Jump to content
alex3110

Настройка "сетевого экрана" в корпоративной сети [В процессе]

Recommended Posts

Подскажите, пожалуйста, как лучше сделать.

Может уже был такой вопрос ранее, т.к. такая проблема "злободневная".

 

Используем KES10 v.10 с лицензией на нужное кол-во компьютеров.

Имеется сеть организации, в которой есть несколько подсетей со своими «шлюзами», в каждой из которых присутствует своя группа «сервер» - «клиенты» (АРМ-ы). Назовём их всех «компы».

На каждом «компе»:

- установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ;

- активирована служба «Remote Desktop» («Удалённый рабочий стол»)

 

В других подсетях имеются несколько ИС – «инженерных станций», на каждой из которых установлен «клиентский» вариант «R-admin» и «Ultra VNC», используя которые, по мере надобности, происходит подключение к любому из «компов».

 

Стоит задача, на каждом из «компов», настроить сетевой экран KES10 таким образом, чтобы каждый из «компов» «игнорировал» все сетевые компьютеры (кроме ИС !!!) по следующим запросам :

1. «Пинги» . Т.е. «компы» должны отвечать только на «пинги», посланные с ИС. «Пинговые» запросы с других компьютеров организации должны игнорироваться ;

2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на ИС. Такие же запросы с других компьютеров организации должны игнорироваться ;

3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2 ;

 

 

Что нужно использовать при такой настройке, «Правила программ» или «Сетевые и пакетные правила», либо их комбинацию ?

Читал о том, что при настройках с использованием «Правил программ», полезно создавать свои подгруппы, в которые нужно помещать требуемые программы. А что это даёт ?

 

Заранее благодарен.

Edited by alex3110

Share this post


Link to post
Подскажите, пожалуйста, как лучше сделать.

Может уже был такой вопрос ранее, т.к. такая проблема "злободневная".

 

Используем KES10 v.10 с лицензией на нужное кол-во компьютеров.

Имеется сеть организации, в которой есть несколько подсетей со своими «шлюзами», в каждой из которых присутствует своя группа «сервер» - «клиенты» (АРМ-ы). Назовём их всех «компы».

На каждом «компе»:

- установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ;

- активирована служба «Remote Desktop» («Удалённый рабочий стол»)

 

В других подсетях имеются несколько ИС – «инженерных станций», на каждой из которых установлен «клиентский» вариант «R-admin» и «Ultra VNC», используя которые, по мере надобности, происходит подключение к любому из «компов».

 

Стоит задача, на каждом из «компов», настроить сетевой экран KES10 таким образом, чтобы каждый из «компов» «игнорировал» все сетевые компьютеры (кроме ИС !!!) по следующим запросам :

1. «Пинги» . Т.е. «компы» должны отвечать только на «пинги», посланные с ИС. «Пинговые» запросы с других компьютеров организации должны игнорироваться ;

2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на ИС. Такие же запросы с других компьютеров организации должны игнорироваться ;

3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2 ;

Что нужно использовать при такой настройке, «Правила программ» или «Сетевые и пакетные правила», либо их комбинацию ?

Читал о том, что при настройках с использованием «Правил программ», полезно создавать свои подгруппы, в которые нужно помещать требуемые программы. А что это даёт ?

 

Заранее благодарен.

Здравствуйте!

 

В вашем случае необходимо использовать "Сетевые пакетные правила", указав в разрешающем правиле список компьютеров с которых будут идти запросы на подключение и прочее.

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

В вашем случае необходимо использовать "Сетевые пакетные правила", указав в разрешающем правиле список компьютеров с которых будут идти запросы на подключение и прочее.

 

Спасибо!

 

Мне нужно создать новое такое разрешающее правило ?

Если так, то в какую строку списка "правил" нужно его поместить ? Или оно, по умолчанию, может добавиться только в конец этого списка ?

 

Или же можно успользовать какое-то из уже существующих 12-ти или 13-ти (точно не помню) правил, уже заданных по умолчанию, самим KES10 ? Каким тогда ?

Share this post


Link to post
Мне нужно создать новое такое разрешающее правило ?

Если так, то в какую строку списка "правил" нужно его поместить ? Или оно, по умолчанию, может добавиться только в конец этого списка ?

 

Или же можно успользовать какое-то из уже существующих 12-ти или 13-ти (точно не помню) правил, уже заданных по умолчанию, самим KES10 ? Каким тогда ?

