» Agnitum Outpost Firewall Pro

chum2000
Я так и не переборол outpost. Так как не могу позволить себе много времени на тренировку и эксперименты, то снес его и установил Agava Firewall. Разрешил там, как описывалось, разрешения на файлы и все стало работать под этим firewal'ом

PopovSergej

Цитата:

Я просто не понимаю одного, почему игнорируется белый список?

Логи я попросил в основном для того, чтобы выяснить это. Атака точно идёт с того же самого IP, что добавлен в белый список? Или добавлен был IP форума? Если первое, то это просто баг, может, его и исправили, хотя я пользуюсь тоже версией 3.0.557.5918, и белый список с атакой "Сканирование порта" работает как надо.

Цитата:

Отключать данный вид атаки не буду, не к чему, это на этом сайте можно и без него, я давно им пользуюсь, а вот если занесет куда то , а там на самом деле атака будет и этот тип атаки будет отключен в детекторе атак.

Правильно!

Цитата:

старую перед установкой новой снес и вычистил все руками

Отлично, так и надо, если начинаются глюки.

CBB

Цитата:

Именно из-за полного провала тестов на читерство он на седьмое место и откатился

Скажи где про эти тесты прочитать можно?

Уже вышла (591) а (584) даже еще не думает через автоапдейт обновлться..это у все так? и почему такое происходит.

В новой версии отвалились плагины HTTP Record и WhoEasy, это у всех так?

NikLok

Цитата:

Цитата:Именно из-за полного провала тестов на читерство он на седьмое место и откатился

Скажи где про эти тесты прочитать можно?

Я ж дал ссылку, там и смотри описание Fake Protection Revealer (FPR) tests, там же и исходники.

Цитата:

Народ, а версия 1007.591.145 под вистой пашет?

к сожалению, все еще не совместима(

Dimon Hill
да они вроде давненько отвалились
блокПост только прицепили к ней вроде как так..

Добавлено:
PopovSergej
конект может слабенький вот серваки и
долбят тебя на соединение(когда инет подвисает)
отсюда и воспринимается это как атака.ИМХО

latin
Согласен но не думаю что спецы в компании которая заботится о своем имидже будет такое творить... к тому же автор которы проводил тесты у него оччень заметна любовь к другому файеру...
Ну а сдругой стороны если защищает всетаки не все атаки то уж основные-распространенные точно!!! а если еще и в связке то думаю нормально

Kofein
Коннект GPRS , а он по определению г....
Только почему с этого форума и все? Больше ни разу не видел атак вообще (видимо по такому тощему каналу атаковать невозможно )


А это запись из журнала Детектора атак

22:38:18    Nuke атака    84.17.243.19 -> 84.17.243.19
Или где то в другом месте смотреть?

Добавлено:
Только что увидел ту же ерунду и на новой версии

latin

Цитата:

Есть маза, что порой разработчики специально затачивают свои продукты под определенные тесты. (может кто помнит про нВидеа)

может, наоборот? Тесты под продукты? А то про НВидиа я тож помню =))

В последнее время довольно часто сталкиваюсь вот с этим:
17.04.2006 22:42:51    Подмена IP-адреса    255.255.255.255    9E-DF-20-00-01-00
Это глюк АутПоста, или все-таки что-то серьезное?

BlackFox

Цитата:

Уже вышла (591) а (584) даже еще не думает через автоапдейт обновлться..это у все так?

Аналогично.
Я пока сюда не зашел, даже не знал, что новый билд есть.

ghosty
скорее всего глюк, тоже такое случалось у меня.

ZUMR
Никакой связи между ошибкой, которая у тебя появляется и работой видеокарты я не вижу. Файл журнала OF имеет формат .mdb, т.е. MS Access.. Соответственно - может быть глюкнул файл журнала, может еще какой-то юзер (если у тебя их на машине несколько) или процесс ломится к этому файлу... Точно сказать не могу, но ИМХО причина в этом кроется. Вообще, на мой взгляд, Agnitum недоработал в последних версиях ведение журнала OF, из-за этого могут возникать глюки...

плагины совместимые c 3.5
http://www.sendspace.com/file/ujp4l5 (~520Kb)
Blockpost
HTTPLog
SuperStealth
TraffLED

CBB

Цитата:

Я ж дал ссылку, там и смотри описание Fake Protection Revealer (FPR) tests, там же и исходники.

Матоусики явно комод пиарят. Дырку с FPR Агнитум закрыл еще 12го числа в 590 версии.
Релиз комода вышел 20го. При этом комод уже у них перетестирован и получил max рейтинг, а аутпост - все еще 584ый . Настораживает.

front242

Цитата:

плагины совместимые c 3.5

Немножко в сторону, но всё же: плагин PC Flank WhoEasy официально с OP 3.0 вроде не совместим, только со вторыми, однако прекрасно работал у меня. Может, и под последней версией будет? Кому не лень, проверьте!

InKr
Это правда, с одной стороны, с другой - Матроусик пишет, что хуки уровня юзера, которые использует Аутпост, легко снимаются, а ядерные хуки Комодо и др. хоть и тоже можно попытаться снять, но с этими попытками уже можно успешно бороться (борется ли комод в реальности - неизвестно). Так что скорей всего он просто перед новым тестом готовит новый FPR. Ведь препятствие FPR - просто препятствие тесту, выявляющему читерство, само-то читерство при этом никуда не девается

Viewgg
я вместо WhoEasy стал пользовать SmartWhois имхо ничем не хуже, а плагин пока не соберут под новую версию вряд ли заработает

CBB

Цитата:

Так что скорей всего он просто перед новым тестом готовит новый FPR. Ведь препятствие FPR - просто препятствие тесту, выявляющему читерство, само-то читерство при этом никуда не девается

Хм. Как я уже говорил в ветке про комод - это также можно считать не обнаружением читерства, а новой найденной уязвимостью и если в 590 релизе эта уязвимость закрыта (причем я не думаю, что там просто противостояние конкретному FPR.exe, а все-таки более общая защита поставлена), то - какая разница какого уровня хуки используются.

Я двумя руками за то, чтобы матоусики продолжали также код шерстить (ибо это полезно, особенно когда вендор оперативно реагирует), но объявлять читерами тех с чьей позицией ты не согласен - это тоже не дело. Заказухой начинает попахивать .

З.Ы. Кстати, у комода другой подход - они секут свершившийся факт, когда только зарывать приложению доступ остается только, а аутпост - уже попытки. Если оба подхода обеспечивают одинаковый уровень безопасности, то подход аутпоста мне больше нравится.

З.З.Ы. То что хук ринг0 априори надежнее хук ринг3 - тут вопросов нет, но если эксплойтов для обхода ринг3 нету (а их известных на настоящий момент нету) - так ИМХО такая имплементация тоже имеет право на жизнь. Будет новый эксплойт от них - вот тогда другой разговор.

Установил Программу версия 3.5, скачал с Интернета обновления шпионских модулй и работал. Но потом мне пришлось переустанавливать Windows (образ не помог). Снова установил outpost и пришлось снова качть обновления шпионских модулей? Как сохранить их на диске в отдельной папке? И как их вручную установить? Как сделать так чтобы при обновлении с Интернета не качались обновления программных модулей, а только обновления Outpost firewall Anti-Spyware ? Спасибо всем, кто откликнется!

InKr

Цитата:

Я двумя руками за то, чтобы матоусики продолжали также код шерстить (ибо это полезно, особенно когда вендор оперативно реагирует), но объявлять читерами тех с чьей позицией ты не согласен - это тоже не дело. Заказухой начинает попахивать

Мне тоже не по душе зачет одной дыры сразу за двадцать и тот вес, который в тестах Матоусика играет тест его собственного производства. Но решить, чьи аргументы сильней - моей квалификации не хватает. Поглядим, ситуация становится интересной. Если окажется, что Аутпост и вправду ловит не сами утечки, а известные тесты на эти утечки - скандал получится неслабый

mrdime

Цитата:

Никакой связи между ошибкой, которая у тебя появляется и работой видеокарты я не вижу.

