Проблема с доступностью KSN-прокси

[UIGA]

Добрый день всем! Используем KSC 15.1.0 сборки 20748 и KES 12.8.0.505, Windows.

Проблема: хосты ходят в KSN только через Интернет, а мне надо что бы через KSN-прокси. Все возможные настройки, формумы перечитал - такой ситуации нигде не описано.  Порт 13111 доступен. Политики настроены. Wireshark говорит, что пакеты на KSC на 13111 не прилетают. На хостах, где можно было запустить Wireshark, также нет запросов к этому порту.

В чём может быть причина???

[andrew75]

Добрый день.

Документацию читали?

[UIGA]

С прочтения документации и начал решать проблему 🙂 По сути: служба ksnproxy запущена (для проверки перезапускал несколько раз дав время хостам на реакцию), порт доступен.

[durtuno]

Тогда показывайте свои настройки.

Так-то всё должно работать:

Спойлер

 

[UIGA]

Отключенные критические компоненты защиты - защита паролем.

[durtuno]

У Вас иерархия серверов и один локальный сервер? 

Здесь какие настройки?

Спойлер

+

пока снимали скрины прилетело 2 пакета, маловато будет, но значит что-то да и "шевелится"

+

политика "KESW" точно применяется на клиенты? У Вас тестовый клиент или Вы проверяете работу прокси-сервера "KSN" на управляемых устройствах?

 

Edited yesterday at 01:11 PM by durtuno

[UIGA]

15 часов назад, durtuno сказал:

У Вас иерархия серверов и один локальный сервер? 

Один локальный сервер.

15 часов назад, durtuno сказал:

Здесь какие настройки?

15 часов назад, durtuno сказал:

пока снимали скрины прилетело 2 пакета, маловато будет, но значит что-то да и "шевелится"

Это два компа, на которых не запущен агент администрирования. С других аналогичных (в сети, но без агента) ничего не прилетает.

15 часов назад, durtuno сказал:

 

политика "KESW" точно применяется на клиенты? У Вас тестовый клиент или Вы проверяете работу прокси-сервера "KSN" на управляемых устройствах?

Управляемые устройства. Всего около 300 штук.

 

[durtuno]

Этот скрин откуда/ из какого раздела?

Спойлер

Здесь почему всё заблокировано/ запрещено для редактирования (затенено)?

Спойлер

 

[UIGA]

8 минут назад, durtuno сказал:

Этот скрин откуда/ из какого раздела?

Это свойства сервера администрирования KSC.

8 минут назад, durtuno сказал:

Здесь почему всё заблокировано/ запрещено для редактирования (затенено)?

Политикой для KSC запрещено редактирование.

Edited 11 hours ago by UIGA

[durtuno]

19 минут назад, UIGA сказал:

Это свойства сервера администрирования KSC.

Это политика "Сервер администрирования Kaspersky Security Center", понятно.

Да, каждое изменение указанной политики сбрасывает кэш прокси-сервера "KSN", это нужно иметь ввиду, что может быть критично для кого-то. Поэтому у Вас выше и такие малые значения в статистике.

Вообще, по приложенным скринам всё на месте и должно работать.

Интересно, если включить сбор логов на сервере администрирования, какое-нибудь упоминание про KSNPROXY будет проскакивать?

[durtuno]

Добавлю, как это выглядит у Меня (настройки идентичные предоставленным выше):

С клиента:

Спойлер

>netstat -an | find "13111"
  TCP    192.168.1.206:60058  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60069  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60070  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60071  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60072  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60077  192.168.1.245:13111  ESTABLISHED

 

Открыт порт на сервере:

Спойлер

# nmap 192.168.1.245 -p 13111
Starting Nmap 7.94 ( https://nmap.org ) at 2025-06-27 10:59 +05
Nmap scan report for kscsrv (192.168.1.245)
Host is up (0.00056s latency).

