Agnitum Outpost Firewall

[Geser]

В этой теме всё про эту стенку.

* Сайт производителя: http://www.agnitum.com/
* Инструкция по установке для "чайников"
* Статья по настройке
* Форум по Outpost Firewall на русском языке http://forum.five.mhost.ru/

Могу сказать что давольно удобный и простой в обращении. Сам пользуюсь уже почти полтора года. За исключением мелких недочётов всё отлично. Последняя версия блокирует практически все известные трюки: http://dl2.agnitum.com/OFPvsLeakTests.pdf

[Geser]

Только что тестировал его при помощи утилиты AWFT 3.2
Все тесты Аутпост прошел, при чём, видимо, даже слишком хорошо, поскольку утилитка переодически обиженно висла

[orvman]

Статья по настройке: http://www.securinfo.ru/NastrojjkiOutpost25

В принципе все правильно, но есть недочеты. Большие.

Пример1 :

Эксперты отмечают, что именно так чаще всего воруют пароли. При этом учтите, что порт 113

Ну, пароли воруют не так, конечно. Это все происходит во время работы программ IRC-подобных. Ну, и естественно, так порт нельзя закрыть. Это нужно знать.

Пример2:

loopback-соединения, которые чаще называют замыканием на себя, приходится пусть не очень часто, но и не настолько редко. Знающие люди советуют снять галку.

Насчет часто-редко - это полный бред. Это нужно. К тому же все машины имеют этот адрес. А в принципе - итог правилен. В таких ситуациях, когда дефолтное правило в системных/общих настройках вырублено, тогда лупбэк 127.0.0.1 придется прописывать ручками для всех программ, которым он нужен, например, прокси, анти.....(куча), некоторые браузеры, при чем если стоит монитор вирусняков и т.д., тогда это нужно будет прописывать обязательно. В общем, долго объяснять..., надеюсь мой смысл ясен.

Пример 3:

Allow GRE Protocol ....... Я лично отключил.

Хм. М-да. Очень интересно. А как? Это же бред. Его даже через Винду в реестре прибить
нельзя, а тут ОР... Может мне здесь и стоит пояснить для чего GRE вообще нужен подробнее и как он используется на основе IP, но не буду. Может кто-нибудь пояснит как его отключить, заранее прочитав RFC?

Пример 4:

Block Remote Procedure Call

Стоит заметить, что данное правило нужно прописывать еще и для svchost.exe (XP) или для services.exe, долго объяснять почему. А насчет 135 порта, надеюсь Олег Зайцев подробнее всем растолкует какие проблемы бывают, он это знает.

Пример 5:

открываем вкладку «Приложеня» и удаляем оттуда всё! Ни чего не оставляем

Бред. Пусть это останется на совести автора "©Сергей Голубев sergo (at) aviel.ru"

Пример 6:

SOCKS был создан для обеспечения удобного и безопасного использования сервиса сетевых файрволлов для приложений типа клиент-сервер, работающих по протоколам TCP и UDP.

Полный бред.

Пример 7:

С ftp-клиентом все просто. Для нормальной работы ему следует разрешить исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации (в режиме обучения).

А это как еще? Простите, меня, дибила, но я не понял смысл. Может автор имел ввиду динамическую фильтрацию?

Особенно понравилось вот это :

Пример 8:

Alg.exe? – Microsoft Application Layer Gateway Service. Он обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к интернету через один компьютер.

Бред. Поддержка плагина ICS.. Не знал, что ICS есть плагин... Насчет Alg.exe вообще промолчу.

Пример 9:

Тем не менее, если по каким-либо причинам эту службу отключить нельзя, то используйте файрволл для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135,139,445.

Полный бред. Как это понять, что службу отключить нельзя? Особенно интересно, как можно заблокировать порты Нетбиос
(137-139 и 445 TCP и 137-138 UDP) таким образом?

А в принципе, хорошая статья, познавательная, для ламеров (извините)

от Geser
За исключением мелких недочётов всё отлично

Geser, поподробнее можно? Любопытно, уж. Поясни, пожалуйста.
А я потом свое мнение выскажу.
Geser, ты вроде там описывал утановку, но не до конца, почему-то.
Может припишешь?
Интересно было бы глянуть. Очень.

[orvman]

Инструкция по установке для "чайников" http://virusinfo.info/forum/showthread.php?t=1399

Пункты 1,3,4,5. Согласен на 100%.
Пункт2. Необязательно. Поверь! Хотя, сам рекомендую так делать, но это зависит, от того, что там еще проставлено, ну и от сетевых настроек локали (если есть) и самой машины.
В XPSP1 - в любых настройках пашет, встроенный можно не вырубать. У меня на ~30 машинах все работало.
XPSP2 ОР сам определит его и вырубит.

А вообще стоит глянуть здесь. Не зря Five мою статейку там приписал: http://forum.five.mhost.ru/announcem...nouncementid=6

[Geser]

Geser, поподробнее можно? Любопытно, уж. Поясни, пожалуйста.
А я потом свое мнение выскажу.

В общем что мне не нравится в Оутпосте...
Старые версии проваливали половину ликтестов, что было не особенно приятно.
Последняя версия давольно хорошая, но.
1. При серьёзном флуде грузит процессор на 100% и в конце концов потом падает.
2. Коряво сделана система контроля скрытых процессов. Нет возможности запоминания действий. У меня Битдефендер. Он любит запускать свои части время от времени, и получаю постоянные крики ОПа.

[orvman]

Старые версии проваливали половину ликтестов

Подтверждаю на 100% - В версиях до 2.5.
Благодаря контролю за скрытыми процессами и контролем компонентов такие номера уже не прокатывают.

При серьёзном флуде грузит процессор на 100% и в конце концов потом падает.

Какой именно флуд, на основе чего?
Подтверждаю такое в версиях до 2.5. В 2.5 - уже все пофиксили.
Можно поиграть с настройками Детектора атак. Выставить то, что нужно (там это все и прописывается).
А вообще в системных/общих правилах прописываем правила для всех ip-протоколов- на запрет, кроме ICMP.
Я подозреваю, что настройки ICMP неправильные. Например, многие провайдеры через ICMP проверяют своих клиентов в сети они или нет, ну и другие причины. Соответственно, если все ICMP проставить правильно с точки зрения безопасности, то могут быть траблы с Интернетом. (например ICMP - типы 0 и . А те люди, которые, пытались после этого установить канал связи с провайдером, и имели такую траблу, не разбираясь и не понимая самой сути работы этого протокола и т.д. - ну и неистово забрасывали письмами тех. поддержку Агнитума. Программеры из ОР просто плюнули на таких вот... взяли, да и по дефолту проставили разрешение многих типов ICMP. И я их поддерживаю. Люди, которые понимают, что делают, это дело смекнули и многие ICMP выставили для своих нужд (я об этом уже писал на неоф. русском форуме ОР), прибив многие типы ICMP.

Коряво сделана система контроля скрытых процессов. Нет возможности запоминания действий

В смысле? Там есть "спрашивать", потом выбирать, что нужно. Или не напоминать больше. Можно его отключить, но это не есть хорошо. Или я тебя не так понял? Поподробнее, можно?

[Geser]

Какой именно флуд, на основе чего?

Я уж не помню точно. То ли SYN то ли что-то другое. В первых билдах 2.5 100% вырубал Оутпост. Испытал на себе. Последние билды не проверял.

В смысле? Там есть "спрашивать", потом выбирать, что нужно. Или не напоминать больше.

Я так понимаю что если выбрать "Больше не напоминать" то он будет использовать быбранное действие всегда, для всех приложений. Или я ошибаюсь? В других стенках есть возможность создавать правило разрешающее определённому приложению скрыто запускать определённое приложение. В ОП я не заметил возможности создавать такие правила.

[orvman]

Я так понимаю что если выбрать "Больше не напоминать" то он будет использовать быбранное действие всегда, для всех приложений. Или я ошибаюсь? В других стенках есть возможность создавать правило разрешающее определённому приложению скрыто запускать определённое приложение. В ОП я не заметил возможности создавать такие правила.

Хм, да, действительно. Ты не ошибаешься. Оно так и есть, к сожалению. У меня нет скрытых процессов, вернее есть, но они запрещаются автоматом.
Сейчас вот поставил "Спрашивать" , спровоцировал ситуацию и потестил.
Параметры - приложения - скрытые процессы - "Спрашивать". Вылезает сообщение и выбираем типа "не сообщать" (что-то такое). Далее опять смотрим, что изменилось в Параметры - приложения - скрытые процессы - и видим что ОР нам поменял на "Разрешить доступ". М-да, дела, хреново, если не сказать матом.
Я вроде на англ. форуме слышал, что они еще полгода назад занесли такое в to-do лист на будующие релизы. Видать, еще не сделали.
Да, действительно, согласен с тобой. Людям, которые юзают скрытые порожденные процессы или когда один софт пытается вылезти из под другого, такая штука достанет - точно говоришь. Конечно, можно было бы вступиться за Агнитум, что это и есть его такая политика типа контроля за скрытыми процессами, но не буду, так как это действительно создает большие неудобства.
Неужели Агнитуму нельзя было действительно сделать как ты писал? Типа определенным можно - ну типа списка доверенных. Неужели это для них так трудно?
Чтож - ты прав. Остается только пожелать Агнитуму доработки в этом плане.

[Geser]

Неужели Агнитуму нельзя было действительно сделать как ты писал? Типа определенным можно - ну типа списка доверенных. Неужели это для них так трудно?
Чтож - ты прав. Остается только пожелать Агнитуму доработки в этом плане.

Я так понимаю что фирма маленькая, на первом месте у них стоит правка багов, и до функциональности часто руки не доходят.

[sergey_gum]

Здрасте!
Меня интересует один вопрос: может ли Outpost 2.6 работать с несколькими пользователями одновременно (компом пользуюсь не я один)?

[orvman]

Работает, если я тебя правильно понял. При использовании FUS (Быстрое переключение пользователей) нужно будет делать инсталл ОР для всех юзеров на машине и отключать контроль компонентов в настройках ОР.

[Geser]

Вышла врсия 2.7
Основное изменение - список исключенний контроля скрытых процессов.

[SDA]

Дополнение
Добавлен Список исключений для Контроля скрытых процессов.
Добавлен Список исключений для Контроля памяти процессов.
Добавлен модуль GINA для отслеживания процессов входа/выхода пользователя из системы.
Реализована автоматическая настройка правил для серверов с несколькими IP-адресами.
Реализована передача данных с использованием DNS-запросов.
Реализовано автоматическое интеллектуальное именование правил.
Исправлены ошибки:
Проблема открытия переименованных вложений в TheBat!
Невозможность приема почты в TheBat! на Windows Server 2003 SP1.
Обработка фрагментированных пакетов (все фрагменты обрабатывались в соответствии с правилами для первого фрагмента).
Удовольствие от выпуска новой версии Outpost Firewall Pro испортила серьезная ошибка - при установке программы на этапе обновления системных файлов происходит зависание и инсталляция не завершается. хотя некоторые люди таких проблем не испытывали
Пока же, как оказалось, существует способ обойти ошибку и всё-таки установить Outpost Firewall Pro 2.7.484.412. Для этого необходимо:
Начать устанавливать программу обычным способом.
При появлении надписи "Updating System Configuration" и зависании следует принудительно завершить процесс "GLB1F.TMP" в Диспетчере задач.
В папке с установленными файлами программы (обычно "C:\Program Files\Agnitum\Outpost Firewall\") запустить файл install.exe.
Перезагрузить систему.

[Участковый]

Вышла версия 2.7

Название темы стоило бы поменять (или перенести в новую).

[Geser]

Поменял

[SDA]

Сейчас стало известно об официальном выпуске обновленной версии Outpost Firewall Pro 2.7.485.412. Список изменений новинки остался прежним, просто был заменен номер версии - скорее всего, производитель не хочет афишировать своё фиаско с первоначальным выпуском Outpost Firewall Pro 2.7. Как сообщают пользователи, новая версия 2.7.485.412 устанавливается нормально, так что проблемы больше нет.
http://download.overclockers.ru/inte....7.485.412.exe

[SDA]

Напомню, что в данный момент стоимость лицензии на программу со сроком действия в 1 год составляет 500 рублей, а цена обновления на последующий год - половина этой суммы. Тем не менее, этой осенью компания Agnitum планирует отменить любые скидки для отечественных пользователей и продавать программу по общемировым ценам, по 40$. Теперь, когда стоимость обновления через несколько месяцев ожидается большей, чем стоимость покупки новой лицензии прямо сейчас, можно констатировать, что абсолютное большинство потенциальных отечественных покупателей откажется от любых планов легализации и поддержки этого отечественного производителя. Учитывая, что новые цены для всего компании всего лишь чуть более чем в два раза выгоднее, повышение ценового порога должно лишить ее части прибыли, так как на одного купившего программу по новым ценам будет много тех, кто предпочтет продолжить использование взломанной версии, хотя ранее планировал или хотя бы рассматривал возможность покупки.
http://www.overclockers.ru/softnews/19030.shtml

[Geser]

Сейчас стало известно об официальном выпуске обновленной версии Outpost Firewall Pro 2.7.485.412. Список изменений новинки остался прежним, просто был заменен номер версии - скорее всего, производитель не хочет афишировать своё фиаско с первоначальным выпуском Outpost Firewall Pro 2.7. Как сообщают пользователи, новая версия 2.7.485.412 устанавливается нормально, так что проблемы больше нет.
http://download.overclockers.ru/inte....7.485.412.exe

Ну наконец-то, а то я снёс Jetico, и так и сидел без ничего

[Гость]

А что случилось с http://forum.five.mhost.ru/.Который день не могу попасть.

[orvman]

Все нормально, неоф. форум открылся снова.