Jump to content
Sign in to follow this  
owl

обработка трафика в сетевом экране KIS 2016

Recommended Posts

Здравствуйте, уважаемые форумчане! Помогите разобраться с порядком применения правил обработки трафика в сетевом экране KIS 2016. Официальное Руководство пользователя для актуального продукта (http://docs.kaspersky-labs.com/russian/kis2016_userguide_ru.pdf) почему-то обходит этот, да и многие другие вопросы, связанные с сетевым экраном, стороной.

 

Итак, имеем некий сетевой пакет. Как я понимаю, сначала он анализируется с помощью пакетных правил в очередности сверху вниз. Если в списке обнаруживается соответствующее правило, то пакет либо пропускается, либо передается на анализ правилам для программ, либо отбрасывается. А что произойдет, если список пройден, а совпадений нет? Логично было бы предположить, что пакет будет передан для дальнейшего анализа на соответствие правилам для программ. Однако, например, в http://www.securitylab.ru/contest/407324.php утверждается, что такой пакет будет явно разрешен. Полной ясности в этом вопросе для меня нет.

 

Далее, предположим, что пакет передан на анализ соответствия правилам для программ, и такого соответствия не обнаружено. Что в этом случае произойдет с пакетом? Будет ли он отброшен, или, наоборот, беспрепятственно пропущен? Кстати, в каком порядке будут просматриваться правила для программ?

 

Хотелось бы услышать аргументированное мнение знатоков.

 

Share this post


Link to post

Я работу понимаю так: чем выше правило, тем больше приоритет. Если есть запрещающее правило, то понятно следует запрет. Во всех других случаях - запрета нет. Но пакетные правила, они общие для всех программ. А дальше начинает работать правила для программ. А там всё просто: или запрет, или разрешено, или запрос (в интерактивном режиме). Это если вы не меняли правила и не создавали дополнительных. Поэтому мне трудно представить, как это может быть, чтобы "пакет передан на анализ соответствия правилам для программ, и такого соответствия не обнаружено". Или я не правильно понял вопрос.

Например, я настроил вот таким образом данную программу (временно, в качестве примера)

post-41452-1453174951_thumb.png

Теперь при попытки программы выйти в сеть трафик будет проанализирован сначала с помощью первого правила. Если будет соответствие - будет запрос, нет, идём далее, а дальше по списку: для доверенной сети - разрешено, для локальной - тоже а для публичной будет запрос. Но учтите, запросы будут только при включении интерактивного режима, при автомате запросы приравниваются к разрешающим правилам.

 

Share this post


Link to post
Я работу понимаю так: чем выше правило, тем больше приоритет. Если есть запрещающее правило, то понятно следует запрет. Во всех других случаях - запрета нет. Но пакетные правила, они общие для всех программ. А дальше начинает работать правила для программ. А там всё просто: или запрет, или разрешено, или запрос (в интерактивном режиме). Это если вы не меняли правила и не создавали дополнительных. Поэтому мне трудно представить, как это может быть, чтобы "пакет передан на анализ соответствия правилам для программ, и такого соответствия не обнаружено". Или я не правильно понял вопрос.

Например, я настроил вот таким образом данную программу (временно, в качестве примера)

post-41452-1453174951_thumb.png

Теперь при попытки программы выйти в сеть трафик будет проанализирован сначала с помощью первого правила. Если будет соответствие - будет запрос, нет, идём далее, а дальше по списку: для доверенной сети - разрешено, для локальной - тоже а для публичной будет запрос. Но учтите, запросы будут только при включении интерактивного режима, при автомате запросы приравниваются к разрешающим правилам.

А что будет в этом примере с пакетом, входящим, предположим, на localhost? Адреса типа 127.0.0.1, если я правильно понимаю, не попадают ни в одну из 3-х сетевых категорий ( в этом можно убедиться на страничке настройки сетей).

И еще, что все-таки произойдет с пакетом, для которого не нашлось подходящего пакетного правила. Будет ли он передан для анализа по правилам программ, или, как утверждается здесь http://www.securitylab.ru/contest/407324.php , будет без вариантов разрешен?

Share this post


Link to post

Правила обрабатываются сверху вниз до тех пор пока не будет найдено соответствующее соединению активное правило. Как только оно будет найдено, обработка правил прекращается и выполняется описанное в правиле действие.

Если действие не найдено, то выполняется действие "По правилам" программы, что в большинстве случаев равносильно разрешению, так как для всех программ в настройках по-умолчанию разрешён доступ к сети.

Edited by WhKitten

Share this post


Link to post
WhKitten, не для всех программ, а для тех, которые попали в группу Доверенные.

Share this post


Link to post
А что будет в этом примере с пакетом, входящим, предположим, на localhost? Адреса типа 127.0.0.1, если я правильно понимаю, не попадают ни в одну из 3-х сетевых категорий ( в этом можно убедиться на страничке настройки сетей).

127.0.0.0/8 это локальный компьютер. Соответственно доступа к сети нет, правила никакие не обрабатываются, соединение разрешается.

 

И я не рекомендую писать правила для программ. Я не знаю работает ли это в 2016 версии, но в 2013 и 2014 правила периодически сбрасывались на стандартные. Если нужно писать правила, то либо пакетные, либо для группы программ.

Edited by WhKitten

Share this post


Link to post
127.0.0.0/8 это локальный компьютер. Соответственно доступа к сети нет, правила никакие не обрабатываются, соединение разрешается.

Я это уже понял экспериментальным путем. Более того, запретить loopback соединение, прописав соответствующие правила, у меня не вышло. Хотя в некоторых случаях это было бы полезно.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.