Jump to content

Recommended Posts

Я конечно извиняюсь, может быть я привык к другой организации фаервола, другой идеологии, или другим терминам, но с помощью тех инструментов, что предлагает KIS (16.0.0.614) и тех терминов которые он применяет, я добиться нужного результата никак не могу. Может кто-то подскажет, что я делаю не так?

 

Итак, постановка задачи: есть ПК, который необходимо отрезать от внешнего мира во всём, за исключением нескольких вполне определённых направлений:

1. Он должен суметь получить настройки сети по DHCP

2. Само собой иметь доступ к DNSам

3. Для процесса наладки и тестирования откроем доступ для хождения ICMP пакетов

4. Откроем некоторый минимальный набор TCP и UDP портов

5. Пустим в расшаренную папку на одном компе в соседней сетке

6. Пустим к обновлениям KIS

7. Пустим к обновлениям винды

8. Собственно цель всей затеи: пустим к некоторым интересующим нас сайтам

9. Всё остальное - запрещаем

 

Как я это сделал, см скриншот:

01.png

 

Если включим последнее правило, то сеть ложится полностью. Разве что адрес по DHCP получить может. Всё остальное недоступно. При этом любые манипуляции с правилами вызывают ужасно долгие фризы окон KIS. Хотя процессор по загрузке вполне свободен. Отключаем последнее правило - фризы пропадают.

 

Из настроек для меня так и осталось загадкой - чем в "направлении" отличается "Входящее (пакет)" от просто "входящее"? Пытался погуглить похожие проблемы, но в инструкциях (видимо к более старым версиям) встречается ещё один термин "Входящий поток" или что-то типа того.

 

Вобщем хотелось бы таки настроить этот чудо-фаервол, и где ж искать ответ, как не на официальном форуме? :) Честно пытался найти решение поиском, но ничего удовлетворяющего моей задаче не нашёл, либо решения оказались нерабочими.

Edited by AnDrEyK@

Share this post


Link to post

Как я понимаю, даже на официальном форуме никто не может дать рабочее решение описанной задачи? Действительно интересный фаервол...

Share this post


Link to post

на официальном форуме, такие же пользователи как и вы.

я например мало что понял. вопрос возможно решается не только настройкой фаервола, а запретом некоторым программам на выход в инет (а за это отвечает Контроль программ)

Обратитесь в ТП. Сначало запретите Все, а потом спрашивайте как разрешить то, как это, пока не исчерпаете список желаемого

Edited by kmscom

Share this post


Link to post
на официальном форуме, такие же пользователи как и вы.

я например мало что понял. вопрос возможно решается не только настройкой фаервола, а запретом некоторым программам на выход в инет (а за это отвечает Контроль программ)

Обратитесь в ТП. Сначало запретите Все, а потом спрашивайте как разрешить то, как это, пока не исчерпаете список желаемого

В том то и дело, что мне всё равно какие именно программы будут обращаться в сеть. Эти правила должны быть справедливы для всех процессов на ПК. Какой смысл строить такие ограничения для например Хрома, если их можно обойти запустив любой другой браузер? Или любую другую программу, умеющую выполнять некоторые функции браузера.

 

В фаерволах обычно существует приоритет правил, они обычно применяются последовательно. Т.е правило "запретить всё" или "разрешить всё" должно быть в самом конце списка. В данном случае "разрешить всё" невидимо, но существует и применяется после обработки всех правил из данного списка.

 

Раз нет ответа тут, пришлось писать в ТП, жду ответа от них...

Share this post


Link to post

ну вот. потом расскажите, что вам посоветовала ТП.

что посоветовать не смогла и почему. и какие предложения по усовершенствованию функций фаервола вы внесли для реализации в будущем.

приняла ли компания ваши предложения к рассмотрению.

в общем подробный отчет :b_lol1:

Edited by kmscom

Share this post


Link to post
ну вот. потом расскажите, что вам посоветовала ТП.

что посоветовать не смогла и почему. и какие предложения по усовершенствованию функций фаервола вы внесли для реализации в будущем.

приняла ли компания ваши предложения к рассмотрению.

в общем подробный отчет :b_lol1:

Осталось дождаться ;)

Если удастся победить, обязательно отпишусь каким именно образом

Share this post


Link to post

Добрый вечер.

 

Сходу конфигурацию сказать не возьмусь, но скорее всего просто разрешили не всё "жизненно важное" для сети, поэтому когда вступает в бой правило "запрещать всё", сеть и лежит.

 

А вот попробовать найти это "жизненно важное", чтобы потом разрешить, можно так:

 

Перевести защиту в интерактивный режим, а именно отключить автоматические принятие решений программой в меню Настройка - Основные. Перезагрузить систему и посмотреть какие именно запросы будет делать программа, ибо после этого она будет спрашивать про каждый чих, втч сетевой. Таким образом вычислить что ещё надо разрешить перед тем как включить блокировку всего (остального).

