Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Как говорится, чисто не там, где убирают, а там, где не сорят. Если перефразировать на область кибербезопасности, то можно сказать: чисто не там, где обновляется антивирус, а там, где закрыты системные дыры. И лучшее средство для этого - HIPS. Тем более, в новом ноде он есть. Нужно денек-два посидеть над его настройкой, поставить в интерактивный режим. И тогда процент того, что система будет заблокирована, будут зашифрованы файлы и т.п., будет ничтожно мал. А так, конечно, фактически на любом языке программирования довольно легко можно написать собственный шифратор, тем или иным образом запустить его в нужной системе, и практически никакой антивирус даже не пикнет.
Честно говоря, я сам не считаю разработчиков ESET верхом идеала. Но поскольку сам разработчик, и кое-чего да понимаю в процессе разработки, то попросил бы администрацию врубать таким деятелям с неполным школьным образованием и отсустствием мало-мальской культуры бан по ip. А по проблеме. Проблемы с внешними начались только в 5-й версии, до этого никаких проблем не было. А с версии 5.50.95, вроде бы, проблема почти ни у кого не возникает. Так что здесь еще и воинствующая ложь.
Не только злоумышленники, но даже злобные марсиане) Если серьезно: если стоит файервол, то подобные входящие подключения должны будут определяться файерволом (в интерактивном режиме так точно).
Shura1990 пишет: у меня просто этот антивирус уже оплачен, и что теперь делать?
Ну, есть ESET Smart Security с файерволом, а есть просто ESET Antivirus. Думаю, для ваших нужд подойдет просто антивирус.
Цитата
Shura1990 пишет: а с Aionom то что делать?
От каких тогда повторяющихся запросов вы избавились? Так, попробуйте еще такую вещь. Удалите все правила на AION; поставьте файервол в Интерактивный режим; потом отключите файервол; запустите AION, убедитесь, что он подключается к сети; включите файервол; разрешите все появившиеся соединения для AION. Если не поможет, то, думаю, нужно отключать все возможные ограничения и настройки на соединения, проверять подключается ли AION, и постепенно включать их заново, проверяя работу AION. Такие дела.
klassenas пишет: Заработало после того, как в "Дополнительные настройки и IDS" в графе "Проверка пакетов" выключил "Обнаружены скрытые данные в протоколе ICMP
Ну, так делать стоит лишь после того, как все остальные способы не помогли (или если в самом роутере есть настройки для идентификации атак). Все-таки по ICMP часто осуществляются реальные атаки. А просто отключение "Блокировать небезопасные адреса после обнаружения атаки" не помогло?
Shura1990 пишет: а от появляющих ся запросов вроде как избавилась
Ну, если нет, то хорошо. А вообще, лихо у вас правила настроены) Куча непонятных входящих соединений для System разрешены, плюс для аськи, браузеров и много чего другого входящий трафик разрешен. Если разрешить для всего входящий трафик, то файервол-то получается и не нужен) Дело, конечно, хозяйское: если на компьютере нет никакой секретной информации и прочего, то обычно и простого антивируса с HIPS хватает с головой.
Eugene_F пишет: Просьба подсказать, есть ли какие-либо опасные бреши в безопасности, которые нужно уcтранить, или можно оставить так?
Вообще, посоветовал бы для System и svchost никакие входящие соединения не разрешать. Если хотите максимальной защиты, сбрасываете все настройки на дефолтные, переходите в Интерактивный режим фильтрации, настраиваете разрешающие правила для необходимого набора программ, может быть, корректируете под себя некоторые Дополнительные настройки и IDS. Вообще, читаем документацию: как основную справку, так и в формате PDF. Разработчики создали неплохую документацию, и сначала нужно ее детально изучить, и только потом искать ответы на форуме. Для некоторых проблем есть описание в разделе
При наличии каких-либо проблем с настройкой соединений и других, связанных с файерволом, проще всего сначала переключиться в Интерактивный режим в разделе Персональный файервол -> Режим фильтрации. После настройки всех необходимых соединений и/или решения имеющихся проблем режим файервола можно вернуть в исходный или изменить на другой более удобный (кроме Автоматического). Также стоит не забыть снять галочку с Дополнительные настройки -> Игровой режим -> Включить игровой режим. (Почти все рассматриваемые настройки находятся в разделе Дополнительные настройки (клавиша F5) -> Сеть -> Персональный файервол)
Описание наиболее распространенных проблем.
1. Блокирование подключений какой-либо программы. Решение. В разделе Персональный файервол -> Режим фильтрации переключиться в Интерактивный режим, сохранить изменения -> Запустить проблемную программу -> Проделать в программе необходимые для подключения действия -> В появившемся окне с запросом на соединение поставить галочку "Запомнить действие (создать правило)" и нажать кнопку "Разрешить". Либо не меняя режим фильтрации: Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне вручную ввести все необходимые данные и нажать кнопку "ОК".
2. Создание правила для программ вида "Запретить все, кроме..." Решение. В появившемся запросе на соединение нажать "Показать параметры". Для необходимых IP-адресов выбрать "Пользовательское правило", в появившемся окне нажать "ОК". А далее при запросе с ненужного IP-адреса выбрать поставить галочку "Запомнить действие (создать правило)" и нажать кнопку "Запретить".
