Продолжаю серию статей про настройку оутпоста. Зачем настраивать DNS, если по умолчание все настроено? Ну во-первых, все новые приложения будут нуждаться в двух новых правилах, это DNS правило, плюс обычное правило. Таким образом мы уменьшаем риск предоставить доступ в сеть левым программам.
Троянские программы, которые используют только DNS протокол, не имея возможности воспользоваться системным правилом, будут теперь нуждаться в специальном правиле. Это единственный вариант, который позволит блокировать DNShell leaktest и различные эксплоиты
1. Заходим в настройку Windows 2000/ XP и отключаем DNS службу. (Пуск/ Настройка/ Панель управления/ Администрирование/ Службы). Тем самым мы заставим каждое приложение выполнять собственные DNS запросы, вместо того, чтобы делегировать их services.exe (Win2000) или svchost.exe (WinXP).
2. Выключаем системное правило “Allow DNS Resolving”.
3. Для каждого приложения необходимо добавить новое правило со следующими параметрами:
<Приложение> DNS Resolution:
Где протокол UDP
и Где удаленный адрес <адреса DNS серверов провайдера>;
и Где удаленный порт 53
Разрешить эти данные
Справка:
Определить IP адрес DNS серверов вашего провайдера можно следующим образом. Пуск- Выполнить набрать cmd, в открывшимся окне набрать команду ipconfig -all
После прописания этого правила в приложениях, можете Svchost.exe переместить в запрещенные приложения (удалять не спешите, может вдруг что-то настроете не так), больше оно нам не нужно.
Протестировал на своей машине, прекрасно работает почта, браузер, фтп-клиент, аська, вебмани, язлик, и другие программы. Единственное в вебманях не работает внутренний обменик (ищу где собака зарыта).
Справка:
Приложение Svchost.exe требует различные сетевые доступы для выполнения базовых сетевых задач. Но предоставление ему полного доступа сделает систему уязвимой для RPC эксплоитов, таких червей как Blaster и Welchia/Nachi.
Поэтому я бы рекомендовал все таки отключить DNS службу, так как некоторые трояны пытаются маскировать свой трафик под DNS, рекомендуется любые попытки связи с другими серверами, кроме серверов провайдера, рассматривать как подозрительные. Если это легальные попытки (например, провайдер поменял адрес DNS сервера и разрешающее правило нуждается в обновлении), то при появлении сообщения и потери связи с сетью следует проверить журнал в разделе “История Заблокированных”, чтобы разобраться в причине.
Необходимо также дописать следующие правила в раздел системных:
Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
Правила для блокировки Simple Service Discovery Protocol
Block Incoming SSDP:
Где протокол UDP
и Где локальный порт 1900
Блокировать эти данные
Block Outgoing SSDP:
Где протокол UDP
и Где удаленный порт 1900
Блокировать эти данные
SSDP – используется для поиска Universal Plug and Play (UPnP) устройств в локальной сети. Так как UPnP имеет много проблем с безопасностью, лучше отключить SSDP, если только он вам не нужен. Если же нужен, то измените правило в разрешенное. Если в конце добавлено правило “Block Other UDP”, это должно ограничить SSDP в соответствии с представленными советами.
Правила для блокировки пакетов UPnP
Block Incoming UPnP:
Где протокол TCP
и Где направление Входящее
и где локальный порт 5000
Блокировать эти данные
Block Outgoing UPnP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 5000
Блокировать эти данные
- Эти правила блокируют пакеты UPnP в соответствии с правилами для SSDP, описанными выше. Если Вы уверены в том, что нужно UPnP (например, для NAT Traversal) измените их в разрешенные, но добавьте IP адреса UPnP устройств как удаленные адреса, чтобы ограничить диапазон. Если в конце добавлено правило “Block Other TCP”, это должно ограничить UPnP в соответствии с представленными советами.
Правило для блокирования RPC/DCOM трафика
Block RPC (TCP):
Где протокол TCP
и Где направление Входящее
и Где локальный порт 135
Блокировать эти данные
Block RPC (UDP):
Где протокол UDP
и Где локальный порт 135
Блокировать эти данные
- Это копия системного правила по умолчанию для блокирования RPC/DCOM трафика. Поэтому оно не является абсолютно необходимым, но может рассматриваться как дополнительное средство безопасности. Если необходим доступ RPC/DCOM измените эти правила на разрешенные, но только доверенным удаленным адресам.
Allow DHCP Request:
Где протокол UDP
и Где удаленный адрес <адрес DHCP сервера провайдера>
и Где удаленный порт BOOTPS
и Где локальный порт BOOTPC
Разрешить эти данные
- Заметьте, что данное правило не является необходимым, если используется статический IP адрес. Здесь правило нужно потому, что svchost.exe отвечает за связь с DHCP, а системные DHCP правила не будут работать, если в конце будет правило “Block Other TCP/UDP”.
Правило для Windows Help
Allow Help Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80, 443
Разрешить эти данные
- Для Windows Help может понадобиться Web доступ для некоторых целей. Если Вы не намереваетесь использовать Help (или не желаете, чтобы Микрософт знал, когда и что Вы…), то уберите это правило.
Правило для для синхронизации времени
Allow Time Synchronisation:
Где протокол UDP
и Где удаленный порт 123
и Где удаленный адрес time.windows.com, time.nist.gov
Разрешить эти данные
- Правило нужно только в том случае, если Вы используете эту функцию Windows XP. В противном случае – удаляем.
Правила для блокировки неопределенных сервисов
Block Other TCP Traffic:
Где протокол TCP
и Где направление Исходящее
Блокировать эти данные
Block Other TCP Traffic:
Где протокол TCP
и Где направление Входящее
Блокировать эти данные
Block Other UDP Traffic:
Где протокол UDP
Блокировать эти данные
- Поместите эти правила последними в списке. Это предотвратит появление многочисленных всплывающих окон Rules Wizard для неопределенных сервисов. Любые дополнительные правила в дальнейшем должны быть помещены перед этими правилами.
Системные правила, которые можно отключить:
- Allow Inbound Authentication – это простой и ненадежный, поэтому редко применяемый метод установления инициатора сетевого соединения. Если же этот метод применяется, то отключение этого правила может вызвать задержку при подключении к некоторым e-mail серверам.
- Allow GRE Protocol, Allow PPTP control connection – оба протокола применяются в VPN – Virtual Private Networks, использующих протокол туннелирования Точка-Точка. Если у Вас нет VPN, они могут быть отключены. (убрать галочку напротив правила)
Системное правило “Allow Loopback”, включенное в настройках по умолчанию, представляет значительную угрозу безопасности для пользователей, использующих прокси-сервера (такие программы, как AnalogX Proxy, Proxomitron, WebWasher и некоторые anti-spam/anti-virus). Так как это правило разрешает использовать прокси любому приложению, для которого специально не заблокирован доступ в Интернет. Отключение или удаление этого правила исключает эту возможность.
Преимущества: Предотвращает возможность уязвимости правил прокси сервера “не доверенными” приложениями.
Недостатки: Каждое приложение, использующее прокси (например, web обозреватель с Proxomitron и т.д.) будет нуждаться в дополнительном правиле, разрешающем доступ к прокси (рекомендаций Rules Wizard – Мастера настроек будет достаточно в большинстве случаев).
На этом все, постарался максимально систематизировать ту информацию, что у меня была. Если есть вопросы по настройке, то задавайте.
при поддержке – Buckster.ru – больше всего денег с Вашего трафика!
18.03.2008 в 23:43
Спасибо. Как раз сидел Аутпост последний под Висту настраивал.
28.03.2008 в 23:58
настроил все, большое пасибо за инфу. есть один вопросик:
почему у меня svchost упорно бьется на DNS, и в соответствии с правилом “блокировать и оповещать” мне вылазит это дурацкое окно? ведь я отключил службу DNS.. непонятно..
