» Agnitum Outpost Firewall Pro

LArV
Нет, отключать не пробовал. Но, как бы Нортон включен постоянно и проблем до сих пор не возникало. Попробую, завтра напишу.
Спасибо.

Worster
Цитата:

...Первый раз блокировался IE -изменение памяти SVHOST, затем - ослик, ему поменял память IE, затем AvantBrowser - что-то там еще.

журнал посмотри, там должно быть записано кто и кому, и выложи список процессов которые присутствуют в момент сообщений outpost'а (можно и чуть позже), у меня в списке исключений присутствует пять процессов:
1. nncron.exe
2. sysexp.exe
3. Filemon.exe
4. Regmon.exe
5. Unlocker.exe
все они - очень полезные программы.

По обновлению залилась версия 3.5.745.6411(462)

Цитата:

По обновлению залилась версия 3.5.745.6411(462)

Из того что заметил - исправлен баг, описанный здесь: http://forum.ru-board.com/topic.cgi?forum=5&topic=19144&start=20#7

orvman

Цитата:

Модуль Интерактивные элементы - Веб-страницы. Копать там

Ясно. Вернее, совсем не ясно... Как копать? Где конкретно копать?

У меня вот так выглядит окно:



Где там Веб-страницы?

(Умоляюще складывая руки)... Милый, если не в тягость - чуток подробнее, а?

Eliza
параметры --> подключаемые модули -->интерактивные элементы (свойства)
Первая вкладка web-страницы..
разреши сценарии java и внешние обьекты.

Kofein

Цитата:

разреши сценарии java и внешние обьекты

Ооо! Yes! Спасибо!

А вот ещё одно: вчера поставила в IDM на закачку файлик, думаю, я сплю, а служба, значить, идёт. Хорошо, что проверила через минут 10 - Аутпост сообщил вдруг об атаке с этого адреса (а сайтик - проверенный, хороший сайтик): вижу - отрубил все соединения, так и висит окно качальщика, мерцает, пытаясь пробиться.
Выключила сабж - пошла закачка. Это что же получается! Получается, мне нужно теперь сидеть ночами и бдить? Или можно настроить?

Eliza
Достаточно отключить блокирование адреса при атаке в модуле Детектор Атак.

Eliza, посмотри в "журнале/детектор атак " - какая именно атака зафиксированна?
...возможно тебе просто нужно понизить уровень детектора атак "параметры/подключаемые модули/детектор атак/своиства/уровень тревоги" выбери "обычный" или "безразличный".

По обновлению залилась версия 3.5.746.6412(462)

DJ makrus
Посмотрел и журнал и список процессов только руками все это перенабирать долго - сделал скрины, а как их вставить в сообщение не знаю.
Во всяком случае написано в таком порядке:
"Winlogon.exe изменил область памяти Avant.exe"
CCAPP.exe изменил область памяти Avant.exe
NOTEPAD.exe изменил область памяти ALG.exe
NOTEPAD.exe изменил область памяти SVCHOST.exe

В списке процессов присутствуют:
op_viewer.exe
msmsgs.exe
Cap.exe
ctfmon.exe
LvAgent.exe
jusched.exe
rundll32.exe
CCAPP.exe и т.д. Если подскажешь как вставить скрин в письмо - будет полный список.
На данный момент просто отключил контроль процессов - пока все нормально. А вчера сканировал машину при загрузке с антивирусного CD - базы от 10.04. - все чисто.

Worster
Цитата:

...сделал скрины, а как их вставить в сообщение не знаю

вот здесь рассказано как это и еще многое чего можно сделать на этом форуме и воспользуйся к примеру http://imageshack.us/, только воспользуйся ссылкой по которой не полностью рисунок вставится, а будет или ссылка или превьюшка (маленькая картинка по нажатию на которой можно загрузить картинку исходного масштаба).

Лично у меня закрадывается подозрение что у тебя с системой что-то случилось, поэтому помимо скринов давай полный расклад: какая винда, версия Outpost'а, какие программы\обновления устанавливал последними, и припомни еще (в журнале посмотри если остались записи) были ли сообщения от файера об изменении компонентов в той или иной программе в последнее время (если откапаешь какие компоненты "обновлялись" - будет очень хорошо).

LArV

Цитата:

какая именно атака зафиксированна?

12.04.2006 04:04:30    Сканирование портов    83.222.7.131    TCP (1877, 1884, 1883, 1882, 1881, 1880)

Цитата:

выбери "обычный" или "безразличный"

Обычный и стоит... А "безразличный"... (хватается за сердце)... это что ж - наплевать ему будет на все атаки???!!! Кто хош приходи, панимаш...

YuraH

Цитата:

Достаточно отключить блокирование адреса при атаке в модуле Детектор Атак

То есть это надо делать сразу, как выплыло окошко об атаке? Жать на него и т.д.?

Eliza

Цитата:

То есть это надо делать сразу, как выплыло окошко об атаке? Жать на него и т.д.?

Нет, добавить безопасные узлы в список доверенных! Кнопочка в окошке настрйки детектора атак. Просканированные порты вроде не самые критичные, но что-то их много! Впрочем, бывает...
Цитата:

А "безразличный"... (хватается за сердце)... это что ж - наплевать ему будет на все атаки???!!!

Во-первых, не на все, во-вторых, он всего лишь будет молчать, даже если просканировано немало портов. Все остальные атаки (сканирование порта - это ещё не атака, хотя Outpost позиционирует это таким образом) будут отбиваться.

Eliza

Цитата:

"безразличный"... (хватается за сердце)... это что ж - наплевать ему будет на все атаки???!!! Кто хош приходи, панимаш...

"безразличный" - это название пугает не только тебя, я считаю что народ из Agnitum всего лишь неудачно дал название. Главное читай описание под этим названием: "Предупреждать, если система точно распознает атаку на компьютер". Все три режима настраивают чуствительность сабжа для отределения атаки, соответственно 2, 6, 12 зарегистрированных пакетов. Каждый хост в сети может находиться в разной среде - чем грязней среда тем меньшую чуствительность нужно устанавливать для сабжа! Добавлять каждый сайт, с которого ты качаешь, в "исключения" или "доверенные" не практично, потому как ты говорила - прийдется постоянно бдеть "Исключениями" или "Доверенными" могут быть хосты провайдера инета в большинстве случаев, и то не всегда.

И вообще ты упустила прекрасный совет который дала сама себе на второй странице: RTFM!

Цитата:

Пошла качать pdf'ки... может, там попроще расскажут...

Не сочти за грубость напомнить тебе об этом, так как все последнии твои вопросы связаны с нормальной эксплуатацией сабжа, описанные в мануале к сабжу.
Например, если ты купила стиральную машинку и не знаешь какую программу установить для шелка и какой вес допустим для этой программы, ты же не бежишь в магазин и не говоришь об этом: караул что-то сабж не работает или научите мяня настраивать программу Проще всего прочитать инструкцию по эксплуатации

DJ makrus
Извини, что задержал с ответом. Винда ХР SP2. Обновления последние с Мелкософта (даже не знаю как точнее сказать - все рекомендованные критические), Outpost Firewall Pro ver. 3.5.641.6214 (458). В журнале Аутпоста ничего нет, я его сдуру переставил поновой.
А вот и скрины: Визуальные оповещения:
Процессы:
Если это поможет разобраться в ситуации, буду очень признателен.

Viewgg, LArV, мерси... Каюсь: спешу с вопросами, потому как всегда более доверяю живому человеческому участию, а не сухой бумажке... исправлюсь...

Но вот что интересное заметила: если я запускаю сабж, а потом начинаю дозваниваться к прову, то происходит вот что - идёт сперва нормальный дозвон, потом отключение и модем ждёт уже звонка от прова, звонок проходит, но вот соединения НЕ ПРОИСХОДИТ. Вообще ничего не происходит.
Вырубила сабж - вышла в Сеть нормально.

Это что значит?

Eliza
Имеется в виду дозвон по телефонной линии? Ожидание звонка от провайдера - что-то странное... На разных осях с OP проблем никогда не было... Может, отключено правило, разрешающее DHCP? Оно здесь жизненно необходимо, как сделать, хорошо написано в руководстве.

Worster
Цитата:

Извини, что задержал с ответом.

Да ну, ты что! Ты никого кроме себя не задерживаешь

Цитата:

...Обновления последние с Мелкософта (даже не знаю как точнее сказать - все рекомендованные критические)...

фактически важно не то какие обновления у тебя стоят, а то какое было последним перед тем как у тебя начались эти проблемы (откатив его можно было бы узнать виновато ли оно или нет)
В процессах я ничего странного не заметил..., а вот в логе журнала странно (для меня) то что Outpost фиксирует изменение памяти процессов работающих с сетью со стороны "стандартных" процессов винды (ты же блокнот не менял на какую-нибудь улучшенную версию стороннего производителя? Хотя winlogon.exe - почти наверняка родной.) И раньше ты говорил что память меняют разные процессы (я про те которые меняют, а не "у которых"), т. к. я сталкивался с тем что один и тот же процесс меняет память у процессов работающих с сетью ...

[more=Мое предположение:]1. Ты установил программу\обновление которое занесло в список расшаренных dll'ок свою, которая в процессе своей работы использует какие-то функции (совершенно, может быть, безобидные функции) вызывающие "изменение памяти" у других процессов - что и фиксирует файерволл, как только какая-нибудь программа подгрузит эту dll'ку и та делает свое "черное дело" - ты видишь эти окошки Outpost'а.
2. Не исключено что все-таки есть какая-нибудь зараза, но не простая, а использующая технологию RootKit (высококачественной маскировки себя в системе)
Что делать:
2. Попробуй программы специализирующиеся в этой области AVZ и RootKit Hook Analyzer (в первой установи эвристический анализ на максимум и расширенный анализ)
1. 1 Попробуй вспомнить (посмотри логи антивируса - помогает освежить память) какую программу\обновление ты устанавливал за 0-3 дня до начала проблем
1. 2 Попробуй вычислить эту dll'ку: включи контроль компонентов - установи в "Максимальный", затем там же выбери "Редактировать" --> "Пересобрать базу данных". С этого момента как только какое-нибудь приложение подгрузит искомую нами dll'ку выскочит окошко Outpost'а об изменении компонента этого приложения, теоретически после этого должны последовать окошки об изменение памяти этим приложением. Твоя задача записывать какие компоненты меняются (не помню в журнал пишется конкретная изменившаяся компонета, и наберись терпения их может быть очень много) и как только начнутся изменения памяти приложений - посмотри на последнюю\ие изменившиеся компоненты, далее выясняй какой программе\обновлению она\они принадлежат и деинсталяцией проверяй свои подозрения.
Примерно так.[/more]

