Ошибка чтения из потока данных проверь антивирус firewall
Существует несколько мер, которые можно принять, если запросы, которые должны пройти через брандмауэр веб-приложения (WAF), блокируются.
Сначала ознакомьтесь с документами, в которых содержатся общие сведения о WAF и описание конфигурации WAF. Кроме того, включите мониторинг WAF. В этих статьях объясняется, как работают функции и наборы правил WAF, а также, как получить доступ к журналам WAF.
Стандартные наборы правил OWASP являются очень строгими, и их необходимо настраивать в соответствии с конкретными потребностями приложения или организации, использующей WAF. Совершенно нормальным (и в большинстве случаев ожидаемым) явлением является настройка исключений из правил, создание настраиваемых правил и даже отключение тех правил, которые могут приводить к проблемам и ложноположительным результатам. Политики для конкретного сайта и URI позволяют применять такие изменения только к определенным сайтам или URI, поэтому они не должны затрагивать другие сайты, где соответствующих проблем нет.
Основные сведения о журналах WAF
Журналы WAF предназначены для отображения всех запросов, пропущенных или заблокированных WAF. Это реестр всех проверенных запросов, которые были пропущены или заблокированы. Если вы заметили, что WAF блокирует запрос, который не должен блокироваться (ложноположительный результат), можно выполнить несколько действий. Сначала ограничьте область и найдите конкретный запрос. Просмотрите журналы, чтобы найти конкретный URI, метку времени или идентификатор транзакции для запроса. После того, как связанные записи журнала будут найдены, можно начинать обработку ложноположительных результатов.
Предположим, что у вас есть допустимый трафик, содержащий строку 1=1, который вы хотите передать через WAF. При попытке выполнить запрос WAF блокирует трафик, содержащий строку 1=1 в любом параметре или поле. Это строка часто связана с атакой путем внедрения кода SQL. Можно просмотреть журналы и определить метку времени запроса и правила, которые обусловили блокировку или пропуск трафика.
В следующем примере можно увидеть, как во время одного запроса активируются четыре правила (с помощью поля транзакции). Первое правило срабатывает, так как в запросе использовался числовой или IP-адрес URL, что увеличивает показатель аномалии на три, поскольку соответствует уровню предупреждения. Следующее сработавшее правило — 942130 (его нужно было найти). В поле details.data можно увидеть 1=1. Это увеличивает показатель аномалии еще на три, поскольку также соответствует уровню предупреждения. Вообще каждое правило с действием Соответствие (т. е. сработавшее правило) увеличивает показатель аномалии, и на этом этапе данный показатель был бы равен шести. Дополнительные сведения см. в статье Режим оценки аномалий.
Последние две записи журнала показывают, что запрос был заблокирован, так как показатель аномалии оказался достаточно высоким. Эти записи имеют другое, отличное от первых других действие. Для них указано, что они фактически блокировали запрос. Эти правила являются обязательными не могут быть отключены. Их следует рассматривать не как правила, а скорее как элементы базовой внутренней инфраструктуры WAF.
Борьба с ложноположительными результатами
Имея эту информацию и зная, что именно правило 942130 соответствует строке 1=1, мы можем выполнить несколько действий, чтобы предотвратить блокирование нашего трафика:
использовать список исключений;
Дополнительные сведения о списках исключений см. в статье о конфигурации WAF.
Использование списка исключений
Чтобы принять обоснованное решение об обработке ложноположительного результата, важно ознакомиться с технологиями, которые использует приложение. Предположим, что в вашем стеке технологий нет SQL Server, и вы получаете ложноположительные результаты, связанные с этими правилами. Отключение этих правил не всегда приводит к ослаблению безопасности.
Одним из преимуществ списка исключений является отключение только определенной части запроса. Однако это означает, что определенное исключение применяется ко всему трафику, проходящему через WAF, так как этот параметр является глобальным. Например, если 1=1 является допустимым текстом в запросе для определенного приложения, но не для других приложений, могут возникнуть проблемы. Еще одним преимуществом является возможность выбора между телом, заголовками и файлами cookie, которые следует исключать при выполнении определенного условия, вместо исключения всего запроса.
Бывают случаи, когда определенные параметры передаются в WAF способом, который не является интуитивно понятным. Например, при проверке подлинности с помощью Azure Active Directory передается маркер. Этот маркер, __RequestVerificationToken, как правило, передается в качестве файла cookie запроса. Однако в некоторых случаях, когда файлы cookie отключены, этот маркер также передается в качестве атрибута запроса ("аргумента"). В этом случае необходимо убедиться, что __RequestVerificationToken добавляется в список исключений вместе с именем атрибута запроса.
В этом примере необходимо исключить имя атрибута запроса, которое равно text1. Это очевидно, поскольку имя атрибута можно увидеть в журналах брандмауэра: данные: сопоставленные данные: 1=1, найдено в ARGS:text1: 1=1. Мы видим атрибут text1. Кроме того, имя этого атрибута можно найти несколькими другими способами. Они приведены в разделе Поиск имен атрибутов запроса.
Отключение правил
Еще один способ обойти ложноположительный результат — отключить правило, сработавшее на входных данных, которые WAF посчитал вредоносными. Так как вы проанализировали журналы WAF и выяснили, что сработало правило 942130, вы можете отключить его на портале Azure. См. статью Настройка правил брандмауэра веб-приложения на портале Azure.
Одним из преимуществ отключения правила является возможность отключить его для всего WAF, если известно, что весь трафик, содержащий определенное условие, которое обычно блокируется, является допустимым. Однако если такой трафик является допустимым лишь в определенном сценарии, отключение соответствующего правило для всего WAF приведет к уязвимости, так как этот параметр является глобальным.
Поиск имен атрибутов запроса
С помощью средства Fiddler можно проверить отдельные запросы и определить, какие именно поля веб-страницы вызываются. Это позволяет исключить определенные поля из области проверки с помощью списков исключений.
В этом примере можно увидеть, что поле, в котором была введена строка 1=1, называется text1.
Это поле можно исключить. Чтобы узнать больше о списках исключений, ознакомьтесь со статьей Предельный размер запросов брандмауэра веб-приложения и списки исключений. В этом случае вы можете исключить оценку, настроив приведенные ниже исключения.
Вы можете также просмотреть журналы брандмауэра, чтобы понять, что нужно добавить в список исключений. Сведения о том, как включить ведение журнала, см. в статье о работоспособности серверной части, журналах ресурсов и метриках для шлюза приложений.
Просмотрите журнал брандмауэра в файле PT1H.json за час, в течение которого был отправлен запрос, который требуется проверить.
В этом примере можно увидеть четыре правила с одинаковым идентификатором транзакции, которые сработали в одно и то же время:
Зная, как работают наборы правил CRS, и что набор правил CRS 3.0 работает с системой оценки аномалий (см. статью Брандмауэр веб-приложений для шлюза приложений Azure), вы понимаете, что два нижних правила со свойством action: Blocked блокируют трафик на основе общей оценки аномалий. Правила, на которые следует обратить внимание, являются двумя верхними.
Первая запись заносится в журнал, так как пользователь перешел к шлюзу приложений по числовому IP-адресу, что в данном случае можно игнорировать.
Второе правило (942130) является более интересным. В подробностях можно увидеть, что это правило выявило шаблон (1=1) в поле text1. Повторите выполненные ранее действия, чтобы исключить имя атрибута запроса, которое равно 1=1.
Поиск имен заголовков запросов
Fiddler — это удобный инструмент для поиска имен заголовков запросов. На следующем снимке экрана показаны заголовки запроса GET, которые содержат такие сведения, как тип содержимого, агент пользователя и т. д.
Поиск имен файлов cookie запроса
Если запрос содержит файлы cookie, можно выбрать вкладку Файлы cookie, чтобы просмотреть их в Fiddler.
Ограничение глобальных параметров для исключения ложноположительных результатов
Отключение проверки текста запроса
Если для параметра Проверять текст запроса установить значение "Выкл.", текст запросов всего трафика не будет оцениваться вашим WAF. Это может быть полезно, если известно, что текст запросов не является вредоносным для приложения.
Если отключить этот параметр, проверка не будет применятся только к тексту запросов. Заголовки и файлы cookie по-прежнему проверяются, если только отдельные объекты не исключены с помощью списков исключений.
