Вопросы по Agnitum Outpost Firewall /Outpost Security Suite

[alvic]

N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!

========================

Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь!

========================

Уважаемые пользователи!!!
Огромная просьба к Вам!!!

1-ых,
Если Вы просите решить какую-либо проблему с программой Outpost Firewall
указывайте, пожалуйста, версию программы!!!
+
Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates
P.S. Скопировать версию программы можно из:
Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro
К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411)
Номер версии можно выделить мышкой и скопировать в буфер!!!

2-ых,
В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall
Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий
или
Главное окно Outpost -> Сервис -> Просмотр Журнала (F7)

3-их,
Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!!
Ссылка на строчку ниже...

========================

Ресурсы для ознакомления:
Русскоязычная документация (с картинками).
http://www.agnitum.com/download/User_Guide_(RU).pdf

01. Весь данный топ на одной странице (поиск по Ctrl+F).

02. Довольно много правил под популярные программы.

03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров.

04. Форум на английском языке - http://www.outpostfirewall.com/forum/

05. Форум на русском языке - http://www.firewallforum.ru/

06. Официальный сайт (анг.) - http://www.agnitum.com/

07. Официальный сайт (рус.) - http://www.agnitum.ru/

08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall

09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611

10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858

11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!!

--->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем...

12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64

13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089

14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team?
www.agnitum.com/support/kb/article.php?id=1000144&lang=ru

========================

Обновление до последней бета версии идёт только при измененном update.ini
1) C:\Program Files\Common Files\Agnitum Shared\Aupdate
2) update.ini
3) Изменить:
Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx)
ServerDir=/update_beta25 (было ServerDir=/update_pro20)
Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx)
ServerDir=/update_test (было ServerDir=/update_pro20)
4) Сохранить файл
5) Запустить обновление
Внимание!!! При обновлении блокируются "левые" ключи!!!

========================
Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS),
могут наблюдаться проблемы с доступом на FTP-серверы,
если используется активный режим передачи данных протокола FTP.

Проблема:
Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт

Симптом:
Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт.

Решение:
Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее:
1. Убедитесь что у текущего пользователя есть права администратора системы.
2. Нажмите Start (Пуск), затем Run (Выполнить).
3. Введите REGEDIT и нажмите Enter.
4. Найдите ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\
5. Для ключа ISV замените значение Enable на Disable.
6. Закройте программу Registry Editor.

========================
Каков порядок применения правил обработки сетевого трафика в продуктах Outpost?

http://www.agnitum.ru/support/kb/art...000120&lang=ru


Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008

• Блокировать узел атакующего
• Доверенные зоны
• Глобальное правило блокировки/разрешения NetBIOS
• Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом"
• Глобальные правила, применяемые до правил для приложений
• Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень)
• Низкоуровневые системные правила
• Глобальные правила, применяемые после правил для приложений
• Разрешить NAT-пакеты
• Правила ICMP
• Политика Outpost
• Блокировать транзитные пакеты

========================
Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!"
User_Guide_(RU).pdf
5.5 Фильтрация системы
...
Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений.
Единственными отличиями являются следующие возможности.
Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее):
• Локальные пакеты, направленные из или в локальную сеть
• Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
• NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер)

Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию.

Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию.
Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.

NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly.
========================

version 3 and Port 803?
http://outpostfirewall.com/forum/showthread.php?t=15081
Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action.

========================


Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя...

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Подобное поведение можно отключить!
Как? Читай по этой ссылке (кликай тута)!

========================

Что такое feedback.exe
Ответ на вопрос:
http://outpostfirewall.com/forum/sh...708&postcount=2
The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.
Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

========================
History of changes
http://www.agnitum.com/products/outpost/history.php
========================
N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!
========================

[Makc666]

Цитата:

Samba:
Я так понимаю что версия 3.0 крнтролирует как траффик приложений работающих через прокси так и траффик самого прокси потому что если я запрещаю глобакс траффика нет никакого т. е. драйвера прокси контролируются. Возможно в новых версиях схема упрощена

Ну не может Outpost контролировать трафик внутри другого приложения.

Outpost устанавливает специальные свои сетевый драйвера.
И трафик направляется через них.
В этих драйверах и происходит контроль трафика.

Посмотрите на последнюю схему ещё раз.

Вот представте, что у Вас есть марля и дуршлаг.
Вы размещаете марлю под дуршлагом и льёте воду через них в раковину.
Представляете себе как вода льётся?
Из стакана сначала в дуршлаг, потом из дуршлага в марьлю и потом в раковину.
А теперь меняем местами дуршлаг и марлю.
Теперь вода сначала попадает в марлю, а потом уже в дуршлаг, а уже затем в раковину.

Так и трафик проходит разные сетевые драйвера.

Из Вашей схемы следует что драйвера прокси нельзя контролировать в случае версии 3.0 Однако ещё раз повторю что при переводе глобакс в запрещённые приложения траффик всех программ настроенных для работы через него отрубается. Так же прекращается траффик и каждого приложения в отдельности, если его перевести в запрещенные при резрешённом глобаксе. Как же это объяснить?

P.S. Вообще то я думаю всё объясняется тем что новые версии локалхост не контролируют а старая контролирует.

[Makc666]

Samba
Я знал, что Вы мне подобный вопрос зададите
Вы мне лучше расскажите, как Вы приложения/программы настроили на работу через прокси?

Вообще в руководстве написано (см. ниже).
Новая версия контролирует 127.0.0.1.
Потому что, по-моему, когда 3.5 вышла были проблемы у mIRC и 127.0.0.1.

Если отвечать на Ваш вопрос, то всего скорее, как бы банально это не звучало, то вероятнее всего схема для 3.0 немного по-другому должна быть:

Cхема работы с Outpost 3.0.* и Прокси (версия 2)
Программы <-трафик-> Outpost 3.0.* <-первый уровень трафика программ контролирует Outpost 3.0.*-> Прокси <-трафик Outpost 3.0.* контролирует Прокси-> Outpost 3.0.* <-первый уровень трафика программ контролирует Outpost 3.0.*-> Прокси <-второй уровен трафика контролирует Outpost 3.0.* контролирует Прокси-> Интернет

Т.е. на первом уровне трафика Outpost 3.0 блокирует loopback, а на втором уровне блокирует остальной трафик. Или наборот, щас не соображу сходу логику.

Т.е. когда "при переводе глобакс в запрещённые приложения" вы перекрываете второй уровен трафика Outpost-ом.
А когда "прекращается траффик и каждого приложения в отдельности, если его перевести в запрещенные при резрешённом глобаксе" перекрывается первый уровен трафика Outpost (или наборот).

Т.е. другими словами в одном случае Вы блокирует доступ приложений до прокси, а в другом случае доступ прокси до интернета.

Вообще в Windows есть обалденная штука svchost.exe
Вот если вырубить инет у себя на компе, то очень часто этот svchost.exe начинает ломится как раз на loopback.
И как раз в старый версия Outpost была проблема, что многие приложения от имени svchost.exe могли выбиратся в инет.
Я очень надеюсь, что мне память не изменяет и я ничего не путают и не наврал тут.

Цитата:

Общие правила — позволяет назначить общие правила для всех приложений. Следующие правила доступны по умолчанию:
• Разрешение DNS (TCP и UDP)
• Исходящие DHCP
• Входящая идентификация (по умолчанию выключено)
• Входящий loopback
• GRE-протокол
• PPTP - протокол
• Вызов удаленных процедур (TCP и UDP)
• Блок серверных сообщений (TCP и UDP)
• Локальное UDP соединение

Цитата:

