Dr web блокирует anydesk
П риветствую, коллеги! В разных организациях принято закрывать внутреннюю сеть, ограждая ее от промышленного шпионажа и других угроз, связанных с работой собственных сотрудников. Такие сервисы удаленного подключения, как TeamViewer, Ammyy admin, AnyDesk и др. являются огромной "дырой" в безопасности любой организации. Как ее "немного прикрыть" мы рассмотрим в данной статье, на примере работы с роутером MikroTik.
И так, если на пальцах, то нам надо поставить маркеры на определенные слова и словосочетания, которые будут помечать трафик (любой, не только из браузера) и делать с ним все, что нам захочется: хоть блокировать, хоть перенаправлять, хоть пустить в пешее кругосветное путешествие через всю нашу сеть. Голь на выдумки хитра. Но здесь я рассмотрю только вариант с блокировкой.
Д ля начала нам надо определиться что именно мы будем блокировать. Идем в IP -> Firewall на последнюю вкладку Layer 7 Protocols.
З десь мы создаем регулярки для определения того, что будем блочить. Это могут быть совершенно разные сайты: хоть социалки, хоть видео-хостинги, радио или просто вам сайт АвтоВАЗа, например, не хочется видеть. Забиваем регулярные выражения в следующем виде.
В трех этих вкладках при создании нового мангла, нужно указать: внутренний адрес ус-ва (если пусто, то все), указать как L7 лист использовать для маркировки трафика от данного устройства, указать как помечать трафик, который удовлетворяем уже 2 нашим условиям: таблицы регуляров BlockList и внутреннему адресу ус-ва. Имя Connection mark может быть любым. Готово. Далее сама блокировка.
Н а вкладке Filter Rules - самой первой вкладке раздела Firewall, создаем новое правило.
К огда нажмете "плюсик", то не надо заполнять все поля - чем меньше их заполнено, тем более обширно правило. Заполняя поля вы сужаете область применения данного правила. Нам достаточно следующих: connection mark, который мы создали предыдущим шагом, и в разделе action выбрать что делать - в нашем случае дропать.
И самое важное, поднять наше новое правило в разделе filter rules как можно выше, так как правила во всех фаерволах всегда и везде выполняются по очереди до первого совпадения. Т.е. если вы создали правило под номером 10, а до него есть правило номер 7, которое все разрешает, то все правила после 7 не будут выполняться вообще. Еще один нюанса микрота - замыкающее, конечное правило, надо создать дропать все. Т.е. все поля пустые, а action - drop. Т.к. базово оно не прописано, как у других производителей, где последнее правило всегда "запрещает все всем". Тут такого нет, поэтому создаем.
К ак видите, на данной машине перестали открываться сайты, в имени которых встречаются слова, с которых мы начали данную статью.
О кно программы AnyDesk тоже не может связаться с сервером, чтобы получить ID для удаленного подключения.
В заключении хочу обозначить пару моментов, которые лежат на поверхности, но многие об этом не задумываются при блокировке этих или других сервисов. Будь то фейсбук, вк или амазон с ютубом - не важно. Блокировка сторонних ресурсов всегда должна быть согласована и подтверждена руководством письменно. В идеале у вас должно быть минимум распоряжение, на которое вы сможете ссылаться, когда очередной мини-вип-царек по телефону будет вспоминать всю вашу родословную, искать вам новую работу или еще что похуже. Вы обезопасите себя и свои нервные клетки. В идеале также убедить руководство, что никаких исключений быть не должно и реализовать их будет проблематично и напряжно для роутера: гораздо проще обработать команду блочить 1,2,3,4 для всех, чем 1,2 для группы1, 2,4 для группы2, а группа 3 только по праздникам может ходить в 1,3. Это все реализуемо, но нервов у вас высосет тонну. Работа ради работы.
В общих чертах, наверное, все. Надеюсь было интересно и познавательно. Спасибо за лайк и подписку - это поднимет популярность статьи и больше людей ее смогут увидеть. Если не сложно - буду признателен!
Ваш ключевой файл заблокирован.
Ваш ключевой файл был успешно продлен и поэтому заблокирован.
Это стандартная процедура. А сейчас просто удалите старую лицензию из Менеджера лицензий, оставив только новую — действующую.
Щелкните по значку антивируса в области уведомлений
Войдите в административный режим, нажав на замочек в левом нижнем углу окна.
