Перейти к содержимому


Фото
- - - - -

dr.web for internet gateways + squid 3.1.20


  • Please log in to reply
44 ответов в этой теме

#21 Dmitry Volkov

Dmitry Volkov

    Poster

  • Dr.Web Staff
  • 1 047 Сообщений:

Отправлено 19 Июнь 2017 - 15:09

 

Лучше все же обновить FreeBSD, поддержка 8-й версии кончилась July 31, 2012, поддержка 9-й - December 31, 2016.

Это значит, что уязвимости в программах самой ОС уже не будут закрываться. Так что лучшее решение - обновиться на 10-ю FreeBSD и использовать наш продукт на ней.

 

Спасибо за ответ по существу вопроса.

То, что лучше, это понятно, но исходим от имеющегося. Да и есть золотое правило - лучшее враг хорошего, работает надежно - не трогай.

Вопрос по пакету, стоит ли его пробовать интегрировать в имеющейся системе, либо шансы развертывания и работоспособности комплекса невелики?
Могу провести разведку боем - вернуться на последнюю 6.х сборку несложно, но хотелось все же предварительно представлять шансы на успех.

 

Те ребята, которые не ставили обновления и получили в своих сетях WannaCry, тоже, наверное, думали, что "работает надежно - не трогай". Там были свои дырки, в вашем случае не исключены свои.



#22 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 19 Июнь 2017 - 15:22


Это конечно да, а потом мы видим работащие сервера на FreeBSD 4.11 в 2015 году (бывает и такое).
Сейчас проверю, как продукт рабоает на FreeBSD 8.2 и отвечу Вам.

 

Ну уж в крайности впадать совсем не будем, хотя под определенные задачи где-то можно встретить и более младшие модели в работе. Но речь не об этом.

Буду очень благодарен Вам на проверку, спасибо!



#23 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 19 Июнь 2017 - 15:30

Те ребята, которые не ставили обновления и получили в своих сетях WannaCry, тоже, наверное, думали, что "работает надежно - не трогай". Там были свои дырки, в вашем случае не исключены свои.

 

Это вопрос к ребятам и конкретной сфере применения данной ОС, а принимая во внимание, что FreeBSD не Windows XP, шансов ее успешного использования даже на снятых с поддержки версий куда поболее при умелом использовании. При этом "сидеть" на устаревших системах в целом конечно неправильно. Нот все это к сути вопроса не относится.



#24 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 19 Июнь 2017 - 16:59

 


Это конечно да, а потом мы видим работащие сервера на FreeBSD 4.11 в 2015 году (бывает и такое).
Сейчас проверю, как продукт рабоает на FreeBSD 8.2 и отвечу Вам.

 

Ну уж в крайности впадать совсем не будем, хотя под определенные задачи где-то можно встретить и более младшие модели в работе. Но речь не об этом.

Буду очень благодарен Вам на проверку, спасибо!

 

drweb-11.0.2-av-igw-freebsd-x86.run на FreeBSD 8.2 установился и запустился, ошибок в процессе не обнаружил.


Оптимальное соотношение сигнал/шум в музыке noise.

#25 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 19 Июнь 2017 - 17:33

Благодарю вас, тогда попробую внедрить.



#26 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 19 Июнь 2017 - 20:41

Благодарю вас, тогда попробую внедрить.


Всегда, пожалуйста.

Но лучше все же обновиться :)


Оптимальное соотношение сигнал/шум в музыке noise.

#27 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 20 Июнь 2017 - 00:00

Развернул и запустил и пока я только одного не понял, как теперь в нашем неизменном "конструкторе" наладить работу белого списка, чтобы к заданным в файле белого списка сайтам доступ был даже если ресурс находится в тематических списках ICAPD.

 

Для реальной работы белого списка следует убедиться, что в настройках также присутствует правило вида

url_host in "ICAPD.Whitelist" : PASS

 

Как это правило внести в файл конфигурации, вогнав его куда-то сюда ICAPD.RuleSet0 - на ночь глядя я разобраться уже не смог.



