» Agnitum Outpost Firewall Pro

Народ, помогите пожалуйста.
Я уже писал как-то, что из-за OP MySQL грузится на 20 сек. больше.
А теперь вообще доступ к MySQL пропала...
Стартую Денвер, жду из-за ОР целых 20 сек, вместо 3-х, пытаюся достучаться http://localhost/Tools/phpmyadmin/index.php а загрузка просто виснет и не заканчивается. Если выгрузить ОР, то всё моментально грузится.

Как решить сей вопрос?

SLasH
Почти тоже и у меня ,только кроме денвера он вообще вырубает доступ всем прогам которые хотят установить какое-то соединение ,ни черта не понимаю ,перечитал мануал ,дык там всё так гладко написано про Режим Обучения ,мол если OP видит процесс который ломится в сеть ,то он каждый раз ОБОВСЁМ спрашивает у юзверя ,на практике же в последних билдах ,этого почему-то не происходит ,хотя и автоматическое создание правил вырублено ,и стоит этот самый Режим Обучения ,вообщем хелп!

Pasha13
А в логах что? Особенно в "Запрещённых".
Надо посмотреть, может работа блокируется каким-либо глобальным правилом.

В запрещёных логах ничего нет...

SVicUL

Цитата:

Существует ли плагин, который ограничивает количество (регулирует максимальное число) соединений по портам?

Нет такого плагина.

Eliza
Цитата:

Антивирусник периодически сообщает мне об атаках и блокирует их

Антивирусник с функцией фаера? Мда...
Цитата:

Да, так вот, avast! сообщает об атаках, а смотрю Журнал сабжа - там ничего о них не сказано, ноль атак - это почему?

В Вашем случае всё элементарно просто. Ситуация такова. Удаленная машина-зомби, на котором уже сидит троян, ищет соратников, используя уязвимые порты и службы Винды. Так вот. Ваш антивирус, имеет свою базу, в которой прописаны возможные атаки и т.д. и их описание, а затем анализируя сетевой трафик, видит, что был скан одного или нескольких уязвимых портов и вежливо сообщает об этом пользователю. Вы это видите в логах самого антивирусника. У Аутпоста несколько иное понятие о сетевых атаках. Список явных сетевых атак, котороые может определять Аутпост Вы сможете легко посмотреть здесь : Детектор Атак - Свойства - Дополнительно - Список атак - Редактировать. В Вашем случае Аутпост не видит явную сетевую атаку, а считает это обычным сканированием порта/портов с удаленной машины. Поэтому в Детекторе атак Вы ничего не увидите. Но есть возможность просмотреть просканированные порты и подозрительные пакеты. Для этого нужно открыть журнал Outpost - модули - Детектор атак. Все то же самое Вы найдете там. Но есть варианты, когда ничего такого Вы не увидите. Причина следующая. Многие программы, анализирующие сетевой трафик прописывают свои собственные драйвера в систему и анализируют сетевой траффик в
обход драйвера Outpost, что противоречит инструкциям установки Outpost. Многое можно сказать по этому поводу. Это все вкратце. Поэтому во всех программах, имеющих возможность анализа сетевых пакетов, эту функцию нужно отключать. http://forum.five.mhost.ru/kb2/ - самый последний вопрос.

Цитата:

Боже... (хватается за голову)... никогда не осилить мне этой премудрости...

Хорошая настройка фаера - э то тонкая настройка с конретными прописями IP и т.д., требующая некоторых знаний и времени. Для простого пользователя на домашней машине вполне хватит стандартных настроек, которые ОР ставит сам, при установке.

waxyman

Цитата:

Сталкивался ли кто с такой ошибкой. И какие методы ее лечения.

Если не ошибаюсь, то C:\Program Files\Agnitum\Outpost Firewall и удалить папку Log

Pasha13

Цитата:

FireFox он в сеть не пускает ,IE тоже

Человек из Агнитума сказал, что нечто похожее было недавно в неправильных обновлениях правил. Но если Вы говорите, что автообновление правил выключено, то причина может быть в чем угодно. Попробуйте закачать последний доступный билд дистрибутива.

sayanvd

Цитата:

Служба "Outpost Firewall Service" неожиданно прервана. Это произошло (раз): 1.
The Outpost Firewall Service service terminated unexpectedly.
It has done this 1 time(s)."

Да, действительно, трабла известная. Но я не сторонник менять настройки реестра. А ошибка эта связана с механизмом закрытия сервисов/программ Винды.
Цитата:

Эта ошибка регистрируется каждый раз при перезагрузке или выключении ПК. Версии OF разичные, начиная с 2.xx. ОС - Win XP SP2.

Вот именно поэтому и существует во вcех версиях ОР v2x-3.0 огромная дыра в безопасности :
Цитата:

по теории мы имеем ничем и никак абсолютно незащищенную систему в течении 20 секунд. Ключ в реестре: WaitToKillServiceTimeout=20000(мс), Хотя, как показали тесты, в реальности этот диапазон снижается.

- все это подробно я написал на Неофициальном Русском Форуме Outpost - http://forum.five.mhost.ru/showthread.php?t=2549&page=16&pp=5 и только тогда, когда я поднял шум на английском официальном форуме насчет этого, разработчики признали этот баг и вроде как выправили и залатали дыру в первом же билде v3.5, но проверить не могу, у меня еще пока v3 стоит, т.к. не нравятся мне все эти бета-релизы, которые Агнитум называет официальными.
sayanvd - какая версия у Вас. Сможете проверить у себя в локальной сети это в двух вариантах?
1. с изменением параметров реестра
2. без изменений
А вообще инфа, которую Вы представили, довольно любопытная.

SLasH, данная ситуация вполне реальна. И может быть связана с адресом localhost:loopback:127.0.0.1 или контролем компонентов. А вообще тут детально разбираться нужно. А пробовали в правилах для этой программы прописать фичу "Игнорировать контроль компонентов"?

orvman
Раз уж Вы здесь, опять попрошу выложить полный набор правил для svchost от Paranoid2000 или дать ссылку, иногда правила для DNS из руководства не хватает.

Outpost Firewall Pro ver. 2.5.369.4608 (369)
Дистрибутив скачан с офсайта. После установки смотрим Параметры модуля "Детектор атак"-
Дополнительно-Исключения ("Укажите удаленные узлы и порты, чьи информационные пакеты не будут рассматриваться как вредоносные")
И находим здесь: (порты UDP) Порт 31337 (Back Orifice). Как это понимать такие предустановки?

Добавлено:
И вот еще вопросик
В настройках Аутпоста созданно правило для alg.exe
Правило 1 (Allow ALG Redirect):
Где протокол TCP
и Где направление Входящее
и Где удаленный адрес 127.0.01 (255.255.255.255)
Разрешить эти данные
и Включить динамическую фильтрацию (ALG)
Правило 2 (Application Layer Gateway Service):
Где протокол ТСР
и Где направление Исходящее
и Где удаленный порт FTP
Разрешить эти данные
и Включить динамическую фильтрацию (ALG FTP)
Поясните, плиз, что это за приложение, за что отвечает, нужно ли пускать его в Интернет?

ivanovand
Насколько я помню, это правила для службы "Брандмауэр Windows". Правила вроде не удаляются, так что лучше их отключить галочкой, как и сам этот "брандмауэр": если есть Outpost, то зачем он нужен?

Viewgg
Он у меня давно отключен. Спасибо за инфу пошел дальше ковырять правила
Скоро вернусь с вопросом

Вернулся...
В Журнале Аутпоста фигурирует процес SYSTEM, это сам Аутпост или что там еще? и зачем он ломиться на удаленный 53 (ДНС)?

orvman

Цитата:

А пробовали в правилах для этой программы прописать фичу "Игнорировать контроль компонентов"?

Тока что попробовал — класс, всё получилось...
ОГРОМНОЕ тебе спасибо !!

Скажите, пожалуйста, а как себя будет вести Outpost Firewall 3.5 при одновременной работе с Касперский 6?
Что-то пересмотрел предыдущую ветку в версии для печати - там были только проблемы Касперский 5 + Outpost Firewall. А как на счёт Касперский 6?

Цитата:

В Журнале Аутпоста фигурирует процес SYSTEM, это сам Аутпост или что там еще? и зачем он ломиться на удаленный 53 (ДНС)?

System - это один из псевдопроцессов, которые показывает Outpost, что он значит, ясно из названия - системный процесс, который нельзя однозначно определить. Есть и другие псевдопроцессы, об этом написано в руководстве (см. шапку). На 53 порт он стучится, скорее всего, чтобы превратить URL в IP (обычный DNS ).

Viewgg
Понял, спасибо

Создал правила для DNS для каждого приложения, прописал адрес сервера (195.46.116.1). Работает. Но при попытке попасть на некоторые сайты, браузер обращается также на удаленный 53 порт, но уже на другой адрес (195.46.96.1). Если не пускать - сайт не грузит. Я так понимаю, нужно этот второй адрес в правило добавлять? Как можно узнать точный список адресов ДНС сервера, чтобы сразу добавить в правило и быть уверенным, что никаких "лишних" адресов не добавил?

ivanovand
Во-первых, обычно бывает два DNS-сервера у провайдера, надо их узнать коммандой ipconfig -all, прописать их в правила Outpost, остальную DNS-активность можно запретить.

Цитата:

Создал правила для DNS для каждого приложения

Так можно, но мне кажется, это очень муторно. По-моему, проще воспользоваться системным Allow DNS Resolving (UDP), разрешив DNS только на сервера провайдера.

Viewgg

Цитата:

Так можно, но мне кажется, это очень муторно.

Я исходил из Руководства по созданию безопасной конфигурации (в шапке), там предлагается:

Цитата:

добавление DNS правила для каждого приложения.
Преимущества: Новые приложения теперь будут нуждаться в двух правилах (DNS правило, плюс обычное правило), тем самым это уменьшит риск случайно предоставить доступ подозрительным программам. Злонамеренные программы, пытающиеся создать несанкционированное пользователем скрытое подключение, теперь встретят дополнительное препятствие, пытаясь получить необходимые IP адреса. Они могут быть сбиты с толку, полагая, что сетевое соединение недоступно и находиться в "спячке", до тех пор, пока оно не появится. Троянские программы, которые используют только DNS протокол, не имея возможности воспользоваться системным правилом, будут теперь нуждаться в специальном правиле. Это единственный вариант, который позволит блокировать DNShell leaktest (_ww.klake.org/~jt/dnshell/) и аналогичные эксплоиты.

Или это лишнее и хватит указания адресов ДНС-сервера в одном (глобальном) правиле?

ivanovand
Там написаны оба варианта, и разбираются плюсы и минусы каждого. Второй вариант (тот, что я написал) тоже годится, он вполне безопасен, и настраивать проще.

Добавлено:
ivanovand
Вот.
Согласитесь, DNS-трафиком на сервера провайдера трояны мало что добьются!

Уважаемые!
Объясните что происходит - с прошлого года работал с Аутпостом и все было нормально. Но со вчерашнего дня он стал выдавать мне сообщения, типа: "Сетевой доступ такому-то блокирован. Такой-то и такой-то изменил область памяти". При этом блокируется ЛЮБОЕ приложение, пытающееся попасть в сеть. Полная проверка на вирусы и anti-spyware сканирование ничего не дали - все чисто. Однако доступа в сеть я так и не получаю. Как с этим можно бороться и что я сделал не так?
Заранее спасибо

Viewgg

Цитата:

Согласитесь, DNS-трафиком на сервера провайдера трояны мало что добьются!

Была у меня такая мысля, но т.к. я в этих вопросах не разбираюсь пытался найти что-нибудь по этому вопросу в сети - ничего не нашел. Может объясните, что трояны могут все же сделать в этом случае.