29.03.2008 в 01:02
Drossel, удалите svhost вообще из “приложений”, я его удалил так как оно не нужно.
отключив DNS, вы наверное забыли убрать svhost, плюс порекомендовал бы поставить “блокировать все что не было разрешено”, а не сидеть в обучающем режиме, или нормальном режиме.
26.04.2008 в 22:51
поставил outpost 2008. интернет работает, локалка (два компа) тоже, но теперь outpost закрыл доступ в инет со второго компа, который в локалке. не могу понять, где я что упустил….
27.04.2008 в 00:52
Денис, Alg.exe не заблокирован случайно? Alg.exe дает возможность нескольким компьютерам сети подключиться к Интернету через один компьютер.
17.05.2008 в 03:59
Я помню в 4м оутпосте была настройка системных правил, сейчас обновил до версии PRO таковых не наблюдаю придется обратно..
За статью огромное спасибо, поскольку до прочтения был тупым ботом. Спасибо брат.
06.07.2008 в 19:41
Agnitum Outpost Firewall Pro 2009 Build 6.5.2355.316.0597.
Opera 9.51 Сборка 10081
Процесс opera.exe постоянно долбится на shoutmix.com (Журнал-НTTP)
На этот сайт я не захожу. Что это такое и как с этим бороться?
Заранее спасибо за ответ.
06.07.2008 в 22:44
Badul, посмотрите может у вас установлен модуль сообщений shoutbox от shoutmix.com?
к сожалению я оперой не пользуюсь, больше даже предположить немогу.
23.07.2008 в 23:08
вот сижу, разбираюсь со всем этим…
прошу, ответе на несколько вопросов. простите меня дурня, прошу зарание.
я так понял, что в правилах после преложений всё можно запретить? ну если система пропустила, приложение не пустило, то куда стучатся?
как я понимаю, сначала фильтруют системные правила, затем приложения, ну и после приложений. А когда низкоуровневые? как понять, это… “ниже уровня приложений”?
а вот:
pcflank.com/(рекомендован агнитом)
Quick Test
Stealth Test
полный провал? и так и сяк,а дырки кругом.
СПАСИБО!
пс: и можно, как для блондинок.
07.08.2008 в 04:22
COMODO Firewall Pro не в планах ?
С Уважением
07.08.2008 в 23:55
pivo пока нет ))
08.08.2008 в 03:39
танцевал с Agnitum Outpost 2009, там есть отличия, успокоился на comodo.
С Уважением
03.09.2008 в 18:00
Спасибо, отличная статья. Долго сидел на стандартных настройках, теперь на многое открылись глаза!
14.09.2008 в 22:20
два компа подключины к роутеру и на обоих стоит Agnitum Outpost 2009. На ноутбуке при включеной службе Outpost блокируется инет. Всевозможные правила и разрешения не помогают. даже когда отключаешь защиту (помогает отключение службы). Скажите пожалуста как исправить эту проблему?
16.09.2008 в 10:20
vik, если честно была попытка осилить 2009 Agnitum Outpost, даже импортировал старые настройки, но там так все заморочено что снес его нафик, сижу на старой версии пока.
а второй компьютер нормально ходит в сеть? проблема тока в ноуте?
17.09.2008 в 02:13
второй камп в нэт входит. проблема в ноуте..удалил даже фаервол на стационарнике но результата не вижу :(все поп режнему. Обидно, классный фаервол…
10.12.2008 в 00:17
Что то мой комент не добавился(
Все сделал по вашим подсказкам. Все супер, все работает. Есть одно нарекание. Система не может обновлятся в автомате. Я имею ввиду MW Vista sp6.1 Где что нужно подкрутить, подскажите пожалуйста. То что проблема в аутпосте – проверил путем отключения outposta и проверки обновлений – все прекраснно скачалось. Где зарыта собака? Что нужно разрешить и как? Натсройки outposta практически индентичны вашим описаниям. Кроме пары собственных правил для приложений…
что то не так(
10.12.2008 в 00:22
если я правильно понял, то не обновляется винда? тогда необходимо прописать для “модуля обновления” правила и все. Увидеть этот модель можно в журнале заблокированных приложений.
