Настройка и работа с Outpost Firewall

[Arck]

Я посмотрел и не увидел в разделе "Программы" одного из самых распространённых файерволов Outpost.
Думаю, многим будет интересна эта тема, как тем кто пользуется этой программой, так и приверженцам других файерволов и даже тем, кто считает, что его-то пронесёт и он ничего из сети не подцепит.
К сожалению, как показал опыт мой и моих знакомых - это далеко не так. Свободное плавание в Интернете как и свободный секс, требует предохранения. А как это делать правильно и получать от сети удовольствие, а не проблемы, давайте решать вместе.
Не претендуя на роль всезнайки, позвольте поделиться опытом и спросить совета у других по поводу конфигурации Outpost-а.
Исходные данные: Windows XP и модемное соединение по телефонной линии.
Я поместил в раздел доверенных приложений: The Bat, Opera, FlashGet, Download Master и процесс обновления антивирусных баз AVP (AVPUPD).
Запретил доступ в сеть следующим программам и процессам: WMPLAYER, WINLOGON, SETUP_WM, RUNDLL32, GMT, SMESYS, ALG, CMB_234461 и по Вашему желанию можно добавлять программы которым, Вы считаете, делать в Инете нечего, типа CorelDRAW и др.
И на пользовательском уровне (т.е. спрашивать у меня разрешение на соединение) оставил: IEXPLORE и SVCHOST - системный процес который частично отвечает за выход в Инет других приложений. Если его зарубить, то и разрешённые приложения в сеть не выйдут. Но и переносить его в доверенные нельзя, т.к. им могут воспользоваться вредные программы.
В целом это всё. Но у меня осталась одна проблема. Периодически Generic Host Process for Win 32 Services просит исходящее соединение. Я выбираю "блокировать однократно" и он на некоторое время успокаивается, а потом опять хочет в сеть. На работоспособности никаких программ это явно не сказывается. Вопрос. Какое приложение хочет в сеть и что ему там делать? И как его вычислить и заблокировать? И нужно ли это?
Если в чём ошибся, извините и поправьте. Буду признателен всем!

 

[bapboc]

ЗАБАВНАЯ ФИШКА ЧТО ЭТОТ САМЫЙ ПРОЦЕСС .. КОГДА ЕГО пускаешь в сеть не пользуется этим... т.е. компьютерики не мигают.. передача трафика не происходит.. так что я сам не понимаю что это такое ....Generic Host.........

 

[KiN]

Arck, Generic Host Process- это такая системная служба
Не разрешишь ему коннект - не попадёшь в Инет, так что смело разрешай

 

[Arck]

Братья и сёстры, по Инету!
Вижу, тема народ интересует, в связи с этим продолжим.
1. Спасибо, всем, кто откликнулся и посмотрел.
2. Я сам маленько поразбирался и поделюсь тем, что накопал. Дело в том, что Generic Host Process for Win 32 Services - это и есть указанный мной процесс SVCHOST. А ему-то позволять неограниченный доступ в сеть категорически не рекомендуется. Кстати, те като хочет узнать об этом процессе подробнее, рекомендую посетить страничку http://pkgazet.bn.by/obz/po_42b.shtml.
Вопрос стоит о том, как определить какое приложение пытается воспользоваться этим процессом?
Я маленько почитал доку и порулил Outpost. Для всех приложений которые были у меня в доверенных, я создал соответствующие им правила (см. выше), при этом они переместились на "Пользовательский уровень". В "Доверенных" у меня ничего не осталось. Так как все приложения, которые у меня ходят в сеть были выявлены, в разделе "Политики" я поменял "Режим обучения" на "Режим блокировки". При этом режиме блокируются все приложения кроме тех, которые разрешены и для которых созданы правила.
Пока я не нашёл, как создать правило для SVCHOST он же Generic Host Process for Win 32 Services. Кто это делал, не сочтите за труд, поделитесь с народом.
Кто посчитает, что я слишком подробно пишу, извините, но помните, что основная масса пользователей сети вовсе не сисадмины.

 

[urodec]

я тоже в этом темный,но для этого приложения на до давать добро, Kin прав, у меня он был в пользовательском уровне так вроде коннект есть, мониторчики в трее есть,а миранда не запускалась (хотя в доверенных) и вообще поюзать нельзя было,шел поиск прокси сервера! Тоже у меня куча приложений в пользовательских,а какие убрать или не трогать сам не знаю? Наверное у всех по разному, у одних можно у других нет???

