Перейти к содержимому


Фото
- - - - -

В брендмауэре невозможно сохранить правило для приложения

firewall application rules

  • Please log in to reply
22 ответов в этой теме

#1 Anatoli

Anatoli

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 30 Июнь 2020 - 17:46

В интерактивном режиме брендмауэра, при попытке создания правила для приложения, кнопка "ОК" неактивна (скриншот firewall-custom-rule.png)

И даже если добавить правило вручную, без использования интерактивного режима, правило, почему-то, игнорируется брендмауэром, и доступ запрашивается при каждом обращении в сеть (скриншот firefox-1.png)

В результате, использовать брендмауэр невозможно - его можно только отключить :(

Кто-то сталкивался с такой неработоспособностью/недружелюбностью фаервола в Dr.Web Security Space ?

Как его настроить "правильно" ?

Все обновления установлены.
Dr.Web Security Space (12.0)
Dr.Web Net filtering service
dwnetfilter.exe (12.5.4.04130)
Dr.Web Firewall for Windows service
frwl_svc.exe (12.5.1.11150)
Dr.Web Firewall for Windows driver
drweblwf.sys (12.5.0.10070)

Прикрепленные файлы:


Сообщение было изменено Anatoli: 30 Июнь 2020 - 17:47


#2 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 30 Июнь 2020 - 17:54

На 1-ом скрине не созданы правила, поэтому кнопка и не доступна.

Насчёт 2-го скрина - на нём не видно, какое правило Вы создали, но на 146% уверен, что под его действие не подпадает то обращение фарефокса, на которое Вы получили запрос.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 Anatoli

Anatoli

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 30 Июнь 2020 - 18:16

А как тогда понимать выбранный пункт "Запрещать приложению все сетевые подключения" в первом скрине ?Это выглядит как шаблон для создания правила.

Что делать со списком системных процессов ?

Не могу же я блокировать сетевой доступ системных сервисов smss.exe или wininit.exe

Если же я ничего не выберу для этих процессов, то кнопка "ОК" остается неактивной.

И потом, какое отношение они имеют к "Opera auto-update" ?

 

Просветите по поводу логики этого пользовательского интерфейса :)

 

Спасибо



#4 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 30 Июнь 2020 - 18:24

IMHO Вам пока что лучше использовать режим работы брандмауэра по умолчанию - Разрешать соединения для доверенных приложений.

Так Вы хоть гарантированно сами себе интернет не отрубите.

Там тоже будут подобные запросы - когда подробно разберётесь, как с ними работать, тогда можно будет и в интерактивный режим переключить...


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#5 SergSG

SergSG

    The Master

  • Posters
  • 12 955 Сообщений:

Отправлено 30 Июнь 2020 - 18:31

Насчёт 2-го скрина - на нём не видно, какое правило Вы создали, но на 146% уверен, что под его действие не подпадает то обращение фарефокса, на которое Вы получили запрос.

Нет. Там снова запрос на запуск FF неизвестным процессом. Причем даже на локальный IP.

 

 

Просветите по поводу логики этого пользовательского интерфейса :)

:D 



#6 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 30 Июнь 2020 - 18:43

К сожалению, для того, чтобы настраивать брандмауэр (любой) в интерактивном режиме, требуется разбираться прежде всего не в его интерфейсе, а в том, что такое протоколы, порты, IP-адреса, направления трафика, родительские/дочерние процессы...


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#7 SergSG

SergSG

    The Master

  • Posters
  • 12 955 Сообщений:

Отправлено 30 Июнь 2020 - 18:56

Когда в интерфейсе написано одно, подразумевается другое, а делается третье - никакие познания протоколов не помогут.



#8 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 30 Июнь 2020 - 18:57

Когда в интерфейсе написано одно, подразумевается другое, а делается третье - никакие познания протоколов не помогут.

Мне помогают...

