Распознавание приложений - Форум Kerio-rus
Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 13.02.2020, 22:00   #1
thepyst
 
Аватар для thepyst
 
Регистрация: 05.03.2015
Адрес: Киев
Сообщений: 8
По умолчанию Распознавание приложений

Доброго времени суток уважаемые.
Нужна помощь от знающих.
Есть программа для отслеживания машин по GPS трекерам. Она использует яву. В логах керио она ругается на "ET TROJAN Java/QRat Checkin" и не разрешает проге отображать карту, выводить отчёты и тд.
При отключении функции "Фильтрация содержимого - Приложения и веб категории - Распознавание приложений" всё запускается и работает.
Вопрос в чём? Есть ли возможность пустить в обход этого правила один ПК?
Копал-копал и не накопал ничего.
А то чёт не охото отключать сию ф-цию для всего офиса.
Спасибо заранее.
thepyst вне форума   Ответить с цитированием Вверх
Старый 14.02.2020, 08:14   #2
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,153
По умолчанию Re: Распознавание приложений

Цитата:
Сообщение от thepyst Посмотреть сообщение
Есть программа для отслеживания машин по GPS трекерам. Она использует яву.
А что за софт? (название и релиз)
Цитата:
Сообщение от thepyst Посмотреть сообщение
В логах керио она ругается на "ET TROJAN Java/QRat Checkin"
ругается таки IPS или App awarness? Покажите полную строку из лога и укажите название лога.
Цитата:
Сообщение от thepyst Посмотреть сообщение
Есть ли возможность пустить в обход этого правила один ПК?
сделать сверху отдельное правило в политиках трафика, зарезать его по максимуму и отключить на нем инспектор протокола.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 14.02.2020, 15:56   #3
thepyst
 
Аватар для thepyst
 
Регистрация: 05.03.2015
Адрес: Киев
Сообщений: 8
По умолчанию Re: Распознавание приложений

Спасибо за ответ!
1. Glabal Tracking System. Издатель Global Track. Версии как таковой нету.
2. [13/Feb/2020 20:16:00] IPS: Packet drop, severity: High, Rule ID: 1:2021503 ET TROJAN Java/QRat Checkin, proto:TCP, ip/port:192.XXX.XXX.XXX:60871 -> 178.63.84.250:4352 (sua.gps-life.com). Логи Security
3. А вот тут я не понял, если честно.
Правило стоит в самом вверху "Правил трафика", что с ПК_1 на брандмауэр разрешить всё.
Где ошибся? И не совсем понял про "отключить инспектор протокола".
Заранее благодарен.
thepyst вне форума   Ответить с цитированием Вверх
Старый 14.02.2020, 17:03   #4
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,153
По умолчанию Re: Распознавание приложений

Цитата:
Сообщение от thepyst Посмотреть сообщение
3. А вот тут я не понял, если честно.
Правило стоит в самом вверху "Правил трафика", что с ПК_1 на брандмауэр разрешить всё.
а тут оно и не сработало бы =)
лочит ips, а он вроде как отрабатывает до правил трафика контрола (т.к. ips там емнип сторонний. раньше SNORT был, сейчас не знаю).
Цитата:
Сообщение от thepyst Посмотреть сообщение
2. [13/Feb/2020 20:16:00] IPS: Packet drop, severity: High, Rule ID: 1:2021503 ET TROJAN Java/QRat Checkin, proto:TCP, ip/port:192.XXX.XXX.XXX:60871 -> 178.63.84.250:4352 (sua.gps-life.com). Логи Security
единственное что можно сделать - в настройках IPS [Для просмотра данной ссылки нужно зарегистрироваться] обработку конкретного правила IPS по Rule ID выше.
Цитата In the administration interface, go to Intrusion Prevention.
Click Advanced.
In the Advanced Intrusion Prevention Settings dialog, click Add.
Paste the rule ID number and a description.
Click OK and Apply.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 14.02.2020, 17:48   #5
thepyst
 
Аватар для thepyst
 
Регистрация: 05.03.2015
Адрес: Киев
Сообщений: 8
По умолчанию Re: Распознавание приложений

Спасибо!
Помогло отключения конкретного правила.
Правда, когда я его удалил (вернул в зад настройки) - то продолжает разрешать работу этой приложухи. Это нормально?
thepyst вне форума   Ответить с цитированием Вверх
Старый 14.02.2020, 17:58   #6
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,153
По умолчанию Re: Распознавание приложений