 

А что касается логики, то она железная, обработка правил идёт сверху вниз, по Вашей схеме запрещается всё, что не разрешено "зелёными" правилами.

Share this post


Link to post
Перевести защиту в интерактивный режим, а именно отключить автоматические принятие решений программой в меню Настройка - Основные. Перезагрузить систему и посмотреть какие именно запросы будет делать программа, ибо после этого она будет спрашивать про каждый чих, втч сетевой. Таким образом вычислить что ещё надо разрешить перед тем как включить блокировку всего (остального).

Спасибо за подсказку, но добиться от него вопросов про каждый чих не удалось (вообще ни разу ничего не спросил): Настройка - Общие - Интерактивная защита: стояла галка "автоматически выполнять рекомендуемые действия". Убрал галку, перезагрузился - ничего не изменилось.

Share this post


Link to post

AnDrEyK@, для того, чтобы была реакция на каждый чих, при попытке выйти в интернет, мало отключить автоматический режим, необходимо в Контроле программ

правой кнопкой нажать на Доверенные, выбрать Подробности и правила, далее Сетевые правила и установить запрос на выход в интернет.

post-41452-1451050958_thumb.png

Edited by Drru

Share this post


Link to post

Забыл отписаться о итогах общения с поддержкой: после примерно месяца переписки они сказали что это баг, когда он будет исправлен неизвестно и для решения поставленной задачи необходимо вернуться на предыдущую версию, т.е. 15.0.2.361. Надеюсь кому-то эта информация поможет в подобной ситуации :)

Share this post


Link to post

Могу сказать, что логика автора правильная. Все правила по нормальному именно так и создаются в нормальных фаерволах (для примера логика при создании ACL у CISCO). А данное приложение походу кривое.

Share this post


Link to post
Из настроек для меня так и осталось загадкой - чем в "направлении" отличается "Входящее (пакет)" от просто "входящее"? Пытался погуглить похожие проблемы, но в инструкциях (видимо к более старым версиям) встречается ещё один термин "Входящий поток" или что-то типа того.

Входящее (пакет) - разрешает получение пакета от другого компьютера.

Входящее - разрешает соединение.

 

Соединение это обмен данным между двумя компьютерами, пакет - это передача данных от отправителя к получателю - если упростить.

Даже из скриншота видно, что правила написаны неправильно. Советую погуглить: модель OSI, инкапсуляцию, протоколы Ethernet, IP, TCP и UDP прежде чем настраивать файрволл.

 

В правиле TCP порты написан бред.

Отправитель отправляет данные на указанный в этом правиле порт. Протокол требует установки соединения. Отправитель отправляет SYN - это разрешено Вашими правилами. Однако Ваш компьютер должен подтвердить получение SYN ответом ACK и подтвердить установку соединение, отправив SYN. Исходящие пакеты с указанных портов у Вас запрещены. Это скорей всего и вызывает Ваши проблемы, так как система может неожидать сбоя в этом месте... Вот поэтому и надо указывать Входящие, а не Входящие (пакет). Отправитель не получает ACK и повторяет передачу несколько раз, на которые Ваша ОС пытается опять отправить ACK,SYN и так до тех пор, пока отправителю не надоест и он не подумает, что Ваш компьютер недоступен. Для отправителя это выглядит, как закрытый порт. Для вашей системы это выглядит как сбой протокола TCP...

Про UDP аналогично, хотя там данные до Вашего компьютера дойдут (по TCP до отправки чего-то полезного даже не дойдёт), но вот ответить Ваш компьютер отправителю ничего не сможет.

Edited by WhKitten

Share this post


Link to post

Ситуация известна (1568902) и начала воспроизводиться с 16 версии продукта. В 15 версии все работает.

Разработчики работают над фиксом.

Спасибо!

Share this post


Link to post

Доброго всем вечера :)

Может быть кто-нибудь объяснит, в чем конкретно состоит проблема с пакетными правилами под номером 1568902. Я столь кардинально не кроил настройки по умолчанию. (Ограничил соединения через 53 порт своими DNS-серверами, ну и так, по мелочам). Сбоев сетевого экрана в 16-ой версии KIS’а на 32-битной семерке пока не вижу (или, возможно, не замечаю :dash1: ).