 

Здравствуйте,

 

ознакомьтесь, пожалуйста, с руководством на стр. 159 - 166

Спасибо.

 

Share this post


Link to post

Почитал, попробовал. Чё-то не все, что хочу получается. А есть ли у кого ссылочка на подобный пример, где бы всё это было описано ?

 

И можно ли проверять вышеупомянутые настройки, используя два компьютера, находящиеся в одной подсети и подключенные к одному и тому же сетевому switch - чу ? Или для проверки правильности настройки нужны компьютеры в разных подсетях ?

Edited by alex3110

Share this post


Link to post
Почитал, попробовал. Чё-то не все, что хочу получается. А есть ли у кого ссылочка на подобный пример, где бы всё это было описано ?

 

Здравствуйте.

 

К сожалению, юс-кейсами техподдержка не располагает. Пожалуйста, уточните, что именно работает не так, как задумано, и каким образом произведены настройки (экспорт политики либо скриншоты правил Сетевого экрана). Также уточните, пожалуйста, какой полный номер версии KES.

 

Спасибо.

Share this post


Link to post

Хорошо, позже опишу поподробнее (сейчас конец рабочего дня) , а пока ответьте, пожалуйста :

 

Какой приоритет по счёту, начиная сверху, в пакетных правилах, нужно будет присвоить моему новому правилу, т.е. на какую позицию его надо будет поместить ?

 

Можно ли проверять вышеупомянутые настройки, используя два компьютера, находящиеся в одной подсети и подключенные к одному и тому же сетевому switch - чу ? Или для проверки правильности настройки нужны компьютеры в разных подсетях ?

Edited by alex3110

Share this post


Link to post
Хорошо, позже опишу поподробнее (сейчас конец рабочего дня) , а пока ответьте, пожалуйста :

 

Какой приоритет по счёту, начиная сверху, в пакетных правилах, нужно будет присвоить моему новому правилу, т.е. на какую позицию его надо будет поместить ?

 

Можно ли проверять вышеупомянутые настройки, используя два компьютера, находящиеся в одной подсети и подключенные к одному и тому же сетевому switch - чу ? Или для проверки правильности настройки нужны компьютеры в разных подсетях ?

 

Ответ на оба вопроса зависит от того, что это за правило и для чего оно предназначено. Приоритет пакетных правил идет сверху вниз. "до первого попадания". Если две машины находятся в одной подсети и эта подсеть является доверенной, то по умолчанию для любого сетевого взаимодействия между ними будет работать правило "Любая сетевая активность" для доверенных сетей. Чтобы ее ограничить, дополнительное правило необходимо будет создать выше по списку.

 

Спасибо.

Share this post


Link to post
Ответ на оба вопроса зависит от того, что это за правило и для чего оно предназначено.

 

Стоит задача : на удалённых компьютерах, где

- установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ;

- активирована служба «Remote Desktop» («Удалённый рабочий стол»)

 

настроить сетевой экран KES10 таким образом, чтобы каждый из удалённых компьютеров «игнорировал» все сетевые компьютеры (кроме моих компьютеров) по следующим сетевым запросам :

 

1. «Пинги» . Т.е. удалённые компьютеры должны отвечать только на «пинги», посланные с моих компьютеров. «Пинговые» запросы с других компьютеров организации должны игнорироваться ;

2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на моих компьютерах. Такие же запросы с других компьютеров организации должны игнорироваться ;

3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2, т.е. подключение к удалённым компьютерам по RDC их сетевые экраны должны разрешать только для моих компьютеров, а для всех остальных - блокировать.

 

 

По поводу сети.

"Доверенной" она точно не будет, т.к. сейчас стоят настройки по умолчанию, т.е. "локальная". Если потребуется, то можно сделать её даже "публичной", лишь бы всё работало как нужно.

Edited by alex3110

Share this post


Link to post
Стоит задача : на удалённых компьютерах, где

- установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ;

- активирована служба «Remote Desktop» («Удалённый рабочий стол»)

 

настроить сетевой экран KES10 таким образом, чтобы каждый из удалённых компьютеров «игнорировал» все сетевые компьютеры (кроме моих компьютеров) по следующим сетевым запросам :

 

1. «Пинги» . Т.е. удалённые компьютеры должны отвечать только на «пинги», посланные с моих компьютеров. «Пинговые» запросы с других компьютеров организации должны игнорироваться ;

2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на моих компьютерах. Такие же запросы с других компьютеров организации должны игнорироваться ;

3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2, т.е. подключение к удалённым компьютерам по RDC их сетевые экраны должны разрешать только для моих компьютеров, а для всех остальных - блокировать.