Удалите старую лицензию
Подключите устройство к Интернету
Щёлкните по кнопке вызова меню настроек
(правый верхний угол окна приложения)
Выберите: «Лицензия» — «У меня уже есть лицензия» — «Ввести серийный номер» — «Активировать»
Подключите компьютер к Интернету
Выполните с правами root:
предварительно заменив XXXX-XXXX-XXXX-XXXX на ваш серийный номер
Для систем с графическим интерфейсом
Подключите компьютер к Интернету
Щёлкните по пиктограмме Dr.Web или найдите приложение «Dr.Web для Linux» и откройте его
Щёлкните по кнопке «Лицензия»
Щёлкните по красному крестику справа от номера лицензии
Подтвердите удаление лицензии, щелкнув по изображению замка, и введите логин и пароль суперпользователя
Щёлкните по кнопке «Да», чтобы подтвердить удаление лицензии
В открывшемся «Мастере регистрации» введите ваш серийный номер и нажмите «Активировать»
Подключите устройство к Интернету
Щёлкните по пиктограмме Dr.Web в верхнем правом углу экрана — откроется Dr.Web для macOS
Выберите «Действующая лицензия не найдена» — «Получить новую лицензию» — «Активировать лицензию»
Удалите старую лицензию
Благодарим за доверие и поддержку российского антивируса Dr.Web!
Не получается удалить старую лицензию? Обратитесь в службу поддержки.
Error loaging Pravda Issues, please reload page.
Ваш ключевой файл признан пиратским и заблокирован.
Бесплатные лицензии (включая демо) восстановлению не подлежат.
Если вы являетесь законным обладателем заблокированной коммерческой лицензии на домашний продукт Dr.Web,
самостоятельно замените ключевой файл в вашем личном кабинете «Мой Dr.Web» на вкладке «Лицензии/Блокированы». Подробнее >>
Если вы являетесь законным обладателем заблокированной коммерческой лицензии на бизнес-продукт Dr.Web,
напишите запрос в службу техподдержки и предоставьте документы, подтверждающие оплату вами лицензии.
Операционная система Win 10 Pro. Работало подключение по RPD.
После установки брандмауэра подключение заблокировано.
Стандартный брандмауэр отключает сам DrWeb.
Зашёл в настройки брандмауэра, наборы правил - редактирование Default Rule.
Создал правило, по которому разрешается слушать порт 3389 для входящего подключения и поднимаю его вверх. Ставлю галочку, что оно работает. (рис 1)
Если ставлю набор Allow All, то блокировка остаётся. (рис 2)
Если выключаю брандмауэр, то блокировка пропадает. (рис 3)
Судя по всему, брандмауэр как-то блокирует другим способом.
Какие настройки надо прописать, чтобы пускал входящий на 3389?
Прикрепленные файлы:
Keep yourself alive
Глеб Любич, попробуйте удалить все созданные правила.
Глеб Любич, попробуйте удалить все созданные правила.
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Глеб Любич, попробуйте удалить все созданные правила.
Имеются ввиду, все правил в Default Rules?
Глеб Любич, попробуйте удалить все созданные правила.
Имеются ввиду, все правил в Default Rules? Нет, созданные вами и в процессе вашей работы. Если не поможет как выше сказали попробуйте отключить пакетный фильтр.
Сначала удалил все созданные правила под цифрой 1 на скрине.
Потом отключил под цифрой 2. Подключения нет.
Прикрепленные файлы:
Это набор правил Default rule.
Я удалил правило для RDP. Поэтому на скрине нет его
Прикрепленные файлы:
Это набор правил Default rule.
Я удалил правило для RDP. Поэтому на скрине нет его
После удаления правил приложения я пробовал подключиться, не получилось. При этом правило на порт 3389 удалено не было. Удалил я его после уже.
Глеб Любич, подключаетесь через RDP к данному компьютеру на котором установлен антивирус или с него к другому ?
Сперва сбросьте настройки антивируса на умолчание (Dr.Web > Центр безопасности > Замок > Шестерёнка > Изменить > Восстановить настройки по умолчанию). Проверьте. Если проблема сохранится, тогда нужен отчёт антивируса (Dr.Web > Поддержка > Перейти к Мастеру отчётов > Создать отчёт) с указанием времени начала воспроизведения проблемы.
Глеб Любич, подключаетесь через RDP к данному компьютеру на котором установлен антивирус или с него к другому ?
Сперва сбросьте настройки антивируса на умолчание (Dr.Web > Центр безопасности > Замок > Шестерёнка > Изменить > Восстановить настройки по умолчанию). Проверьте. Если проблема сохранится, тогда нужен отчёт антивируса (Dr.Web > Поддержка > Перейти к Мастеру отчётов > Создать отчёт) с указанием времени начала воспроизведения проблемы.
Подключаюсь к компу, на котором стоит доктор веб. С него к другому подключение по RDP происходит без проблем.
Попробую скинуть настройки
Глеб Любич, подключаетесь через RDP к данному компьютеру на котором установлен антивирус или с него к другому ?
Сперва сбросьте настройки антивируса на умолчание (Dr.Web > Центр безопасности > Замок > Шестерёнка > Изменить > Восстановить настройки по умолчанию). Проверьте. Если проблема сохранится, тогда нужен отчёт антивируса (Dr.Web > Поддержка > Перейти к Мастеру отчётов > Создать отчёт) с указанием времени начала воспроизведения проблемы.
Если сброс настроек не поможет, то скину файл отчёта. ТОлько куда его скидывать? Прям сюда прикрепить?
Глеб Любич, подключаетесь через RDP к данному компьютеру на котором установлен антивирус или с него к другому ?
Сперва сбросьте настройки антивируса на умолчание (Dr.Web > Центр безопасности > Замок > Шестерёнка > Изменить > Восстановить настройки по умолчанию). Проверьте. Если проблема сохранится, тогда нужен отчёт антивируса (Dr.Web > Поддержка > Перейти к Мастеру отчётов > Создать отчёт) с указанием времени начала воспроизведения проблемы.
а проблема началась с самого момента установки брандмауэра доктора веба) До этого проблемы не было)
Можете в личку или сюдю, если вы не параноик
Можете в личку или сюдю, если вы не параноик
Ставить диагноз людям, не желающим выкладывать свою инфу на всеобщее обозрение, не очень хорошая идея. Ну, я так думаю.
Можете в личку или сюдю, если вы не параноик
Ставить диагноз людям, не желающим выкладывать свою инфу на всеобщее обозрение, не очень хорошая идея. Ну, я так думаю.
Тонко намекаю, что для обсуждения подобного есть отдельная тема.
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Что у меня произошло:
Сбросил настройки, но доступ по RDP не появился, более того, даже тимвьюер перестал подключаться. Причём, странно как то всё было, когда тестил и подключался с телефона, сидя у компа, то тим цеплялся, стоило только прийти домой, подключения не было, ни с телефона, ни с домашнего компа.
Сбросил настройки ещё раз. Результат тот же..
Отвлёкся на другие дела, а сейчас пробую подключиться и всё работает. И RDP, и тимвьюер. При этом, никаких настроек не прописано, дополнительных. Даже порт 3389 не разрешал слушать
В офисе на машинах, которые перезагрузились после обновления, не работает ни сеть ни интернет.
Все сайты отлично пингуются, но по-факту не загружаются. При обращении к сетевой папке, проводник пишет, что не найден сетевой путь. Браузер пишет "Не удаётся установить соединение с сайтом".
На машинах, которые не перезагрузились после обновления всё хорошо. Сейчас я демонстративно перезагрузила свой компьютер и получила ту же картину: отвалилась и сеть и интернет. На каких-то машинах помогает выключить все службы Доктор Веба — сразу становится доступной сеть и интернет, на моей помогло только полное удаление программы. Настройки я проверила: всё в порядке, ничего не заблокировано. Сейчас пока удаляем программу на обновлённых машинах, чтобы нормально работать. Подскажите, как быть?
Keep yourself alive
Штатный отчёт был бы полезен.
Если у Вас под рукой есть инструкция, как его сделать, то я с радостью. У нас полный дурдом, а сис. админа нет.
Keep yourself alive
Тыкнуть Инструменты - Поддержка - Отчет для технической поддержки. Отработает какое-то время, соберет данные, в результате получится архив, который можно прикрепить сюда либо залить на обменник. После данного обновления проблем не встречал на данный момент.
Брандмауэр DrWeb установлен?
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Брандмауэр DrWeb установлен?
Да, я проверила его настройки, ничего подозрительного. Его отключение помогло на одной из машин. И ещё "Превентивную поддержку" отключили. Потом опять всё отвалилось, отключили всё, что можно. Пока работает.
Тыкнуть Инструменты - Поддержка - Отчет для технической поддержки. Отработает какое-то время, соберет данные, в результате получится архив, который можно прикрепить сюда либо залить на обменник. После данного обновления проблем не встречал на данный момент.
