Вопросы по Agnitum Outpost Firewall /Outpost Security Suite

[alvic]

N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!

========================

Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь!

========================

Уважаемые пользователи!!!
Огромная просьба к Вам!!!

1-ых,
Если Вы просите решить какую-либо проблему с программой Outpost Firewall
указывайте, пожалуйста, версию программы!!!
+
Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates
P.S. Скопировать версию программы можно из:
Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro
К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411)
Номер версии можно выделить мышкой и скопировать в буфер!!!

2-ых,
В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall
Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий
или
Главное окно Outpost -> Сервис -> Просмотр Журнала (F7)

3-их,
Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!!
Ссылка на строчку ниже...

========================

Ресурсы для ознакомления:
Русскоязычная документация (с картинками).
http://www.agnitum.com/download/User_Guide_(RU).pdf

01. Весь данный топ на одной странице (поиск по Ctrl+F).

02. Довольно много правил под популярные программы.

03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров.

04. Форум на английском языке - http://www.outpostfirewall.com/forum/

05. Форум на русском языке - http://www.firewallforum.ru/

06. Официальный сайт (анг.) - http://www.agnitum.com/

07. Официальный сайт (рус.) - http://www.agnitum.ru/

08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall

09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611

10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858

11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!!

--->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем...

12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64

13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089

14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team?
www.agnitum.com/support/kb/article.php?id=1000144&lang=ru

========================

Обновление до последней бета версии идёт только при измененном update.ini
1) C:\Program Files\Common Files\Agnitum Shared\Aupdate
2) update.ini
3) Изменить:
Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx)
ServerDir=/update_beta25 (было ServerDir=/update_pro20)
Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx)
ServerDir=/update_test (было ServerDir=/update_pro20)
4) Сохранить файл
5) Запустить обновление
Внимание!!! При обновлении блокируются "левые" ключи!!!

========================
Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS),
могут наблюдаться проблемы с доступом на FTP-серверы,
если используется активный режим передачи данных протокола FTP.

Проблема:
Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт

Симптом:
Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт.

Решение:
Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее:
1. Убедитесь что у текущего пользователя есть права администратора системы.
2. Нажмите Start (Пуск), затем Run (Выполнить).
3. Введите REGEDIT и нажмите Enter.
4. Найдите ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\
5. Для ключа ISV замените значение Enable на Disable.
6. Закройте программу Registry Editor.

========================
Каков порядок применения правил обработки сетевого трафика в продуктах Outpost?

http://www.agnitum.ru/support/kb/art...000120&lang=ru


Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008

• Блокировать узел атакующего
• Доверенные зоны
• Глобальное правило блокировки/разрешения NetBIOS
• Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом"
• Глобальные правила, применяемые до правил для приложений
• Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень)
• Низкоуровневые системные правила
• Глобальные правила, применяемые после правил для приложений
• Разрешить NAT-пакеты
• Правила ICMP
• Политика Outpost
• Блокировать транзитные пакеты

========================
Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!"
User_Guide_(RU).pdf
5.5 Фильтрация системы
...
Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений.
Единственными отличиями являются следующие возможности.
Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее):
• Локальные пакеты, направленные из или в локальную сеть
• Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
• NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер)

Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию.

Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию.
Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.

NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly.
========================

version 3 and Port 803?
http://outpostfirewall.com/forum/showthread.php?t=15081
Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action.

========================


Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя...

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Подобное поведение можно отключить!
Как? Читай по этой ссылке (кликай тута)!

========================

Что такое feedback.exe
Ответ на вопрос:
http://outpostfirewall.com/forum/sh...708&postcount=2
The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.
Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

========================
History of changes
http://www.agnitum.com/products/outpost/history.php
========================
N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!
========================

[Madchild]

Начал сегодня разбираться с подключением миранды. Методом научного тыка. В результате отключил модуль DNS - все заработало. Простая очистка базы DNS не помогла.

Цитата:

Dr.God:
контроль компонентов включён

Этот контроль компонентов вообще для меня загадочная штука. Включен то он включен, только вот когда появляется сообщение, что какая-то DLL-ка пытается использовать IE, приходится разрешать, иначе "блокировать IE до перезагрузки". Выбора особо и нет.
Может есть какая-нить подробная статейка о этих компонентах, а то все что я встречал - обрывочные данные. Уяснить бы все эти вещи раз и навсегда.
Немного инфы есть здесь:
http://forum.five.mhost.ru/showthrea...&threadid=1623
Но действительно немного...

[Makc666]

Madchild
Мне кажется у ICQ были проблемы с сайтом login.icq.com, в следствии чего они меняли учетные записи DNS.
Поэтому и у Trillian были проблемы определенного характера.
Контроль компонентов достаточно понятная вещь на самом деле.
Она показывает, какие DLL изменялись. Если ты не обновлял какую-то программу или не ставил новую версию, то любое сообщение об изменении DLL должно тебя насторожить и повлечь за собой изучение данного сообщения Не было ли подмены и т.п. Т.е. в большей степени это носит предупредительный характер.

[Madchild]

Makc666
Тут то все ясно. Но вот ситуация. Поставил я прогу. Скажем чат для локалки. Разрешил ей доступ только к серваку в локальной сети. Все остальное запретил. Чату больше и не надо. Через какое-то время появляется сообшение, что DLL-ка этого чата пытается с помошью IE в сеть вылезть... Запрещаю (опять-же, возможно заблокировать только временно и то не DLL-ку а сам IE), но она переключается на reget... Типа через него. И как это понимать? Ну тоже заблокировал. В итоге не IE ни reget не пашут до их перезагрузки.

Вот к примеру. Запустил Windows Media Player.

[Makc666]

Madchild
Многие программы через IE лезут в инет. Многие ещё лезут через svchost.exe в инет Для этого и есть этот контроль компонентов.

Параметры - Приложения - Кнопка "Компоненты" - Раздел "Общие компоненты" - Кнопка "Редактировать" - Кнопка "Пересобрать базу данных"
Если это делать периодически, то это помогает избежать лишний раз предупреждений о том, что какая-то DLL обновилась. Так как Outpost не следит за обновлением DLL в реальном времени, а лишь когда к обновленной DLL происходит обращение.

Параметры - Приложения - Кнопка "Скрытые проц..."
Отметь "Блокировать доступ" и забудь об этих окнах. Нормальные приложения как работали, так и будут работать.
Но без "но" не бывает ничего. Если на компе есть какие-нибудь прокси сервера и т.п., это может вызвать иногда глюки.

Далее в каждом правиле для конкретного приложения есть опция в действиях "Игнорировать Контроль компонентов".
Если ты за приложение уверен, то отмечай для него и всё

P.S. Есть хочу...

Цитата:

Madchild:
Вот к примеру. Запустил Windows Media Player.

Видешь там библиотека как называется: "ichathook.dll".
Значит эта библиотека перехватывает какие-то действия от других программ.
Поэтому когда ты запустил Windows Media Player, произошло совместное обращение твоего чата и Windows Media Player с друг другом.
Соответственно в этот момент для "Windows Media Player" произошло добавление НОВОГО компонента (DLL), к котором он произвел обращение.
Для каждого приложения есть такой список:
Параметры - Приложения - Выбрать нужное приложение - Кнопка "Компоненты..."

Как этого избегать выше написано: есть опция в действиях "Игнорировать Контроль компонентов".

[IrWert]

Сорри, или я чего-то не догнал, или при этом мы либо разрешим троянам лазать куда угодно, или намертво заблокируем и-нет (регет, ИЕ, потом очередь дойдет до ворда с экселем :-) миранды с аськой... ) Ну не разрешать же тому же чату ломиться на офсайт за проверкой легальности копии...

[Madchild]

Цитата:

IrWert:
разрешим троянам лазать куда угодно, или намертво заблокируем и-нет

Вот и я о том-же. Что-то тут неправильно.
Попробовал пересобрал базу - после сборки еще штук 40 библиотек захотело в сеть вместе с IE и иже с ним. Я разрешил, а что делать? После перезагрузки компа еще штук 10 было...
Опять же, после запуска DVD Region+CSS Free лезет в сеть. У меня в правилах выход этой проге прикрыт, так с помощью своей DLL-ки и IE ломится...

[Makc666]

IrWert
Я понять не могу, причем тут IE и другие программы?
Madchild
Помойму ты путаешь окна сообщений. Обновление библиотек и попытка выйти в инет - это разные вещи.
Твой скрин в #954 это обновление библиотеки, но не выход в инет.

[Madchild]

Цитата:

Makc666:
Помойму ты путаешь окна сообщений. Обновление библиотек и попытка выйти в инет - это разные вещи.

Скорее всего так.
Тогда пойдем другим путем. Библиотека обновилась и добавилась в базу. Теперича, если она захочет с помошью IE выйти в сеть, скажем по 80 порту - какое нить окошко вылезет? Или сам IE согласно своим правилам полезет в сеть без объявления?
Надеюсь понятно расписал.

[Makc666]

Цитата:

Сообщение от Madchild

Скорее всего так.
Тогда пойдем другим путем. Библиотека обновилась и добавилась в базу. Теперича, если она захочет с помошью IE выйти в сеть, скажем по 80 порту - какое нить окошко вылезет? Или сам IE согласно своим правилам полезет в сеть без объявления?
Надеюсь понятно расписал.

Если эта опция включена на Спросить или Заблокировать
То соответственно в 1-ом случае спросить, а во 2-ом заблокирует.
DLL кстати в инет не лезут Они не испольняемые файлы. Я ни разу не видел %)

[denver]

Madchild
Makc666
Все намного проще. DLL конечно сами никуда не лезут, но если троян подменит пару функций в dll'ке IE чтобы кроме посылки пароля серверу он еще и на левый сервер отсылался, то никто не заметит. (ну собственно это должен замечать антивирь, но вдруг троян свежий совсем и т.п., т.е. этот плагин аутпоста делает часть работы антивиря. почему часть? потому что не лечит а лишь информирует, кроме того еще и почти всегда тревога ложная).

Так вот, если появляется такое окно (то которое с кнопками "Разрешить" и "Запретить до перезагрузки") то это значит что dll УЖЕ обновилась и ты лишь можешь продолжить уверенно работать (если ты уверен что все ок) либо, что имхо логично, запретить этому приложению (которое фактически начинили трояном, только не в исполняемый модуль а в используемую им библиотеку) запретить ему вообще какую-либо деятельность в инете.

ЗЫ. В последнем случае бить в набат и в сисадмина и славить аутпост который но пасаран и все такое.

[Makc666]

Цитата:

denver:
если троян подменит пару функций в dll'ке IE

То это заметить Windows с его 2(двойной) системой восстановления измененных системых файлов... Если Вы конечно по глупости её не отключили.

[denver]

Makc666
Винда восстанавливает не все длл'ки. Я точно не помню, но уверен что лишь те, которые в папке C:\WINDOWS\system32, копии которых хранятся в C:\WINDOWS\system32\dllcache.

Да, кажись пытаются восстановиться только те которые относятся к ядру системы. Прочие же, отвечающие за работу программ, могут изменятся когда угодно (например при обновлении эксплорера через апдейт).

[Makc666]

Цитата:

denver:
Винда восстанавливает не все длл'ки. Я точно не помню, но уверен что лишь те, которые в папке C:\WINDOWS\system32, копии которых хранятся в C:\WINDOWS\system32\dllcache.

Вот прежде чем писать, зашел бы в эту папку (dllcache) и посмотрел, лежит там iexplore.exe или нет. Даже HMMAPI.DLL там есть.
Короче C:\Program Files\Internet Explorer\ тоже мониторится. И не только она. Вся папка C:\Windows мониторится. И некоторые другие. А ещё проще говоря, мониторятся все фажные/родные файлы, которые есть после чистой установки Windows.

[sch_a]

Уважаемые!
Вопрос такого рода: установлена ось WinXP+SP2 и стенка Outpost Firewall Pro ver. 2.5.375.4822 (374), какие порты по умолчанию при инсталляции стенки должны быть открыты (если ставить на чистую WinXP)? Всегда или нет необходимо закрывать порт 445?
(заранее извиняюсь, если повторил чей-то вопрос)

[Madchild]

Вот и новая напасть.
При загрузке компа грузится и Miranda. Потом подключаюсь к интернету, указываю миранде статус->в сети, но она не конектится. Ни ICQ, ни MSN протоколы.
В разделе "сетевая активность" outpost пишет:
Miranda - запретить любую активность.
Соответственно, в логах:

Цитата:

miranda32.exe-OUT REFUSED-TCP-login.icq.com-5190
miranda32.exe-OUT REFUSED-TCP-messenger.hotmail.com-1863

Перезагружаю миранду - все отлично конектится...
В Outpost политика блокировки.
Опять же, что мешает миранде?

[veschiy]

народ, помогайте......
использую версию 2.5.375.4822 (374) с недавнего времени при перезагрузке outpost выдает ошибку:инструкция по адресу "0х77f52911" обратилась к памяти по адресу "0хfffffffd". память не может быть "read". и работать отказывается.

при повторном запуске программы из меню пуск говорит вот об этом:Can't load high-level plugin: D:\Program Files\Agnitum\Outpost Firewall\engine.dll, error 32

че за бред? и как с ним справиться!
чистка реестра и переинстал помогают только на4-5 загрузок, а дальше все по новой те же ошибки.......................

[Dr.God]

Цитата:

Madchild:
Опять же, что мешает миранде?

Извини, но я всё таки уточню - приславутый "контроль компонентов" выключен? У самого однажды было что-то подобное, но я значения не предал... Попробуй поганять Outpost в режиме обучения.

[Madchild]

Цитата:

Dr.God:
приславутый "контроль компонентов" выключен?

Включен, так его растак... Параноя какая-то у меня с этими компонентами.

Цитата:

Dr.God:
Попробуй поганять Outpost в режиме обучения.

Раньше работал именно в режиме обучения - миранда при подключении к сети конектилась нормально, потом возникла проблема, о которой я писал чуть раньше. Щас вроде та проблемка решилась - нарисовалась новая.
Что странно, при перезагрузке миранды она конектится...
Да, погоняю сегодня outpost в разных вариантах. Посмотрим, что получится.

[Dr.God]

Цитата:

veschiy:
при перезагрузке outpost выдает ошибку

При перезагрузке системы надо полагать? В общем, это может быть связано с сервисом файервола. Приложение стартует раньше своей службы, не срабатывает параметр /waitservice. У самого был такой баг. Как поборол: раздобыл StartupDelayer, выставил задержку запуска Outpost-приложения в две секунды (величина зависит от кол-ва служб и прог, которые у тебя стартуют, но двух секунд в подавляющем числе случаев достаточно). Есть мнение, что такой "долгий старт" связан с Журналом стенки... В любом случае он у меня отключён, однако на ситуацию это не влияет.

[sch_a]

Уважаемые!
Вопрос такого рода: установлена ось WinXP+SP2 и стенка Outpost Firewall Pro ver. 2.5.375.4822 (374), какие порты по умолчанию при инсталляции стенки должны быть открыты (если ставить на чистую WinXP)? Всегда или нет необходимо закрывать порт 445?

Неужели некому ответить?