Как решается ошибка возврата сети в Genshin Impact на ПК?
Можно смело заявлять о том, что Genshin Impact стала настоящим феноменом в игровом мире. Особенно она привлекла внимание западных геймеров, которые ранее редко интересовались данным жанром. Игра приносит миллионные прибыли своим разработчикам и продолжает развиваться. Это качественный продукт, показывающий очень высокую стабильность работы. После включения игры пользователи могут наслаждаться процессом, специфических проблем, зависаний или ошибок не наблюдается. Но это только в том случае, если она запустилась. Большая часть проблем происходит на этапе включения или обновления игры.
Как решить ошибку Genshin Impact Network Return Error на ПК
При попытке зайти в игру, возникает ошибка Network Return Error, отображается она в лаунчере и не дает возможности инициировать запуск. Это довольно распространенная проблема, которую активно обсуждают пользователи на тематических форумах. Разработчик знает о ней, но в большинстве случаев неполадка связана с сетевыми ошибками на стороне пользовательского оборудования или провайдера. Поправить это обновлением не получается, но не стоит беспокоиться, чтобы избавиться от данной проблемы, можно воспользоваться одним из способов, представленных ниже.
Способ 1: проверьте VPN подключение
Некоторые пользователи используют VPN соединение, это более безопасно и позволяет добиться высокой стабильности игрового процесса. Но некоторые программы для создания такого подключения рассматривают Genshin Impact как угрозу и блокируют ее. Следует сказать о том, что это происходит не сразу, изначально лаунчер использует один сервер для загрузки и проверки обновлений, а потом может его менять. Некоторые адреса подключения после смены могут оцениваться как ненадежные, в результате программа блокирует Genshin Impact доступ к ресурсам. Чтобы добавить игру в избранное, необходимо изучить функциональные возможности своего VPN. Каждая программа имеет свои уникальные настройки и фильтры, вам нужно исключить Genshin Impact из заблокированного списка.
Способ 2: установите приложение DNS Resolver
Довольно большая часть пользователей говорит о том, что проблема возникла на шлюзе DNS, после его перенастройки сбой исчез. Выполнить регулировку DNS можно вручную, но не все геймеры имеют желание проводить такие настройки самостоятельно. Это не обязательно, можно установить программу DNS Resolver и пользоваться ею, она практически полностью автоматизирует процесс.
Чтобы воспользоваться таким способом, выполните следующие действия:
- Перейдите по ссылке.
- Загрузите последнюю версию приложение и проведите ее установку.
- Нажмите значок настроек в самой программе после ее включения.
- Выберите 1.1.1.1 with WARP или 1.1.1.1.
- Попробуйте 2 параметра, какой сработает, на том и останавливайтесь.
Если после этого действия работа программы не наладилась, и ошибка продолжает наблюдаться, необходимо перейти к следующему способу.
Способ 3: настроить брандмауэр Windows
Задача стандартного брандмауэра заключается в том, чтобы фильтровать весь сетевой трафик. Это основа безопасности и защиты операционной системы. Брандмауэр выполняет очень много полезной работы, но иногда он блокирует доступ к сетевым ресурсам тех программ, которые не заслуживают этого. Если Genshin попадает под его фильтр, то игра не получает соединение с сетью интернет, а это уже вызывает ошибку Network Return Error. Выход есть, добавить приложение в список исключения, чтобы система защиты не блокировала ей доступ.
Для этого выполните следующие действия:
- Откройте поиск Windows в нижней части панели задач, рядом с меню Пуск.
- Введите в строке запрос «Разрешение взаимодействия с приложениями через брандмауэр».
- В открывшемся окне выберите пункт «Изменить параметры».
- В нижней части кликните на функцию «разрешить другое приложение».
- Нажмите «Обзор».
- Здесь необходимо найти файл «launcher.exe». Если настройка выполнялась по стандартному пути, то он находится здесь: C:\Program Files\Genshin Impact\. Если вы меняли его во время первичной установки игры, то он находится в папке, которую выбрали вручную.
- После того как нашли и выделили файл нажмите кнопку «Добавить».
- Повторите эту процедуру также и с «GenshinImpact.exe». Этот файл при стандартном пути загрузки находится здесь: C:\Program Files\Genshin Impact\Genshin Impact Game\. Или же там, где вы устанавливали игру вручную.
- Перезагрузите компьютер.
- Запустите Лаунчер и проверьте, осталась ли ошибка.
Данная проблема всегда указывает на сбой подключения, поэтому решать ее необходимо именно в этой стороне. Если вы используете сторонние антивирусные программы, которые могут блокировать сетевой доступ, то временно отключите их и попробуйте запустить игру. Если без антивируса все работает нормально, то следует добавить приложение в исключения, чтобы защита не ограничивала подключение к сети.
Пошаговая инструкция по настройке Wireguard VPN + DNSCrypt + DNS server (Unbound) + Pihole
Давно была идея сделать свой VPN сервер, для того чтобы «ходить» на ресурсы типа Linkedin. Со временем подумал, что неплохо было бы сделать еще и блокировку рекламы, а потом и DNS сервер. Простых инструкций в интернете я не нашел, поэтому со временем написал ее для себя. Возможно кому-то еще поможет.
- Подготовка системы
- Установка Wireguard
- Установка DNS-proxy
- Установка Pihole
- Установка Unbound
- Проверка и итоги
Суть задачи в том, чтобы сделать свой VPN и DNS сервер с шифрованным трафиком DNS и блокировкой рекламы через Pihole.
В качестве VPN сервера был выбран Wireguard, а DNS сервера — Unbound. По моему мнению, они одни из самых простых в настройке.
Для начала арендуем какой-нибудь VPS сервер, с хостингом за границей (к примеру https://fornex.com/).Достаточно сервера с 1 ядром, 2 Гигами оперативки и 15 Гб SSD диска. Я выбирал операционку Debian 11 без графической оболочки.
1. Первым делом меняем список репозиториев, на дефолтные для Debian 11.
nano /etc/apt/sources.list
Удаляем там все и вставляем эти строки:
deb http://ftp.debian.org/debian bullseye main contrib non-free deb-src http://ftp.debian.org/debian bullseye main contrib non-free
deb http://ftp.debian.org/debian bullseye-updates main contrib non-free deb-src http://ftp.debian.org/debian bullseye-updates main contrib non-free
Если у вас Ubuntu 20.04, то вот список репозиториев:
deb http://archive.ubuntu.com/ubuntu/ focal main restricted universe multiversedeb-src http://archive.ubuntu.com/ubuntu/ focal main restricted universe multiversedeb
http://archive.ubuntu.com/ubuntu/ focal-updates main restricted universe multiversedeb-src http://archive.ubuntu.com/ubuntu/ focal-updates main restricted universe multiversedeb
http://archive.ubuntu.com/ubuntu/ focal-security main restricted universe multiversedeb-src http://archive.ubuntu.com/ubuntu/ focal-security main restricted universe multiversedeb
http://archive.ubuntu.com/ubuntu/ focal-backports main restricted universe multiversedeb-src http://archive.ubuntu.com/ubuntu/ focal-backports main restricted universe multiversedeb http://archive.canonical.com/ubuntu focal partnerdeb-src http://archive.canonical.com/ubuntu focal partner
Далее обновляем систему:
apt update -y
apt upgrade -y
Если система не обновляется, то проблема возможно в файле /etc/resolv.conf
Нужно добавить там строку nameserver 8.8.8.8.
2. Ставим сначала VPN сервер. По моему опыту, самый быстрый и простой в настройке VPN сервер — это Wireguard. Для простоты и скорости, качаем скрипт:
curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh
Если нет curl, то ставим командой apt install curl
./wireguard-install.sh
Дальше все время нажимаем Enter и придумываем название для клиента. В конце будет QR код для настройки VPN с клиента на телефоне. Клиент на телефонах, к слову, так и называется — Wireguard. При повторном запуске скрипта создается второй клиент VPN. По умолчанию он сохраняется в корневую директорию и имеет формат .conf.
Проверяем работоспособность VPN сервера, перейдя на 2ip.ru. IP адрес на сайте 2ip должен совпадать с белым адресом нашего VPS сервера.
Для шифрования DNS трафика установим службу DNS-proxy.
Для работы службы шифрования DNS-proxy необходимо установить язык go (минимум версии 1.15):
sudo apt install wget software-properties-common apt-transport-https wget https://golang.org/dl/go1.17.linux-amd64.tar.gz sudo tar -zxvf go1.17.linux-amd64.tar.gz -C /usr/local/ echo "export PATH=/usr/local/go/bin:$" | sudo tee /etc/profile.d/go.sh source /etc/profile.d/go.sh echo "export PATH=/usr/local/go/bin:$" | sudo tee -a $HOME/.profile source source $HOME/.profile echo $PATH
Если в конце такой вывод с версией языка, значит все верно.
3. Далее качаем файлы для установки DNS-proxy:
git clone https://github.com/AdguardTeam/dnsproxy.git
если в системе нет утилиты git, то устанавливаем ее командой sudo apt install git
и компилируем программу:
cd dnsproxy
go build -mod=vendor
Можно выбрать различные варианты протоколов шифрования трафика, например DNS-over-TLS, DNS-over-QUIC, DNS-over-HTTPS и другие. Я выбрал DNS-over-HTTPS, т.к. этот вид шифрования не виден для провайдера.
./dnsproxy -u sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk
Этот ключ берется с инструкции проекта dnsproxy на github.com https://github.com/AdguardTeam/dnsproxy при желании можно указать другие виды шифрования, примеры указаны там же.
Затем правила для рекурсивного DNS:
sudo iptables -A INPUT -s 10.20.20.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A INPUT -s 10.20.20.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
Виртуальные ip адреса 10.20.20.0/24 меняем, на адрес вашей подсети Wirguard.
Чтобы сохранить маршруты ставим и настраиваем iptables-persistent
sudo apt-get install iptables-persistent
echo iptables-persistent iptables-persistent/autosave_v4 boolean true | sudo debconf-set-selections echo iptables-persistent iptables-persistent/autosave_v6 boolean true | sudo debconf-set-selections sudo apt install iptables-persistent -y sudo systemctl enable netfilter-persistent sudo netfilter-persistent save
4. Ставим Pihole для блокировки рекламы.
curl -sSL https://install.pi-hole.net | bash
После запуска скрипта выбираем виртуальный интерфейс нашего wireguard — wg0. Далее жмем Enter и в конце сохраняем пароль для веб интерфейса программы.
5. Переходим к установке и настройке своего DNS сервера.
Установим Unbound DNS:
sudo apt install unbound unbound-host -y Скопируем DNS записи: curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache
Создаем конфиг /etc/unbound/unbound.conf.d/pi-hole.conf
nano /etc/unbound/unbound.conf.d/pi-hole.conf
Туда копируем эту конфигурацию:
server: # if no logfile is specified, syslog is used # logfile: "/var/log/unbound/unbound.log" verbosity: 1 port: 5353 do-ip4: yes do-udp: yes do-tcp: yes # may be set to yes if you have IPv6 connectivity do-ip6: no # use this only when you downloaded the list of primary root servers root-hints: "/var/lib/unbound/root.hints" # respond to DNS requests on all interfaces interface: 0.0.0.0 max-udp-size: 3072 # IPs authorised to access the DNS Server access-control: 0.0.0.0/0 refuse access-control: 127.0.0.1 allow access-control: 10.20.20.0/24 allow # hide DNS Server info hide-identity: yes hide-version: yes # limit DNS fraud and use DNSSEC harden-glue: yes harden-dnssec-stripped: yes harden-referral-path: yes # add an unwanted reply threshold to clean the cache and avoid, when possible, DNS poisoning unwanted-reply-threshold: 10000000 # have the validator print validation failures to the log val-log-level: 1 # don't use Capitalisation randomisation as it known to cause DNSSEC issues sometimes # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details use-caps-for-id: no # reduce EDNS reassembly buffer size # suggested by the unbound man page to reduce fragmentation reassembly problems edns-buffer-size: 1472 # TTL bounds for cache cache-min-ttl: 3600 cache-max-ttl: 86400 # perform prefetching of close to expired message cache entries # this only applies to domains that have been frequently queried prefetch: yes prefetch-key: yes # one thread should be sufficient, can be increased on beefy machines num-threads: 1 # ensure kernel buffer is large enough to not lose messages in traffic spikes so-rcvbuf: 1m # ensure privacy of local IP ranges private-address: 192.168.0.0/16 private-address: 169.254.0.0/16 private-address: 172.16.0.0/12 private-address: 10.0.0.0/8 private-address: fd00::/8 private-address: fe80::/10
Виртуальный адрес access-control: 10.20.20.0/24 меняем на адрес своей подсети!
Ребутим сервер командой reboot и проверяем работу DNS сервера командами:
dig pi-hole.net @127.0.0.1 -p 5353
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353
В первом и третьем случае должен выдаваться статус NOERROR, во втором SERFAIL. Если выводы такие — то все супер.
Далее в браузере открываем веб интерфейс Pihole. Адрес будет такой же, как и адрес VPS сервера и /admin (пример http://185.18.55.137/admin). Переходим на вкладку настроек и делаем как на картинке:
Внизу еще можно поставить галочку Use DNSSEC и сохранить.
Ну и хорошо бы закрыть веб интерфейс Pihole чтобы его не брутили. Оставим доступ только из внутренней подсети:
iptables -A INPUT -s 10.55.55.0/24 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP
Также не забывает тут подставить свою виртуальную сеть вместо 10.55.55.0/24.
6. Чтобы протестировать все настраиваемые сервисы, переходим по ссылкам:
и https://www.dnsleaktest.com/ тут адрес DNS сервера должен совпадать с белым IP адресом нашего VPS сервера.
Для большей эффективности Pihole, можно добавить дополнительные источники с адресами для фильтрации мусорного трафика. Я добавлял эти:
Дополнительные списки можно скачать от сюда https://firebog.net/
Добавляется через веб интерфейс.
По итогу мы имеем свой VPN сервер за границей, соответственно и возможность посещать желаемые ресурсы, свой DNS сервер, с шифрованием трафика, а также блокировщик рекламы, что является приятным дополнением. Эффективность блокировки конечно не 100%, но почти вдвое больше чем изначально. Реклама блокируется не только в браузере, но и в приложениях телефона (например Avito).
IPS/IDS — системы обнаружения и предотвращения вторжений
Сегодня мы расскажем про такие системы, как IPS и IDS. В сетевой инфраструктуре они исполняют роль «полицейских», обнаруживая и предотвращая возможные атаки на серверы.
Эта инструкция — часть курса «Введение в сетевую безопасность».
Смотреть весь курс
Что такое IPS/IDS
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений. IPS, или Intrusion Prevention System, — система предотвращения вторжений. По сравнению с традиционными средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо более высокий уровень защиты сети.
Антивирус анализирует файлы, спам-фильтр анализирует письма, файервол — соединения по IP. IDS/IPS анализируют данные и сетевое поведение. Продолжая аналогию с хранителями правопорядка, файервол, почтовые фильтры и антивирус — это рядовые сотрудники, работающие «в поле», а системы обнаружения и предотвращения вторжений — это старшие по рангу офицеры, которые работают в отделении. Рассмотрим эти системы подробнее.
Архитектура и технология IDS
Принцип работы IDS заключается в определении угроз на основании анализа трафика, но дальнейшие действия остаются за администратором. Системы IDS делят на типы по месту установки и принципу действия.
Виды IDS по месту установки
Два самых распространенных вида IDS по месту установки:
- Network Intrusion Detection System (NIDS);
- Host-based Intrusion Detection System (HIDS).
Первая работает на уровне сети, а вторая — только на уровне отдельно взятого хоста.
Сетевые системы обнаружения вторжения (NIDS)
Технология NIDS дает возможность установить систему в стратегически важных местах сети и анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.
NIDS отличается от межсетевого экрана, или файервола. Файервол фиксирует только атаки, поступающие снаружи сети, в то время как NIDS способна обнаружить и внутреннюю угрозу.
Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети. Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые пакеты, что делает сеть уязвимой.
Хостовая система обнаружения вторжений (HIDS)
Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. HIDS лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.
Другие разновидности IDS по месту установки
Кроме NIDS и HIDS, доступны также PIDS (Perimeter Intrusion Detection Systems), которые охраняют не всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена Трампа».
Еще одна разновидность — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет обойтись без развертывания системы обнаружения на отдельном устройстве. Достаточно развернуть защиту на виртуальной машине, которая будет отслеживать любую подозрительную активность.
Виды IDS по принципу действия
Все системы обнаружения атак IDS работают по одному принципу — поиск угрозы путем анализа трафика. Отличия кроются в самом процессе анализа. Существует три основных вида: сигнатурные, основанные на аномалиях и основанные на правилах.
Сигнатурные IDS
IDS этой разновидности работают по схожему с антивирусным программным обеспечением принципу. Они анализируют сигнатуры и сопоставляют их с базой, которая должна постоянно обновляться для обеспечения корректной работы. Соответственно, в этом заключается главный недостаток сигнатурных IDS: если по каким-то причинам база недоступна, сеть становится уязвимой. Также если атака новая и ее сигнатура неизвестна, есть риск того, что угроза не будет обнаружена.
Сигнатурные IDS способны отслеживать шаблоны или состояния. Шаблоны — это те сигнатуры, которые хранятся в постоянно обновляемой базе. Состояния — это любые действия внутри системы.
Начальное состояние системы — нормальная работа, отсутствие атаки. После успешной атаки система переходит в скомпрометированное состояние, то есть заражение прошло успешно. Каждое действие (например, установка соединения по протоколу, не соответствующему политике безопасности компании, активизация ПО и т.д.) способно изменить состояние. Поэтому сигнатурные IDS отслеживают не действия, а состояние системы.
Как можно понять из описания выше, NIDS чаще отслеживают шаблоны, а HIDS — в основном состояния.
IDS, основанные на аномалиях
Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только имеет больший охват.
IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После тестового периода она готова к работе.
Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет аномалии. Аномалии делятся на три категории:
- статистические,
- аномалии протоколов,
- аномалии трафика.
Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности (объем входящего/исходящего трафика, запускаемые приложения и т.д.) и сравнивает его с текущим профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
Для выявления аномалий протоколов IDS-система анализирует коммуникационные протоколы, их связи с пользователями, приложениями и составляет профили. Например, веб-сервер должен работать на порту 80 для HTTP и 443 для HTTPS. Если для передачи информации по HTTP или HTTPS будет использоваться другой порт, IDS пришлет уведомление.
Также IDS способны выявлять аномалии, любую небезопасную или даже угрожающую активность в сетевом трафике. Рассмотрим, к примеру, случай DoS-атаки. Если попытаться провести такую атаку «в лоб», ее распознает и остановит даже файервол. Креативные злоумышленники могут рассылать пакеты с разных адресов (DDoS), что уже сложнее выявить. Технологии IDS анализируют сетевой трафик и заблаговременно предотвращают подобные атаки.
Межсетевые экраны
Защитите свои данные от кибератак и утечек.
Open Source проекты и некоторые вендоры на рынке IDS
Snort
Классическая NIDS — Snort. Это система с открытым кодом, созданная еще в 1998 году. Система Snort разрабатывалась как независимое ПО, а в 2008 году ее приобрела компания Cisco, которая теперь является партнером и разработчиком. Snort лучше подходит маленьким и средним компаниям. Утилита включает в себя сниффер пакетов, поддерживает настройку правил и многое другое. Snort — инструмент для тех, кто ищет понятную и функциональную систему предотвращения вторжений.
Suricata
Конкурент Snort на рынке среднего бизнеса — система с открытым исходным кодом Suricata, впервые представлена в 2010 году. Suricata — довольно молодая система, и это ее преимущество. В Suricata нет большого количества legacy-кода,также система использует более новые разработки, чем у конкурентов. Благодаря этому Suricata работает быстрее. Кроме того, разработчики позаботились о совместимости со стандартными утилитами анализа результатов. Это значит, что Suricata поддерживает те же модули, что и Snort. Она способна выявлять угрозы по сигнатурам и подходит для средних и больших компаний.
McAfee Network Security Platform
Если вы — большая компания, располагающая значительным бюджетом, можете рассмотреть McAfee Network Security Platform со стартовой ценой около $10 000. IDS блокирует огромное количество угроз, доступ к вредоносным сайтам, предотвращает DDoS-атаки и т.д. В силу монументальности McAfee Network Security Platform может замедлять работу сети, поэтому тут требуется решить, что более значимо — интеграция с другими сервисами или максимальная безопасность.
Zeek (Bro)
Полностью бесплатная IDS с открытым исходным кодом. Поддерживает работу как в стандартном режиме обнаружения вторжений, так и в режиме обнаружения вредоносных сигнатур. Zeek может также обнаруживать события и позволяет задавать собственные скрипты политик. Недостаток Zeek — сложность общения с инструментом, так как разработка ведется с упором на функциональность, а не графический интерфейс.
Дальнейшее развитие IDS
IPS и IDPS
IPS, или система предотвращения вторжения, — следующий шаг в развитии систем сетевой защиты. IPS сообщает об угрозе, а также предпринимает самостоятельные действия. Сегодня практически не осталось чистых IPS, рынок предлагает большой выбор IDPS (Intrusion Detection and Prevention Systems). IDPS выявляют атаки и принимают запрограммированные действия: Pass, Alert, Drop, Reject.
Правила IDPS
IDPS-системы допускают некоторый процент ложных отрицательных (false negative) и ложных положительных (false positive) реакций. Чтобы минимизировать ложные срабатывания, IDPS позволяют задать пороговые значения для реакций — например, установить значение допустимого увеличения трафика в будние дни. Администратор, ответственный за IDS, задает его в консоли управления.
К примеру, если текущий сетевой трафик ниже заданного порога, то он будет пропускаться (pass). Если трафик превышает порог, то на консоль поступит уведомление или тревога (alert). Пакеты, соответствующие заданным условиям (содержат вредоносный скрипт), будут отброшены (drop). Также консоль позволяет задать уровень угрозы— указать, насколько опасна та или иная угроза. Пакет может быть не только отброшен, но и отклонен (reject) с уведомлением адресата и отправителя. Кроме того, IDPS умеют отправлять письма ответственному лицу в случае угрозы.
Вместе с каждым правилом прописывается и дальнейшее действие. Например, не только прекратить дальнейший анализ пакета или отбросить его, но также сделать об этом запись в лог.
UTM — Unified Threat Management
UTM — это универсальный пакет утилит, сочетающий в себе множество мелких модулей защиты, своеобразный полицейский участок внутри сети. UTM бывают программными или аппаратными и, как правило, включают в себя сразу IDS, IPS, файервол, а зачастую и антивирус, прокси-сервер, почтовые фильтры, VPN и т.д. Объединенный контроль угроз — это единая система, поэтому не нужно платить за каждый модуль в отдельности. Вы экономите не только деньги, но и время на установку и настройку ПО — ключевое преимущество UTM.
В этом же заключается недостаток: UTM — единственная точка защиты, хоть и хорошо защищенная. Злоумышленники столкнутся не с несколькими системами, а только с одной, победив которую они получат доступ к сети.
DPI и NGFW
Файервол нового поколения — это следующий виток развития систем сетевой защиты. Если UTM набирали популярность с 2009, то файервол нового поколения — наши дни. Несмотря на то, что появление NGFW датируется тем же 2009 годом, распространялись они медленно. Главные отличия NGFW в том, что они открывают возможность DPI (Deep Packet Inspection) и позволяют выбирать только те функции защиты, которые нужны сейчас.
DPI — это глубокий анализ пакетов. Файервол нового поколения, который читает содержимое пакетов, перехватывает только те, что имеют запрещенное содержимое.
Где развернуть защиту
Если вы решаете установить в сеть защиту, будь то IDS/IPS, UTM или NGFW, встает вопрос, в каком месте ее ставить. В первую очередь это зависит от типа выбранной системы. Так, PIDS не имеет смысла ставить перед файерволом, внутри сети, а NGFW включает сразу все элементы, поэтому ее можно ставить куда угодно.
Система обнаружения вторжений может быть установлена перед файерволом c внутренней стороны сети. В таком случае IDS будет анализировать не весь трафик, а только тот, что не был заблокирован файерволом. Это логично: зачем анализировать данные, которые блокируются. К тому же это снижает нагрузку на систему.
IDS ставят также и на внешней границе сети, после файервола. В таком случае она фильтрует лишний шум глобальной сети, а также защищает от возможности картирования сети извне. При таком расположении система контролирует уровни сети с 4 по 7 и относится к сигнатурному типу. Такое развертывание сокращает число ложноположительных срабатываний.
Другая частая практика — установка нескольких копий системы обнаружения вторжений в критичных местах для защиты сети по приоритету важности. Также допускается установка IDS внутри сети для обнаружения подозрительной активности.
Место установки необходимо выбирать в соответствии с вашими требованиями к IDS, располагаемыми средствами и размерами сети.
Как настроить комплексную защиту?
Когда речь заходит о защите своих данных, сайтов и приложений, располагаемых в инфраструктуре облачного провайдера, сложно выбрать одно решение, которое решит все возможные проблемы. Но, если вы не хотите переплачивать, разумным решением могут стать комплексные продукты. Современные инструменты — к примеру, межсетевые экраны — включают набор базовых функций и целый список дополнительных инструментов для решения ваших задач.
Один из таких — аппаратный межсетевой экран Fortinet FG-100E, использование которого предлагается для повышения сетевой безопасности выделенных серверов и виртуальных машин в публичном облаке. Межсетевые экраны уже смонтированы в наших дата-центрах, соответствующих уровню Tier III, подключены к локальной сети и интернету, Selectel обеспечивает их электропитание и обслуживание. Все, что требуется, — в простом интерфейсе настроить межсетевой экран в несколько кликов.
Базовые функции Fortinet FG-100E включают Firewall и VPN. Пропускная способность которых ограничена только производительностью оборудования. Кроме того, клиенты Selectel могут «прокачать» функции межсетевого экрана за счет дополнительных подписок. Они позволяют противодействовать актуальным угрозам и оптимизировать траты на инфраструктуру для системы защиты.
Для начала работы с межсетевым экраном необходимо заказать его в панели управления.
- Перейдите в панели управления в раздел Сетевые сервисы → Межсетевые экраны.
- Нажмите кнопку Заказать межсетевой экран.
- Выберите локацию (доступные модели устройств в локациях могут отличаться).
- Выберите устройство.
- Нажмите кнопку Оплатить.
- В открывшемся окне укажите период оплаты и нажмите кнопку Оплатить услугу.
- В поступившем тикете укажите информацию о блоке IP-адресов, который надо защитить межсетевым экраном.
Заключение
IPS/IDS — важная часть защиты современной инфраструктуры. Функциональность можно настроить самостоятельно или арендовать межсетевой экран с уже встроенной системой обнаружения вторжений. О самостоятельной настройке IDPS расскажем в следующем тексте курса.
Межсетевой экран: что такое и как работает
Файл hosts: где находится и как его изменить
Файл hosts — текстовый документ, который содержит в себе информацию о домене и IP-адресе, который ему соответствует. Файл hosts появился во времена зарождения Интернета (ARPANET) и служил неким маршрутизатором, пока на замену ему не пришла служба DNS. Но до сих пор он не утратил важности и по-прежнему используется как инструмент, который обладает приоритетом перед обращением к DNS-серверам.
Зачем нужен файл hosts
Предположим: вы зарегистрировали домен и привязали его к Hosting Linux. Но чтобы увидеть сайт, вам нужно дождаться делегирования домена на DNS-серверы. В файле hosts вы можете указать ваш домен и IP-адрес хостинга, а затем открыть браузер и зайти на ваш сайт, не дожидаясь делегирования домена. Также с его помощью вы можете заблокировать на локальном компьютере доступ к определённому сайту, указав соответствующую запись.
Где находится файл hosts
Путь к папке, где лежит файл hosts, зависит от операционной системы, которая установлена на вашем компьютере:
- Windows XP, 2003, Vista, 7, 8, 10 — c:\windows\system32\drivers\etc\hosts
- Linux, Ubuntu, Unix, BSD — /etc/hosts
- macOS — /private/etc/hosts
Редактировать файл etc hosts нужно от имени администратора, иначе вы не сможете сохранить внесённые изменения.
Как внести изменения в файл hosts
Ниже мы рассмотрим, как редактировать и как сохранить изменения в файле hosts. Важно открыть файл с правами администратора, иначе система не даст вам его сохранить. Выберите вашу операционную систему и следуйте инструкции или посмотрите видеоинструкцию:
Редактирование файла hosts в Windows 7
Запустите Блокнот или любой другой редактор от имени администратора. Откройте Пуск, найдите нужный редактор, нажмите по нему правой кнопкой мыши и выберите Запуск от имени администратора: Как отредактировать файл hosts
В меню «Файл» нажмите Открыть и перейдите в каталог, в котором расположен файл hosts. Измените тип файла на «Все файлы»:
Выберите файл hosts и откройте его.
Добавьте в конце файла необходимую запись в формате:
123.123.123.123 faq-reg.ru www.faq-reg.ru
- 123.123.123.123 — IP-адрес вашего сервера или хостинга,
- faq-reg.ru — имя вашего домена.
Сохраните изменения в файле.
Теперь вы можете открыть ваш сайт в браузере, не дожидаясь обновления DNS-серверов.
Редактирование файла hosts в Windows 8, 10
Чтобы изменить файл hosts в виндовс 10 (8), выполните следующие действия:
Запустите Блокнот или любой другой редактор от имени администратора. Для этого найдите его в Пуске, нажмите по нему правой кнопкой мыши и выберите Запуск от имени администратора:
В меню «Файл» нажмите Открыть и перейдите в каталог, где находится файл hosts. Измените тип файла на «Все файлы»:
Выберите файл hosts и откройте его.
Добавьте в конце файла необходимую запись в формате:
123.123.123.123 faq-reg.ru www.faq-reg.ru
- 123.123.123.123 — IP-адрес вашего сервера или хостинга,
- faq-reg.ru — имя вашего домена.
Сохраните изменения в файле.
Теперь вы можете открыть ваш сайт в браузере, не дожидаясь обновления DNS-серверов.
Редактирование файла hosts в Linux, Unix
В Linux файл hosts находится в папке etc. Чтобы отредактировать его:
Введите в терминал linux команду hosts:
sudo nano /etc/hosts
Добавьте в конце файла необходимую запись в формате:
123.123.123.123 faq-reg.ru www.faq-reg.ru
- 123.123.123.123 — IP-адрес вашего сервера или хостинга,
- faq-reg.ru — имя вашего домена.
Сохраните изменения в файле.
Теперь вы можете открыть ваш сайт в браузере, не дожидаясь обновления DNS-серверов.
Файл hosts в Ubuntu редактируется так же, как и во всех Unix-системах.
Редактирование файла hosts в MacOS
Файл hosts в Mac OS расположен в каталоге: /private/etc/hosts. Чтобы изменить его:
Запустите терминал с помощью горячих клавиш: Command (⌘) + T или через Spotlight.
Введите команду:
sudo nano /etc/hosts
Нажмите Enter:
Добавьте в конце файла необходимую запись в формате:
123.123.123.123 faq-reg.ru www.faq-reg.ru
- 123.123.123.123 — IP-адрес вашего сервера или хостинга,
- faq-reg.ru — имя вашего домена.
Сохраните изменения в файле.
Теперь вы можете открыть ваш сайт в браузере, не дожидаясь обновления DNS-серверов.
Видеосправка. Как изменить файл hosts
Также вы можете заблокировать определенный сайт через файл hosts, воспользовавшись инструкцией ниже:
Блокировка доступа к сайту через файл hosts
Доступ к сайту также можно ограничить для локального компьютера. Для этого укажите адрес страницы (домен) в файле hosts. Заблокировать IP нежелательного сайта не требуется. Блокировка осуществляется по локальному хосту с фиксированным IP (127.0.0.1):
Откройте файл hosts от имени администратора на своём ПК.
В указанной на скриншоте строке укажите IP-адрес 127.0.0.1 и через пробел адрес нежелательного сайта. Чтобы заблокировать несколько сайтов, повторите действие в следующей строке. В примере ниже в файле hosts отказано в доступе (заблокирован доступ) к сайтам «vk.com» и «youtube.com»:
Сохраните изменения.
Готово! Доступ к сайтам будет ограничен на определенном ПК.
Оригинальный файл hosts и как его восстановить
Скачать содержимое файла hosts можно на разных ресурсах. Но мы не рекомендуем делать это, так как файл может быть заражен.
Файл hosts по умолчанию есть в каждой операционной системе, но он может быть скрыт для просмотра. Следуя инструкциям выше, вы сможете его открыть и отредактировать. Если вы удалили его, то просто создайте текстовый файл без расширения в нужной папке.
По умолчанию файл hosts выглядит следующим образом:
Для Windows
# Copyright (c) 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handle within DNS itself. # 127.0.0.1 localhost # ::1 localhost
127.0.0.1 localhost 127.0.1.1 user # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters
где user (во второй строке) — это имя вашего компьютера.
## # Host Database # # localhost is used to configure the loopback interface # when the system is booting. Do not change this entry. ## 127.0.0.1 localhost 255.255.255.255 broadcasthost ::1 localhost
Удалите текущее содержимое из файла hosts, вставьте текст по умолчанию и сохраните изменения.
Теперь вы знаете, как должен выглядеть файл hosts и как с ним работать.
Помогла ли вам статья?
Спасибо за оценку. Рады помочь