23 Antworten zu diesem Thema

[mailwin33]

Здравствуйте.

Использую Dr.Web Security Space 12.0 и столкнулся с тем, что при запущенной службе netfilter не могу подключиться к консоли управления файерволла Cisco с помощью специальной утилиты ASDM.

Сама консоль управления работает на Java и представляет из себя Java-утилиту, запускаемую через javaw.exe:

 

start javaw.exe -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher

 

Утилита запускается, но при попытке подключиться к самому устройству получаю ошибку Unable to connect и следующую ошибку в логах:

 

java.net.SocketException: Permission denied: connect

at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)

at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

at java.net.AbstractPlainSocketImpl.doConnect(Unknown Source)

at java.net.AbstractPlainSocketImpl.connectToAddress(Unknown Source)

at java.net.AbstractPlainSocketImpl.connect(Unknown Source)

at java.net.PlainSocketImpl.connect(Unknown Source)

at java.net.SocksSocketImpl.connect(Unknown Source)

at java.net.Socket.connect(Unknown Source)

at sun.security.ssl.SSLSocketImpl.connect(Unknown Source)

at sun.net.NetworkClient.doConnect(Unknown Source)

at sun.net.www.http.HttpClient.openServer(Unknown Source)

at sun.net.www.http.HttpClient.openServer(Unknown Source)

at sun.net.www.protocol.https.HttpsClient.<init>(Unknown Source)

at sun.net.www.protocol.https.HttpsClient.New(Unknown Source)

at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.getNewHttpClient(Unknown Source)

at sun.net.www.protocol.http.HttpURLConnection.plainConnect0(Unknown Source)

at sun.net.www.protocol.http.HttpURLConnection.plainConnect(Unknown Source)

at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)

at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)

at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)

at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(Unknown Source)

at com.cisco.launcher.s.new(Unknown Source)

at com.cisco.launcher.s.actionPerformed(Unknown Source)

at javax.swing.AbstractButton.fireActionPerformed(Unknown Source)

at javax.swing.AbstractButton$Handler.actionPerformed(Unknown Source)

at javax.swing.DefaultButtonModel.fireActionPerformed(Unknown Source)

at javax.swing.DefaultButtonModel.setPressed(Unknown Source)

at javax.swing.AbstractButton.doClick(Unknown Source)

at javax.swing.plaf.basic.BasicRootPaneUI$Actions.actionPerformed(Unknown Source)

at javax.swing.SwingUtilities.notifyAction(Unknown Source)

at javax.swing.JComponent.processKeyBinding(Unknown Source)

at javax.swing.KeyboardManager.fireBinding(Unknown Source)

at javax.swing.KeyboardManager.fireKeyboardAction(Unknown Source)

at javax.swing.JComponent.processKeyBindingsForAllComponents(Unknown Source)

at javax.swing.JComponent.processKeyBindings(Unknown Source)

at javax.swing.JComponent.processKeyEvent(Unknown Source)

at java.awt.Component.processEvent(Unknown Source)

at java.awt.Container.processEvent(Unknown Source)

at java.awt.Component.dispatchEventImpl(Unknown Source)

at java.awt.Container.dispatchEventImpl(Unknown Source)

at java.awt.Component.dispatchEvent(Unknown Source)

at java.awt.KeyboardFocusManager.redispatchEvent(Unknown Source)

at java.awt.DefaultKeyboardFocusManager.dispatchKeyEvent(Unknown Source)

at java.awt.DefaultKeyboardFocusManager.preDispatchKeyEvent(Unknown Source)

at java.awt.DefaultKeyboardFocusManager.typeAheadAssertions(Unknown Source)

at java.awt.DefaultKeyboardFocusManager.dispatchEvent(Unknown Source)

at java.awt.Component.dispatchEventImpl(Unknown Source)

at java.awt.Container.dispatchEventImpl(Unknown Source)

at java.awt.Window.dispatchEventImpl(Unknown Source)

at java.awt.Component.dispatchEvent(Unknown Source)

at java.awt.EventQueue.dispatchEventImpl(Unknown Source)

at java.awt.EventQueue.access$500(Unknown Source)

at java.awt.EventQueue$3.run(Unknown Source)

at java.awt.EventQueue$3.run(Unknown Source)

at java.security.AccessController.doPrivileged(Native Method)

at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)

at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)

at java.awt.EventQueue$4.run(Unknown Source)

at java.awt.EventQueue$4.run(Unknown Source)

at java.security.AccessController.doPrivileged(Native Method)

at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)

at java.awt.EventQueue.dispatchEvent(Unknown Source)

at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)

at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)

at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)

at java.awt.EventDispatchThread.pumpEvents(Unknown Source)

at java.awt.EventDispatchThread.pumpEvents(Unknown Source)

at java.awt.EventDispatchThread.run(Unknown Source)

 

Самое интересное, что проблема возникает только если я подключаюсь к устройству по внутреннему IP-адресу.

Если использовать публичный, то всё работает.

 

Я пробовал и отключить все компоненты Dr.Web и добавить javaw.exe в исключения, но ничего не помогает.

Единственный действенный способ это отключить Self-Protection и прибить процесс dwnetfilter.exe в диспетчере задач.

После этого все подключается и работает без проблем до следующего запуска процесса.

 

Такая проблема на обоих ПК, где установлен Security Space.

 

Подскажите, пожалуйста, как мне сделать так, чтобы netfilter полностью игнорировал это подключение?

Или проблема в чем-то другом?

 

[VVS]

1. Удалите все исключения, которые Вы создали.