#28 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 20 Июнь 2017 - 10:05

ICAPD.RuleSet0 = url_host in "ICAPD.Whitelist" : PASS удалось загнать в конфиг.

Возможность задать путь к файлу, содержащему список безусловно разрешенных ресурсов, в текущем продукте как реализуется? У меня Whitelist работает только в случае явного указания каждого узла в переменной ICAPD.Whitelist, если задавать путь к файлу с ресурсами как было ранее не работает.

И еще момент, ранее для безоговорочном исключении проверки трафика с определенных IP служило следующее выражение в разделе [match] файла конфигурации drweb-icapd.ini:

 

if (request_ip <<= file:"/usr/local/etc/drweb/pass_local_ips")
{
BlockAdult = no
}

 

Как сейчас это реализовать из-за отсутствия примеров непонятно.



#29 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 20 Июнь 2017 - 13:26

И еще касаемо действия с угрозами никак понять не могу, как теперь осуществляется настройка действий, не понимаю из инструкции совершенно.

Хочу помещать все выявленные в процессе работы ICAPD объекты в каталог карантина (кстати, теперь его путь явным образом не задать?) для возможности последующего анализа через веб-интерфейс, предоставляемый компонентом HTTPD.

 

drweb-ctl threats --Quarantine All 

 

Команда принимается, но в файл конфигурации ничего не добавляется, соответственно действия не возымело.



#30 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 20 Июнь 2017 - 13:57

Развернул и запустил и пока я только одного не понял, как теперь в нашем неизменном "конструкторе" наладить работу белого списка, чтобы к заданным в файле белого списка сайтам доступ был даже если ресурс находится в тематических списках ICAPD.

 

Для реальной работы белого списка следует убедиться, что в настройках также присутствует правило вида

url_host in "ICAPD.Whitelist" : PASS

 

Как это правило внести в файл конфигурации, вогнав его куда-то сюда ICAPD.RuleSet0 - на ночь глядя я разобраться уже не смог.

Файлом сейчас, увы никак, передал запрос разработчикам. В ближайшем релизе этой возможности не будет, скорее всего добавим через релиз.

Неужели настолько большой белый список? Может быть проще разблокировать какую-то категорию?


Сообщение было изменено Danil Biruykov-Romanov: 20 Июнь 2017 - 14:00

Оптимальное соотношение сигнал/шум в музыке noise.

#31 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 20 Июнь 2017 - 14:14

И еще касаемо действия с угрозами никак понять не могу, как теперь осуществляется настройка действий, не понимаю из инструкции совершенно.

Хочу помещать все выявленные в процессе работы ICAPD объекты в каталог карантина (кстати, теперь его путь явным образом не задать?) для возможности последующего анализа через веб-интерфейс, предоставляемый компонентом HTTPD.

 

drweb-ctl threats --Quarantine All 

 

Команда принимается, но в файл конфигурации ничего не добавляется, соответственно действия не возымело.

Для управлений настройками используется только drweb-ctl cfset для установки настроек и drweb-ctl cfshow для просмотра.

Указанная Вами команда выполняет следующее действие: "Поместить все текущие угрозы в карантин" и никаким образом не изменяет настройки.

Для Internet Gateways нет возможности поместить угрозу в карантин - мы получаем угрозу через Icapd и антивирус ничего не может сделать с исходным файлом - мы просто не имеем к нему доступа.

Работа с карантином изменена и теперь нельзя задать директорию, да. Там весьма сложная схема работы в том числе со сменными носителями, и ручные изменения могут привести к плачевным последствиям.


Сообщение было изменено Danil Biruykov-Romanov: 20 Июнь 2017 - 14:17

Оптимальное соотношение сигнал/шум в музыке noise.

#32 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 20 Июнь 2017 - 14:45

Я вас понял, благодарю, значит все описанное пока невозможно, поэтому у меня и возникли сложности с пониманием реализации. 6-я линейка продукта все же более допиленная была.

А белый\черный списки действительно могут быть внушительные, поэтому возможность указания пути к файлу со списком необходим, странно, что это не было сразу реализовано. По факту из категорий активны только две по умолчанию - BlockNotRecommended и BlockAdultContent, а скорее всего даже ограничусь по старой схеме одной Adult, но и она подбирает под себя многое нужное в тех или иных случаях в работе, к сожалению.

 

А что на счет вопроса по исключению из проверки определенных локальных IP-адресов?



#33 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 20 Июнь 2017 - 14:51

Еще столкнулся с такой чехардой сегодня утром:

2017-Jun-20 09:38:31 [86122] Warning: NetCheck 0x29174400: ALARM job_id=83721: open: Too many open files in system: "/tmp/com.drweb.ncheck/e503-ca3b-7599-c319"
2017-Jun-20 09:38:31 [86122] Notice: Blocked URL (Check error) http://dnl-09.geo.kaspersky.com/index/u0607g.xml.dif
2017-Jun-20 09:38:31 [86122] Warning: NetCheck 0x29174400: ALARM job_id=83722: open: Too many open files in system: "/tmp/com.drweb.ncheck/fad8-0a23-6588-e98c"
2017-Jun-20 09:38:31 [86122] Notice: Blocked URL (Check error) http://80.231.123.131/updaters/updater.xml.klz
2017-Jun-20 09:38:31 [86122] Warning: NetCheck 0x29174400: ALARM job_id=83723: open: Too many open files in system: "/tmp/com.drweb.ncheck/d2af-8ee2-eb19-7170"
2017-Jun-20 09:38:31 [86122] Notice: Blocked URL (Check error) http://detectportal.firefox.com/success.txt
2017-Jun-20 09:38:31 [86122] Warning: NetCheck 0x29174400: ALARM job_id=83724: open: Too many open files in system: "/tmp/com.drweb.ncheck/7829-33fd-71b9-a6cb"
2017-Jun-20 09:38:31 [86122] Notice: Blocked URL (Check error) http://gn.symcd.com/
2017-Jun-20 09:38:31 [86122] Warning: NetCheck 0x29174400: ALARM job_id=83725: open: Too many open files in system: "/tmp/com.drweb.ncheck/1b7f-b4ce-f2a0-b676"
2017-Jun-20 09:38:31 [86122] Notice: Blocked URL (Check error) http://proinfo.pandasoftware.com/connectiontest.html
2017-Jun-20 09:38:31 [86122] Warning: NetCheck 0x29174400: ALARM job_id=83727: boost::filesystem::unique_path: Too many open files in system
2017-Jun-20 09:38:31 [86122] Notice: Blocked URL (Check error) http://dnl-17.geo.kaspersky.com/updaters/updater.xml.klz

Из-за этого, судя по совпадению времени, оказались недоступны и "честные" сайты, по причине невозможности проверить ресурс, доступ автоматом блокировался. Как побороть можно и как настроить, чтобы пропускался трафик в случае ошибок проверки (как это было в 6-й версии комплекса)?



#34 amorozov

amorozov

    Member

  • Members
  • 163 Сообщений:

Отправлено 20 Июнь 2017 - 15:44

ICAPD.RuleSet0 = url_host in "ICAPD.Whitelist" : PASS удалось загнать в конфиг.

А вы точно этого хотите?
Правилами умолчанию хосты из Whitelist пропускаются мимо списков из dws-баз, но всё равно проверяются на вирусы.
Ваше правило сделает так, что они пойдут и мимо антивирусной проверки.
 

Возможность задать путь к файлу, содержащему список безусловно разрешенных ресурсов, в текущем продукте как реализуется?

