Kaspersky
Solved

Доступ к сайтам с самоподписанными сертификатами.

  • 27 January 2020
  • 8 replies
  • 805 views

Userlevel 1

KES 11.2.0.2254

Есть в сети шлюз построенный на OPNsense с доступом по HTTPS с самоподписанным сертификатом. Касперский блокирует доступ к админке. Как настроить для исключения этого сайта из проверок или сделать сертификат доверенным?

Пробовал:

  1. Занёс сайт (192.168.0.1) в доверенные домены (общие параметры - параметры сети - доверенные домены)
  2. Занёс сайт (192.168.0.1) в доверенные веб-адреса (базовая защита - защита от веб-угроз - настройка - доверенные веб-адреса)
  3. Разрешил доступ к сайту  (192.168.0.1)  при веб-контроле (контроль безопасности - веб-контроль)
  4. Добавил сертификат в доверенное хранилище (добавил сертификат в “Доверенные отношения в предприятии” и занёс его в список доверенных: общие параметры - исключения - исключения из проверки и доверенные программы - настройка - доверенное системное хранилище сертификатов)

Ничего не помогло. Касперский блокирует переход на сайт без возможности проигнорировать его предупреждение.

icon

Best answer by Demiad 27 January 2020, 09:38

Хочу отметить, что @Katbert решение как @Chikabom приводит в другой теме со скриншотом:
https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/kes11-proverka-zashchishchennyh-soedineniy-kak-zadat-isklyucheniya-po-ip-1621?postid=9091

View original

8 replies

Userlevel 3
Badge +1

@Jack-B Привет. Добавь браузер с которого пытаешься зайти в админку, в доверенные программы, затем в настройках у этой программы отметь “Не проверять сетевой трафик”, ну а после уже добавляешь необходимый тебе ip. (ПКМ на политике - общие параметры - параметры сети - доверенные программы - добавить)

Userlevel 1

@Jack-B Привет. Добавь браузер с которого пытаешься зайти в админку, в доверенные программы, затем в настройках у этой программы отметь “Не проверять сетевой трафик”, ну а после уже добавляешь необходимый тебе ip. (ПКМ на политике - общие параметры - параметры сети - доверенные программы - добавить)

Такое суровое решение сродни удалению антивируса вообще. Браузер по сути один из основных источников опасности и отключение контроля над ним слишком большая дыра в безопасности ИМХО.

Userlevel 3
Badge +1

контроль отключается не со всего браузера, а с отдельного IP адреса и порта, к сожалению, как добавить ещё в исключения по IP адресу мне не известно

Userlevel 5
Badge +4

@Jack-B Привет. Добавь браузер с которого пытаешься зайти в админку, в доверенные программы, затем в настройках у этой программы отметь “Не проверять сетевой трафик”, ну а после уже добавляешь необходимый тебе ip. (ПКМ на политике - общие параметры - параметры сети - доверенные программы - добавить)

Такое суровое решение сродни удалению антивируса вообще. Браузер по сути один из основных источников опасности и отключение контроля над ним слишком большая дыра в безопасности ИМХО.

Аналогичная задача стояла на ряде ip с самоподписанными отключить проверку.

Пробовал все то что у тебя в переписке - ничего не помогло.

Я вышел из ситуации так, минимизировав риски по моему мнению

  1. Создал отдельную группу где находятся именно те ПК, у которых необходимо отключить инспекцию (а не на всех);
  2. Создал отдельный профиль политики для группы, созданной в п.1, на который в последствии будет применен профиль политики по ряду правил “без проверки защищенных соединений” в моем случае;
  3. Отключил опцию “Проверять защищенные соединения”.

Для наглядности привел скрин профиля политик, общий вид, без частностей… Меня такой вариант устраивает. 

 

Userlevel 7
Badge +5

Хочу отметить, что @Katbert решение как @Chikabom приводит в другой теме со скриншотом:
https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/kes11-proverka-zashchishchennyh-soedineniy-kak-zadat-isklyucheniya-po-ip-1621?postid=9091

Userlevel 1

Хочу отметить, что @Katbert решение как @Chikabom приводит в другой теме со скриншотом:
https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/kes11-proverka-zashchishchennyh-soedineniy-kak-zadat-isklyucheniya-po-ip-1621?postid=9091

Я надеялся что есть вариант с доверенным сертификатом, но этот вариант тоже работает и достаточно неплох. Не знал что в разделе доверенных программ есть такие дополнительные опции.

У меня подобная проблема случилась с pSense, тоже касперский перестал 

пускать в админку.

Нашёл такое решение, у нас есть сайт с собственным доменом xxx.com

Хост с pFsence называется pfsence.xxx.com

В настройках KES 11 сделал следующее:

Настройка - Общие параметры - Параметры сети - <Доверенные домены> добавил

наш домен *.xxx.com 

Заработало, кривовато, но работает, по ip-адресу касперский всё так же не пускает,

а вот, если в браузере набрать pfsence.xxx.com, то касперский пропускает,

остаются только сообщения браузера о не доверенном сертификате, которые можно игнорировать. 

 

Здравствуйте.

На ПК установлен 

Имя:                                               Kaspersky Endpoint Security 11.1.0 для Linux
Версия:                                            11.1.0.3013


При открытии в браузере FireFox сайта с самоподписным сертификатом появляется окно Kaspersky … с предупреждением в котором я подтверждаю надежность сертификата, после чего страничка открывается. Через короткое время окно появляется вновь.

Добавление настроек в задачу Web_Threat_protection:

TrustedAddresses.item_0000=url.address
TrustedAddresses.item_0001=https://url.address
TrustedAddresses.item_0002=https://url.address/*

где url.address - адрес сайта в адресной стоке браузера

проблему не решает.

Прошу подсказать как сделать так чтобы окно с предупреждением о самоподписном сертификате не появлялось вновь и вновь после того как я один раз сказал программе что доверяю сертификату ?

Reply