Цитата:

Точно сказать не могу, но ИМХО причина в этом кроется.

Похоже на то, т.к. я только что обновил Аутпост на новую версию, и эта ошибка пропала.

А проблема с выводом картинки на несколько мониторов осталась.
Значит причина уже не в Аутпосте, просто так видать совпало, хотя редкий случай.

ZUMR
OP создает запрос на некоторые библиотеки дров на карту!!! может ты просто нечайно заблокировал их и не заметил?

Viewgg

Цитата:

Немножко в сторону, но всё же: плагин PC Flank WhoEasy официально с OP 3.0 вроде не совместим, только со вторыми, однако прекрасно работал у меня. Может, и под последней версией будет? Кому не лень, проверьте!

не работает!

Добавлено:
Подскажите, что надо сделать, чтобы не выскакивало окошко с предложением загрузить Flash player 8 "макромедии", просто замучилась не возможно открыть страничку на форуме без этого "джаза"!!!?

CBB

Цитата:

Мне тоже не по душе зачет одной дыры сразу за двадцать и тот вес, который в тестах Матоусика играет тест его собственного производства.

Не - ну там аргументация понятна - пробивать аутпост версии 584 можно любым из 23 (из 38 вообще возможных) методов, если добавить в них первым шагом снятие хуков. И никто ничего не заметит. Другой вопрос - к рейтингам как таковым (Excelent, Good и т.д.) - но это уже на совести авторов обзора.
В 590 Агнитум говорит что дыру с хуками закрыл и я склонен им верить - иначе бы Матоусик не преминул бы об этом растрезвонить (две недели уже прошло). Он же нашел другую дыру которую Агнитум закрыл 591 версией. И очевидно пытается найти еще что-нибудь чтобы не пускать Аутпост обратно на первое место. Но пока видимо дыры нет. А на нет - и суда нет .


Цитата:

Поглядим, ситуация становится интересной.

Согласен. Но дома пока, все равно вернулся на Аутпост, ибо комод с каспером и PPPoE не уживается никак.

uskSerg

Цитата:

только обновления Outpost firewall Anti-Spyware

Цитата:

пришлось снова качть обновления шпионских модулей? Как сохранить их на диске в отдельной папке?

А если попробовать сохранить эту папку "\Program Files\Agnitum Outpost Firewall\Plugins\AntiSpyware" и потом вернуть её обратно?
Это лишь догадка...

Есть очень большое подозрение, что именно некорректно написанный wl_hook.dll приводит к ненормальной работе некоторых приложений. И это несмотря на то, что полностью выключен Anti-Leak и Component Control (disabled). Пробовал добавлять некоторые процессы в wl_hook_data.cfg - не помогает. Решил, что лучше уж сидеть без контроля компонентов, чем регулярно получать глюки из-за него.

Кстати, это большой камень в огород Outpost-a! Несмотря на то, что отключены component control, self-protection и anti-leak - он все равно упорно продолжает загружать wl_hook в каждый процесс! Уже не на одмом форуме в сети всплыл сей факт...

Вопрос следующий.
Для отключения загрузки wl_hook.dll - пробовал просто удалить этот файл (точнее, переименовать в любое другое имя, а потом перезагрузиться), тогда wl_hook.dll больше не грузится и Outpost вроде продолжает работать нормально. Но при гашении windows (shutdown) - Outpost выкидывает сообщение типа "ваша безопасность сейчас будет под угрозой" (аналогично тому, как это происходит, когда просто выгружаем outpost). Каждый раз закрывать это дурацкое сообщение как-то ломает.
Есть ли способ совсем избавиться от этого wl_hook и лишних сообщений тоже? (надеюсь, что потребуется только на время, пока разработчики не отточат этот свой component control. Хотя давно уже оттачивают...)

jane

Цитата:

Подскажите, что надо сделать

загрузить, ничего страшного в этом нет