первый комент идет на модерацию, так же возможно что были отключены куки.
10.12.2008 в 00:52
Да, именно винда. Самое что интересное при включенном outpost-е даже “центр обновления” не открывается. Может быть тут проблема? А само название модуля не подскажите? В журнале пока ищу…по принципу – запускаю обновление – и смотрю что блокируется, но так как центр даже не запусается то в аутпосте нет записей…сетевой акивности нет… где можно посмотреть? Спасиба заранее.
10.12.2008 в 01:12
Да так и выщло. Outpost не регистрирует активность. Даже запуск “центра”. Если аутпост не загружать то все в порядке, после его единождого включения – до перезагрузки не обновляется.
10.12.2008 в 03:28
скорее всего вы запретили активность центра при первом запуске, значит необходимо удалить его из настроек (придеться порыться в настройках). оутпост у вас какой?
11.12.2008 в 01:28
Outpost Firewall Pro версия 6.5.2358.XXX.XXX
Вот такая версия. порылся в настройках – самого модуля найти не могу просто в силу того что не знаю название приложения.
11.12.2008 в 14:57
название приложения можно найти в инете. а оутпост последней версии я что-то не осилил, слишком уж он навороченный.
12.12.2008 в 03:02
Ясна) ну попробую и на этом спасибо.
А насчет версии новой…ну я когда версию ставил вообще глобально переходил с XP на VISTA поэтому такой мелочи изменений в OUTPOST даже не заметил. Поменял AntiVIR2008 и даже пресловутый M office с 2003 на 2007… сами видите везде изменения, поэтому привык, а так…очень даже ничего аутпостик…нового мало, но интерфейс приятнее, а все остальное – теже самфые настройки.
Дерзайте!
16.12.2008 в 14:31
поставил последнию версию 6.5.2358.316.0607, прописал правила, все работает. Кроме почты, не хочет забирать по TSL и все…
17.12.2008 в 01:24
Ну как? Нравится? А обновления работает? Если у вас конечно Виста. У меня все приложения заблокированы кроме тех котрые юзаю – типа браузер, icq, antivirююютем не менее проблема осталась там же…
17.12.2008 в 01:42
не совсем понятно с куками, а так все работает. прописал точно такие же правила как и в посте, отключил svhost. винда у меня ХР, сейчас попользуюсь пару недель и возможно куплю лицензию на оутпост.
17.12.2008 в 15:21
Pavel, на днях постараюсь написать пост с правилами для приложений, чтоб в будущем можно было смотреть правила.
19.12.2008 в 01:59
жду. )) думаю будет полезно.
25.12.2008 в 16:25
Установил Agnitum Outpost Firewall 2009, после этого не могу выйти в интернет. Если отключать любые настройки в Outpost ничего не меняется, попасть в интернет можно выйти, только выйдя из Outpost с остановкой сервиса. (интернет – ADSL через Ethernet-соединение)
25.12.2008 в 22:57
Михаил, включите в обучающем режиме, все должно работать. сам сижу через ADSL, проблем нет, даже использую выше перечисленные правила.
26.12.2008 в 01:56
Проблема Михаила в другом. У вас версия какая? Уверен что что то типо того…
pro 6.5.2351.xxxx
или
pro 6.5.2352.xxxx
вобщем все что до 2356 – не работает – сырые конфиги самого аутпоста, смотря откуда качали. бывает что в сети выкладывают бетки и так далее. При первом появлени версии 2009 в ревизиях 2351-2356 были глюки и , наверно, они работали только у самих агнитумцев))
Качайте версию поновее, например с оф. сайта, причем удостоверьтесь что ваша версия что то вроде x.x.xxx.2358
+++++++++++++++++++++++++++++++
не уверен, но помоему так. пробуйте.
