» Agnitum Outpost Firewall

Enforcer
прежде чем разводить флейм насчет контроля компонентов неплохо было бы разобраться.


Цитата:

Потому что когда ОП выкидывает окно, где предлагает мне разрешить доступ _компоненту_, запретить доступ _приложению_ или вообще отключить контроль компонентов - у меня выбора нету, кроме как пустить этот компонент в инет!

ситуация такая - под виндой очень сложно или вообще невозможно кореестно отследить доступ к сети отдельной DLL процесса, поэтому отслеживается весь процесс.
Теперь о том как OP контролирует компоненты.
Если в пространстве загруженного процесса, для которого прописаны правила, появляется новая DLL, например keyhook от lingvo или PuntoSwitcher, OP выдаёт окно с предупреждением, из которого мы может узнать измененный процессб и нажав кнопку "Detail", увидеть полную инфу об присоединившихся компонентах: название, путь, инфу из ресурсов. так же мы можем выбрать 3 действия -
1) "update information" насчет этих компонентов в процессе и процесс продолжит существовать в системе правил OP.
2) заблокировать доступ приложения в сеть до следующего рестарта приложения, напоминаю ещё раз что не возможно запретить доступ в сеть отдельной DLLке, только всему процессу.
3) отключить контроль компонентов

"Чего ж тебе ещё надо, собака?" (С) Х/Ф "Иван Васильевич...."

Честно говоря я давно смотрел SygatePro и как там деализован контроль компонентов не помню, но вы уверены что он может запретить доступ именно DLLке?

я легальный пользователь программы, и послал в службу поддержки вопросы и пожелания изложенные на 81-82 странице ссылкой на них.

Widok
Может хоть тебе как легальному пользователю они ответят

Лично мне на те же самы вопросы которые обсуждались тут, они ответили


Цитата:

>
*Outpost
> *30-ти дневная
> *2.0.240.3122.(290)

Версия не поддерживается. Пожалуйста, установите версию 2.0.238,
которая доступна на нашем сайте www.agnitum.ru

Короче вообще не понять, пользуюсь последней версией а она ещё и не поддерживается ....

podarok

build 272/300

Fixed
- Windows XP crashes at reboot after Outpost installation
- Outpost crash with error 00000002 at Outpost startup
- Handle is invalid error while running Outpost
- FILTNT.SYS driver crashes
- IRQL_NOT_LESS_OR_EQUAL BSOD errors

Added
- Seamless migration from earlier versions with the help of Agnitum Update tool
- Visual alerts that inform you about events requiring your immediate attention so
that you can provide appropriate and timely response;
- Multiple user interface enhancements provide for easier and more intuitive program
operation.
- Improved Active Content filtering allows to individually configure interactive content
treatment for specific sites and provides for management of broader range of active
content elements and improved security and better privacy protection.
- Improved Advertisement blocking provides for more convenient banner ads treatment
and supports personalized settings for specific sites;
- Improved Content filtering also allows to display a custom message for sites that
contain abusive content;
- Improved logging system automatically maintains optimum log size for best performance;

Цитата:

Fixed
- Windows XP crashes at reboot after Outpost installation
- Outpost crash with error 00000002 at Outpost startup
- Handle is invalid error while running Outpost
- FILTNT.SYS driver crashes
- IRQL_NOT_LESS_OR_EQUAL BSOD errors

Как раз у меня присутствовало всё это

Demetrio

Цитата:

Как раз у меня присутствовало всё это

Manjak )))

SXP

Цитата:

podarok
build 272/300

эээ... и где его можно взять?
на офсайте - OutpostPro v2.0.238 (290)

Tim72
http://forum.ru-board.com/topic.cgi?forum=35&topic=0111&start=1160#lt

Добавлено
tak.....
kto budet ka4at bolse 4em v 1 potok polu4it BAN na firewalle

SXP
Большое спасибо !!!
Вот и закончились старые глюки(надеюсь что не привет новые ) Тормозов никаких у нового нету с мулом как всегда работает, снёс Сигейт к моей привеликой радости и пользуюсь "подарочным" Оутпостом. Там прикол в главном окне ёлка стоит, да перевод ещё хромает, но с англицким всё ок. Добавили аттачметн фильтр, переработали конкретно фэйс (конечно панель меню верхняя как и раньше) , добавили ограничение на меню лога (т.е. выставляем сами макс. размер).

Так что всё нормально, оДна проблема есть загляните в Варёзник http://forum.ru-board.com/topic.cgi?forum=35&topic=0111&start=1160#lt

я тоже отправил все что тут изложил Посмотрим, что будет с контролем компонентов в следующей версии Аутпоста.

