybrać VPN1 - RASPPTP.

- 12 -

8. W oknie Instalacja usługi Zdalny dostęp wybieramy Konfiguruj.

9. W oknie Konfiguruj użycie portu należy pozostawić zaznaczoną opcję Tylko

wybieraj numer.

10. Następnie w oknie Instalacja usługi Zdalny dostęp wybieramy Sieć i w oknie

Konfiguracja sieci pozostawiamy zaznaczoną opcje TCP/IP.

11. W oknie Instalacja usługi Zdalny dostęp wybieramy Dalej.

12. W oknie Sieć wybieramy Zamknij, program instalacyjny wykona niezbędne

czynności i należy ponownie uruchomić komputer. Po takiej operacji niezbędne jest
ponowne wgranie Service Pack.

- 13 -

Uwaga! Sp6a musi zawierać dodatek High Encryption Pack. Sp6a 128 bit dostępny jest pod

http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/128bitX86/default.asp

2.1.3.2 ZWIĘKSZENIE SIŁY SZYFROWANIA DO 128BIT

13. Połączenie VPN MultiCash wymaga siły szyfrowania 128bit. Jeżeli w systemie nie

zainstalowano siły szyfrowania 128 bit, połączenie nie będzie mogło być zestawione.
Zwiększenie siły szyfrowania może odbyć się na następujące sposoby:

- zainstalowanie najnowszego Internet Explorera 6 lub nowszego,
- zainstalowanie ServicePack p6a z High Encryption Pack (zalecane)

http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/128bitX86/default.a
sp

2.1.3.3 KONFIGURACJA VPN

14. Należy wybrać Dial-Up Networking Start

→ Programy → Akcesoria → Dial-Up

Networking, jeżeli książka telefoniczna była pusta pojawi się stosowny komunikat:

15. Należy wpisać nazwę nowego połączenia, np. Bezpieczne połączenie VPN

MultiCash poprzez Internet oraz zaznaczyć opcję Wiem wszystko o wpisach .....

- 14 -

18. Podczas pierwszego połączenia należy podać:

- nazwę użytkownika, która standardowo jest numerem klienta z pliku BPD,
- hasło połączenia VPN.
-

Uwaga! Zalecane jest Zapisanie nazwy użytkownika i hasła.

19. Wybranie przycisku Połącz rozpocznie zestawianie połączenia VPN MultiCash

Okno łączenia przedstawiają kolejne etapy zestawiania połączenia VPN.

- 16 -

20. Pomyślne zestawienie połączenia sygnalizowane jest ikoną połączenia na pasku

aplikacji przy zegarze wraz z odpowiednią informacją.

2.1.4 KONFIGURACJA POŁĄCZENIA W WINDOWS 2000

2.1.4.1 HIGH ENCRYPTION PACK W WINDOWS 2000

Jeżeli w systemie zainstalowano Service Pack 2 lub wyższy, można przystąpić od razu do
konfiguracji połączenia VPN. W przeciwnym razie należy pobrać i zainstalować

High Encryption Pack w odpowiedniej wersji językowej ze strony Microsoft (około227 kB):

http://www.microsoft.com/windows2000/downloads/recommended/encryption/

2.1.4.2 KONFIGURACJA POŁĄCZENIA VPN

1. Należy wybrać opcję Połączenia sieciowe. Funkcja jest dostępna z menu

Start

→ Ustawienia → Połączenia sieciowe i telefoniczne.

2. Wybieramy kreator Utwórz nowe połączenie.

- 17 -

2.1.4.3 WPISYWANIE NAZWY UŻYTKOWNIKA I HASŁA

10. Nowo utworzone połączenie VPN jest automatycznie uruchamiane po zakończeniu

czynności kreatora. Należy podać:

- nazwę użytkownika, która standardowo jest numerem klienta z pliku BPD,
- hasło połączenia VPN.

Uwaga! Zalecane jest zaznaczenie opcji Zapisz hasło.

2.1.4.4 ŁĄCZENIE Z SERWEREM VPN

11. Wybranie przycisku Połącz rozpocznie zestawianie połączenia VPN MultiCash

Okno łączenia przedstawiają kolejne etapy zestawiania połączenia VPN.

- 20 -

12. Zestawienie połączenia sygnalizowane jest ikoną połączenia na pasku aplikacji przy

zegarze wraz z odpowiednią informacją.

2.1.5 ZESTAWIANIE POŁĄCZENIA W WINDOWS XP

2.1.5.1 PRZYGOTOWANIE SYSTEMU XP

Windows standardowo zawiera już siłę szyfrowania 128 bit. Zaleca się jedynie odznaczenie
opcji „Chroń mój komputer i moją sieć, ograniczając dostęp do tego komputera z zewnątrz”.
Opcja ta powinna być wyłączona, w przeciwnym mogą pojawić się problemy z tworzeniem
połączeń VPN.

- 21 -

9. Na zakończenie należy zaznaczyć opcję Dodaj skrót do tego połączenia na moim

pulpicie. Ułatwi to manualne zestawianie połączenia VPN MultiCash, w przypadku
gdy system nie zestawi połączenia automatycznie.

10. Nowo utworzone połączenie VPN jest automatycznie uruchamiane po zakończeniu

czynności kreatora. Należy podać:

- nazwę użytkownika, która standardowo jest numerem klienta z pliku BPD,
- hasło połączenia VPN.

Uwaga! Zalecane jest Zapisanie nazwy użytkownika i hasła dla dowolnego
użytkownika komputera.

11. Wybranie przycisku Połącz rozpocznie zestawianie połączenia VPN MultiCash

Okno łączenia przedstawiają kolejne etapy zestawiania połączenia VPN:

- 25 -

12. Zestawienie połączenia sygnalizowane jest ikoną połączenia na pasku aplikacji przy

zegarze wraz z odpowiednią informacją.

