Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

ESET Smart Security - zablokuje internet

Moderátor: Moderátoři

Pravidla fóra
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Zamčeno
Zpráva
Autor
kapo.david
Návštěvník
Návštěvník
Příspěvky: 7
Registrován: 15 led 2012 21:51
Bydliště: Olomouc
Kontaktovat uživatele:

ESET Smart Security - zablokuje internet

#1 Příspěvek od kapo.david »

Ahoj lidi,

mám týden nainstalovaný nový operační systém, a sním samozřejmě i antivir. Vše funguje jak má, jen sem tam mi naskočí okna:
  • 15.1.2012 21:31:24 Detekována stejná IP adresa v síti 192.168.0.1 192.168.0.107 ARP
    15.1.2012 21:31:18 Detekován útok ARP cache poisoning 192.168.0.1 192.168.0.107 ARP
(tato jsou ta za dnešek, je jich ale mnoho za sebou)

Ignoroval jsem to, protože to je IP adresa mého osobního počítače, ale nyní mi to dělá problém: Za určitý čas, co to zahlásí, mi Personální firewall zablokuje internet, na nic se v žádném z možných nastavení firewallu neptá a jenom si to zablokuje. Ani softwarově není vidět, že je odpojen, jen mi nelze najet stránky, web, ani ICQ a podobné programy.

Zná někdo řešení? Byl bych vám velice zavázán ;).

Uživatelský avatar
chodnik74
Přítel fóra
Přítel fóra
Příspěvky: 4975
Registrován: 13 zář 2010 21:30
Bydliště: Napajedla
Kontaktovat uživatele:

Re: ESET Smart Security - zablokuje internet

#2 Příspěvek od chodnik74 »

Dobrý večer :welcome:
pošlu vám sem naše antivirové techniky od ESET :) Chvilinku strpení :thumbsup:
Napiš mi: chodnik74@gmail.com nebo Obrázek

>RSIT<>MBAM<>VirusTotal

Doporučuji:
Obrázek | Obrázek

:!: Postup si raději vícekrát přečtěte a v případě jakýchkoliv nejasností či pochybností se ptejte. ;-) Pokud máte infikovaný počítač nebo se nechová jako obvykle, tak si zálohujte všechny data a pozorně postupujte dle pokynů rádce! :!:

:!: Nepoužívejte utilitu Combofix bez dohledu a doporučení rádce!

:idea: Jste s naší pomocí spokojeni :???: Neváhejte a podpořte forum ZDE.

Pravidla fora: č.1 a č.2

kapo.david
Návštěvník
Návštěvník
Příspěvky: 7
Registrován: 15 led 2012 21:51
Bydliště: Olomouc
Kontaktovat uživatele:

Re: ESET Smart Security - zablokuje internet

#3 Příspěvek od kapo.david »

Samozřejmě si počkám, a rád :). Kdybyste chtěl znát jakékoli podrobnější informace, jenž by vám napověděly k řešení problému, klidně dejte vědět.

Uživatelský avatar
chodnik74
Přítel fóra
Přítel fóra
Příspěvky: 4975
Registrován: 13 zář 2010 21:30
Bydliště: Napajedla
Kontaktovat uživatele:

Re: ESET Smart Security - zablokuje internet

#4 Příspěvek od chodnik74 »

Jsou to ip adresy routeru, jenže to nechám na technikovi, který sám ví, co v jejich produktech nastavit, aby se tak firewall nechoval :)

Přeji dobrou noc :bye:
Napiš mi: chodnik74@gmail.com nebo Obrázek

>RSIT<>MBAM<>VirusTotal

Doporučuji:
Obrázek | Obrázek

:!: Postup si raději vícekrát přečtěte a v případě jakýchkoliv nejasností či pochybností se ptejte. ;-) Pokud máte infikovaný počítač nebo se nechová jako obvykle, tak si zálohujte všechny data a pozorně postupujte dle pokynů rádce! :!:

:!: Nepoužívejte utilitu Combofix bez dohledu a doporučení rádce!

:idea: Jste s naší pomocí spokojeni :???: Neváhejte a podpořte forum ZDE.

