PDA

Просмотр полной версии : Agnitum Outpost Firewall Pro v.3.0.530.5706 (426) beta



HATTIFNATTOR
07.09.2005, 22:26
Agnitum Outpost Firewall 3.0 представляет защиту от еще большего количества шпионских и хакерских угроз наряду со значительными усовершенствованиями производительности, управления и лешкости использования.

Следующие возможности представлены в версии 3.0:

- Постоянная защита отслеживает и блокирует все попытки вредоносных программ причинить вред вашему компьютеру.
- Сканер шпионских программ позволяет проверить Вашу систему на наличие угроз, распознать и удалить вредоносные объекты с Вашего компьютера.
- Блокировка ID предотвращает утечку указанных личных данных с Вашего компьютера.
- Детектор атак обнаруживает и предотвращает целый ряд внутренних Ethernet-атак, таких как подмена IP-адреса, сканирование ARP, ARP-флуд и других, защищая Вашу систему от вторжений со стороны компьютеров Вашей локальной сети.
- Улучшенный Контроль компонентов отследивает большее количество уязвимых папок и файлов, уменьшая таким образом количество всплывающих запросов, требующих реакции пользователя.
- Функция "Совет" предоставляет дополнительную информацию по каждому событию Outpost Firewall Pro, давая рекомендации и придавая пользователю больше уверенности в своих действиях.
- Служба уведомления о проблеме позволяет пользователю сообщать о возникающих ситуациях службе поддержки Agnitum прямо из интерфейса программы.

Следующие проблемы были исправлены (приведены только основные):

- Изменена логика работы команд 'Разрешить/Блокировать однократно'. Для данного соединения разрешаются/запрещаются данные с указанного локального порта на указанные удаленные адрес и порт.
- Маска подсети и специальные символы ('*') могут корректно использоваться в диалогах редактирования списка IP-адресов.
- Исправлено создание правил для FTP DATA. Если Ваш компьютер является шлюзом Internet Connection Sharingб доступ к FTP-серверам мог блокироваться при использовании активного режима.
- Исправлена проблема высокого расхода ресурсов процессора при DOS-атаке.

Geser
07.09.2005, 22:52
Надеюсь будет что-то не хуже ЗА 6

Geser
07.09.2005, 23:20
Надеюсь будет что-то не хуже ЗА 6
ПОсмотрел... Почти ничего не изменилось. По крайней мере перехваты те же что и были, так что в общем и целом ничего нового

orvman
08.09.2005, 01:29
Надеюсь будет что-то не хуже ЗА 6 А ты все-таки думаешь, что ОР хуже ZA?
Если читать то, что написано выше, то изменилось многое. Но пока еще не тестировал.

Geser
08.09.2005, 09:12
А ты все-таки думаешь, что ОР хуже ZA?
Если читать то, что написано выше, то изменилось многое. Но пока еще не тестировал.
Хуже в том плане что не контролирует такие вещи как загрузку драйверов, запись в физическую память и т.д. что позволяет его обойти. Пример публиковался уже. И в новой версии это не исправлено.

orvman
08.09.2005, 09:44
Geser

Пример публиковался уже Какой пример? Исключение, это трояны, которые мне кинул Олег, но я еще не тестировал, времени нет (да и трояны - есть трояны).
не контролирует такие вещи как загрузку драйверов, запись в физическую память и т.д. Контроль компонентов и ОР - Параметры - приложения и т.д. Там все есть.
HATTIFNATTOR Кстати, а откуда инфа насчет 3.0.? На сайте Агнитума тишина...

Geser
08.09.2005, 09:53
Geser
Какой пример? Исключение, это трояны, которые мне кинул Олег, но я еще не тестировал, времени нет (да и трояны - есть трояны). Контроль компонентов и ОР - Параметры - приложения и т.д. Там все есть.
HATTIFNATTOR Кстати, а откуда инфа насчет 3.0.? На сайте Агнитума тишина...
Ликтест который обходит ОП http://read-only.ru/def_disable.rar сам не пробовал.
Однако даже если посмотреть в АВЗ на перехваты ОП и перехваты ЗА6 становится ясна разница.

orvman
09.09.2005, 02:13
если посмотреть в АВЗ на перехваты ОП и перехваты ЗА6 становится ясна разница. Тут спорить не буду, не тестировал.

Ликтест который обходит ОП http://read-only.ru/def_disable.rar
Хе. На 2.7. пробовал на 5-7 машинах в локале. Ноль.
Щас из дома. Версия Outpost Firewall Pro ver. 2.6.452.5123 (403).
Качаем. Запускаем. Сообщение типа вся сетевая защита вырублена ...
ОР, как честная программа сообщает, что изменилось 7 компонентов. А проводник Винды лезет в сеть.

Блокируем (хотя он и так в ОР в запрещенных приложениях). Все, амба. Сетевой активности нет. Для проверки временно вырубаем ОР как сервис и смотрим через сторонние программы мониторинга портов. Ничего. Во как.
Делаем пару экспериментов. Вылазиет окошко. См. приложение.
А вот логи ОР.

8:22:35 explorer.exe OUT REFUSED TCP www.ya.ru HTTP localhost 1138 Блокировать действия приложения explorer.exe 00:00:01 0 байт/s 0 байт 0 байт
8:22:35 svchost.exe OUT REFUSED UDP *.*.*.97 DNS 192.168.125.34 1028 SVCHOST Правило #5 00:00:01 0 байт/s 0 байт 0 байт * - это я вырезал.
Тест старенький, я же в теме по брандам писал, что на сайте том ОР все тесты прошел успешно 15 из 15.
Вот такие дела.
А вообще - прикольно.

HATTIFNATTOR
09.09.2005, 11:26
Этот тест не с того сайта. И он новенький :)

Sanja
09.09.2005, 18:43
И если explorer v denied то все в обломе будет :) ты разреши... и попробуй Ж)

Палыч
09.09.2005, 21:21
Да... Аутпост... Будь он не ладен....
Я по работе занимаюсь тех. саппортом городской локальной сети. Уже много случаев было, когда Аутпост блокировал выход в сеть ни с того, ни с сего....
Короче, ситуация такая (много раз была на практике):
Заявка в офис---"не работает сеть, ничего не пингуется". Прихожу к клиенту, подключаю ноутбук к его розетке---всё работает отлично. Начинаю смотреть его машину---всё в порядке, вроде бы. Отключаю ОП ("выход с остановкой сервиса") и на клиентской мащине начинает всё работать просто отлично.
Ну, моё дело --маленькое. Канал исправен, сами разбирайтесь со своим ОП. И ухожу. Клиент при этом клянётся и божиться, что раньше при ОП всё работало нормально и настройки ОП не менялись.
Раньше я думал, что клиент обманывает. Но теперь понимаю, что нет. Не обманывает. Есть такой глюк у ОП. После установки и настройки ОП работает нормально какое-то время. А потом происходит с ним какой-то глюк. И всё... Выход в сеть заблокирован.
Сегодня, вообще, был вопиющий случай. Работоспособность сети не восстановилась даже после сноса ОП. Придётся тётеньке переустанавливать Винду и Аськиного клиента. У неё дочка в ЮАР и она без Аськи не может жить...
Такие вот дела...
Хочу сразу сделать оговорку: ОП лично я считаю одним из лучших фаерволлов на свете.

Уважаемые участники форума, можете как-то прокомментировать это моё сообщение? Повторюсь, что я -- сетевик-практик. И сказок не рассказываю.

Geser
09.09.2005, 21:39
Да... Аутпост... Будь он не ладен....
Я по работе занимаюсь тех. саппортом городской локальной сети. Уже много случаев было, когда Аутпост блокировал выход в сеть ни с того, ни с сего....
Короче, ситуация такая (много раз была на практике):
Заявка в офис---"не работает сеть, ничего не пингуется". Прихожу к клиенту, подключаю ноутбук к его розетке---всё работает отлично. Начинаю смотреть его машину---всё в порядке, вроде бы. Отключаю ОП ("выход с остановкой сервиса") и на клиентской мащине начинает всё работать просто отлично.
Ну, моё дело --маленькое. Канал исправен, сами разбирайтесь со своим ОП. И ухожу. Клиент при этом клянётся и божиться, что раньше при ОП всё работало нормально и настройки ОП не менялись.
Раньше я думал, что клиент обманывает. Но теперь понимаю, что нет. Не обманывает. Есть такой глюк у ОП. После установки и настройки ОП работает нормально какое-то время. А потом происходит с ним какой-то глюк. И всё... Выход в сеть заблокирован.
Сегодня, вообще, был вопиющий случай. Работоспособность сети не восстановилась даже после сноса ОП. Придётся тётеньке переустанавливать Винду и Аськиного клиента. У неё дочка в ЮАР и она без Аськи не может жить...
Такие вот дела...
Хочу сразу сделать оговорку: ОП лично я считаю одним из лучших фаерволлов на свете.

Уважаемые участники форума, можете как-то прокомментировать это моё сообщение? Повторюсь, что я -- сетевик-практик. И сказок не рассказываю.
Да всё может быть. Может случайно человек ответил на запрос блокировать. Бывает окошко с запросом выскакивает в неподходящий момент даже не успеваеш понять что ответил что-то. А может не смог вывести диалог покакой-то причине и блокирует трафик до получения ответа которого не будет. При любых проблемах с сетью рестарт стенки первое дело.

Sanja
10.09.2005, 00:32
ага... у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера :) Ну его такого нафиг

orvman
10.09.2005, 04:35
HATTIFNATTOR
Этот тест не с того сайта. И он новенький
В смысле? Ты имеешь ввиду ссылку на тест? Или ты о чем? Я имел ввиду сам принцип реализации той фичи, которая есть и там и там.

Sanja

И если explorer v denied то все в обломе будет ты разреши... и попробуй Ж) Пока не пробовал. Но на 99% (т.к. не пробовал еще) могу сказать, что результат будет таким же. Дело в том, что реализация контроля компонентов в ОР жесткая, как это яснее сказать не знаю. "Контроль компонентов" в ОР вообще работает отдельно от сетевого трафика, правил, политик и т.д. в ОР. И ему по барабану, что там у себя прописал юзер. Это вроде как цифровой подписи + контроля над файлами (контрольной суммы отдельно взятого файла), типа ревизора дисков (пример - тот же славный Adinf), только реализация мягче (естественно, это ж фаер все-таки, и у разных программ есть своя методика обсчета контрольной суммы файлов, их мониторинг и т.д. и т.п.).
Так вот. Если изменились компоненты винды и ты в ОР запретишь их обновление на данный момент времени по определенному, запрашивающему соединение, процессу, то всё - этот процесс будет заблокирован и никакого траффика не будет.
Открою маленькую тайну, хотя вскольз об этом упоминалось в соседней ветке (о брандмауэрах), но почему-то никто не обратил на это внимание (или мне так показалось?). Если проставить какое-либо приложение в список "Доверенные приложения" в ОР, то существует большая вероятность обхода, поэтому разработчики и трубят об этом во все голоса, типа не ставить в доверенные и т.д. и т.п. Т.к. в такой ситуации ОР не контролирует соединения и все запросы по такому процессу (TDI/NDIS) и в подавляющем большинстве случаев даже контроль компонентов будет бессилен, если будет реализация подмены процесса на уровне файловой системы, либо процессов винды. Есть много вариантов обхода при присутствующем в ОР списке "Доверенные приложения". Тут стоит отметить, что это не является багом или ошибкой данного фаера. С этим должны бороться другие программы..., в т.ч. и апдейты самой Винды, т.к. винда сама и является уязвимой, а что можно говорить тогда о абсолютно всех программах, которые стоят на виндовых системах?! Это очень важный момент.
Кстати, в примере теста была лишь реализация общего смысла обхода. И никто не может гарантировать, что не будет сделана программа, специально написанная под конкретный фаер, например, элементарно это делается даже через WScript или Сscript через посылку нужных ключей, хотя есть нюансы.... (конретно описывать не буду, надеюсь смысл ясен)
Вот такие дела...

Палыч
Уважаемые участники форума, можете как-то прокомментировать это моё сообщение? Приступаем.

"не работает сеть, ничего не пингуется"
Панель ОР - Системные - ICMP - параметры - проставляем нужные галочки. Дело в том, что ОР сам по дефолту не дает себя пинговать, поэтому нужно ручками все проставлять самому. Насчет ping.exe - все галочки типов "0" и "8", насчет, например, tracert.exe - другие.
Более подробно как настроить ICMP в разных вариантах, по конкретным IP, а также почему обрывается связь с провайдерами и т.д. и т.п. я писал кучу и много раз на нашем русском форуме Outpost. А потом плюнул и с хозяином форума сделали новую базу знаний Agnitum Outpost. Вот ссылка. http://forum.five.mhost.ru/kb2/ Там обсуждается куча вопросов по ОР.
А насчет юзеров скажу так. Многи даже и не знают, что это такое (фаерволл), как он работает и хотя бы основные принципы работы не то, что протоколы, RFC и т.д., а даже саму Windows толком не знают, а потом орут типа ваша мазафака сломала мне копмьтер и т.д.
И если в уж меня на форуме по ОР спрашивают "что такое браузер", то, как говорится - "без комментариев" или, вот, кстати реальная другая ссылка по похожей теме http://forum.five.mhost.ru/showthread.php?t=1841 , почитайте и поймете все сами (тема обширная - на несколько страниц - ОЧЕНЬ советую, даже не советую, а ПРОШУ). Или вот вопрос "У меня не работает ОР. Что я сделал неправильно?" - можно смело заносить в раздел юмор (надо будет и на нашем форуме этот раздел сделать). Или вот "Установил ОР v... Не видно сети... Где у меня ошибка?" - так и хочется ответить - "Ошибка в ДНК". Или так: "Установил ОР, но он неправильно работает..." - отвечаем - "Телепат вызван, ждем приезда"...
Вывод: Медицина в таких ситуациях бессильна. Прописные истины нужно знать и понимать.
Повторюсь - все это написанное выше относится к людям, которые не разбираются даже в Винде, а пытаются ставить другое ПО и т.д. и т.п.

Клиент при этом клянётся и божиться, что раньше при ОП всё работало нормально и настройки ОП не менялись. Причин море. Опять же, скажу - "Телепат вызван, ждем приезда". 1. Нужны логи ОР. 2. Нужны подробности и т.д. HATTIFNATTOR, поэтому в следующий раз отправляй их ко мне на форум...

Раньше я думал, что клиент обманывает. Но теперь понимаю, что нет. Не обманывает. Есть такой глюк у ОП. Не делай быстрые выводы... Давай подробности и т.д. и т.п. Единственный глюк ОР, это нужно признать - подключение по VPN и несовместимость со многими железными маршрутизаторами, но это беда не только ОР, но ZA и других навороченных фаеров...

Сегодня, вообще, был вопиющий случай. Работоспособность сети не восстановилась даже после сноса ОП. Придётся тётеньке переустанавливать Винду и Аськиного клиента. У неё дочка в ЮАР и она без Аськи не может жить... А вот тут скажу так - ОР не влияет на работоспособность системы и он здесь не при чем, тем более после деинсталляции. Однозначно. Второго не дано. Единственная трабла может быть, это некоррректный инсталл/деинсталл ОР. Я об этом тоже вдалбливал кучу раз. Подробности именно ПРАВИЛЬНОГО инсталла/деинсталла ОР читаем здесь http://forum.five.mhost.ru/announcement.php?f=38&announcementid=6

Sanja
у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера Ну его такого нафиг Хе, хе. Опять прикалываешься, да? Телепат вызван - ждем приезда.

Палыч
10.09.2005, 06:47
Учиться, учиться и ещё раз учиться (с) сами знаете кто. :)
Ну всё. Ушёл читать по ссылкам. Печёнкой чуствую, что надо изучить ОП досконально. Есть такая реальная необходимость. Ибо всё чаще и чаще происходят вышеописанные случаи.
Я, честно говоря, когда свой пост писал, то именно на это и надеялся, что orvman ответит\прокомментирует.

Geser
10.09.2005, 11:15
ПО поводу того теста что я дал. Возможно он не срабатывает для ОП потому что восстанавливает хуки, а в ОП контроль компонентов не основан на хуках. Так что тут облом. Однако сам факт того что ОП не контролирует запись в физическую память позволяет его обойти изменением контролируемых приложений в памяти. Так что проблема таки есть.

Sanja
10.09.2005, 17:41
for orvman
Хе, хе. Опять прикалываешься, да? Телепат вызван - ждем приезда.

Кикие приколы... последний такой глючекс был на версии 2.7 (после чего он был немелленно снесен)

aintrust
10.09.2005, 22:11
ПО поводу того теста что я дал. Возможно он не срабатывает для ОП потому что восстанавливает хуки, а в ОП контроль компонентов не основан на хуках. Так что тут облом. Однако сам факт того что ОП не контролирует запись в физическую память позволяет его обойти изменением контролируемых приложений в памяти. Так что проблема таки есть.
Если имеется ввиду тот "тест", ссылку на который выложил Sanja (http://read-only.ru/def_disable.rar), то могу однозначно сказать, что автор (Николай gorl) выбрал как не самое удачное приложение в качестве "доверенного приложения" (explorer.exe, доступ в и-нет которому по умолчанию закрыт в Outpost FW), так и метод внедрения кода в другой процесс - именно поэтому может срабатывать контроль компонентов. Да и вообще, упомянутый код - это чисто подростковое произведение для подростков-читателей журнала "Хакер", уж простите... :)

Если в системе с установленным и правильно настроенным OPFW есть хоть одно запущенное приложение, которому разрешен доступ наружу по одному из сетевых протоколов (по умолчанию или же временно, на сеанс работы), то кранты - выйти в и-нет в обход Outpost лишь "дело техники". Эксплойт, сняв предварительно хук на NtWriteVirtualMemory (любым методом - ибо Outpost это вообще никак не контролирует!), может просто "перепробовать" все запущенные процессы для выхода наружу путем более-менее "умного" инжектирования своего кода в них. Это давно уже проверено и до сих пор работает на 100% (я только что специально попробовал на последней доступной мне версии - Outpost Firewall Pro ver. 2.7.493.5421 (416)). Именно об этом я и хотел когда-то подробно написать и опубликовать код, но... передумал.

А сейчас уже код показывать/публиковать нет смысла - ибо любой мало-мальски грамотный программер, зная идею, напишет его с нуля за день (или соберет по частям из тех кусков, что уже опубликованы в и-нете). Так что давайте не будем обманывать себя и других - OPFW, к сожалению, в нынешнем состоянии очень "дыряв" изнутри, и его методы защиты от внутренних атак просто смехотворны (просьба только не воспринимать этот как "наезд" на Outpost - мне самому он очень даже симпатичен именно как сетевой файерволл)!

В связи с этим для надежной защиты компьютера изнутри я бы порекомендовал всем пользователям OPFW установить вдобавок какую-нибудь программу для HIPS-защиты, к примеру Process Guard или же DefenceWall, когда rav сделает релиз! :) Надеюсь, что в объявленной 3-й версии OPFW что-то изменится в лучшую сторону... кстати, а где бы на нее посмотреть, может кто-нибудь даст ссылочку (можно даже в личку или на e-mail, если что)?

Geser
10.09.2005, 22:24
А сейчас уже код показывать/публиковать нет смысла - ибо любой мало-мальски грамотный программер, зная идею, напишет его с нуля за деньА я думаю стоит опубликовать. Хакеры, конечно, сами напишут. А вот публично выставленный ликтест обходящий ОП заставит разработчиков пошевелиться и принять меры.

В связи с этим для надежной защиты компьютера изнутри я бы порекомендовал всем пользователям OPFW установить вдобавок какую-нибудь программу для HIPS-защиты, к примеру Process GuardProcess Guard сильная шука, но для рядового пользователя хуже вируса :)

aintrust
10.09.2005, 23:00
Может и стоит... хотя я на 100% уверен, что разработчики все это знают - точнее, не могут не знать, настолько все очевидно! Почему они не шевелятся - это интересный вопрос. То ли у них такая позиция (типа сетевой файерволл должен заниматься прежде всего сетевыми делами, а уж потом всем остальным), то ли, как часто бывает, боятся быть выдавленными с этого рынка (ведь, начав писать что-то HIPS-подобное, они неминуемо часть активных сил отдадут на это, приостановив развитие файерволла - а это уже может быть фатально, т.к. рынок сейчас уже достаточно насыщен - вон даже Касперские на него активно вторгаются линейкой 2006), то ли у них пока некому это сделать (они до недавнего времени активно искали народ на работу, насколько я знаю). В общем, кто их там разберет... :) Ладно, вот гляну на 3-ю версию, а там посмотрим. :)

aintrust
10.09.2005, 23:04
Process Guard сильная шука, но для рядового пользователя хуже вируса :)
Да, PG - это больше для продвинутых юзеров, согласен. Тогда для рядового - точно DefenceWall, что называется поставил и забыл! Two thumbs up!!! :)

Geser
10.09.2005, 23:08
Может и стоит... хотя я на 100% уверен, что разработчики все это знают - точнее, не могут не знать, настолько все очевидно! Почему они не шевелятся - это интересный вопрос. То ли у них такая позиция (типа сетевой файерволл должен заниматься прежде всего сетевыми делами, а уж потом всем остальным), то ли, как часто бывает, боятся быть выдавленными с этого рынка (ведь, начав писать что-то HIPS-подобное, они неминуемо часть активных сил отдадут на это, приостановив развитие файерволла - а это уже может быть фатально, т.к. рынок сейчас уже достаточно насыщен - вон даже Касперские на него активно вторгаются линейкой 2006), то ли у них пока некому это сделать (они до недавнего времени активно искали народ на работу, насколько я знаю). В общем, кто их там разберет... :) Ладно, вот гляну на 3-ю версию, а там посмотрим. :)
Вероятно знают, однако никто без особой нужды ничего делать не будет. Если и так продаётся зачем что-то менять? Вот появился сайт который собрал десяток ликтестов, зашевелились и доработали так что бы всё блокировалось. А не было бы его, не факт что сегодня все эти вещи блокировались бы. А на счет отвлечения сил, ну значит возьмут еще одного программиста на работу :)

aintrust
10.09.2005, 23:27
Действительно - не факт. Однако, у меня зачастую создается впечатление, что некоторые компании "вместе с водой выплеснули ребеночка", т.е. в погоне за успешным прохождением лик-тестов просто забыли обо всем остальном! OPFW, на мой взгляд, - очень характерный пример такого поведения, т.к. "его методы" защиты 100%-но решают задачу прохождения лик-тестов, но при этом не обеспечивают никакой реальной защиты от внутренних атак, а ведь именно на это и рассчитаны лик-тесты! Чистый PR, мне кажется, не более... Впрочем, что-то я уже много всего понаписал, и хорошего, и не слишком, в адрес OPFW... довольно уже на сегодня! :)

orvman
12.09.2005, 02:53
Geser

Однако сам факт того что ОП не контролирует запись в физическую память позволяет его обойти изменением контролируемых приложений в памяти. Так что проблема таки есть.
Читаем, что написано в справке в ОР:


Контроль памяти процессов
Некоторые «троянские кони» и вирусы используют сложные технические приемы, позволяющие им изменять код доверенных приложений, запущенных в памяти и обходить таким образом защиту системы и совершать злонамеренные действия. Эта технология известна как внедрение кода.

Outpost Firewall контролирует функции, которые могут быть использованы для внедрения злонамеренного кода в адресное пространство доверенных приложений и таким образом предотвращает все подобные попытки.

Для включения контроля памяти процессов:

В окне Параметры выберите вкладку Приложения

Нажмите Компоненты

Выберите параметр Блокировать сетевой доступ, если область памяти приложения была изменена другим процессом

Нажмите OK



Ссылки по теме
О Контроле компонентов

Просмотр компонентов

Переключение уровня Контроля компонентов Не буду вдаваться в подробности, но ОР должен контролировать память. Другое дело - реализация и метод всего этого. Есть пути обхода, но что странное - это то, что заумные пути ОР блочит только в путь, а простые, ручные, не всегда... Хотя, опять же оговорюсь, есть множество путей обхода. Даже, если их будет контролировать не только фаер.
Достаточно сказать, что я сам писал код на Паскале (!!!) году эдак в 96-98 (с вводными данными Ассемблера, взятыми из другого кода), когда Др. Веб писал - типа есть подозрение на ..., но проверку не блочил, а при проверке, через Intxxx все *exe файлы проверенные им, в общем понятно.... И только AVP сказал, что -неизвестный процесс в памяти и т.д. - и вылетал в Дос. Это был всего лишь тест, но выводов хватило... (Кстати, если не ошибаюсь - Олег вскольз о самом методе говорил где-то, но никто почему-то опять-же об этом не заострил внимание). Это я к тому, что есть много путей обхода даже антивирусников, не то что фаеров, которые вообще не знают об этом.

Sanja

Кикие приколы... последний такой глючекс был на версии 2.7 (после чего он был немелленно снесен) Телепат вызван - ждем приезда...
у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера Ну его такого нафиг Насколько Вы вообще знакомы с брандмауэрами? А прописные истины и тонны литературы здесь я вылаживать не буду. Это просто нужно знать...

aintrust

Если в системе с установленным и правильно настроенным OPFW есть хоть одно запущенное приложение, которому разрешен доступ наружу по одному из сетевых протоколов (по умолчанию или же временно, на сеанс работы), то кранты - выйти в и-нет в обход Outpost лишь "дело техники". Респектище... Об этом я и говорю. И не только по поводу ОР, а вообще всех фаеров, повторюсь, я уже не говорю о конкретных кодов, написанных под конкретные фаеры. И если в уж любой фаер можно вырубить средствами самой винды - через скрипты - типа SendKey, то о чем вообще речь?
до сих пор работает на 100% (я только что специально попробовал на последней доступной мне версии - Outpost Firewall Pro ver. 2.7.493.5421 (416)). Именно об этом я и хотел когда-то подробно написать и опубликовать код, но... передумал. Кинь мне, если не трудно...
Так что давайте не будем обманывать себя и других - OPFW, к сожалению, в нынешнем состоянии очень "дыряв" изнутри, и его методы защиты от внутренних атак просто смехотворны Хе. Пусть это останется без комментариев. Вопрос, а что именно по твоему не "дыряв"? Посоветуешь конкретный фаер?
я бы порекомендовал всем пользователям OPFW А я бы порекомендовал ОР+KAV+PG+Adaware+баннерорезалка (типа Proxomitron и т.д.). Вообще-то это и есть прописные истины. Я имею ввиду не конкретный софт, а сам набор в комплексе...

Geser
А я думаю стоит опубликовать. Хакеры, конечно, сами напишут. А вот публично выставленный ликтест обходящий ОП заставит разработчиков пошевелиться и принять меры. Верно подмечено. Но опять же, зная принцип обхода, сделать можно все. Поможет только изменив архитектуру самой Винды, например очень интересны в этом смысле даже сами учетные записи, например system, admin.... (перспективы - реальные, путей обхода - море, вариантов блоков этих обходов - нет и не придвидится)

aintrust

типа сетевой файерволл должен заниматься прежде всего сетевыми делами, а уж потом всем остальным Вот это реально так и есть.
как часто бывает, боятся быть выдавленными с этого рынка (ведь, начав писать что-то HIPS-подобное, они неминуемо часть активных сил отдадут на это, приостановив развитие файерволла - а это уже может быть фатально, т.к. рынок сейчас уже достаточно насыщен - вон даже Касперские на него активно вторгаются линейкой 2006), В правильную сторону смотришь. Респект! Будующее - за комплексными мерами защиты, где за мизерные деньги простой и рядовой юзер будет иметь и антивирь и фаер и т.д. и т.п. (примочки всякие). А спецы пусть на железе сидят и т.д. и т.п. И сам Агнитум, как производитель ОР, это дело уже сразу смекнул, а Касперский только только разворачивается... Посмотрим, что будет дальше...

Geser
12.09.2005, 08:53
Geser
Читаем, что написано в справке в ОР:

На заборе х** написано, а за забором яблоня растёт :)
Насколько я понимаю ОП контролирует только запись в виртуальныю память, а запись в физическую память нет. Потому фактически нельзя сказать что он контролирует память процессов.

Sanja
12.09.2005, 15:24
>
Кикие приколы... последний такой глючекс был на версии 2.7 (после чего он был немелленно снесен)

Телепат вызван - ждем приезда...
Цитата:
у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера Ну его такого нафиг

Насколько Вы вообще знакомы с брандмауэрами? А прописные истины и тонны литературы здесь я вылаживать не буду. Это просто нужно знать...


Я чегото непонимаю.. помоему тут только вы все время в справку тычете.. а не сами говорите :)

Вы скажете зачем вым телепат? Я помогу с вопросом о его доставке.. но дебильность оутпоста это не исправит

Sanja
12.09.2005, 15:29
И хватит тут уже отмазывать глуки продукта.. это мне начинает напоминать форум дрвеба... постоянно твердил.. пофигу.. забанили 3 раза... пофигу.. уже и Proof of concept есть а все пофигу дрвеб тиме... Хотите тоже самое с оутпостом? Я могу написать код который вычистит оутпост нафиг с компа и тот даже не пискнет... вам этого надо? Или может пойти очень заумным путем? Берем и записываем в файл buffer функции DeviceIoControl во время нажатии кнопки (выгрузить с остановкой сервиса) а потом ручками

CreateFile(Device\Outpost?!"Выяснить название Симболик линка дело 20 секунд - надо ток Оутпост поставить"...); DeviceIoControl(SavedBuffer); CloseHandle..

Вот блин бывает народ упертый пипец просто... как можно фактов не замечать...

HATTIFNATTOR
15.09.2005, 00:22
Появилась свежая бета Outpost_Firewall_v.3.0.534.429

Iceman
18.09.2005, 22:58
Так где её (версию новую) можно посмотреть?

HATTIFNATTOR
18.09.2005, 23:34
Outpost_Firewall_v.3.0.534.429
Следующие проблемы были исправлены (приведены только основные):

- Исправлена проблема высокого расхода ресурсов процессора при DoS-атаке.
- Включено Обновление Agnitum.
- Реализована подержка установки поверх предыдущих версий OFP 3.0b.

Известные проблемы:
- Проблемы размещения текста в некоторых диалогах.
- Проблемы при установке поверх версий Outpost Firewall Pro 1.0 и 2.0.
- После обновления с использованием Обновления Agnitum не детектируются Ethernet-атаки и не блокируется передача личных данных.

HATTIFNATTOR
22.10.2005, 00:57
Появилось обновление до Outpost Firewall Pro ver. 3.0.545.5805 (433) (beta)

николай gorl
30.10.2005, 08:52
Если имеется ввиду тот "тест", ссылку на который выложил Sanja (http://read-only.ru/def_disable.rar), то могу однозначно сказать, что автор (Николай gorl) выбрал как не самое удачное приложение в качестве "доверенного приложения" (explorer.exe, доступ в и-нет которому по умолчанию закрыт в Outpost FW), так и метод внедрения кода в другой процесс - именно поэтому может срабатывать контроль компонентов. Да и вообще, упомянутый код - это чисто подростковое произведение для подростков-читателей журнала "Хакер", уж простите...

г-н aintrust и прочие г-да, я выкладывал свое прелестное подростковое произведение не для того, чтобы оценивали его, или аудиторию, на которую оно расчитано :)

выкинул в паблик первый (я первый, какое счастье! :) ) сырой "ликтест" файров, основанный на этой, достаточно старой, но актуальной идее, и все - шуму то сколько понаделали, кошмар, словно метеорит упал :D

об explorer.exe в исходничках в двух словах написано,
метод внедрения, думаю, контроль компонентов не спровоцирует

перепробывать все процессы - правильный ход
исходный код публиковать, думаю, не стоит, кому надо - сами напишут, а вот грамотный аккуратный ликтест был бы очень кстати
пусть люди знают, когда их компьютеры уязвимы

PS: могу, в принципе, еще что-нибудь такое же сырое выложить, да только снова начнуть обвинять в дилетантстве и пр.
могу новую версию "ликтеста" написать... то что называется 30 лет спустя :D, но зачем мне напрягаться, когда ее уже кто-то сварганил?

Geser
30.10.2005, 10:03
г-н aintrust и прочие г-да, я выкладывал свое прелестное подростковое произведение не для того, чтобы оценивали его, или аудиторию, на которую оно расчитано :)

выкинул в паблик первый (я первый, какое счастье! :) ) сырой "ликтест" файров, основанный на этой, достаточно старой, но актуальной идее, и все - шуму то сколько понаделали, кошмар, словно метеорит упал :D

об explorer.exe в исходничках в двух словах написано,
метод внедрения, думаю, контроль компонентов не спровоцирует

перепробывать все процессы - правильный ход
исходный код публиковать, думаю, не стоит, кому надо - сами напишут, а вот грамотный аккуратный ликтест был бы очень кстати
пусть люди знают, когда их компьютеры уязвимы

PS: могу, в принципе, еще что-нибудь такое же сырое выложить, да только снова начнуть обвинять в дилетантстве и пр.
могу новую версию "ликтеста" написать... то что называется 30 лет спустя :D, но зачем мне напрягаться, когда ее уже кто-то сварганил?
Новую версию было бы не плохо, и что бы она работала. А то лично у меня предыдущая просто закрывалась с ошибкой.

Cool Cat
04.11.2005, 01:42
• Последняя доступная AUTOUPDATE версия (20051013_1029.zip):
Agnitum Outpost Firewall Pro v.3.0.545.(433)

• для закачки AUTOUPDATE установить
в C:\Program Files\Common Files\Agnitum Shared\aupdate\update.ini

QUOTE
[Download]
Server=www.agnitum.com
DownloadDir=C:\PROGRA~1\COMMON~1\Agnitum Shared\aupdate\Downloaded Files\
ServerDir=/update_test ; - для обновления версии
ServerDir=/update_spy ; - для обновлени баз AntiSpyware
(некоторые строчки должны быть!!!)

Должно сработать при этом... начнёт качяться как будто вы
просто качяете обновления.... Zip скорее всего сохранится в папке Downloaded Files там же (C:\Program Files\Common Files\Agnitum Shared\aupdate\)
Удачи....

[banned]

RiC: "Лечилово" и "крячилово" прошу больше не постить, а за совет спасибо,
ну и обновлять "пиратку" естественно не рекумендуется.

HATTIFNATTOR
14.11.2005, 20:44
Через автоапдейт доступен Outpost Firewall Pro 3.0.554.5805 (434)

Участковый
15.11.2005, 20:09
А 30-дневные версии обновляться могут? У меня скачиваются только обновления баз antispyware.

IgorA
15.11.2005, 21:36
HATTIFNATTOR
Официальной версии на сайтах нет.
Outpost Firewall Pro 3.0.554.5805 (434) это что очередная бета из тест зоны?

HATTIFNATTOR
15.11.2005, 22:31
А как их отличить?
-В том инсталляторе что я видел нет упоминания о том что это бета,
написано что это 30-дневный триал. Но раз на офсайте до сих пор 3.0.543.431 ,- вполне может быть.

IgorA
16.11.2005, 00:55
HATTIFNATTOR
По каталогу обновления в файле c:\Program Files\Common Files\Agnitum Shared\Aupdate\update.ini
Хотя с этим там бардак постоянно, так что тоже не показатель. Либо языки подправили вот сборка с другим номером.

HATTIFNATTOR
30.11.2005, 11:08
Через автоапдейт доступна очередная бета - Outpost Firewall Pro 3.0.557.5918(437)

гость
16.12.2005, 22:13
[QUOTE=Sanja]Или может пойти очень заумным путем? Берем и записываем в файл buffer функции DeviceIoControl во время нажатии кнопки (выгрузить с остановкой сервиса) а потом ручками
CreateFile(Device\Outpost?!"Выяснить название Симболик линка дело 20 секунд - надо ток Оутпост поставить"...); DeviceIoControl(SavedBuffer); CloseHandle..[QUOTE]
очень сомневаюсь что будет доступ на CreateFile("Device\Outpost?!", а значит и DeviceIoControl не сработает

HATTIFNATTOR
19.12.2005, 19:05
Через автоапдейт доступна очередная бета - Outpost Firewall Pro v 3.0.558.5918 (438)