 

Для диагностики возможных проблем с настройкой необходим точный сценарий (выполненные действия с явным указанием адресов машин, портов, порядка правил и т.д., ожидаемый результат, фактический результат).

Пожалуйста, уточните, что именно работает не так, как задумано, и каким образом произведены настройки (для этого приложите экспорт политики, экспорт локальных настроек, либо скриншоты настроенных вами правил Сетевого экрана). Также уточните, пожалуйста, какой полный номер версии KES.

 

Спасибо.

Share this post


Link to post

Например, я хочу настроить Сетевой Экран на удалённом персональном компьютере (УПК) так, чтобы к нему не мог подключиться ни один другой компьютер по технологии «Удалённый рабочий стол» УРС .

Я создал новое правило, обозвал его «УРС_МОЁ» и поставил его на строку №5, начиная сверху, в списке «Настройка сетевых пакетных правил».

Внутри «УРС_МОЁ», в окне «Сетевое правило», я сделал следующие настройки :

Действие : Запрещать

Протокол : выбран ТСР

Направление : Входящее

Удалённые порты : 3389

Локальные порты : ------

Адрес : Любой адрес

 

Всё сохранил, KES10 не перезапускал (хотя может перезапуск и не нужен для того, чтобы изменения вступили в силу ???)

 

Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить.

Что не так ?

 

Использую версию KES10 10.2.1.23(a)

 

"для этого приложите экспорт политики, экспорт локальных настроек...." - это посмотрю. Это всё где-то внутри KES10 ?

Edited by alex3110

Share this post


Link to post
...

Действие : Запрещать

Протокол : выбран ТСР

Направление : Входящее

Удалённые порты : 3389

Локальные порты : ------

Адрес : Любой адрес

 

...

 

Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить.

Что не так ?

 

Вы настраиваете правило клиента, поэтому порт для него будет - локальный.

Share this post


Link to post
Например, я хочу настроить Сетевой Экран на удалённом персональном компьютере (УПК) так, чтобы к нему не мог подключиться ни один другой компьютер по технологии «Удалённый рабочий стол» УРС .

Я создал новое правило, обозвал его «УРС_МОЁ» и поставил его на строку №5, начиная сверху, в списке «Настройка сетевых пакетных правил».

Внутри «УРС_МОЁ», в окне «Сетевое правило», я сделал следующие настройки :

Действие : Запрещать

Протокол : выбран ТСР

Направление : Входящее

Удалённые порты : 3389

Локальные порты : ------

Адрес : Любой адрес

 

Всё сохранил, KES10 не перезапускал (хотя может перезапуск и не нужен для того, чтобы изменения вступили в силу ???)

 

Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить.

Что не так ?

 

Использую версию KES10 10.2.1.23(a)

 

"для этого приложите экспорт политики, экспорт локальных настроек...." - это посмотрю. Это всё где-то внутри KES10 ?

 

Эта версия не поддерживается - http://support.kaspersky.ru/support/lifecy...block0.kes10wks

Обновите, пожалуйста, KES.

 

Share this post


Link to post
Например, я хочу настроить Сетевой Экран на удалённом персональном компьютере (УПК) так, чтобы к нему не мог подключиться ни один другой компьютер по технологии «Удалённый рабочий стол» УРС .

Я создал новое правило, обозвал его «УРС_МОЁ» и поставил его на строку №5, начиная сверху, в списке «Настройка сетевых пакетных правил».

Внутри «УРС_МОЁ», в окне «Сетевое правило», я сделал следующие настройки :

Действие : Запрещать

Протокол : выбран ТСР

Направление : Входящее

Удалённые порты : 3389

Локальные порты : ------

Адрес : Любой адрес

 

Всё сохранил, KES10 не перезапускал (хотя может перезапуск и не нужен для того, чтобы изменения вступили в силу ???)

 

Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить.

Что не так ?

 

Использую версию KES10 10.2.1.23(a)

 

"для этого приложите экспорт политики, экспорт локальных настроек...." - это посмотрю. Это всё где-то внутри KES10 ?