Pravidla fora: č.1 a č.2

Uživatelský avatar
Johny_ESET
Technik
Technik
Příspěvky: 141
Registrován: 20 zář 2011 14:56

Re: ESET Smart Security - zablokuje internet

#5 Příspěvek od Johny_ESET »

kapo.david píše:Ahoj lidi,

mám týden nainstalovaný nový operační systém, a sním samozřejmě i antivir. Vše funguje jak má, jen sem tam mi naskočí okna:
  • 15.1.2012 21:31:24 Detekována stejná IP adresa v síti 192.168.0.1 192.168.0.107 ARP
    15.1.2012 21:31:18 Detekován útok ARP cache poisoning 192.168.0.1 192.168.0.107 ARP
Ahoj,
potřeboval bych vědět, jakou verzi ESET Smart Security máš nainstalovanou?
Johny

kapo.david
Návštěvník
Návštěvník
Příspěvky: 7
Registrován: 15 led 2012 21:51
Bydliště: Olomouc
Kontaktovat uživatele:

Re: ESET Smart Security - zablokuje internet

#6 Příspěvek od kapo.david »

ESET Smart Security 5

Verze 5.0.95.0
(k dnešnímu datu)

Uživatelský avatar
Johny_ESET
Technik
Technik
Příspěvky: 141
Registrován: 20 zář 2011 14:56

Re: ESET Smart Security - zablokuje internet

#7 Příspěvek od Johny_ESET »

Ahoj,
zkus následující:

1) Dočasně vypni personální firewall v ESET Smart Security.
2) Do příkazového řádku zdej (bez uvozovek) "arp -d *"
3) Zapni personální firewall.

Pokud se budou hlášky v logu objevovat stále, proveď následující:

1) Otevři si ESET Smart Security 5 a stiskni klávesu F5, tím se dostaneš do pokročilého nastavení.
2) Otevři větev Síť -> Personální firewall -> Pravidla a zóny.
3) Vpravo klikni na tlačítko "Nastavit" v části "Editor pravidel a zón".
4) V otevřeném dialogu vyber záložku "Zóny" a dvakrát klikni na položku v seznamu "Adresy vyloučené z aktivní ochrany (IDS).
5) Klikni na tlačítko "Přidat adresu IPv4", zvol "Rozsah adres" nebo "Podsíť" a zadej IP rozsah tvojí lokální sítě. Tento rozsah je možné zjistit z nastavení routeru.

Příklad:

Pokud používáš lokální rozsah adres 192.168.0.1 až 192.168.0.254, můžeš ho takto vložit do nastavení jako "Rozsah" nebo níže jako "Podsíť":

Adresa: 192.168.0.0
Maska: 255.255.255.0
Johny

kapo.david
Návštěvník
Návštěvník
Příspěvky: 7
Registrován: 15 led 2012 21:51
Bydliště: Olomouc
Kontaktovat uživatele:

Re: ESET Smart Security - zablokuje internet

#8 Příspěvek od kapo.david »

Děkuji mnohokrát. Zajímavé je, že tyto hlášky mi ESET vyhazuje jen některé dny, včera jsem problém neměl, ale jak to vyskočí, zkusím to.

Jinak bych se chtěl zeptat, zda následující zpráva může dělat problémy:
  • 17.1.2012 8:12:52 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.112.181 ICMP
    17.1.2012 8:12:42 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.112.181 ICMP
    17.1.2012 8:12:32 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.112.181 ICMP
    17.1.2012 8:12:22 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.122.122 ICMP

Uživatelský avatar
Johny_ESET
Technik
Technik
Příspěvky: 141
Registrován: 20 zář 2011 14:56

Re: ESET Smart Security - zablokuje internet

#9 Příspěvek od Johny_ESET »

Personální firewall kontroluje jednotlivé pakety ICMP komunikace. Protokol ICMP se standardně používá pro běžnou chybovou komunikaci mezi dvěma zařízeními. Pokud je protokol využitý pro jinou komunikaci, je firewallem zablokován. Občas po tomto kanálu nestandardně komunikují např. ovladače tiskáren, routery, apod.

IP adresy 87.248.112.181 a 87.248.122.122 jsou umístěny v zahraničí, tudíž je riziko, že se opravdu může jednat o detekované zneužití. V tomto případě tedy firewall splnil svou roli, tzn. že ochrana je nastavena správně a detekce je v pořádku.

http://whois.smartweb.cz/object/87.248.112.181/
http://whois.smartweb.cz/object/87.248.122.122/
Johny

kapo.david
Návštěvník
Návštěvník
Příspěvky: 7
Registrován: 15 led 2012 21:51
Bydliště: Olomouc
Kontaktovat uživatele:

Re: ESET Smart Security - zablokuje internet

#10 Příspěvek od kapo.david »

Tak mockrát děkuji, tvá rada mi perfektně pomohla a už vše šlape jak má a já vím, jak to případně umlčet ;).