PORT      STATE SERVICE
13111/tcp open  unknown
MAC Address: EE:EE:EE:EE:EE:EE (ASUSTek Computer)

Nmap done: 1 IP address (1 host up) scanned in 0.25 seconds

 

На сервере:

Спойлер

>netstat -an | find "13111"
  TCP    0.0.0.0:13111          0.0.0.0:0              LISTENING
  TCP    127.0.0.1:13111        127.0.0.1:57156        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57157        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57158        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57159        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57160        ESTABLISHED
  TCP    127.0.0.1:57156        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57157        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57158        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57159        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57160        127.0.0.1:13111        ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.28:56935     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.28:56936     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.30:51021     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.32:50255     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.54:51120     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.121:58363    ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.206:60182    ESTABLISHED

 

Спойлер

>sc query ksnproxy

Имя_службы: ksnproxy
        Тип                : 10  WIN32_OWN_PROCESS
        Состояние          : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        Код_выхода_Win32   : 0  (0x0)
        Код_выхода_службы  : 0  (0x0)
        Контрольная_точка  : 0x0
        Ожидание           : 0x0

 

 

[UIGA]

У меня получилось следующее:

 

Не знаю, правильно ли запустил утилиту klactgui на сервере, но вот скрин одного из отчетов. Я так понял машина с адресом 130.128 пытается соединиться с прокси, но у нее это не получается. Интересно, что ещё есть в этом отчёте?

Кстати, на этой машине агент не запущен.

[durtuno]

19 минут назад, UIGA сказал:

Кстати, на этой машине агент не запущен.

Соединение с "KSN" устанавливает "KES" не сетевой агент;

21 минуту назад, UIGA сказал:

 

Всё хорошо, сервер принимает подключения на порту прокси-сервера "KSN";

19 минут назад, UIGA сказал:

Это с клиента, верно? Никаких исходящих и установленных соединений от клиента и нет, вот с этим и следует разбираться. Политика "KES" точно применена на этом клиенте, с которого Вы получали результат?

24 минуты назад, UIGA сказал:

Хех, тут явно видна ошибка, надо попробовать её раскурить, что-то с сертификатом/ RSA ключом. Сам с подобным не встречался, но будет любопытно докопаться до истины. 

[durtuno]

54 минуты назад, durtuno сказал:

что-то с сертификатом/ RSA ключом.

Что-то с криптографией на сервере. Какая операционная система используется? 

Вот кусок лога работающего прокси-сервера "KSN":