Задать файл с белым списком на данный момент нельзя.
Можно загнать список в конфиг подобным образом:
cat whitelist.txt | xargs -Ihost drweb-ctl cfset -a icapd.whitelist host
Для удаления добавленного:
drweb-ctl cfset -r icapd.whitelist

И еще момент, ранее для безоговорочном исключении проверки трафика с определенных IP...

Осваивайте правила:
http://download.geo.drweb.com/pub/drweb/unix/gateway/11.0/documentation/html/ru/index.html?dw_9_configfile_rules.htm
[ICAPD]
RuleSet0 = src_ip in (10.20.30.41, 198.126.10.0/24) : PASS

И еще касаемо действия с угрозами никак понять не могу, как теперь осуществляется настройка действий, не понимаю из инструкции совершенно.

С помощью параметров BlockKnownVirus, BlockSuspicious, BlockAdware, BlockDialers, BlockJokes, BlockRiskware, BlockHacktools указываете, какие виды угроз хотите блокировать (yes) или пропускать (no).
 

Хочу помещать все выявленные в процессе работы ICAPD объекты в каталог карантина

Теперь карантина у ICAPD нет.
Заблокированные URL можно найти в логе + отправляются уведомления по SNMP.
 

Еще столкнулся с такой чехардой сегодня утром:

Надо увеличить лимит на количество открытых файлов.
 

Как побороть можно и как настроить, чтобы пропускался трафик в случае ошибок проверки (как это было в 6-й версии комплекса)?

Вообще, есть настройка BlockUnchecked, которая по умолчанию как раз установлена, чтобы пропускать в случае ошибок, но она не все ошибки позволяет пропустить.

Сообщение было изменено amorozov: 20 Июнь 2017 - 15:46


#35 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 20 Июнь 2017 - 16:23

https://habrahabr.ru/company/cloud4y/blog/331266/

Очень в тему разговора о обновлении :)


Оптимальное соотношение сигнал/шум в музыке noise.

#36 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 20 Июнь 2017 - 23:08

amorozov, благодарю за конструктив!

 

А вы точно этого хотите?
Правилами умолчанию хосты из Whitelist пропускаются мимо списков из dws-баз, но всё равно проверяются на вирусы.
Ваше правило сделает так, что они пойдут и мимо антивирусной проверки.
Задать файл с белым списком на данный момент нельзя.
Можно загнать список в конфиг подобным образом:
cat whitelist.txt | xargs -Ihost drweb-ctl cfset -a icapd.whitelist host
Для удаления добавленного:
drweb-ctl cfset -r icapd.whitelist

 

С ICAPD.RuleSet0 = url_host in "ICAPD.Whitelist" : PASS я вас понял.

Конечно не хочу, требовалось только пропускать обращения к узлам в Whitelist мимо списков из dws-баз. Но т.к. изначально была попытка задать файл со списком и не работало, а также ввела в заблуждение вышеуказанная цитата из документации, относительно необходимости наличия строки выше, пошел по неверному пути.

Списком пока наиболее удобно управлять через веб-интерфейс, загоняя скопом нужно количество ресурсов.

 

Осваивайте правила:
http://download.geo.drweb.com/pub/drweb/unix/gateway/11.0/documentation/html/ru/index.html?dw_9_configfile_rules.htm
[ICAPD]
RuleSet0 = src_ip in (10.20.30.41, 198.126.10.0/24) : PASS

 

Благодарю, пример рабочий.

Опять-таки указание на файл со списком адресов тут будет работать?

Отсутствие в документации примеров реализации различных задач правилами весьма ограничивает возможности применения инструмента, материала много, но как всем этим пользоваться практически - догадайся сам. Возможно, я не нашел примеров решения задач данным инструментом.

 

С помощью параметров BlockKnownVirus, BlockSuspicious, BlockAdware, BlockDialers, BlockJokes, BlockRiskware, BlockHacktools указываете, какие виды угроз хотите блокировать (yes) или пропускать (no).