3. Блокирование общего доступа к файлам и принтерам в доверенной зоне. Решение. Дополнительные настройки и IDS -> включить галочку "Разрешить общий доступ к файлам и принтерам в доверенной зоне".
4. Блокирование IPTV. Решение. Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне: - В поле "Имя" напишите IGMP - В поле "Направление" выберите "Любое" - В поле "Действие" выберите "Разрешить" - В поле "Протокол" нажмите кнопку "Выбрать протокол..." и выберите из списка протокол IGMP (Не перепутайте с ICMP). После проделанных операций нажмите кнопку "ОК", на вопрос о неточности правила отвечаем "Да". Далее запускаем программу для просмотра IPTV, в появившемся окне с запросом на соединение поставить галочку "Запомнить действие (создать правило)" и нажать кнопку "Разрешить".
5. Блокирование роутера, домашних групп/сетей и т.п. Решение. 1) Правила и зоны -> Доверенная зона -> Выбрать свою зону(сеть) и выставить "Разрешить общий доступ". 2) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку "Блокировать исходящие запросы NETBIOS". 3) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку "Блокировать входящие запросы NETBIOS". 4) Если не помогает, Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать "Адреса исключены из активной защиты (IDS)" и нажать кнопку "Изменить" -> В появившемся окне на вкладке "Настройка зоны" добавить необходимые IP-адреса. 5) Если вдруг не помогает, выбрать раздел "Дополнительные настройки и IDS". 5.1) Снять галочку "Блокировать небезопасные адреса после обнаружения атаки". 5.2) Если не помогает, снять галочки с "Обнаружение атаки путем подделки записей кэша ARP", "Обнаружение атаки путем подделки записей кэша DNS". 5.3) Если не помогает, снять галочки с "Обнаружение атаки сканирования портов TCP" и "Обнаружение атаки сканирования портов UDP". 5.4) Если не помогает, снять галочку c "Обнаружены скрытые данные в протоколе ICMP".
6. Блокирование запросов из подсети. Решение. Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать нужную зону и нажать кнопку "Изменить" -> Вкладка Аутентификация зоны -> В появившемся окне поставить галочку "Добавление адресов и подсетей этой зоны в доверенную зону".
7. Создание блокировки адреса/адресов. Решение. Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне: 7.1) На вкладке "Общие": - "Имя" - любое - В поле "Направление" выберите "Любое" - В поле "Действие" выберите "Запретить" - "Протокол" - TCP & UDP. 7.2) Переключиться на вкладку "Удаленный" -> Нажать кнопку "Добавить адрес IPv4/IPv6" -> В появившемся диалоговом окне задать или "Отдельный адрес", или "Диапазон адресов", или "Подсеть". 7.3) Нажать кнопку "ОК".
8. Создание блокировки адреса/адресов для заданной программы. Решение. Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне: 8.1) На вкладке "Общие": - "Имя" - "Запретить соединение для [имя программы.exe]" - В поле "Направление" выберите "Любое" - В поле "Действие" выберите "Запретить" - "Протокол" - TCP & UDP. 8.2) Переключиться на вкладку "Локальный" -> Нажать кнопку "Обзор" -> Задать путь к нужной программе. 8.3) Переключиться на вкладку "Удаленный" -> Нажать кнопку "Добавить адрес IPv4/IPv6" -> В появившемся диалоговом окне задать или "Отдельный адрес", или "Диапазон адресов", или "Подсеть". 8.4) Нажать кнопку "ОК".
9. Обнаружение атаки путем подделки записей кэша DNS, атаки ICMP (и ряд других атак). Решение. 9.1) Сделать системные логи (например, и/или . Выложить логи в соответствующем топике. Если после проверки специалиста на форуме угроз не обнаружено, перейти к шагу 9.2. 9.2) Убедиться, что удаленные адреса, с которых идет атака, являются доверенными. Если адрес является доверенным либо в журнале файеровола показывается, что атака идет с адреса маршрутизатора (роутера), то если возможно, отключить сам маршрутизатор (роутер), и если атаки больше не происходят, включив маршрутизатор (роутер), по очереди пробовать пункты 5.4, 5.5.1, 5.5.2. Если же атаки продолжаются и после отключения маршрутизатора либо адреса, с которых идут атаки, являются недоверенными (неизвестными), то в случае отсутствия каких-либо иных проблем отключить галочку "Дополнительные настройки и IDS" -> "Показывать уведомление при обнаружении атаки".
10. Блокировка синхронизации с сервером времени. Решение. Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку "Блокировать входящие запросы SSDP (UPNP) для svchost.exe".
Если проблема не решается имеет смысл в разделе "Дополнительные настройки и IDS" -> "Решение проблем" выставить галочку "Регистрировать все заблокированные соединения", проделать еще раз указанные выше действия, в основном окне выбрать Служебные программы -> Файлы журнала -> Персональный файервол -> В контекстном меню выбрать "Экспорт", выбрать файл для сохранения журнала и прислать его на форум с описанием проблемы.
Это не скриншоты, а самый настоящий ребус) Или я должен угадывать, что написано в колонках?!) Так, переключитесь в режим дерева, раскройте узлы дерева, настройте размер колонок и пришлите. Также желательно прислать скриншоты самих появляющихся запросов, причем раскройте пункт "Показать параметры".
