Страница печати | Закрыть окно

Тестирование библиотеки L7Filter

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - бета тестирование
Описание форума: Вопросы, связанные с тестированием предварительных версий.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=23922
Дата печати: 25-Июн-18 в 13:11
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Тестирование библиотеки L7Filter
Автор: VladimirK
Тема: Тестирование библиотеки L7Filter
Дата отправки: 20-Сен-16 в 08:58
Для нашего продукта Traffic Inspector разработана библиотека L7Filter. Предлагаем протестировать и обсудить её работу в этой теме форума.

Внимание:
Для работы библиотеки требуется Traffic Inspector версии 3.0.2.912 x64!
Для работы библиотеки требуется установка WinPcap на сервере с Traffic Inspector!

Инструкция по установке библиотеки:
1. http://www.winpcap.org/install/" rel="nofollow - Установите WinPcap на машине с Traffic Inspector;
2. Перезапустите машину;
3. Остановите службу Traffic Inspector;
4. Скачайте  http://files.smart-soft.ru/updates/912/L7Filter.zip" rel="nofollow - архив  с библиотекой L7Filter;
5. Распакуйте архив в папку с установленным Traffic Inspector (по умолчанию %ProgramFiles%\TrafInsp\);
6. Запустите службу Traffic Inspector;
7. Зайдите в консоль администрирования Traffic Inspector;
8. Зайдите в свойства ветки "Сервисы" -> "Анализ трафика";
9. В появившемся окне на вкладке "Настройки" установите чекбокс "Включить расширенный анализ трафика, а остальные настройки оставьте без изменения;
10. Перейдите в ветку "Сервисы" -> "Анализ трафика";
11. В области "Расширенный анализ трафика" на вкладке "Информация" убедитесь, что библиотека в состоянии "Работает";
12. Создайте правило с расширенной фильтрацией и примените правила на пользователя/группу по аналогии с созданием обычных правил.

Особенности:
Для некоторых L7 протоколов (в частности Skype, BitTorrent) требуется помимо целевых запрещающих правил на L7 протокол создать ещё запрещающее правило для L7 протокола "Unknown" и применить на того же пользователя/группу.


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru



Ответов:
Автор: Default
Дата отправки: 20-Сен-16 в 12:47
или  в в разделе Объекты/Протоколы L7-Filter создать группу




Автор: DmitryPC
Дата отправки: 20-Сен-16 в 12:57
можно увидеть в качестве примера содержимое какого либо фильтра(например тот же SIP)?
 
строка подобная или отличается(без кавычек): "^(invite|register|cancel) sip[ - -~]*sip/[0-2]\.[0-9]"?


Автор: VladimirK
Дата отправки: 20-Сен-16 в 15:38
Правила в указанном формате не задаются

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: DmitryPC
Дата отправки: 20-Сен-16 в 15:52
Исходное сообщение VladimirK VladimirK :

Правила в указанном формате не задаются
тогда хотелось бы увидеть конкретный пример формата(а не ссылку на википедию).


Автор: Default
Дата отправки: 20-Сен-16 в 16:25
логика определения внутри. вы только определяете, что нужно блокировать


Автор: DmitryPC
Дата отправки: 21-Сен-16 в 08:02
все скрины https://yadi.sk/d/u9vxNyADvQk73" rel="nofollow - тут


Автор: DmitryPC
Дата отправки: 21-Сен-16 в 12:26
Господа разработчики, будте так любезны, выложите пожалуйста упорядоченные скрины настроек хотя бы для одного фильтра, а то как-то совершенно непонятна ситуация: возможность анонсирована, а настроек нет никаких и нигде(может архив с модулем старый и не совсем рабочий выложили?).
 
что понимается под "ID протокола"?
что понимается под "Протоколы L7-filter"?
что понимается под "Исключенния"?
почему L7 только на "запрет"?
 
хочу заблокировать всё связанное с SIP для определенной группы пользователей. как это сделать при помощи этого функционала?
хочу РАЗРЕШИТЬ всё связанное с SIP для определенного пользователя. как это сделать при помощи данного функционала?
 
ps. и кнопки "помощь" открывают совершенно не относящуюся к делу справку. знак "?" - тоже.


