Этот пост, скорее всего заметка для самого себя, ну и плюс для тех кто любит поковыряться в Agnitum Outpost 2009, ибо изначально он слишком до хрена создает ненужных правил, тем самым подвергая вас опасности, особенно актуально если вы сидите с белым айпишником, а не за NAT-ом.
Internet Exproler — доступ в сеть запрещен, из-за дырявости браузера, но если все таки он так необходим, то делаем автоправила и чистим потом до состояния правил по Firefox.
ACS.EXE — агнитумовская тулза, нужна только для обновления, лежит в заблокированных, когда необходимо сделать обновления, доступ приложению разрешается в сеть.
EKRN.EXE — антивирус нод, фильтрует http трафик через себя.
Eset NOD32 Service connection
Где протокол – TCP
Где направление – Входящие
Где локальный порт – 30606
Разрешать
Eset NOD32 Service DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
Allow All Outbound TCP
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт – 0-65535
Разрешать
Firefox по аналогии можно создать правила и для Оперы.
Allow local TCP activity
Где протокол – TCP
Где удаленный адрес — My Computer
Разрешать
Mozilla Firefox HTTPS connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт – HTTPS
Разрешать
Mozilla Firefox HTTP connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — 83,85,88,90
Разрешать
Mozilla Firefox DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
QIP
Allow local TCP activity
Где протокол — TCP
Где направление – Входящие
Где удаленный адрес — My Computer
Разрешать
QIP DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
QIP HTTP connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — 5190
Разрешать
Yazzle – сеософт
Yazzle DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
Allow local TCP activity
Где протокол — TCP
Где направление – Исходящие
Где удаленный адрес — My Computer
Разрешать
FTP менеджер
DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
Allow local TCP activity
Где протокол — TCP
Где направление – Входящие
Где удаленный адрес — My Computer
Разрешать
Исходящее TCP на SSH для WINSCP.EXE
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — SSH
Разрешать
Исходящее TCP на FTP для WINSCP.EXE
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — FTP
Разрешать
Входящее TCP на 1000-5000 с FTPDATA
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — 20
Где локальный порт – 1000-5000
Разрешать
Webmoney
WebMoney DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
WebMoney connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — 2802
Разрешать
WebMoney HTTPS connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — HTTPS
Разрешать
Allow local TCP activity
Где протокол — TCP
Где направление – Входящие
Где удаленный адрес — My Computer
Разрешать
Thunderbird – почта
Allow local TCP activity
Где протокол — TCP
Где удаленный адрес — My Computer
Разрешать
(SSL) Receive mail using Mozilla Thunderbird
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — pop3s
Разрешать
Send mail using Mozilla Thunderbird
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — SMTP
Разрешать
Mozilla Thunderbird HTTPS connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — HTTPS
Разрешать
Mozilla Thunderbird HTTP connection
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт — 83
Разрешать
Mozilla Thunderbird DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
На этом все, больше нет приложений для инета, сам агнитум работает в – «режим блокировки», галочки в Improvenet напротив автоматического создания правил все сняты. DNS служба отключена, так как для каждого приложение прописано свое правило по DNS, таким образом svhost нам не нужен.
Вебконтроль рекомендовал бы настроить следующим образом:
БЛОКИРОВАТЬ — вредоносные объекты на вебстраницах, всплывающие окна, ActiveX, Cookie, Flash и скрытые фреймы.
Насчет Cookie, Flash – на некоторых сайтах они просто необходимы, но для этих сайтов создаем отдельно правило один раз и забываем.
Все конфиги после единой настройки можно сохранить и в дальнейшем не мучиться с настройками.
15.01.2009 в 20:13
и как он с фтп, не тормозит соединение? а то в 2008 так и не смог настроить, сначала отключал каждый раз, потом вобще снес, работать неудобно
16.01.2009 в 01:13
art, проблем нет.
если честно я на 2009 с 4 версии переходил 2 раза, только на 3 раз осилил и добил все правила. геморно там разбирацо по началу ))
19.01.2009 в 01:09
изначально делал правила так же как и в Вашем предыдущем блоге. то есть dns всем блокировал, ымсрщые блокировал, dns службу ваще отключил и каждому приложению прописал Ip адреса для обновдения dns через моего провайдера, которые вычислил по ipconfig.exe/ в блоге выше вы зачем то разрешаете dns для всех, почему? или что то не так понимаю?
19.01.2009 в 02:23
Pavel,в предыдущем посте посвященном настройке агнитума вы имели ввиду.
