Вопросы по Agnitum Outpost Firewall /Outpost Security Suite

[alvic]

N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!

========================

Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь!

========================

Уважаемые пользователи!!!
Огромная просьба к Вам!!!

1-ых,
Если Вы просите решить какую-либо проблему с программой Outpost Firewall
указывайте, пожалуйста, версию программы!!!
+
Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates
P.S. Скопировать версию программы можно из:
Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro
К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411)
Номер версии можно выделить мышкой и скопировать в буфер!!!

2-ых,
В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall
Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий
или
Главное окно Outpost -> Сервис -> Просмотр Журнала (F7)

3-их,
Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!!
Ссылка на строчку ниже...

========================

Ресурсы для ознакомления:
Русскоязычная документация (с картинками).
http://www.agnitum.com/download/User_Guide_(RU).pdf

01. Весь данный топ на одной странице (поиск по Ctrl+F).

02. Довольно много правил под популярные программы.

03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров.

04. Форум на английском языке - http://www.outpostfirewall.com/forum/

05. Форум на русском языке - http://www.firewallforum.ru/

06. Официальный сайт (анг.) - http://www.agnitum.com/

07. Официальный сайт (рус.) - http://www.agnitum.ru/

08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall

09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611

10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858

11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!!

--->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем...

12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64

13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089

14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team?
www.agnitum.com/support/kb/article.php?id=1000144&lang=ru

========================

Обновление до последней бета версии идёт только при измененном update.ini
1) C:\Program Files\Common Files\Agnitum Shared\Aupdate
2) update.ini
3) Изменить:
Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx)
ServerDir=/update_beta25 (было ServerDir=/update_pro20)
Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx)
ServerDir=/update_test (было ServerDir=/update_pro20)
4) Сохранить файл
5) Запустить обновление
Внимание!!! При обновлении блокируются "левые" ключи!!!

========================
Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS),
могут наблюдаться проблемы с доступом на FTP-серверы,
если используется активный режим передачи данных протокола FTP.

Проблема:
Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт

Симптом:
Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт.

Решение:
Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее:
1. Убедитесь что у текущего пользователя есть права администратора системы.
2. Нажмите Start (Пуск), затем Run (Выполнить).
3. Введите REGEDIT и нажмите Enter.
4. Найдите ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\
5. Для ключа ISV замените значение Enable на Disable.
6. Закройте программу Registry Editor.

========================
Каков порядок применения правил обработки сетевого трафика в продуктах Outpost?

http://www.agnitum.ru/support/kb/art...000120&lang=ru


Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008

• Блокировать узел атакующего
• Доверенные зоны
• Глобальное правило блокировки/разрешения NetBIOS
• Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом"
• Глобальные правила, применяемые до правил для приложений
• Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень)
• Низкоуровневые системные правила
• Глобальные правила, применяемые после правил для приложений
• Разрешить NAT-пакеты
• Правила ICMP
• Политика Outpost
• Блокировать транзитные пакеты

========================
Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!"
User_Guide_(RU).pdf
5.5 Фильтрация системы
...
Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений.
Единственными отличиями являются следующие возможности.
Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее):
• Локальные пакеты, направленные из или в локальную сеть
• Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
• NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер)

Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию.

Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию.
Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.

NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly.
========================

version 3 and Port 803?
http://outpostfirewall.com/forum/showthread.php?t=15081
Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action.

========================


Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя...

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Подобное поведение можно отключить!
Как? Читай по этой ссылке (кликай тута)!

========================

Что такое feedback.exe
Ответ на вопрос:
http://outpostfirewall.com/forum/sh...708&postcount=2
The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.
Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

========================
History of changes
http://www.agnitum.com/products/outpost/history.php
========================
N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!
========================

[gost2]

disos, и как там можно создать "не запускаться из других приложений без запроса?"

[Makc666]

Цитата:

Сообщение от gost2

disos, и как там можно создать "не запускаться из других приложений без запроса?"

Никак.
Outpost - это фаервол. Фаервол - это программа, которая контролирует доступ приложений в сеть. А не та программа, которая контролирует, может ли одна программа запускать другую. Это механизм Windows.

Если нужно блокировать Скрытые процессы
3.7 Скрытые процессы
Некоторые сетевые приложения взаимодействуют с сетью не напрямую. Они порождают дочерние процессы, которые действуют от их имени. Это позволяет таким приложениям обходить обычные брандмауэры, так как запущенный таким образом процесс не рассматривается ими как часть приложения и на него не действуют правила безопасности. Более того, этот процесс скрыт от пользователя так что нет возможности следить за его действиями.
С одной стороны, эта технология используется обычными приложениями (например, Internet Explorer) для выполнения стандартных операций (таких как проверка наличия обновлений) с более дружественным интерфейсом. С другой, злонамеренные программы могут воспользоваться ей, чтобы украсть личную информацию с компьютера пользователя или совершить другие зловредные действия.

Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
И там выбрать Блокировать доступ

Тогда ни одно приложение, запущенное как Скрытый процесс, больше не сможет попасть в сеть...
Да оно запустится, но в сеть не попадёт.

А как запретить чтобы одно приложение другое не могло запускать - это в тему Windows пожалуйста.

[gost2]

Цитата:

А как запретить чтобы одно приложение другое не могло запускать - это в тему Windows пожалуйста.

Я хотел только,что бы никакое приложение запущенное из другого не могло без запроса попасть в сеть. Надеялся, что AOF в этом поможет. Теперь понял, что не сможет.
Спасибо за консультации!

[disos]

Но тебе же Макс уже говорил что то что ты имеешь ввиду это не запуск браузера из одного приложения из другого, а просто открытие html файла в браузере. На пример, ты открываешь html который у тебя на компе, то он автоматически открывает браузер, так тут тоже самое потому что все эти хэлпы в фотошопе и подобных это просто html с переадресацией на сайт.

[Makc666]

Цитата:

gost2:
Я хотел только,что бы никакое приложение запущенное из другого не могло без запроса попасть в сеть. Надеялся, что AOF в этом поможет. Теперь понял, что не сможет.

Почему не сможет %) Я же написал, что можно выше.
Да, запретить одному приложению запустить другое приложение Outpost НЕ МОЖЕТ.

А запретить приложению, которое было запущено другим приложением, попасть в сеть может.

Для этого нужно:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
И там выбрать Блокировать доступ

Можно выбрать Спрашивать.
Но тогда каждый раз, важно, когда приложения будут запущены первый раз, будет появлятся окно, где будут спрашивать, можно запущенному приложению в сеть или нет.

Если запретишь, то пока ты приложение не закроешь и не запустишь заново, в сеть оно не попадет.

И наоборот.
Если разрешишь, то пока ты приложение не закроешь и не запустишь заново, то спрашивать тебе о том, можно или нет не будут, и оно всегда будет выходить в сеть.

Очень легко потренероваться с Microsoft Office Outlook и твои браузером.

1. Выключаешь обе программы полностью.
2. Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
3. Выбираешь Спрашивать
4. Запускаешь Microsoft Office Outlook
5. Кликаешь в письме там по ссылке любой.
6. Появляется окно, можно или нельзя.

Щас скриншот прилеплю...

[IMG]http://img429.***************img429/76/outposthiddenproc013sh.png[/IMG]

Выбираешь "Разрешить сетевой доступ в соответствиии с правилами для данного приложения" - будет доступ.
Выбираешь "Блокировать доступ для этого процесса" - не будет доступа.

[gost2]

Цитата:

6. Появляется окно, можно или нельзя.

В том то и дело, что для IE окно не появляется.

[Makc666]

Цитата:

gost2:
В том то и дело, что для IE окно не появляется.

Оно появляется.
Вот скриншот.
[IMG]http://img301.***************img301/7682/outposthiddenproc026kg.png[/IMG]

Проверяй значит, не добавил ли ты программу, из которой или через которую ты запускаешь IE, в список исключений в:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)

[gost2]

Нет, список девственно чист. Где это правило хранится вообще? Может когда я устанавливал AOF в самом начале и принял многие настройки, как стандартные для стандартных программ, то там применилось, что IE можно пускать в сеть при запуске из любых программ?

Бред, конечно, но ничего другого уже и в голову не идёт.

[Makc666]

Цитата:

Сообщение от gost2

Нет, список девственно чист. Где это правило хранится вообще? Может когда я устанавливал AOF в самом начале и принял многие настройки, как стандартные для стандартных программ, то там применилось, что IE можно пускать в сеть при запуске из любых программ?
Бред, конечно, но ничего другого уже и в голову не идёт.

Какое правило? :)
Все настройки тут:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
Других правил для данного случая нет.

1. Открываешь главное окно Outpost.
2. Файл
3. Сохранить конфигурацию как... (на всякий случай сохранить в другое место)
4. Файл
5. Новая конфигурация
6. Автоматическая настройка

И у тебя все с нуля....

[disos]

Может процесс из кторого запускается ие добавлен в доверенные, и тогда он не проверяет скрытые процессы связанные с ним? Хотя мало вероятно.

[Makc666]

Цитата:

Сообщение от disos

Может процесс из кторого запускается ие добавлен в доверенные, и тогда он не проверяет скрытые процессы связанные с ним? Хотя мало вероятно.

Нет. Я проверил. Данный факт не влияет.
Даже если приложение из которого запускают находится в доверенных, окно с запросом появляется.

[big_nab]

Подскажите пжалста где искать концы :
Outpost 3.0.557.5918 win xp sp2
В сетевой активности пишет:
thebat.exe TCP local:мой ип 13247 62.5.255.22 smtp Невидимый режим блокировки RST ИСХ 11:36:34 06 сек. 40 байт 0 байт 6 байт/с ---
И не хочет отправлять почту.

Где исправить этот невидимый режим? В аутпосте стоит политика Разрешать. Второй ящик в бате работает нормально (у него другой адрес и там smtp соединения проходят на ура) В подключаемых модулях в детекторе атак добавил узел smtp.tochka.ru в доверенные узлы.
Что ещё сделать?