 

[Arck]

Занимаясь заменой AVP 4.5 на 5 версию я столкнулся с прблемой при которой не хотели обновляться базы.
Ларчик открывался просто. У меня в настройках Outposta стоит политика блокировки. Не наступайте на те же грабли. Если меняете или добавляете приложение которое должно иметь выход в интернет, не забывайте изменять политики на режим обучения.
Далее, для тех кто будет обновлять каспера. Можете после деинсталяции предыдущей версии удалить в Outposte в разделе "Приложения" процесс обновления антивирусных баз предыдущего AVP (AVPUPD.EXE).
Для нового процесса обновления баз 5-го AVP (KAVSVC.EXE) создайте правило на основе стандартного. Я использовал стандартное правило - Download Manadger.
Всем успеха, и не забывайте делиться своим опытом.

 

[frick]

Мой способ настройки Outpost заключается в том что я удаляю все правила созданные по умолчанию для разрешённых приложений,и запрешаю то что знаю(win.update,win.media.и.т.д),потом лезу в инет в режиме обучения, и смотрю,какому приложению что нужно, у меня в доверенных вообше ни чего нет, а в пользовательском всего 4 приложения IE,ReGet,KAVSVC.EXE,Lavasoft update,Outlook,но всё сказанное верно только для домашнего компа.А что касается 5-го AVP (KAVSVC.EXE) то здесь висят не только обновления баз,я вообше запарился настраивать,запускаеш Outlook на прием-отправку почты,а вылетает сообшение с предложением создать правило для (KAVSVC.EXE).

 

[Максим]

Если вы ползуетесь Касперским для проверки почты, то для KAVSVC.EXE нужно создать стандартные правила как для E-mail клиента, так как теперь почта будет идти через него

 

[Brodjaga]

Извините за серость, но хотел бы задать такой вопрос. Как создавать правила? Пока-что ничего в этом смысле не понял, т.к. много неизвестных пунктов, если не трудно кому - объясните.

 

[urodec]

Занимаясь заменой AVP 4.5 на 5 версию я столкнулся с прблемой при которой не хотели обновляться базы.
Ларчик открывался просто. У меня в настройках Outposta стоит политика блокировки. Не наступайте на те же грабли. Если меняете или добавляете приложение которое должно иметь выход в интернет, не забывайте изменять политики на режим обучения.
Далее, для тех кто будет обновлять каспера. Можете после деинсталяции предыдущей версии удалить в Outposte в разделе "Приложения" процесс обновления антивирусных баз предыдущего AVP (AVPUPD.EXE).
Для нового процесса обновления баз 5-го AVP (KAVSVC.EXE) создайте правило на основе стандартного. Я использовал стандартное правило - Download Manadger.
Всем успеха, и не забывайте делиться своим опытом.

Спасибки,что напомнил еще раз на счет Аутпоста! Точно ,надо ж убрать все следы после старого Каспера!( у меня тоже не шли обновки для 5-ки из-за этого)!!! :frendz:

 

[Arck]

Brodjaga,

Правила создаются так.
Щёлкаем правой кнопкой мыша на значке Outpost расположенном в трее и выбираем "Параметры". В окне "Параметры" выбираем вложенное окно "Приложения". Выделяем приложение для которого хотим создать правило и щелкаем на нём правой кнопкой мыши. Выбираем "Создать правило на основе стандартного" и в этой категории выбираем какую службу наше приложение должно выполнять.

 

[S.F.W.]

а вот у меня такой ламерский вопрос. У нас локалка допустим сетевая маска 192.168.0.0 до 192.168.0.255. Если у меня в настройках стоит что локальная сеть это доверенная зона, смогут ли меня собратья по локалке поиметь минуя файер? Ну например тем эксплойтом dcom который дает рутовый шелл? Или outpost спросит насчет соединения извне по локалке?

 

[mailme]

такая вот проблемма, был аутпост 2.1, переставил винды, поставил - и на кучу програм пишет "запретить транзитные пакеты" и непускает в нет, поставил 2.5 - тоже самое, выручите - посоветуйте что делать, менять фаер нехочца соооовсем ((

 

[x_dwing]

2 mailme

в настройках аутпоста есть трансляция пакетов
правда, это самое слабое его место....

 

[mailme]

а где именно в настройках, покажите плиз ктото скриншот если не тяжело

 

[x_dwing]

Настраиваем Outpost Faerwall

B процессе настройки фаера Agnitum Outpost Faerwall 2.1 узнал кое-что новое про этот продукт, спешу поделиться...

Уязвимость в Outpost Firewall .
Secure Network Operations,Inc. cообщает о нахождении уязвимости в популярном персональном файрволле Agnitum Outpost Firewall версий 1.х и 2.х. Уязвимость является локальной и позволяет обычному пользователю получить привилегии SYSTEM. Связано это с тем, что персональный файрволл запускается с привилегиями SYSTEM. Для выполнения подобной атаки необходимо выполнить следующие действия. Нажать правой кнопкой мышки на иконке Outpost в трэе, выбрать пункт меню "Options...", выбрать "приложение" или "плагин" (дополнение), выбрать "Add.." и выбрать c:\winnt\system32\cmd.exe. Консоль запустится с привилегиями SYSTEM. Просто и со вкусом. Второй спооб заключается в запуске блокнота (notepad.exe) в меню "Help". Хотелось бы заметить, что Agnitum было выпущено обновление. [news by uinc.ru] ​

но его вроде бы скачать я так и не смог

Q: Outpost Firewall блокирует транзитные пакеты с локальной сети (анализируя логи). А точнее блокирует их по правилу "Запретить транзитные пакеты". Действительно, очень часто встречается типичная ситуация в домашней сети: два компа, один через другой в инет ходит, так если оутпост поставить, то второй до нета не достучится, кроме как в "Режиме бездействия" фаервалла.
​

Решение достаточно простое:
Выключаем Outpost
Находим файл outpost.ini
Открываем любым текстовым редактором
В разделе INTERFACE находим строчку
ShowNATColumn=no
ставим yes вместо no
сохраняем файл.
Запускаем Outpost.
Идем в Options-System-Lan Settings
Видим новую графу - ICS
Ставим галочку там где хотим разрешить транзитные соединения.
Всё.

Q: plugin AttackDetection блокирует траффик в локальной сетке, что делать?

​

Дело в том, что плуги ничего не знают о доверенных зонах.
конкретно для AttackDetection задать доверенную зону можно прописав сеть с соответcвующей маской в файле ...\Agnitum\Outpost Firewallprotect.lst, там в конце файла есть секция
<IgnoreHosts>
</IgnoreHosts>

Q: Процесс Винды svchost: как поступить с ним - заблокировать или создать правила?

​

тут есть несколько рекомендаций, выбирайте любую, я поступил, как написано во втором пункте....

1.a) Включи DHCP Service и DNS Service (в сервисах Windows)
b) Убедись, что в системных правилах есть Allow DNS (UDP)
c) Удали SVCHOST из всех списков
d) Включи режим Block Most и не пользуйся Allow Most или Режимом обучения

2. Поставь outpost в режим обучения. Когда высветит окно с Win 32 Generic Host Process создай на основе него правило. Затем зайди в outpost-е в параметры -> приложения. Найди этот самый svchost и кликни на нем дважды. Оставь галочки лишь на DHCP, DNS, HTTP, HTTPS. Остальные галочки все убери. Да кстати, рекомендую закрыть DCOM (135 порт). Делается это так. Зайди в остнасту администрирование(Панель управления) -> Службы компонентов -> Компьютеры -> на my computer кликаешь правой кнопкой и переходишь в свойство и убираешь галочку "использовать DCOM на этом компьютере". Далее в пратоколы по умолчанию и убираешь все доступные протоколы для DCOM. Также рекомендую скачать patch KB823980 с сайта Microsoft.

все это я нашел на неофициальном форуме Оутпоста, всем рекомендую...
-=http://forum.five.mhost.ru/index.php=-
-=http://forum.five.mhost.ru/stat/click.php?http://forum.five.mhost.ru/showthread.php?s=&threadid=431=-

а вот база данных оутпоста на русском языке (правда, пока маленькая)

-=http://forum.five.mhost.ru/stat/click.php?http://forum.five.mhost.ru/kb/=-

 

[diSmiSS]

x_dwing, ну тебе то уже не простительно забывать что такое поиск....
_________________
объединил...

 

[Танцор]

вот обновил ету стену ................................................................... и ключ вылетел...
и теперь непринимает ... есть ли у кого новенькийключик иль кряк .. приззззз

 

[venixxx]

2 Танцор
Почитай правила всякие ключики и кряки у нас просят в разделе "заказы".

 

[wise_diego]

Что делать при таком сообщении:
"один или несколько компонентов данного приложения изменились. Если вы не уверены в правильности этого изменения, нажмите Подробнее для проверки подлинности этих компонентов"
Как мне узнать, когда это изменение правильное, а когда нет?
Иногда блокируешь, и некоторые страницы не открываются.