Outpost FireWall Pro - защищаемся по-максимуму

[MiraMaX166]

Вы спросите, почему эта тема создана тут, в "Лаборатории Хакера"? Ответ прост, в первую очередь хакер закроет все дыры у себя, а уж потом пойдёт искать их у других...

Но это так... лирическое отступление...

На работе столкнулся с несовершенством функционала и мониторинга у файервола KIS 2010. Поэтому стал искать выход, нашёл - Outpost FireWall Pro... Довольно мощный, функциональный и не требовательный к ресурсам системы файрвол, к тому же прекрасно уживается с KIS 2010.

Скачать (Outpost FireWall Pro 2009 + Вечный ключ + Солюшн по совместной работе с VMWare)

Продолжение следует...

[igorek]

Если можно по подробней пожалуйста о совместимости с KIS 2010.

[MiraMaX166]

Kaspersky Antivirus 2009 и 2010 / Kaspersky Internet Security 2009 и 2010:

Если при совместной работе KAV 2009 и Outpost наблюдается полная блокировка сетевых соединений, необходимо отключить драйвер низкоуровневой фильтрации продукта Лаборатории Касперского следующим образом:
Откройте меню "Пуск > Панель управления > Сеть".
Правой кнопкой мыши щелкните на используемое сетевое соединение и выберите "Свойства".
Снимите галочку с KAV NDIS Filter.
Перезагрузите компьютер.


Примечание: Это действие не является компромиссом с безопасностью, поскольку функции низкоуровневой фильтрации осуществляются соответствующим драйвером Outpost.

Если при совместной работе KAV и Outpost проявляются зависания соединений в браузерах (страницы не открываются или открываются частично), при этом Outpost фиксирует множественные соединения от процесса SYSTEM на порт 19780, то данные соединения устанавливаются KAV в виду его особенностей обработки трафика. Чтобы избежать открытия соединений на порт 19780, выполните следующие действия:
Выключите самозащиту Антивируса Касперский.
Выйдите из программы антивируса.
В реестре в папке [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected \AVP9\profiles\TrafficMonitor\settings] найдите параметр UseKavsend и замените его значение на 1.
Запустите антивирус.
Включите его самозащиту.
Перезагрузите систему.

Примечание: Если параметра UseKavsend нет, его нужно создать (DWORD) при выключенной самозащите антивируса. После этого нужно включить самозащиту антивируса и перезагрузить систему.

После выполнения вышеуказанных действий соединения SYSTEM:19780 более не устанавливаются и соединения в браузере не подвисают.

[MiraMaX166]

Продукты Outpost блокируют транзитные пакеты, не позволяя виртуальным машинам VMWare выйти в сеть Интернет. Для решения проблемы создавайте правила для vmware.exe по умолчанию, которые предложит Outpost, и выполните описанные ниже шаги.

Сначала проверьте, какой режим соединения с рабочим компьютером использует ваша виртуальная машина: bridged mode или NAT:
Откройте Контрольную панель Виртуальной машины (щелкните Edit virtual machine settings).
Щелкните ярлык Hardware.
Выберите Ethernet.
В группе Network Connection будет выбран один из параметров NAT: Used to share the host's IP address. или Bridged: Connected directly to the physical network.

Если вы используете трансляцию адресов (NAT), дополнительных правил в продуктах Outpost создавать не требуется.


В случае bridged mode создайте следующее глобальное правило для разрешения трафика с виртуальной машины:

Для Outpost Firewall Pro (версии до 4.0 включительно) и Outpost Security Suite Pro 2007:
Щелкните Параметры на панели инструментов > Системные.
В группе Глобальные правила и доступ к rawsocket щелкните Правила > Добавить.
В появившемся окне отметьте следующие параметры:

Где локальный адрес (указать адрес виртуальной машины или диапазон используемых адресов (например, 192.168.1.1)
Разрешить

Примечание: Мы не советуем использовать динамические адреса, поскольку в этом случае придется каждый раз создавать новое правило. В подобных случаях мы рекомендуем задавать диапазоны адресов.


Для Outpost Firewall Pro 2008/2009 и Outpost Security Suite Pro 2008/2009:
Щелкните Настройки > Сетевые правила > Системные правила > Низкоуровневые правила.
Щелкните Добавить и создайте следующее правило:

где протокол IP
и тип IP-протокола ICMP, TCP, UDP и где локальный адрес (указать адрес виртуальной машины или диапазон используемых адресов (например, 192.168.1.1)
разрешить

Щелкните OK, чтобы сохранить изменения.

Примечание: Мы не советуем использовать динамические адреса, поскольку в этом случае придется каждый раз создавать новое правило. В подобных случаях рекомендется задавать диапазоны адресов.


Если виртуальная машина получает динамический IP-адрес с помощью протокола DHCP, то для Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008 необходимо создать дополнительные правила:
Щелкните Настройки > Сетевые правила > Системные правила > Низкоуровневые правила.
Щелкните Добавить и создайте следующее правило:

где протокол udp
и где удаленный порт 67, 68, 546, 547
и где локальный порт 67, 68, 546, 547
разрешить

Щелкните OK, чтобы сохранить изменения.

[KoPBuH]

Помогите пожалуйста разобраться.
Система - ХР
Стоит KAV 2009 и Outpost pro 2009
И-нет через локалку.
Вроде настроил всё нормально, но вот эти соединения не пойму откуда!
С чего бы это касперу (или опере) конект ДЕРЖАТь (причём постоянно) с relax.ru, fotoshare.ru и т.д. если активности в опере нет. Нет обновляемых страниц. Разрыв соединения не помогает. Либо исчезает соединение и почти сразу появляется, либо просто продолжает висеть. ((

Я так понимаю, что это банерные конекты? Только почему они постоянны?
А точнее появляются они после выхода из спящего режима.

Если связка KAV и Outpost.
Я так понимаю всем приложениям которым нужна сеть достаточно правил для my_computer и DNS
а все остальные правила создаются для KAV???
Или я что-то упустил!?!?

Научись аттачить изображения! Поправь пост. Для хранения картинок рекомендую photoshare.ru

[MiraMaX166]

Весь траф идёт параллельно через KAV, тут уж никуда не денешься... Поэтому столько соединений.

Могу помочь наглухо отвязать кава от трафика:
В реестре в папке [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected \AVP9\profiles\TrafficMonitor\settings] найдите параметр UseKavsend и замените его значение на 1
Полная инструкция - пост №3 этого топика...

Правила создаются автоматически, причем создаются в основном не полностью, приходится задавать вручную направления соединений и протоколы, порты... Но это после пары дней юзанья не проблема. Самый геморр - это локальная сеть между компами в виртуальной среде VMWare... После этого всё остальное кажется чепухой...

[KoPBuH]

Если весь трафик, то смысл создания правил для приложений?!
Если правило :
"где tcp
где направление исходящие
и удалённый адрес my_computer
разрешить" даёт полную волю приложению через KAV, а блокировка данного правила блокирует всю работу приложения в сети(((((
И самое интересное, что данное правило необходимо для каждого сетевого приложения.


Проверил отключение драйвера "KAV NDIS Filter". Соединения всё-равно идут через каспера. Странно, но факт. Удалил полностью эту службу из сетевого подключения. Таже картина.

P.S. За размещение картинки - прошу прщения, ещё не до конца разобрался со всеми функциями форума.

[MiraMaX166]

Не знаю, все правила касаемо кисы, у меня выставились еще сразу после установки аутпоста. После мне оставалось поправлять и создавать правила приложениям. Так как кав и кис не все протоколы могут корректно контролировать (не говоря уже о портах), то, например, та же опера щеманувшись на неизвестный кисе или каву порт, пропадает из поля зрения и тут уже нужно конкретно передать контроль аутпосту (либо добавлять порт в настройках кисы), создавая и поправляя правила. Иначе дело пойдёт на самотёк и бесхозный процесс может притянуть что-нибудь извне...

[MiraMaX166]

21 февраля вышло долгожданное обновление!
Эксперты в безопасности ПК из компании Agnitum, разработчика антивирусных продуктов Outpost, объявляют о выходе версии 7.5.2 (Performance Edition — версии с улучшенным быстродействием) линейки Outpost Pro, включающей множество значительных улучшений. Новая версия 7.5.2 усиливает защиту ПК от быстро распространяющихся вирусов, шпионского ПО, троянских программ, атак хакеров, руткитов, а также новых и неизвестных угроз.

Выпуск Outpost Pro 7.5.2 включает следующие важные изменения:

• улучшена технология SmartDecision для простого принятия решений по инцидентам безопасности (с подсветкой оповещений Проактивной защиты «цветами светофора»);
• антивирусный механизм обновлен до версии 5.4.1 (внутренний индекс) с улучшенным обнаружением вредоносного ПО в упакованных исполняемых файлах и поддержкой обнаружения «на лету» Java-архивов (JAR) и приложений для мобильной ОС Android;
• полноценная поддержка сканирования и интерфейса с национальными символами в кодировке Unicode;
• повышенные стабильность и производительность, наследуемые от версии 7.5 — Performance Edition;
• улучшение уровня самозащиты продукта от вредоносных программ, пытающихся взять ПК под контроль, отключив защитное решение;
• многочисленные улучшения отображения графической оболочки программы;
• корректная фильтрация нежелательной почты переработанным модулем «Анти-спам»

Полный список изменений

Что нового в версии 7.5.2:

• Осуществлен переход на более стабильную библиотеку Microsoft C++ Runtime (влияет на отсутствие проблем в установке и стабильном функционировании продукта)
• Обновлена библиотека визуализации пользовательского интерфейса (окна программы отображаются теперь быстрее и беспроблемнее)

Проактивная защита:

• Модуль «Защита системы» защищает больше системных объектов и критических мест системы (повысилась защита от новых угроз и утечки данных)

Антивирус + Антишпион:

• Добавлена возможность распаковки архивов с Unicode-символами в названии
• Добавлена возможность сортировки карантина по полям «объект» и «тип»
• Добавлена поддержка проверки на лету форматов упаковщиков файлов Java-архивов (JAR) и приложений для ОС Android
• Начата дополнительная классификация программ из «серых» списков («grayware»)

Что улучшено:

• Улучшена самозащита (устранена возможность выгрузки процесса GUI вредоносной программой)

Антивирус + Антишпион:

• Улучшен интерфейс окна процесса восстановления из карантина
• Улучшено сканирование архивов

Следующие проблемы исправлены:

• Устранены известные падения (более 10)
• Устранены обнаруженные утечки памяти
• Устранена проблема сброса языка при установке поверх продукта с другим языком

Антивирус + Антишпион:

• Устранены возможные проблемы с обновлением баз модуля «Антишпион»
• Устранен возможный пропуск вредоносных объектов при включенной технологии SmartScan
• Устранение проблем обнаружения вредоносных программ в архивах UPX
• Устранение проблемы обнаружения при контекстном сканировании
• Устранение проблемы невозможности сохранения файлов карантина на subst диски

Проактивная защита:

• Доработана технология Smart Decision с целью уменьшения числа ложных срабатываний
• Устранена возможность предложения правил предустановок и возможность автоматического создания правил для подозрительных и потенциально опасных приложений

Веб-контроль:

• Устранены ошибки в подсчете заблокированных сайтов в главном окне

Интерфейс:

• Устранены визуальные артефакты в мониторах сетевой активности и активности процессов
• Устранена проблема смещения строк в окне списка модуля «Защита приложений»
• Устранены визуальные артефакты в журналах

В целом, сказать могу одно: "Редко, но метко". Целых семь месяцев агнитум рожала обновление... Изначально у них даже зародилась в мозгу больная идея выпустить сразу новую версию - 7.7, но пораскинув мозгами (в разные стороны) решили оставить всё как есть... Да, перелопачено было не мало и продукт получился шустрым и более производительным, но пользователи привыкли видеть в новых версиях новый интерфейс, рюшечки, фенечки и няшечки, а тут куда не глянь до боли знакомые виды (кроме "светофора")...
Брали бы пример с ЛК, те стабильно раз в год клепают новый скин, ковырнут ядро (иногда, правда бывает, что ковырнут не там где нужно и продукт начинает вести себя как полный неадекват со стволом в руке, поэтому весь год судорожно клепают баг-фиксы) и бац - нью вёршн... Но ребята из агнитума либо чесные до мозга костей, либо обманывать народ им религия не позволяет... Впрочем на конечных пользователях это всегда сказывалось положительно - отточенные продукты, саппорт на высоте...

[dqod]

А с KIS2012 не ругаются?