Добавлено
2 dmut op

Извините, уважаемый, но по вашему посту у меня сложилось впечатление, что вы просто не хотите осознавать проблему, которую я подробно изложил на предыдущей странице этого топика... Я мог конечно, вместо трех постингов отправить один, более лаконичный, но в целом суть проблемы - это никакой не флейм, а весьма серьезный недостаток Аутпоста, сводящий к нулю эффективность контроля компонентов. По сути, из-за этого недостатка ОП 2(хоть он и следит за внедрением DLL в процессы, которым разрешен доступ в сеть), почти не отличается от OP 1.


>ситуация такая - под виндой очень сложно или вообще невозможно кореестно отследить доступ к сети отдельной DLL процесса, поэтому отслеживается весь процесс.


т.е. значит, если это очень сложно, то пускай разработчики умывают руки, и дальше Аутпост будет давать в этом диалоге пользователю по сути только один выбор: Обновить этот компонент и разрешить ему доступ! Так ведь получается? Ведь два других выбора (Запретить доступ приложению и Отключить контроль компонентов) - это плохие варианты. А откуда пользователь может знать, можно ли этот компонент пускать в сеть от имени другого приложения (которому разрешен доступ в Аутпосте), или нельзя? Как можно узнать, безопасно ли пускать компонент? Разве что в дизассемблере его покопать Но подавляющее большинство пользователей это конечно делать не будут. Вот и получается, что все юзеры Аутпоста дружно разрешают доступ компонентам, и нажимают ОК, не задумываясь, что за компонент такой они пускают в сеть... А насчет того, что невозможно запретить доступ отдельному компоненту - ведь Сигейт Про умеет это делать. Я проверял на версии 5.5.2516. Там тоже вылезает диалог, что такая-то DLL стучится в сеть, через допустим Оперу, и я запрещаю доступ этому конкретному компоненту, и Опера продолжает нормально бродить по сайтам.

>Если в пространстве загруженного процесса, для которого прописаны правила, появляется новая DLL, например keyhook от lingvo или PuntoSwitcher, OP выдаёт окно с предупреждением, из которого мы может узнать измененный процессб и нажав кнопку "Detail", увидеть полную инфу об присоединившихся компонентах: название, путь, инфу из ресурсов

хе хе... инфу о присоединенном компоненте мы можем увидеть... и что эта инфа даст? она мне скажет, что этот компонент не что иное как троянская DLL? автор компонента любезно укажет это в стрингах из ресурсов? или название DLLки мы увидим, и путь к ней... и что, вот так сразу по этим данным можно определить, что пускать компонент в инет безопасно? а возьмем простейшую ситуацию, когда троян возьмет и поместит свою DLL например в каталог Оперы или Флешгета! Да пусть даже вообще в любой каталог уже установленного приложения. Что в этом случае увидит рядовой пользователь в диалоге Аутпоста, и догадайтесь, какой он сделает выбор? нет уважаемый, точно узнать, не является ли этот компонент опасным, можно по анализу его кода в дизассемблере, а никак не по ресурсам, названию компонента и пути к нему... и что с того, если мне Аутпост говорит, что такая-то DLL была загружена в адресное пространство конкретного процесса (например, Опера)? Сам факт того, что компонент попытается вылезти в сеть именно через Оперу, скажет мне, что это безопасный компонент? А если компонент попытается вылезти через IE - то это обязательно троянский компонент и его надо глушить вместе с осликом? И даже если каким-то чудом пользователь узнает, что этот компонент нельзя пускать в сеть, то какую возможность нам предлагает Аутпост? Запретить доступ приложению, и ничего больше! Ну запрещу, компонент не пролез в этот раз. Опера отрубилась. Делаю рестарт Оперы. И опять этот компонент лезет в сеть через Оперу! Какие будут варианты действий? Опять отрубать Оперу, и так далее по кругу. Или пускать компонент.

>"Чего ж тебе ещё надо, собака?" (С) Х/Ф "Иван Васильевич...."

Господи, да я уже десять раз сказал, что мне надо. Нормальный контроль компонентов! Чтобы при появлении этого диалога Аутпоста я мог ЗАПРЕТИТЬ ДОСТУП КОНКРЕТНОМУ КОМПОНЕНТУ, НЕ ЗАПРЕЩАЯ ДОСТУП ПРИЛОЖЕНИЮ, через которое компонент пытается пролезть в инет. И еще мне надо, чтобы в Параметры -> Приложения, кнопка Компоненты, можно было вручную явно указать, разрешать или запрещать доступ компонентам, там перечисленным. Этот на тот случай, если я ошибусь, и дам доступ троянскому компоненту, или наоборот запрещу доступ нормальному компоненту, чтобы я мог сразу исправить это вручную (а не удалять компонент из списка, как это сделано сейчас, и не ждать следующего появления диалога Аутпоста насчет этого компонента, где должна быть возможность запретить доступ компоненту)


>Честно говоря я давно смотрел SygatePro и как там деализован контроль компонентов не помню, но вы уверены что он может запретить доступ именно DLLке?

Я смотрел вчера Sygate Pro 5.5, и как раз в этой ситуации он мне выдал диалог, и я там запретил доступ посторонней DLLке (уже упомянутая мной transsys.dll из пакета Translate Now), которая стучалась в инет через IE, а сам IE продолжил нормально функционировать. Поэтому данную фичу с запретом на доступ компонента реализовать можно. Другое дело, что не у всех разработчиков фаерволов это получается. Вот у разработчиков ЗонАларма это также не получилось нормально, правда там чуть получше сделано, чем в Аутпосте (в ZAP можно все-таки для каждого компонента не только разрешить ему доступ, но и указать, чтобы при каждой следующей попытке компонента вылезти в сеть через какое-то приложение, ZAP спрашивал бы пользователя... но все равно, и в ZAP нельзя запрещать доступ компонентам. Единственный фаервол, в котором я встретил нормальный контроль компонентов, это Sygate Pro. Хотя у него имеется другая неприятная фича - до сих пор нет контроля доступа на локалхост)

Enforcer
как вы понимаете - я не разработчик OP и вообще не из Агнитума, поэтому могу лишь пожелать чтобы разработчики реализовали ваше пожелание ASAP.

Добавлю еще:

Аутпост НЕ УМЕЕТ на самом деле контролировать доступ компонентов в сеть. Просто не умеет. Если бы умел, то второй пункт диалога, который появляется при попытке компонента выйти в сеть через разрешенное приложение, был бы: Запретить доступ компоненту... Да, собсно, и когда пользователь выбирает первый пункт Обновить компонент и разрешить ему доступ - Аутпост ведь строго говоря НЕ ДАЕТ РАЗРЕШЕНИЕ этому компоненту, а просто забивает на то, что компонент будет лазить в инет от имени приложения. Аутпост обнаружил, что DLL была загружена в процесс некоторого приложения, и обнаружил также, что DLL полезла в сеть, и выкидывает этот диалог.. и когда юзер разрешает доступ компоненту, Аутпост просто перестает обращать внимание на компонент, но по сути никакого разрешения на доступ компоненту от Аутпоста и не нужно... Другими словами, контроль компонентов должен состоять из двух частей: 1) Аутпост должен обнаруживать, когда некая DLL внедряется в адресное пространство разрешенного приложения и пытается выйти в сеть от имени этого приложения 2) Аутпост должен уметь блокировать эту DLL. Второй пункт обязателен. Без этого ни о каком настоящем контроле компонентов и речи быть не может, а то что сейчас реализовано в Аутпосте - это псевдоконтроль (или полуконтроль) компонентов, вот почему собственно Аутпост и выдает такой диалог пользователю: либо разрешить доступ компоненту, либо запретить приложению. Этот диалог с его плохими вариантами выбора выглядит так потому, что в самом коде Аутпоста контроль компонентов реализован только ЧАСТИЧНО, и такая реализация создает для КАЖДОГО пользователя Аутпоста огромную дыру в безопасности компьютера...

P.S. 2 dmut op

вот скажите, а как по вашему должен поступать пользователь, когда Аутпост выкидывает этот диалог? выбирать опцию Обновить компонент и разрешить ему доступ? Или запретить доступ приложению? если разрешать, то как можно точно определить троянскую DLL, которая помещена в каталог какой нибудь установленной программы, или тем более в каталог программы, для которой уже в Аутпосте разрешен доступ? а если какая нибудь вредная либа с именем, допустим, ieoctl.dll находится в C:\WINDOWS или C:\WINNT\System32 ? Каким образом пользователь может узнать, имеет ли право эта библиотека на доступ в сеть, или ее надо блокировать? А если блокировать - вместе с приложением - то значит придется отказаться от использования этого приложения? Ведь при рестарте приложения этот компонент опять полезет в сеть через него.

В общем, я закругляюсь на эту тему... уже все сказано про эту дыру, что только можно сказать

Enforcer
za4em tak slozno? virusu / trojanu proshe zdelat Terminate Process i vse vsa zashita viletaet

Вот нарыл интересную инфу об имхо всеми любимом Оутпосте
Цитата:

Алексей Елагин: Начиная с версии 2.0, мы планируем делать более частые обновления программы. Каждая новая версия будет "кирпичиком", с помощью которого мы построим версию 3.0. Версии, начиная с 2.1 и до 3.0 (2.1, 2.2, 2.3 - 2.9, 3.0) будут включать в себя обновления в ключевых областях программы: функциональность, стабильность, уровень безопасности, легкость в использовании. Конечно, отличия 2.1 от 2.0 не будут кардинальными, да мы и не ставим такой цели. Для нас главное - стабильность обновлений, а стабильность, как говорят спортсмены, - признак класса.


Многих пользователей не устраивало то, что Outpost делал свое дело тихо, "без шума и пыли". То есть, отражая атаку или сканирование, программа не пыталась привлечь внимание пользователя. Теперь же эти пользователи смогут включить опцию визуального отображения сообщений об атаках и прочих действиях брандмауэра. Пользователи, которые не любят подобных сообщений, смогут отключить эту опцию.
С версии 2.0 мы стали заботиться о внешнем виде программы. Так, некоторые элементы интерфейса программы были сделаны в стиле "Windows XP". Мы продолжим "украшать" Outpost, и в версии 2.1 изменим облик некоторых окон программы.
Естественно, не обойдем стороной вопросы функциональности. Так, в программу будет добавлена опция ограничения размера файлов системы логгирования, а также исправлены ошибки, возникающие при работе программы.

Кому интересно почитать больше заходите сюда

DRT1

Хорошая новость.

Enforcer

небольшая поправка:

Цитата:

Аутпост обнаружил, что DLL была загружена в процесс некоторого приложения, и обнаружил также, что DLL полезла в сеть, и выкидывает этот диалог

на самом деле OP не может ( или не умеет ) обнаруживать доступ в сеть от лица компонента, диалог об изменении он выдаёт когда ломанулось в сеть приложение, состав которого изменился.

Цитата:

Каким образом пользователь может узнать, имеет ли право эта библиотека на доступ в сеть, или ее надо блокировать?

а каким образом OP может это узнать? это работа AV в чистом виде.


Добавлено
2SXP
насчет версии 272: скажу по секрету, сейчас тестеры юзают версию 275.

Цитата:

Алексей Елагин: Начиная с версии 2.0, мы планируем делать более частые обновления программы. Каждая новая версия будет "кирпичиком", с помощью которого мы построим версию 3.0. Версии, начиная с 2.1 и до 3.0 (2.1, 2.2, 2.3 - 2.9, 3.0) будут включать в себя обновления в ключевых областях программы: функциональность, стабильность, уровень безопасности, легкость в использовании. Конечно, отличия 2.1 от 2.0 не будут кардинальными, да мы и не ставим такой цели. Для нас главное - стабильность обновлений, а стабильность, как говорят спортсмены, - признак класса.

Частую переустановку система может и не выдержать, софт то ведь критичный.

dmut op

Цитата:

насчет версии 272: скажу по секрету, сейчас тестеры юзают версию 275.

Это цитата из History, а билд 275.

Уважаемые, пожскажите, плиз, как с помощью Аутпоста вырезать рекламу с этой странички - http://cats.50free.org/Noname1.html . Добавлял в модуль Реклама строки gcl.ru и br.gcl.ru - всё равно показывает, а если вообще блокировать gcl.ru , то получается некрасиво - показывает белое место и на нём крупным шрифтом "The web page being accessed was blocked".

Господа, беру на себя смелость еще раз обратить ваше внимание на свою проблему.
А проблема моя в том, что несколько дней назад Аутпост стал вести себя очень нехорошо - при включении начинает жрать ресурсы (от 50 до 90 процентов процессорного времени), чем нефигово подвешивает систему (работать невозможно). Я удалил старую версию, которая стояла у меня, и поставил 2.0.240, но поведение проги ничуть не изменилось.
Я сильно озадачен, и очень не хочется менять фаер...

В чем может быть дело, подскажите плиз.

z_IFIR
недавно и у меня Outpost стал очень тормозным из за разбухшей базы его логов.
E:\Program Files\Agnitum\Outpost Firewall\op_data.mdb стал 150Мб.
В меню журнала есть пункт - очистить журнал после перезагрузки. Возможно именно из за этого, а может и нет.

MetroidZ
Логи чистил. И потом, я же сказал, что я его заново установил.

Добавлено
Cats
Как уже сто раз говорилось, лучше отказаться от использования данного плагина и использовать специально предназначенные для вырезания рекламы программы, такие, например, как Ad Muncher и Proxomitron.

z_IFIR

Цитата:

удалил старую версию, которая стояла у меня, и поставил 2.0.240, но поведение проги ничуть не изменилось

осмелюсь посоветовать почистить реестр после удаления старой версии и удалить дрова Аутпоста которые иногда остаются неудалёнными > Диспетчер устройств> Показать скрытые устройства> Драйверы устройств не Plug and Play

z_IFIR

Цитата:

Как уже сто раз говорилось, лучше отказаться от использования данного плагина и использовать специально предназначенные для вырезания рекламы программы, такие, например, как Ad Muncher и Proxomitron.

А чем тогда можно заменить аутпостовское "активное содержание": активХ, куки, яву?

>на самом деле OP не может ( или не умеет ) обнаруживать доступ в сеть от лица компонента, диалог об изменении он выдаёт когда ломанулось в сеть приложение, состав которого изменился.

Да какая разница, это уже детали... что так, что этак, НЕ УМЕЕТ Аутпост контролировать доступ в сеть отдельных компонентов, только доступ приложения в целом... и это плохо... это есть по сути дыра, потому что юзер ничего другого не может выбрать, кроме как разрешить доступ в сеть компоненту (а по сути это значит НЕ зАКРЫВАТЬ доступ приложению).

>а каким образом OP может это узнать? это работа AV в чистом виде

Вообще то да, вот только не все трояны умеет обнаруживать любой антивирусный пакет... всегда может пропустить что-то... не говоря уж о библиотеках, которые лезут в сеть от имени другого процесса, чтобы проверить серийники своего приложения (которое само в сеть не лезет, а поручает какой-то своей DLL)

Цитата:

>на самом деле OP не может ( или не умеет ) обнаруживать доступ в сеть от лица компонента, диалог об изменении он выдаёт когда ломанулось в сеть приложение, состав которого изменился.

Да какая разница, это уже детали... что так, что этак, НЕ УМЕЕТ Аутпост контролировать доступ в сеть отдельных компонентов, только доступ приложения в целом... и это плохо... это есть по сути дыра, потому что юзер ничего другого не может выбрать, кроме как разрешить доступ в сеть компоненту (а по сути это значит НЕ зАКРЫВАТЬ доступ приложению).

- Очень верное замечание. Это стало одной из причин, побудивших отказаться от него. Поскольку действие, изменяющее компонент, не фиксируется никак, и меж изменением и стуком в сеть проходит неоперделенное время, даже ведение логов соединений не поможет. А поскольку влиять на отдельные компоненты нет возможности, то их контроль, по сути, бесполезен (за исключением случая, когда можете вернуть систему в предыдущее состояние из имиджа или аналог.) - как в старой шутке: "как е?али, так и е?ут, только писанины больше"

Ruben
Ну я же ничего не говорил про плагин "Активное Содержимое". Он, по-моему, нормально справляется со своими обязанностями.

WildGoblin
Да вроде чистил, но попробую сегодня устроить ще раз генеральную чистку
Вот сюда не заглядывал: Диспетчер устройств> Показать скрытые устройства> Драйверы устройств не Plug and Play

z_IFIR
В смысле _вообще_ чем можно заменить этот плагин. К примеру в случае перехода на другой файрвол.

z_IFIR

Цитата:

Как уже сто раз говорилось, лучше отказаться от использования данного плагина и использовать специально предназначенные для вырезания рекламы программы, такие, например, как Ad Muncher и Proxomitron.

вот здесь я не соглашусь.
больше 2-х лет у меня сабжевый фаер и этот плагин отлично режет флеш, баннерные сети(при заполнении), а ставить лишнюю прогу, сующую(ради фильтрации а`ля рекламы) свои щупальца на мой канальчик ставить не буду.

я вообще в восторге от беты 300, похоже они стали прислушиваться к пожеланиям пользователей и как раз во время- ибо у моих знакомых всё чаще возникало желание сменить его нафиг, не смотря на купленные лицензии.
300-бета очень качественно режет различные виды баннеров, скрытые фреймы и т.п, меньше грузит систему и не разростается во времени в памяти. вопросы безопасности сейчас не затрагиваю, т.к известные тесты он и раньше проходил.

напомню, 300-бету можно скачать только в Варёзнике или в обменнике.

Widok
Ну тебе повезло (а может руки прямые ), но мне так и не удалось заставить этот плагин нормально работать, и я перешел на Мунчер, о чем пока не жалею. А Аутпост несмотря ни на что все-таки очень удобная вещь почти во всех отношениях, хотя тема, затронутая выше (о блокировании доступа компонентов) очень интересна.

Ruben
Обычно эти функции как раз и реализуются именно в файрволе (но не обязательно в виде плагина ).