Да, сейчас есть одна машина с программой, работает с выключенными службами. Пойду тыкну.
Брандмауэр DrWeb установлен?
Да, я проверила его настройки, ничего подозрительного. Его отключение помогло на одной из машин.
Только на одной?
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Брандмауэр DrWeb установлен?
Да, я проверила его настройки, ничего подозрительного. Его отключение помогло на одной из машин.
Только на одной?
Нет, сначала помогло на всех. Потом постепенно пришлось на всех отключать все службы. Потом пришлось постепенно сносить везде, потому что и отключенные службы уже не спасали. На 13-19 не работает сеть ни на одной машине с обновлением ни при каких отключенных параметрах. На двух делаю отчёты для техподдержки, на остальных программа уже снесена. Ждать у моря погоды некогда. У нас 1С, сетевые папки, онлайн-консультанты, электронка и пр. — не работает ничего.
Думаю, полезнее было бы "тыкать" как раз на проблемных машинах. А еще полезнее - прочесть документацию (а то даже "Превентивную защиту" называете не так) и/или завести толкового админа. У меня примерно в тех же условиях (1С, расшаренные папки) всё работает. Что я делаю не так? (с)
Думаю, полезнее было бы "тыкать" как раз на проблемных машинах. А еще полезнее - прочесть документацию (а то даже "Превентивную защиту" называете не так) и/или завести толкового админа.
В офисе всего 5 компьютеров, включая файловый сервер. Сеть настроена, IP-телефония настроена. Проблемы с сетью возникают раз в пятилетку и решаются быстро подручными методами, коллективным разумом, вызовом какого-нибудь платного админа. С Д-Вебом вообще такая катавасия впервые. Если мне, планктону надо будет сидеть и штудировать инструкции, вместо того, чтобы работать по-умолчанию, я просто перейду на другой антивирусник.
Только на одной?
Нет, сначала помогло на всех.
А что потом?
При отключенном брандмауэре всё было нормально?
Потом постепенно пришлось на всех отключать все службы.
Что Вы подразумеваете под "отключать все службы"?
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Спасибо, написала и туда.
на 99% уверен что проблема в NetWorx
нужно его переустановить в режиме wfp а не tdi.
Только на одной?
Нет, сначала помогло на всех.
А что потом?
При отключенном брандмауэре всё было нормально?
Потом постепенно пришлось на всех отключать все службы.
Что Вы подразумеваете под "отключать все службы"?
Сейчас хронологию напишу.
1. Вчера днём обновилась одна машина. Отвалилось всё. Меня не было в офисе. Компьютер не работал по сети весь оставшийся день.
2. Вчера вечером обновилась вторая машина (была выполнена перезагрузка по другим причинам и обновления вступили в силу). Результат тот же : ни сети, ни интернета.
3. Сегодня я пришла и стала искать причину. Сперва отключила брандмауэр виндовс (у нас 10-ка), не помогло. Потом отключила "службы" ДВ: брандмуэр и превентивную защиту. Всё заработало. Посмотрела настройки, ничего не запрещено, всё стоит на мимимальных настройках защиты. Отключила на двух неработающих машинах эти компоненты. Работаем.
4. Через какое-то время ситуация повторяется: на этих двух компьютерах не работает ни сеть ни интернет. Вырубаю уже спайдер гейт и всё остальное до кучи. Работает.
5. Перезагружаю свой компьютер ради интереса. Перестаёт работать сеть и интернет. Отключаю компоненты, не работает ничего. Перезагружаю, пробую так и сяк: не работает ничего. Сношу ДВ. Всё работает.
6. Параллельно выясняется, что те две машины с отключенными компонентами опять перестали работать. Сношу ДВ и там (предварительно выцепляю отчёты), всё работает.
Когда в один прекрасный день начальник поднимает вопрос: «Почему у некоторых есть удаленный доступ к раб.компьютеру, без получения дополнительных разрешений на использование?»,
возникает задача «прикрыть» лазейку.
Приложений по удаленному управлению по сети предостаточно: Сhrome remote desktop, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control и др. Если у «Сhrome remote desktop» есть официальный мануал по борьбе с наличием доступа к сервису, у TeamViewer есть лицензионные ограничения по времени либо запросам из сети и пользователи «скрипя зубами» так или иначе «светятся» у админов, то любимчик многих для личного пользования — AnyDesk пока требует особого внимания, тем более если начальник сказал «Нельзя!».