правило
DNS UDP connection
Где протокол – UDP
Где удаленный адрес – DNSSERVERS
Где удаленный порт – DNS
Разрешать
это и есть правило
DNS Resolution:
Где протокол UDP
и Где удаленный адрес < адреса DNS серверов провайдера>;
и Где удаленный порт 53 (DNS)
Разрешить эти данные
вы выберите DNSSERVERS и увидите снизу айпишники ваших ДНС серверов. в принципе разницы нет, эти правила одинаковые, за исключением того, если вы укажите DNSSERVERS, то при смене айпи адреса у вашего провайдера, не придется править руками все правила ДНС для всех приложений, вот и все. ))
так что DNSSERVERS это оптимально.
кстати у вас соедениние в инет какое? ну adsl, выделенка…
19.01.2009 в 02:27
да, те правила что описаны в
http://streha.ru/2008/03/17/nastrojka-dns-dlya-prilozhenij.html и http://streha.ru/2008/02/20/ubiraem-lishnie-programmy.html
работают и они нужны, а в этом посте просто описаны правила уже для конкретных приложений.
20.01.2009 в 01:04
у меня dsl. да теперь вижу что те и эти правила одинаковы, хотя пользуюсь предыдущими и приходится перебивать IP раз в три-четыре месяца. в принципе многоуровневая защита у меня получается, ведь я еще и за nat спрЯтан.
20.01.2009 в 01:07
кстати к вашему блогу стоит добавить еще кучу приложений, вот у меня виста ваще много чего в инете хочет, почти все проги в игноре лежат у агнитумца. то есть в красной зоне я хотел сказать, только опера + ася + ftp smart + avira/ остальным доступ закрыт. наврено таков перечень должен быть у всех
20.01.2009 в 01:18
Pavel, NAT это вообще милое дело, тогда остается построить стенку, чтоб изнутри ничего не просочилось в сеть.
насчет приложений, не вижу разница виста или хр, у меня тоже списочек красный впечатляет, например –
cmd.exe
dreamweaver
helpctr.exe
helpcvs.exe
media pleer
ну и другие служебные виндовые примочки, они на создавались когда я включаю в обучающем режиме оутпост, потом как вариант можно все это похерить и жить со стандартным набором – браузер, ася, почта, фтп…а всему остальному запретить доступ, ибо не фиг..
20.01.2009 в 01:21
кстати а нод не хотите купить? там вроде акция была три лицензии по цене одной )) конечно антивирус это на любителя ))
22.01.2009 в 02:15
Что то аж точно не нод и пусть даже он будет абсолютнобесплатен – никогда никогда я его не возьму. Расскажу предысторию небольшую….Лет пять сидел на докторе (Др.Веб который) и даже не знал всяких непритностей, доктор был лицензионный – постоянно качал обновления и так далее. Ловил иногда, но почти всегда (а в те времена я был еще на dial-up инете) был “зеленый” свет, что все в порядке… хотя это было не так. тестить стал его, качал специальные поверочные пакеты вирусняков и базы всякие с форумов и так далее… результат не впечатлил. Пересел на НОД. Это было что то… нет прога конечно ретивая и интересная, но увы. проблемы теже. Года 2-3 назад волей судьбы увлекся такой штукой как PINCH3 …может слышали о такой, так вот при малейшем криптовании, даже если твой билд пинча и известен вирустоталу и всем антивирям, нод его уже не видит, с тех пор сижу на Avira PE – так как единственная штука которая тогда не пропустила криптованные пинчи. даже доктор который я спец поставил тогда еще раз – проехал мимо. Пару раз тестил авиру в этом году – нет в прошлом…месяца полтора назад – пакетом вирей из спец скаченной базы. Результат 100%. Пока доволен.
22.01.2009 в 02:18
А вот outpost лицуха – доволен на 200% тем более там ключ на три пк. можно так ваще скинуться, но я сделал себе на дом. комп, спутнице жизни на ноутбук, и матушке на работу. ДОВОЛЕН))
22.01.2009 в 03:03
Pavel про пинч не только слышал, но и видел его в деле, когда его поймали в осле на работе, сумантек тогда там стоял.
насчет антивирей могу сказать одно, они постоянно совершенствуются и 100% панацеи нет, тут можно посоветовать только, что не надо лазить по сайтам варезникам в поисках халявы и разных кряков, тогда шансы подцепить заразу сводятся к нулю.
да и криптованные пинчи не встречаются на каждом углу, это спец софт я бы сказал.
вообще есть мысль, что для “грязного серфинга”, поставить линуху и сидеть в ней, но меня не устраивает там отображение шрифтов в лисе… да и переключаться это тоже гемор, хотя тут скорее всего на любителя.
пока мое имхо, либо серфить из под линукса, либо в винде со связкой программ стенка+антивирь+process exproler+ по возможности сидеть за натом.
24.01.2009 в 00:01
Ну да, переключения это сложно и нуторно. Сам использую такую связку. Win + update + фаервол + анитив. Все на автомате обновляется. и Никаких Варезников и Порно! Обычно винда при таком раскладе держится где то полгода – год. А вирусников за месяц антивир ловит штуку – две максимум. ессно после чео происходит проверка всего диска. Фаер только spy проверка. Нареканий никаких. Хотя все таки иногда нужны серийники. Их ищу, но “сайты с набивкой” сразу выдают себя. Они однообразны. А вот порно, тем более в интернете не увлекает )) Этого добра можно при надобности стрельнуть у друзей, да и то зачем? если есть девушка)))
PS А нат это классно, только вот серый IP не очень много позволяет, точнее немного ограничивает в действиях. Сами знаете.
01.03.2009 в 20:52
Сибиряк, проблемы! Сервис svchost очень важен для обновлений винды. вот сами попробуйте у себя на компьютере. без него никак. если отключить днс и делать все по вашим правилами – обновление не работает, а вот если данный процесс включить обратно, при тех же настроках, то все прекрассно работает.
может быть есть какие то более радикальные решения, нежели отключения данного процесса?
посоветуйте как быть, или как настроить и есть ли какая нибудь по этому поводу информация?
Вижу что при обновлении винды данный процесс рвется по tcp 65.* * * на http порт и входящий аналогично, со своим портом. может как то именно на них его настроить? вобщем попробуйте и подскажите пожалуйста как быть.
Спасибо.
01.03.2009 в 21:14
по умолчанию правила svhost полное гавно, типа синхронизация времени и прочая ерунда.там ничего полезного нет.
если уж так горит обновление виндовса, то просто пропишите правило для svhost с указанием конкретного айпи адреса и порта и разрешайте ему доступ когда необходимо, как например для ACS.EXE — (агнитумовская тулза, нужна только для обновления, лежит в заблокированных, когда необходимо сделать обновления, доступ приложению разрешается в сеть).
порой бывает что нельзя зайти в билинг провайдера, так как там доступ в билинг по порту 7777 закрыт )) поэтому достаточно дописать это правило для браузера и все, биллинг доступен.
02.03.2009 в 01:36
Сделал так, в правилах по умолчанию снял все галки с правил, и установил два 4 новых правила.
1. Svchost
Tcp исходящее на 65.*.*.* (причем прям звезды и прописал) порт Http-83 разрешить.
2. Svchost
Tcp исходящее на 87.*.*.* (причем прям звезды и прописал) порт Https разрешить.
3. Svchost DNS SERVERS UDP разрешить
4. Svchost TCP Domaim разрешаить.
все остальные галки сняты.
правильно ли настроен, защищен ли я?
удалить все остальные правила для приложения или оставить просто выключенными? заметил, что даже когда винда не обновляется свност что то на компе ворошит… и занимается “портами” – по трафику видно исходящий… но маленько совсем, по 80 – 150 байт. куда? – неизвестно.
можно и в системных чтоли бо прописать, что бы он заткнулся совсем, но не парился по поводу обновлений.?
02.03.2009 в 01:59
звездочки убрать, прописать айпишник полностью.
свхост сам по себе всегда горит в системе, советую установить программку http://streha.ru/2008/06/30/process-explorer.html
а вот если идет с него трафик, значит чтото сливает и принимает, как вариант служебную информацию насчет обновлений. Я бы посоветовал после обновления, приложение тупо блокировать. Когда нужно активировать его и все.
4. Svchost TCP Domaim разрешаить – это наверное лишнее.
у меня правила отключены и сам свхост заблокирован. так как временами включаю обучение, для новой программки какой-нить и свхост спешит вылезти в сеть.
03.03.2009 в 01:36
дело в том что IP постоянно изменяется. не знаю что там творят в микрософте, но при нажатии кнопки обновления винды, то сначала он рвется на http 65.248.*.*, и потом соединяется с https 87.178.*.* … вот например сегодня последние две цифры в обоих случаях были разные. и отличались от предыдущих. если прописать полный IP то обновление не работает по “неизвестной причине”. Если же поставить звезды – то все пашет. причем svhchost лезит на эти 65.248.Х.Х подставляя в ХХ разные значения.
насчет блокировать – полезно. но пока думаю над еще каким нибудь решением.
18.03.2009 в 00:04
Сегодня был удивлен, что оутпост надо обновлять вручную (скачивать инсталяху)..пипец.. отписался в техподдержку, буду ждать ответа. это у меня такое или у всех?
при автообновлении обновляется только база сингатур, а модули нет…
18.03.2009 в 13:07
ответ
“К сожалению, на данный момент автоматическое обновление версии программы отключено по внутренним техническим причинам.
Приносим наши извинения за причиненные неудобства.”
так что господа обновляем программу ручками )))
12.04.2009 в 02:04
Скажите пожалуйста можно ли в outpost 2009 создать правило для блокирования сверхдлинных запросов dns как это было в outpost pro 4 версии. Как это сделать?
12.04.2009 в 11:03
Андрей, всмысле сверхдлинных запросов ДНС? у меня до этого стояла 4, не помню там такого. что подразумевается под этими запросами?
13.04.2009 в 03:59
В 4 версии параметры подключаемые модули dns свойства блокировать сверхдлинные dns запросы. Где то в нете прочитал, что это нужная функция для повышения безопасности, а в 2009 версии этого нет.
Просто я в этом не опытный. Многие знания по фаерволу взяты с вашего блога. Вот и подумал, что, возможно вы сможете помочь.
И еще любопытно. Вы писали про то, что вы за NATом.
Будете ли описывать как это сделать.
14.04.2009 в 23:18
Андрей, сейчас я уже не за NAT-ом, провайдер выдал всем белый айпи, так что сканируют все кому не лень.
Nat поднимают либо на модеме в режиме роутера, нужно почитать инструкции к модему, либо пригласить системного администратора, который в этом разбирается, либо провайдер выдает серый айпи и своих пользователей держит за NAt-ом.
14.04.2009 в 23:20
эти знания по фаерфолу собирал по крупицам в интернете, очень рад что они кому-то пригодились.
20.04.2009 в 03:13
Установил Outpost 2008 в связи с проблемой утечки трафика. мой комп постоянно конектится на разные айпи 87.248.ххх.ххх подскажите как создать правило для заперта на весь диапазон и вообще как найти источник этой утечки
20.04.2009 в 12:33
прочитайте, там все правила есть
http://streha.ru/2008/03/17/nastrojka-dns-dlya-prilozhenij.html и http://streha.ru/2008/02/20/ubiraem-lishnie-programmy.html
установите вот эту программку для поиска вируса.
http://streha.ru/2008/06/30/process-explorer.html
если компьютер чистый, то он никуда не конектиться, за исключением “родные сервера днс”, “автообновление программ – антивирус, винда, оутпост”, но это очень редко.
12.05.2009 в 15:18
Не обновляется БД сигнатур. Есть подозрение, что дело в роутере, в котором прикрыт порт для обновления. Но какой именно?
12.05.2009 в 16:30
elbrus,
ACS.EXE — агнитумовская тулза, нужна только для обновления, лежит в заблокированных, когда необходимо сделать обновления, доступ приложению разрешается в сеть.
она у вас разблокирована? вообще какое сообщение вываливается?
25.09.2009 в 14:34
Мож кто бы еще оставил правла. ну допустим под IE, мож еще какие. вообще нашел сдесь то что давно уже искал, жалко что так мало. Автору спасибо!
25.09.2009 в 17:41
xrz, под ИЕ правила такие же как и под фаерфокс. Какие вас правила еще интересуют?
01.12.2009 в 05:43
Помогите,пожалуйста с настройками utorrent,по умолчанию для него открыты все порты,но нужно контролировать.Пока нигде не нашел..
01.12.2009 в 12:25
Виктор, гляну сегодня-завтра и отпишу правила
04.12.2009 в 18:26
Виктор, оставил правила которые создал сам агнитум, вроде все работает. ))
27.12.2009 в 13:35
Здравствуйте! Вот написано: “Где удаленный адрес – DNSSERVERS”. Это как прописать надо? При создании правила можно вписать только цифровые значения тех ДНС, которые выдал провайдер…
Для svchost разрешил только DAYTIME,Time,NTP.
Кстати, с Win7 svchost урезать не получится: создал правила, аналогичные ХР(см. выше), тут же инет отрубился. В режиме обучения увидел, что он ломится на разные IP и 80 и 443 порты, причем указано, что лезет на вполне конкретные сайты, из имени которых можно понять, что там проверяется подлинность и оплата операционки…
27.12.2009 в 13:54
Алекс, выбираем удаленный адрес – макроадрес – из выпадающего списка выбираем DNSSERVERS и жмем добавить.
>Для svchost разрешил только DAYTIME,Time,NTP.
по-моему это лишнее.
про Win7 ничего подсказать не могу, могу только предположить, что сайты в которых происходит аутентификация винды, добавить в исключения и все
27.12.2009 в 20:33
Спасибо, понял!
Давайте рассмотрим две таких ситуации:
1. Разрешая НОДу свободное соединение (Allow All Outbound TCP
Где протокол – TCP
Где направление – Исходящие
Где удаленный порт – 0-65535
Разрешать) получаем, что фаерволл остается не у дел, поскольку весь трафик от любого приложения автоматически пойдет мимо него через НОД. Сам давно как-то включил контроль трафика в НОДе, разрешил 80,443 и почтовые и получил, что приложения, не использующие браузер для доступа(к примеру IE, который у меня включен по умолчанию и запрещен Аутпостом), свободно выходят в сеть через НОДа. По этому поводу общался с техподдержкой ESET, они ответили длинно, мудрено и вежливо, но суть свелась к вот этому :Все правильно ты сказал, да на кой он вообще нужен, тот контроль трафика, если приспичило контролировать всех и вся? Выключи его и всех делов. :)Только не написали, что у меня паранойя ))))
2. Иногда на сайтах вижу баннер с таким содержимым: Вы зашли сюда с такого-то IP(с моего), вы используете Мозиллу такой-то версии и Винду ХР! Иногда даже пишут сборку Винды! Как Вы думаете, где такая дыра в безопасности?
Спасибо.
27.12.2009 в 21:47
Алекс, У вас наверное ESET NOD32 Smart Security?
Так как нод это антивирус, мы ему разрешаем анализировать трафик проходящий через все порты, тем самым мы защищаем себя от вирусов из вне, и прописываем правила для приложений, чтоб трафик шел через нод, кстати в ноде можно сузить кол-во портов, оставить только те что мы используем, но оно в принципе нам и не надо.
А оутпост, защищает систему не только из вне, отражает атаки, но также закрывает все порты для внутренних программ.
Тем самым комплекс, антивирус + стенка = хорошее решение.
>что приложения, не использующие браузер для доступа(к примеру IE, который у меня включен по умолчанию и запрещен Аутпостом), свободно выходят в сеть через НОДа
У меня если приложению запрещен выход в инет через оутпост, то приложение не выйдет в инет, как ты не крутись. Плюс к тому же отключена DNS служба, и без спец правила, вообще не выйти. Но это касается обычного НОДа.
2. Врядли это дыра в безопасности, просто служебная информация, которая собирается ява скриптом.
28.12.2009 в 01:16
“У вас наверное ESET NOD32 Smart Security?”
Нет, антивирус НОД 4 и Аутпост 4. Два брандмауэра, особенно если один из них Аутпост, непременно подерутся)))
05.01.2010 в 07:37
разрешать ли ICMP ? адрес 212.124.2.170 настойчиво обращается к моему компьютеру, фаэрфол блокирует, почитал информацию про данный протокол, разрешать или нет ?
“Протокол передачи команд и сообщений об ошибках (ICMP – internet control message protocol, RFC-792, – 1256) выполняет многие и не только диагностические функции, хотя у рядового пользователя именно этот протокол вызывает раздражение, сообщая об его ошибках или сбоях в сети. Именно этот протокол используется программным обеспечением ЭВМ при взаимодействии друг с другом в рамках идеологии TCP/IP. Осуществление повторной передачи пакета, если предшествующая попытка была неудачной, лежит на TCP или прикладной программе. При пересылке пакетов промежуточные узлы не информируются о возникших проблемах, поэтому ошибка в маршрутной таблице будет восприниматься как неисправность в узле адресата и достоверно диагностироваться не будет. ICMP-протокол сообщает об ошибках в IP-дейтограммах, но не дает информации об ошибках в самих ICMP-сообщениях. icmp использует IP, а IP-протокол должен использовать ICMP. В случае ICMP-фрагментации сообщение об ошибке будет выдано только один раз на дейтограмму, даже если ошибки были в нескольких фрагментах.”
05.01.2010 в 11:25
Lannie, зайдите в настройки-сетевые правила – настройки ICMP и включите “блокировать остальные типы ICMP”, остальное оставьте по умолчанию