[gost2]

Цитата:

Какое правило?
Все настройки тут:
Параметры - Приложения - Скрытые процессы (кнопка) (Hidden Proc...)
Других правил для данного случая нет.

1. Открываешь главное окно Outpost.
2. Файл
3. Сохранить конфигурацию как... (на всякий случай сохранить в другое место)
4. Файл
5. Новая конфигурация
6. Автоматическая настройка

И у тебя все с нуля....

Сделал это трюк для теста. Запустил флещевый редактор, нажал в меню "Помощь/Домашняя страница" - спокойно запустился IE открыл в интернете страницу этой прграммы без каких либо запросов...

[HotSpot]

Цитата:

big_nab:
Подскажите пжалста где искать концы :

Файр указывает на rst атаку.
Вообще IP-пакет с флагом rst служит для обрыва затянувшегося ожидания ответа.
Проблема может быть в следующем:
- комп пытается установить связь, шлет пакеты серверу, и ждёт ответа,
- почтовый сервер долго не отвечает или файрвол рубит ответы,
- порт закрывается,
- не получая ответов, сервер решает закрыть соединение и посылает пакет с флагом rst,
- Outpost воспринимает его как rst-атаку.

Цитата:

big_nab:
Где исправить этот невидимый режим?

Параметры -> Системные -> Режим работы -> Обычный режим

[GnuS]

В Outpost есть набор правил по умолчанию, которые применяются к приложениям когда те пытаются выйти в сеть, а можно ли как-то применить эти правила до запуска приложения, или такой возможности нет?

[HotSpot]

to GnuS:

Все правила к приложениям применяются только "когда те пытаются выйти в сеть". До этого их и применять не к чему.

"Правила по умолчанию" - имеются в виду правила, которые создаются на основе базы известных Outpost приложений?

Вообще алгоритм такой:
Приложение: запрашивает сетевой досту
Outpost: проверяет наличие правила
- есть: действует по правилу
- нет: предлагает создать (в режим обучения)
----- либо на основе своей базы
----- либо другое (Пользователь самостоятельно определяет правила для него)

Приложение: НЕ запрашивает сетевой доступ
Пользователь: самостоятельно определяет правила для него:
Параметры-> Приложения-> Добавить/Изменить/Удалить

подробнее:
Руководство по сопровождению (PDF)
Руководство Пользователя (PDF)

[GnuS]

Ну допустим я запускаю firefox в первый раз после установки аутпоста, он обнаруживает попытку выйти в сеть и предлагает сделать для этого приложения правило что-то типа "Mozilla Firefox". Получается я не могу просто добавить файл firefox.exe в список установленных сетевых приложений и применить к нему это правило "Mozilla Firefox"? В этом случае мне все надо прописывать вручную?

[HotSpot]

Нет, добавить таким образом правило с именем программы нельзя, но все же и вручную прописывать не надо, достаточно воспользоваться предустановками.

1) Параметры -> Приложения -> Добавить -> находишь firefox.exe -> Открыть
2) На появившемся FIREFOX.EXE правой кнопкой -> Создать правила на основе предустановок:
* Browser
* FTP Client
3) снова правой на FIREFOX.EXE -> Редактировать правила

Получаем список правил, такой же как и при использовании авто-конфигурирования при попытке выйти в сеть (или на этапе инсталляции Outpost). Только в названиях правил будет отсутствовать имя программы.

ЗЫ: с FireFox'ом то все ясно, а вот как быть с приложениями не входищими ни в один из 7 стандартных вариантов, таких, как ALG.EXE или SVHOST.EXE.
Есть ли возможность использовать расширенный выбор специализитрованных стандартных правил или хотя бы просто просмотреть их?

[disos]

Во время установки Аутпоста, он предлагает создать правила для знакомых программ в соотвествии с автоматическими правилами. Но если жто не выбрать, то ими можно снова воспользоватся только когда приложение впервые выходит в инет, хотя можно воспользоватся набором правил о которых говорил hd.

Цитата:

ЗЫ: с FireFox'ом то все ясно, а вот как быть с приложениями не входищими ни в один из 7 стандартных вариантов, таких, как ALG.EXE или SVHOST.EXE.

Даже если Аутпост создает для них свои правила при установке, то жто часто недостаточно, особенно для второго, из за его специфического характера, через него связывается сама система, и поэтому часто он запрашивает не знакомые для Аутпоста правила.

[Georgen]

Цитата:

disos:
Даже если Аутпост создает для них свои правила при установке, то жто часто недостаточно, особенно для второго, из за его специфического характера, через него связывается сама система, и поэтому часто он запрашивает не знакомые для Аутпоста правила.

Для локальных адресов - х с ним, а для удаленных, какие правила оставлять, какие сносить? Для SVHOST.EXE 2 из 3 случаев закрытие 53 порта на работе не отразилась. Мож где есть зачитать тему?