» Agnitum Outpost Firewall Pro

Karlsberg

Спасибо. Наконец-то появилась статья по делу.

следующий проблем:
при работе в интернете через VPN, с IP, который является Default Gateway-ем в LANе, летят толпы запрещённых по умолчанию в АП пакетов под названием ICMP Redirect/1
причём их так много (гдето по 5 штук в связке с каждой IP-активностью), что пришлось включить HideIcmpActivity=yes, иначе они просто всё забивают... По описанию чтото вроде PC Flank-окского тэста под названием REDIR...

c чем это может быть связано?, и стоит ли их разрешить?
p.s. Какбы на скорость инета они сильно не влияют не разрешённые, ни запрещёные, а вот на железо нагрузку явно не уменьшает... :/


Добавлено later
Вобщем вроде разобрался, лучшим вариантом оказалось разрешить общим правилом ICMP для моего шлюза... как учат на оффоруме:
Allow Trusted ICMP: Protocol IP type ICMP, Remote Host IP of my Default Gateway, Allow

вродебы правильно сделал

А кто придумал руководство сделать в *.PDF формате?

Можно ли как-то его в другой формат забабахать, если да то как!?
Или так и придётся кажый раз открывать и выберать нужную страницу. Может просто я не секу?

Вобщем помогите, как пользоваться эти руководством, чтобы было удобно?

Sigmat, тот что в *.PDF-е помоему никто и никогда не читал
толковые описания лежат на User's Support Forum-е например.... а PDF сразу в корзину
Или вон сходи для начала по ссылке Karlsberg пару постов выше, тоже неплохая страничка...

HeT BonpocoB Понятно Просто было интересно, для чего их выложили!

Интересная вещь.. упала XP в синий экран.. после чего Аутпост убивает трафик после 10 минут работы. пока не его не перезапустишь

Вот такой вот багтрек на SecurityLab _http://www.securityLab.ru/46765.html,
смысл в чем - рассматривается идея затроянивания компа и последующих всяких вредных действий. Процесс непростой, не буду сам ничего рассказывать - "Лучше один раз увидеть чем сто раз услышать". Цитатs :

Цитата:

На каждой машине установлен Agnium Outpost 2.1.303.314

...

Цитата:

пользователь заходит на сервер, ему устанавливается Троян, и после выхода-входа в систему Троян сохраняет на сервере содержимое файла C:\boot.ini. Что подтверждается журналами сервера и сохраненными getfile.asp данными.

А что Outpost, спросит читатель? Не пискнул даже. Даже не хрюкнул...

...

Цитата:

Что за чушь», - воскликнет читатель, «Что он хотел от Outpost, это же всего лишь firewall!». И будет прав. Целью данной статьи было не охаять этот неплохой, в общем-то, продукт, но продемонстрировать некоторые современные техники используемые «плохими парнями» уже который год, но незнакомые большинству безопасников. Кроме того, хотелось бы лишний раз повторить фразу, сказанную кем-то из великих:

«Панацей не существует, и только комплексный поход к защите может помочь снизить риски, связанные с использованием информационных технологий в бизнесе. Именно снизить, но не в коем случае не исключить».

И, действительно, причем здесь Outpost? Можно подумать другой файр не лажанулся бы?

i4get
Что за чушь ?!

i4get
после куска, процитированного чуть ниже, читать дальше эту статейку, присланную на какой-то ихний конкурс неким Lame@pochta.ru, уже не интересно:
Цитата:

Клиентские машины (W2K3, W2K) с Internet Explorer без патча MS03-040 (поскольку именно эту дырку я использовал в эксперименте) ... На каждой машине установлен Agnium Outpost 2.1.303.314 (что было на сервере, то и взял), с настройками по умолчанию (чистая конфигурация, режим обучения). На каждой машине разрешено пользоваться IE (на вопрос Outpost было сказано «Создать правило на основе стандартного»)

особо пытливым можно почитать обсуждение статьи, начиная со второй страницы

0nly
Almaz
И это далеко не предел.
Вот еще получил.

Цитата:

От: SECURITY.NNOV <daily@SECURITY.NNOV.RU> (http://www.security.nnov.ru)
...
3. Обход защиты в нескольких персональных фаерволах (protection bypass)
Опубликовано: 29 июля 2004 г.
Источник: SECURITYLAB
Тип: клиент
Опасность: 5
Описание: Используя сочетания скриптинга, и межсайтового
скриптинга троянское приложение может получить доступ
к внешним сетевым ресурсам на чтение/запись и обойти
ограничения на доступные сайты.
Продукты: AGNITUM: Outpost 2.1
Документы: Lame@pochta.ru, Причмокивание опоссума,
http://www.security.nnov.ru/search/document.asp?docid=6547
Файлы: Причмокивание опоссума,
http://www.securitylab.ru/46765.html
Обсудить: http://www.security.nnov.ru/board/index.asp?boardnum=3871

Чесн слово, я сам не знаю, то ли смеяться. то ли...
Вроде ж серъезные люди, умные и все такое...
Может те кто такую пургу публикует сами ее не читают?

Там же кусочек из ответа представителя Agnitum -

Цитата:

А обойти OPF, конечно, можно. Способов - масса. Только это не уровень пионера. А я из твоего текста другого не увидел. А от настоящего профи никакой PF сам по себе не защитит. Тут нужен комплекс средств защиты

Собсно непонятен смысл затеи, и у "пионера" вывод такой же, прописные истины. И давно очевидны любому по-моему. (Дессно при чём тут сабж ? =))


Цитата:

Нет, я хочу другого - чтобы ты сказал, "извини, я повел себя как мелкий врунишка, понадеявшийся на неподготовленность публики" и извинился за свое поведение.

Можно ли в Outpost или в плагинах настроить вырезать из страниц текст
Цитата:

<meta http-equiv="Cache-Control" content="no-cache">

. Что бы на этом форуме сохранялись в кеш не только версия для печати но и просто страницы.

На такое способны только прокси-серверы вроде... например Proxomitron

Добавлено
<moota http-ignore="Cache-Control" content="no-cache">
вот это резать ещё надо...

Цитата:

На такое способны только прокси-серверы вроде...

Блин, еще одна прога висеть в трее будет. А м.б. как-то можно. Режет же он графику.

Реестр пользователя был сохранен в то время, когда приложение или служба продолжали использовать его во время выхода из системы. Используемая реестром память не была освобождена. Реестр будет выгружен, когда он небудет использоваться.
Такая трабла появилась после установки Outpost Firewall . Кто нибудь знает решение проблемы?

а кто нить сталкивался с тем что outpost? не смотря на то что в плагине контроля содержимого ему запрещали грузить флеш, преспокойно грузил рекламу с яндекса и коегде еще. Он глючит, версия не свежая или хитрые рекламщики как то его обходят?

вот список изменений бета версии:

Цитата:

Build 338/350

Personal Firewall
- Network mask support in Select Address dialogs
- Filtering of localhost packets in Rules creation dialog
- Filtering of transit packets in Rules creation dialog for better performance on the gateway PCs
- RAWSOCKET and non-IP protocols control
- Ability to allow/block ICMP type 10 (Router Solicitation)
- Presets for working in Windows Domain
- Support for creating rules for applications with non-English names
- Ability to add command line parameters in Rules->Action->Run application dialog

Component Control
- Option to accept one changed component for all applications at once
- Option to view all controlled components for particular application
- Option to rebuild component control database from scratch

Leaktests
- Protection against process memory space hijacking by malicious code (Copycat and Thermite leaktests)
- Prompt for launching a process in hidden window (former DisableNetworkForHiddenPrcoess option in outpost.ini)
- Password protection from unauthorized stopping/terminating of Outpost service

Logging
- Option to turn logging off without Outpost restart
- Export of log files in CSV format
- Log viewer shows records in real time
- Component control events are logged

Advanced Configuration Wizard
- Option to edit application rules while performing auto configuration during installation
- Option to build component control database during installation
- Option to run auto configuration similar to one run during installation when creating a new configuration

Miscellaneous Outpost improvements
- Access to Log Viewer can be password protected
- Faster IGMP and ICMP packet processing
- "What's new" is available" from the Help menu
- Warning if user exits Outpost or switches it to Disable mode
- "Show Logging" option added to tray shortcut menu
- Outpost does not require a restart after entering registration key
- All passwords used in Outpost are encrypted
- The date before license expiration is shown
- [Last Hosts] option in outpost.ini is no more logged
- Automatically switching to Block most policy after certain period of inactivity or screen saver activation
- Ability to select a policy for Background mode

Attack Detection plug-in
- Option to play sound when attack or port scanning is detected
- Option to unblock the IP that was blocked by Attack Detection plug-in after attack or port scanning
- Turn on and off detection of attacks of particular type
- Exclusion list of IPs from which port scanning would not be detected
- Exclusion list of ports to which port scanning would not be detected
- Customizing a weight of danger for port to trigger Port Scanning detection warning
- Customizing a weight of danger to trigger Port Scanning detection warning for Minimum, Normal and Paranoid mode
- Fine tuning of attack and scanning detection internal parameters

DNS Cache plug-in
- All requests to remote port 53 violating the DNS standards are blocked
- Ability to exclude host from being cached

Attachment Filter plug-in
- Non-English attachments now also can be renamed
- CLSID now also can be renamed
- Attachment extensions are shown in Properties dialog

Advertisement blocking plug-in
- Ability to download list of keywords from Agnitum forum (AGNIS list)
- Import and export of the settings

Active Content plug-in
- Referrer blocking on site-per-site basis
- Prompt option for referrers
- Import and export of the settings

Content plug-in
- Option to exclude some sites from being blocked by plug-in
- Import and export of the settings

Fixes (only Major are listed)
- BSOD on Hyper threading PCs
- Log Cleaner crashed and slowed performance
- Different kind of system freezes including freeze due to alert on blocked attack, freeze during standby, freeze caused by malformed e-mails
- Incorrect service registration distorting TCP protocol performance
- Memory leaks due to IGMP flood
- Troubles in rules settings for applications located not on hard disk (floppy, CD, etc.)
- Outpost crashed during Windows shutdown
- NetBIOS counters now show correct number of sent / received bytes
- Blocking of access to specific sites
- Errors while creating exclusions lists for Ad blocking and Active content plug-ins

с час уже разбираюсь с этой версией.

или частично на русском:

Цитата:

- Улучшенный модуль "Детектор атак" (выборочная настройка портов, списки доверенных портов и протоколов)
- Мастер конфигурации
- Open Process Control: Защита от внедрения в память процесса злонамеренного кода (тесты Copycat и Thermite)
- Контроль скрытых процессов
- Защита паролем от несанкционированной остановки сервиса Outpost "Троянским конем" или вирусом
- Выборочная защита паролем настроек брандмауэра, службы Outpost и Журнала событий
- Возможность загрузки списка ключевых слов для модуля "Реклама"
- Блокирование "referrer" на уровне сайтов в модуле "Интерактивные элементы"
- Экспорт и импорт настроек модулей "Содержимое", "Интерактивные элементы" и "Реклама"
- Фильтрация локальных пакетов
- Фильтрация транзитных пакетов для повышения производительности межсетевых шлюзов (маршрутизаторов)
- Контроль RAWSOCKET пакетов
- Блокирование неверных DNS-запросов
- Возможность включения/отключения регистрации событий без перезапуска Outpost
- Экспорт файлов Журнала в формат .csv
- Отображение событий в режиме реального времени
- Усовершенствованная настройка "Контроля компонентов" (настройка в отдельном диалоговом окне)
- Ускоренная обработка IGMP и ICMP пакетов
- Автоматическая конфигурация правил для работы в домене
- Контроль ICMP-сообщений типа 10 (Router Solicitation)

pribl
Где-то слышал, что нужно сделать блокировку рекламы по строке "я.swf"
(именно так, только без кавычек). Я этого не проверял (пользуюсь AdMuncher'ом )

pribl
Реклама там грузится через ява-скрипты скорее всего - их запрещай!

