PDA

Просмотр полной версии : Вышел релиз Outpost 2.5 (+)



Iceman
14.10.2004, 00:30
Пока только на буржуёском сайте
Собственно смотрите и качайте, кто ещё не обновился:
http://www.agnitum.com/download/outpostpro.html ;D

Geser
14.10.2004, 00:37
Пробовал? А то бета так тормозила :(

Зайцев Олег
14.10.2004, 11:10
Речь идет о Agnitum Outpost Firewall Pro 2.5.369.4608 (369) ?
Я скачал его, сегодня хочу потестировать

Geser
14.10.2004, 12:17
Речь идет о Agnitum Outpost Firewall Pro 2.5.369.4608 (369) ?
Я скачал его, сегодня хочу потестировать

Угу, неплохо бы. Я тестировал одну из бет, так она когда обнаруживала новые dll выдавала запрос что делать, а трафик не блокировала :(

Зайцев Олег
14.10.2004, 13:03
Ну вот, тестирование я провел - результат у меня на сайте - http://z-oleg.com/secur/fwtest.htm#0A2E2F0E-7CEB-4F7E-90ED-BD99438A5C9E
В общем, впечатление приятное - он действительно обнаруживает изменение состава DLL, используемых процессом и уведомляет об этом. Без проблем работает под SP2. По умолчанию включен режим невидимости (что полезно для начинающего пользователя), есть защита от убиения процесса, настройка для разрешения программам импользовать RAW Socket ...
Из минусов - у него слабенькая IDS (сканирования она видит хорошо, а вот другие виды атак - не очень), и достаточно большое потребление ресурсов

Geser
14.10.2004, 13:17
В общем, впечатление приятное - он действительно обнаруживает изменение состава DLL, используемых процессом и уведомляет об этом.
А трафик апликации блокируется пока пользователь не ответил что делать?

Зайцев Олег
14.10.2004, 13:48
В моем опыте - да, он выдает типовое окно системы обучения с запросом, что делать. Но я тщательно это момент не изучал ...

Geser
14.10.2004, 13:53
В моем опыте - да, он выдает типовое окно системы обучения с запросом, что делать. Но я тщательно это момент не изучал ...

Так вот. Когда добавился DLL, то выдаётся окно с запросом. Пока пользоваталь не выбрал действие весь трафик апликации должен быть заморожен. Иначе теряется весь смысл. Т.е. подгрузил троян свою DLL, если выдать запрос и во время запроса не заблокировать трафик, то важные данные с компа тю тю. И польза стенки в плане защиты изнутри сводится к нулю.

Зайцев Олег
14.10.2004, 14:08
Для точного определения нужно вероятно создавать свою троянскую DLL для тестов, иначе 100% судить трудно. Я займусь на досуге - сделаю приложение + троянскую DLL (которая будет что-то передавать наружу) - далее разрешу приложению все и дам ему команду загрузить DLL и выполнить обращение наружу. Тогда можно будет 100% сказать, блокирует он трафик до ответа пользователя или нет

Geser
14.10.2004, 14:14
Для точного определения нужно вероятно создавать свою троянскую DLL для тестов, иначе 100% судить трудно. Я займусь на досуге - сделаю приложение + троянскую DLL (которая будет что-то передавать наружу) - далее разрешу приложению все и дам ему команду загрузить DLL и выполнить обращение наружу. Тогда можно будет 100% сказать, блокирует он трафик до ответа пользователя или нет

Можно попробовать на pcaudit1,2

Зайцев Олег
14.10.2004, 17:24
Можно попробовать на pcaudit1,2

Проще имитатор трояна написать :)
Я провел тесты - я сделал exe + dll (с динамической загрузкой). Outpost четко ловит два события:
1. Подгрузку DLL
2. Изменение exe

В обоих случаях он блокирует обмен приложения с сетью и выдает диалог с запросом - разблокировка происходит только при разрешении операции в диалоге (что было проверено сниффером). На случай динамической загрузки приложением неких "полезных" DLL можно указать их список, чтобы не происходило ложных срабатываний

Geser
14.10.2004, 22:00
Ликтесты:
WallBreaker 4.0 - 2 прошел 2 провалил
tooleaky - прошел
surfer 1.1 - прошел
Ghost 1.1 - прошел
Yalta - прошел
thermite - прошел
leaktest 1.2 - прошел
firehole 1.01 - прошел
copycat - прошел
pcaudit - прошел
pcaudit2 - прошел
AWFT - 6 из 6 прошел

В общем не плохо :)

Minos
14.10.2004, 23:36
Версия 2.5.369.369 появилась и на русском сайте.
http://www.agnitum.com/ru/download/outpostpro.html
http://www.agnitum.com/download/OutpostProInstall.exe

А как вам системные требования:

- Windows 98/ME/NT/2000/XP
- Pentium 200 и выше
- 20MB свободного места на диске
- 32MB оперативной памяти (RAM)

Они наверное прикалываются :D?

Geser
14.10.2004, 23:44
Я слыхал у некоторых 166 до сих пор :)

Minos
15.10.2004, 21:36
Я слыхал у некоторых 166 до сих пор :)

Я и видал таких в зеркале, у меня на работе даже один 286 в рабочем состоянии есть.
Но вопрос в другом, на XP на домашней машине эта программа ест 13-20 Mb, как она будет жить на 32 Mb оперативки. Установится, не спорю, но работать ???.

Классное нововведение - сообщение о попытке выхода скрытого процесса в сеть, а так же процесса запущенного скрытым поцессом, класс, только окон многовато, глаз замыливается. Кстати об окнах, намного удобнее стало контролировать компоненты: файлы даже по деррикториям раскладываются и сразу показывают, в том же окне свойства файла.

Geser
16.10.2004, 02:51
Классное нововведение - сообщение о попытке выхода скрытого процесса в сеть, а так же процесса запущенного скрытым поцессом, класс, только окон многовато, глаз замыливается.

Но при этом есть как минимум один способ запустить скрытый процесс так что стенка этого не заметит. У меня валяется модификация пинча которая это делает. :(

Alexey P.
17.10.2004, 09:30
Все равно нет лучше файерволла, чем цепочка проксей.
Обламываются все тесты с http://www.firewallleaktester.com/tests.htm, включая и CopyCat, и WBreaker.
Но построить ее не очень просто, конечно.

Зайцев Олег
17.10.2004, 10:05
Все равно нет лучше файерволла, чем цепочка проксей.
Обламываются все тесты с http://www.firewallleaktester.com/tests.htm, включая и CopyCat, и WBreaker.
Но построить ее не очень просто, конечно.

Вот вот ... а если еще цепочка вида [NAT] - [Firewall] - [главный прокси] - [Firewall + маршрутизатор + NAT] - [Прокси филиала] - то получается вообще непрошибаемая система. У нас в конторе примерно так и сделано - так 50-70% no-line тестов вообше отказываются работать, остальные - показывают полное отсутствуе дыр и открытых портов. Хотя построить такое весьма непросто (но оно этого стоит)

Alexey P.
17.10.2004, 10:31
Примерно это и имелось в виду :). Плюс на одной из проксей в цепи стоит drweb-icap фильтр, проверяющий весь входящий http/ftp траффик дрвебом. За полгода работы поймал не так уж и много заразы, но все же есть таковая.
Но для комфортной работы нужно предоставлять выбор юзерам - либо через него, либо (для скачивания чего-либо большого) через обычный прокси, работающий на другом порту того же сервака.

Geser
17.10.2004, 17:05
Вот вот ... а если еще цепочка вида [NAT] - [Firewall] - [главный прокси] - [Firewall + маршрутизатор + NAT] - [Прокси филиала] - то получается вообще непрошибаемая система. У нас в конторе примерно так и сделано - так 50-70% no-line тестов вообше отказываются работать, остальные - показывают полное отсутствуе дыр и открытых портов. Хотя построить такое весьма непросто (но оно этого стоит)

Потому что тесты это не совсем то что делают реальные трояны. А хороший троян скорее всего пройдёт это всё, или запустив IE скрытым процессом, или считав встройки прокси с него же. Т.е. получить управление компом скорее всего не выйдет, а вот информацию украсть скорее всего да.

Зайцев Олег
17.10.2004, 18:37
Потому что тесты это не совсем то что делают реальные трояны. А хороший троян скорее всего пройдёт это всё, или запустив IE скрытым процессом, или считав встройки прокси с него же. Т.е. получить управление компом скорее всего не выйдет, а вот информацию украсть скорее всего да.

Согласен на все 120% - я и наша группа сисадминов постоянно устраиваем у себя в конторе чистку разных ПК именно от таких троянов (хотя 10-20% глупые и пробуют ломиться напрямую). Остальные внедряются в IE, Outlook Express ... Но логи прокси очень полезны для их отлова - я автоматизирован анализ логов на предмет поиска аномалий - хорошо помогает, хотя конечно не панацея

22.10.2004, 22:29
Привет! У меня почему-то при одних и тех же настройках версия 2.1 работает, а версия 2.5 что-то глючит.

Короче говоря, при открытии броузера или попытке обновить сам Agnitum Outpost выскакивает запрос на соединение с localhost и не помню каким портом, пытаюсь разрешить, но дальше соединение зависает... т.е. сайт или update бесконечно загружается.
В чём дело, не пойму ...

Geser
22.10.2004, 22:33
Привет! У меня почему-то при одних и тех же настройках версия 2.1 работает, а версия 2.5 что-то глючит.

Короче говоря, при открытии броузера или попытке обновить сам Agnitum Outpost выскакивает запрос на соединение с localhost и не помню каким портом, пытаюсь разрешить, но дальше соединение зависает... т.е. сайт или update бесконечно загружается.
В чём дело, не пойму ...

А в глобальных правилах есть правило allow loopback?

22.10.2004, 23:06
Сейчас попробовала ещё раз снести 2.1 и установить 2.5. Теперь заработало.


А в глобальных правилах есть правило allow loopback?

Было! В общем не знаю что это был за глюк такой, может некорректное удаление прошлой версии или установка новой.

Участковый
23.10.2004, 22:29
После установки Outpost 2.5 в пользовательских приложениях самостоятельно появляется какой-то Alg.exe. Расшифровывается как Application Layer Gateway Service. Хочет иметь входящие соединения по протоколу TCP на удалённый адрес 127.0.0.1 (к самому себе, что ли?) и исходящие на порт FTP. При работе с Outpost 2.1 такого не было.
Подскажите, кто знает - это стандартная служба Windows XP или нет; и почему она появляется в правилах без разрешения пользователя?

Geser
23.10.2004, 22:40
После установки Outpost 2.5 в пользовательских приложениях самостоятельно появляется какой-то Alg.exe. Расшифровывается как Application Layer Gateway Service. Хочет иметь входящие соединения по протоколу TCP на удалённый адрес 127.0.0.1 (к самому себе, что ли?) и исходящие на порт FTP. При работе с Outpost 2.1 такого не было.
Подскажите, кто знает - это стандартная служба Windows XP или нет; и почему она появляется в правилах без разрешения пользователя?


Alg.exe это часть винды, вроде каким-то бокам относящаяся к встроенной в винду стенке. Почему сама появляется не знаю :(

Geser
06.11.2004, 12:05
Аутпост обновился до 2.5.370
Списка изменений пока нет.

Geser
08.11.2004, 20:17
List of Changes for this release:(2.5.370)

Shortcut to Outpost homepage did not work
Log Viewer: filter by port number did not work
If application is put into Trusted, the rule was created without taking application's folder into account
Wrong rules for ALG.EXE - FTP clients were blocked
Loopback addresses were processed incorrectly
Incorrect work of Attack Detection's sensivity level
Several BSODs
Minor fixes

Iceman
11.12.2004, 01:07
Geser, не в курсе, откуда инсталяшку качнуть?

Geser
11.12.2004, 01:10
Geser, не в курсе, откуда инсталяшку качнуть?

С офсайта вроде качается.

Iceman
11.12.2004, 01:13
Качается автоапдейтом их бета-области. А сам инсталляционный файлик где взять - не знаю. На сайте пока 370 сборка лежит.

Geser
11.12.2004, 01:14
Качается автоапдейтом их бета-области. А сам инсталляционный файлик где взять - не знаю. На сайте пока 370 сборка лежит.

А, я не заметил тему :)
А зачем? Бетки у них глючные обычно ужасно :)

Iceman
11.12.2004, 01:15
Так для этого и пробуем ;D. Хотя пока не попадалось особо :).

Geser
11.12.2004, 01:18
Так для этого и пробуем ;D. Хотя пока не попадалось особо :).

Не знаю. Запишись в бета-тестеры :)

Iceman
11.12.2004, 01:20
Я - по совместительству, как хобби ;D.

Geser
12.01.2005, 18:45
New version 2.5.375(374)

Note that this version is only available via direct download at the moment. Updates via Agnitum Update will be made available later. From the mailing list:

Following is a list of issues that were fixed

+ Improved stability and performance
+ Outpost crashed on load on some computers
+ Interface issues in Network Activity windows
+ Application description display issues
+ Attack Detection: 'Select...' link did not work
+ Attack Detection plug-in prevented some attacks detection
- Process name detection issue in Windows 2003 SP1 is not resolved yet

+ Third-party firewalls detection improved
+ Memory leak during each logon/logoff
+ Stateful inspection was ignored in system TCP rules
+ Some DNS requests were processed incorrectly that resulted in browsing issues
+ Component Control issue with applications installed on disks created with Subst command fixed
+ Several BSODs fixed
+ Rules Wizard did not work for incoming UDP packets
+ Agnitum Update informed that the existing files were newer than the downloaded ones
+ Rules for Remote administrator added

+ Some loopback addresses were not processed as local
+ ICS is not blocked now in Block Most mode
+ Log Viewer: received data counter fixed

http://outpostfirewall.com/forum/showthread.php?t=12792