Настраиваем Outpost Faerwall
B процессе настройки фаера Agnitum Outpost Faerwall 2.1 узнал кое-что новое про этот продукт, спешу поделиться...
Q: Outpost Firewall блокирует транзитные пакеты с локальной сети (анализируя логи). А точнее блокирует их по правилу "Запретить транзитные пакеты". Действительно, очень часто встречается типичная ситуация в домашней сети: два компа, один через другой в инет ходит, так если оутпост поставить, то второй до нета не достучится, кроме как в "Режиме бездействия" фаервалла.
Решение достаточно простое:
Выключаем Outpost
Находим файл outpost.ini
Открываем любым текстовым редактором
В разделе INTERFACE находим строчку
ShowNATColumn=no
ставим yes вместо no
сохраняем файл.
Запускаем Outpost.
Идем в Options-System-Lan Settings
Видим новую графу - ICS
Ставим галочку там где хотим разрешить транзитные соединения.
Всё.
Q: plugin AttackDetection блокирует траффик в локальной сетке, что делать?
Дело в том, что плуги ничего не знают о доверенных зонах.
конкретно для AttackDetection задать доверенную зону можно прописав сеть с соответcвующей маской в файле ...\Agnitum\Outpost Firewallprotect.lst, там в конце файла есть секция
<IgnoreHosts>
</IgnoreHosts>
Q: Процесс Винды svchost: как поступить с ним - заблокировать или создать правила?
тут есть несколько рекомендаций, выбирайте любую, я поступил, как написано во втором пункте....
1.a) Включи DHCP Service и DNS Service (в сервисах Windows)
b) Убедись, что в системных правилах есть Allow DNS (UDP)
c) Удали SVCHOST из всех списков
d) Включи режим Block Most и не пользуйся Allow Most или Режимом обучения
2. Поставь outpost в режим обучения. Когда высветит окно с Win 32 Generic Host Process создай на основе него правило. Затем зайди в outpost-е в параметры -> приложения. Найди этот самый svchost и кликни на нем дважды. Оставь галочки лишь на DHCP, DNS, HTTP, HTTPS. Остальные галочки все убери. Да кстати, рекомендую закрыть DCOM (135 порт). Делается это так. Зайди в остнасту администрирование(Панель управления) -> Службы компонентов -> Компьютеры -> на my computer кликаешь правой кнопкой и переходишь в свойство и убираешь галочку "использовать DCOM на этом компьютере". Далее в пратоколы по умолчанию и убираешь все доступные протоколы для DCOM. Также рекомендую скачать patch KB823980 с сайта Microsoft.
все это я нашел на неофициальном форуме Оутпоста, всем рекомендую...
-=http://forum.five.mhost.ru/index.php=-
-=http://forum.five.mhost.ru/stat/click.php?Для просмотра ссылки Войдиили Зарегистрируйся
а вот база данных оутпоста на русском языке (правда, пока маленькая)
-=http://forum.five.mhost.ru/stat/click.php?Для просмотра ссылки Войдиили Зарегистрируйся
B процессе настройки фаера Agnitum Outpost Faerwall 2.1 узнал кое-что новое про этот продукт, спешу поделиться...
Уязвимость в Outpost Firewall .
Secure Network Operations,Inc. cообщает о нахождении уязвимости в популярном персональном файрволле Agnitum Outpost Firewall версий 1.х и 2.х. Уязвимость является локальной и позволяет обычному пользователю получить привилегии SYSTEM. Связано это с тем, что персональный файрволл запускается с привилегиями SYSTEM. Для выполнения подобной атаки необходимо выполнить следующие действия. Нажать правой кнопкой мышки на иконке Outpost в трэе, выбрать пункт меню "Options...", выбрать "приложение" или "плагин" (дополнение), выбрать "Add.." и выбрать c:\winnt\system32\cmd.exe. Консоль запустится с привилегиями SYSTEM. Просто и со вкусом. Второй спооб заключается в запуске блокнота (notepad.exe) в меню "Help". Хотелось бы заметить, что Agnitum было выпущено обновление. [news by uinc.ru]
но его вроде бы скачать я так и не смог Secure Network Operations,Inc. cообщает о нахождении уязвимости в популярном персональном файрволле Agnitum Outpost Firewall версий 1.х и 2.х. Уязвимость является локальной и позволяет обычному пользователю получить привилегии SYSTEM. Связано это с тем, что персональный файрволл запускается с привилегиями SYSTEM. Для выполнения подобной атаки необходимо выполнить следующие действия. Нажать правой кнопкой мышки на иконке Outpost в трэе, выбрать пункт меню "Options...", выбрать "приложение" или "плагин" (дополнение), выбрать "Add.." и выбрать c:\winnt\system32\cmd.exe. Консоль запустится с привилегиями SYSTEM. Просто и со вкусом. Второй спооб заключается в запуске блокнота (notepad.exe) в меню "Help". Хотелось бы заметить, что Agnitum было выпущено обновление. [news by uinc.ru]
Q: Outpost Firewall блокирует транзитные пакеты с локальной сети (анализируя логи). А точнее блокирует их по правилу "Запретить транзитные пакеты". Действительно, очень часто встречается типичная ситуация в домашней сети: два компа, один через другой в инет ходит, так если оутпост поставить, то второй до нета не достучится, кроме как в "Режиме бездействия" фаервалла.
Выключаем Outpost
Находим файл outpost.ini
Открываем любым текстовым редактором
В разделе INTERFACE находим строчку
ShowNATColumn=no
ставим yes вместо no
сохраняем файл.
Запускаем Outpost.
Идем в Options-System-Lan Settings
Видим новую графу - ICS
Ставим галочку там где хотим разрешить транзитные соединения.
Всё.
Q: plugin AttackDetection блокирует траффик в локальной сетке, что делать?
конкретно для AttackDetection задать доверенную зону можно прописав сеть с соответcвующей маской в файле ...\Agnitum\Outpost Firewallprotect.lst, там в конце файла есть секция
<IgnoreHosts>
</IgnoreHosts>
Q: Процесс Винды svchost: как поступить с ним - заблокировать или создать правила?
1.a) Включи DHCP Service и DNS Service (в сервисах Windows)
b) Убедись, что в системных правилах есть Allow DNS (UDP)
c) Удали SVCHOST из всех списков
d) Включи режим Block Most и не пользуйся Allow Most или Режимом обучения
2. Поставь outpost в режим обучения. Когда высветит окно с Win 32 Generic Host Process создай на основе него правило. Затем зайди в outpost-е в параметры -> приложения. Найди этот самый svchost и кликни на нем дважды. Оставь галочки лишь на DHCP, DNS, HTTP, HTTPS. Остальные галочки все убери. Да кстати, рекомендую закрыть DCOM (135 порт). Делается это так. Зайди в остнасту администрирование(Панель управления) -> Службы компонентов -> Компьютеры -> на my computer кликаешь правой кнопкой и переходишь в свойство и убираешь галочку "использовать DCOM на этом компьютере". Далее в пратоколы по умолчанию и убираешь все доступные протоколы для DCOM. Также рекомендую скачать patch KB823980 с сайта Microsoft.
все это я нашел на неофициальном форуме Оутпоста, всем рекомендую...
-=http://forum.five.mhost.ru/index.php=-
-=http://forum.five.mhost.ru/stat/click.php?Для просмотра ссылки Войди
а вот база данных оутпоста на русском языке (правда, пока маленькая)
-=http://forum.five.mhost.ru/stat/click.php?Для просмотра ссылки Войди
Последнее редактирование модератором:
