VIRY.CZ

Ahoj lidi,

mám týden nainstalovaný nový operační systém, a sním samozřejmě i antivir. Vše funguje jak má, jen sem tam mi naskočí okna:

• 15.1.2012 21:31:24 Detekována stejná IP adresa v síti 192.168.0.1 192.168.0.107 ARP
  15.1.2012 21:31:18 Detekován útok ARP cache poisoning 192.168.0.1 192.168.0.107 ARP

(tato jsou ta za dnešek, je jich ale mnoho za sebou)

Ignoroval jsem to, protože to je IP adresa mého osobního počítače, ale nyní mi to dělá problém: Za určitý čas, co to zahlásí, mi Personální firewall zablokuje internet, na nic se v žádném z možných nastavení firewallu neptá a jenom si to zablokuje. Ani softwarově není vidět, že je odpojen, jen mi nelze najet stránky, web, ani ICQ a podobné programy.

Zná někdo řešení? Byl bych vám velice zavázán .

Dobrý večer
pošlu vám sem naše antivirové techniky od ESET Chvilinku strpení

Samozřejmě si počkám, a rád . Kdybyste chtěl znát jakékoli podrobnější informace, jenž by vám napověděly k řešení problému, klidně dejte vědět.

Jsou to ip adresy routeru, jenže to nechám na technikovi, který sám ví, co v jejich produktech nastavit, aby se tak firewall nechoval

Přeji dobrou noc

kapo.david píše:Ahoj lidi,

mám týden nainstalovaný nový operační systém, a sním samozřejmě i antivir. Vše funguje jak má, jen sem tam mi naskočí okna:

• 15.1.2012 21:31:24 Detekována stejná IP adresa v síti 192.168.0.1 192.168.0.107 ARP
  15.1.2012 21:31:18 Detekován útok ARP cache poisoning 192.168.0.1 192.168.0.107 ARP

Ahoj,
potřeboval bych vědět, jakou verzi ESET Smart Security máš nainstalovanou?

ESET Smart Security 5

Verze 5.0.95.0
(k dnešnímu datu)

Ahoj,
zkus následující:

1) Dočasně vypni personální firewall v ESET Smart Security.
2) Do příkazového řádku zdej (bez uvozovek) "arp -d *"
3) Zapni personální firewall.

Pokud se budou hlášky v logu objevovat stále, proveď následující:

1) Otevři si ESET Smart Security 5 a stiskni klávesu F5, tím se dostaneš do pokročilého nastavení.
2) Otevři větev Síť -> Personální firewall -> Pravidla a zóny.
3) Vpravo klikni na tlačítko "Nastavit" v části "Editor pravidel a zón".
4) V otevřeném dialogu vyber záložku "Zóny" a dvakrát klikni na položku v seznamu "Adresy vyloučené z aktivní ochrany (IDS).
5) Klikni na tlačítko "Přidat adresu IPv4", zvol "Rozsah adres" nebo "Podsíť" a zadej IP rozsah tvojí lokální sítě. Tento rozsah je možné zjistit z nastavení routeru.

Příklad:

Pokud používáš lokální rozsah adres 192.168.0.1 až 192.168.0.254, můžeš ho takto vložit do nastavení jako "Rozsah" nebo níže jako "Podsíť":

Adresa: 192.168.0.0
Maska: 255.255.255.0

Děkuji mnohokrát. Zajímavé je, že tyto hlášky mi ESET vyhazuje jen některé dny, včera jsem problém neměl, ale jak to vyskočí, zkusím to.

Jinak bych se chtěl zeptat, zda následující zpráva může dělat problémy:

• 17.1.2012 8:12:52 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.112.181 ICMP
  17.1.2012 8:12:42 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.112.181 ICMP
  17.1.2012 8:12:32 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.112.181 ICMP
  17.1.2012 8:12:22 Detekováno zneužití skrytého kanálu v ICMP paketu 192.168.0.107 87.248.122.122 ICMP

Personální firewall kontroluje jednotlivé pakety ICMP komunikace. Protokol ICMP se standardně používá pro běžnou chybovou komunikaci mezi dvěma zařízeními. Pokud je protokol využitý pro jinou komunikaci, je firewallem zablokován. Občas po tomto kanálu nestandardně komunikují např. ovladače tiskáren, routery, apod.

IP adresy 87.248.112.181 a 87.248.122.122 jsou umístěny v zahraničí, tudíž je riziko, že se opravdu může jednat o detekované zneužití. V tomto případě tedy firewall splnil svou roli, tzn. že ochrana je nastavena správně a detekce je v pořádku.

http://whois.smartweb.cz/object/87.248.112.181/
http://whois.smartweb.cz/object/87.248.122.122/

Tak mockrát děkuji, tvá rada mi perfektně pomohla a už vše šlape jak má a já vím, jak to případně umlčet .

Fandím ti a palec nahoru.

ahoj Johny,

nejdrive diky, ze nam venujes svuj cas a znalosti, mel bych par dotazu k reseni tohoto problemu

- fw odhalil mozne zneuziti sitove komunikace, proc jsme pouze zvolili cestu vyjimky ve fw a nezabyvali se moznym napadenim pc tazatele?
- nemuze uzivateli hrozit napr. icmp redirect? presmerovani/odposlech sitove komunikace?
- nevyplati se kouknout na routovaci tabulky ve windows? je mozne uplne zakazat icmp redirect v nastaveni protokolu TCP/IP?
- nebo dane hlaseni fw nejsou dulezita, nepredstavuji realnou hrozbu a netreba se jimi zbytecne zabyvat?

predem diky za pripadnou odpoved

Ahoj,
zde jsou odpovědi:

• Nejde o výjimku, personální firewall nadále filtruje komunikaci. Pouze pro komunikaci v rámci lokální sítě není použit modul IDS. Vyloučení IDS se vztahuje na hlášení o změně ARP tabulky, nikoliv na ICMP pakety. V souvislosti s komunikací routerů se vyskytuje velmi často.
• Stejná odpověď, jako v případě otázky: Nemůže uživatele ohrozit havěť, pokud má počítač připojený do internetu?
• V tomto případě nevyplatí.
• V tomto případě nepředstavují.

Johny_ESET píše:Nejde o výjimku, personální firewall nadále filtruje komunikaci. Pouze pro komunikaci v rámci lokální sítě není použit modul IDS. Vyloučení IDS se vztahuje na hlášení o změně ARP tabulky, nikoliv na ICMP pakety. V souvislosti s komunikací routerů se vyskytuje velmi často.

jj tohle chapu, nerad bych vytvarel paranoiu ale

kapo.david píše:Za určitý čas, co to zahlásí, mi Personální firewall zablokuje internet, na nic se v žádném z možných nastavení firewallu neptá a jenom si to zablokuje. Ani softwarově není vidět, že je odpojen, jen mi nelze najet stránky, web, ani ICQ a podobné programy.

mame tady hlaseni o shodnych ip v siti, pak zneuziti icmp --> na zaklade ceho muzu byt jako uzivatel klidny, ze se nejedna o skutecny problem?
firewall nodu muze byt v nefunkcnim internetu zcela nevinne, v arp cache muze mit polozku odkazujici na naslouchajici pc, ten po urcite dobe prestane odchytavat a preposilat pakety --> proto nasledne spadne i internet --> proc neprojit cache, navic kdyz se problem vyskytne opakovane? nemuze odpoved, zda problem zpusobuje skutecne fw nodu, poskytnout test v podobe pridani staticke polozky vychozi brany do arp cache aspon kvuli overeni padani internetu a zjistit, zda se problem neobjevi znovu? nebo ze by to zpusoboval "vadny" dhcp server? vice dhcp serveru v siti se mi nezda, ze by uzivatel mel, i kdyz jeho sit samo neznam

Johny_ESET píše:Stejná odpověď, jako v případě otázky: Nemůže uživatele ohrozit havěť, pokud má počítač připojený do internetu?

icmp redirect jsem uvedl jako jednu moznost (i kdyz moc nepouzivanou), zase mi nebylo jasne, proc jsme varovani fw (NIDS?)ignorovali, nezname prece ani typ icmp paketu, ktery problem zpusobuje; da se to vycist nekde z logu, na zaklade ceho se fw rozhodl oznacit paket za potencialne nebezpecny? pokud ale rikas, ze muze byt v klidu, tak verim a uz se neptam