1.Не мог бы многоуважаемый Модератор или кот-то из продвинутых юзеров рассказать в деталях как надо правилно настроить Agnitum Outpost Firewall Pro и где в меню надо ставить "галочки" чтобы работа Agnitum Outpost Firewall Pro была как можно более эффективна. Думаю это будет интересно узнать не только мне. :help:

2. Еще я читал, что надо закрывать порты TCP и UDP в Outpost. Объязателъно это делать и если да то какие порты и как это вообще делается? :help:

Зарание благодарен.

записал NAV2006(norton antivirus) конечно не лицензионый, скачаный с интернета :) выкидывает синий экран смерти при попытке запуска ПК если не убрать аутпост из авто запуска. после запуска винды и всех остальных програм, в том числе и НАВ, можно без проблем запускать и аутпост.
винда ХР сп2
аутпост 3.5.631.6203 (457)
версия не последняя, хочу поменять в скором времени.

Чтобы работа Agnitum Outpost Firewall Pro была как можно более эффективна, для начала пользователю необходимо прочитать документацию от этой программы. (ссылка в шапке). Тогда большинство вопросов, в т.ч. и это, отпадут сами по себе. Т.е. сначала почитайте.
Наиболее правильная настройка программы - это настройка программы по умолчанию.
Более того, наиболее правильная настройка программы зависит от той среды, где данная программа применяется.

Опять же. Все данный вопросы рассмотрены в инструкии на 100%. Никто не будет тебе цитировать в форуме инструкцию.

Посмотри на страницу
http://www.agnitum.com/products/outpost/history.php
сколько изменений было сделано с момента выпуска твоей текущей версии.
Т.ч. для начала обнови версию.

Кому-нибудь удалсь найти способ блокировки запуска одних програм из других?
Допустим, если устанавливаемая программа запускает IE и открывает страницу производителя. Даже в бесплатной версии ZA это "само собой". Сразу же выскакивает окно с запросом и пояснением кто кого и что делать. А тут не нашёл ничего похожего. Для "скрытых процессов" есть, а для остального? Может в плагинах есть такая примочка?
Спасибо!

При попытке сделать апдэйт (4.0.888.6607 (559) бета, просто решил попробовать), качает 1108кб, устанавливает что-то. Повторный апдэйт -> опять качает те же 1108кб и так до беконечности.
Может кто может сказать что это такое?

Запрос всё равно происходит от первой проги, так что блокировав её, ты заблокируешь ей и выход через открытие окна в эксплорере.

disos чтото я сомниваюсь что стенка этот трафик воспринимает как трафик програмы "заказавшей" его

Для чего остального?
Запуск одним приложением другого и есть скрытые процессы.
И это по умолчанию включено, т.е. пользователю задаётся вопрос, хочет он этого или нет.
Опять же, это всё расписано в инструкции. И находится на вкладке Приложения, вторая кнопка снизу Скрытые процессы по идее должна называться, только в последней версии там по английски написано.

Это бета версия. Её работоспособность, стабильность и т.п. никто не гарантирует.
Когда качается апдейт, то видно имя файла, который качается.
По нему можно определить, что там скачивается.
Всего скорее это обновление к AntiSpyware базе.

Добавлю. На крайний случай ты можешь добавить IE в список Запрещенных приложений.

disos, Это не так. Новая прога при режиме блокировки запросто открывает в IE страницу хозяина. Будь то Фотошоп или BlindWrite.
Опять же при полностью запрещённом Фотошопе при случайном клике в меню где-нибудь типа "регистрация он-лайн" или "помощь в интернет" опять же БЕЗ всяких запросов открыватся IE с окном "нужного" содержания.

Почему-то для IE у меня это не соблюдается. Для svchost, да. Но не для IE. Например при клике на ссылку в почтовой программе тоже запрос должен идти. Но его нет. Хотя для IE, как и для других стоит(на второй кнопке ;) ) как и было по умолчанию "Спрашивать".

Вышла версия 4.0.888.559 под 64-bit,кто пробывал?

Это где такое написано, что при клике пользователя должен идти подобный запрос?
Любой клик пользователя по ссылке в любой программе - это тоже самое фактически, что и клик по ярлыку на рабочем столе. Или тот же самый клик на URL-ссылку на рабочем столе.
Ссылки URL ака HTTP и HTTPS все прописаны в проводнике на вкладке типы файлов.

Наверное я не так выразил свою мысль.
Скрытый процесс - это когда одно приложение через другое приложение пытается выйти в сеть через третье приложение.
Хотя это тоже не очень правильно звучит.
Правильно в инструкции написано.

3.7 Скрытые процессы
Некоторые сетевые приложения взаимодействуют с сетью не напрямую. Они порождают дочерние процессы, которые действуют от их имени. Это позволяет таким приложениям обходить обычные брандмауэры, так как запущенный таким образом процесс не рассматривается ими как часть приложения и на него не действуют правила безопасности. Более того, этот процесс скрыт от пользователя так что нет возможности следить за его действиями.
С одной стороны, эта технология используется обычными приложениями (например, Internet Explorer) для выполнения стандартных операций (таких как проверка наличия обновлений) с более дружественным интерфейсом. С другой, злонамеренные программы могут воспользоваться ей, чтобы украсть личную информацию с компьютера пользователя или совершить другие зловредные действия.

Так что ты путаешь данные вещи.

Makc666, да всё правильно говоришь, но в ZoneAlarm предусмотрена возможность подобной блокировки - ввызов и выход в сеть, допустим Photoshopом - IE. Как я понимаю, этого просто нет в AOF, а я думал, что не смог найти. :mad:

Т.е. ты хочешь сказать, что когда ты Photoshopом "запускаешь" IE, то Outspot ничего не говорит, а при подобных же действиях ZoneAlarm что-то отрабатывает?

Именно так. Ничег оне запускается одно из другого без вопроса и подтверждения. Правда "ZoneAlarm" не пользовался уже давно. Но думаю это сохранилось, раз даже в бесплатной версии было.

Мне кажется ты путаешь.

Небольшое дополнение.

Данный сервис в Outpost отрабатывает в тот момент, когда одно приложение ЗАПУСКАЕТ другое.
Т.е. к примеру Outlook запускает Maxthon (браузер), когда в Outlook кликаешь по ссылке. Т.е. когда Вы кликаете, то Maxthon (браузер) выключен.
А вот когда Maxthon (браузер) включен при клике, то подобное не происходит и недолжно происходить.
Но, это касается лишь момента взаимоотношения двух приложений напрямую, без участия посредников.

Makc666, а если IE запускается, то где-то правило надо подрегулировать? Подскажешь где и как?

Поставил вот плугин к оутпосту TrafficLed, но проблема в том, что он не ограничивает скорость инета :) Открываю настройки плугина, жму галочку фиксед и пишу скорость, не работает :)
Кто знает, помогите плиз.

Параметры - Приложения
Найти там IEXPLORE.EXE
И внутри редактировать.

Traffled:
This plug-in displays a tray icon to show the upload (send) and download (receive) bandwidth usage graphically.
Что по-русски означает - этот плугин создает в трее иконку, на которой графически отображается скорость закачки и скачивания.

Данный плугин не имеет функционала по ограничению скорости трафика.
Те поля, что ты заполнял цифрами - это настройка для указания верхнего предела трафика на иконки, т.е. масштаб грубо говоря.

Не нашёл там ничего подходящего для редактирования подобных вещей. Уточни где и как, пожалуйста.

Зайди в Опции - Приложения - выбери ИЕ и справа нажми на Редактировать - Изменить правила, там ты уведишь существующие, можешь их редактировать, и конечно создавать новые.

disos, и как там можно создать "не запускаться из других приложений без запроса?"

Никак.
Outpost - это фаервол. Фаервол - это программа, которая контролирует доступ приложений в сеть. А не та программа, которая контролирует, может ли одна программа запускать другую. Это механизм Windows.

