» Agnitum Outpost Firewall

ivanovand
Цитата:

Если какая-нибудь программа/человек полезет извне в мой комп и не создано для него правила - ОР его отсечет, так?

да, конечно. если правила созданы правильно, то отсечет. если в правилах ошибка, которой может воспользоваться злоумышленник, то не отсечет, то есть все зависит от того, насколько правильно будут настроены правила для приложений и системные правила.
Цитата:

Что есть пакетный фаервол?

грубо говоря, различие пакетного фаера от анализатора приложений заключаются в уровне обработки пакетов. пакетный фаер работает по принципу если пакет протокол такой-то идет c адреса такого-то порта такого то на удаленный адрес такой-то порт такой-то то его надо пропустить/блокировать, в то время как анализатор приложений работает по принципу если приложение такое-то отправляет пакет такой-то c порта такого-то на удаленный адрес такой-то порт такой то его надо пропустуть/блокировать. таким образом пакетные фаеры нужно использовать на сетевых серверах, где необходимо контролировать транзитные пакеты от разных пользователей внутри наружу, ну и извне внутрь. а анализаторы приложений нужно использовать на рабочих станциях, так как пакеты привязываются к приложениям и можно одному приложению запретить ходить в инет, а другому нет. усек? или поллитра надо?:))

Ilich Ramiras

Цитата:

усек? или поллитра надо?)

Спасибо! Усек. Хотя для закрепления можно
Вот последние вопросы:
1) Параметры - Подключаемые модули - Attak Detection
Интересуют пункты - Блокировка атак и ДОС атака.
Что значит "блокировать атакующего", "подсеть атакующего", "блокировать локальный порт"?
2) Параметры - Системные - Общие правила
Где бы достать информацию, чтобы разобраться с этими параметами - зачем, как и почему.
3)
Цитата:

система молча пошла на лупбак, это дело нужно отключать в первую очередь после установки фаервола, это дыра.

Отключать это в Параметры - Системные - Общие правила? Просто снять галочку с Allow Loopback?
И что еще нужно "в первую очередь" отключать/настраивать?

ivanovand
Цитата:

Что значит "блокировать атакующего", "подсеть атакующего", "блокировать локальный порт"?

соответсвенно блокировать все запросы c айпи адреса атакующего, блокировать все запросы из подсети атакующего и блокировать все запросы на атакуемый порт. честно говоря, все плагины оутпоста для жизни не нужны, я их все всегда отключаю, мишура одна от них...
Цитата:

Где бы достать информацию, чтобы разобраться с этими параметами - зачем, как и почему

ну это уже вопросы теории, надо поднимать общий уровень знаний стека тсп/ип - например тут можно поискать инфу - http://www.citforum.ru/
Цитата:

Просто снять галочку с Allow Loopback?

да, просто снять
Цитата:

И что еще нужно "в первую очередь" отключать/настраивать?

при установке оутпоста в первую очередь отключать надо аллов лупбак, далее в системных правилах отключаются разрешения на сервисы, не используемые в данной сети и ненужные для работы, тот же DHCP или UPnP, далее решается вопрос c нетбуем, нужен он или нет, в мастдайных сетях нужен, если же сеть не мастдайная - отключать сразу же. далее редактирование так называемых "доверенных зон". никаких доверенных зон быть не должно, это не секурно. далее нужно пройтись по пресетам, и отредактировать пресетные правила, привести их в соответсвии c текущими задачами. далее, блокировка IE и ОЕ, и никогда не пользоваться "настройками експлоера" для настройки проксей, ну вот в кратце и все:))

Ilich Ramiras
Спасибо за твои ответы! Буду дальше сам копать. Еще раз огромное спасибо.

Цитата:

нет, если приложение в доверенных есть маза от его имени вылезти

Ну чего ты гонишь. Не может приложение от имени вылезти, это еще со времен первого аутпоста была - проверка exe файла процесса. И если есть какое изменение - аутпост сразу скажет, типа того что приложение, которе хочет вылезти в инет не то, для которого задавались правила, вот и все. И это было всегда.

Что-то ты путаешь.

Даже больше скажу, мне частенько аутпост ошибочно может написать, что мол IE изменился... немного раздражает уже

Big_Ban

Дык это - контроль компонентов, блин. Совсем другое дело, понимаш...
Это ты путаешь чего-то...

аутпост на тачке с ХР СП1, которая раздает инет через ICS на компы с 98.
если аутпост (посл. версия и прежние тоже) активен, то клиенты инета не видят. при этом локалка работает, с клиентов проходит пинг на инет адреса...

последняя фишка была такая - в логах: заблокированные - пусто, детектор атак - пусто, разрешенные(!) - соединения клиента с инетом.. при всем при этом клиент инета не видит...

у аутпоста вроде как совместимость с ICS. а в посл. версии так и баги в этой области пофиксены... так как же заставить ЭТО нормально работать? или совместимость аутпоста только когда он стоит на клиенте, который работает через ICS?

**UPD: после переинстала с сохранением конфигов опять начал работать как надо.. надолго ли?..

Ilich Ramiras
тоже пару вопросиков

Цитата:

и никогда не пользоваться "настройками експлоера" для настройки проксей

а как же тогда настраивать прокси
Как лучше ставить уровень контроля компонентов ( ОТКЛЮЧЕН, НОРМАЛЬНЫЙ, МАКСИМАЛЬНЫЙ), на что он влияет, этот уровень контроля ?

anryk
Цитата:

а как же тогда настраивать прокси

любой мало мальски приличный софт имуеет работать через собственные настройки прокси, и опера умеет, и нешкаф умеет, и МуИЕ умеет, все качалки и фтп клиенты умеют, не надо лениться настраивать софт:))
Цитата:

Как лучше ставить уровень контроля компонентов ( ОТКЛЮЧЕН, НОРМАЛЬНЫЙ, МАКСИМАЛЬНЫЙ), на что он влияет, этот уровень контроля ?

у меня он стоит по умолчанию, нормальный, влияет он на определение новых как новых длл-ек, пытающихся запустить процесс, для которого уже есть правила, или на определение изменения размеров или дат исполняемых файлов. при максимальном уровне начинает уже раздражать это излишнее слежение. на нормале вроде все тип топ. в чем конкретно отличаются эти три уровня, не знаю, на задавался этим вопросом:))

Ильич, не совсем прав

Цитата:

влияет он на определение новых как новых длл-ек, пытающихся запустить процесс, для которого уже есть правила, или на определение изменения размеров или дат исполняемых файлов.

не dll`ки которые пытаются запустить процесс, а dll`ки, которые цепляются к уже существующему процессу, как это делают некоторые плагины к IE или например клавиатурные перекодировщики. т.е. запускаются в процессе работы проги а не при её старте.

а вообще по этому вопросу - RTFM

минимальный - не отслеживаются извенения компонентов(dll`ек) процесса
нормальный - отслеживаются новые\измененные
максимальный - отслеживаются все

Big_Ban

Цитата:

сообщения мои не читаешь.

Я читаю. Читаю внимательно. А комментирую - в меру своего понимания того, о чём спрашивают. У меня и сейчас такое впечатление, что я полностью тебе ответил. Видимо, я не прав. Давай ещё разок.


Цитата:

Если работать под одной записью, то с процессом EXPLORER в памяти ничего не происходит, появляется процесс IEXPLORER.

Отвечаю:
НЕТ такого процесса, - iexplorer. Есть процесс IEXPLORE. Процесс EXPLORER создаётся при запуске Проводника Виндов и является кумулятивным. Процесс IEXPLORE создаётся при запуске MS Internet Explorer и является НЕкумулятивным, то есть каждое окно IE создаёт новый экземпляр процесса. EXPLORER и IEXPLORE взаимозаменяемы, но взаимоНЕзависимы, - запуск одного не порождает никакой реакции со стороны другого.