26.12.2008 в 10:16
сроду не понимал, зачем качать с левых сайтов ))
у меня вот сейчас с оф сайта, сижу не нарадуюсь.
26.12.2008 в 13:14
У меня версия 6.5.2358.316.0607
26.12.2008 в 23:20
версия платная или кряк?
27.12.2008 в 00:37
У меня версия 6.5.2358.316.0607
Да – это нормальная версия, рабочая, значит либо кривая либо действительно нужно что то с правилами делать… значит не помогло. Sorry about
28.12.2008 в 18:27
Скчал с оф. сайта версию 6.5.2509.366.0663 всё заработало. Спасибо за помощь!
28.12.2008 в 23:20
кстати продают сейчас с пожизненной лицензией по годовой цене. рекомендую купить :-)
15.01.2009 в 19:02
сделал обзор правил для приложений, ибо в старых версиях оутпсота, там они чуток другие были http://streha.ru/2009/01/15/pravila-dlya-prilozheni.html
16.01.2009 в 02:18
Купил лицензию. классная вещь. спасибо за ссылку – будет полезно изучить.
16.01.2009 в 22:44
после 4 версии вообще небо и земля ))
12.04.2009 в 21:47
У меня соединение точка-точка-локальная сеть.
Правила успешно вписал и все такое.
svchost закинул в запрет. НО есть такой процесс explorer. Когда устанавливаешь соединение локальной сети – все классно. А когда пытаешься установить соединение на инет через локалку – не получается. Причина – Possible Trojan DNS (UDP). Долбится explorer на udp-протоколе, удаленный адрес – мои dns, удаленный порт – dns. В общем, я создал правило для сранного explorer. И все пошло. С вашей точки зрения это нормально ?
12.04.2009 в 21:49
Заметьте – это НЕ internet explorer (iexplorer). Он у меня в запрете.
12.04.2009 в 21:52
Да, кстати, а так уже это важно – иметь новую версию ? Тенденция у многих прог плохая – обрастают ненужным салом (кодом). Притча во языцех – asdsee и т.д.
12.04.2009 в 23:42
я обновил, там кое-какие полезные фишки появились, раньше не было.
Насчет explorer, у меня он висит без сетевых правил, просто наблюдение в антилике. Тип соединения ADSL, такие же правила стоят на второй тачке, там через 802 протокол, если не изменяет память, тоже explorer не ломица никуда.
у вас антивирусник стоит? проверьте тот ли explorer просит соединения, а не троян. я тут погуглил малость мнения расходятся. установите Process Explorer (альтернатива диспетчеру задач), я про него писал, посмотрите чтоб все процессы были подписаны.
ну еще как вариант, пустить оутпост в обучающем режиме, предварительно отключив самописные правила, а потом подредактировать.
17.01.2010 в 23:09
скачал OutpostPro_6.7.1 установил, перестал заходить в итернт, захожу через мтс коннект, даже если OutpostPro отключал. все равно не заходил. Пришлось снести, стал заходить. Помогите, в чем дело?
03.03.2010 в 14:46
поставил outpost 2009. интернет работает, локалка (два компа) тоже, но теперь outpost закрыл доступ в инет со второго компа, который в локалке. не могу понять, где я что упустил….
03.03.2010 в 14:54
bob, с таким не сталкивался, подсказать не могу. Единственное что могу посоветовать, включите обучающий режим, он сам пропишет все правила, лишние потом удалите.
26.03.2010 в 07:16
А будут ли работать проги типа SocksChain FreeCap с такой настройкой, или нужно еще что то добавлять в правила?
27.03.2010 в 08:48
подскажи пожалуйста пункт 2. Выключаем системное правило “Allow DNS Resolving”.
У меня нет в системных\глобальных такого правила.