Цитата:

вот список изменений бета версии:

Мда, серьезно! I Outpost!

народ, а если запретить ява скрипты, разве будут работаь любимый рубоард и др. форумы и просто навороченные веб интерфейсы по типу почты через веп интерфейс?

pribl
Запрещай яву для конкретных сайтов.

это зависит от ума тех кто их писал )) я лично НЕНАВИЖУ чтолибо сделанное не на хтмл... для большинства необходимых функций достаточно PHP или ASP
а вообще - смотри на месте... ру-боард работать будет, может не совсем как ты привык правда.. веб-интерфейс почты - если что-то типа того что на рамблере или на mail.ру - то тоже пахать будет... экспериментируй.
про рекламу на ява-скриптах - лучше ставить proxomitron чем резать все скрипты... главное иметь трезвые руки и правильную голову %)

Цитата:

BSOD on Hyper threading PCs

Вот с этой шукой я просто задолбался на старой версии ... Посмотрим что в этой бэте будет

Цитата:

- Filtering of transit packets in Rules creation dialog for better performance on the gateway PCs

Крайне полезная лично для меня фича (частенько дайлапю к себе домой, т.е. использую домашнюю машину как NAT), отсутствиее которой в 2.1. версии вынудило меня отказаться от Outpost'а Будем мигрировать назад.

pribl

Цитата:

преспокойно грузил рекламу с яндекса и коегде еще.

Советую использовать AdMuncher. Он идеально режет рекламу, и Яндекса и mail.ru...

Добавлено
Так, посмотрел на бету 2.5... Вернее попробовал.
Поставился он расчудесно и замечательно, но после ребута Win2k3 загружаться не захотела. Пришлось сносить через сейф-моуд... Ждем-с более стабильной беты...

Yest' problema. U menya dve setevie karti i outpost 2.x neochen' ih lyubit. Ya tak ponimayu chto nepodderzhivaet. Real'no vtoruyu kartu ya virubayu kogda nenado no v principe vse rabotalo bolee ili menee ok.

No nekotoree vremya nazad nachalis' problemi i Outpost nepokazival bol'she v "Network activity" programmi a tol'ko process "system". I v rules wizard rezhime voobshe vsyo blokiroval. Yesli pereinstolirovat' Outpost to do pervogo reboot vse ok, posle reboot opyat' tozhe samoe. Paru mesyacev nazad v Outpost forume uzhe sprashival, tam nikto tak i neotvetil.

Yest' razmishleniya o tom chto vse eto nachalos' togda kogda ya zainstaliroval novii draiver dlya virtual'noi karti chtobi rabotat' s emulyaciei Mac OS X. Zamuchalsya tam, no ochen' nado bilo zapustit'. Vrode kak vse po nachalu rabotalo no togda zdelal upgreid etogo draivera i nachalis' veseliye. Vse eti draivera ya snos' no nepomoglo.

Chutyo podskazivaet chto Outpost nemozhet srabotatsa s sistemnimi setevimi draiverami chtob proslushivat' setevoi trafik. Ili chto to v etom rode.

Mozhet kto nibud' slishal o takoi probleme? Pravil'no li ya razmishlyayu? Daite hotyabi navodku gde kopat'.

подскажите балбесу как конкретный АП забанить фаером, те запретить все пакеты с него и на него?

RAZORblade
Параметры - Системные - Общие правила - Параметры... - Добавить... -
галку на "Где удаленный адрес" (ххх.ххх.ххх.ххх) - галку на "Блокировать эти данные".

(стерто)

AITL
Опа - опередил меня, пока я свой пост писал

Читаю этот топик и даже незнаю ставить аутпост или нет?
Уж больно много с ним проблем случается, тут ка почитаешь, так выходит что это не фаервол, а траблмейкир какойто.
А мне то надо то всего чтоб попроще был, комп защещал и рикламку и излишества всякие резал, и что делать незнаю?