Перейти к содержимому


Фото
- - - - -

Компонент NetFilter блокирует подключение к Cisco ASDM (javaw.exe)


  • Please log in to reply
23 ответов в этой теме

#1 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 28 Июль 2019 - 14:31

Здравствуйте.

Использую Dr.Web Security Space 12.0 и столкнулся с тем, что при запущенной службе netfilter не могу подключиться к консоли управления файерволла Cisco с помощью специальной утилиты ASDM.

Сама консоль управления работает на Java и представляет из себя Java-утилиту, запускаемую через javaw.exe:

 

start javaw.exe -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher

 

Утилита запускается, но при попытке подключиться к самому устройству получаю ошибку Unable to connect и следующую ошибку в логах:

 

java.net.SocketException: Permission denied: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
at java.net.AbstractPlainSocketImpl.doConnect(Unknown Source)
at java.net.AbstractPlainSocketImpl.connectToAddress(Unknown Source)
at java.net.AbstractPlainSocketImpl.connect(Unknown Source)
at java.net.PlainSocketImpl.connect(Unknown Source)
at java.net.SocksSocketImpl.connect(Unknown Source)
at java.net.Socket.connect(Unknown Source)
at sun.security.ssl.SSLSocketImpl.connect(Unknown Source)
at sun.net.NetworkClient.doConnect(Unknown Source)
at sun.net.www.http.HttpClient.openServer(Unknown Source)
at sun.net.www.http.HttpClient.openServer(Unknown Source)
at sun.net.www.protocol.https.HttpsClient.<init>(Unknown Source)
at sun.net.www.protocol.https.HttpsClient.New(Unknown Source)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.getNewHttpClient(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.plainConnect0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.plainConnect(Unknown Source)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(Unknown Source)
at com.cisco.launcher.s.new(Unknown Source)
at com.cisco.launcher.s.actionPerformed(Unknown Source)
at javax.swing.AbstractButton.fireActionPerformed(Unknown Source)
at javax.swing.AbstractButton$Handler.actionPerformed(Unknown Source)
at javax.swing.DefaultButtonModel.fireActionPerformed(Unknown Source)
at javax.swing.DefaultButtonModel.setPressed(Unknown Source)
at javax.swing.AbstractButton.doClick(Unknown Source)
at javax.swing.plaf.basic.BasicRootPaneUI$Actions.actionPerformed(Unknown Source)
at javax.swing.SwingUtilities.notifyAction(Unknown Source)
at javax.swing.JComponent.processKeyBinding(Unknown Source)
at javax.swing.KeyboardManager.fireBinding(Unknown Source)
at javax.swing.KeyboardManager.fireKeyboardAction(Unknown Source)
at javax.swing.JComponent.processKeyBindingsForAllComponents(Unknown Source)
at javax.swing.JComponent.processKeyBindings(Unknown Source)
at javax.swing.JComponent.processKeyEvent(Unknown Source)
at java.awt.Component.processEvent(Unknown Source)
at java.awt.Container.processEvent(Unknown Source)
at java.awt.Component.dispatchEventImpl(Unknown Source)
at java.awt.Container.dispatchEventImpl(Unknown Source)
at java.awt.Component.dispatchEvent(Unknown Source)
at java.awt.KeyboardFocusManager.redispatchEvent(Unknown Source)
at java.awt.DefaultKeyboardFocusManager.dispatchKeyEvent(Unknown Source)
at java.awt.DefaultKeyboardFocusManager.preDispatchKeyEvent(Unknown Source)
at java.awt.DefaultKeyboardFocusManager.typeAheadAssertions(Unknown Source)
at java.awt.DefaultKeyboardFocusManager.dispatchEvent(Unknown Source)
at java.awt.Component.dispatchEventImpl(Unknown Source)
at java.awt.Container.dispatchEventImpl(Unknown Source)
at java.awt.Window.dispatchEventImpl(Unknown Source)
at java.awt.Component.dispatchEvent(Unknown Source)
at java.awt.EventQueue.dispatchEventImpl(Unknown Source)
at java.awt.EventQueue.access$500(Unknown Source)
at java.awt.EventQueue$3.run(Unknown Source)
at java.awt.EventQueue$3.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)
at java.awt.EventQueue$4.run(Unknown Source)
at java.awt.EventQueue$4.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)
at java.awt.EventQueue.dispatchEvent(Unknown Source)
at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)
at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)
at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)
at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
at java.awt.EventDispatchThread.run(Unknown Source)
 
Самое интересное, что проблема возникает только если я подключаюсь к устройству по внутреннему IP-адресу.
Если использовать публичный, то всё работает.
 
Я пробовал и отключить все компоненты Dr.Web и добавить javaw.exe в исключения, но ничего не помогает.
Единственный действенный способ это отключить Self-Protection и прибить процесс dwnetfilter.exe в диспетчере задач.
После этого все подключается и работает без проблем до следующего запуска процесса.
 
Такая проблема на обоих ПК, где установлен Security Space.
 
Подскажите, пожалуйста, как мне сделать так, чтобы netfilter полностью игнорировал это подключение?
Или проблема в чем-то другом?
 


#2 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 28 Июль 2019 - 15:18

1. Удалите все исключения, которые Вы создали.

2. Воспроизведите проблему, после чего создайте отчёт DrWeb и приложите его сюда с указанием точного времени по часам компьютера, когда наблюдалась проблема (с точностью до нескольких секунд).


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#3 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 28 Июль 2019 - 16:01

1. Удалите все исключения, которые Вы создали.

2. Воспроизведите проблему, после чего создайте отчёт DrWeb и приложите его сюда с указанием точного времени по часам компьютера, когда наблюдалась проблема (с точностью до нескольких секунд).