Спойлер

04:58:09.284	0x1a38	ALW	ksn_proxy::ProxyRouter::Send begin
04:58:09.284	0x1a38	ALW	ProxyRouter::Send packet_id=45653 data_size=478 service_id=FR ip=192.168.1.206 port=60477 prot=TCP
04:58:09.284	0x1a38	ALW	ProxyRouter::Send bHasToken=1 bLowPriority=0
04:58:09.284	0x1a38	ALW	m_tasksWithToken.size()=0
04:58:09.284	0x1a38	ALW	RouterTask::RouterTask() this=0xa54d9a0
04:58:09.284	0x1a38	ALW	ksn_proxy::ProxyRouter::Send end (took=0,052222 ms)
04:58:09.284	0x1a80	ALW	Wake up!
04:58:09.284	0x1a80	ALW	Got task from TasksWithToken. pTask=0xa54d9a0 Len=0
04:58:09.284	0x1a80	ALW	ksn_proxy::RouterTask::Process begin
04:58:09.284	0x1a80	ALW	RouterTask::Process this=0xa54d9a0 bHasToken=1
04:58:09.284	0x1a80	DBG		oper 0xa5664f8	new KsnProxyOperation created
04:58:09.284	0x1a80	DBG		oper 0xa5664f8	KsnProxyOperation::Start(...) called; serviceId=FR
04:58:09.284	0x1a80	INF	ksnclnt	Data in EncInfraRequestToken format
04:58:09.284	0x1a80	INF	win_aes	"Microsoft Enhanced RSA and AES Cryptographic Provider" crypto provider selected with flags 4026531840
04:58:09.285	0x1a80	INF	ksnfrep	FileReputationRequestBuilder::AddRequests called. requestId=7804317: Hips;Md5=e73cad698b9c1c69cf37a19596c790ef
04:58:09.285	0x1a80	DBG	SmartCache::Get: key=c5a5df543e51eee6f0b16c6090c5118bad66e3301398ab2cbf935d1541cff1ac
04:58:09.285	0x1a80	DBG	SmartCache::Get: key not found in cache
04:58:09.285	0x1a80	INF	ksnfrep	FileReputationRequestBuilder::AddRequests called. requestId=7804318: Verdict;Md5=e73cad698b9c1c69cf37a19596c790ef
04:58:09.285	0x1a80	DBG	SmartCache::Get: key=c5a5df543e51eee6f0b16c6090c5118bad66e3301398ab2cbf935d1541cff1ac
04:58:09.285	0x1a80	DBG	SmartCache::Get: key not found in cache
04:58:09.285	0x1a80	INF	ksnfrep	FileReputationRequestBuilder::AddRequests called. requestId=7804319: Hips;Sha256=c92d2adbded8f3851d9616ed1255bada11179eba47cf9aa4c7b4052da363296d
04:58:09.285	0x1a80	DBG	SmartCache::Get: key=5073947c285805f048be0def288bfd36cb9a3ee5c13065e477fbe4e7f9da0d33
04:58:09.285	0x1a80	DBG	SmartCache::Get: key not found in cache
...
04:58:09.285	0x1a80	INF	ksnfrep	FileReputationRequestBuilder::MakeAsyncRequest called. Request's size=12, ids={7804317, 7804318, 7804319, 7804320, 7804321, 7804322, 7804323, 7804324, 7804325, 7804326, 7804327, 7804328}
04:58:09.285	0x1a80	INF	ksnhlp	[component/ksn/source/facade/ksn_helper/src/SendChecker.cpp:553] Need to send to the service 0x629fcaa4
04:58:09.285	0x1a80	INF	ksnhlp	[component/ksn/source/facade/ksn_helper/src/SendChecker.cpp:496] No need to send statistic: 0x40ba9f0d (), reason: No record in the statistics configuration
04:58:09.285	0x1a80	INF	ksnfrep	FileReputationRequestBuilder::MakeRevocationRequest. Current revision: 0
04:58:09.285	0x1a80	INF	ksnclnt	KSN request for service FR (async); initiatorId=255 (UNDEFINED); scenarioId=0; flags: 77844(!use_cache;!cache_response;additional_data;!calculate_ksn_quality;)
04:58:09.285	0x1a80	INF	ksnclnt	Additional data {} were added to RequestId = 1224285
04:58:09.285	0x1a80	DBG	ksnclnt	AddReq id:1224285 size:266 hasresp
04:58:09.285	0x1a80	INF	ksnclnt	New async request added for service FR, Packet 635040
04:58:09.285	0x1a80	INF	ksnhlp	[component/ksn/source/facade/ksn_helper/src/SendChecker.cpp:635] Statistic DataSent 0x629fcaa4
04:58:09.285	0x1a80	INF	ksnclnt	Packet collecting stopped for service FR, Packet 635040, Num Req 1, FlushQueue called
04:58:09.285	0x1a80	INF	ksnclnt	>> Sending packet 635040 for service FR; initiatorId=10 (KSN_PROXY); scenarioId=1;
04:58:09.285	0x1a80	INF	ksnclnt	GetCurrentRoute for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com
04:58:09.285	0x1a80	DBG	httpcli	 RequestCallbackWrapper for 0xa7c8d08
04:58:09.285	0x1a80	IMP	httpcli	HttpAsyncOperationController 0xa7bbff8
04:58:09.285	0x1a80	IMP	httpcli	New request (Req 0xa7bbff8): https://dc1-file.ksn.kaspersky-labs.com:443/FR?type=7&version=21.14.5.462.0: Registering request. http client 0xa785bd8; http factory 0xa555624