2. Воспроизведите проблему, после чего создайте отчёт DrWeb и приложите его сюда с указанием точного времени по часам компьютера, когда наблюдалась проблема (с точностью до нескольких секунд).

[mailwin33]

1. Удалите все исключения, которые Вы создали.

2. Воспроизведите проблему, после чего создайте отчёт DrWeb и приложите его сюда с указанием точного времени по часам компьютера, когда наблюдалась проблема (с точностью до нескольких секунд).

 

Спасибо, за ответ.

Вот отчет.

Проблему воспроизвел дважды: в 15:48:03 и в 15:48:18

Angehängte Bilder

•  WS-MSK-IT-101_slava_28072019_155446.zip   11,18MB   8 Anzahl Downloads

Bearbeitet von mailwin33, 28 Juli 2019 - 16:01,

[VVS]

Попробуйте внести в исключения SpIDer Gate/SpIDer Mail

\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\javaw.exe

 

javaw.exe, насколько я понимаю, подписанный, а адрес и порт у Вас фиксированы - 10.52.11.1:443

[mailwin33]

Попробуйте внести в исключения SpIDer Gate/SpIDer Mail

\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\javaw.exe

 

javaw.exe, насколько я понимаю, подписанный, а адрес и порт у Вас фиксированы - 10.52.11.1:443

 

К сожалению, это не помогает, он у меня как раз до этого и был добавлен.

Я ради теста даже добавил остальные java-компоненты, которые там рядом лежат, но это тоже не помогает.

Единственный эффект - это то, что в логах netfilter перестает появляться запись об этом подключении

Angehängte Bilder

•  capture-2019-07-28 19_31_47.jpg   57,6K   0 Anzahl Downloads

[VVS]

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

[Konstantin Yudin]

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\ja

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Trying to connect to: 10.52.11.1:443

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Cannot connect to the server. Error 10013

 

нас не пускают биндится к этому сокету, тут только исключения.

10013 - Permission denied.

[mailwin33]

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

 

Ок, повторил.

Вот отчет.

Воспроизвел дважды, в 1:53:02 и в 1:53:28

Спасибо.

Angehängte Bilder

•  WS-MSK-IT-101_slava_30072019_020003.zip   13,14MB   4 Anzahl Downloads

[mailwin33]

 

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\ja

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Trying to connect to: 10.52.11.1:443

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Cannot connect to the server. Error 10013

 

нас не пускают биндится к этому сокету, тут только исключения.

10013 - Permission denied.

 

Константин, спасибо за ответ.

А какое именно исключение нужно добавить?
К сожалению, исключение javaw.exe не помогает (и двух других java-exe, которые лежат в этой папке)
 

 

[VVS]

 

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

 

Ок, повторил.

Вот отчет.

Воспроизвел дважды, в 1:53:02 и в 1:53:28

Спасибо.

 

\WINDOWS\System32\lsass.exe

По адресу 10.50.10.40:49669

Насчёт порта не уверен, т.к. в логе видел только этом, может ли быть другой - хз.

Так что я бы сперва попробовал указать любой, а потом конкретно этот.

[mailwin33]

 

 

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

 

Ок, повторил.

Вот отчет.

Воспроизвел дважды, в 1:53:02 и в 1:53:28

Спасибо.

 

\WINDOWS\System32\lsass.exe

По адресу 10.50.10.40:49669

Насчёт порта не уверен, т.к. в логе видел только этом, может ли быть другой - хз.

Так что я бы сперва попробовал указать любой, а потом конкретно этот.

 

На самом деле этот exe (как и jave.exe) я пробовал добавить с самого начала, но это не помогает.

Уже после этого решил обратиться сюда

 

Сейчас вот снова добавил и логи собрал. Посмотрите, пожалуйста.

 

 

Angehängte Bilder

•  WS-MSK-IT-101_slava_01082019_110302.zip   14,49MB   5 Anzahl Downloads
•  Exclusions.jpg   66,82K   0 Anzahl Downloads

[VVS]

Логи без времени - байты на ветер...

[mailwin33]

Логи без времени - байты на ветер...

 

Да, согласен)

 

Два запуска: 10:56:44 и 10:57:08

[VVS]

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

[mailwin33]

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

 

Вряд ли имеет) Но на всякий случай добавил, не помогло.

Я сейчас сделал дополнительный тест и обнаружил, что подключение зарубается только если указать любой адрес из подсети 10.52.*.

Если указать адрес из любой другой доступной мне подсети, то ASDM без проблем пытается осуществить подключение, и ошибок типа Connection Denied в логах Java не появляется.

[mailwin33]

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

 

 

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

 

Вряд ли имеет) Но на всякий случай добавил, не помогло.

Я сейчас сделал дополнительный тест и обнаружил, что подключение зарубается только если указать любой адрес из подсети 10.52.*.

Если указать адрес из любой другой доступной мне подсети, то ASDM без проблем пытается осуществить подключение, и ошибок типа Connection Denied в логах Java не появляется.

 

 

Думаю это из-за того, что к подсети 10.52.* я подключаюсь через VPN Cisco AnyConnect, а к другим подсетям по обычному Point-to-Site VPN.

[Alexander Chinyakov]

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

[mailwin33]

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 

К сожалению, не помогает.

Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.

 

Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.

Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.

[mailwin33]

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 

 

 

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 

К сожалению, не помогает.

Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.

 

Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.

Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.

 

 

Если вдруг вы у себя в офисе используете AnyConnect для VPN, то можете сами это проверить очень легко

[VVS]

 

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 
К сожалению, не помогает.
Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.
 
Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.
Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.

 

Можно ли посмотреть отчёт с прописанным этим Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:*

Ну и с указанием времени...