Теперь карантина у ICAPD нет.
Заблокированные URL можно найти в логе + отправляются уведомления по SNMP.

 

Про переменные Block* с включением\выключением понятно, это аналогия с 6-й версией пакета, я же имел в виду, как для нужного списка изменить действие с информирования на, скажем, карантин, но раз последний для ICAPD упразднен в продукте, то и необходимость в управлении действием с объектом уменьшилась.

 

Надо увеличить лимит на количество открытых файлов.

Вообще, есть настройка BlockUnchecked, которая по умолчанию как раз установлена, чтобы пропускать в случае ошибок, но она не все ошибки позволяет пропустить.

 

Об этом в документации информации не видел, хотелось бы конкретики от разработчиков.

Речь о изменении значений sysctl kern.maxfiles и sysctl kern.maxfilesperproc, если да, какие тогда рекомендации?

И касаемо отработки переменой BlockUnchecked, в каких ситуациях она срабатывает в случаях ошибки проверки?

Это уже не косметическая проблема, вопрос стабильности и отказоустойчивости в целом.



#37 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 21 Июнь 2017 - 11:29

Отсутствие в документации примеров реализации различных задач правилами весьма ограничивает возможности применения инструмента, материала много, но как всем этим пользоваться практически - догадайся сам.


Спасибо Вам, за фидбек!

Мы добавляем примеры использования в силу своего видения использования продукта, но реальные отзывы пользователей позволяют увеличивать базу примеров в документации, делая продукт понятнее для всех.

Может быть были еще непонятные моменты с правилами?

 
Оптимальное соотношение сигнал/шум в музыке noise.

#38 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 21 Июнь 2017 - 11:37

Опять-таки указание на файл со списком адресов тут будет работать?


Увы, нет.

Пока что указания на файл не предусмотрено нигде.
Оптимальное соотношение сигнал/шум в музыке noise.

#39 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 21 Июнь 2017 - 12:46

Danil Biruykov-Romanov, по факту непонятно многое по правилам, сама документация подробно описывает большинство элементов, их предназначение и использование, но без примеров практической реализации для решения тех или иных конкретных задач оперировать всеми предлагаемыми инструментами проблемно, даже имея некую минимальную подготовку.

 

Меня сейчас в большей мере беспокоит вопрос ниже, повторяться не повторялось, но сегодня странным образом переклинило SQUID, перестал обрабатывать запросы пользователей, выдавая ошибку, хотя в логах ничего критического не наблюдалось нигде. Разобраться не смог, коллеги поторопились, но судя по всему подвисло что-то в связке squid+drweb.

 

Quote

    Надо увеличить лимит на количество открытых файлов.

    Вообще, есть настройка BlockUnchecked, которая по умолчанию как раз установлена, чтобы пропускать в случае ошибок, но она не все ошибки позволяет пропустить.

 

Об этом в документации информации не видел, хотелось бы конкретики от разработчиков.

Речь о изменении значений sysctl kern.maxfiles и sysctl kern.maxfilesperproc, если да, какие тогда рекомендации?

И касаемо отработки переменой BlockUnchecked, в каких ситуациях она срабатывает в случаях ошибки проверки?

Это уже не косметическая проблема, вопрос стабильности и отказоустойчивости в целом.

 



#40 mrrc

mrrc

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 21 Июнь 2017 - 12:55

Кстати, в новом издании продукта задать одновременно два ключевых файла в конфигурационном файле возможно?

На следующую конструкцию в секции [Root] при передергивании drweb-ctl reload в логе демона ошибка про синтаксис.

Root.KeyPath = /usr/local/etc/drweb.com/drweb32_250.key
Root.KeyPath = /usr/local/etc/drweb.com/drweb32_50.key

Одна лицензия у нас на 250, другая на 50 пользователей.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых