Вопросы по Agnitum Outpost Firewall /Outpost Security Suite

[alvic]

N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!

========================

Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь!

========================

Уважаемые пользователи!!!
Огромная просьба к Вам!!!

1-ых,
Если Вы просите решить какую-либо проблему с программой Outpost Firewall
указывайте, пожалуйста, версию программы!!!
+
Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates
P.S. Скопировать версию программы можно из:
Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro
К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411)
Номер версии можно выделить мышкой и скопировать в буфер!!!

2-ых,
В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall
Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий
или
Главное окно Outpost -> Сервис -> Просмотр Журнала (F7)

3-их,
Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!!
Ссылка на строчку ниже...

========================

Ресурсы для ознакомления:
Русскоязычная документация (с картинками).
http://www.agnitum.com/download/User_Guide_(RU).pdf

01. Весь данный топ на одной странице (поиск по Ctrl+F).

02. Довольно много правил под популярные программы.

03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров.

04. Форум на английском языке - http://www.outpostfirewall.com/forum/

05. Форум на русском языке - http://www.firewallforum.ru/

06. Официальный сайт (анг.) - http://www.agnitum.com/

07. Официальный сайт (рус.) - http://www.agnitum.ru/

08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall

09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611

10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858

11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!!

--->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем...

12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64

13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089

14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team?
www.agnitum.com/support/kb/article.php?id=1000144&lang=ru

========================

Обновление до последней бета версии идёт только при измененном update.ini
1) C:\Program Files\Common Files\Agnitum Shared\Aupdate
2) update.ini
3) Изменить:
Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx)
ServerDir=/update_beta25 (было ServerDir=/update_pro20)
Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx)
ServerDir=/update_test (было ServerDir=/update_pro20)
4) Сохранить файл
5) Запустить обновление
Внимание!!! При обновлении блокируются "левые" ключи!!!

========================
Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS),
могут наблюдаться проблемы с доступом на FTP-серверы,
если используется активный режим передачи данных протокола FTP.

Проблема:
Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт

Симптом:
Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт.

Решение:
Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее:
1. Убедитесь что у текущего пользователя есть права администратора системы.
2. Нажмите Start (Пуск), затем Run (Выполнить).
3. Введите REGEDIT и нажмите Enter.
4. Найдите ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\
5. Для ключа ISV замените значение Enable на Disable.
6. Закройте программу Registry Editor.

========================
Каков порядок применения правил обработки сетевого трафика в продуктах Outpost?

http://www.agnitum.ru/support/kb/art...000120&lang=ru


Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008

• Блокировать узел атакующего
• Доверенные зоны
• Глобальное правило блокировки/разрешения NetBIOS
• Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом"
• Глобальные правила, применяемые до правил для приложений
• Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень)
• Низкоуровневые системные правила
• Глобальные правила, применяемые после правил для приложений
• Разрешить NAT-пакеты
• Правила ICMP
• Политика Outpost
• Блокировать транзитные пакеты

========================
Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!"
User_Guide_(RU).pdf
5.5 Фильтрация системы
...
Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений.
Единственными отличиями являются следующие возможности.
Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее):
• Локальные пакеты, направленные из или в локальную сеть
• Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
• NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер)

Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию.

Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию.
Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.

NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly.
========================

version 3 and Port 803?
http://outpostfirewall.com/forum/showthread.php?t=15081
Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action.

========================


Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя...

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Подобное поведение можно отключить!
Как? Читай по этой ссылке (кликай тута)!

========================

Что такое feedback.exe
Ответ на вопрос:
http://outpostfirewall.com/forum/sh...708&postcount=2
The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.
Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

========================
History of changes
http://www.agnitum.com/products/outpost/history.php
========================
N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!
========================

Makc666

Цитата:

Всего скорее Вы не различаете понятия "входящий" и "исходящий" порт(ы).
Исходящий порт (обычно под ним для браузера подразумевается порт 80) - это тот порт, к которому на УДАЛЕННОМ компьютере подключается ваш браузер.
Входящий порт (обычно номер больше 1000) - это тот порт, который отрывает ВАШ браузер на ВАШЕМ компьютере и к которому подключается удаленный сервер чтобы передать информацию.

В самом Outpost порты именуются локальный и удаленный, сервер по 80 (удаленный для браузера) порту получает и передает информацию, аналогично и открытый браузером локальный порт используется в двух направлениях.
Входящее и исходящее употребляется для направления соединений, с учетом инициатора.
ИМХО так будет логичней, тем более и в самом outpost придерживаются данной терминологии.

[oXyd]

Хотелось бы услышать проф. отзывы по встроенному антивирусу в Outpost Security Suite Pro.

Добавлено
Извиняюсь, что запостил вопрос не в ту тему.

Кстати, встроенный антивирус очень слабый. Из 100 вирусов обнаружил лишь 70.

[Vladimir Ivanov]

Несколько лет стояла версия 2.5 и вот недавно решил обновить, поставил 4-ю версию (v4.0.1007.7323 (591) –система WinXP SP2 Eng. Всё вроде работает хорошо, но появился неприятный глюк: практически в 100% случаях недоступен выбор в окошке создания правила, которое выскакивает, когда какое-нибудь приложение просится в инет. Более того, часто оно вообще не отвечает (зависает), вплоть до перезагрузи компьютера. Можно это как-то побороть?

[Dizi]

Цитата:

Сообщение от Vladimir Ivanov

практически в 100% случаях недоступен выбор в окошке создания правила, которое выскакивает, когда какое-нибудь приложение просится в инет.

Проверте настройки для создания предустановленных правил

[IMG]http://img295.***************img295/460/1666lc5.th.jpg[/IMG]

добавлено через 9 минут

Цитата:

Сообщение от Vladimir Ivanov

Более того, часто оно вообще не отвечает (зависает), вплоть до перезагрузи компьютера.

Иногда помогает, но это незначит что у вас именно эта проблема. ))

[Wo1verine]

Подскажите, а есть ли разница между:

Allow local TCP/UDP connection
Где протокол TCP
и Где направление Исходящее и тип пакета Локальный
и Где удалённый адрес 127.0.0.1
и Где локальный адрес 127.0.0.1
Разрешить эти данные

---------- и ----------
Allow local TCP/UDP connection
Где протокол TCP
и Где направление Исходящее и тип пакета Локальный
и Где удалённый адрес 255.255.255.255(0.0.0.0)
и Где локальный адрес 255.255.255.255(0.0.0.0)
Разрешить эти данные

Просто сейчас смотрел Allow local TCP/UDP connection и меня не прельщает такой диапазон адресов как 255.255.255.255(0.0.0.0).
Подскажите если изменить его на 127.0.0.1 - будет ли такое решение более безопасным(надежным) в качестве реализации защиты?

[Makc666]

Цитата:

Сообщение от SimplyNik

В самом Outpost порты именуются локальный и удаленный, сервер по 80 (удаленный для браузера) порту получает и передает информацию, аналогично и открытый браузером локальный порт используется в двух направлениях.
Входящее и исходящее употребляется для направления соединений, с учетом инициатора.
ИМХО так будет логичней, тем более и в самом outpost придерживаются данной терминологии.

Если я ещё не совсем из ума выжил, то сервер устанавливает соединения с локальным компьютером на его IP адрес на определенный порт. И это соединение остается на данном порту открытым до тех пор, пока или сервер, или сам браузер не разорвёт соединение.
И уж точно соединение с сервера устанавливается не на локальный 80 порт.
Про терминалогию спасибо.

Цитата:

Сообщение от Wo1verine

Подскажите, а есть ли разница между

Нету разницы.

Цитата:

Сообщение от Wo1verine

Просто сейчас смотрел Allow local TCP/UDP connection и меня не прельщает такой диапазон адресов как 255.255.255.255(0.0.0.0).

Это всего лишь своеобразная инверсия

Цитата:

Сообщение от Wo1verine

Подскажите если изменить его на 127.0.0.1 - будет ли такое решение более безопасным(надежным) в качестве реализации защиты?

Если разницы нет, то решения оба одинаковые.
Возможно то, что разработчики по умолчанию забили 255.255.255.255 (0.0.0.0) и несёт какой-то смысл для Outpost, но теоретическом плане по идее разницы нет.

Makc666

Цитата:

Если я ещё не совсем из ума выжил, то сервер устанавливает соединения с локальным компьютером на его IP адрес на определенный порт. И это соединение остается на данном порту открытым до тех пор, пока или сервер, или сам браузер не разорвёт соединение.
И уж точно соединение с сервера устанавливается не на локальный 80 порт.

Инициатором соединения является локальный компьютер.
Открывается локальный порт выше 1024, идет запрос на 80 удаленный сервера.
Сервер то откуда знает, что ему надо с вами соединится

[Makc666]

Цитата:

Сообщение от SimplyNik

Инициатором соединения является локальный компьютер.
Открывается локальный порт выше 1024, идет запрос на 80 удаленный сервера.
Сервер то откуда знает, что ему надо с вами соединится

Я обратного не говорил. Я не говорил, что сервер является инициатором. Может быть я ещё и говорил, что сервер и порты на локальном компьютере сам открывает.
Не ищите ошибки там, где их нет.

[Wo1verine]

Makc666, угу, спасибо. Тогда ещё вопрос можно? Ситуация такова:
Выхожу на WinUpdate - а мне включите поддержку выполнения сценариев.
1.Я в Опере добавляю сайты(к-е M$ указал) в доверенные, разрешаю все. Релоад, ноль результатов.
2. Захожу в АП в ИЭ добаляю в доверенные(разрешаю все) - same shit.
3. Меня уже бесит, я разрешаю всем сайтам ActiveX и проч. Все равно ничего.
4. Выгружаю АП - все пучком.

Вопрос: У меня руки кривые?

[Wo1verine]

Недавно решил проверить стенку на https://grc.com/x/ne.dll?bh0bkyd2 - тест успешно прошел. Фаер все прикрыл.

Решил посмотерть что будет без стенки.
Получилась оч интересная картина - около 30-40 портов были stealth - остальные закрыты, а вот один 1026 - ОТКРЫТ!
Вроде он принадлежит семейству COM.

В АП этот порт держит открытым System.
Как его можно закрыть?

[Makc666]

Цитата:

Сообщение от Wo1verine

Выхожу на WinUpdate

Windows Update - это такая штука... У меня тоже бывает этот ActiveX. То обновляется, то нет, то обновляется, то нет. Причем Outpost я не трогаю в эти моменты. Я и читать пытался про эту ошибку, и эксперементировать. Помойму этот Windows Update и ActiveX живет своей жизнью Звучить бредово, но, помойму, это глюк самый настоящий. И помойму в Windows.
Могу только посоветоваться попробовать снести Outpost, перезагрузиться и заново попробовать. Или методом тыка искать решения проблемы.

Wo1verine, пиши название программы, пожалуйста, как Outpost, а не АП. Не удобно читать

Цитата:

Сообщение от Wo1verine

а вот один 1026 - ОТКРЫТ!
Вроде он принадлежит семейству COM.

В АП этот порт держит открытым System.
Как его можно закрыть?

Как говорил Шерлок Холмс, юзайте поиск
1. Первый шаг: что за порт 1026
2. 5-ая ссылка у нас: Журнал «Системный администратор»

А там написано:
Открытый порт 1026 говорит о том, что включена «Служба сообщений» (Messenger). Если вы ей не пользуетесь, то отключите этот сервис. Для этого запустите консоль управления сервисами Windows (services.msc), кликните правой кнопкой на «Службе сообщений», выберите «Свойства» и в поле «Тип запуска» выберите «Отключено» и нажмите «OK».

Вот и всё

[D.O.A]

Такой вопрос, ver. 4.0.1007.7323 (591) при простое где-то часов 5 наедает 38мб рема в процессах, но если просто открыть окно фаерволла, ничего не делая, - падает до 6мб. Это баг, или что-то стоит отключить? У меня щас стоит только антиспйвер, причем монитор отключен, и аттак детекшен, все остальное отключил.

[Wo1verine]

За ответ спсаибо, но вопрос остается открытым.
"Служба сообщений", равно как и другие ненужные прибита.

Работают:
1. DNS-клиент
2. Plug and Play
3. Windows Audio
4. Диспетчер логических дисков
5. Диспетчер печати
6. Журнал событий
7. Служба криптографии - нужна ли?
8. Темы
7. Уведомление о сис ошибках
8. Удаленный вызов RPC
Вручную:
9. Диспетчер подключений удал доступа
10. Инструментарий винды
11. Сетевые аодключения
12. Система событий COM+

Так вот просматриваю процессы через ProcessExplorerNT:
system 1025(в прошлом 1026)
svchost.exe udp 1028,1029,1526 - вызывается С:\WINDOWS\System32\svchost.exe -k NetworkService
- эти по просмотру журнала Outpost были открыты для DNS.

19:07:24 svchost.exe ИСХ UDP п.р.о.в DNS 1029 Allow DNS(UDP)
20:17:31 svchost.exe ИСХ UDP п.р.о.в DNS 1526 Allow DNS(UDP)
Значит с этими вроде все впорядке.

System в журнале Outpost вообще не отображается, правда есть хитрый процесс под названием "Недоступно" - вот и думай к кому он относится.

[kelta]

Уважаемые, такой вопрос:
Outpost Firewall Pro ver. 4.0.1007.7323 (591), NOD32 v.2.70.25, Windows XP SP2.

Странным образом в фаерволе постоянно сам по себе отключается модуль Anti-Spyware (статус постоянная защита выключена). Причем выключение модуля происходит во время работы без перезагрузки.
Есть подозрения, что модуль отключается после того, как программа Behold TV переходит в полноэкранный режим. Но выключение модуля в таком случае происходит не регулярно, а периодически. 10 минут назад модуль был включен, работал behold tv, потом после перехода в полноэкранный режим и возвращения обратно модуль выключился. После его включения и повторения описанных выше манипуляций модуль продолжал работать.

Может, кто сталкивался с подобной ситуацией? Возможен ли конфликт с антивирусом и его монитором?

[Croсk]

Проблема с обновлением:

Код:

C:\Program Files\Common Files\Agnitum Shared\Aupdate 
изменяю в update.ini
ServerDir=/update_pro35
на
ServerDir=/update_pro

нажимаю обновить, пишет:
Произошел сбой при соединении с сервером.
Повторение попытки не дает положительных результатов.
update.ini после отказа от обновления изменяется обратно:

Код:

ServerDir=/update_pro
на
ServerDir=/update_pro35

Outpost Firewall Pro ver. 3.51.759.6511 (462) обновляет все, кроме самой версии.
Подскажите решение данной проблемы?

[Georgen]

Сегодня случился такой глюк, с клиентской машины не мог зайти на имху и зеркало. С сервера можно было попасть только на зеркало. После отключения Outpostа проблемы пропали, но после перезагрузки сервера - восстановились. Через час сисадмин проблему решил удалением из Outpostа всех записей DNS кэша. Возникает вопрос, стоит ли кэшировать DNS записи

[Plague]

[offtop]
странно, с чего бы у имхи с зеркалом ДНСы поменялись.. я не в курсе...
[/offtop]

[CUST]

kelta
Странным образом в фаерволе постоянно сам по себе отключается модуль Anti-Spyware (статус постоянная защита выключена). Причем выключение модуля происходит во время работы без перезагрузки.


У меня та же проблема , единственное отличие в том , что отключение происходит после запроса какого-либо приложения работать в полноэкранном (игровом) режиме.
И ещё вопрос: пользуется кто-нибудь плагином Who iasy. Все мои попытки поработать с ним никакого результата не дали.
Ver. 4.0964.
регистрация- ключ

[Plague]

Цитата:

Сообщение от CUST

И ещё вопрос: пользуется кто-нибудь плагином Who iasy. Все мои попытки поработать с ним никакого результата не дали.

1. Who Easy он зовется.
2. outpost.exe в запрещенных поди стоит?
убери его оттуда, перейди в режим обучения, заюзай плагин, создай разрешающее правило для того, куда оно ломанется. а остальную активность запрети после

[Merlin Cori]

Plague,
что-то такое было сегодня утром....
у меня дома тож через раз глюкало