Fandím ti a palec nahoru. :thumbsup:

caRrrnifex.
Přítel fóra
Přítel fóra
Příspěvky: 236
Registrován: 31 črc 2008 20:21

Re: ESET Smart Security - zablokuje internet

#11 Příspěvek od caRrrnifex. »

ahoj Johny,

nejdrive diky, ze nam venujes svuj cas a znalosti, mel bych par dotazu k reseni tohoto problemu :?:

- fw odhalil mozne zneuziti sitove komunikace, proc jsme pouze zvolili cestu vyjimky ve fw a nezabyvali se moznym napadenim pc tazatele?
- nemuze uzivateli hrozit napr. icmp redirect? presmerovani/odposlech sitove komunikace?
- nevyplati se kouknout na routovaci tabulky ve windows? je mozne uplne zakazat icmp redirect v nastaveni protokolu TCP/IP?
- nebo dane hlaseni fw nejsou dulezita, nepredstavuji realnou hrozbu a netreba se jimi zbytecne zabyvat?

predem diky za pripadnou odpoved ;)

Uživatelský avatar
Johny_ESET
Technik
Technik
Příspěvky: 141
Registrován: 20 zář 2011 14:56

Re: ESET Smart Security - zablokuje internet

#12 Příspěvek od Johny_ESET »

Ahoj,
zde jsou odpovědi:
  • Nejde o výjimku, personální firewall nadále filtruje komunikaci. Pouze pro komunikaci v rámci lokální sítě není použit modul IDS. Vyloučení IDS se vztahuje na hlášení o změně ARP tabulky, nikoliv na ICMP pakety. V souvislosti s komunikací routerů se vyskytuje velmi často.
  • Stejná odpověď, jako v případě otázky: Nemůže uživatele ohrozit havěť, pokud má počítač připojený do internetu?
  • V tomto případě nevyplatí.
  • V tomto případě nepředstavují.
Johny

caRrrnifex.
Přítel fóra
Přítel fóra
Příspěvky: 236
Registrován: 31 črc 2008 20:21

Re: ESET Smart Security - zablokuje internet

#13 Příspěvek od caRrrnifex. »

Johny_ESET píše:Nejde o výjimku, personální firewall nadále filtruje komunikaci. Pouze pro komunikaci v rámci lokální sítě není použit modul IDS. Vyloučení IDS se vztahuje na hlášení o změně ARP tabulky, nikoliv na ICMP pakety. V souvislosti s komunikací routerů se vyskytuje velmi často.
jj tohle chapu, nerad bych vytvarel paranoiu :D ale
kapo.david píše:Za určitý čas, co to zahlásí, mi Personální firewall zablokuje internet, na nic se v žádném z možných nastavení firewallu neptá a jenom si to zablokuje. Ani softwarově není vidět, že je odpojen, jen mi nelze najet stránky, web, ani ICQ a podobné programy.
mame tady hlaseni o shodnych ip v siti, pak zneuziti icmp --> na zaklade ceho muzu byt jako uzivatel klidny, ze se nejedna o skutecny problem?
firewall nodu muze byt v nefunkcnim internetu zcela nevinne, v arp cache muze mit polozku odkazujici na naslouchajici pc, ten po urcite dobe prestane odchytavat a preposilat pakety --> proto nasledne spadne i internet --> proc neprojit cache, navic kdyz se problem vyskytne opakovane? nemuze odpoved, zda problem zpusobuje skutecne fw nodu, poskytnout test v podobe pridani staticke polozky vychozi brany do arp cache aspon kvuli overeni padani internetu a zjistit, zda se problem neobjevi znovu? nebo ze by to zpusoboval "vadny" dhcp server? vice dhcp serveru v siti se mi nezda, ze by uzivatel mel, i kdyz jeho sit samo neznam :)
Johny_ESET píše:Stejná odpověď, jako v případě otázky: Nemůže uživatele ohrozit havěť, pokud má počítač připojený do internetu?
icmp redirect jsem uvedl jako jednu moznost (i kdyz moc nepouzivanou), zase mi nebylo jasne, proc jsme varovani fw (NIDS?)ignorovali, nezname prece ani typ icmp paketu, ktery problem zpusobuje; da se to vycist nekde z logu, na zaklade ceho se fw rozhodl oznacit paket za potencialne nebezpecny? pokud ale rikas, ze muze byt v klidu, tak verim a uz se neptam :)

Zamčeno