Если нужно блокировать Скрытые процессы
3.7 Скрытые процессы
Некоторые сетевые приложения взаимодействуют с сетью не напрямую. Они порождают дочерние процессы, которые действуют от их имени. Это позволяет таким приложениям обходить обычные брандмауэры, так как запущенный таким образом процесс не рассматривается ими как часть приложения и на него не действуют правила безопасности. Более того, этот процесс скрыт от пользователя так что нет возможности следить за его действиями.
С одной стороны, эта технология используется обычными приложениями (например, Internet Explorer) для выполнения стандартных операций (таких как проверка наличия обновлений) с более дружественным интерфейсом. С другой, злонамеренные программы могут воспользоваться ей, чтобы украсть личную информацию с компьютера пользователя или совершить другие зловредные действия.

Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
И там выбрать Блокировать доступ

Тогда ни одно приложение, запущенное как Скрытый процесс, больше не сможет попасть в сеть...
Да оно запустится, но в сеть не попадёт.

А как запретить чтобы одно приложение другое не могло запускать - это в тему Windows пожалуйста.

Я хотел только,что бы никакое приложение запущенное из другого не могло без запроса попасть в сеть. Надеялся, что AOF в этом поможет. Теперь понял, что не сможет.
Спасибо за консультации!

Но тебе же Макс уже говорил что то что ты имеешь ввиду это не запуск браузера из одного приложения из другого, а просто открытие html файла в браузере. На пример, ты открываешь html который у тебя на компе, то он автоматически открывает браузер, так тут тоже самое потому что все эти хэлпы в фотошопе и подобных это просто html с переадресацией на сайт.

Почему не сможет %) Я же написал, что можно выше.
Да, запретить одному приложению запустить другое приложение Outpost НЕ МОЖЕТ.

А запретить приложению, которое было запущено другим приложением, попасть в сеть может.

Для этого нужно:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
И там выбрать Блокировать доступ

Можно выбрать Спрашивать.
Но тогда каждый раз, важно, когда приложения будут запущены первый раз, будет появлятся окно, где будут спрашивать, можно запущенному приложению в сеть или нет.

Если запретишь, то пока ты приложение не закроешь и не запустишь заново, в сеть оно не попадет.

И наоборот.
Если разрешишь, то пока ты приложение не закроешь и не запустишь заново, то спрашивать тебе о том, можно или нет не будут, и оно всегда будет выходить в сеть.

Очень легко потренероваться с Microsoft Office Outlook и твои браузером.

1. Выключаешь обе программы полностью.
2. Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
3. Выбираешь Спрашивать
4. Запускаешь Microsoft Office Outlook
5. Кликаешь в письме там по ссылке любой.
6. Появляется окно, можно или нельзя.

Щас скриншот прилеплю...

[IMG]http://img429.***************img429/76/outposthiddenproc013sh.png[/IMG]

Выбираешь "Разрешить сетевой доступ в соответствиии с правилами для данного приложения" - будет доступ.
Выбираешь "Блокировать доступ для этого процесса" - не будет доступа.

В том то и дело, что для IE окно не появляется.

Оно появляется.
Вот скриншот.
[IMG]http://img301.***************img301/7682/outposthiddenproc026kg.png[/IMG]

Проверяй значит, не добавил ли ты программу, из которой или через которую ты запускаешь IE, в список исключений в:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)

Нет, список девственно чист. Где это правило хранится вообще? Может когда я устанавливал AOF в самом начале и принял многие настройки, как стандартные для стандартных программ, то там применилось, что IE можно пускать в сеть при запуске из любых программ?

Бред, конечно, но ничего другого уже и в голову не идёт.

Какое правило? :)
Все настройки тут:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
Других правил для данного случая нет.

1. Открываешь главное окно Outpost.
2. Файл
3. Сохранить конфигурацию как... (на всякий случай сохранить в другое место)
4. Файл
5. Новая конфигурация
6. Автоматическая настройка

И у тебя все с нуля....

Может процесс из кторого запускается ие добавлен в доверенные, и тогда он не проверяет скрытые процессы связанные с ним? Хотя мало вероятно.

Нет. Я проверил. Данный факт не влияет.
Даже если приложение из которого запускают находится в доверенных, окно с запросом появляется.

Невидимый режим блокировки
 

Подскажите пжалста где искать концы :
Outpost 3.0.557.5918 win xp sp2
В сетевой активности пишет:
thebat.exe TCP local:мой ип 13247 62.5.255.22 smtp Невидимый режим блокировки RST ИСХ 11:36:34 06 сек. 40 байт 0 байт 6 байт/с ---
И не хочет отправлять почту.