Так! Обновился наконец на свежак и я. Пока полет нормальный за исключением двух почти косметических мелочей:
1. При каждой загрузке системы Аутпост ломится в сеть несмотря на то что я ему это запрещаю всевозможными способами ( отключив все автоматические обновления, проверки и т. п. ,
создав запретительные правила, просто поставив в запрещеные приложения). Тем не менее прикаждом старте системы получаю окошко с предложением выбрать действие.
Может это теперь норма?
2. При перезагрузке и выключении компа после проигрывания системной музыки раздается "бам" , как при выходе из Аутпоста вручную. Если убрать его предварительно ctr+alt+del то все хоккей.
Может это тоже новая фича?

ivanovand
Ну, давайте думать. Единственное, что может сделать троян, - это посылать трафик на сервера DNS провайдера. Разве что этот трафик будет очень большой и сильно зафлудит сеть, хотя это маловероятно. Ну, можно придумать абстрактный тест, который будет говорить, что есть уязвимость в DNS. В принципе, этот вариант вполне разумен, хотя первый может быть безопаснее.
Worster
Это такая функция Outpost - блокировать приложение, если память его была изменена другим процессом, появилась, кажется, в третьей версии. Включается и выключается она галочкой в настройках. Прежде всего, надо выяснить, кто именно меняет память процессов: если вирус, снести его, если что-то нужное, то можно там же разрешить этому процессу менять память других. Для начала надо найти антивирус, отслеживающий память процессов в режиме реального времени, и помониторить им, кто же злодействует. Кстати, не стоит ли каких-нибудь дефрагментаторов/оптимизаторов оперативной памяти (типа MemBooster и прочих)? Это вполне может быть кто-то из них...

AlexanderFirst
Цитата:

При каждой загрузке системы Аутпост ломится в сеть несмотря на то что я ему это запрещаю всевозможными способами

В автозагрузке винды глянь, у тебя OutpostFeedBack не включен?

compag

Точно, не в бровь- а в ...! Стоит зараза! Раньше не встречал.


Добавлено:
PS: Задизэйблил- не помогло.

AlexanderFirst
Цитата:

При перезагрузке и выключении компа после проигрывания системной музыки раздается "бам" , как при выходе из Аутпоста вручную. Если убрать его предварительно ctr+alt+del то все хоккей.
Может это тоже новая фича?

Мне кажется у тебя не успевает завершиться нормально сервис. У мелкософта для таких случаев тулза есть, User Profile Hive Cleanup Service , если надо могу прямую ссылу дать, там валидация требуется, а почитать про нее тут можно, на английском правда. Вкратце она коректно все службы завершает. Так что не только с аутпостом проблем не будет

Viewgg
Ок. Спасибо за разъяснения. Думаю, что системного правила для ДНС будет достаточно. Особенно учитывая, что мне часто приходиться менять города и регионы России и постоянно прийдется прописывать новые адреса в правилах для каждого приложения - вариант с системным правилом подходит больше.
Еще раз спасибо!

После установки и устойчивой работы спустя 2 месяца перестал открываться интерфейс, хотя иконка в трее есть и программа работает. После удаления\переустановки - та же петрушка ( Что это было ?

compag

Цитата:

если надо могу прямую ссылу дать

Буду признателен.

AlexanderFirst
Цитата:

PS: Задизэйблил- не помогло.

Комп рестартани

ps Личку смотри, отправил

rote92
Пробуем это. Если не помогает, скорее всего, проблемы с ситемой в целом.

compag

Цитата:

Комп рестартани

Рестартнул и не раз- не проходит. Зато один раз беззвучно перезагрузился , получив сообщение: Вы хотите остановить службу и закрыть приложение?
Так что по пункту 2 кажется ты прав.


Может где еще автозагрузка запрятана, хотя в сеть хочет сам outpost.exe.

Повторюсь...
Скажите, пожалуйста, а как себя будет вести Outpost Firewall 3.5 при одновременной работе с Касперский 6?
Что-то пересмотрел предыдущую ветку в версии для печати - там были только проблемы Касперский 5 + Outpost Firewall. А как на счёт Касперский 6?