» Agnitum Outpost Firewall

sghi
Svchost.exe в WindowsXP занят выполнением системных сервисов, которые оформлены в виде dll и следовательно не могут быть запущены самостоятельно. Название означает "service host", т.е., оболочка для системных сервисов. Список сервисов можно посмотреть по команде "net start", либо через Control Panel - Administrative Tools - Services. На одном компе может быть запущено несколько копий svchost (скажем, 4-5), это - нормальное явление. По команде "tasklist /svc" можно посмотреть, какой сервис выполняет каждая копия svchost.

Более подробное описание есть в Microsoft Knowledge Base - http://support.microsoft.com/?kbid=314056

Aard_Wark
Собственно, это давно ясно. Тогда вопрос по другому: Как можно выяснить, какая конкретная служба, скрывающаяся за Svchost.exe, парит Оутпост? Можно понаотключать их конечно и проверить, но Svchost.exe не постоянно лезет по IP адресам, а раз в минут 30-40...

sghi
Я бы посмотрел список выполняемых сервисов, там уже можно будет понять, какая служба вероятно лезет в Интернет. Ну а потом можно подозрительные службы отключать по одной и смотреть...

sghi

Цитата:

Что можно с SVCHOST.exe сделать?

Цитата:

Тогда вопрос по другому: Как можно выяснить, какая конкретная служба, скрывающаяся за Svchost.exe, парит Оутпост?

вот полная версия правил для svchost, которая стоит у меня (скопированная с английского outpost forum я уже давал ссылку пару страниц тому назад)
и в виде пригодном для гибкого включения выключения блокировок разных служб (DHCP, LDAP, RemoteDesktop) под Outpost.

===============
Allow DNS (UDP): Protocol UDP, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Allow DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Possible Trojan DNS (UDP): Protocol UDP, Remote Port 53, Block & Report
Possible Trojan DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Block & Report
---
Block (or Allow) DHCP Request: Protocol UDP, Remote Address <ISP DHCP Server address>, Remote Port BOOTPS, Local Port BOOTPC, Allow
---
Allow Time Synchronisation: Protocol UDP, Remote Port 123, Remote Address time.windows.com, time.nist.gov, Allow
---
Allow LDAP connection: Protocol TCP, Outgoing, Remote Port 389 Allow
---
Allow Help Web Access: Protocol TCP, Outgoing, Remote Port 80, 443, Allow
---
Allow( or Block) RemoteDesktop connection: Protocol TCP, Outgoing, Remote Port 3389 Allow (or Block)
---
Block RPC (TCP): Protocol TCP, Incoming, Local Port 135, Block
Block RPC (UDP): Protocol UDP, Local Port 135, Block
---[ самый последний блок на все не задейтсвованные службы]
Block Other TCP Traffic: Protocol TCP, Outoing, Block
Block Other TCP Traffic: Protocol TCP, Incoming, Block
Block Other UDP Traffic: Protocol UDP, Block
=============================

Если вы работаете в сетке и вам например нужно
Simple Service Discovery Protocol (SSDP) which is used to find Universal Plug and Play (UPnP) devices on the local network, то включите

Allow Incoming SSDP: Protocol UDP, Local Port 1900, Allow
Allow Outgoing SSDP: Protocol UDP, Remote Port 1900, allow
Allow Incoming UPnP: Protocol TCP, Incoming, Local Port 5000, Allow
Allow Outgoing UPnP: Protocol TCP, Outgoing, Remote Port 5000, Allow

Про остальную экзотику ненужную в нормальной жизни смотри
http://support.microsoft.com/default.aspx?scid=kb;en-us;832017

уж извините ламера но не могу не поделиться...
мой SVCHOST тоже очень любил "погулять" по разным странным IP, которые (каждый раз разные) сам аутпост называл download.microsoft.com...
По настройкам из анг. форума от Spectr сам аутпост все эти поползновения пропускал, согласно правилу Allow Help Web Access, и приходилось чисто визуально, увидев сильно "побежавший" трафик, вручную это дело присекать... (накопилось 15 разных айпишников, которыя я заблочил)

основное подозрение естественно падало на сервис "automatic windows update", но он у меня был выключен с самого начала, как и остановлен сам сервис...