 

Спасибо, за ответ.

Вот отчет.

Проблему воспроизвел дважды: в 15:48:03 и в 15:48:18

Прикрепленные файлы:


Сообщение было изменено mailwin33: 28 Июль 2019 - 16:01


#4 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 28 Июль 2019 - 17:27

Попробуйте внести в исключения SpIDer Gate/SpIDer Mail

\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\javaw.exe

 

javaw.exe, насколько я понимаю, подписанный, а адрес и порт у Вас фиксированы - 10.52.11.1:443


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#5 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 28 Июль 2019 - 19:35

Попробуйте внести в исключения SpIDer Gate/SpIDer Mail

\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\javaw.exe

 

javaw.exe, насколько я понимаю, подписанный, а адрес и порт у Вас фиксированы - 10.52.11.1:443

 

К сожалению, это не помогает, он у меня как раз до этого и был добавлен.

Я ради теста даже добавил остальные java-компоненты, которые там рядом лежат, но это тоже не помогает.

Единственный эффект - это то, что в логах netfilter перестает появляться запись об этом подключении

Прикрепленные файлы:



#6 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 28 Июль 2019 - 22:01

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 29 Июль 2019 - 18:18

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\ja
>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Trying to connect to: 10.52.11.1:443
>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Cannot connect to the server. Error 10013
 
нас не пускают биндится к этому сокету, тут только исключения.

10013 - Permission denied.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 30 Июль 2019 - 02:06

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

 

Ок, повторил.

Вот отчет.

Воспроизвел дважды, в 1:53:02 и в 1:53:28

Спасибо.

Прикрепленные файлы:



#9 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 31 Июль 2019 - 13:28

 

>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Common Files\Oracle\Java\javapath_target_91697218\ja
>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Trying to connect to: 10.52.11.1:443
>[28/07/2019 15:48:18 000037a0] <DEBUG:1> Cannot connect to the server. Error 10013
 
нас не пускают биндится к этому сокету, тут только исключения.

10013 - Permission denied.

 

Константин, спасибо за ответ.

А какое именно исключение нужно добавить?
К сожалению, исключение javaw.exe не помогает (и двух других java-exe, которые лежат в этой папке)
 

 



#10 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 31 Июль 2019 - 16:06

 

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

 

Ок, повторил.

Вот отчет.

Воспроизвел дважды, в 1:53:02 и в 1:53:28

Спасибо.

 

\WINDOWS\System32\lsass.exe

По адресу 10.50.10.40:49669

Насчёт порта не уверен, т.к. в логе видел только этом, может ли быть другой - хз.

Так что я бы сперва попробовал указать любой, а потом конкретно этот.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#11 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Август 2019 - 11:07

 

 

Тогда воспроизведите с этим исключением и снова отчёт - может там что ещё видно будет.

 

Ок, повторил.

Вот отчет.

Воспроизвел дважды, в 1:53:02 и в 1:53:28

Спасибо.

 

\WINDOWS\System32\lsass.exe

По адресу 10.50.10.40:49669

Насчёт порта не уверен, т.к. в логе видел только этом, может ли быть другой - хз.

Так что я бы сперва попробовал указать любой, а потом конкретно этот.

 

На самом деле этот exe (как и jave.exe) я пробовал добавить с самого начала, но это не помогает.

Уже после этого решил обратиться сюда :)

 

Сейчас вот снова добавил и логи собрал. Посмотрите, пожалуйста.

 

 

Прикрепленные файлы:



#12 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 01 Август 2019 - 11:26

Логи без времени - байты на ветер...


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#13 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Август 2019 - 11:45

Логи без времени - байты на ветер...

 

Да, согласен)

 

Два запуска: 10:56:44 и 10:57:08



#14 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 01 Август 2019 - 11:51

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#15 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Август 2019 - 12:41

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

 

Вряд ли имеет) Но на всякий случай добавил, не помогло.

Я сейчас сделал дополнительный тест и обнаружил, что подключение зарубается только если указать любой адрес из подсети 10.52.*.

Если указать адрес из любой другой доступной мне подсети, то ASDM без проблем пытается осуществить подключение, и ошибок типа Connection Denied в логах Java не появляется.



#16 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Август 2019 - 12:44

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

 

 

Там ещё светится \WINDOWS\System32\spoolsv.exe, хотя не понимаю, какое отношение он может иметь...

 

Вряд ли имеет) Но на всякий случай добавил, не помогло.

Я сейчас сделал дополнительный тест и обнаружил, что подключение зарубается только если указать любой адрес из подсети 10.52.*.

Если указать адрес из любой другой доступной мне подсети, то ASDM без проблем пытается осуществить подключение, и ошибок типа Connection Denied в логах Java не появляется.

 

 

Думаю это из-за того, что к подсети 10.52.* я подключаюсь через VPN Cisco AnyConnect, а к другим подсетям по обычному Point-to-Site VPN.



#17 Alexander Chinyakov

Alexander Chinyakov

    Advanced Member

  • Dr.Web Staff
  • 552 Сообщений:

Отправлено 01 Август 2019 - 17:14

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?



#18 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 02 Август 2019 - 13:22

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 

К сожалению, не помогает.

Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.

 

Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.

Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.



#19 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 02 Август 2019 - 13:24

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 

 

 

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 

К сожалению, не помогает.

Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.

 

Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.

Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.

 

 

Если вдруг вы у себя в офисе используете AnyConnect для VPN, то можете сами это проверить очень легко:)



#20 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 02 Август 2019 - 13:29

 

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 
К сожалению, не помогает.
Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.
 
Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.
Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.

 

Можно ли посмотреть отчёт с прописанным этим Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:*

Ну и с указанием времени...


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых