# Форум на русском языке  > Решения по информационной безопасности  > Межсетевые экраны (firewall)  >  Agnitum Outpost Firewall

## Geser

В этой теме всё про эту стенку.

* Сайт производителя: http://www.agnitum.com/
* Инструкция по установке для "чайников"
* Статья по настройке
* Форум по Outpost Firewall  на русском языке http://forum.five.mhost.ru/

Могу сказать что давольно удобный и простой в обращении. Сам пользуюсь уже почти полтора года. За исключением мелких недочётов всё отлично. Последняя версия блокирует практически все известные трюки: http://dl2.agnitum.com/OFPvsLeakTests.pdf

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Только что тестировал его при помощи утилиты AWFT 3.2 
Все тесты Аутпост прошел, при чём, видимо, даже слишком хорошо, поскольку утилитка переодически обиженно висла  :Smiley:

----------


## orvman

> Статья по настройке: http://www.securinfo.ru/NastrojjkiOutpost25


В принципе все правильно, но есть недочеты. Большие.

Пример1 : 


> Эксперты отмечают, что именно так чаще всего воруют пароли. При этом учтите, что порт 113


 Ну, пароли воруют не так, конечно. Это все происходит во время работы программ IRC-подобных. Ну, и естественно, так порт нельзя закрыть. Это нужно знать.

Пример2: 


> loopback-соединения, которые чаще называют замыканием на себя, приходится пусть не очень часто, но и не настолько редко. Знающие люди советуют снять галку.


 Насчет часто-редко - это полный бред. Это нужно. К тому же все машины имеют этот адрес.  А в принципе - итог правилен. В таких ситуациях, когда дефолтное правило в системных/общих настройках вырублено, тогда лупбэк 127.0.0.1 придется прописывать ручками для всех программ, которым он нужен, например, прокси, анти.....(куча), некоторые браузеры, при чем если стоит монитор вирусняков и т.д., тогда это нужно будет прописывать обязательно. В общем, долго объяснять..., надеюсь мой смысл ясен.

Пример 3: 


> Allow GRE Protocol ....... Я лично отключил.


 Хм. М-да. Очень интересно. А как? Это же бред. Его даже через Винду в реестре прибить
нельзя, а тут ОР... Может мне здесь и стоит пояснить для чего GRE вообще нужен подробнее и как он используется на основе IP, но не буду. Может кто-нибудь пояснит как его отключить, заранее прочитав RFC?

Пример 4: 


> Block Remote Procedure Call


 Стоит заметить, что данное правило нужно прописывать еще и для svchost.exe (XP) или для services.exe, долго объяснять почему. А насчет 135 порта, надеюсь *Олег Зайцев* подробнее всем растолкует какие проблемы бывают, он это знает.

Пример 5: 


> открываем вкладку «Приложеня» и удаляем оттуда всё! Ни чего не оставляем


 Бред. Пусть это останется на совести автора "©Сергей Голубев sergo (at) aviel.ru"

Пример 6: 


> SOCKS был создан для обеспечения удобного и безопасного использования сервиса сетевых файрволлов для приложений типа клиент-сервер, работающих по протоколам TCP и UDP.


 Полный бред.

Пример 7: 


> С ftp-клиентом все просто. Для нормальной работы ему следует разрешить исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации (в режиме обучения).


 А это как еще? Простите, меня, дибила, но я не понял смысл. Может автор имел ввиду динамическую фильтрацию?

Особенно понравилось вот это :

Пример 8: 


> Alg.exe? – Microsoft Application Layer Gateway Service. Он обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к интернету через один компьютер.


 Бред. Поддержка плагина ICS.. Не знал, что ICS есть плагин... Насчет Alg.exe вообще промолчу.

Пример 9: 


> Тем не менее, если по каким-либо причинам эту службу отключить нельзя, то используйте файрволл для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135,139,445.


 Полный бред. Как это понять, что службу отключить нельзя? Особенно интересно, как можно заблокировать порты Нетбиос
(137-139 и 445 TCP и 137-138 UDP) таким образом?

А в принципе, хорошая статья, познавательная, для ламеров (извините) 



> от *Geser*
> За исключением мелких недочётов всё отлично


*Geser*, поподробнее можно? Любопытно, уж. Поясни, пожалуйста. 
А я потом свое мнение выскажу.
*Geser*, ты вроде там описывал утановку, но не до конца, почему-то.
Может припишешь? 
Интересно было бы глянуть. Очень.

----------


## orvman

> Инструкция по установке для "чайников" http://virusinfo.info/forum/showthread.php?t=1399


Пункты 1,3,4,5. Согласен на 100%.
Пункт2. Необязательно. Поверь! Хотя, сам рекомендую так делать, но это зависит, от того, что там еще проставлено, ну и от сетевых настроек локали (если есть) и самой машины. 
В *XPSP1* - в любых настройках пашет, встроенный можно не вырубать. У меня на ~30 машинах все работало.  
*XPSP2* ОР сам определит его и вырубит.

А вообще стоит глянуть здесь. Не зря *Five* мою статейку там приписал: http://forum.five.mhost.ru/announcem...nouncementid=6

----------


## Geser

> *Geser*, поподробнее можно? Любопытно, уж. Поясни, пожалуйста. 
> А я потом свое мнение выскажу.


В общем что мне не нравится в Оутпосте...
Старые версии проваливали половину ликтестов, что было не особенно приятно.
Последняя версия давольно хорошая, но.
1. При серьёзном флуде грузит процессор на 100%  и в конце концов потом падает.
2. Коряво сделана система контроля скрытых процессов. Нет возможности запоминания действий. У меня Битдефендер. Он любит запускать свои части время от времени, и получаю постоянные крики ОПа.

----------


## orvman

> Старые версии проваливали половину ликтестов


Подтверждаю на 100% - В версиях до 2.5.
Благодаря контролю за скрытыми процессами и контролем компонентов такие номера уже не прокатывают.



> При серьёзном флуде грузит процессор на 100% и в конце концов потом падает.


 Какой именно флуд, на основе чего?
Подтверждаю такое в версиях до 2.5. В 2.5 - уже все пофиксили.
Можно поиграть с настройками Детектора атак. Выставить то, что нужно (там это все и прописывается).
А вообще в системных/общих правилах прописываем правила для всех ip-протоколов- на запрет, кроме ICMP.
Я подозреваю, что настройки ICMP неправильные. Например, многие провайдеры через ICMP проверяют своих клиентов в сети они или нет, ну и другие причины. Соответственно, если все ICMP проставить правильно с точки зрения безопасности, то могут быть траблы с Интернетом. (например ICMP - типы 0 и  :Cool: . А те люди, которые, пытались после этого установить канал связи с провайдером, и  имели такую траблу, не разбираясь и не понимая самой сути работы этого протокола и т.д. - ну и неистово забрасывали письмами тех. поддержку Агнитума. Программеры из ОР просто плюнули на таких вот... взяли, да и по дефолту проставили разрешение многих типов ICMP. И я их поддерживаю. Люди, которые понимают, что делают, это дело смекнули и многие ICMP выставили для своих нужд (я об этом уже писал на неоф. русском форуме ОР), прибив многие типы ICMP.



> Коряво сделана система контроля скрытых процессов. Нет возможности запоминания действий


В смысле? Там есть "спрашивать", потом выбирать, что нужно. Или не напоминать больше. Можно его отключить, но это не есть хорошо. Или я тебя не так понял? Поподробнее, можно?

----------


## Geser

> Какой именно флуд, на основе чего?


Я уж не помню точно. То ли SYN то ли что-то другое. В первых билдах 2.5 100% вырубал Оутпост. Испытал на себе. Последние билды не проверял.



> В смысле? Там есть "спрашивать", потом выбирать, что нужно. Или не напоминать больше.


 Я так понимаю что если выбрать "Больше не напоминать" то он будет использовать быбранное действие всегда, для всех приложений. Или я ошибаюсь? В других стенках есть возможность создавать правило разрешающее определённому приложению скрыто запускать определённое приложение. В ОП я не заметил возможности создавать такие правила.

----------


## orvman

> Я так понимаю что если выбрать "Больше не напоминать" то он будет использовать быбранное действие всегда, для всех приложений. Или я ошибаюсь? В других стенках есть возможность создавать правило разрешающее определённому приложению скрыто запускать определённое приложение. В ОП я не заметил возможности создавать такие правила.


Хм, да, действительно. Ты не ошибаешься. Оно так и есть, к сожалению. У меня нет скрытых процессов, вернее есть, но они запрещаются автоматом. 
Сейчас вот поставил "Спрашивать" , спровоцировал ситуацию и потестил.
Параметры - приложения - скрытые процессы - "Спрашивать". Вылезает сообщение и выбираем типа "не сообщать" (что-то такое). Далее опять смотрим, что изменилось в Параметры - приложения - скрытые процессы - и видим что ОР нам поменял на "Разрешить доступ". М-да, дела, хреново, если не сказать матом.
Я вроде на англ. форуме слышал, что они еще полгода назад занесли такое в to-do лист на будующие релизы. Видать, еще не сделали.
Да, действительно, согласен с тобой. Людям, которые юзают скрытые порожденные процессы или когда один софт пытается вылезти из под другого, такая штука достанет - точно говоришь. Конечно, можно было бы вступиться за Агнитум, что это и есть его такая политика типа контроля за скрытыми процессами, но не буду, так как это действительно создает большие неудобства. 
Неужели Агнитуму нельзя было действительно сделать как ты писал? Типа определенным можно - ну типа списка доверенных. Неужели это для них так трудно? 
Чтож - ты прав. Остается только пожелать Агнитуму доработки в этом плане.

----------


## Geser

> Неужели Агнитуму нельзя было действительно сделать как ты писал? Типа определенным можно - ну типа списка доверенных. Неужели это для них так трудно? 
> Чтож - ты прав. Остается только пожелать Агнитуму доработки в этом плане.


Я так понимаю что фирма маленькая, на первом месте у них стоит правка багов, и до функциональности часто руки не доходят.

----------


## sergey_gum

Здрасте!
Меня интересует один вопрос: может ли Outpost 2.6 работать с несколькими пользователями одновременно (компом пользуюсь не я один)?

----------


## orvman

Работает, если я тебя правильно понял. При использовании FUS (Быстрое переключение пользователей) нужно будет делать инсталл ОР для всех юзеров на машине и отключать контроль компонентов в настройках ОР.

----------


## Geser

Вышла врсия 2.7
Основное изменение - список исключенний контроля скрытых процессов.

----------


## SDA

Дополнение
Добавлен Список исключений для Контроля скрытых процессов. 
Добавлен Список исключений для Контроля памяти процессов. 
Добавлен модуль GINA для отслеживания процессов входа/выхода пользователя из системы. 
Реализована автоматическая настройка правил для серверов с несколькими IP-адресами. 
Реализована передача данных с использованием DNS-запросов. 
Реализовано автоматическое интеллектуальное именование правил. 
Исправлены ошибки: 
Проблема открытия переименованных вложений в TheBat! 
Невозможность приема почты в TheBat! на Windows Server 2003 SP1. 
Обработка фрагментированных пакетов (все фрагменты обрабатывались в соответствии с правилами для первого фрагмента).
Удовольствие от выпуска новой версии Outpost Firewall Pro испортила серьезная ошибка - при установке программы на этапе обновления системных файлов происходит зависание и инсталляция не завершается. хотя некоторые люди таких проблем не испытывали
Пока же, как оказалось, существует способ обойти ошибку и всё-таки установить Outpost Firewall Pro 2.7.484.412. Для этого необходимо: 
Начать устанавливать программу обычным способом. 
При появлении надписи "Updating System Configuration" и зависании следует принудительно завершить процесс "GLB1F.TMP" в Диспетчере задач. 
В папке с установленными файлами программы (обычно "C:\Program Files\Agnitum\Outpost Firewall\") запустить файл install.exe. 
Перезагрузить систему.

----------


## Участковый

> Вышла версия 2.7


Название темы стоило бы поменять (или перенести в новую).

----------


## Geser

Поменял

----------


## SDA

Сейчас стало известно об официальном выпуске обновленной версии Outpost Firewall Pro 2.7.485.412. Список изменений новинки остался прежним, просто был заменен номер версии - скорее всего, производитель не хочет афишировать своё фиаско с первоначальным выпуском Outpost Firewall Pro 2.7. Как сообщают пользователи, новая версия 2.7.485.412 устанавливается нормально, так что проблемы больше нет.
http://download.overclockers.ru/inte....7.485.412.exe

----------


## SDA

Напомню, что в данный момент стоимость лицензии на программу со сроком действия в 1 год составляет 500 рублей, а цена обновления на последующий год - половина этой суммы. Тем не менее, этой осенью компания Agnitum планирует отменить любые скидки для отечественных пользователей и продавать программу по общемировым ценам, по 40$. Теперь, когда стоимость обновления через несколько месяцев ожидается большей, чем стоимость покупки новой лицензии прямо сейчас, можно констатировать, что абсолютное большинство потенциальных отечественных покупателей откажется от любых планов легализации и поддержки этого отечественного производителя. Учитывая, что новые цены для всего компании всего лишь чуть более чем в два раза выгоднее, повышение ценового порога должно лишить ее части прибыли, так как на одного купившего программу по новым ценам будет много тех, кто предпочтет продолжить использование взломанной версии, хотя ранее планировал или хотя бы рассматривал возможность покупки.
http://www.overclockers.ru/softnews/19030.shtml

----------


## Geser

> Сейчас стало известно об официальном выпуске обновленной версии Outpost Firewall Pro 2.7.485.412. Список изменений новинки остался прежним, просто был заменен номер версии - скорее всего, производитель не хочет афишировать своё фиаско с первоначальным выпуском Outpost Firewall Pro 2.7. Как сообщают пользователи, новая версия 2.7.485.412 устанавливается нормально, так что проблемы больше нет.
> http://download.overclockers.ru/inte....7.485.412.exe


Ну наконец-то, а то я снёс Jetico, и так и сидел без ничего  :Smiley:

----------


## Гость

А что случилось с  http://forum.five.mhost.ru/.Который день не могу попасть.

----------


## orvman

Все нормально, неоф. форум открылся снова.

----------


## DISEPEAR

> Удалите созданные правила для приложений.
> переведите программу в режим обучения
> отключите автосоздание правил
> теперь при каждой попытки выйти в сеть будет появляться диалог на создание правила - в нем вы можете:
> 1) разрешить приложение
> 2) разрешить однократно
> 3) блокировать
> 4) блокировать однократно


  Но такой функции как запрос я как понял там нету.. я прав?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## OSSP2008

> Но такой функции как запрос я как понял там нету.. я прав?


нету.
или создайте свои правила, чтобы приложения не ходили на какие-либо сайты

----------


## DISEPEAR

> нету.
> или создайте свои правила, чтобы приложения не ходили на какие-либо сайты


  Я вот на некоторых сайтах и форумах читал что можно применять Outpost вместе с ESS. Никто не пробывал случаем?

----------


## pixel

возникла проблема, Agnitum Outpost Firewall  не обновляется, стоит обновление вручную, нажимаю обновить, не обновляется, ставлю автоматическое обновление, все равно не обновляется, и так уже неделю, до этого почти год нормально обновлялся ...

----------


## senyak

А что пишет? Выдает ошибку или как понять "не обновляется"?

----------


## zz_ee

У меня подобная проблема.
На вкладке "Моя безопастность" строка "База сигнатур" выделена желтым цветом,последние обновление от 14.08.09,жму обновить,начинается обновление,потом загрузка сценариев и файлов конфигурации,потом файлов конфиг модуля антишпион,потом пишет ,что обновление не требуется,и что все компаненты последней версии.Но тогда почему строка желтого цвета?
А возможно это из-за того ,что у меня сидит троян(Trojan.Qhost.69,его определяет др.веб,сейчас готовлю файлы отчета для темы просьбы о помощи) ?

----------


## OSSP2008

Возможно. 
Trojan.*Qhost*.69 меняет записи в файле hosts

----------


## LeshIg

> возникла проблема, Agnitum Outpost Firewall  не обновляется, стоит обновление вручную, нажимаю обновить, не обновляется, ставлю автоматическое обновление, все равно не обновляется, и так уже неделю, до этого почти год нормально обновлялся ...


Такая же проблема была, проверил DrWeb-ом Курейт, вирусов не нашел, через несколько дней срок лицензии истек, хотя оставалось еще дней 50, поменял лицензию все внорме вроде, если в помогите ктонибудь обращался то киньте пожалусто ссылочку на тему,

----------


## OSSP2008

> через несколько дней срок лицензии истек, хотя оставалось еще дней 50, поменял лицензию все внорме вроде,


ключ лецензионный или палево?

----------


## LeshIg

откуда у студентов лицензии :Wink: 
Вот еще спросить хотел, может есть где мануал по настройке Outpost Firewall Pro 2009?  а то все ссылочки, которые нахожу, на старые версии. спасибо

----------


## Den87

не установится программа. Вроде системные требования подходят (у меня windows xp, ram 512 mb, 2.81 Ггц). Почти все установится, но в конце установки зависает, когда хочет установить файл microsoft visual c++ run-time libraries installation.

----------


## Holino

```
07.11.2009 19:25:30	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 18:35:51	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 17:55:18	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 16:54:46	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 16:25:12	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 15:25:37	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 14:24:50	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 10:54:29	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 10:53:53	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
07.11.2009 10:34:04	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
```

Можт кто подскажет что это такое?.

----------


## Hackeruga

> 07.11.2009 19:25:30	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
> 07.11.2009 18:35:51	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET
> 07.11.2009 17:55:18	0.0.0.0	Обнаружена атака, узел не заблокирован	WRONG_PACKET


Тоже самое!  Только  не про неправильные пакеты! А про сканирование! с этого ай пи! И МАК адрес!

----------


## DISEPEAR

Вообщем создал системные правила для Outpost Firewall Pro 2009 6.7.
как описанны вот тут:
http://streha.ru/2008/03/17/nastrojk...ilozhenij.html
Svchost в фаерволле отключил на запрет допуска в сеть.
 Но при применении созданного правила по описанному в ссылке типу:
*Необходимо также дописать следующие правила в раздел системных:

Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет*
 А именно: первого правила на UDP 
Постоянно начали вылезать блокировки.
2:50:08	OPERA.EXE	OUT	UDP	DNS/ip	порт:53	*Possible Trojan DNS (UDP)	0	0	OPERA.EXE: 3016
  После чего не могу зайти на некоторые сайты и на ваш тоже. Когда снимаю галочку с службы - всё в порядке.

----------


## Юльча

вы не пропустили случайно такой пункт?




> 3. Для каждого приложения необходимо добавить новое правило со следующими параметрами:
> <Приложение (в вашем случае опера)> DNS Resolution:
> Где протокол UDP
> и Где удаленный адрес <адреса DNS серверов провайдера>;
> и Где удаленный порт 53
> Разрешить эти данные


причем у аутпоста правила обрабатываются по цепочке сверху-вниз, т.е. нужно чтобы разрешающее правило для оперы обрабатывалось раньше общего запрета

----------


## DISEPEAR

Оутпост юзаю относительно недавно. Пожизненная лицензия, но до это пользовался в основном Eset Smart Security. Поэтому не судите строго, Оутпост для меня после ESS тёмный лес. 
И больше всего меня заинтересовало в правилах это ПАРАМЕТРЫ/ ДОСТУП К RAWSOCKET. И вот насчёт этого я почему то не нашёл вразумительного описания в сети. 
Что это означает? Стоит ли его запрещать или разрешать или запрашивать?
Вот например для браузера. Я его запретил, до этого стоял на запросить. Каким образом это повлияет на сетевую работу приложений и что это означает в плане защиты?

----------


## NRA

Где-то сразу после выхода СП-1 под ХРю услышал как знакомый админ рассказывал что ***** майкрософт поставляет по умолчание доступны росоксы, которые предоставляют *прямой* практически *бесконтрольный* входящий-исходящий трафик и нормальным пользователем нафиг не нужны.

На всякий случай на новых системах ставил SocketLock от Стива Гибсона (включить/выключить). Кстати, только после СП2 на ХРю хоть как-то ограничили "сырые нАски":
* данные TCP нельзя отправльять через росоксы;
* UDP- датаграмы с указанным инвалидным источником тоже уже нельзя отправлять. Указанный IP источника доджен существовать в сетевом интерфейс, иначе такая датаграмма пропускается
. . .
Сколько нюансов. ИМО лучше держать руку на пульсе)

*P.S*. Речь о 9х-ХРю, т.к. Висту на ноуте попросил продавца даунгрейднуть, а на семёрке - тока на работе (не трогаю).

----------


## DISEPEAR

Мучал, мучал я Outpost пытаясь связать его с Eset NOD32.
 Так и не понял что к чему и как правильно их настроить.
 Обьясню подробнее:
Для примера, проводил сегодня эксперимент. С злосчастным EKRN.EXE.
Пробывал следующие вещи.
1) Запретил доступ EKRN.EXE в сеть. При этом запускаю браузер, а он не запускается. Ни одна страница не открывается. Хотя на браузер запрета не делал. И в окне сетевых подключений он высвечивается. Но почему то не открывает страницы.
Из этого можно сделать вывод что браузер сильно зависим от функции EKRN.EXE. который выходит в сеть через 30606 локальный порт. И браузер при отключенном EKRN.EXE в сеть не выходит.
При этом в самом НОДе я отключил активный режим в настройках БРАУЗЕРЫ ИНТЕРЕТА. А на настройки Outpost поставил крестик.
То есть не сканирование Outpost Firewall Pro 2009
2) Тогда я пробывал провести другой эксперимент. Отключил в сеть браузеру, и оставил EKRN.EXE. И что инетересно! Некоторые сайты хоть и с натяжкой но открывались. Выходит что злополучный EKRN.EXE. имеет более высокий приоритет для выхода в сеть нежели браузер? И получается что браузер более зависим именно от него чем от Outpost.
3) Что я сделал в третьих. Я поставил браузер в режим обучения без автосоздания правил. Удалил все правила в браузере - сохранив конфигурацию Outpost. И поробывал выйтьи в сеть. 
Было созданно два вида правил:

----------


## DISEPEAR

4) Я сделал в настройках Eset NOD32 следующее: 
в настройках сканирования интернета, убрал галочку со всех браузеров и в активном и в пассивном режиме. 
После чего в разделе Outpost Firewall Pro2009 в окне интерфейса ИСПОЛЬЗУЕМЫЕ ПОРТЫ как видно на скриншотах выше совсем пропал браузер... Хотя при этом в окне СЕТЕВАЯ АКТИВНОСТЬ он присутствует.
И как это понимать? 
КОгда же ставлю галочку на браузере пусть даже в пассивном режиме, то браузер в окне ИСПОЛЬЗУЕМЫЕ ПОРТЫ появляется.
Выходит тогда что фильтрация браузер попадает в сеть через EKRN.EXE?

----------


## DISEPEAR

Открыл настройки детектора аттак, и увидел что у меня куча портов прописанны в исключения. При этом я сам их туда не прописывал.
Подскажите, надо ли оставлять их там или лучше удалить?
Ведь как я понял, в случае исключения - аттаки с этих портов не будут детектится.

И самое главное - КАК ИХ ОТТУДА УДАЛИТЬ?

На неофициальном форуме ответили что это - предустановки и удалять их не надо.

Тогда хотел бы спросить у тех кто долго юзает Оутпост.
Там - целая куча различных портов, и есть даже те которые я внёс в список троянских, согласно таблице на сайте Agnitum.
http://www.agnitum.ru/support/kb/art...ang=ru&m=print
Тогда вопрос, а смысл в файерволле? Если масса портов в исключениях, то есть в доверенных, и атаки с них не детектятся?
*
Порты в исключениях:
BGP 179
BOOTPC 68
BOOTPS 67
CONFERENCE 531
COURIER 530
Chargen 19
DCOM 135
DCHPv6c 546
DCHPv6s 547
DOMAIN 53
DOOM 666
Daytime 13
Discard 9
ECHO 7
EFS 520
EXEC 512
FTP 21
FTPDATA 20
Finger 79
GL_CAT 3268
GOPHER 70
HOSTNAMES 101
HTTP 80
HTTPS 443
IMAP 143
INGRESLOCK 1524
IPX 213
IRC 194
ISAKMP 500
ISO_TSAP 102
KERBEROS_ADM 749
KLOGIN 543
KPASSWD 464
KPOP 1109
KSHELL 544
LDAP 389
LDAPS 636
LOGIN 513
MAN 9535
MONITOR 561
MS_DS 445
MS_SQL_M 1434
MS SQL S 1433
NAMESERVER 42
NBT_DGM 138
NBT_NS 137
NBT_SS 139
NETNEWS 532
NETWALL 533
NEW_RWHO 550
NNTP 119
NTALK 518
NTP 123
PCMAIL_SVR 158
POP 109
POP3 110
POP3S 995
PPTP 1723
PRINTER 515
PRINT_SRV 170
PROXY: 3128
PROXY: 8008
PROXY 8088
QOTD 17
RADIUS 1812
RADIUS_ACCT 1813
RAP 38
RDP 3389
REMOTEFS 556
RFILE 750
RLIP 39
RMONITOR 560
RTELNET 107
SHELL 514
SMTP 25
SNMP 161
SNMPTRAP 162
SOCKS 1080
SSH 22
SUNRPC 111
TALK 517
TEMPO 526
TFTP 69
TIMED 525
Telnet 23
Time 37
UUCP 540
UUCP_PATH 117
WHOIS 43
WINS 1512

Порты UDP:

BOOTPC 68
BOOTPS 67
Chargen 19
DHCPv6c 546
DHCPv6s 547
DNS 53
Daytime 13
Discard 9
ECHO 7
GL_CAT 3269
ICQ 4000
LDAP 389
NBT_DGM 138
NBT_NS 137
QOTD 17
SNMP 161
SNMPTRAP 162
Time 37Порты ТСР:


AOL-4 11523
AUTH 113
BGP 179
BOOTPC 68
BOOTPS 67
CONFERENCE 531
COURIER 530
Chargen 19
DCOM 135
DCHPv6c 546
DCHPv6s 547
DOMAIN 53
DOOM 666
Daytime 13
Discard 9
ECHO 7
EFS 520
EXEC 512
FTP 21
FTPDATA 20
Finger 79
GL_CAT 3268
GOPHER 70
HOSTNAMES 101
HTTP 80
HTTPS 443
IMAP 143
INGRESLOCK 1524
IPX 213
IRC 194
ISAKMP 500
ISO_TSAP 102
KERBEROS_ADM 749
KLOGIN 543
KPASSWD 464
KPOP 1109
KSHELL 544
LDAP 389
LDAPS 636
LOGIN 513
MAN 9535
MONITOR 561
MS_DS 445
MS_SQL_M 1434
MS SQL S 1433
NAMESERVER 42
NBT_DGM 138
NBT_NS 137
NBT_SS 139
NETNEWS 532
NETWALL 533
NEW_RWHO 550
NNTP 119
NTALK 518
NTP 123
PCMAIL_SVR 158
POP 109
POP3 110
POP3S 995
PPTP 1723
PRINTER 515
PRINT_SRV 170
PROXY: 3128
PROXY: 8008
PROXY 8088
QOTD 17
RADIUS 1812
RADIUS_ACCT 1813
RAP 38
RDP 3389
REMOTEFS 556
RFILE 750
RLIP 39
RMONITOR 560
RTELNET 107
SHELL 514
SMTP 25
SNMP 161
SNMPTRAP 162
SOCKS 1080
SSH 22
SUNRPC 111
TALK 517
TEMPO 526
TFTP 69
TIMED 525
Telnet 23
Time 37
UUCP 540
UUCP_PATH 117
WHOIS 43
WINS 1512

Порты UDP:

BOOTPC 68
BOOTPS 67
Chargen 19
DHCPv6c 546
DHCPv6s 547
DNS 53
Daytime 13
Discard 9
ECHO 7
GL_CAT 3269
ICQ 4000
LDAP 389
NBT_DGM 138
NBT_NS 137
QOTD 17
SNMP 161
SNMPTRAP 162
Time 37*

*Outpost Firewall Pro версия 6.7.3 (3058.452.0725)*
Лицензионный, стоит в режиме блокировки, без автосоздания правил.

В документации написанно следующее по этому вопросу:

*Список доверенных портов
Выберите одну из вкладок TCP-порты или UDP-порты в зависимости от того, какой порт вы
собираетесь добавить в список доверенных. Вы можете ввести либо номер порта, либо диапазон
портов, разделяя их запятыми, или выбрать требуемый порт из списка, дважды щелкнув по нему
для добавления в поле.
Чтобы удалить порт из списка, просто сотрите его имя или номер в текстовом поле.
После указания всех портов, щелкните OK для сохранения настроек.*

Но почему то просто удалить, у меня не получается.

----------


## koral52

Здравствуйте. Подскажите пожалуйста где можно взять список (адресов) потенциально опасных сайтов для импорта
в Outpost Firewall Pro, с целью блокировки данных сайтов по IP.  Прошу прощения исли не по теме

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Matias

Malware Domain Blocklist.
Правда, там указаны домены, а не IP.

----------


## PersonaQ

По портам - почитай документацию к винде с описаниями портов. Да, нудно, долго, но можно позакрывать порты, которыми ты никогда в жизни и воспользоваться не вздумаешь. А лишнюю брешь можно закрыть. ИМХО

----------

