# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Утилита APS

## naik212006

Я использую в работе антивирус DrWeb и Agnitum Outpost Firewall 3.51.
Возможно ли использование утилиты APS Олега Зайцева одновременно
с Agnitum Outpost Firewall. Не будут ли они конфликтовать между собой?
И нужно ли такое сочетание(хотя по-моему лучше перебдеть,чем недобдеть,ИМХО конечно).
С уважением
naik212006

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ed13

APS и Оутпост не конфликтуют... "Проверено электроникой" (с), сам такой связкой пользуюсь...

----------


## naik212006

> APS и Оутпост не конфликтуют... "Проверено электроникой" (с), сам такой связкой пользуюсь...


Доброго времени суток ed13 :Wink:  
Спасибо за ответ на интересующую меня тему.
Что-же если АРС и Outpost не конфликтуют,то это очень хорошо.
А также это ещё одно признание работы Олега Зайцева отличной! :Stick Out Tongue:  
Насколько я правильно понял - он работает один ( для одного - это здорово ).
Значит будем пользовать АРС.
Ещё раз спасибо!!! :Cheesy:

----------


## barsukRed

При запуске APS пришлось разрешить фаеру чтобы программа СЛУШАЛА ! Я-очень большой чайник,но мне не очень нравится когда СЛУШАЮТ! Хотелось бы узнать мнение специалиста об этом? Это паранойя,я знаю. Но при определенном положении вещей кто-нибудь захочет пролезть....

----------


## Ego1st

я сначало думал использовать APS вместо файра мне и его хватило бы, но он сразу на прослушку порты открывает те которые закрыты, мне это сразу непонравилось, пришлось халявный аутпост ставить...

----------


## barsukRed

Не подумайте что я рекламирую,Вы пробовали COMODO free?

----------


## Зайцев Олег

> я сначало думал использовать APS вместо файра мне и его хватило бы, но он сразу на прослушку порты открывает те которые закрыты, мне это сразу непонравилось, пришлось халявный аутпост ставить...


Тут главное определиться с тем, что такое APS  :Smiley:  APS - это детектор сканирования портов, не более того. Он не может выполнять роль Firewall - так как решает другие задачи. APS удобен админу - поднять его на десятке серверов в большой сети и настроить на отправку оповещений в случае тревоги ... - очень полезно для отлова доморощенных "кулхацкеров". А так-же удобно для контроля за работой Firewall.

----------


## Ego1st

> Тут главное определиться с тем, что такое APS  APS - это детектор сканирования портов, не более того. Он не может выполнять роль Firewall - так как решает другие задачи. APS удобен админу - поднять его на десятке серверов в большой сети и настроить на отправку оповещений в случае тревоги ... - очень полезно для отлова доморощенных "кулхацкеров". А так-же удобно для контроля за работой Firewall.


да это понятно, зачем сразу всё мониторить если порты эти закрыты.. 
ну вообщем да для офисной локалки самое-то..




> Не подумайте что я рекламирую,Вы пробовали COMODO free?


Это ко мне вопрос? Да пробовал, мне просто функционал такой ненужен.. мне малость порты прикрыть надо и всё, ну ещё небольшой мониторинг сетевой активности..

кстати снёс аутпост, он правила не запоминает, после перезагрузке правила все отваливаються и приходилось сеть заного настраивать..

----------


## Geser

> да это понятно, зачем сразу всё мониторить если порты эти закрыты.. 
> ну вообщем да для офисной локалки самое-то..
> 
> 
> 
> Это ко мне вопрос? Да пробовал, мне просто функционал такой ненужен.. мне малость порты прикрыть надо и всё, ну ещё небольшой мониторинг сетевой активности..
> 
> кстати снёс аутпост, он правила не запоминает, после перезагрузке правила все отваливаються и приходилось сеть заного настраивать..


Для закрытия портов состаточно родной стенки винды.

----------


## Ego1st

> Для закрытия портов состаточно родной стенки винды.


вообще и стенки ненадо, в настройках сетевой карты всё реализуеться, но имхо мне это немного не катит=))

----------


## barsukRed

кстати снёс аутпост, он правила не запоминает, после перезагрузке правила все отваливаються и приходилось сеть заного настраивать..[/quote]

 А у меня такое было с КАХом -создал правило в обучающем режиме он автоматом,если подредактировать вручную или поменять последовательность исполнения -то после перезагрузки машины все возвращается по старому(авт.создан.КАХом).Я так и не понял почему,пришлось отказатся от КАХа.

----------


## ЗА-ЯЦ!

Очень важно!    Можно ли считать тревогу APS индикатором  ненадежности фаера или неправильных настроек?  Всегда ли результатом тревоги APS является пробой стенки, или возможны варианты? Спасибо!

----------


## Зайцев Олег

> Очень важно!    Можно ли считать тревогу APS индикатором  ненадежности фаера или неправильных настроек?  Всегда ли результатом тревоги APS является пробой стенки, или возможны варианты? Спасибо!


Если в правилах Firewall утилите APS не разрешено работать в Инет и он выдает тревогу, то это означает, что Firewall не работает, работает неправильно или некорретно настроен.

----------


## ЗА-ЯЦ!

> Если в правилах Firewall утилите APS не разрешено работать в Инет и он выдает тревогу, то это означает, что Firewall не работает, работает неправильно или некорретно настроен.


Дело в том, что я ВСЕГДА разрешал APS во всех стенках, в одних случаях APS  выдавал сигнал, в других-молчал. Получается я делал совершенно неправильные выводы? Или же есть какие-то особенности, что я не учитываю?

----------


## Зайцев Олег

> Дело в том, что я ВСЕГДА разрешал APS во всех стенках, в одних случаях APS  выдавал сигнал, в других-молчал. Получается я делал совершенно неправильные выводы? Или же есть какие-то особенности, что я не учитываю?


Ситуации применения APS описаны в его справке. Если APS разрешить работу в Инет, то он не является индикатором исправности Firewall и становится детектором атак и сканирований портов. Если запретить - он становится утилитой контроля за Firewall. И еще тонкость - на некоторых Firewall даже при разрешительных правилах APS будет "молчать", так как Firewall реализует режим невидимости - т.е. ПК независимо от правил не отвечает на пинги и иными похожими средствами достигается его "невидимость" в сети (например, Firewall может безусловно блокировать все пакеты извне, если они не пришли в ответ на запрос с данного ПК).

----------


## ЗА-ЯЦ!

Понял! Еще раз спасибо.

----------


## NO-REG

Привет всем,
Олег, наверно я чего-то не понял, но вот какая ситуация:
конфигурация /winxp_sp2 + встроеный брэнд + НОД32/ плюс АПС грузится автоматом, но без разрешения выхода в нет.
Каждые 5-15 минут регистрируется попытка соединения (прослушки?) 80 порта с локалхоста:
-------------------------------------------
Атакующий хост: 127.0.0.1 localhost
  дата/время начала сканирования:     15.02.2007 23:21:28
  дата/время последнего сканирования: 16.02.2007 1:16:44
  кол-во сканирований:      149
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   80/TCP кол-во атак = 149, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-------------------------------------------
Как думаешь, это нормально?
Ну всё, не посчитай за труд - заранее благодарен.
Слава труду!

----------


## $username

Встроеный фаервол больно слабо блокирует исходящий трафик, так что нужно поставить нормальный (3rd party== "третьепартийный") фаер от других более нормальных производителей, а виндовский - вырубай. Если повторится таже ситуация поздравляю - тебе в раздел [ПОМОЖИТЕ]

----------


## Генрих

Получается, что АПС как-бы подстраховывает брандмауэр, даже если молчит из-за его запретительных правил. Ну а были у кого-то случаи, что АПС показывала проникновение на ПС при работающем ф-волле? Если не было, то какой смысл в ней? Примерно за месяц ее совместной работы с F-Secure адреса, что она показывала, ни разу не совпали с адресами, отловленными брэндом. И потом, как узнать, это тебя сканируют или вообще всех, или это просто работа какого-то сервера?  Один день она показывает сканирование из Италии по какому-то порту, другой день - местный сервер MS SQL по другому. Брэнд на это никак не реагирует. Себя сканируешь - тоже АПС показывает, а брэнд нет. Игрушка что-ли просто?
Но кстати, на двух брэндах, что стояли, факты наблюдения ею портов отражаются в их статистике; она может работать или нет в зависимости от режима брэнда F-S - строгий или нормальный.

----------