Автор: Default
Дата отправки: 21-Сен-16 в 14:06
1) протоколы предопределены в программе (если у вас список пустой, то удалите файл L7ProtocolList.* и перезапустите службу ти)
2) описание протокола (комбинация ID и отображаемого имени) или группы протоколов. ID протокола передается в службу анализа трафика
3) список исключений, вхождение в которые проверяется перед блокировкой пакетов

это временно. правила могут быть как на запрет, так и на разрешение, просто для определения типа приложения необходимо что бы было установлено соединение или была попытка соединения, а если заблокировано все, то это в принципе не возможно.
либо надо вводить предопределенный протокол "Все" и тогда уже можно оперировать понятиями разрешение/запрет



Автор: Default
Дата отправки: 21-Сен-16 в 14:09
если возможности/желания перезагружать службу нет, то вот список протоколов с ID
http://files.smart-soft.ru/updates/912/L7Protocols.txt" rel="nofollow - http://files.smart-soft.ru/updates/912/L7Protocols.txt


Автор: Default
Дата отправки: 21-Сен-16 в 14:15
Исходное сообщение DmitryPC DmitryPC :


хочу заблокировать всё связанное с SIP для определенной группы пользователей. как это сделать при помощи этого функционала?

создать правило на запрет для протокола SIP (ID = 100) и назначить правило на группу (как обычные правила ТИ)

Исходное сообщение DmitryPC DmitryPC :


хочу РАЗРЕШИТЬ всё связанное с SIP для определенного пользователя. как это сделать при помощи данного функционала?

если у пользователя все запрещено, то определить тип протокола, до установки соединения в большинстве случаев не возможно. в случае того же SIP требуется анализировать содержимое  пакетов (а часто и не одного).



Автор: DmitryPC
Дата отправки: 21-Сен-16 в 14:18
Исходное сообщение Default Default :

если возможности/желания перезагружать службу нет, то вот список протоколов с ID
http://files.smart-soft.ru/updates/912/L7Protocols.txt" rel="nofollow - http://files.smart-soft.ru/updates/912/L7Protocols.txt
Спасибо. еще б подсказали как импортировать, указанный txt..


Автор: Default
Дата отправки: 21-Сен-16 в 15:32
эм..
http://files.smart-soft.ru/updates/912/LoadFromXML.rar" rel="nofollow - http://files.smart-soft.ru/updates/912/LoadFromXML.rar

распакуйте и запустите



Автор: DmitryPC
Дата отправки: 21-Сен-16 в 15:46
Smile Спасибо. Работает.


Автор: DmitryPC
Дата отправки: 29-Сен-16 в 07:10
1. как удостовериться, что блокировка работает(если в мониторе работы\заблокированные запросы ничего не отображается.. а должно?)?

2. почему работа фильтра осуществляется только в режиме "direct"?

3. как полностью заблокировать всё, что связано с сервисами microsoft(при помощи фильтра L7)?

4. какие, из указанных ниже доменов и сетей, будут за блокированы фильтрами L7 (протоколы Microsoft и MSN)?
127.0.0.1 64.0.0.0/8
127.0.0.1 65.0.0.0/8
127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com.nsatc.net
127.0.0.1 oca.telemetry.microsoft.com
127.0.0.1 oca.telemetry.microsoft.com.nsatc.net
127.0.0.1 sqm.telemetry.microsoft.com
127.0.0.1 sqm.telemetry.microsoft.com.nsatc.net
127.0.0.1 watson.telemetry.microsoft.com
127.0.0.1 watson.telemetry.microsoft.com.nsatc.net
127.0.0.1 redir.metaservices.microsoft.com
127.0.0.1 choice.microsoft.com
127.0.0.1 choice.microsoft.com.nsatc.net
127.0.0.1 df.telemetry.microsoft.com
127.0.0.1 reports.wes.df.telemetry.microsoft.com
127.0.0.1 wes.df.telemetry.microsoft.com
127.0.0.1 services.wes.df.telemetry.microsoft.com
127.0.0.1 sqm.df.telemetry.microsoft.com
127.0.0.1 telemetry.microsoft.com
127.0.0.1 watson.ppe.telemetry.microsoft.com
127.0.0.1 telemetry.appex.bing.net
127.0.0.1 telemetry.urs.microsoft.com
127.0.0.1 telemetry.appex.bing.net:443
127.0.0.1 settings-sandbox.data.microsoft.com
127.0.0.1 vortex-sandbox.data.microsoft.com
127.0.0.1 survey.watson.microsoft.com
127.0.0.1 watson.live.com
127.0.0.1 watson.microsoft.com
127.0.0.1 statsfe2.ws.microsoft.com
127.0.0.1 corpext.msitadfs.glbdns2.microsoft.com
127.0.0.1 compatexchange.cloudapp.net
127.0.0.1 cs1.wpc.v0cdn.net
127.0.0.1 a-0001.a-msedge.net
127.0.0.1 statsfe2.update.microsoft.com.akadns.net
127.0.0.1 sls.update.microsoft.com.akadns.net
127.0.0.1 fe2.update.microsoft.com.akadns.net
127.0.0.1 65.55.108.23
127.0.0.1 65.39.117.230
127.0.0.1 23.218.212.69
127.0.0.1 134.170.30.202
127.0.0.1 137.116.81.24
127.0.0.1 diagnostics.support.microsoft.com
127.0.0.1 corp.sts.microsoft.com
127.0.0.1 statsfe1.ws.microsoft.com
127.0.0.1 pre.footprintpredict.com
127.0.0.1 204.79.197.200
127.0.0.1 23.218.212.69
127.0.0.1 i1.services.social.microsoft.com
127.0.0.1 i1.services.social.microsoft.com.nsatc.net
127.0.0.1 feedback.windows.com
127.0.0.1 feedback.microsoft-hohm.com
127.0.0.1 feedback.search.microsoft.com


Автор: Default
Дата отправки: 29-Сен-16 в 09:17
1) решение о блокировке идет в ридере. если есть потребность записи заблокированных запросов в лог, мы готовы доработать
2) потому что в режиме прокси, трафик будет детектироваться  как "HTTP_Proxy"
3) Microsoft + MSN + WindowsUpdate + WindowsMedia
4) я в принципе давал ссылку на исходный проект, взятый за основу. определение типа протокола проводится не только по ip, но и по содержимому пакетов


Автор: Default
Дата отправки: 29-Сен-16 в 09:19
3) в данный момент дорабатывается функционал для привязки к типу на основании хостов, портов и т.д.



Автор: DmitryPC
Дата отправки: 29-Сен-16 в 11:05
да.. наверное есть постребность в записи блокировок в лог.. по крайней  мере отдельная галка на включение такой возможности для отладки и проверки правил нужна однозначно.
про "WindowsUpdate + WindowsMedia" прошу пардону.. не заметил их наличие.


Автор: DmitryPC
Дата отправки: 05-Окт-16 в 07:59
какими правилами(протоколами) можно заблокировать торрент приложения?


Автор: VladimirK
Дата отправки: 05-Окт-16 в 08:11
Пробовали Unknown + BitTorrent?

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: DmitryPC
Дата отправки: 05-Окт-16 в 09:14
нет. хотел сначала уточнить...


Автор: DmitryPC
Дата отправки: 05-Окт-16 в 09:29
не понятно, работают правила или нет.. пользователь как качал на всю доступную полосу, так и качает.. только количество пакетов выросло с 600 до 2400
 
о.. 9ч33мин(15мин прошло с момента применения правил на группу пользователей, в которой один пользователь, - с авторизацией по диапазону ип) либо заблокировало, либо докачал.. и ведь не узнаешь никак.


Автор: VladimirK
Дата отправки: 05-Окт-16 в 14:03
Передадим разработчикам.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: DmitryPC
Дата отправки: 05-Окт-16 в 15:20
6  часов торрент-клиент у пользователя "молчал" , - значит заблокировало.


Автор: Vladd
Дата отправки: 11-Окт-16 в 19:21
Можете подсказать как заблокировать прослушивание онлайн радио, какой протокол нужно выбрать? NetPolice с этим не справляется (хоть и стоит галка "радио" в настройках)


Автор: Vladd
Дата отправки: 12-Окт-16 в 09:40
Уважаемые разработчики есть мысли по блокировке радио?


Автор: DmitryPC
Дата отправки: 12-Окт-16 в 10:14

если  https://github.com/ntop/nDPI/tree/dev/src/lib/protocols" rel="nofollow - тут найдете варианты описания аналога   http://l7-filter.sourceforge.net/protocols" rel="nofollow - streaming audio , то заблокируете... я вот не нашел, а реализовывать свои протоколы(или своё их видение) тут не предусмотрено, но(по идее) ведь можно, - если, конечно, будет реализована возможность самостоятельно дописывать необходимые https://ru.wikipedia.org/wiki/L7-filter" rel="nofollow - регулярные выражения в рамках этого функционала.



Автор: mrrc
Дата отправки: 05-Ноя-16 в 18:54
Как все это погонять на Server 2012 R2, http://www.winpcap.org/install/" rel="nofollow - предлагаемый к установке WinPcap 4.1.3 не поддерживает данную ОС исходя из заявляемых на сайте поддерживаемых платформах.
Имеется http://www.win10pcap.org/" rel="nofollow - Win10Pcap , который по заявлениям должен работать в том числе и в 2012 R2, он подойдет?


Автор: VladimirK
Дата отправки: 07-Ноя-16 в 07:50
На Win2012R2 тестировалось - работает.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: mrrc
Дата отправки: 07-Ноя-16 в 08:28
Исходное сообщение VladimirK VladimirK :

На Win2012R2 тестировалось - работает.

Тестировалось с WinPcap 4.1.3 или с Win10Pcap?


Автор: VladimirK
Дата отправки: 07-Ноя-16 в 10:25
с WinPcap 4.1.3

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: LVS
Дата отправки: 23-Ноя-16 в 04:04
Не работает win 2012 R2 standart, TI 3.0.2.912


Автор: LVS
Дата отправки: 23-Ноя-16 в 04:04
можно получить список необходимых файлов в директориях


Автор: VladimirK
Дата отправки: 23-Ноя-16 в 08:23
Переустановите программу, так как в дистрибутиве содержаться все необходимые файлы.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: LVS
Дата отправки: 23-Ноя-16 в 08:32
какую программу?


Автор: LVS
Дата отправки: 23-Ноя-16 в 10:48

после установки L7 исчезли показатели скорости????


Автор: VladimirK
Дата отправки: 23-Ноя-16 в 15:55
Проверил у себя, всё показывает. Проверьте на чистой конфигурации.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: LVS
Дата отправки: 24-Ноя-16 в 04:06
службу перезапустил и все ок, забыл вчера отписать


Автор: genii960
Дата отправки: 27-Фев-17 в 14:39
Добрый день! Как запретить все VPN соединения?
Установлен ТИ 3.0.2.914, WinSer 2012R2, L7Filter установлен


Автор: DmitryPC
Дата отправки: 28-Фев-17 в 08:13
Исходное сообщение genii960 genii960 :

Добрый день! Как запретить все VPN соединения?
Установлен ТИ 3.0.2.914, WinSer 2012R2, L7Filter установлен
создать свою группу протоколов(объекты\протоколы л7\пкм/добавить... поставить галку "группа протоколов" - дальше методом "научного тыка"), выбрать в ней нужные(например: gre\pptp\ipsec\ciscovpn\..), сохранить, создать фильтр на запрещение: на любой адрес, расширенная фильтрация(выбрать созданную группу протоколов L7), сохранить фильтр. применить фильтр на нужную группу или пользователя или на всех.


Автор: ScreN
Дата отправки: 24-Май-18 в 03:25
Решил я тут тоже поиграться с L7 фильтрацией, и пока нифига понять не могу.

Вы вот снимали же показательные видео раньше на Ютубе, почему перестали? Я с интересом смотрел ваши видео.

Короче. Чтобы заработала L7 фильтрация, что нужно сделать? Просто создать расширенное правило фильтрации? Я так понимаю, для этого нужно сначала создать список IP адресов? И в расширенной фильтрации указать уже этот список? Допустим, список серверов обновлений Microsoft, и в расширенной фильтрации указать на этот список и выбрать протокол Microsoft? Так это работает?

Хотелось бы примеры какие то. Я вот как человек неработающий никогда с L7 протоколами, нихрена понять не могу


Автор: VladimirK
Дата отправки: 24-Май-18 в 09:09
Алгоритм такой.

Создаёте правило на запрет
Указываете там L7 и выбираете необходимое приложение
Добавляете правило на пользователя/группу


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: ScreN
Дата отправки: 24-Май-18 в 10:42
Исходное сообщение VladimirK VladimirK :

Алгоритм такой.

Создаёте правило на запрет
Указываете там L7 и выбираете необходимое приложение
Добавляете правило на пользователя/группу
Хм... создал правило на TeamViewer, повесил его на себя, перезапустил TeamViewer, действительно заблокировался Вьювер :)

Не совсем понятно как это работает. L7 блокирует само приложение? Или же в L7 протоколы уже встроены алгоритмы блокировки адресов Вьювера?

А есть ли вариант через L7 заблокировать нахрен сервера обновлений Microsoft? А то я список IP и URL создавал, для блокировки. Может проще через L7 забабахать? В списке L7 есть же Microsoft. Сработает?


Автор: VladimirK
Дата отправки: 28-Май-18 в 10:05
Там используется алгоритм на основе сигнатур трафика того или иного приложения.
Сработает или нет, зависит от того не изменился ли алгоритм работы приложения со времени публикации сборки Трафик инспектора.


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru



Страница печати | Закрыть окно