Share this post


Link to post

В прошлый раз я поверил, что переход на 15-ю версию поможет, от меня с решением этой задачи отстали мои коллеги и я махнул на данную задачу рукой. Но сейчас вопрос опять всплыл, я поставил таки рекомендовавшуюся версию. Настройки фаервола оставил по умолчанию, но:

1. отключил ненужные мне правила

2. Добавил нужные (с начала списка вплоть до Sending e-mails)

3. Добавил вниз списка запрет всего остального

 

01_800.jpgi.gif

 

И... Опять не взлетело! Хотя частично всётаки работает: сам KIS таки находит свои сервера и скачивает с них обновления баз. Если отключить правило "Адреса Касперского" (там ограничение по списку адресов: kaspersky.com + адреса серверов обновлений), то соответственно перестаёт обновляться. Адреса DNS-ами разрешаются, пинги тоже ходят, причём только куда надо, а куда надо - не ходят. Расшареная папка на компе в другой сети (192.168.2.10) тоже работает. Но ОС не обновляется и Internet Explorer упорно не хочет ваще никуда ходить! Специально для него создал правила "kaspersky.com" со всеми возможными в фаерволе настройками направлений. Я эти пять правил понимаю так: разрешать для всех программ все протоколы в любом направлении по адресам из списка: kaspersky.com. Но адрес kaspersky.com не окрывается в браузере. Хотя видно, что он честно пытается. Уж тут нюансы, о которых писал WhKitten уже точно не сработают. Свою логику как правильно догадался Vitaliy216 я ранее строил по опыту построения ACL в свичах Cisco. Я бы всё это конечно прописал там, но ACLы работают только с IP-адресами, а тут мне надо резать доступ по доменным именам, у которых IP могут меняться и меняются фактически. Правила для приложений, активность и журнал см. ниже. В журнале мне непонятен такой момент: почему исходящее соединение разрешается для "Kaspersky Anti-Virus", а не для "Internet Explorer"? Указанное время совпадает с попыткой зайти на этот адрес в браузере, сам KIS я в это время не дёргал, кроме как ковырялся в настройках и смотрел в активность.

 

02_800.jpgi.gif

 

03_800.jpgi.gif

 

04_800.jpgi.gif

 

05.pngi.gif

 

Пытался понять где загвоздка таким образом:

1. Добавил правило Any network activity (Публичная сеть) для приложений. Если ничего не менять, но включить его - то IE начинает работать. Но, понятное дело, вообще без нужных мне ограничений. Т.е. дело всётаки в правилах фаервола.

2. Включал режим "По правилам" для правил "kaspersky.com" и "Адреса Касперского" - ничего не меняется.

3. Если же опять таки ничего в описанной выше схеме не менять, но отключить вообще фаервол KIS, то тоже начинает работать, т.е. дело только в фаерволе, а не в каких-то других модулях антивируса.

 

У кого-то есть какие-то мысли?

Edited by AnDrEyK@

Share this post


Link to post

Добрый день. Мне кажется вы пошли не тем путем. В КИС правела создаются в -НАСТРОЙКАХ ПРАВИЛ ПРОГРАМ-.

Так как вы делали изменения в фавероли сначала надо восстановить параметры КИС по умолчанию. перегрузить ПК.

Зайти в настройки КИС. если требуется выставить нужные настройки КИС.

Снять маркер с -интерактивная защита-

Выставить -настройка программ-ЗАПРОС ДЕЙСТВИЙ-.

Перезапустить ПК.

После перезагрузки КИС будет предлагать Вам создавать правила для ваших приложений на ПК. Когда Вы создадите правила и Ваш ПК будет работоспособный сможете что то запретить или разрешить.

Вот тогда если потребуется сможете подкорректировать в-НАСТРОИТЬ ПАКЕТНЫЕ ПРАВИЛА-

У меня стоит 16,01,445(с) и все работает отлично

post-591454-1463747282_thumb.jpg

post-591454-1463747290_thumb.jpg

post-591454-1463747298_thumb.jpg

Edited by Drru
Не нарушайте правила раздела, пункт №3

Share this post


Link to post
Добрый день. Мне кажется вы пошли не тем путем. В КИС правела создаются в -НАСТРОЙКАХ ПРАВИЛ ПРОГРАМ-.

Так как вы делали изменения в фавероли сначала надо восстановить параметры КИС по умолчанию. перегрузить ПК.

Зайти в настройки КИС. если требуется выставить нужные настройки КИС.

Снять маркер с -интерактивная защита-

Выставить -настройка программ-ЗАПРОС ДЕЙСТВИЙ-.

Перезапустить ПК.

После перезагрузки КИС будет предлагать Вам создавать правила для ваших приложений на ПК. Когда Вы создадите правила и Ваш ПК будет работоспособный сможете что то запретить или разрешить.

Вот тогда если потребуется сможете подкорректировать в-НАСТРОИТЬ ПАКЕТНЫЕ ПРАВИЛА-

У меня стоит 16,01,445(с) и все работает отлично

В моём случае мне не важно какие именно программы лезут в сеть. Я как раз таки пытаюсь установить указанные ограничения на любую сетевую активность.

Немного освежу ситуацию: IE таки смог ходить по некоторым адресам, которые я разрешил. Для этого я добавил в "белый список" доп. адреса Microsoft, без которых он вообще никуда не мог сходить. По-моему что-то типа api.bing.com - сейчас не возле того компа, а на память точно не помню. Но как ни странно, адрес kaspersky.com, который я использовал для проверки его работы, так и не открывается :)

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.