Viewgg
Цитата:

...Ожидание звонка от провайдера - что-то странное...

если не ошибаюсь - это зовется callback'ом (обратным дозовоном), актуально для dial-up'а при поминутной оплате за пользование телефоном.

Eliza
Цитата:

...модем ждёт уже звонка от прова, звонок проходит, но вот соединения НЕ ПРОИСХОДИТ. Вообще ничего не происходит...

с помощью чего дозваниваетесь? Включите лог звонилки и посмотрите что там пишется. А в журнале outpost'а что при этом видно?

Я хотел спросить, можно отлючить сервис Брандмауэр Windows/Общий доступ к Интернету (ICS)?.. т.к. использую Outpost , чтобы в процессах не висел alg.exe

Цитата:

Я хотел спросить, можно отлючить сервис Брандмауэр Windows/Общий доступ к Интернету (ICS)?.. т.к. использую Outpost , чтобы в процессах не висел alg.exe

Если у тя этот "Общий доступ к Интернету" не используется, то можно

Цитата:

Если у тя этот "Общий доступ к Интернету" не используется, то можно

не использую, отключил, спасибо

А меня вот какой косяк замучил:
Outpost 3.5.641
Создаю правила для Serv-U
Разрешить входящее TCP с 20, 21, 1024-65535
Разрешить изходящее TCP с 20, 21, 1024-65535
И всё работает как часы!

Но при перезагрузке Outposta в этих пунктах добавляеться галочка:
" и включить динамическую фильтрацию "
Всё! Клиент не конектится.

Снимаешь галочку и опять порядок - до следующей перезагрузки.
Как побороть?

Добавлено:
Точнее он конектится, но не может считать директории на сервере.
И отваливается с ошибкой сокета.

Kolik


Цитата:

" и включить динамическую фильтрацию "
Всё! Клиент не конектится. Точнее он конектится, но не может считать директории на сервере

А ты попробуй заставить клиента работать в пассивном режиме (PASV mode)

Тогда достаточно установить стандартное правило от Outpost
(Allowed TCPIP inbound port FTP,SSH,990 activate statefull inspection )

Зачем лишние правила на исходящие?
Да и существенно более безопасная конфигурация работы
см ссылки про динамическую фильтрацию в базе знаний из шапки.

Для справки
У меня стоит именно с таким правилом Serv-U (начиная с v5 => v6.105)
Менял версии Outpost 2.1>2.5>2.6.....>3.5.641
Никаких изменений-проблем в работе фтп-сервера
Рекомендую!!

Spectr

А клиент у меня и работает в пассивном режиме.
Лишние правила убрать не проблема.
Непонятно почему самопроизвольно появляються правила
насчёт динамической фильтрации.




Добавлено:
А вот Serv-U у меня версии 6.2.0.1

Kolik

Цитата:

Непонятно почему самопроизвольно появляються правила
насчёт динамической фильтрации.

Это новшества последней версии ( в частности навязывает правила для ALG, svchost) вот теперь еще выяснилось из твоего опыта что и динамическую фильтрацию насильно выставляет.
На бурж форуме это привело к призыву не пользоваться новой версией и требовать от Agnitum вернуть свободу рук (кто платит тот заказывает музыку). Так что ждем новую версию или сидим на v3.0

Кстати если есть sn к v 6.2.0.1 не бросишь в ПМ
а то есть только v6.2.0.1_BetaMaster - не люблю кряки

Даа...
Непонятно тогда как-же выставить правила для Serv-U.
Похоже и правда всё дело в ALG.
В правилах для Serv-U и появляеться такая строчка:
"и включить динамическую фильтрацию (ALG FTP)"
после этого и кранты.
В правилах для ALG она тоже конечно есть.

Kolik
Могу посоветовать сохранить текущую конфигурацию аутпоста и создать новую с нуля средствами аутпоста (CTRL+N) позволив ему выставить дефолтные правила для serv-U, ALG, svchost

Вероятнее всего проблемы с подсоединением к серверу исчезнут.
А тогда уже можно пошагово ужесточать-модифицировать правила аутпоста.

Spectr
Да, я тоже уже склоняюь к этому.

Интересная штука:
Когда я создаю правила для FTP в режиме обучения то
создаются правила те-же что и созданые мною вручную.
И всё работает...



Добавлено:

Всё! Победил фильтрацию!
Всё работает.
Пришлось применить танцы с бубном
По моему явный глюк программы.