...и вот, в один прекрасный момент, глянув свойства компьютера, я решил снять галку с параметра "Remote Assistance", и о чудо! SVCHOST наглухо заткнулся!!!...

так вот я теперь и не знаю, толи это было от этого^ "ремоута", толи у него просто кончились айпишники...

HeT BonpocoB

Цитата:

основное подозрение естественно падало на сервис "automatic windows update", но он у меня был выключен с самого начала, как и остановлен сам сервис...

Насколько я замечал, обычно адреса WU начинаются с windowsupdate., wu., v4.windowsupdate и т.д. Другое дело, что часть закачиваемых Update'ов лежат на download.microsoft.com, но первичные запросы все же отправляются туда, куда я сказал.


Цитата:

...и вот, в один прекрасный момент, глянув свойства компьютера, я решил снять галку с параметра "Remote Assistance", и о чудо! SVCHOST наглухо заткнулся!!!...

Странно, что дефолтовые правила Outpost'а более "деревянные", нежели те, которые постят Агнитумовцы на форуме. Например, правило HTTP connection, разрешает все исходящие коннекты по TCP:80, поэтому если я если буду использовать правила по умолчанию, то никогда не узнаю про то, что SVCHOST лазит куда то по своим (точнее чужим) делам.

Есть, догадки, что это сделано, чтобы не нарушать штатную работу Widonws (ну, мало ли, M$ обидиться и решит показать зубки; все ведь знают что у нее это получается) и/или чтобы не раздражать юзеров запросами, которые в случае отсутсвия "широких" правил сыпались бы как из рога изобилия (иллюзия безопасности имеется, так что же еще надо?).

Но это еще ладно. Мне не понятно другое -- почему в дефолтном правиле для SVCHOST DNS service указан Local port DNS (т.е. 53), хотя этот порт сервера, коим большинство рабочих станций не являются, а так же почему не указано направление. Ну ведь в форуме постят человеческий вариант
Цитата:

Allow DNS (UDP): Protocol UDP, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow

, так почему бы его не реализовать в сабже по дефолту (за исключением Remote Address)? Может мне кто пояснит?


Цитата:

так вот я теперь и не знаю, толи это было от этого^ "ремоута", толи у него просто кончились айпишники...

А ты включи его опять и проверь.

А вообще, у M$ IP-шников дофига. Я на работе ради додумался разрешать WU только на определнные IP. Так несколько раз в неделю я добавляю по 3..5 адресов и так уже несколько месяцев. Заманался уже

HeT BonpocoB
eika

Мне кажется что HTTP connection rule работает только тогда когда МНЕ это нужно после использования XP-Antispy
http://www.xp-antispy.org/

Эта программка и отключает все известные случаи когда винды хотят куда то пойти без вашего ведома (фактически все микрософтовские закладки для чайников). Даже удивлен что вы ее не поставили!!! Очень рекомендую.У меня эта программа входит тот минимум обязательный для установки.

Я кстати вначале отключил HTTP connection rule для svchost, но затем включил после нескольких случаев когда по URL в хелпе всплывали окошки с запросом на разрешение соединения.
У меня в логах аутпоста стоят фильтры (allowed, blocked svchost) и после 2 недель тестирования я вижу что никаких левых соединений не было.

А по поводу более мягких дефолтных правил аутпоста есть простое соображение: ведь продукт позиционируется и на западный рынок а там все эти легальные пользователи очень любят автоматические апдейты и remote assistance - купил компьютер и забыл о системе, а если не находишь иконку с любимым виндовским плеером то звонишь в отдел поддержки чтобы помогли ( вот тут remote assistance и нужен). Знаю из личного опыта : проработал несколько лет в Англии и был шокирован уровнем компьютерной безграмотности. Зато всякие дедульки и бабульки по 70-80 лет активно пользутся покупками по интернету и чатами (!!!!) и и по активности в интеренете начинают обходить молодежь, так что реклама начинает это учитывать.



Цитата:

Мне не понятно другое -- почему в дефолтном правиле для SVCHOST DNS service указан Local port DNS (т.е. 53), хотя этот порт сервера, коим большинство рабочих станций не являются, а так же почему не указано направление. Ну ведь в форуме постят человеческий вариант
Цитата:Allow DNS (UDP): Protocol UDP, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
, так почему бы его не реализовать в сабже по дефолту (за исключением Remote Address)? Может мне кто пояснит?

Есть только догадка на этот счет: по дефолтным правилам запрос на ДНС переадресуется глобальным правилам где уже и стоят нормальные правила (remote ports and outbound drection).
Кстати я там тоже ужесточил правила для днс и заблокировал ненужные протоколы.

Spectr

Цитата:

Мне кажется что HTTP connection rule работает только тогда когда МНЕ это нужно после использования XP-Antispy
http://www.xp-antispy.org/

Чет не понял что вы хотели этим сказать.

Цитата:

Эта программка и отключает все известные случаи когда винды хотят куда то пойти без вашего ведома (фактически все микрософтовские закладки для чайников). Даже удивлен что вы ее не поставили!!! Очень рекомендую.У меня эта программа входит тот минимум обязательный для установки.

Да знаем об этой проге, но закладок то как таковых там раз.. два и обчелся. А именно:

WMP -- так я его фаером блокировал.
Error reporting -- так я их отправляю. Вреда от этого никакого нет, а вот в MS'овских баг-трекерах авось и эту проблемы заметят и уделят ей внимание.
Sync time -- нужен. Однажды косяков напорол из за того, что часы нечаянно на сутки сдвинул.
WU -- нужен. Так узнаю про апдейты. Ходить самому на WU ломает. Я ж не админ.
QoS, IM, -- отключаю ручками.

А все остальное к интернет-трафику имеет весьма посредсвенное отношение, так что XP-Antispy для меня -- не предмет первой необходимости;

Цитата:

А по поводу более мягких дефолтных правил аутпоста есть простое соображение: ведь продукт позиционируется и на западный рынок а там все эти легальные пользователи очень любят автоматические апдейты и remote assistance - купил компьютер и забыл о системе, а если не находишь иконку с любимым виндовским плеером то звонишь в отдел поддержки чтобы помогли ( вот тут remote assistance и нужен). Знаю из личного опыта : проработал несколько лет в Англии и был шокирован уровнем компьютерной безграмотности. Зато всякие дедульки и бабульки по 70-80 лет активно пользутся покупками по интернету и чатами (!!!!) и и по активности в интеренете начинают обходить молодежь, так что реклама начинает это учитывать.

Все верно

Цитата:

Есть только догадка на этот счет: по дефолтным правилам запрос на ДНС переадресуется глобальным правилам где уже и стоят нормальные правила (remote ports and outbound drection).
Кстати я там тоже ужесточил правила для днс и заблокировал ненужные протоколы.

Есть такое правило, причем совершенно верно написанное -- разрешать исходящие UDP и TCP пакеты на удаленный 53 порт. Но это никак не объясняет причину присутствия правила для SVCHOST, разрешающего любые UDP-пакеты для локального порта 53.

eika

Цитата:

Да знаем об этой проге, но закладок то как таковых там раз.. два и обчелся. А именно:
А все остальное к интернет-трафику имеет весьма посредсвенное отношение, так что XP-Antispy для меня -- не предмет первой необходимости;

А как же пунктик "Turn off Remote Desktop support" ?? Именно это и была проблема у HeT BonpocoB.
И раз товарищ не догадался выключить это в контрольной панели уж XpAntispy напомнил бы забывчивым растяпам. Так что не надо высокомерно относиться к этой программе. Очень хорошая вешь для не специалистов.
И еще там есть "Disable UPNP service" - опять же разрешенная по умолчанию в аутпосте фишка, про которую не все знают.
Между прочим до того как микрософт закрыл дыру в этой службе у нас в английском университете служба безопасности заставляла устанавливать патч загружаемый с ФБР странички!!! А ведь у тех кто не установливал updates (или sr1) эта дырища по-прежнему открыта для внешнего мира. зАХОДИ - НЕ ХОЧУ.

А вообще служба RPC необходима?Просто так ее отключить невозможно-она нужна для
винды. Вот RPC локатор я отключил и все ОК.

Для справки: в моём случае то Remote... какраз не факт, пробовал я его включать, -> молчит svchost... даже не знаю....
проблема, которая была очень насущной довольно долго (приходилось окно Аутпоста всегда держать сверху, чтоб не платить лишние деньги за трафик), както сама собой исчеза, и ведь больше (вроде) ничего не трогал :/

У меня при тестировании портов 135-139, 445 (все они закрыты общими
системными правилами)
на _http://www.pcflank.com/scanner1.htm в результате

136-139 stealthed
445 stealthed
135 closed

Кто-нибудь может объяснить последнюю строку - почему 135 порт
closed а не stealthed? И нужно ли (и как) с этим бороться?
(версия Outpost 2.1.297.3912(309))

подскажите, плз, что нужно открыть, чтоп мой апачи сервер был виден извне?
ос ХР
файер 309
наблюдаю такую картину, что все "клиенты" стучатся к произвольному порту, открым "system"
что делать?
ведь не добавлять же его в "доверенные"?
фенкс

woozle
Так ведь через порт 135 вроде работает Microsoft RPC Service? Может посмотреть что у нее там в настройках?

Aard_Wark

Цитата:

Так ведь через порт 135 вроде работает Microsoft RPC Service? Может посмотреть что у нее там в настройках?

Не вроде а точно. И чево там смотреть, порт 135 закрыт и по TCP и по UDP как на
Oprions->System->Settings,
так и для SVCHOST.EXE
Еще идеи?

woozle
Помнится какой-то патч был для РПС, может это от него след?

Добавлено
Spectr
если тебе не трудно, можешь привести содержимое "Открытые порты" Аутпоста?

ivanovand

Пожалуйста, вот что видно прямо сейчас в "открытые порты"
UDP 1033 (iexplorer),500(lsass),1026,123,(svchost), 445 (system)
TCP 135, 1025(svchost),1027(system), 445(netbios)
port 12032 protocol GRE (system)
port 0 protocol 255, (это LSASS)
port 0 protocol Rawsocket

Но как я понимаю это порты открытые системой, а аутпост их уже прикрывает
так что любой внешний сканер показывает совсем другую картину.
наример
http://www.pcflank.com/scanner2.htm
показывает что в данный момент
1000-1040 stealthed
12032 stealthed
500 stealthed
123 stealthed
135 closed
445 closed

Spectr

Цитата:

А как же пунктик "Turn off Remote Desktop support" ?? Именно это и была проблема у HeT BonpocoB.
И раз товарищ не догадался выключить это в контрольной панели уж XpAntispy напомнил бы забывчивым растяпам. Так что не надо высокомерно относиться к этой программе. Очень хорошая вешь для не специалистов.

Я и не говорю, что плохая и нет тут никакого высокомерия, просто для меня ее суперполезность не очевидна. Обычный такой твикер, просто ориентированный на сетевую активность. Да еще и лукавый немного (это я про QoS http://forum.ru-board.com/topic.cgi?forum=62&topic=1092&start=420#6). Кстати, последнее выснил только вчера, до сих пор думал, что 20% бэндвиза действительно в резерве.

Цитата:

Между прочим до того как микрософт закрыл дыру в этой службе у нас в английском университете служба безопасности заставляла устанавливать патч загружаемый с ФБР странички!!! А ведь у тех кто не установливал updates (или sr1) эта дырища по-прежнему открыта для внешнего мира. зАХОДИ - НЕ ХОЧУ.

WOW!

VoSi

Цитата:

подскажите, плз, что нужно открыть, чтоп мой апачи сервер был виден извне?

А он без фаера то виден?

Цитата:

наблюдаю такую картину, что все "клиенты" стучатся к произвольному порту, открым "system"

Порт должен быть TCP:80, если к серверу обращаются по HTTP. В качестве процессе должен быть Apache.exe

Цитата:

что делать? ведь не добавлять же его в "доверенные"?

Правила создать для Apache.exe -- разрешить все входящие по TCP:80 (HTTP). Можно задать маску на клиентов, чтоб не всех подряд пущать.

Цитата:

Помнится какой-то патч был для РПС, может это от него след?

У меня WinXP SP1 со всеми фиксами. Порты 135, 137, 138 Фланком показываеются как stealthed. Службы RCP не трогал, с вирями не боролся. Дефолнтные правила Аутпоста, относящиеся к этим портам, не трогал.

P.S.
Кстати, у всех по дефолту в Global application & System rules выключено Allow Inbound identification?

господа, кто подскажет как блокировать адреса в блокпосте? вхожу в параметры добавляю адрес а браузер все равно на адрес коннектится.

wezir
Он коннектится но посмотри на поля sent recv там уже стоят нули после включения этого адреса в список блокпоста

Spectr
по 500 байт отправляет. Черт никак плагин настроить не могу. Это как то занижает мою самооценку

Исправился, версия прошлого года была, синсталлил новую галочка появилась

pro ver. 1.0.1817.1645
При входе в систему вылетает окно с сообщением
DNS Buffer length >=1024
Как его прибить?

VDT
У меня было такое. Помог переход на версию 2.0

eika
Цитата:

как бы сделать так, чтобы в режиме Rules Wizard сабж предлагал создать правило для пакета от localhost к localhost.

Отключи правило "Allow Loopback"

Цитата:

Кстати, у всех по дефолту в Global application & System rules выключено Allow Inbound identification?

Да, выключено по умолчанию. Я долго не мог понять, почему так долго почта качается на некоторых компьютерах. Хотя на моем компе все в порядке. Помогло включение этого правила.

C0USIN

Цитата:

Allow Inbound identification

А что дает разрешение этого правила? За что оно отвечает?

Цитата:

А что дает разрешение этого правила? За что оно отвечает?

Сам не знаю. Но проблемы с pop3/smtp решает.

Какая служба загружается в NT - системах, как дословно называется? Чтобы её можно было отключить. У меня он просто не установлен.

Кто решал проблему: Виндовс 2000 sp4 на пенке 4 - 2.8 с включенным НТ впадает в синий экран сразу после подключения в интернет по модему. Если убрать НТ то все работает как часы. Перепробовал все версии, начиная от 1 и до последней. Самое интересное после установки на новой системе все работает абсолютно без проблем пару сеансов. Но стоит опять подключиться в интернет через некоторое время (например на следующий день) все опять повторяется. (Кстати дольше всех держалась 1 версия дня три четыре, я уж хотел ее оставить но видать не судьба).
Сообщение об ошибке: KMODE_EXCEPTION_NOT_HANDLED - на Filtnt.sys.

Та же проблема:Windows 2000 server SP4!!! Хотя Agnitum и пишет, что проблема вроде бы исправлена (использую версиб 2.1.297.2912(307)),но синий экран смерти всеравно появляется при подключении к Инету или к сети!!!Под XP такой проблемы нет! Все вроде нормально работает!!!Помогите,плз, задолбался уже а нужен именно 2000 и именно Server!!Уже не знаю что делать!Компьютер: ASUS P4C800 Deluxe,Pentium IV 3ГГц,1Гб RAM Kingston,Кфвущт 9800 Pro, RAID 0 из двух дисков Seagate 7.200, Creative Audigy 2. ПОМОГИТЕ,ПОЖАЛУЙСТА!!!Заранее благдарен!!!!

Ошибка KMODE_EXCEPTION_NOT_HANDLED (0x0000001E)

Цитата:

Это очень часто встречающаяся ошибка. Обычно исключённый адрес указывает на драйвер или функцию, которая вызвала стоп-экран. Всегда обращайте внимание не только на указанный драйвер, но и на сам адрес или имидж, содержащий эту ошибку. Обычно это код исключения 0x80000003. Эта ошибка означает, что точка прерывания или суждение было достигнуто при обращении к памяти, но система загрузилась с /NODEBUG ключа. Это ошибка не должна появляться слишком часто. Если ошибка появляется постоянно, убедитесь, что отладчик (debugger) подключён и система загружается с /DEBUG switch.

На неИнтеловских системах, если адресс исключения 0XBFC0304, ошибка появляется вследствие кеширования процессора. Если ошибка будет появляться снова, свяжитесь с производителями.

Как правило, требуется анализ второго параметра этого сообщения, который указывает на адрес драйвера/функции, которая была причиной проблемы.

Параметры:

1 - код исключительной ситуации
2 - адрес, при обработке которого произошел сбой
3 - Parameter 0 of the exception
4 - Parameter 1 of the exception

Так он под XP больше синие экраны не показывает? Или все так же? А то думаю попробовать аутпост вместо NIS2004