Ограничения размера файла
Ограничив размер файла в WAF, вы ограничиваете возможность атаки на веб-серверы. Когда разрешена загрузка больших файлов, риск перегрузки серверной части увеличивается. Ограничение размера файла значением, типовым для сценария использования вашего приложения, — один из способов предотвращения атак.
Если вы уверены, что приложение никогда не потребует передачи файлов размер которых превышает заданный, вы можете ограничить этот размер, установив лимит.
Метрики брандмауэра (только WAF_v1)
Для брандмауэров веб-приложений версии v1 на портале теперь доступны следующие метрики:
- Счетчик заблокированных запросов брандмауэром веб-приложения — количество запросов, которые были заблокированы.
- Счетчик заблокированных правил брандмауэром веб-приложения — количество правил, которые сработали и запрос был заблокирован.
- Общее распределение правил брандмауэра веб-приложений — все правила, сработавшие во время проверки.
Чтобы включить метрики, выберите на портале вкладку Метрики, а затем — одну из трех метрик.
Если вы подозреваете, что брандмауэр Windows блокирует ваши законные программы, а также некоторые определенные порты в вашей системе, есть способы выяснить это. Вы можете продолжить чтение статьи ниже, чтобы узнать больше.
Как найти и увидеть, не заблокировал ли брандмауэр Windows программу на ПК
Чтобы проверить, не блокирует ли брандмауэр Windows одно из программ, приложений или программ, которые вы используете в Windows 10, вы можете перейти непосредственно к настройкам Windows.
- Запустите Windows Security на вашем ПК.
- Перейдите в раздел Брандмауэр и защита сети.
- Переходим на левую панель.
- Щелкните Разрешить приложение или функцию через брандмауэр.
- Вы увидите список разрешенных и заблокированных программ брандмауэром Windows.
- Просмотрите список и найдите свою программу.
- Если это не разрешено брандмауэром Windows, нажмите кнопку «Изменить настройки» вверху.
- Проверить приложение.
- Щелкните ОК.
Как узнать, блокирует ли брандмауэр Windows порт, и как это остановить
Есть два способа узнать, блокирует ли брандмауэр Windows порт или нет. Вы можете просмотреть журналы брандмауэра Windows или командную строку.
Проверьте журналы брандмауэра Windows
Теперь вы можете увидеть порты, заблокированные брандмауэром Windows.
Узнайте заблокированные порты через командную строку
- Запустите командную строку.
- Обязательно запускайте от имени администратора.
- Введите следующую команду: netsh firewall показывает состояние.
- Он покажет вам заблокированные порты.
Как открыть заблокированный порт в брандмауэре Windows 10
Если брандмауэр Windows заблокировал порт, который вы используете, вы можете его открыть.
Вы узнали, блокирует ли брандмауэр Windows вашу программу или порт? Если вы хотите поделиться своим опытом, напишите нам комментарий ниже.
Windows 10 включает несколько функций безопасности для поддержания безопасности компьютера и защиты данных от вредоносных программ и хакеров. Одной из таких функций является Брандмауэр Windows, который помогает предотвращать несанкционированный доступ к вашему компьютеру и блокировать потенциально вредоносные приложения.
Хотя в большинстве случае Брандмауэр работает стабильно и надежно, иногда вы можете столкнуться с проблемами. Например, возможен сбой запуска служб Брандмауэра или возникновение ошибки 80070424 или ошибки сервиса 5 (0x5). Кроме того, иногда приложения или функции, например, средство подключения к удаленному рабочему столу (Remote Assistant), могут потерять доступ к общим файлам и принтерам из-за ошибочной блокировки системным фаерволом.
Если вы наткнетесь на любую из этих или подобных проблем, вы предпринять несколько действий. Вы можете использовать инструмент “Устранение неполадок брандмауэра Windows”, который является автоматизированным средством сканирования и устранения распространенных проблем. Также доступен сброс настроек брандмауэра по умолчанию и ручное управление сетевым доступом приложений, заблокированным Брандмауэром.
Чтобы диагностировать и устранить проблемы с Брандмауэром, используйте следующие шаги:
- Загрузите средство устранения неполадок брандмауэра Windows с сайта Microsoft.
- Запустите файл WindowsFirewall.diagcab, дважды щелкнув по нему.
