Перейти к содержимому


Фото
- - - - -

Dr.Web Security Space 11 блокирует HTTPS-сайт во внутренней сети

https dr.web ss 11 ERR_SSL_PROTOCOL_ERROR SSL_ERROR_ACCESS_DENIED_ALERT AD-Cloud

  • Please log in to reply
38 ответов в этой теме

#1 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 06 Март 2017 - 19:44

При включенном SpIDer Gate при попытке доступа к сайту во внутренней сети Mozilla Firefox возвращает ошибку "SSL_ERROR_ACCESS_DENIED_ALERT" (в Google Chrome ситуация аналогичная, только ошибка "ERR_SSL_PROTOCOL_ERROR", в остальных браузерах не проверял):

Прикрепленный файл  Снимок.PNG   17,78К   1 Скачано раз

 

Включил дебажный лог для SpIDer Gate, увидел вот что:

[06/03/2017 21:25:08 00002b68] <DEBUG:2> TLS Certificate
[06/03/2017 21:25:08 00002b68] <DEBUG:2> TLS Certificate read ok
[06/03/2017 21:25:08 00002b68] <DEBUG:2> Subject = C=xxx, S=xxx, L=xxx, O=xxx, OU=xxx, CN=xxx, E=xxx
[06/03/2017 21:25:08 00002b68] <DEBUG:1> HostName = xxx
[06/03/2017 21:25:09 00002b68] <DEBUG:2> AD-Cloud: querying URL "xxx"
[06/03/2017 21:25:09 00002b68] <DEBUG:2> AD-Cloud: got answer 00000001
[06/03/2017 21:25:09 00002b68] URL is blocked (malware): xxx

Я правильно понимаю, что в данном случае в облаке обнаружилось что URL, который совпадает с hostname ресурса во внутренней сети, занесен в список запрещенных (распространителей вирусов)?


Best regards,
Roman Rashevskiy

#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 07 Март 2017 - 13:29

Правильно. Что такое в вашем понимании внутренний ресурс?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 07 Март 2017 - 13:31

Тут блок по хосту из сертификата. Имя хоста секрет?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 07 Март 2017 - 14:05

В данном случае под внутренним ресурсом я понимаю ресурс, который находится в подсети 10.0.0.0 — 10.255.255.255.

Имя хоста - rusiem, честно говоря не очень понимаю как такое имя хоста могло попасть в список запрещенных.


Best regards,
Roman Rashevskiy

#5 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 07 Март 2017 - 14:50

И еще один вопрос - а нельзя ли для данного случая сделать какую-либо нотификацию?
Так как причина некорректного поведения веб-ресурса отнюдь не очевидна, или предполагается что в подобных случаях надо сразу лезть смотреть логи?
Best regards,
Roman Rashevskiy

#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 08 Март 2017 - 20:44

В данном случае под внутренним ресурсом я понимаю ресурс, который находится в подсети 10.0.0.0 — 10.255.255.255.
Имя хоста - rusiem, честно говоря не очень понимаю как такое имя хоста могло попасть в список запрещенных.

без логов не понять что реально происходит

И еще один вопрос - а нельзя ли для данного случая сделать какую-либо нотификацию?
Так как причина некорректного поведения веб-ресурса отнюдь не очевидна, или предполагается что в подобных случаях надо сразу лезть смотреть логи?

чтобы показать в браузере наше сообщение мы должны влезть в ssl трафик, а его проверка у вас отключена. можете включить балуны о блокировки гейтом
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 08:23

 

В данном случае под внутренним ресурсом я понимаю ресурс, который находится в подсети 10.0.0.0 — 10.255.255.255.
Имя хоста - rusiem, честно говоря не очень понимаю как такое имя хоста могло попасть в список запрещенных.

без логов не понять что реально происходит

Включил дебажный лог, собрал отчет для SysInfo, выслал в личку. Смотрите с [09/03/2017 10:16:18 00000808].

 

 

 И еще один вопрос - а нельзя ли для данного случая сделать какую-либо нотификацию?
Так как причина некорректного поведения веб-ресурса отнюдь не очевидна, или предполагается что в подобных случаях надо сразу лезть смотреть логи?

чтобы показать в браузере наше сообщение мы должны влезть в ssl трафик, а его проверка у вас отключена. можете включить балуны о блокировки гейтом

Уведомления и так включены, но никаких балунов при блокировке не вижу:

Прикрепленный файл  Снимок.PNG   4,61К   0 Скачано раз


Best regards,
Roman Rashevskiy

#8 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 435 Сообщений:

Отправлено 09 Март 2017 - 10:41

Roman Rashevskiy, Включить проверку зашифрованного трафика в антивирусе.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#9 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 11:25

Roman Rashevskiy, Включить проверку зашифрованного трафика в антивирусе.

Это все конечно замечательно, но, простите, какого хрена почему SpIDer Gate вообще блокирует какие-либо ресурсы по HTTPS, если проверка SSL отключена?

 

И еще один вопрос - почему нельзя отключить блокировку категории "источники распространения вирусов"? Судя по моему эмпирическому опыту на 2000 ПК c ES в эту категорию зачастую попадают файлопомойки и прочие ресурсы (недавно даже на сайте Спорт-Экспресса некоторые баннеры вырезались именно по этой причине), где распространяются не только лишь вирусы.


Сообщение было изменено Roman Rashevskiy: 09 Март 2017 - 11:25

Best regards,
Roman Rashevskiy

#10 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 283 Сообщений:

Отправлено 09 Март 2017 - 11:28

И еще один вопрос - почему нельзя отключить блокировку категории "источники распространения вирусов"?

Полагаю, потому же, почему нельзя проигнорировать вредоносы компонентами.



#11 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 11:33

 

И еще один вопрос - почему нельзя отключить блокировку категории "источники распространения вирусов"?

Полагаю, потому же, почему нельзя проигнорировать вредоносы компонентами.

Можно с этого места по-подробнее - почему нельзя проигнорировать вредоносы покомпонентно?


Сообщение было изменено Roman Rashevskiy: 09 Март 2017 - 11:33

Best regards,
Roman Rashevskiy

#12 VVS

VVS

    The Master

  • Moderators
  • 17 398 Сообщений:

Отправлено 09 Март 2017 - 11:34

 

Roman Rashevskiy, Включить проверку зашифрованного трафика в антивирусе.

Это все конечно замечательно, но, простите, какого хрена почему SpIDer Gate вообще блокирует какие-либо ресурсы по HTTPS, если проверка SSL отключена?

Потому, что ресурс находится в его базе.

К проверке это не имеет никакого отношения.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 VVS

VVS

    The Master

  • Moderators
  • 17 398 Сообщений:

Отправлено 09 Март 2017 - 11:36

 

 

И еще один вопрос - почему нельзя отключить блокировку категории "источники распространения вирусов"?

Полагаю, потому же, почему нельзя проигнорировать вредоносы компонентами.

Можно с этого места по-подробнее - почему нельзя проигнорировать вредоносы покомпонентно?

 

Потому, что принято такое решение - вирусы игнорировать нельзя.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#14 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 11:43

К проверке это не имеет никакого отношения.

А по-моему имеет самое непосредственное отношение - проверка SSL у меня была отключена, поэтому я и подумать не мог что установленный антивирус может мешать установлению соединения (а никаких балунов и нотификаций от АВ я не видел). Два дня пытались найти проблему на сервере, а потом выяснилось что проблема была как раз таки в Dr.Web.

 

 

Потому, что принято такое решение - вирусы игнорировать нельзя.

Я почему-то так и подумал... Уже становится привычным что комрады из ООО "Доктор Веб" думают за всех пользователей, ну им-то конечно виднее, да.  :facepalm:


Best regards,
Roman Rashevskiy

#15 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 12:01

Eugen Engelhardt, а если я не хочу включать проверку SSL, какой есть воркэраунд?


Best regards,
Roman Rashevskiy

#16 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 435 Сообщений:

Отправлено 09 Март 2017 - 12:15

Roman Rashevskiy, Никакого. SpIDer Gate блокирует ресурс на основании облака в данном случае, но чтобы показать это в веб морде, нужно влезть в SSL трафик, для этого требуется включить проверку HTTPS.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#17 VVS

VVS

    The Master

  • Moderators
  • 17 398 Сообщений:

Отправлено 09 Март 2017 - 12:39

Потому, что принято такое решение - вирусы игнорировать нельзя.

Я почему-то так и подумал... Уже становится привычным что комрады из ООО "Доктор Веб" думают за всех пользователей, ну им-то конечно виднее, да.  :facepalm:

Да, виднее.
Вор должен сидеть в тюрьме ©, а вирус - в карантине.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#18 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 14:47

Да, виднее.
Вор должен сидеть в тюрьме ©, а вирус - в карантине.

Ну если именно так велит руководящая, направляющая сила ООО "Доктор Веб", то, видимо, так тому и быть.

Но ведь вот не задача - в данном случае никаких вирусов и нет, но это совсем не главное, главное что политика партии не может быть ошибочной, да. :)

 

Roman Rashevskiy, Никакого. SpIDer Gate блокирует ресурс на основании облака в данном случае, но чтобы показать это в веб морде, нужно влезть в SSL трафик, для этого требуется включить проверку HTTPS.

А балун прикрутить для подобных случаев, не?
Видимо без главного интерфейсостроителя все совсем грустно стало...
 
Вот на Ваш взгляд, Евгений, это нормальная ситуация, когда происходит блокировка ресурса, а пользователь об этом ни сном ни духом?

Best regards,
Roman Rashevskiy

#19 Roman Rashevskiy

Roman Rashevskiy

    Member

  • Posters
  • 482 Сообщений:

Отправлено 09 Март 2017 - 14:49

И еще один момент - ложняк-то поправьте в облаке, ну нет ничего страшного в хостах с именем "rusiem"  ;)


Сообщение было изменено Roman Rashevskiy: 09 Март 2017 - 14:54

Best regards,
Roman Rashevskiy

#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 09 Март 2017 - 15:19

не совсем понимаю что это за куча недо урлов

[09/03/2017 10:15:57 000023fc] URL is blocked (malware): http://aposyqomlks/
[09/03/2017 10:15:57 00001f00] URL is blocked (malware): http://qcyhrlderabw/
[09/03/2017 10:15:57 00001890] URL is blocked (malware): http://oglgmfhf/

что это за домены? они по факту уходят в интернет на малварные сайты. т.е. детект наш по делу. похоже dns захачен
With best regards, Konstantin Yudin
Doctor Web, Ltd.



Also tagged with one or more of these keywords: https, dr.web ss 11, ERR_SSL_PROTOCOL_ERROR, SSL_ERROR_ACCESS_DENIED_ALERT, AD-Cloud

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых