» Agnitum Outpost Firewall Pro
если вы запускаете новое приложение, то его нет в базе правил Outpost, естественно он спрашивает, что с ним делать.
Если для приложения уже расписаны все правила, туда ходи, сюда не ходи, Outpost ничего спрашивать не будет.
Цитата:
нет, не очень!
Среди нужных вам соединений могут быть и те, в которых используется уязвимость в вашем ПО (svchost например), вы же не будете создавать уникальное правило для каждой атаки. Точно так же как и антивирусы имеют базу конкретных вирусных сингатур. И никто особо не предлагает пользователям создавать правила самому.
Ну почему же? Для svchost всего 3 правила:
Код: 1. Allow UDP Out From IP Any To In [DNS Servers] Where Source Port Is In [1025-65535] And Destination Port Is 53
2. Allow UDP Out From IP Any To IP Any Where Source Port Is 68 And Destination Port Is 67
3. Deny IP In From IP Any To IP Any Where Source Port Is Any And Destination Port is Any.
Цитата:
Для svchost всего 3 правила:
для параноика вы слишком уверены в идеальности собственных правил

svchost всего лишь одна из многих потенциальных дыр. Если вы почитаете описание атак из ссылки выше, то поймёте, что простым разруливанием соединений приложения там не обойтись.
Я вот в связи с отсутствием адекватных советов здесь настраиваю фаер на роутере, а там фаер уже такой, «настоящий», всё по-взрослому т.е.

Так вот там виден трафик по отдельным правилам, и там на какие-то неправильные пакеты с invalid connection type килобайты траффика набегают, а в COMODO не знаю даже где такое можно настроить. В Outpost я так понимаю за подобное отвечает «Неверный IP-пакет» атака.
Цитата:
... grbdv сказал, что Агнитум - не серверный, не пакетный фаервол.
Давай прочтем это так, что конек Агнитума - фаерволлизация программ всей страны :) Детектор атак просто одна из его фич, но, имо, не самая актуальная и маловостребованная на сегодняшний день. Детектор атак...
Я забыл, когда он у меня срабатывал. А когда срабатывал (это было еще на заре Советской власти) - то 90% - это неправильные ДНС-запросы, которые случались раз в сто лет. Впрочем, это хоть и не явно детектор, а функционал встроеного ДНС-клиента, но суть-то примерно одинакова.
Цитата:
... Перейдя на Аутпост, нужно ли мне тоже самое проделывать или нет
Проделывать, безусловно, придется и не мало. Плоско-параллельный перенос, думаю, не удастся. В двух словах не скажешь (да я и не умею :)... Придется и факать и ртфмить.
Цитата:
Просто когда все ненужное мне блокируется, мне так спокойнее. Опять же, просто моя паронойя, ничего больше.
Все будет. Опять же - ртфм, от которого никуда не деться - три основных режима работы, три составляющих части концепции безопасности.
Цитата:
перестал доверять западным продуктам по безопасности. Перехожу на отечественные (
Понимаю, но... Клара, ты просто откроешь клюв от удивления, когда столкнешься с их хамовито-высокомерной, некомпетентной и просто тупой поддержкой... Пользователь - это последнее, о чем они пекутся.
Mor1turuz
Цитата:
детектор атак заточен на строго определённые атаки с узкой заточенностью в том числе и на конкретные пакеты, если я правильно понимаю.
Есно, что на определенные :) Т.е. на те, признаки которых можно было формализованы и воткнуть в алгоритм.
Можно там и трешолды поднастроить и избирательность, только зачем? (см. выше про его востребованность)
Добавлено:
Mor1turuz
Цитата:
Я вот в связи с отсутствием адекватных советов здесь настраиваю фаер на роутере, а там фаер уже такой, «настоящий», всё по-взрослому т.е.
Прости, но я давно не видел адекватных вопросов в этой теме... Вдруг твой вопрос просмотрели? Апни.
Да и как-то странно,.. при квалификации и усердии, позволяющих настраивать фаер на роутере, сетовать на отсутствие "адекватных советов" здесь, в общем-то, бытовушной теме :)
Добавлено:
HarDDroN
Цитата:
Первым правилом разрешаю DNS запросы.
Вторым - DHCP.
Третьим - блокирую все входящие
О, сколько раз твердили миру...
Блин, ну как же ждать тут адекватных советов... когда люди чуть ли не с гордостью демонстрируют или невежество, или же воинствующий похрениизм.
Вот мое правило для scvhost - блокировать все.
Конечно, в реале это пяток правил, но - все блокирующие. А пяток лишь для того, чтобы избирательно видеть логи по его активности.
Впрочем, и они у меня не кажут активности потому что
1. Остановлена служба DNS
2. Остановлена служба DHCP
Цитата:
Я забыл, когда он у меня срабатывал. А когда срабатывал (это было еще на заре Советской власти) - то 90% - это неправильные ДНС-запросы, которые случались раз в сто лет.
А меня вот вчера уже DOS-или, парочка мудаков с китайскими айпишниками.

Цитата:
Опять же - ртфм, от которого никуда не деться - три основных режима работы, три составляющих части концепции безопасности.
Про режимы уже почитал. Полагаю, идеальным вариантом будет раздать нужные разрешения и перейти на режим блокировки.
Цитата:
Клара, ты просто откроешь клюв от удивления, когда столкнешься с их хамовито-высокомерной, некомпетентной и просто тупой поддержкой... Пользователь - это последнее, о чем они пекутся.
Оу, господин Грибоедов (вроде бы я правильно расшифровал Ваш ник?), я ветку периодически почитывал. Знаю

И очень завидую в этом плане юзерам продукции COMODO и Касперского - поддержка очень и очень классная.
Цитата:
Блин, ну как же ждать тут адекватных советов... когда люди чуть ли не с гордостью демонстрируют или невежество, или же воинствующий похрениизм.
Вот тут я, правда, чуть-чуть не понял, к чему это и про кого? Про меня шо ле?

Цитата:
идеальным вариантом будет раздать нужные разрешения и перейти на режим блокировки.
Именно так.
Цитата:
Оу, господин Грибоедов (вроде бы я правильно расшифровал Ваш ник?),
Нет. Все гораздо проще :) Он должен был быть rgbdv. Ну, типа RGB-device, не помню - что у меня тогда, какими ассоцииациями навеяло. Может переводил что... Моторика подвела и получилось то, что мы видим :) Спасибо за комплимент - не ожидал такого прочтения :)
Цитата:
... или невежество, или же воинствующий похрениизм.
У меня просто врожденная (с тех пор, как сел под Агнитум) идиосинкразия к встроенным вендовым дырам в лице DNS, DHCP и, безусловно, к svchost эти дыры реализующего.
Я бываю иногда ...хм... категоричен. Сорри. Не принимай близко к сердцу. Подобные резкости больше предназначены для предупреждения тех, кто не имеет понятия об опасностях штатных механизмов венды и работе в конфиге по умолчанию.
Цитата:
Я забыл, когда он у меня срабатывал.У меня очень часто срабатывает.
Цитата:
Клара, ты просто откроешь клюв от удивления, когда столкнешься с их хамовито-высокомерной, некомпетентной и просто тупой поддержкой... Пользователь - это последнее, о чем они пекутся.
Не согласен, я общался с их тех. поддержкой в лице Ольги Калининой — вполне адекватный и вежливый человек.
Цитата:
Я забыл, когда он у меня срабатывал.
ещё бы, за роутером то

Тут дело не только в общении. Разрабы не обращают внимания, когда им тыкают на баги, или очень долго "обращают внимание"

Ну а про опросы на тему "Что бы вы хотели увидеть в нашем продукте", как, например, сделано у COMODO, я вообще молчу.
grbdv
Насчёт интерпретации ника забавно вышло

Цитата:
Я бываю иногда ...хм... категоричен. Сорри. Не принимай близко к сердцу.
Да без проблем, камрад

Я, признаться, не особо и как-то и вчитался в них.
З.Ы. Может товаришщ WildGoblin, завсегдатай этой ветки, ответит на мой вопрос касательно запрещающих правил?

Цитата:
У меня очень часто срабатывает.
Ну, честно, нисколько не утрирую. У меня этот алерт вызывает выпадение всего, что ниже пояса, холодный пот, и лихорадочное выяснение того, чей ип или подсеть и как надолго попали в бан :) Роутер, роутер - наше все :)
Mor1turuz
Цитата:
я общался с их тех. поддержкой в лице Ольги Калининой — вполне адекватный и вежливый человек.
Рад, что тебе повезло. Приятное исключение. А есть система. Я про свой опыт общения еще со времен честно купленной 2-ки часто упоминал.
Надеюсь, персонифицированный реверанс, который ты сделал их саппоррту, позволит обратиться к тебе в будущем с целью донести до них некую мысль-просьбу? В порядке исключения, ессно.
Стоит AntiVir Premium 2012 и Outpost Firewall Pro
Все поставлено на чистую, новую систему.
Поломан логофф и смена пользователя, при нажатии того, или иного - черный экран