- Нажмите Далее.
- В зависимости от результатов поиска, выберите опцию, которая исправит проблему.
- Если все сработало успешно, нажмите кнопку “Закрыть”, чтобы завершить работу со средством устранения неполадок.
Затем вы можете найти дополнительную информацию о проблеме с помощью поисковых систем или обратиться за помощью в комментариях ниже.
Как сбросить настройки Брандмауэра Windows
Если средство устранения неполадок брандмауэра Windows не смогло обнаружить проблему, то скорее всего она связана с конкретным параметром в системе. В данном сценарии, вы можете попытаться удалить текущую конфигурацию и вернуть настройки по умолчанию.
Важно: после восстановления настроек по умолчанию, может потребоваться повторная настройка приложений, которые запрашивают доступ к сети через фаервол.
Чтобы вернуть настройки брандмауэра по умолчанию, проделайте следующие шаги:
Откройте панель управления (нажмите клавишу Windows и введите фразу “Панель управления”).
После того, как выполните эти шаги, будут восстановлены стандартные правила и настройки, и все проблемы конфигурации будут устранены.
Разрешаем доступ к сети через Брандмауэр
Если проблема заключается в ошибочной блокировке приложений, то вы можете использовать следующие шаги, чтобы разрешить доступ приложений к сети.
- Откройте панель управления (нажмите клавишу Windows и введите фразу “Панель управления”).
- Выберите “Систем и безопасность”.
- Нажмите по секции “Брандмауэр Windows”.
- В левом меню выберите опцию “Разрешение взаимодействия с приложением или компонентом в Брандмауэре Windows”.
- Выберите “Изменить параметры”, используя учетную запись администратора устройства.
- Выберите приложение или сервис, которые вы хотите разрешить.
- Выберите тип сети “Частная”, если приложение должно получить доступ только к локальной сети или “Публичная”, если приложение должно взаимодействовать и Интернетом.
- Нажмите ОК.
Совет: если приложения или функция не отображаются в списке, то нажмите кнопку “Разрешить другое приложение”, чтобы добавить его в список.
Вы можете использовать данную инструкцию, чтобы выполнить повторную настройку приложений после восстановление стандартных настроек Брандмауэра Windows.
Хотя в данном примере мы использовали Windows 10, вы можете использовать эти же инструкции для устранения проблем брандмауэра в Windows 8.1 и Windows 7.
Malwarebytes
Windows Firewall Control
Нет, это я проверял сразу после сноса его фаера. Убралось как надо.
А эта штука похоже называется "Веб контроль". Если его оставить вкл, то весь трафик с указанных портов гонится через него. В описании пишут, что вроде как на лету страницы сканит и еще по мелочи.
Браузеры, кстати, сейчас все обращаются к локалхосту 127.0.0.1, дальше через каспера по нужным портам.
Т.е сейчас почти весь трафик идет в обход svchost через avp.
Что ж, время покажет.
А сарказм по поводу того, что я детскую игрушку не осилил не очень уместен.
Когда после 10ти лет езды на механике я попробовал автомат, то было тоже очень некомфортно, и механика по-прежнему вызывает больше доверия, дает понимание происходящего, контроль и спокойствие.
Ну это уже отдельная тема
А вот мои, по этому поводу:
1. У меня нет просто так запрещенных диапазонов кроме явно лишних. Обоснованность простая:
a.) Если не провести подобные настройки, а просто скрыть уведомления, то, в случае необходимости настроить правила для конкретного приложения, которому необходима сеть через svchost.exe, произойдет следующее: вы включаете уведомления для svchost.exe и вас засыпает 100500 уведомлений. Далее, вы долго и нудно их разгребаете.
b.) При скрытых уведомлениях вы ни когда не узнаете, что на вашем компьютере прописался зловред или, о том, что какой либо программе требуется соединение через svchost.exe.
с.) При разрешенных уведомлениях и предварительной подобной настройке правил, при любом новом поползновении в сеть через svchost.exe вы будете немедленно оповещены уведомлением.
Так что скрытие уведомлений не логично, не оправданно и, более того, глупо. Простая лень и попытка этой лени обосновать свое бездействие.
Добавлено:
Есть еще один способ отключения лишних оповещений
Читайте также: