» Agnitum Outpost Firewall Pro

Bazzill 16:17 12-10-2013
Цитата:

Система WinXP.
 
Ищу старые версии Outpost

На XP даже древняя-предревняя 4-ка рулит. Не перейди я на Win7 (лицензия) на новом компе, до сих пор на 4-ке бы был.
Потом интерфейс абсолютно испортили и даже кое-какие фичи убрали (например, плагины, кнопку создания правил на основе предустановленных. Сейчас только иногда (т.е. не для всех приложений) выскакивает, а раньше была постоянная кнопка в создании правил).

Nick07
Цитата:

В списке разрешённых правил оставь только SVCHOST и

Мда... не думал я, что так быстро прозвучит ЭТО...сакраментальное ЭТО :)

SINISIN
Вот наглядная иллюстрация того, о чем я говорил выше - простому юзеру не стоит заморачиваться. В Руководстве Параноида чуть ли не с первых слов во главу угла ставится максимальная изоляция SVCHOST от Сети. По возможности - полная. У меня, к слову, ему все запрещено :)

Люди тут копья ломают за какие-то обновления... за работу проактивки... с завидной упорностью проходят лик-тесты... Зачем все это, если вот так, легко, открыть ему выход наружу?

Это, если провести аналогию, все равно, как поставить продвинутый спаморез (не умея его настраивать), и при этом оставить открытый релей. Вернее - собственными руками его открыть :) А после этого - успокоиться и посчитать задачу защиты почты решеной...

Сегодняшнее статус кво сводится к тому, что сабж нужен не столько для защиты от внешних вторжений, сколько для контроля активности и защиты от опасностей, исходящих изнутри системы. А всякими умолчательными настройками и прочими волюнтаризмами, типа отпускать SVCHOST в свободное плавание, этот функционал сабжа сводится на нет.

Так, пуркуа, спрашивается, кюре аккордеон?

Это она
http://kb2.firewallforum.ru/index.php/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D1%8E_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D0%B8_Outpost ?

Bazzill

Цитата:

Друзья, я экстра-профессионал с xx-летним стажем. Мои вирусы 1n-лет на назад на ассемблере называли вирусами десятилетия.

Вот жеж лол!

Цитата:

Нужны конкретные решения на 99% гарантирующие безопасность.

Опять же лол!

Цитата:

Почему многие приложения (Превентивка обнаруживает), например TrueCrypt, WinOrganizer пытаются изменить память процесcа Explorer.exe?

Это экстра-профессионал с xx-летним стажем так угорает или просто тестирует знания посетителей топика?

wshdc

Цитата:

Зачем все это, если вот так, легко, открыть ему выход наружу?

Разве нельзя контролировать доступ прог к SVCHOST?

Цитата:

Так, пуркуа, спрашивается, кюре аккордеон?

Не всё так однозначно как кажется на первый взгляд, уважаемый grbdv!

SINISIN
Да. Суть то же, что и в chm файле из шапки.

WildGoblin
Цитата:

Разве нельзя контролировать доступ прог к SVCHOST?

Дык, можно... Если ты имеешь ввиду Anti-Leak, то это, конечно, дело хозяйское - контролировать десять дыр на входе, вместо одной на выходе :)


Цитата:

уважаемый grbdv

Да не усирайся ты так... асбу еще вспомни. Проникся он уважением...

Добавлено:
SINISIN
Касательно Руководства. Написано оно было еще под 2-ку. Там организация правил была иной - в простом текстовом формате и в интерфейсе были различия. Поэтому, естественно, надо делать поправку на ветер.

Самое главное - надо вникнуть в приоритеты (см. шапку), актуальные для твоей версии Аутпоста. Тут могут возникнуть разночтения.

Также от версии к версии менялись некоторые умолчания. В частности loopback, который в 2-ке был по дефолту разрешен, в какой-то из последующих версий стал запрещен, емнип. Тут я могу ошибаться, но нечто подобное было.

Главное, что надо вынести из этого Руководства - это методу, а не относиться к нему, как к набору готовых решений, за которыми, вобщем-то, большинство и идет на сюда и подобные форумы.

Кстати...

Тут многие говорили, что outpost от версии к версии только ухудшается (
А в свете того, что 7 версия бесплатная и все предыдущие , я так полагаю тоже,
может старую юзать? Чем 8-я то лучше?

Ага, снова вопрос о пресловутом Svchost вылез стараниями кое-кого.

Для svchost-а в этом самом руководстве читаем правило:

Цитата:

Allow Help Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80, 443
Разрешить эти данные

И оно сводит на нет все прочие блокировки. Через него обновляются всяко-разные M$ проги, типа того же MSE, работает Windows Help и т.п. Но через него так же свободно вылезет и все иное. Не нужно блокировать и DNS, DHCP, SSDP и прочее.

Если зарубить svchost полностью, то не сможет обновляться MSE и все, что обновляется через svchost. Если оставить правило - громадная дыра.

Добавлено:
SINISIN
7-я версия такая же платная, как и все иные, предыдущие и последующие. Бесплатная 7.1 сильно ограничена в возможностях.

Добавлено:
Самая лучшая была и есть 4-я. Но она работает только до XP включительно.

Это которая Outpost Security Suite Free (7.1.1)?

Агнитуму просто нужно внедрить в сабж анализатор библиотек svchost, такой например как SvchostViewer, и выстраивать правила по каждой запущенной DLL'ке и процессу. Тогда все встанет на свои места.

SINISIN
Цитата:

... outpost от версии к версии только ухудшается ... 7 версия бесплатная и все предыдущие ... Чем 8-я то лучше?

* outpost от версии к версии только ухудшается
- Согласен. Добавлюот себя - НЕ УЛУЧШАЕТСЯ. Давно известные баги, ляпы, интерфейсные и организационные решения требующие модернизации поныне там.

* 7 версия бесплатная и все предыдущие
- Бесплатная только первая. Может я что-то пропустил...

* Чем 8-я то лучше
- Принципиально - ничем. Выпущена в угоду времени.

Под XP и 2003 ставь 4-ку без рассуждений. Отключай в ней все, оставив лишь фаеровский функционал. Предполагаю, но более чем уверен, что и для Win7-8 x86 это тоже будет справедливо.

Добавлено:
dadreamer
Цитата:

Агнитуму просто нужно внедрить в сабж анализатор библиотек svchost, такой например как SvchostViewer, и выстраивать правила по каждой запущенной DLL'ке и процессу. Тогда все встанет на свои места.

Есно! Такой функционал совсем даже не повредит. Создание правил для SVCHOST существенно облегчится для тех, кто в них объективно нуждается.

Хочется еще раз обхаять Агнитум - ведь выдающийся, в положительном смысле и без преувеличений, фаер, но - с практически полным отсутствием сетевых утилит. Когда я сел впервые за него, я был просто в шоке, что в нем не только нет внятного гуя для whois, ping etc., а их просто нет по определению...

wshdc

Цитата:

Не рефрешится НИКОГДА.
При первичном ресолве - подхватывает ВСЕ видимые на данный момент ИПы этого имени.
В последующем приходится заходить в правило, тыкать на любой из опознанных хостов (чтобы имя появилось в троке), жать Add - тогда добавятся новые, если таковые есть.
 
Этот недостаток дико ограничивает функционал и сводит на нет прелести всех трех основных режимов. Даже в режиме обучения засада ждет при использовании в наборе для приложения завершающих правил типа блочить-разрешать все остальное.
 
Добавлено:
По уму, так при таком ручном "обновлении" надо и старые ИПы убирать, т.к. они могут принадлежать уже совершенно другим именам

А реально написать костыль, чтобы проверять соответствие DNS <-> IPs в конфиге Outpost?
Ну и показывать правила, где есть несоответствия.
Я так понимаю, программно обновить конфиг низзя?

dadreamer

Цитата:

Агнитуму просто нужно внедрить в сабж анализатор библиотек svchost, такой например как SvchostViewer, и выстраивать правила по каждой запущенной DLL'ке и процессу. Тогда все встанет на свои места.

Эт точно, только что толку здесь это писать?

ApokrifКостыль, конечно, написать можно. Я в свое время, писал ресольвер в обе стороны под Эксель. Но ведь сейчас его никак не прикрутишь :(

Это было актуально и возможно в двойке, когда правила шли плейн-текстом. Они посчитали, что это невъе**нная уязвимость и загнали правила в свой формат...


Добавлено:
С тех пор онм смогли достаточно надежно защитить папку сабжа от вторжений - там даже пукнуть нельзя :) - но правила взад не вернули. А там ведь была еще шикарнейшая возможность задавать предустановки, емнип... Более того - сколько им было писано (мной в т.ч.) и по-русски, и по-аглицки - дайте внятный менеджер-навигатор правил. Хер там... Максимум, на что их хватило это на кривущий функционал копи-пасте начиная с 7-ки(?).

Добавлено:
WatsonRus
Цитата:

Для svchost-а в этом самом руководстве читаем правило:

Даже если и так, как ты процитировал, то замечу - Руководство не догма, а, простите, руководство к действию. Я не буду его перечитывать, чтобы возразить тебе конкретными цитатами, тем паче, что я изучал его в оригинале. Но, идею и концепцию отключения DNS, DHCP etc. я вычитал именно в нем.

Обновления чего бы то ни было - ЗЛО! [more=Не холивара ради]Обновления бездумные, для понта, по инерции и пр. Я не знаю, что такое MSE (щаз загуглю), но ущербным от этого я себя не чувствую. У меня стоит минимум обнов от БГ, но каждая известна мне и я ясно себе представляю - для чего я ее накатил. Множество софта у меня стоит на шаг-два-три сзади. Несколько - вообще поколением старше. И это осознанно. А ты знаешь в лицо все обновы от БГ, которые сыплются как из рога изобилия?[/more]

SINISIN

Цитата:

Тут многие говорили, что outpost от версии к версии только ухудшается (

Раньше да - вода мокрее была, а сахар слаще.

Цитата:

Чем 8-я то лучше?

Новейшие ос поддерживает.

WatsonRus

Цитата:

Но через него так же свободно вылезет и все иное.

Есть ведь антилик...

WildGoblin
Цитата:

Цитата: Тут многие говорили, что outpost от версии к версии только ухудшается (

Раньше да - вода мокрее была, а сахар слаще.

Windows XP SP3 x86
Outpost Firewall Pro 8.1 в связке с Emsisoft Anti-Malware 8.1
При установке Outpost не распознал наличие установленного Емсика.
В результате двойная работа:
- Вебконтроль,
- Контроль программ, итд.
Как настроить конфигурацию в связке.

Я бы так делал: Оба удалить. Удалить прочие надстройки над TCPIP. Вычистить систему. Сбросить TCPIP на дефолт. Установить Аутпост в минимальной конфигурации. Установить Эмси тоже в подрезанной, если это возможно. Ну, вобщем сделать так, чтобы функционал не пересекался. У Агнитума что-то еще а этапе установки надо отключать. Установить остальные надстройки.

Цитата:

была еще шикарнейшая возможность задавать предустановки

Да классная была штука.

wshdc 07:46 13-10-2013
Цитата:

кривущий функционал копи-пасте начиная с 7-ки(?)

С 6-ки (может, не с первой, но в последней точно уже есть). Потому я и говорю, что последняя полностью удобная для юзера версия была 4-ка.

6.5 ещё пользовался на ХР, но обновляться он хотел уже только на 7-й.

wshdc
простите за неровный нубский почерк, но прошу подробнее объяснить про отключение пересекающегося функционала сабжа и антивиря : в сабже отключить в настройках всеь раздел "Проактивной защиты"? w7+aofp8.1.1+kav13 -- прилично работает, хотелось бы просто подскипидарить зад этой связке, чтоб быстрее работала..
Благодарю

p0izn
Цитата:

простите за неровный нубский почерк

Да лана.. не мохай! У меня ж принцыпы - ни женстчин, ни детей :)


Цитата:

отключение пересекающегося функционала сабжа и антивиря ... w7+aofp8.1.1+kav13

Ну ты озадачил, епт... у меня XP/2003 +AOFP4+EAV4 :) Поэтому конкретику не подскажу.

Я же где-то писал про свой конфиг:
- в венде фаер, DNS, DHCP, SSDP, UPnP, Wireless Configuration, Windows Time, Automatic Updates - отключено. NetBIOS на адаптерах отключен, можно пытаться и службу TCP/IP NetBIOS Helper остановить. Autodetect network выключен, все хосты прописаны персонально - 255.255.255.255, а не подсетью
- в фаере отключен антилик, из плагинов оставлены только Attack Detection и DNS Cache
- в EAV отключен POP3 filter, Web access protection. Не совсем разобрался с Protocol Filtering - все собираюсь Арви попытать и других спецов - там разночтения в интрфейсе и мануале. Объекты и методы мониторинга оптимизированы по собственному пониманию.

Можно настроить автоматическое создание правил для новых приложений без разрешения этих правил? Может я не хочу чтобы это приложение выходило в сеть или принимать что-нибудь из неё. А свои правила правильно составить не могу, приходится искать на просторах интернета.

SINISIN
Вот как хотят все-таки люди мало кровью обойтись :)

Что тебе далась эта автоматика? Емнип, она тебе для всего чохом насоздает. Застрелишься потом разбираться.

Ставь в режим обучения, жми для каждого просящегося - создать правила по умолчанию, лезь в созданное, создавай по образцу собственные, перемещай их на самый верх, с остальных (дефолтных) снимай галки. В первом приближении покатит, а дальше изучай и старайся понять смысл того, что предлагал изначально Агнитум в дефолтных.

wshdc 20:19 15-10-2013
Цитата:

жми для каждого просящегося - создать правила по умолчанию

Вот только незадача - далеко не для всего он предлагает правила по умолчанию. Куда чаще ручками приходится создавать заново.
Это только в 4-ке хорошо - всегда есть "Создать правило на основе предустановленных".

WatsonRus
Цитата:

далеко не для всего он предлагает правила по умолчанию. Куда чаще ручками приходится создавать заново

Я этот момент не помню. А вот то, что я что-то нажал, и она (7-ка) насоздавала правил по умолчанию для всего, что смогла обнаружить - помню. Давно дело было... Но я как-то ведь смог это дело победить. Я в виртуалке (XP) создал такое же окружение и в таком же стиле и по подобию, как работал с 4-кой.

wshdc
Режим обучения у брэндмауэра? (не режим автообучения в основном разделе настроек) Он у меня и стоит.

WatsonRus
--Вот только незадача - далеко не для всего он предлагает правила по умолчанию

как ты прав
А что означало создать на основе предустановленных?

SINISIN 21:22 15-10-2013
Цитата:

А что означало создать на основе предустановленных?

Если Outpost "не знал" приложение, то предлагал наиболее подходящее из "стандартных" шаблонов - Browser/Mail client/Downloader/FTP client и т.п. Была также кнопка "Создать правило на основе предустановленных" в диалоге создания правил. Потом можно было править созданный набор правил в плане ужесточения.

Все это убрали в версиях старше 4-й, а взамен дали этот копи-паст правил (вместо того, чтобы было и то, и другое). Теперь для многого из того, что Outpost "не знает", приходится создавать правила ручками. Но иногда Outpost все-таки предлагает создать правила на основе предустановок.
Особенно плохо с портаблами (в т.ч. и браузерами).

SINISIN
Цитата:

Режим обучения у брэндмауэра? (не режим автообучения в основном разделе настроек) Он у меня и стоит.

Именно так. Режим - это обиходное название. В оригинале - политика (Policy). Выбираемая по правой кнопке на значке в трее.

А автообучение - я категорически против него. Может Ватсон именно его имел ввиду, говоря "далеко не для всего он предлагает"...

wshdc 21:27 15-10-2013
Цитата:

Может Ватсон именно его имел ввиду

Нет. Имел то, что сказал. Автообучением никогда не пользовался и первым делом отключал (и отключаю) его.

WatsonRus
Ну, я скоро буду вынужден снова вернуться к опытам с 7-8-кой - людям ведь надо что-то ставить... Обязательно обращу внимание.

Поглядываю я уже от безнадеги в сторону Privatefirewall
Многое в нем кажется странным. Буду экспериментировать в виртуалке тоже.