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#9 SergSG

SergSG

    The Master

  • Posters
  • 12 955 Сообщений:

Отправлено 30 Июнь 2020 - 19:11

 

Когда в интерфейсе написано одно, подразумевается другое, а делается третье - никакие познания протоколов не помогут.

Мне помогают...

 

:D 



#10 Anatoli

Anatoli

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 30 Июнь 2020 - 19:49

К сожалению, для того, чтобы настраивать брандмауэр (любой) в интерактивном режиме, требуется разбираться прежде всего не в его интерфейсе, а в том, что такое протоколы, порты, IP-адреса, направления трафика, родительские/дочерние процессы...

Конечно, это я понимаю, как и многие сетевые протоколы на базе TCP/UDP и устройчтво операционных систем.

К сожалению, все это не помогает в понимании, что же такого умного нужно сделать, чтобы разрешить или запретиить (любой) сетевой доступ пользовательскому процессу, запущенному (любыми способами) из вполне определенного исполняемого файла.


Может ли этот "сетевой экран" принимать решение (а) без привязки к родительскому процессу (и родительскому процессу этого родительского процесса и т.д.), а ислючительно по пути к исполняемому файлу. Думаю, такой простой подход должен применяться по умолчанию.

 

Наверное, это отвечает чему-то вроде

Прикрепленный файл  firefox-custom-rule-2.png   18,48К   0 Скачано раз

 

Тут, похоже

  • либо баг,
  • либо нелогичный интерфейс

 

Если не баг, то где найти описание какую галочку, и где нужно поставить в скрине 1 (Новое правило для приложения), чтобы достичь (а) ?

 

Для этого же явно не нужно быть сертифицированным сетевым инженером CISCO :rolleyes:


Спасибо за любую помощь ;)



#11 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 30 Июнь 2020 - 20:47

 

К сожалению, для того, чтобы настраивать брандмауэр (любой) в интерактивном режиме, требуется разбираться прежде всего не в его интерфейсе, а в том, что такое протоколы, порты, IP-адреса, направления трафика, родительские/дочерние процессы...

Конечно, это я понимаю, как и многие сетевые протоколы на базе TCP/UDP и устройчтво операционных систем.

К сожалению, все это не помогает в понимании, что же такого умного нужно сделать, чтобы разрешить или запретиить (любой) сетевой доступ пользовательскому процессу, запущенному (любыми способами) из вполне определенного исполняемого файла.

 

Разрешить/запретить родительскому процессу запускать дочерний процесс.
Создать правило для дочернего процесса.
 

Может ли этот "сетевой экран" принимать решение (а) без привязки к родительскому процессу (и родительскому процессу этого родительского процесса и т.д.), а ислючительно по пути к исполняемому файлу.

Нет и такого IMHO не будет.

 

PS

"Потренируйтесь" сперва в режиме по умолчанию, а уж потом, когда во всём разберётесь, переключайте в интерактивный режим.


Сообщение было изменено VVS: 30 Июнь 2020 - 20:49

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#12 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 459 Сообщений:

Отправлено 02 Июль 2020 - 07:36

Anatoli, про запуск легитимных процессов вредоносами слышали? Очень распространенная практика.



#13 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 401 Сообщений:

Отправлено 02 Июль 2020 - 12:25

В интерактивном режиме брендмауэра, при попытке создания правила для приложения, кнопка "ОК" неактивна (скриншот firewall-custom-rule.png)

И даже если добавить правило вручную, без использования интерактивного режима, правило, почему-то, игнорируется брендмауэром, и доступ запрашивается при каждом обращении в сеть (скриншот firefox-1.png)
В результате, использовать брендмауэр невозможно - его можно только отключить :(

Кто-то сталкивался с такой неработоспособностью/недружелюбностью фаервола в Dr.Web Security Space ?

Как его настроить "правильно" ?

Все обновления установлены.
Dr.Web Security Space (12.0)
Dr.Web Net filtering service
dwnetfilter.exe (12.5.4.04130)
Dr.Web Firewall for Windows service
frwl_svc.exe (12.5.1.11150)
Dr.Web Firewall for Windows driver
drweblwf.sys (12.5.0.10070)

чтобы кнопка разгреилась помимо доступа к сети нужно еще в списке ниже разрешить/запретить доступ каждому из приложений из списка. тогда все будет ок. т.е. правило состоит из двух частй, сеетвого доступа, и цепочки доверенных приложений чтобы подтвердить тчо цепочка легальная и нигде не встроилась в нее малварь. например, вы всегда запускаете IE с рабочего стола, и цепочка у вас всех процессов доверенна и сеть в IE доступна, но если какая то малварь запустит IE, то цепочка станет не доверенной и даже несмотря на то что у IE есть правила для доступа в сеть, всплывет запрос где вам скажут что есть неизвестные в цепочке запуска, это ваш скрин №2.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#14 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 401 Сообщений:

Отправлено 02 Июль 2020 - 12:26

в общем с точки зрения алгоритма все работает правильно во всех кейсах.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#15 SergSG

SergSG

    The Master

  • Posters
  • 12 955 Сообщений:

Отправлено 02 Июль 2020 - 14:26

в общем с точки зрения алгоритма все работает правильно во всех кейсах.

ТС создал запрещающее правило для приложения - при таком раскладе должно быть пофиг какая цепочка его пытается запускать и кнопка должна активироваться.



#16 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 02 Июль 2020 - 14:39

в общем с точки зрения алгоритма все работает правильно во всех кейсах.

ТС создал запрещающее правило для приложения - при таком раскладе должно быть пофиг какая цепочка его пытается запускать и кнопка должна активироваться.


Ага, а потом пользователь захочет изменить правило на разрешающее - и чо?

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#17 SergSG

SergSG

    The Master

  • Posters
  • 12 955 Сообщений:

Отправлено 02 Июль 2020 - 14:44

 

 

в общем с точки зрения алгоритма все работает правильно во всех кейсах.

ТС создал запрещающее правило для приложения - при таком раскладе должно быть пофиг какая цепочка его пытается запускать и кнопка должна активироваться.

 


Ага, а потом пользователь захочет изменить правило на разрешающее - и чо?

 

И тогда снова появится цепочка, как на втором скрине.



#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 401 Сообщений:

Отправлено 02 Июль 2020 - 18:06

в общем с точки зрения алгоритма все работает правильно во всех кейсах.

ТС создал запрещающее правило для приложения - при таком раскладе должно быть пофиг какая цепочка его пытается запускать и кнопка должна активироваться.

смысл в этом есть.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 SergSG

SergSG

    The Master

  • Posters
  • 12 955 Сообщений:

Отправлено 02 Июль 2020 - 18:18

 

 

в общем с точки зрения алгоритма все работает правильно во всех кейсах.

ТС создал запрещающее правило для приложения - при таком раскладе должно быть пофиг какая цепочка его пытается запускать и кнопка должна активироваться.

 

смысл в этом есть.

 

Смысл есть.

А если через 5 минут запрещенное приложение попытается запустить другая цепочка, ТС снова получит запрос на цепочку?  :)



#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 401 Сообщений:

Отправлено 02 Июль 2020 - 18:37

в общем с точки зрения алгоритма все работает правильно во всех кейсах.

ТС создал запрещающее правило для приложения - при таком раскладе должно быть пофиг какая цепочка его пытается запускать и кнопка должна активироваться.

смысл в этом есть.

Смысл есть.
А если через 5 минут запрещенное приложение попытается запустить другая цепочка, ТС снова получит запрос на цепочку?  :)

нет. анализ цепочки нужно делать после типа правила. нет смысла в анализе если в сеть и так не пустим.
With best regards, Konstantin Yudin
Doctor Web, Ltd.



Also tagged with one or more of these keywords: firewall, application rules

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых