Антивирус блокирует легитимный трафик с DNS ловушки или DNS журналов репутации - TS Solution

Антивирус блокирует легитимный трафик с DNS ловушки или DNS журналов репутации

Симптомы
  • Антивирус блокирует легитимный трафик с DNS ловушки или DNS репутацией журналами.
  • Многие журналы Антивируса становятся созданы на DNS ловушку и DNS репутации с защитой «REP.ikjuju» и «REP.ikktgp».
Причина

Проблема в питании вредоносного URL подписи вызывает законный веб-сайты блокируются.

Решение

Check Point определил проблемные подписи и удалить их из базы данных.

Есть два варианта решения вопроса:

Опция 1: 

Подключение к шлюзу безопасности через SSH в режиме Эксперт:

  1. Перейдите в папку Anti-Bot:
    [Expert@HostName]# cd $FWDIR/amw/update/cur/ 
  2. Удалить старый файл:
    [Expert@HostName]# rm urlrep_small.eng 
  3. Creat пустой новый файл:
    [Expert@HostName]# touch urlrep_small.eng
  4. Загрузка подписи:
    [Expert@HostName]# fw load_sigs

 

Вариант 2: 

1. На профиле AV заранее отключить DNS Trap:


2. В закладке предотвращения угроз в списке защиты найти защиту «URLs with Malware» и установите Detect


3. Установить политику безопасности на соответствующих шлюзах безопасности.

4. Триггер механизм обновления Антивируса и Анти-бот (оба должны быть выполнены):

Подключение к шлюзу безопасности с помощью SSH в экспертном режиме, а затем:

Для Anti-Bot файла:

  1. # cd $FWDIR/amw/update/ 
  2. Edit the file next_update:
    Change the first row from any number to 1
  3. Run: # watch -n 1 ls -lh 
  4. Wait for the size of the next_update file to change from 13kb to 21kb. This should take up to two minutes.

 

Для файлов Антивирус:

  1. # cd $FWDIR/amw_kss/update/ 
  2. Edit the file next_update:
    Change the first row from any number to 1
  3. Run: # watch -n 1 ls -lh
  4. Wait for the size of the next_update file to change from 13kb to 21kb. This should take up to two minutes.

5. Возвращаются изменения, выполненных на шаге 1 и 2