Цитата:
Сообщение от thepyst Посмотреть сообщение
когда я его удалил (вернул в зад настройки)
немного не понял, что было сделано и что в итоге с правилами IPS
Цитата:
Сообщение от thepyst Посмотреть сообщение
то продолжает разрешать работу этой приложухи. Это нормально?
если сначала заблокировать что-то правилом
потом разблокировать и сделать tcp-соединение
далее не разрывая соединения заблокировать обратно
то блокировка будет применяться для новых (с момента проставления блокировки) соединений. старые же останутся работать пока не разорвутся по таймауту или по инициативе одной из сторон.
контрол обычно так работает (с контентной блокировкой http, возможно и с ips тот же смысл), в других файерах по-разному. Например в ПО CheckPoint при применении правил можно выбрать - оставить или разрывать текущие соединения (все вообще).
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 14.02.2020, 18:08   #7
thepyst
 
Аватар для thepyst
 
Регистрация: 05.03.2015
Адрес: Киев
Сообщений: 8
По умолчанию Re: Распознавание приложений

Цитата:
Сообщение от exchar Посмотреть сообщение
In the administration interface, go to Intrusion Prevention.
Click Advanced.
In the Advanced Intrusion Prevention Settings dialog, click Add.
Paste the rule ID number and a description.
Click OK and Apply.
Добавил правило как вы писали с id 1:2021503
Применил -ок-ок. Проверил работоспособность - все отлично.
Закрыл приложение полностью.
Далее в обратном порядке - зашёл в Advanced Intrusion Prevention Settings, удалил правило (оно там единственное), применить -ок-ок.
Проверил работоспособность - работает
Проверил на 2 разных керио - всё тоже самое.
В логах в Config пишет, что удалил.
[14/Feb/2020 16:14:48] user - INSERT INTO IPSExcludedRules VALUES Id=1:2021503
[14/Feb/2020 16:15:46] user - DELETE FROM IPSExcludedRules WHERE Id=1:2021503 [Original values: Id=1:2021503]
Подожду до ночи, посмотрю на картину происходящего - отпишусь.
Благодарю за помощь, добрый человек!
thepyst вне форума   Ответить с цитированием Вверх
Старый 15.02.2020, 08:08   #8
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,153
По умолчанию Re: Распознавание приложений

Цитата:
Сообщение от thepyst Посмотреть сообщение
В логах в Config пишет, что удалил.
интересно. а релиз керио какой точно?
Цитата:
Сообщение от thepyst Посмотреть сообщение
Проверил работоспособность - работает
в контексте исходной задачи это не так уж и плохо...

на этом месте должна быть классика:

Цитата Подходит сын к отцу: Папа, а почему солнце восходит на востоке а заходит на западе?
Отец не отрываясь от компа...: а что, всегда так получается?
Сын: Да папа.
Отец: Ты проверял? Работает?
Сын: Да, каждый раз.
Отец (не отрываясь от компа пытаясь восстановить убитую винду): Тогда ради бога ничего не трогай! Ничего не трогай!.....
но вообще интересно что будет после удаления ID из исключений и перезагрузки фаера.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 15.02.2020, 14:28   #9
thepyst
 
Аватар для thepyst
 
Регистрация: 05.03.2015
Адрес: Киев
Сообщений: 8
По умолчанию Re: Распознавание приложений

Керик 9.3.2.3557 и 9.3.3.3634
Ребутал и керио и пк - результат тот же (работает)
Как бэ и хорошо, что работает (задача выполнена), а с другой стороны под это правило могут и другие проги подпадать не оч хорошие...
thepyst вне форума   Ответить с цитированием Вверх
Старый 15.02.2020, 15:06   #10
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,153
По умолчанию Re: Распознавание приложений

Цитата:
Сообщение от thepyst Посмотреть сообщение
а с другой стороны под это правило могут и другие проги подпадать не оч хорошие...
эт да
но пока с другими вариантами не особо.

хотя хз, может по последним релизам кто другой лучше подскажет...
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 15.02.2020, 18:09   #11
thepyst
 
Аватар для thepyst
 
Регистрация: 05.03.2015
Адрес: Киев
Сообщений: 8
По умолчанию Re: Распознавание приложений

всё равно спасибо большое!
Кое-что новое да узнал!
thepyst вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 15:50. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях