Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение Азиз Абдуназаров » 08 ноя 2018, 08:35

Доброго времени суток, уважаемые форумчани!

Столкнулся со странной ситуацией, опишу вкратце: шлюз не пропускает трафик для всех ПК с определённого сайта, выдаваемое сообщение - ERR_TIMED_OUT.

Данный сайт не числится в контент фильтре, при проверке доступности с веб-консоли - Доступ разрешен. Сторонние сервисы доступность сайта подтверждают. При доступу напрямую, минуя шлюз, доступ также имеется. Даже зацепок никаких нет, вроде ясно, что что-то не то, но понять в чём дело, не могу.

Кто сталкивался с подобной ситуацией или может подсказать, в чём может быть дело, прошу помочь.

P.S. Доступ до остальных сайтов (HTTP, HTTPS) не вызывает проблем. Ранее, на версии Ideco UTM 7.7.3 доступ к ресурсу также не вызывал проблем.

[spoiler=Скриншоты]
1.jpg
1.jpg (21.53 КБ) Просмотров: 164

2.jpg
2.jpg (48.44 КБ) Просмотров: 164

3.jpg
3.jpg (127.58 КБ) Просмотров: 164

[/spoiler]
Азиз Абдуназаров
Пользователь
 
Сообщения: 22
Зарегистрирован: 26 окт 2018, 10:07

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение Азиз Абдуназаров » 08 ноя 2018, 08:39

С ПК за шлюзом командой PING сайт откликается.
Азиз Абдуназаров
Пользователь
 
Сообщения: 22
Зарегистрирован: 26 окт 2018, 10:07

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение ideco.dmitriy » 08 ноя 2018, 09:47

Добрый день!
Включите на сервере режим "Разрешить интернет всем" (в "Тех. поддержка"). И проверьте доступ к сайту в нем.

Также проверьте резолвинг сайта с Ideco UTM (командой host kvarts.uz) и локального компьютера (nslookup kvarts.uz). IP-адрес должен быть 94.158.48.2
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1827
Зарегистрирован: 11 мар 2014, 08:43

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение Азиз Абдуназаров » 08 ноя 2018, 13:44

ideco.dmitriy писал(а):Включите на сервере режим "Разрешить интернет всем" (в "Тех. поддержка"). И проверьте доступ к сайту в нем.


Доступ появляется.

ideco.dmitriy писал(а):Также проверьте резолвинг сайта с Ideco UTM (командой host kvarts.uz) и локального компьютера (nslookup kvarts.uz). IP-адрес должен быть 94.158.48.2


С рабочих станций, а также с самого шлюза (через SSH) выдаётся корректный IP-адрес (kvarts.uz has address 94.158.48.2)

Странная ситуация.
Азиз Абдуназаров
Пользователь
 
Сообщения: 22
Зарегистрирован: 26 окт 2018, 10:07

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение ideco.dmitriy » 08 ноя 2018, 14:10

Тогда нужно смотреть правила контроля приложений и системы предотвращения вторжений.
Сперва полностью отключая модули, и проверяя при этом доступ, чтобы выявить в чем проблема.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1827
Зарегистрирован: 11 мар 2014, 08:43

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение ideco.dmitriy » 08 ноя 2018, 14:11

На всякий случай можно попробовать исключить этот IP-адрес (с маской /32) из прокси-сервера.
В настройках Сервисы - Прокси - Исключения - По адресу назначения.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1827
Зарегистрирован: 11 мар 2014, 08:43

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение Азиз Абдуназаров » 08 ноя 2018, 15:28

ideco.dmitriy писал(а):... системы предотвращения вторжений.


Выключение модуля позволило получить доступ к сайту. В журнале нашёл записи вида:
Код: Выделить всё
Nov  8 16:13:03.589529 info suricata-alerts[1416]: [Drop] [1:2024772:2] ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert [Classification: Блокирование активности троянских программ] [Priority: 1] {TCP} 94.158.48.2:443 -> 192.168.0.102:53416

Поясните пожалуйста доступным языком, на сайте вредоносные скрипты? Или это так эвристический анализ модуля перестраховывается?

Также заметил "странность" в работе модуля контроля приложений:

ideco.dmitriy писал(а):Тогда нужно смотреть правила контроля приложений ...

Контроль приложений - "Сервис не запущен". Хотя переключатель в режиме - Включен контроль приложений. Соответственно статус "Остановлен".
Как-то я не понял, он запущен или нет? :-) И может ли в таком состоянии он влиять на озвученную проблему. Скриншот прилагаю.

Это нормальное состояния для типа лицензии "enterprise-demo"? Заводить отдельную тему на этот счёт?
Снимок8.jpg
Снимок8.jpg (24.26 КБ) Просмотров: 145
Азиз Абдуназаров
Пользователь
 
Сообщения: 22
Зарегистрирован: 26 окт 2018, 10:07

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение ideco.dmitriy » 08 ноя 2018, 16:48

В данном случае для этого сайта это ложное срабатывание системы предотвращения вторжений.
Добавьте ID правила, 2024772 в исключения и можно включить систему.

Контроль приложений судя по всему не запускается из-за не поддерживаемой сетевой карты на локальном интерфейсе.
Подскажите, пожалуйста, вы используете виртуальную машину или физический сервер?
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1827
Зарегистрирован: 11 мар 2014, 08:43

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение Азиз Абдуназаров » 08 ноя 2018, 17:51

ideco.dmitriy писал(а):Добавьте ID правила, 2024772 в исключения и можно включить систему.


Сделал, вроде всё нормально. Спасибо за помощь!

ideco.dmitriy писал(а):Контроль приложений судя по всему не запускается из-за не поддерживаемой сетевой карты на локальном интерфейсе.
Подскажите, пожалуйста, вы используете виртуальную машину или физический сервер?


Установлен как виртуальная машина на гипервизоре Hyper-V, поколение 1 (установленная роль на Windows Server 2012r2). Сам же гипервизор установлен на Dell PowerEdge R430 с сетевым адаптером On-Board Broadcom 5720 Quad Port 1Gb LOM.

Сейчас заметил, что при попытке перезапуска модуля "Контроль приложений" сообщается об ошибке

Код: Выделить всё
Произошла ошибка.
Обновление настроек контроля приложений.
Command '['initctl', 'start', 'application_control', 'IFACE=Leth1']' returned non-zero exit status 1


Снимок9.jpg
Снимок9.jpg (55.95 КБ) Просмотров: 116
Азиз Абдуназаров
Пользователь
 
Сообщения: 22
Зарегистрирован: 26 окт 2018, 10:07

Re: Не удается получить доступ к сайту (Ideco UTM 7.7.4)

Сообщение ideco.dmitriy » 08 ноя 2018, 18:30

В данной версии в этом гипервизоре нужно использовать "Устаревший сетевой адаптер", для работы модулей контроля приложений и контроля полосы пропускания.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1827
Зарегистрирован: 11 мар 2014, 08:43

След.

Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0