Цитата:

Если работать под другой записью, то при запуске IE процесса IEXPLORER НЕ появляется, зато процесс EXPLORER увеличивается в размерах раза в три (с 2Mb до 7 Mb)

НЕТ такого процесса, - iexplorer. Есть процесс IEXPLORE. Далее будем считать, что ты просто ошибочно ставишь лишнюю букву там, где не надо. Так вот. То, что ты описываешь, не может произойти ни в какой штатной ситуации. Абсолютно. И контекст текущего пользователя (USId), независимо от его привилегий, не имеет ровным счетом никакого значения. Пойми, мы говорим о функциональности Виндов, а не об их реакции на пользователя. Что касается НЕштатной ситуации, то её пример я привёл в своём прошлом сообщении. Это, в общем, может быть всё, что угодно. Например, троянец.


Цитата:

Ну чего ты гонишь. Не может приложение от имени вылезти, это еще со времен первого аутпоста была - проверка exe файла процесса.

Чисто практически ты действительно прав. Хотя теоретически обратное всё-таки возможно. Любая деструктивная программа (вирус) может быть запущена от твоего имени и, соответсвенно, с твоими привилегиями, если ты сам инициируешь её запуск. Вольно или невольно - неважно (кликнул мышой - и - шабаш). И воспользоваться при этом контекстом любого подходящего кумулятивного процесса. И. Любая деструктивная программа (вирус) может быть запущена под твоим контекстом или даже под контекстом SYSTEM (превалирующий SID в Виндах), если получит управление до/после старта Виндов из секций реестра автозапуска как приложение или как сервис (до него, правда, нужно сперва добраться, но это-то как раз не так уж сложно). Причём, прописавшись в реестре, вирус может стартовать даже не как сервис, а как драйвер. Этот вариант наиболее трудоёмкий с т.з. программирования, зато самый страшный в плане последствий. Такой драйвер-вирус имеет возможность прохуковать, например, WinLogon и извлечь твой пароль "из первых рук". Или грохнуть твой хард, невзирая даже на защиту бут-сектора... Да всё что угодно...
Но это всё, пожалуй, - уже чистая теория, не более. Во-первых, потому, что современные средства превентивной защиты достаточно хороши, а юзеры год от года продолжают умнеть. Во-вторых, в наши дни, дни процветающего Visual-программирования, практически не осталось системных программистов-хакеров, обладающих надлежащей квалификацией. А те, что остались, живут настолько неплохо, что им уже стало западло делать западло. Разве что молодёжь...

Ilich Ramiras
Почитал я тут... Хорошо держишь топик. Нет, правда здорово. Только одно "но"... Не сочти за высокомерие, но постарайся всё-таки быть... нет, не осторожнее, а осмотрительнее в высказываниях. Одёргивать тебя ничуть не собираюсь. Просто допусти мысль, что то, что ты говоришь, не всегда может быть ЕДИНСТВЕННО верным. Это ни к чему не обязывающее пожелание. Думаю, ты всё поймёшь правильно.

Подскажите баг ли это:
Журнал Outpost > Plugins > Реклама > Последние 10 заблокированных
^^^
так в этом журнале,
отображаются ПЕРВЫЕ 10 заблокированных?(
Вообще это касается любых отчетов "Последние 10 ..."
Я это наблюдаю со 2-й версии!!!

larvs
вот часть копии моих щаблокированных за последние 10 минут, обрати внимание на хронорлогию времни, это действительно последние, если у тебя наоборот, то это твои локальные проблемы, я о подобном впервые слышу...
Код: IN REFUSED 30.07.2013 15:10:24
IN REFUSED 30.07.2013 15:10:05
IN REFUSED 30.07.2013 15:09:40
IN REFUSED 30.07.2013 15:09:33

После повторной загрузки конфиг файла куда-то выпал русский язык. Как вернуть?

Agnitum Outpost Firewall 2.0.226.2921 (хотя от версии не зависит, до этого ставил версию чуть младше - та же фигня), а он собака при загрузке требует ODBC 3.0, я на сайт Microsoft кинулся по ссылке, а там третьей версии и нет вовсе. Скачал 2.7, а он все равно ругается, теперь уже при загрузке компьютера. Помогите, плз.

Ilich Ramiras
посмотри плиз внимательно на даты/время:
"Plugins > DNS" и "Plugins > DNS > Последние 10 записей"
будут ли у тебя совпадать

larvs
забавно, у меня тоже показываются ПЕРВЫЕ 10, значит баг, нужно слать баг-репорт.

larvs
был невнимателен к твоему первому сообщению. а там ведь четко написано, что речь идет о плюгинах... сорри, был не прав, проверить на плюгинах не могу, так как их вообще не использую.. еще раз сорри, за то что ввел народ в заблуждение:((

Цитата:

Есть процесс IEXPLORE. Далее будем считать, что ты просто ошибочно ставишь лишнюю букву там, где не надо.

так оно и есть. Привычка


Цитата:

Так вот. То, что ты описываешь, не может произойти ни в какой штатной ситуации. Абсолютно. И контекст текущего пользователя (USId), независимо от его привилегий, не имеет ровным счетом никакого значения. Пойми, мы говорим о функциональности Виндов, а не об их реакции на пользователя. Что касается НЕштатной ситуации, то её пример я привёл в своём прошлом сообщении. Это, в общем, может быть всё, что угодно. Например, троянец

Ты хочешь сказать, что троянец каким-то образом СКРЫВАЕТ процесс IEXPLORE, и увеличивает размер Explorer ? Бред... это именно каким-то образом IE выполняется в контексте Explorer, видимо... они тесно связаны, и возможно есть какие настройки, чтобы так было...

Народ, помогите разобраться с такой проблемой.
При работе в сети с файрволлом система часто виснет намертво.
До установки файрволла все было нормально.
Сейчас у меня Outpost Firewall 2. До этого был Norton Personal Firewall, было тоже самое.
Система Win98.

arslan77
удали или переименуй файл op_data.dll

Плз, помогите чайнику в файерволах закрыть преславутые порты 135, 137 и 139 для всех протоколов. Желательно на пальцах: делай раз, делай два и т.п.
Спасибо.

Alex77
сначала определись в каком файрволле ты собираешься закрывать

dmutpu

Ну раз он пишет сюда, значит речь о Outpost Firewall!!! Или я не прав? Мне было бы самому интересен ответ на этот вопрос.

Цитата:

Плз, помогите чайнику в файерволах закрыть преславутые порты 135, 137 и 139 для всех протоколов. Желательно на пальцах: делай раз, делай два и т.п.
Спасибо.

Ранее это уже обсуждалось, Ilich Ramiras все разложил подробно с вариациями.
Я же делал так: Параметры>>>Системные--->>>Общие правила--->>>Добавить --->>>
по TCP и UDP заблокировать каждый необходимый порт --->>>Применить--->>>Сохранить конфигурацию


Добавлено
А мне подскажите.

Каждый раз при входе в сеть блокируется два исходящих по протоколу IGMP по адресу 224.0.0.2. Не знаю как разобраться, что именно хочет вылететь в сеть.
С постоянной периодичностью, но не всегда, разный народец ломится на 4662 порт. За что он отвечает? Может его закрыть к едрени фени, медом им там что ли намазали. Причем зачастую в этот момент никакой проги, кроме Оперы в сеть не допущено.

andrex
казнить нельзя помиловать - и думай что хошь


Цитата:

Мне было бы самому интересен ответ на этот вопрос.

на который из?

Добавлено
Yanson
IGMP блокируй начисто

4662 ни за что не отвечает. природа этих обращений может быть различной. насколько могу судить порт держится оперой. ты так замечательно описал нам выше как создаются новые правила так что мешает запретить все входящие для оперы - таким образом впредь избавиться от всплывающих на эту тему сообщений? если опера работает с фтп, то в случае port'a оставить stateful inspection на правиле, разрешающему выход по 21, это позволит файрволлу автоматически определять входящий ответ по ftp-data

кто знает где скачать заставку Crazy Kamasutra?

dmutpu

Цитата:

на который из?

Который он задал!!! Ответ я уже получил от Yanson

Цитата:

он не работает рядом c другими фаерами, и c винроутом тоже...

А встроеный в ХР Firewall тоже в обязательном порядке отключать?
(были у кого-нибуть траблы и конфликты в такой ситуации?)

check
если ты не отключаешь встроенный файрволл то он продолжает блокировать все входящие )