5.6 Использование макроопределений
Для облегчения процесса создания правил Outpost Firewall Pro позволяет использовать макро-адреса. Создавая правила для ваших Интранет-соединений или служб Windows (например, DNS), вы можете использовать предлагаемые макроопределения вместо того, чтобы вручную указывать IP-адрес. Макроопределения могут быть использованы, например, для обозначения всех локальных сетей как LOCAL_NETWORK или всех DNS-серверов как DNS_SERVERS.
Outpost Firewall Pro автоматически распознает текущее значение макроса, так что вам не нужно изменять адрес узла или подсети при смене настроек сетевого адаптера. Например, пользователь мобильного ПК всегда будет защищен, так как правила на его компьютере будут работать независимо от сети, к которой он подключен.
Когда вы указываете локальный или удаленный адрес в правиле, вы можете выбрать один из следующих макросов:
DNS_SERVERS. Указывает адреса всех DNS-серверов вашей сети.
LOCAL_NETWORK. Указывает адреса всех ваших локальных сетей, а также адреса из широковещательного диапазона, доступные на этом компьютере.
WINS_SERVERS. Указывает адреса всех WINS-серверов вашей сети.
GATEWAYS. Указывает адреса всех шлюзов вашей сети.
MY_COMPUTER. Указывает все IP-адреса вашего компьютера в различных сетях, а также loopback-адреса.
ALL_COMPUTER_ADDRESSES. Указывает все IP-адреса вашего компьютера в различных сетях, а также адреса из широковещательного диапазона и групповые адреса.
BROADCAST_ADDRESSES. Указывает адреса из широковещательного диапазона, доступные на этом компьютере. Широковещательный адрес (broadcast address) - это IP-адрес, позволяющий отправлять информацию всем компьютерам данной подсети.
MULTICAST_ADDRESSES. Указывает адреса из мультивещательного диапазона. Мультивещательный адрес (multicast address, групповой адрес) - это IP-адрес, определяющий группу станций локальной сети, одновременно получающих сообщение.

[CUST]

[QUOTE]Makc666:
А можно поподробнее. В деталях.
Можно обновить базы через: Сервис -> Обновление.
Можно перезагрузится попробовать.
А вообще в модуле Anti-Spyware все написано, требуется обновление или нет.
В том-то и дело,что модуль требует обновления, а при попытке обновиться всякие чудеса происходят. то окно всплывёт, что все необходимые сигнатуры в наличии,то в другой раз началась закачка всей программы, да при этом ещё сработал антивирус на трояна.так что это всё мне надоело и я поставил версию 4.0964.6926(582).Эта вроде-бы работает нормально.

[cvika]

У меня вообще только что непонять что с аутпостом произошло.
У меня качаются файлы на у-торренте, и я решила открыть папку, где эти торренты. Аутпост мне застопорил торрент, на у торренте появилось надпись Не отвечает, и вылезло окошко от аутпоста об ошибке (мол надо отправить сведения разработчику).
Потом захожу в аутпост, а он мне пишет, что я не зарегистрирована, и осталось 27 дней его использования, хотя ключик я брала тут, и у меня была нормальная, зарегистрированная версия.
Никто не знает, почему так произошло?
Пс. версия аутпоста 4.0.1005.7229 (590)

[Makc666]

Цитата:

Сообщение от cvika

Никто не знает, почему так произошло?

Почему у Windows иногда бывает синий экран?
Потому что происходит чаще всего конфликт драйверов.
В вашем случае тоже всего скорее был конфликт сетевого драйвера Outpost с чем-то ещё Чего только в жизни не бывает.
После подобный проишествий нужно перезагрузить компьютер обязательно и ввесте регистрационный ключ ещё разок.
Ошибка не связана с регистрацией программы.
Регистрация могла слететь из-за проблем в реестре.
Или не тот ключик вводите.
Но все вопросы по ключам в другой раздел

[walrus]

Вопрос ко всем, но, прежде всего, к Makc666 как самому большому авторитету по Аутпосту.

Версии Аутпоста до 4-й не пускали трафик с виртуальных машин VMWare и Virtual PC в bridged mode - можно было работать только через NAT. Стена блокировала транзитный трафик. В changelog к 4-ке сказано, что в новой версии добавлена возможность контроля транзитного трафика.

Вчера специально поставил 4-ку. Но она по-прежнему блокирует транзитные пакеты. В хелпе я упоминания о транзитных пакетах не нашел. Knowledge base говорит о создании правил для vmware.exe, но это все работает только для nat mode.

Вопрос простой - как можно настроить политику относительно транзитного трафика либо любым другим способом примирить виртуальные машины в режиме bridged с Аутпостом?

Стоит VMWare - последняя версия. XP genuine - все последние обновления. Аутпост - последний релиз.

[FantomIL]

Джонович, правила подзабылись? Обсуждение "варезных" вопросов в тематеческих разделах строго запрещено.
Макс666 уже указал где обсудают подобные вопросы.
Пост удален. На первый раз замечание.

[Makc666]

Я, честно, никогда не ставил виртуальные машины, поэтому могу дальше ошибаться.
Когда появляется виртуальная машниа, то в Сетевых подключениях ещё одна виртуальная сетевуха появляется и с ней ты делаешь bridge?
Если так, то нельзя сделать ICS с первой физической сетевой на вторую виртуальную? Хотя это и будет NAT.

Цитата:

Сообщение от walrus

В changelog к 4-ке сказано, что в новой версии добавлена возможность контроля транзитного трафика.

Хм. А трафик через NAT, это не транзитные трафик?
Может ты попутал чего? Может и я того, но WindowsXP умеет только через свой NAT пускать трафик, разве нет?

walrus, можно ещё так попробовать, взять IP адрес bridged mode, если он есть и запихнуть его в
Системные -> Настройки локальной сети (раздел) -> Параметры (кнопка)
и отметить галку Доверенные

[timsky]

walrus, 4-ка тоже как-то странно работает с транзитными пакетами (ICS). Стал пускать только после того как поставил "режим разрешения", а по-другому - никак

[walrus]

Makc666,
Виртуальные машины вещь забавная. Советую поиграться, если будет время

У ВМ есть два основных режима работы в сети.
1. NAT - создается виртуальная сеть со своим виртуальным DHCP сервером, куда входят виртуальные машины, и которая работает с внешней сетью через NAT. В этом случае в Аутпосте достаточно создать правила для VMNAT.EXE для VMWare или, если это Virtual PC, то дать ей доступ к raw socket и создать пару правил. Все будет работать.

2. Bridged - Виртуальные машины делят ресурсы физического Ethernet адаптера с хостом. Они получают адрес в той же сети, что и хост. С сетевой точки зрения - это полноценные машины в одной сети с хостом. Никакие виртуальные адаптеры при этом не создаются. Короче, нет разницы, добавил ты в сеть еще одну железяку или же просто включил ВМ. Можно, например, вэб сервер на ВМ забацать.

Так, вот, без Аутпоста все это работает. А если включить Аутпост, то блокирует он все пакеты от ВМ и пишет в логе:
process name n/a, out refused, reason - block transit packets.

P.S. Адрес виртуального хоста и всю его сеть добавлял в trusted. Эффекта ноль ;(

[Vania]

Outpost Firewall Pro ver. 4.0.971.7030 (584) не обновляет базы spyware почему то. Запускаю из меню сервис "Проверить обновление базы spyware" он начинает закачивать (видно из программы мониторинга) но после закачки появляется сообщение что базы в обновлении не нуждаются хотя их дата 24.11.2006 (требуется обновление). И наверно они были такими при установке, уже два раза пробывал всё то же самое. Ключ у меня на xi chen который бессрочный может из-за этого.
Еще при включении и при перезагрузке, а нногда при нажатии кнопки журнал часто выдаёт сообщение Предотвращена попытка изменения файлов Outpost Firewall Pro. Приложение: Kaspersky Anti-Virus, Путь: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\AVP.EXE. В версии 3.5 такого не было может потому что небыло внутренней защиты. Занесене Outpost в Kaspersky Anti-Virus в доверенные приложения не помогло. Это можно как то вылечить.

[sprorab]

У товарища с 172.19.хх.хх (динамическое видимо) висит постоянно в инете соединение, пытается сканировать порты . Что это и как бороться ? ver. 4.0.964.6926 (582).

[Nicky_fool]

Прописать правило с блокировкой или поставить Blockpost Plug-In и блокировать там.

[Makc666]

Цитата:

Сообщение от Vania

Outpost Firewall Pro ver. 4.0.971.7030 (584) не обновляет базы spyware почему то. Запускаю из меню сервис "Проверить обновление базы spyware" он начинает закачивать (видно из программы мониторинга) но после закачки появляется сообщение что базы в обновлении не нуждаются хотя их дата 24.11.2006 (требуется обновление). И наверно они были такими при установке, уже два раза пробывал всё то же самое. Ключ у меня на xi chen который бессрочный может из-за этого.
Еще при включении и при перезагрузке, а нногда при нажатии кнопки журнал часто выдаёт сообщение Предотвращена попытка изменения файлов Outpost Firewall Pro. Приложение: Kaspersky Anti-Virus, Путь: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\AVP.EXE. В версии 3.5 такого не было может потому что небыло внутренней защиты. Занесене Outpost в Kaspersky Anti-Virus в доверенные приложения не помогло. Это можно как то вылечить.

А если удалить и переустановить Outpost при этом полностью отключить Anti-Virus?
Про "Предотвращена попытка изменения" - забей на это сообщение Появляется и ладно с ним.

Цитата:

Сообщение от sprorab

У товарища с 172.19.хх.хх (динамическое видимо) висит постоянно в инете соединение, пытается сканировать порты . Что это и как бороться ? ver. 4.0.964.6926 (582).

Если честно, то я ничего не понял.
Если кто-то пытается сканировать порты у твоего товарища, то значит он пользуется Peer-to-Peer программами. Это обычное явление.
Просто пусть он выставить в модуле "Детектор атак" - Блокировать атакующего на 60 минут.

Цитата:

Сообщение от Nicky_fool

Прописать правило с блокировкой или поставить Blockpost Plug-In и блокировать там.

А стандартными средствами Outpost заблокировать какой-то IP или диапазон нельзя?

[Nicky_fool]

Полагаю, что написать правило с блокировкой и есть стандартное средство
Outpost. Нет?

[Makc666]

Цитата:

Сообщение от Nicky_fool

Полагаю, что написать правило с блокировкой и есть стандартное средство
Outpost. Нет?

Полагаю, что да
Blockpost Plug-In создан для более специфичных задач

[ex5028nc]

Интересно, а когда же он под Вистой работать начнет? Или я что-то пропустил и он уже... А? Кто-нить владеет хоть какой-то инфой по теме?

[Croсk]

Подскажите у кого какие настройки в свойстве модуля "Детектор атак"
Настройка "Уязвимые порты"?
Укажите какие системные и троянские порты Вы добовляли:
Протокол, порт, вес, комментарий?
Спасибо!
------------------------------------------
Outpost Firewall Pro ver. 4.0.971.7030 (584)

[multi&]

Цитата:

Сообщение от Croсk

Подскажите у кого какие настройки в свойстве модуля "Детектор атак"

Я себе выставляла все, какие рекомендованы в базе знаний Agnitum Outpost:
Системные:
TCP + UDP: 0, 25, 135, 137, 139, 389, 445, 1024-1050
TCP: 21-23, 79, 80, 110, 113, 119, 143, 443, 1002, 1720, 5000, 8080
UDP: 1900

Троянские:
TCP + UDP: 31337, 31338
TCP: 21, 23, 25, 80, 113, 137, 139, 555, 666, 1001, 1025, 1026, 1028, 1243, 2000, 5000, 6667, 6670, 6711, 6776, 6969, 7000, 8080, 12345, 12346, 21554, 22222, 27374, 29559

вес там по-умолчанию задается 2
где чуть больше, в зависимости от использования порта...а лучше про вес порта почитай в этой маленькой статье, будет более понятно, как его выставлять "Вес порта" в Outpost Firewall. Подробности и реализация