Помогает только удаление Авиры, тогда все восстанавливается, смена пользователя и выход из системы начинает работать.
До этого, у меня стояло другое, более несчастное железо, на нем все функции по смене пользователя работали. Полностью проапгрейдился и на тебе.
Что же делать? Так ведь нельзя, без Авиры то, подскажите, камрады.
Быстрый системный отчет
Но добавился один ньюанс - после сна часто Outpost не дает получить IP адрес у DHCP сервера. Только если выгрузить сервис, тогда машина получает IP (не пробовал вырубать правила, но ведь все работает до сна). Сталкивался кто нибудь?
Цитата:
... после сна часто Outpost не дает получить IP адрес у DHCP сервера. Только если выгрузить сервис, тогда машина получает IP (не пробовал вырубать правила, но ведь все работает до сна). Сталкивался кто нибудь?
Не сталкивался, и у меня 4-ка, поэтому совершенно от балды брякну (логи помогли бы):
1. Options - Policy - Advanced - Automatic network traffic control. Там есть две галки про сон. С ними попытаться помутить;
2. В настройках детектора атак в разделе Ethernet внимательно посмотреть на галки отбиваемых видов атак;
3. Мутить п.1 в сочетаниях с п.2
Цитата:
В настройках детектора атак в разделе Ethernet внимательно посмотреть на галки отбиваемых видов атак;
в случае блокировки как "атака" было бы извещение и этот блок не снимался бы после перезапуска файерволла.
а вот логи что то не сообразил посмотреть за тот период, но вряд ли там что то будет.
все настройки импортированы из предыдущей версии (февральской) и в ней не наблюдалось подобного эффекта.
галок о сне в 7.x что то не наблюдается.
Цитата:
ответит на мой вопрос касательно запрещающих правил?Правила как правила - если всё нормально контролируется проактивной защитой, то ничего плохого в них нет - если же проактивки нет, то лучше сделать как grbdv (хотя без проактивки про "лучше" говорить не уместно

grbdv
Цитата:
У меня этот алерт вызывает выпадение всего, что ниже пояса, холодный пот, и лихорадочное выяснение того, чей ип или подсеть и как надолго попали в банСтоит ли так беспокоиться из-за, к примеру, обычного сканирования портов?

Цитата:
Роутер, роутер - наше всеЯ год без роутера сидел - сейчас прикупил себе RT-N15U - очень за ним хорошо сидеть (а алертов Детектора атак нету больше).
Cheery
Цитата:
Хм.. обновился до последней версии - как падал в BSOD при работе uTorrent, так и падает.Ни разу не наблюдал бсод из-зп совместной работы сабжа и uTorrent.
Цитата:
а вот логи что то не сообразил посмотреть за тот период, но вряд ли там что то будет.Лучше всё-таки посмотреть...
Цитата:
да он и так вроде быстро грузится
Если бы быстро грузился то не писал бы.
Цитата:
можно еще отключить АнтиШпион
У меня он отсутствует,только проактивка.
Еще посмотреть системные логи ОС на наличие регистрации ошибок. Вдруг проактивка блочит чего-то полезного из процессов старта ОС.
С выключенной проактивкой ОС существенно быстрее загружается.
Решил проблему-переустановил Outpost,восстановив при этом ранее сохранённые настройки.
Ну вот две страницы пишем-пишем...
svchost - эта фича позволяет кому угодно через него и его универсально-разрешающие правила уходить в тырнет кому угодно в обход твоего любимого фаера, что ты, собственно, и видишь на экране. Take it easy & enjoy :)
Ага! И что делать?
Открывать книжку Чернышевского на прошлой странице, где я излагал свою концепцию :) - у меня он svchost полностью запрещен. А то, что ты видишь - это "нормальное", штатное положение дел :((
Прежде всего нужно понять для себя:
- нужен ли тебе IPv6
- нужен ли тебе расширенный функционал svchost
Т.е. надо чуток погрузиться в тему и сознательно отказаться от первого и второго. Но там понесется - DNS, DHCP, DCOM etc. - оно тебе надо?
Цитата:
оно тебе надо?
Мне надо попроще! Вот скажите пожалуйста, никаких предупреждений, запросов на разрешения не было, но получается, что у меня чего-то воруют, следят или что еще? Или это случайные соединения?
Здесь написано что это сложно.
http://www.xakep.ru/post/58121/
Для начала отключить прокси Teredo.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458459460461462463464465466467468469470471472473474475476477478479480481482483484
Предыдущая тема: Daum PotPlayer (часть 2)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.