Настройка и работа с Outpost Firewall

Arck

Member
Joined
Dec 15, 2003
Messages
97
Reaction score
3
Age
61
Я посмотрел и не увидел в разделе "Программы" одного из самых распространённых файерволов Outpost.
Думаю, многим будет интересна эта тема, как тем кто пользуется этой программой, так и приверженцам других файерволов и даже тем, кто считает, что его-то пронесёт и он ничего из сети не подцепит.
К сожалению, как показал опыт мой и моих знакомых - это далеко не так. Свободное плавание в Интернете как и свободный секс, требует предохранения. А как это делать правильно и получать от сети удовольствие, а не проблемы, давайте решать вместе.
Не претендуя на роль всезнайки, позвольте поделиться опытом и спросить совета у других по поводу конфигурации Outpost-а.
Исходные данные: Windows XP и модемное соединение по телефонной линии.
Я поместил в раздел доверенных приложений: The Bat, Opera, FlashGet, Download Master и процесс обновления антивирусных баз AVP (AVPUPD).
Запретил доступ в сеть следующим программам и процессам: WMPLAYER, WINLOGON, SETUP_WM, RUNDLL32, GMT, SMESYS, ALG, CMB_234461 и по Вашему желанию можно добавлять программы которым, Вы считаете, делать в Инете нечего, типа CorelDRAW и др.
И на пользовательском уровне (т.е. спрашивать у меня разрешение на соединение) оставил: IEXPLORE и SVCHOST - системный процес который частично отвечает за выход в Инет других приложений. Если его зарубить, то и разрешённые приложения в сеть не выйдут. Но и переносить его в доверенные нельзя, т.к. им могут воспользоваться вредные программы.
В целом это всё. Но у меня осталась одна проблема. Периодически Generic Host Process for Win 32 Services просит исходящее соединение. Я выбираю "блокировать однократно" и он на некоторое время успокаивается, а потом опять хочет в сеть. На работоспособности никаких программ это явно не сказывается. Вопрос. Какое приложение хочет в сеть и что ему там делать? И как его вычислить и заблокировать? И нужно ли это?
Если в чём ошибся, извините и поправьте. Буду признателен всем!
 

bapboc

Member
Joined
Dec 11, 2016
Messages
100
Reaction score
20
Age
30
ЗАБАВНАЯ ФИШКА ЧТО ЭТОТ САМЫЙ ПРОЦЕСС .. КОГДА ЕГО пускаешь в сеть не пользуется этим... т.е. компьютерики не мигают.. передача трафика не происходит.. так что я сам не понимаю что это такое ....Generic Host.........
 

KiN

Founder
Coder
Professional Carder
Carder
Joined
Nov 20, 2013
Messages
1,600
Reaction score
1,691
Arck, Generic Host Process- это такая системная служба
Не разрешишь ему коннект - не попадёшь в Инет, так что смело разрешай :)
 

Arck

Member
Joined
Dec 15, 2003
Messages
97
Reaction score
3
Age
61
Братья и сёстры, по Инету!
Вижу, тема народ интересует, в связи с этим продолжим.
1. Спасибо, всем, кто откликнулся и посмотрел.
2. Я сам маленько поразбирался и поделюсь тем, что накопал. Дело в том, что Generic Host Process for Win 32 Services - это и есть указанный мной процесс SVCHOST. А ему-то позволять неограниченный доступ в сеть категорически не рекомендуется. Кстати, те като хочет узнать об этом процессе подробнее, рекомендую посетить страничку http://pkgazet.bn.by/obz/po_42b.shtml.
Вопрос стоит о том, как определить какое приложение пытается воспользоваться этим процессом?
Я маленько почитал доку и порулил Outpost. Для всех приложений которые были у меня в доверенных, я создал соответствующие им правила (см. выше), при этом они переместились на "Пользовательский уровень". В "Доверенных" у меня ничего не осталось. Так как все приложения, которые у меня ходят в сеть были выявлены, в разделе "Политики" я поменял "Режим обучения" на "Режим блокировки". При этом режиме блокируются все приложения кроме тех, которые разрешены и для которых созданы правила.
Пока я не нашёл, как создать правило для SVCHOST он же Generic Host Process for Win 32 Services. Кто это делал, не сочтите за труд, поделитесь с народом.
Кто посчитает, что я слишком подробно пишу, извините, но помните, что основная масса пользователей сети вовсе не сисадмины.
 

urodec

Member
Joined
Nov 25, 2003
Messages
44
Reaction score
2
Age
92
я тоже в этом темный,но для этого приложения на до давать добро, Kin прав, у меня он был в пользовательском уровне так вроде коннект есть, мониторчики в трее есть,а миранда не запускалась (хотя в доверенных) и вообще поюзать нельзя было,шел поиск прокси сервера! Тоже у меня куча приложений в пользовательских,а какие убрать или не трогать сам не знаю? Наверное у всех по разному, у одних можно у других нет???
 

Arck

Member
Joined
Dec 15, 2003
Messages
97
Reaction score
3
Age
61
Занимаясь заменой AVP 4.5 на 5 версию я столкнулся с прблемой при которой не хотели обновляться базы.
Ларчик открывался просто. У меня в настройках Outposta стоит политика блокировки. Не наступайте на те же грабли. Если меняете или добавляете приложение которое должно иметь выход в интернет, не забывайте изменять политики на режим обучения.
Далее, для тех кто будет обновлять каспера. Можете после деинсталяции предыдущей версии удалить в Outposte в разделе "Приложения" процесс обновления антивирусных баз предыдущего AVP (AVPUPD.EXE).
Для нового процесса обновления баз 5-го AVP (KAVSVC.EXE) создайте правило на основе стандартного. Я использовал стандартное правило - Download Manadger.
Всем успеха, и не забывайте делиться своим опытом.
 
Last edited by a moderator:

frick

Member
Joined
Mar 5, 2004
Messages
47
Reaction score
5
Мой способ настройки Outpost заключается в том что я удаляю все правила созданные по умолчанию для разрешённых приложений,и запрешаю то что знаю(win.update,win.media.и.т.д),потом лезу в инет в режиме обучения, и смотрю,какому приложению что нужно, у меня в доверенных вообше ни чего нет, а в пользовательском всего 4 приложения IE,ReGet,KAVSVC.EXE,Lavasoft update,Outlook,но всё сказанное верно только для домашнего компа.А что касается 5-го AVP (KAVSVC.EXE) то здесь висят не только обновления баз,я вообше запарился настраивать,запускаеш Outlook на прием-отправку почты,а вылетает сообшение с предложением создать правило для (KAVSVC.EXE).
 

Максим

Member
Joined
Jan 24, 2004
Messages
12
Reaction score
1
Age
43
Если вы ползуетесь Касперским для проверки почты, то для KAVSVC.EXE нужно создать стандартные правила как для E-mail клиента, так как теперь почта будет идти через него
 

Brodjaga

Member
Joined
Dec 16, 2003
Messages
172
Reaction score
1
Извините за серость, но хотел бы задать такой вопрос. Как создавать правила? Пока-что ничего в этом смысле не понял, т.к. много неизвестных пунктов, если не трудно кому - объясните.
 

urodec

Member
Joined
Nov 25, 2003
Messages
44
Reaction score
2
Age
92
Arck said:
Занимаясь заменой AVP 4.5 на 5 версию я столкнулся с прблемой при которой не хотели обновляться базы.
Ларчик открывался просто. У меня в настройках Outposta стоит политика блокировки. Не наступайте на те же грабли. Если меняете или добавляете приложение которое должно иметь выход в интернет, не забывайте изменять политики на режим обучения.
Далее, для тех кто будет обновлять каспера. Можете после деинсталяции предыдущей версии удалить в Outposte в разделе "Приложения" процесс обновления антивирусных баз предыдущего AVP (AVPUPD.EXE).
Для нового процесса обновления баз 5-го AVP (KAVSVC.EXE) создайте правило на основе стандартного. Я использовал стандартное правило - Download Manadger.
Всем успеха, и не забывайте делиться своим опытом.
Спасибки,что напомнил еще раз на счет Аутпоста! Точно ,надо ж убрать все следы после старого Каспера!( у меня тоже не шли обновки для 5-ки из-за этого)!!! :frendz:
 

Arck

Member
Joined
Dec 15, 2003
Messages
97
Reaction score
3
Age
61
Brodjaga,

Правила создаются так.
Щёлкаем правой кнопкой мыша на значке Outpost расположенном в трее и выбираем "Параметры". В окне "Параметры" выбираем вложенное окно "Приложения". Выделяем приложение для которого хотим создать правило и щелкаем на нём правой кнопкой мыши. Выбираем "Создать правило на основе стандартного" и в этой категории выбираем какую службу наше приложение должно выполнять.
 
Last edited by a moderator:

S.F.W.

Member
Joined
Apr 16, 2004
Messages
184
Reaction score
116
Age
49
Location
Екатеринбург
а вот у меня такой ламерский вопрос. У нас локалка допустим сетевая маска 192.168.0.0 до 192.168.0.255. Если у меня в настройках стоит что локальная сеть это доверенная зона, смогут ли меня собратья по локалке поиметь минуя файер? Ну например тем эксплойтом dcom который дает рутовый шелл? Или outpost спросит насчет соединения извне по локалке?
 
M

mailme

такая вот проблемма, был аутпост 2.1, переставил винды, поставил - и на кучу програм пишет "запретить транзитные пакеты" и непускает в нет, поставил 2.5 - тоже самое, выручите - посоветуйте что делать, менять фаер нехочца соооовсем :(((
 

x_dwing

Member
Joined
Mar 13, 2004
Messages
864
Reaction score
20
Age
43
Location
Москва
2 mailme

в настройках аутпоста есть трансляция пакетов
правда, это самое слабое его место....
 
M

mailme

а где именно в настройках, покажите плиз ктото скриншот если не тяжело :(
 

x_dwing

Member
Joined
Mar 13, 2004
Messages
864
Reaction score
20
Age
43
Location
Москва
Настраиваем Outpost Faerwall

B процессе настройки фаера Agnitum Outpost Faerwall 2.1 узнал кое-что новое про этот продукт, спешу поделиться...
Уязвимость в Outpost Firewall .
Secure Network Operations,Inc. cообщает о нахождении уязвимости в популярном персональном файрволле Agnitum Outpost Firewall версий 1.х и 2.х. Уязвимость является локальной и позволяет обычному пользователю получить привилегии SYSTEM. Связано это с тем, что персональный файрволл запускается с привилегиями SYSTEM. Для выполнения подобной атаки необходимо выполнить следующие действия. Нажать правой кнопкой мышки на иконке Outpost в трэе, выбрать пункт меню "Options...", выбрать "приложение" или "плагин" (дополнение), выбрать "Add.." и выбрать c:\winnt\system32\cmd.exe. Консоль запустится с привилегиями SYSTEM. Просто и со вкусом. Второй спооб заключается в запуске блокнота (notepad.exe) в меню "Help". Хотелось бы заметить, что Agnitum было выпущено обновление. [news by uinc.ru]
но его вроде бы скачать я так и не смог :confused:


Q: Outpost Firewall блокирует транзитные пакеты с локальной сети (анализируя логи). А точнее блокирует их по правилу "Запретить транзитные пакеты".
Действительно, очень часто встречается типичная ситуация в домашней сети: два компа, один через другой в инет ходит, так если оутпост поставить, то второй до нета не достучится, кроме как в "Режиме бездействия" фаервалла.
Решение достаточно простое:
Выключаем Outpost
Находим файл outpost.ini
Открываем любым текстовым редактором
В разделе INTERFACE находим строчку
ShowNATColumn=no
ставим yes вместо no
сохраняем файл.
Запускаем Outpost.
Идем в Options-System-Lan Settings
Видим новую графу - ICS
Ставим галочку там где хотим разрешить транзитные соединения.
Всё.


Q: plugin AttackDetection блокирует траффик в локальной сетке, что делать?

Дело в том, что плуги ничего не знают о доверенных зонах.
конкретно для AttackDetection задать доверенную зону можно прописав сеть с соответcвующей маской в файле ...\Agnitum\Outpost Firewallprotect.lst, там в конце файла есть секция
<IgnoreHosts>
</IgnoreHosts>


Q: Процесс Винды svchost: как поступить с ним - заблокировать или создать правила?

тут есть несколько рекомендаций, выбирайте любую, я поступил, как написано во втором пункте....

1.a) Включи DHCP Service и DNS Service (в сервисах Windows)
b) Убедись, что в системных правилах есть Allow DNS (UDP)
c) Удали SVCHOST из всех списков
d) Включи режим Block Most и не пользуйся Allow Most или Режимом обучения

2. Поставь outpost в режим обучения. Когда высветит окно с Win 32 Generic Host Process создай на основе него правило. Затем зайди в outpost-е в параметры -> приложения. Найди этот самый svchost и кликни на нем дважды. Оставь галочки лишь на DHCP, DNS, HTTP, HTTPS. Остальные галочки все убери. Да кстати, рекомендую закрыть DCOM (135 порт). Делается это так. Зайди в остнасту администрирование(Панель управления) -> Службы компонентов -> Компьютеры -> на my computer кликаешь правой кнопкой и переходишь в свойство и убираешь галочку "использовать DCOM на этом компьютере". Далее в пратоколы по умолчанию и убираешь все доступные протоколы для DCOM. Также рекомендую скачать patch KB823980 с сайта Microsoft.

все это я нашел на неофициальном форуме Оутпоста, всем рекомендую...
-=http://forum.five.mhost.ru/index.php=-
-=http://forum.five.mhost.ru/stat/click.php?http://forum.five.mhost.ru/showthread.php?s=&threadid=431=-

а вот база данных оутпоста на русском языке (правда, пока маленькая)

-=http://forum.five.mhost.ru/stat/click.php?http://forum.five.mhost.ru/kb/=-
 
Last edited by a moderator:

diSmiSS

ex-Team DUMPz
Joined
Nov 28, 2003
Messages
1,823
Reaction score
302
Age
46
Location
Königsberg
x_dwing, ну тебе то уже не простительно забывать что такое поиск....
_________________
объединил...
 

Танцор

Member
Joined
Oct 2, 2004
Messages
11
Reaction score
0
Age
41
вот обновил ету стену ................................................................... и ключ вылетел...
и теперь непринимает ... есть ли у кого новенькийключик иль кряк .. приззззз
 

venixxx

Platinum
Joined
Jun 3, 2018
Messages
1,318
Reaction score
116
Age
37
2 Танцор
Почитай правила всякие ключики и кряки у нас просят в разделе "заказы".
 

wise_diego

Member
Joined
Feb 18, 2022
Messages
172
Reaction score
112
Что делать при таком сообщении:
"один или несколько компонентов данного приложения изменились. Если вы не уверены в правильности этого изменения, нажмите Подробнее для проверки подлинности этих компонентов"
Как мне узнать, когда это изменение правильное, а когда нет?
Иногда блокируешь, и некоторые страницы не открываются.
 
Top