Если Вы знаете что такое блокировка сетевого пакета по его содержимому и Вас она устраивает, то остальной материал не предназначен для Вас. |
Update 15.08.2020
на данный момент их 391 адрес. Со знанием этого, остальная часть статьи становится просто беллетристикой.
Когда-то у меня была решена задача по блокировке «Anyplace Control» который попадал к нам с каким-то сомнительным ПО и решена она была блокировкий всего нескольких IP (я подстраховывал антивирус). Задача же с AnyDesk, после того как я вручную собрал больше десятка IP адресов, подзадорила уйти от рутинного ручного труда.
Также было обнаружено что в «C:\ProgramData\AnyDesk» есть ряд файлов с настройками и т.п., а в файл ad_svc.trace собираются события о подключениях и неудачах.
1. Наблюдение
1.1. Видно что «висит» несколько интересующих нас процессов, и лишь тот который связывается с адресом извне нам интересен. Порты к которым подключается перебираются, из того что я видел это: 80, 443, 6568. :) 80 и 443 нам точно блокировать нельзя.
1.2. После блокировки адреса через роутер, спокойно выбирается другой адрес.
1.3. Консоль наше ВСЁ! Определяем PID и тут мне немного подфартило, что AnyDesk был установлен сервисом, соответсвенно искомый PID единственный. | 1.4. Определяем по PID процесса IP адрес сервера сервисов. |
2. Подготовка
2.1. Все методы по выявлению искомого IP адреса уже известны осталось реализовать.
Аналогично находим сервис который установил соединение, приведу только основную строку
Результатом которой будет:
Из строки аналогично перыдущему шагу извлекаем 3й столбец, и убираем все что после ":". Как результат имеем наш искомый IP.
2.2. Блокировка IP в Windows. Если в Linux есть Blackhole и iptables, то метод блокировки IP адреса в одну строку, без использования брандмауэра, в Windows оказался непривычним,
но уж какие инструменты были…
Ключевой параметр "if 1" посылаем маршрут на Loopback (Отобразить доступные интерфейсы можно выполнив route print ). И ВАЖНО! Теперь программу требуется запускать с правами администратора, поскольку изменение маршрута требует повышения прав.
2.3. Отображение и сохранение выявленых IP адресов задача тривиальная и пояснения не требует. Если подумать, то можно обрабатывать и файл ad_svc.trace самого AnyDesk, но об этом я сразу не подумал + возможно на него стоит ограничение.
2.4. Странное неодинаковое поведение программы заключается в том, что при «taskkill» процесса службы в Windows 10 она перезапускается автоматически, в Windows 8 завершается, оставляя только процесс консоли и без переподключения, в общем нелогично и это неточно.
Удаление подключившегося к серверу процесса, позволяет «форсировать» переподключение на следующий адрес. Реализуется аналогично предыдущим командам, поэтому привожу только:
Дополнительно запускаем программу AnyDesk.
2.5. Проверять состояние AnyDesk будем 1 раз в минуту (или чаще?), и если она подключилась т.е. соединение ESTABLISHED — этот IP блокировать, и опять все заново — ждать пока подключится, блокировать и ждать.
3. Нападение
Был «набросан» код, для визуализации процесса решено "+" указывать найденный и блокированный IP, а "." — повтор проверки без успешного сосединения со стороны AnyDesk.
Программа работала на нескольких компьютерах с разными Windows ОС, с версиями AnyDesk 5 и 6. За 500 итераций собиралось около 80 адресов. За 2500 — 87 и так далее…
Со временем количество блокируемых IP дошло до 100+.
Ссылка на финальный текстовый файл (blacklist) с адресами: >>раз и >>два
Дело сделано! Пул IP адресов через скрипт добавлен в правила основного роутера и AnyDesk просто не может создать внешнее соединение.
Теоретически: раз пинг иногда проходит на неизвестный незаблокированный хост boot-01.net.anydesk.com мы можем найти эти ip и заблокировать, эту реализацию сделать обычным скриптом под ОС Linux, тут как раз устанавливать AnyDesk не нужно. Анализ показал что эти IP часто "пересекаются" с найденными из нашего списка. Возможно это как раз этот хост, к которому и подключается программа до того, как начинает «перебирать» известные IP. Вероятно я позже дополню статью 2й частью поисков хостов, хотя на данный момент сама программа внутри сети не устанавливает внешнее соединение вообще.
Надеюсь ничего противоправного Вы не увидели в вышеизложенном, а создатели AnyDesk отнесутся к моим действиям по-спортивному.
Читайте также: