Уязвимости и риски схемы защиты лицензий 1С (HASP/NetHASP, файловые лицензии)
Дата: 2026-02-10
Контекст: Защита 1С:Предприятие — аппаратные ключи HASP, сетевой менеджер NetHASP, файлы .lic.
Документ описывает категории уязвимостей и операционных рисков. Он не содержит инструкций по обходу защиты и предназначен для оценки рисков и планирования мер защиты.
1. Технические уязвимости компонентов HASP/NetHASP
1.1. Драйвер и службы HASP (известные CVE и отчёты)
- Удалённое выполнение кода (RCE): В системах лицензирования на базе HASP (в т.ч. используемых в корпоративных продуктах) исследователями выявлены уязвимости, позволяющие при определённых условиях выполнять код с повышенными привилегиями (в т.ч. на уровне системы). Примеры: CVE-2017-11496, CVE-2017-11497 (отчёт Kaspersky Lab).
- Открытый порт 1947: Драйвер HASP может открывать порт 1947 и добавлять исключения в фаервол без явного уведомления пользователя. Порт может оставаться открытым после отключения ключа. Это расширяет поверхность атаки на хост с установленным HASP.
- Привилегии установщика: Уязвимости в установщике Sentinel HASP LDK (например, CVE-2024-0197 — повышение привилегий при локальном доступе) подчёркивают важность установки только доверенных дистрибутивов и актуальных версий.
Меры: Использовать только официальные дистрибутивы 1С и актуальные версии HASP License Manager / драйверов; ограничить сетевой доступ к хостам с HASP (в т.ч. к порту 1947); применять патчи и обновления от вендора.
1.2. Эмуляция и клонирование ключей
- Дамп памяти ключа: При физическом доступе к ключу в ряде случаев возможно снятие дампа и создание программных эмуляторов (особенно для старых моделей). Это нарушает лицензионную модель и может подпадать под правовые риски.
- Обратная разработка протокола: Протокол HASP проприетарный; отдельные его реализации и драйверы в прошлом становились объектом анализа, что теоретически снижает «запас прочности» старых версий.
Меры: Ограничение физического доступа к ключам, учёт и хранение ключей; использование актуальных ключей и прошивок; понимание, что аппаратная защита усложняет, но не исключает нелегальное копирование при достаточных ресурсах атакующего.
2. Файловые лицензии (.lic)
- Кража и копирование: Файл .lic можно скопировать вместе с носителя или из каталога сервера. При утечке один файл может быть использован на нескольких системах, что нарушает лицензионное соглашение и усложняет контроль.
- Нет привязки к «железу» при слабых настройках: В зависимости от типа лицензии привязка к оборудованию может быть нежёсткой; утрата или компрометация файла даёт возможность несанкционированного использования.
- Хранение в открытом виде: Файлы лежат в каталогах (conf, licenses, /var/1C/licenses и т.д.); при компрометации ОС или доступе к бэкапам злоумышленник может скопировать .lic.
Меры: Ограничение доступа к каталогам лицензий и бэкапам (права, учёт доступа); контроль целостности и минимально необходимый круг лиц с доступом; не хранить один и тот же .lic в нескольких каталогах (по рекомендации 1С).
3. Архитектурные и сетевые риски
3.1. Единая точка отказа (NetHASP LM)
- При использовании одного сервера HASP License Manager его отказ или недоступность (сеть, перезагрузка, сбой) лишает все зависимые экземпляры 1С доступа к лицензиям. Работа приложения блокируется до восстановления LM.
- Резервирование LM (несколько серверов, пулы) в документации Thales/Sentinel предусмотрено, но требует отдельной настройки и не является типовой конфигурацией «из коробки» для 1С.
Меры: Резервное копирование конфигурации LM и nhsrv.ini; по возможности — резервирование сервера лицензий или согласованный план восстановления; мониторинг доступности LM (например, проверка UDP 475 с хоста 1С).
3.2. Сетевой доступ к LM (UDP 475)
- 1С обращается к менеджеру лицензий по UDP 475. Если порт открыт в недоверенных сетях (например, в интернет или в сегменте с неконтролируемыми клиентами), хост LM и сам протокол становятся целью атак (DoS, сканирование, возможные уязвимости в реализации LM).
- Передача данных по протоколу HASP может не шифроваться; в сегменте с перехватом трафика теоретически возможен анализ запросов/ответов (в зависимости от версии и реализации).
Меры: Ограничить доступ к порту 475/UDP только доверенными сетями и хостами (фаервол, сегментация); не выносить LM в интернет; при необходимости — изолированный VLAN/подсеть для лицензирования.
3.3. Контейнер 1С и сетевая изоляция
- В вашей схеме 1С работает в контейнере (1c-server), LM — на отдельном хосте. Доступ 1С к LM идёт по сети (10.218.14.x или другая подсеть). Компрометация любого узла в этом сегменте может затронуть как 1С, так и запросы к лицензиям.
Меры: Соблюдать общие меры по защите LXD/хоста и сегмента; минимизировать открытые порты и сервисы на хосте LM.
4. Операционные риски
- Потеря или поломка ключа: Аппаратный ключ можно потерять или повредить. Восстановление лицензий — через вендора/партнёра 1С; возможен простой.
- Отсутствие резервирования LM: При единственном сервере лицензий плановые работы (обновления, перезагрузка) приводят к недоступности лицензий на время простоя.
- Неверная настройка nethasp.ini: Неправильный NH_SERVER_ADDR или закрытый порт 475 приводят к тому, что 1С не получает лицензию; диагностика может быть неочевидной для пользователя (сообщения о «ключе не установлен» и т.п.).
Меры: Документирование конфигурации LM и nethasp.ini; тестирование после изменений; план восстановления и контакты партнёра 1С при утрате ключа.
5. Краткая сводка по категориям
| Категория | Примеры рисков |
|---|---|
| Компоненты HASP | RCE и уязвимости в драйвере/службах; открытый порт 1947; уязвимости установщика (CVE и др.) |
| Ключ | Эмуляция/дамп при физическом доступе; потеря, поломка |
| Файл .lic | Копирование, утечка, использование на нескольких системах |
| Архитектура | Единая точка отказа (LM); зависимость всей 1С от одного сервера лицензий |
| Сеть | Открытый UDP 475 в недоверенных сетях; отсутствие шифрования протокола в ряде реализаций |
| Операционные | Простой при отказе/обновлении LM; ошибки в настройке nethasp.ini |
6. Рекомендации по снижению рисков (общие)
- Использовать официальные дистрибутивы 1С и HASP LM, поддерживать их в актуальном состоянии.
- Ограничить сетевой доступ к хостам с HASP и к порту 475 (только доверенные подсети).
- Ограничить физический и административный доступ к ключам и серверу LM; вести учёт ключей.
- Резервное копирование конфигурации LM и nhsrv.ini; при необходимости — рассмотреть резервирование сервера лицензий.
- Права доступа к каталогам с .lic и бэкапам — по минимуму; не дублировать один .lic в несколько каталогов.
- Иметь план восстановления при отказе LM или утрате ключа (контакты партнёра 1С, процедуры).
Связанные документы:
Что сервер 1С ожидает от HASP LM, Размещение лицензии и NetHASP. Подробное описание вариантов дампов ключей и эмуляторов для изучения механизмов защиты: Изучение механизмов защиты HASP.
Дата последнего обновления: 2026-02-10
Технический директор: AI Denkart