IWSVA 5.5 - Trend Micro - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

tester2k

поставил. активировал. сразу почему-то полез смотреть about (вверху справа) и что же "About Trend Micro InterScan Web Security Virtual Appliance 5.1 Service Pack 1"

думаю, вот блин, обновился <_<

Успокоился когда залел в Administration - System updates

там указано

OS version: 2.0.1039

Applicaton version 5.5_Build_Linux_1287

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey Dudnikov

главное чтобы новые "фишки" работали

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

с понедельника IWSVA 5.5 выжирает траффик Интернета, обнаружил несразу, сначала 20 Мбит/с, сегодня ночью 40 Мбит/с !!!

вырубил сервер - траффик в норме.

Что это могло быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

запускаю сервер.

Пишет:

SRAT: Hotplug zone not continuous. Partly ignored.

Red Hat nash version 5.1.19.6 starting

ниже

Kernel alive

Kernel direct mapping tables up to 1000-бла-бла-бла

и всё. висяк.

Что это такое? Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
запускаю сервер.

Пишет:

SRAT: Hotplug zone not continuous. Partly ignored.

Red Hat nash version 5.1.19.6 starting

ниже

Kernel alive

Kernel direct mapping tables up to 1000-бла-бла-бла

и всё. висяк.

Что это такое? Что делать?

убрал Dinamic Memory, оставил машине 2Гб статики и сервер поднялся!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

опять вечером, с четверга на пятницу, сервер IWSVA 5.5 что-то упорно тянет с интернета, вешая весь канал.

причем если первый раз по показаниям егошного дашборда было видно что тянет именно он, то сейчас видно только десятую часть реального траффика. поэтому при анализе этот сервер был исключен из списка подозреваемых. проверка остальных ничего подозрительного непоказала. Остановил сервер - траффик нормализовался.

Привожу скрин показаний дашборда и статистики интерфейса коммутатора подклчюенного к iSCSI-target'у (там располагается виртуальный сервер) во время зашкаливания:

a461a82bf6f9t.jpg

Просмотрел настройки шедулера, тянет Scan Engine Update.

Видимо тянет-потянет, вытянуть не может. Пишет что апдейт свежий 9.5.1005, но дату апдейта показывает еще летнюю.

Обновил мануально.

Посмотрим до след. пятницы :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
Посмотрим до след. пятницы :angry:

пришло время пятницы, и граффик траффика по прежнему зашкаливает. всему виной сервер IMSVA - после его перезагрузки все гуд.

Гуру подскажите как лечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey Dudnikov

я вам не скажу за всю Одессу :)

надо смотреть по tcpdump, что загружается - может заклинило обновление какие-то обновления

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
надо смотреть по tcpdump, что загружается - может заклинило обновление какие-то обновления

а что дампить то? :blink:

дайте наводку..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

внедряю IWSVA 5.5 как отдельный прокси-сервер.

хочу ограничить доступ к серверу LDAP-группой.

где настраивается это ограничение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Романов
внедряю IWSVA 5.5 как отдельный прокси-сервер.

хочу ограничить доступ к серверу LDAP-группой.

где настраивается это ограничение?

Если речь идет о разграничении прав доступа к консоли управления с привязкой к LDAP, то в IWSVA этого нет. LDAP в продукте рассчитан прежде всего на создание политик доступа в Интернет и сопутствующие задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
Если речь идет о разграничении прав доступа к консоли управления с привязкой к LDAP, то в IWSVA этого нет.

нет, речь идет об ограничении клиентского доступа к прокси-серверу при помощи групп AD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

HTTP-Configuration-Access Control Settings. Вкладка Client IP - там только адреса. А есть ли такая только по LDAP-группам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey Dudnikov

это только для регламентирования доступа к порту HTTP, а по LDAP только политиками можно нарезать доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k
это только для регламентирования доступа к порту HTTP, а по LDAP только политиками можно нарезать доступ.

Создал две политики урл фильтрации (HTTP-URL Filtering- Policies), одну разрешающую доступ для LDAP-группы, другую запрещающую доступ ко всему контенту для тестовой LDAP-группы с тестовым аккаунтом. В конце списка политик сидит глобальная политика разрешающая полный доступ. Тестовый аккаунт не находится в разрешающей LDAP-группе.

Применяю политики и вижу что доступ у тестового пользователя как был так и есть.

Если в этой же политике меняю значение аккаунта с группы на юзера, то политика блокировки отрабатывает четко.

Ставлю заново группу и он проходит через глобальную политику.

Еще заметил что не все пользователи, находящиеся в разрешительной LDAP-группе, обрабатываются разрешительной политикой. Они попадают в Интернет через разрешительную глобальную политику.

Как-то непонятно работает блокировка с применением групп. Не заводить же политики по количеству аккаунтов!

Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester2k

решил проблему отключением ЛДАП-кэша. дефолтовый интервал - полтора часа, думаю что если бы выждал это время то решилось бы само. Плюс установил патч 1.

тут описание проблемы и решение http://esupport.trendmicro.com/solution/en-us/1059421.aspx

уходит системное время вперед, из-за этого трудно диагностировать логи. Установил автосинхронизацию с виндовым контроллером домена - все равно уходит :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×