 

К сожалению, используемая версия на данный момент не поддерживается. Отсутствие проблем с работой компонентов (или их оперативное исправление) гарантируется только для последних версий продукта. Рекомендуется обновиться до KES 10 SP2 (10.3.0.6202).

 

Спасибо!

Share this post


Link to post
К сожалению, используемая версия на данный момент не поддерживается. Отсутствие проблем с работой компонентов (или их оперативное исправление) гарантируется только для последних версий продукта. Рекомендуется обновиться до KES 10 SP2 (10.3.0.6202).

Извините, не понял в плане "не поддерживается". Значит ли это, что ни одна из функций "моей" версии после 1 января 2017 г. не будет работать ? Но это не так. Программа так же, как и ранее, обновляет антивирусные базы, ищет вирусы, контролирует устройства и т.д.

Share this post


Link to post
Извините, не понял в плане "не поддерживается". Значит ли это, что ни одна из функций "моей" версии после 1 января 2017 г. не будет работать ? Но это не так. Программа так же, как и ранее, обновляет антивирусные базы, ищет вирусы, контролирует устройства и т.д.

 

Ознакомьтесь, пожалуйста, с информацией - http://support.kaspersky.ru/support/rules#section0.block8

 

 

Share this post


Link to post
Вы настраиваете правило клиента, поэтому порт для него будет - локальный.

Спасибо, получилось. Теперь пробую настроить так, чтобы локальный комп пропускал запросы на подключение к нему по технологии RDP, посланные только с определённого удалённого компа. Указываю IP удалённого компа, а /32 касперский добавляет сам (так и должно быть ?) .

 

Настройки моего сетевого правила такие :

 

Действие : Разрещать

Название : ..........

Протокол : ТСР

Направление : Входящее

Удалённые порты : пусто

Локальные порты : 3389

Адрес : Адреса из списка

Удалённый адрес : ххх.ххх.ххх.112/32

Локальный адрес : Любой адрес

 

Почему-то не работает, т.к. подключиться к локальному ПК по RDP могу не только с адреса ...112, но и с любого другого.

Edited by alex3110

Share this post


Link to post
а /32 касперский добавляет сам (так и должно быть ?)

Да, это маска одного узла.

 

Почему-то не работает, т.к. подключиться к локальному ПК по RDP могу не только с адреса ...112, но и с любого другого.

на клиенте, что говорит команда, порт слушается?

netstat -aon | findstr /c:3389

 

 

Share this post


Link to post
Спасибо, получилось. Теперь пробую настроить так, чтобы локальный комп пропускал запросы на подключение к нему по технологии RDP, посланные только с определённого удалённого компа. Указываю IP удалённого компа, а /32 касперский добавляет сам (так и должно быть ?) .

 

Настройки моего сетевого правила такие :

 

Действие : Разрещать

Название : ..........

Протокол : ТСР

Направление : Входящее

Удалённые порты : пусто

Локальные порты : 3389

Адрес : Адреса из списка

Удалённый адрес : ххх.ххх.ххх.112/32

Локальный адрес : Любой адрес

 

Почему-то не работает, т.к. подключиться к локальному ПК по RDP могу не только с адреса ...112, но и с любого другого.

Здравствуйте!

 

Вы указываете самостоятельно маску отличную от 32? Если же вы укажете адрес без маски то KES автоматически добавит маску 32 означающую что только один указанный хост будет добавлен в параметр.

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

Вы указываете самостоятельно маску отличную от 32? Если же вы укажете адрес без маски то KES автоматически добавит маску 32 означающую что только один указанный хост будет добавлен в параметр.

 

Спасибо!

 

Спасибо всем !!!

Разобрался, не без помощи, конечно.

Надо было учесть следующее : После разрешающего правила для избранных соединений должно идти запрещающее правило для всех остальных.

Всё заработало, как надо.

Теперь на очереди настройка сетевого экрана для программ типа Remote Control

Share this post


Link to post
Спасибо всем !!!

Разобрался, не без помощи, конечно.

Надо было учесть следующее : После разрешающего правила для избранных соединений должно идти запрещающее правило для всех остальных.

Всё заработало, как надо.

Теперь на очереди настройка сетевого экрана для программ типа Remote Control

Здравствуйте!

 

Спасибо за информацию, можем ли мы отметить тему решенной?

 

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.