27.03.2010 в 19:32
Anton это было в версии 4,0, в версии 2009 такого правила уже нет
29.03.2010 в 02:22
Я уже понял, спасибо. Почитал нужные-интересные статьи типа этой и настроил фаерволл, закрыл не нужные потры 135-139, 445, 5000. Выключил не нужные в процессы что бы не ломились в сеть и не делали дыр в защите. Но вопросик задам если позволите… Я все не нужное отрубил и все работает хорошо, даже более того – прекрасно! Раньше частенько было зависание компа, не знаю из-за чего. Но сейчас, уже неделю как не было ни разу такого случая после того как настроил по статьям которые сложил в одно большое правило для своей стены. Работает аька, вэбмани, браузер, бат, но…. они не хотят работать через проксю… у меня как я уже писал выше все работало (когда мне нужно) через SocksChain и FreeCap, а сейчас не работает ни аька, ни бат, ни браузер через проги указанные выше. Возможно Вы и в этом при успели, так как пользуетесь Агнитумом больше времени чем я (статья написана в 2008 г.) Если знаете, то подскажите пожалуйста.
30.03.2010 в 22:48
Anton, если вы ходите через прокси, то возможно надо открыть порты для прокси. Как вариант поставьте в автообучение агнитум и выйдите в инет через прокси, все само пропишется
28.04.2010 в 13:34
День добрый
Два вопросика
1. касаемо текста начиная отсюда
“Необходимо также дописать следующие правила в раздел системных:”
и до
“- Поместите эти правила последними в списке. Это предотвратит появление многочисленных всплывающих окон Rules Wizard для неопределенных сервисов. Любые дополнительные правила в дальнейшем должны быть помещены перед этими правилами.”
Вопрос – а куда записывать – в глобальные или низкоуровневые? И что делать с теми правилами которые там уже есть? И если можно кратко – зачем и как едят эти “глобальные” и “низкоуровневые”
2. После перенастроек аутпост не дает запускать программы через run as. Где покопаться что-бы заработало?
28.04.2010 в 14:33
Дмитрий, 1 в глобальные. Те что есть в глобальных пускай висят.
Низкоуровневые правила – это правила позволяют контролировать системный трафик, передаваемый драйверами протоколов, использующими IP протоколы, отличные от TCP и UDP, транзитные пакеты и другие данные, не относящиеся к приложениям, которые невозможно контролировать на уровне приложений.
Глобальные правила – Данные правила применяются к соединениям, не обработанным на предыдущих уровнях. Правила для остальных протоколов (не TCP и UDP) можно создать только на этом уровне, указав тип IP-протокола. Применяются ко всем приложением вашей системы.
Если не изменяет память, посмотрите правила на Exproler. Не путать с браузером IE
28.04.2010 в 15:15
Спасибо за скорый ответ, но… похоже я сам себе нарыл проблем
“2. После перенастроек аутпост не дает запускать программы через run as. Где покопаться что-бы заработало?” – с этим я РАЗОБРАЛСЯ – проблема была в правиле для svhost
“Дмитрий, 1 в глобальные.” – в какое место – в “до правил для приложений” или в “после правил для приложений” и в какое по порядку – в верхнюю часть или “в хвост”
Дальше. Дело в том, что я порубил все системные правила, сделанные программой при установке, – и в глобальных и в низкуровневых
Вопрос как ПОЛНОСТЬЮ (с нуля т.е.) заполнить Системные правила. Может уже есть где-то информация? А если там дописать только ваши правила, а по умолчанию вообще не нужны?
P.S. В it-технологиях я ламер (просто опытный пользователь) – поэтому сорри за скорее всего тупые вопросы :-)
28.04.2010 в 16:12
Дмитрий, после “правил для приложений”, как расписаны так и помещать, в таком же порядке.
“Вопрос как ПОЛНОСТЬЮ (с нуля т.е.) заполнить Системные правила” – включите автообучение и позвольте оутпосту самому создавать правила. Он сам все создаст а вы потом отредактируете и все
28.04.2010 в 17:10
Спасибо! Все вроде работает!