Где исправить этот невидимый режим? В аутпосте стоит политика Разрешать. Второй ящик в бате работает нормально (у него другой адрес и там smtp соединения проходят на ура) В подключаемых модулях в детекторе атак добавил узел smtp.tochka.ru в доверенные узлы.
Что ещё сделать?

Сделал это трюк для теста. Запустил флещевый редактор, нажал в меню "Помощь/Домашняя страница" - спокойно запустился IE открыл в интернете страницу этой прграммы без каких либо запросов...

Файр указывает на rst атаку.
Вообще IP-пакет с флагом rst служит для обрыва затянувшегося ожидания ответа.
Проблема может быть в следующем:
- комп пытается установить связь, шлет пакеты серверу, и ждёт ответа,
- почтовый сервер долго не отвечает или файрвол рубит ответы,
- порт закрывается,
- не получая ответов, сервер решает закрыть соединение и посылает пакет с флагом rst,
- Outpost воспринимает его как rst-атаку.

Параметры -> Системные -> Режим работы -> Обычный режим

В Outpost есть набор правил по умолчанию, которые применяются к приложениям когда те пытаются выйти в сеть, а можно ли как-то применить эти правила до запуска приложения, или такой возможности нет?

to GnuS:

Все правила к приложениям применяются только "когда те пытаются выйти в сеть". До этого их и применять не к чему.

"Правила по умолчанию" - имеются в виду правила, которые создаются на основе базы известных Outpost приложений?

Вообще алгоритм такой:
Приложение: запрашивает сетевой досту
Outpost: проверяет наличие правила
- есть: действует по правилу
- нет: предлагает создать (в режим обучения)
----- либо на основе своей базы
----- либо другое (Пользователь самостоятельно определяет правила для него)

Приложение: НЕ запрашивает сетевой доступ
Пользователь: самостоятельно определяет правила для него:
Параметры-> Приложения-> Добавить/Изменить/Удалить

подробнее:
Руководство по сопровождению (PDF)
Руководство Пользователя (PDF)

Ну допустим я запускаю firefox в первый раз после установки аутпоста, он обнаруживает попытку выйти в сеть и предлагает сделать для этого приложения правило что-то типа "Mozilla Firefox". Получается я не могу просто добавить файл firefox.exe в список установленных сетевых приложений и применить к нему это правило "Mozilla Firefox"? В этом случае мне все надо прописывать вручную?

Нет, добавить таким образом правило с именем программы нельзя, но все же и вручную прописывать не надо, достаточно воспользоваться предустановками.

1) Параметры -> Приложения -> Добавить -> находишь firefox.exe -> Открыть
2) На появившемся FIREFOX.EXE правой кнопкой -> Создать правила на основе предустановок:
* Browser
* FTP Client
3) снова правой на FIREFOX.EXE -> Редактировать правила

Получаем список правил, такой же как и при использовании авто-конфигурирования при попытке выйти в сеть (или на этапе инсталляции Outpost). Только в названиях правил будет отсутствовать имя программы.

ЗЫ: с FireFox'ом то все ясно, а вот как быть с приложениями не входищими ни в один из 7 стандартных вариантов, таких, как ALG.EXE или SVHOST.EXE.
Есть ли возможность использовать расширенный выбор специализитрованных стандартных правил или хотя бы просто просмотреть их? :idontnow:

Во время установки Аутпоста, он предлагает создать правила для знакомых программ в соотвествии с автоматическими правилами. Но если жто не выбрать, то ими можно снова воспользоватся только когда приложение впервые выходит в инет, хотя можно воспользоватся набором правил о которых говорил hd.

Даже если Аутпост создает для них свои правила при установке, то жто часто недостаточно, особенно для второго, из за его специфического характера, через него связывается сама система, и поэтому часто он запрашивает не знакомые для Аутпоста правила.

Для локальных адресов - х с ним, а для удаленных, какие правила оставлять, какие сносить? Для SVHOST.EXE 2 из 3 случаев закрытие 53 порта на работе не отразилась. Мож где есть зачитать тему?