Agnitum Outpost Firewall Pro v.3.0.530.5706 (426) beta
Agnitum Outpost Firewall 3.0 представляет защиту от еще большего количества шпионских и хакерских угроз наряду со значительными усовершенствованиями производительности, управления и лешкости использования.
Следующие возможности представлены в версии 3.0:
- Постоянная защита отслеживает и блокирует все попытки вредоносных программ причинить вред вашему компьютеру.
- Сканер шпионских программ позволяет проверить Вашу систему на наличие угроз, распознать и удалить вредоносные объекты с Вашего компьютера.
- Блокировка ID предотвращает утечку указанных личных данных с Вашего компьютера.
- Детектор атак обнаруживает и предотвращает целый ряд внутренних Ethernet-атак, таких как подмена IP-адреса, сканирование ARP, ARP-флуд и других, защищая Вашу систему от вторжений со стороны компьютеров Вашей локальной сети.
- Улучшенный Контроль компонентов отследивает большее количество уязвимых папок и файлов, уменьшая таким образом количество всплывающих запросов, требующих реакции пользователя.
- Функция "Совет" предоставляет дополнительную информацию по каждому событию Outpost Firewall Pro, давая рекомендации и придавая пользователю больше уверенности в своих действиях.
- Служба уведомления о проблеме позволяет пользователю сообщать о возникающих ситуациях службе поддержки Agnitum прямо из интерфейса программы.
Следующие проблемы были исправлены (приведены только основные):
- Изменена логика работы команд 'Разрешить/Блокировать однократно'. Для данного соединения разрешаются/запрещаются данные с указанного локального порта на указанные удаленные адрес и порт.
- Маска подсети и специальные символы ('*') могут корректно использоваться в диалогах редактирования списка IP-адресов.
- Исправлено создание правил для FTP DATA. Если Ваш компьютер является шлюзом Internet Connection Sharingб доступ к FTP-серверам мог блокироваться при использовании активного режима.
- Исправлена проблема высокого расхода ресурсов процессора при DOS-атаке.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А ты все-таки думаешь, что ОР хуже ZA?
Если читать то, что написано выше, то изменилось многое. Но пока еще не тестировал.
Хуже в том плане что не контролирует такие вещи как загрузку драйверов, запись в физическую память и т.д. что позволяет его обойти. Пример публиковался уже. И в новой версии это не исправлено.
Geser
Какой пример? Исключение, это трояны, которые мне кинул Олег, но я еще не тестировал, времени нет (да и трояны - есть трояны). Контроль компонентов и ОР - Параметры - приложения и т.д. Там все есть. HATTIFNATTOR Кстати, а откуда инфа насчет 3.0.? На сайте Агнитума тишина...
Ликтест который обходит ОП http://read-only.ru/def_disable.rar сам не пробовал.
Однако даже если посмотреть в АВЗ на перехваты ОП и перехваты ЗА6 становится ясна разница.
Хе. На 2.7. пробовал на 5-7 машинах в локале. Ноль.
Щас из дома. Версия Outpost Firewall Pro ver. 2.6.452.5123 (403).
Качаем. Запускаем. Сообщение типа вся сетевая защита вырублена ...
ОР, как честная программа сообщает, что изменилось 7 компонентов. А проводник Винды лезет в сеть.
Блокируем (хотя он и так в ОР в запрещенных приложениях). Все, амба. Сетевой активности нет. Для проверки временно вырубаем ОР как сервис и смотрим через сторонние программы мониторинга портов. Ничего. Во как.
Делаем пару экспериментов. Вылазиет окошко. См. приложение.
А вот логи ОР.
8:22:35 explorer.exe OUT REFUSED TCP www.ya.ru HTTP localhost 1138 Блокировать действия приложения explorer.exe 00:00:01 0 байт/s 0 байт 0 байт
8:22:35 svchost.exe OUT REFUSED UDP *.*.*.97 DNS 192.168.125.34 1028 SVCHOST Правило #5 00:00:01 0 байт/s 0 байт 0 байт
* - это я вырезал.
Тест старенький, я же в теме по брандам писал, что на сайте том ОР все тесты прошел успешно 15 из 15.
Вот такие дела.
А вообще - прикольно.
Да... Аутпост... Будь он не ладен....
Я по работе занимаюсь тех. саппортом городской локальной сети. Уже много случаев было, когда Аутпост блокировал выход в сеть ни с того, ни с сего....
Короче, ситуация такая (много раз была на практике):
Заявка в офис---"не работает сеть, ничего не пингуется". Прихожу к клиенту, подключаю ноутбук к его розетке---всё работает отлично. Начинаю смотреть его машину---всё в порядке, вроде бы. Отключаю ОП ("выход с остановкой сервиса") и на клиентской мащине начинает всё работать просто отлично.
Ну, моё дело --маленькое. Канал исправен, сами разбирайтесь со своим ОП. И ухожу. Клиент при этом клянётся и божиться, что раньше при ОП всё работало нормально и настройки ОП не менялись.
Раньше я думал, что клиент обманывает. Но теперь понимаю, что нет. Не обманывает. Есть такой глюк у ОП. После установки и настройки ОП работает нормально какое-то время. А потом происходит с ним какой-то глюк. И всё... Выход в сеть заблокирован.
Сегодня, вообще, был вопиющий случай. Работоспособность сети не восстановилась даже после сноса ОП. Придётся тётеньке переустанавливать Винду и Аськиного клиента. У неё дочка в ЮАР и она без Аськи не может жить...
Такие вот дела...
Хочу сразу сделать оговорку: ОП лично я считаю одним из лучших фаерволлов на свете.
Уважаемые участники форума, можете как-то прокомментировать это моё сообщение? Повторюсь, что я -- сетевик-практик. И сказок не рассказываю.
Да... Аутпост... Будь он не ладен....
Я по работе занимаюсь тех. саппортом городской локальной сети. Уже много случаев было, когда Аутпост блокировал выход в сеть ни с того, ни с сего....
Короче, ситуация такая (много раз была на практике):
Заявка в офис---"не работает сеть, ничего не пингуется". Прихожу к клиенту, подключаю ноутбук к его розетке---всё работает отлично. Начинаю смотреть его машину---всё в порядке, вроде бы. Отключаю ОП ("выход с остановкой сервиса") и на клиентской мащине начинает всё работать просто отлично.
Ну, моё дело --маленькое. Канал исправен, сами разбирайтесь со своим ОП. И ухожу. Клиент при этом клянётся и божиться, что раньше при ОП всё работало нормально и настройки ОП не менялись.
Раньше я думал, что клиент обманывает. Но теперь понимаю, что нет. Не обманывает. Есть такой глюк у ОП. После установки и настройки ОП работает нормально какое-то время. А потом происходит с ним какой-то глюк. И всё... Выход в сеть заблокирован.
Сегодня, вообще, был вопиющий случай. Работоспособность сети не восстановилась даже после сноса ОП. Придётся тётеньке переустанавливать Винду и Аськиного клиента. У неё дочка в ЮАР и она без Аськи не может жить...
Такие вот дела...
Хочу сразу сделать оговорку: ОП лично я считаю одним из лучших фаерволлов на свете.
Уважаемые участники форума, можете как-то прокомментировать это моё сообщение? Повторюсь, что я -- сетевик-практик. И сказок не рассказываю.
Да всё может быть. Может случайно человек ответил на запрос блокировать. Бывает окошко с запросом выскакивает в неподходящий момент даже не успеваеш понять что ответил что-то. А может не смог вывести диалог покакой-то причине и блокирует трафик до получения ответа которого не будет. При любых проблемах с сетью рестарт стенки первое дело.
В смысле? Ты имеешь ввиду ссылку на тест? Или ты о чем? Я имел ввиду сам принцип реализации той фичи, которая есть и там и там.
Sanja
И если explorer v denied то все в обломе будет ты разреши... и попробуй Ж)
Пока не пробовал. Но на 99% (т.к. не пробовал еще) могу сказать, что результат будет таким же. Дело в том, что реализация контроля компонентов в ОР жесткая, как это яснее сказать не знаю. "Контроль компонентов" в ОР вообще работает отдельно от сетевого трафика, правил, политик и т.д. в ОР. И ему по барабану, что там у себя прописал юзер. Это вроде как цифровой подписи + контроля над файлами (контрольной суммы отдельно взятого файла), типа ревизора дисков (пример - тот же славный Adinf), только реализация мягче (естественно, это ж фаер все-таки, и у разных программ есть своя методика обсчета контрольной суммы файлов, их мониторинг и т.д. и т.п.).
Так вот. Если изменились компоненты винды и ты в ОР запретишь их обновление на данный момент времени по определенному, запрашивающему соединение, процессу, то всё - этот процесс будет заблокирован и никакого траффика не будет.
Открою маленькую тайну, хотя вскольз об этом упоминалось в соседней ветке (о брандмауэрах), но почему-то никто не обратил на это внимание (или мне так показалось?). Если проставить какое-либо приложение в список "Доверенные приложения" в ОР, то существует большая вероятность обхода, поэтому разработчики и трубят об этом во все голоса, типа не ставить в доверенные и т.д. и т.п. Т.к. в такой ситуации ОР не контролирует соединения и все запросы по такому процессу (TDI/NDIS) и в подавляющем большинстве случаев даже контроль компонентов будет бессилен, если будет реализация подмены процесса на уровне файловой системы, либо процессов винды. Есть много вариантов обхода при присутствующем в ОР списке "Доверенные приложения". Тут стоит отметить, что это не является багом или ошибкой данного фаера. С этим должны бороться другие программы..., в т.ч. и апдейты самой Винды, т.к. винда сама и является уязвимой, а что можно говорить тогда о абсолютно всех программах, которые стоят на виндовых системах?! Это очень важный момент.
Кстати, в примере теста была лишь реализация общего смысла обхода. И никто не может гарантировать, что не будет сделана программа, специально написанная под конкретный фаер, например, элементарно это делается даже через WScript или Сscript через посылку нужных ключей, хотя есть нюансы.... (конретно описывать не буду, надеюсь смысл ясен)
Вот такие дела...
Палыч
Уважаемые участники форума, можете как-то прокомментировать это моё сообщение?
Приступаем.
"не работает сеть, ничего не пингуется"
Панель ОР - Системные - ICMP - параметры - проставляем нужные галочки. Дело в том, что ОР сам по дефолту не дает себя пинговать, поэтому нужно ручками все проставлять самому. Насчет ping.exe - все галочки типов "0" и "8", насчет, например, tracert.exe - другие.
Более подробно как настроить ICMP в разных вариантах, по конкретным IP, а также почему обрывается связь с провайдерами и т.д. и т.п. я писал кучу и много раз на нашем русском форуме Outpost. А потом плюнул и с хозяином форума сделали новую базу знаний Agnitum Outpost. Вот ссылка. http://forum.five.mhost.ru/kb2/ Там обсуждается куча вопросов по ОР.
А насчет юзеров скажу так. Многи даже и не знают, что это такое (фаерволл), как он работает и хотя бы основные принципы работы не то, что протоколы, RFC и т.д., а даже саму Windows толком не знают, а потом орут типа ваша мазафака сломала мне копмьтер и т.д.
И если в уж меня на форуме по ОР спрашивают "что такое браузер", то, как говорится - "без комментариев" или, вот, кстати реальная другая ссылка по похожей теме http://forum.five.mhost.ru/showthread.php?t=1841 , почитайте и поймете все сами (тема обширная - на несколько страниц - ОЧЕНЬ советую, даже не советую, а ПРОШУ). Или вот вопрос "У меня не работает ОР. Что я сделал неправильно?" - можно смело заносить в раздел юмор (надо будет и на нашем форуме этот раздел сделать). Или вот "Установил ОР v... Не видно сети... Где у меня ошибка?" - так и хочется ответить - "Ошибка в ДНК". Или так: "Установил ОР, но он неправильно работает..." - отвечаем - "Телепат вызван, ждем приезда"...
Вывод: Медицина в таких ситуациях бессильна. Прописные истины нужно знать и понимать.
Повторюсь - все это написанное выше относится к людям, которые не разбираются даже в Винде, а пытаются ставить другое ПО и т.д. и т.п.
Клиент при этом клянётся и божиться, что раньше при ОП всё работало нормально и настройки ОП не менялись.
Причин море. Опять же, скажу - "Телепат вызван, ждем приезда". 1. Нужны логи ОР. 2. Нужны подробности и т.д. HATTIFNATTOR, поэтому в следующий раз отправляй их ко мне на форум...
Раньше я думал, что клиент обманывает. Но теперь понимаю, что нет. Не обманывает. Есть такой глюк у ОП.
Не делай быстрые выводы... Давай подробности и т.д. и т.п. Единственный глюк ОР, это нужно признать - подключение по VPN и несовместимость со многими железными маршрутизаторами, но это беда не только ОР, но ZA и других навороченных фаеров...
Сегодня, вообще, был вопиющий случай. Работоспособность сети не восстановилась даже после сноса ОП. Придётся тётеньке переустанавливать Винду и Аськиного клиента. У неё дочка в ЮАР и она без Аськи не может жить...
А вот тут скажу так - ОР не влияет на работоспособность системы и он здесь не при чем, тем более после деинсталляции. Однозначно. Второго не дано. Единственная трабла может быть, это некоррректный инсталл/деинсталл ОР. Я об этом тоже вдалбливал кучу раз. Подробности именно ПРАВИЛЬНОГО инсталла/деинсталла ОР читаем здесь http://forum.five.mhost.ru/announcem...nouncementid=6
Sanja
у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера Ну его такого нафиг
Хе, хе. Опять прикалываешься, да? Телепат вызван - ждем приезда.
Учиться, учиться и ещё раз учиться (с) сами знаете кто.
Ну всё. Ушёл читать по ссылкам. Печёнкой чуствую, что надо изучить ОП досконально. Есть такая реальная необходимость. Ибо всё чаще и чаще происходят вышеописанные случаи.
Я, честно говоря, когда свой пост писал, то именно на это и надеялся, что orvman ответит\прокомментирует.
ПО поводу того теста что я дал. Возможно он не срабатывает для ОП потому что восстанавливает хуки, а в ОП контроль компонентов не основан на хуках. Так что тут облом. Однако сам факт того что ОП не контролирует запись в физическую память позволяет его обойти изменением контролируемых приложений в памяти. Так что проблема таки есть.
ПО поводу того теста что я дал. Возможно он не срабатывает для ОП потому что восстанавливает хуки, а в ОП контроль компонентов не основан на хуках. Так что тут облом. Однако сам факт того что ОП не контролирует запись в физическую память позволяет его обойти изменением контролируемых приложений в памяти. Так что проблема таки есть.
Если имеется ввиду тот "тест", ссылку на который выложил Sanja (http://read-only.ru/def_disable.rar), то могу однозначно сказать, что автор (Николай gorl) выбрал как не самое удачное приложение в качестве "доверенного приложения" (explorer.exe, доступ в и-нет которому по умолчанию закрыт в Outpost FW), так и метод внедрения кода в другой процесс - именно поэтому может срабатывать контроль компонентов. Да и вообще, упомянутый код - это чисто подростковое произведение для подростков-читателей журнала "Хакер", уж простите...
Если в системе с установленным и правильно настроенным OPFW есть хоть одно запущенное приложение, которому разрешен доступ наружу по одному из сетевых протоколов (по умолчанию или же временно, на сеанс работы), то кранты - выйти в и-нет в обход Outpost лишь "дело техники". Эксплойт, сняв предварительно хук на NtWriteVirtualMemory (любым методом - ибо Outpost это вообще никак не контролирует!), может просто "перепробовать" все запущенные процессы для выхода наружу путем более-менее "умного" инжектирования своего кода в них. Это давно уже проверено и до сих пор работает на 100% (я только что специально попробовал на последней доступной мне версии - Outpost Firewall Pro ver. 2.7.493.5421 (416)). Именно об этом я и хотел когда-то подробно написать и опубликовать код, но... передумал.
А сейчас уже код показывать/публиковать нет смысла - ибо любой мало-мальски грамотный программер, зная идею, напишет его с нуля за день (или соберет по частям из тех кусков, что уже опубликованы в и-нете). Так что давайте не будем обманывать себя и других - OPFW, к сожалению, в нынешнем состоянии очень "дыряв" изнутри, и его методы защиты от внутренних атак просто смехотворны (просьба только не воспринимать этот как "наезд" на Outpost - мне самому он очень даже симпатичен именно как сетевой файерволл)!
В связи с этим для надежной защиты компьютера изнутри я бы порекомендовал всем пользователям OPFW установить вдобавок какую-нибудь программу для HIPS-защиты, к примеру Process Guard или же DefenceWall, когда rav сделает релиз! Надеюсь, что в объявленной 3-й версии OPFW что-то изменится в лучшую сторону... кстати, а где бы на нее посмотреть, может кто-нибудь даст ссылочку (можно даже в личку или на e-mail, если что)?
А сейчас уже код показывать/публиковать нет смысла - ибо любой мало-мальски грамотный программер, зная идею, напишет его с нуля за день
А я думаю стоит опубликовать. Хакеры, конечно, сами напишут. А вот публично выставленный ликтест обходящий ОП заставит разработчиков пошевелиться и принять меры.
В связи с этим для надежной защиты компьютера изнутри я бы порекомендовал всем пользователям OPFW установить вдобавок какую-нибудь программу для HIPS-защиты, к примеру Process Guard
Process Guard сильная шука, но для рядового пользователя хуже вируса
Последний раз редактировалось Geser; 10.09.2005 в 23:56.
Может и стоит... хотя я на 100% уверен, что разработчики все это знают - точнее, не могут не знать, настолько все очевидно! Почему они не шевелятся - это интересный вопрос. То ли у них такая позиция (типа сетевой файерволл должен заниматься прежде всего сетевыми делами, а уж потом всем остальным), то ли, как часто бывает, боятся быть выдавленными с этого рынка (ведь, начав писать что-то HIPS-подобное, они неминуемо часть активных сил отдадут на это, приостановив развитие файерволла - а это уже может быть фатально, т.к. рынок сейчас уже достаточно насыщен - вон даже Касперские на него активно вторгаются линейкой 2006), то ли у них пока некому это сделать (они до недавнего времени активно искали народ на работу, насколько я знаю). В общем, кто их там разберет... Ладно, вот гляну на 3-ю версию, а там посмотрим.
Ответить с цитированием
Сообщение от Geser
