Перейти к содержанию

Recommended Posts

tester2k

поставил. активировал. сразу почему-то полез смотреть about (вверху справа) и что же "About Trend Micro InterScan Web Security Virtual Appliance 5.1 Service Pack 1"

думаю, вот блин, обновился <_<

Успокоился когда залел в Administration - System updates

там указано

OS version: 2.0.1039

Applicaton version 5.5_Build_Linux_1287

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey Dudnikov

главное чтобы новые "фишки" работали

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

с понедельника IWSVA 5.5 выжирает траффик Интернета, обнаружил несразу, сначала 20 Мбит/с, сегодня ночью 40 Мбит/с !!!

вырубил сервер - траффик в норме.

Что это могло быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

запускаю сервер.

Пишет:

SRAT: Hotplug zone not continuous. Partly ignored.

Red Hat nash version 5.1.19.6 starting

ниже

Kernel alive

Kernel direct mapping tables up to 1000-бла-бла-бла

и всё. висяк.

Что это такое? Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
запускаю сервер.

Пишет:

SRAT: Hotplug zone not continuous. Partly ignored.

Red Hat nash version 5.1.19.6 starting

ниже

Kernel alive

Kernel direct mapping tables up to 1000-бла-бла-бла

и всё. висяк.

Что это такое? Что делать?

убрал Dinamic Memory, оставил машине 2Гб статики и сервер поднялся!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

опять вечером, с четверга на пятницу, сервер IWSVA 5.5 что-то упорно тянет с интернета, вешая весь канал.

причем если первый раз по показаниям егошного дашборда было видно что тянет именно он, то сейчас видно только десятую часть реального траффика. поэтому при анализе этот сервер был исключен из списка подозреваемых. проверка остальных ничего подозрительного непоказала. Остановил сервер - траффик нормализовался.

Привожу скрин показаний дашборда и статистики интерфейса коммутатора подклчюенного к iSCSI-target'у (там располагается виртуальный сервер) во время зашкаливания:

a461a82bf6f9t.jpg

Просмотрел настройки шедулера, тянет Scan Engine Update.

Видимо тянет-потянет, вытянуть не может. Пишет что апдейт свежий 9.5.1005, но дату апдейта показывает еще летнюю.

Обновил мануально.

Посмотрим до след. пятницы :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
Посмотрим до след. пятницы :angry:

пришло время пятницы, и граффик траффика по прежнему зашкаливает. всему виной сервер IMSVA - после его перезагрузки все гуд.

Гуру подскажите как лечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey Dudnikov

я вам не скажу за всю Одессу :)

надо смотреть по tcpdump, что загружается - может заклинило обновление какие-то обновления

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
надо смотреть по tcpdump, что загружается - может заклинило обновление какие-то обновления

а что дампить то? :blink:

дайте наводку..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

внедряю IWSVA 5.5 как отдельный прокси-сервер.

хочу ограничить доступ к серверу LDAP-группой.

где настраивается это ограничение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Романов
внедряю IWSVA 5.5 как отдельный прокси-сервер.

хочу ограничить доступ к серверу LDAP-группой.

где настраивается это ограничение?

Если речь идет о разграничении прав доступа к консоли управления с привязкой к LDAP, то в IWSVA этого нет. LDAP в продукте рассчитан прежде всего на создание политик доступа в Интернет и сопутствующие задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
Если речь идет о разграничении прав доступа к консоли управления с привязкой к LDAP, то в IWSVA этого нет.

нет, речь идет об ограничении клиентского доступа к прокси-серверу при помощи групп AD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

HTTP-Configuration-Access Control Settings. Вкладка Client IP - там только адреса. А есть ли такая только по LDAP-группам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey Dudnikov

это только для регламентирования доступа к порту HTTP, а по LDAP только политиками можно нарезать доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
это только для регламентирования доступа к порту HTTP, а по LDAP только политиками можно нарезать доступ.

Создал две политики урл фильтрации (HTTP-URL Filtering- Policies), одну разрешающую доступ для LDAP-группы, другую запрещающую доступ ко всему контенту для тестовой LDAP-группы с тестовым аккаунтом. В конце списка политик сидит глобальная политика разрешающая полный доступ. Тестовый аккаунт не находится в разрешающей LDAP-группе.

Применяю политики и вижу что доступ у тестового пользователя как был так и есть.

Если в этой же политике меняю значение аккаунта с группы на юзера, то политика блокировки отрабатывает четко.

Ставлю заново группу и он проходит через глобальную политику.

Еще заметил что не все пользователи, находящиеся в разрешительной LDAP-группе, обрабатываются разрешительной политикой. Они попадают в Интернет через разрешительную глобальную политику.

Как-то непонятно работает блокировка с применением групп. Не заводить же политики по количеству аккаунтов!

Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

решил проблему отключением ЛДАП-кэша. дефолтовый интервал - полтора часа, думаю что если бы выждал это время то решилось бы само. Плюс установил патч 1.

тут описание проблемы и решение http://esupport.trendmicro.com/solution/en-us/1059421.aspx

уходит системное время вперед, из-за этого трудно диагностировать логи. Установил автосинхронизацию с виндовым контроллером домена - все равно уходит :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits
    • PR55.RP55
      После запуска: на: uVS v4.11.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] Программа просто зависла. ( Анализ Автозапуска... ) После перезагрузки системы - программа запустилась нормально...      
    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
×