2.1.5.3 DIAGNOSTYKA POŁĄCZENIA VPN

Prawidłowa konfiguracja firewall’i/routerów u Klienta polega na otworzeniu komunikacji dla
usługi PPTP:

Port TCP 1723
IP GRE 47.

W przypadku problemów z połączeniem VPN należy sprawdzić, czy firewall/router u Klienta
jest tak skonfigurowany, iż obsługuje (przepuszcza) protokół PPTP.

W tym celu należy wykorzystać ogólnodostępne narzędzie diagnostyczne Microsoft: para
aplikacji pptpsrv.exe oraz pptpclnt.exe. Na komputerze bezpośrednio podłączonym do
Internetu należy uruchomić pptpsrv.exe, natomiast na stacji klienckiej (wewnątrz sieci
Klienta, na której jest zainstalowany MultiCash) należy uruchomić pptpclnt.exe wraz z
podaniem adresu IP komputera, na którym jest wywołany pptpsrv.exe. Test PPTP jest więc
swojego rodzaju ping-iem, które zdiagnozuje problem z połączeniem.

Prawidłowo zestawione połączenie VPN powinno odpowiadać na komendę PING 1.1.1.1

- 26 -

2.1.6 TEST KONFIGURACJI FIREWALL’I / ROUTERÓW U KLIENTA

1. Na jednej maszynie podłączonej bezpośrednio do Internetu (np. komputer podłączony

poprzez TPSA na 0202122) uruchamiamy z command prompta aplikację pptsrv.exe.

2. Na stacji roboczej MultiCash (która ew. może mieć problemy z VPN) nalezy

uruchomić pptpclnt.exe i wskazać na adres IP komputera, na którym jest uruchomiany
pptsrv.exe (adres IP komputera można otrzymać wykonując komendę ipconfig).

3. Jeżeli wymiana komunikatów wygląda tak, jak jest to przedstawione poniżej,

konfiguracja firewall’i / routerów jest prawidłowa.

4. Informacja na testowym serwerze VPN (na którym jest uruchomiony pptpsrv.exe).

5. Informacja na testowym kliencie VPN (na którym jest uruchomiony pptpclnt.exe).

- 27 -

3. Konfiguracja systemu MultiCash

PRO dla transmisji poprzez VPN

Jeżeli komputery, na których jest zainstalowany MultiCash, poprawnie obsługują VPN i
protokół PPTP jest przepuszczany przez firewall’e u Klienta (opisane w poprzednich
rozdziałach), można przystąpić do konfiguracji systemu MultiCash do pracy poprzez Internet.

3.1 USTAWIENIA PARAMETRÓW TRANSMISJI:

1. Po zalogowaniu do systemu MultiCash PRO należy wejść w menu

Transmisja

→ Parametry transmisji .

2. Należy ustawić Priorytet TCP/IP na 1 i zaznaczyć odpowiedni checkbox.

3. W ustawieniach Połączenia TCP/IP zaznaczamy checkbox Wykorzystaj Dial-up

Networking oraz wybieramy odpowiedni wpis książki telef. Bezpieczne połączenie
MultiCash poprzez VPN Internet. Poniżej należy wpisać Użytkownika i hasło VPN.

4. Zaznaczamy także checkbox Rozłącz po zakończeniu transmisji.

- 30 -

3.2 USTAWIENIA W PLIKACH BPD:

1. Należy wybrać Opcję Transmisja

→ Pliki BPD → Wybór pliku.

2. Należy wpisać adres IP

1.1.1.1

, numer portu 4747,

3. W oknie Połączenie trzeba zaznaczyć opcję Wykorzystaj Dial-up Networking,

wybrać odpowiedni wpis z książki i wpisać Użytkownika i hasło VPN.

- 31 -

3.3 TRANSMISJA

MultiCash najpierw zestawia połączenie VPN Trwa nawiązywanie połączenia Dialup.

Pomyślne połączenie sygnalizowane jest przy zegarze ikoną połączenia. Następnie odbywa
się transmisja MCFT. Po zakończeniu transmisji MultiCash automatycznie rozłącza tunel
VPN (Poprzedzone komunikatem Trwa rozłączanie...).

3.4 ZMIANA HASŁA VPN PRZEZ KLIENTA

Użytkownik może w każdej chwili zmienić hasło VPN otrzymane z Banku. Po połączeniu z
serwerem VPN, należy otworzyć przeglądarkę internetową i wpisać stronę

http://1.1.1.1

Po wprowadzeniu starego i nowego hasła oraz kliknięciu na przycisk „Zmień hasło”, można
się już posługiwać nowym hasłem VPN.

- 32 -

4. Dalsze informacje

4.1 TECHNOLOGIA VPN

W Internecie znajduje się obszerna dokumentacja użytego typu protokołu VPN- PPTP

Technologia VPN

http://www.microsoft.com/windows2000/docs/VPNoverview.doc

FAQs PPTP

http://www.microsoft.com/ntserver/productinfo/faqs/pptpfaq.asp

4.2 DIAGNOSTYKA VPN

Opis diagnostic utility dla PPTP(pptsrv.exe oraz pptpclnt.exe) znajduje się na stonie

http://www.winnetmag.com/Articles/Index.cfm?ArticleID=9082

4.3 KONTAKT Z HOTLINE MULTICASH

W przypadku problemów z zestawianiem połączenia VPN MultiCash prosimy o kontakt:

Hotline MultiCash Banku BPH

Tel.   0801 362274 (0801 3mcash)
Tel.   +48 12 618 6688
Fax:   +48 12 618 6763
e-mail:

hotline.multicash@bph.pl

- 33 -