Agnitum Outpost Firewall 2 - руководство по настройке и использованию

TDz

Хэллоу подростающие хаксоры. Открою вам огромную тайну – пока вы читаете в Инете доки по уникодбагам и сканированию портов ваши рабочие лошадки(PC) пачками отправляют пакеты данных на разные хосты в Инете. Начиная от стука в МелкоСофт и заканчивая пересылкой e-mail всякими троянами.
Сам я ламак – и абиснять буду соответствующим образом. Но если чего-то не понимаете милости прошу в соответствующие разделы форума. Любую литературу вы найдёте в Варезнике.

Outpost Firewall - это, проще говоря, программа для защиты компьютера от хакерских атак из Интернета (далее стена). Кроме этого стена обеспечивает блокировку рекламы и активного содержимого веб-страниц, а тем самым - и ускорение работы в Интернете. Как это реализуется вы или уже знаете – или скажу просто: стена следить за за всеми движениями в сети – причём в обоих направлениях. Более того – файрволл позволяет не только наблюдать, но и управлять процессом: что можно, что нельзя, куда, от кого и как, в какое время итд итп.

Как любит говорить МелкоМягкий «по дефолту» любая программа может слать в сеть и качать из сети всё что угодно. Но думаю это мало кого устраивает. Вот сегодня и будем практиковаться в закрытии этих самых дверей огнянными стенами.

Не секрет что одной из лучших стен является Agnitum Outpost Firewall – что и объясняет мой выбор. Перед тем как читать дальше советую установить её.
Для этого надо скачать саму стену с http://agnitum.ru/download/OutpostProInstall.exe

С установкой всё просто. Выбирайте Русский язык – английский будет в любом случае. Лично я советую пропустить автоконфигурацию. Перезагружаем машину и запускаем софтину.

Волшебный ключик: ищем в варезнике =))

Плагины :

BlockPost - http://outpostfirewall.com/dmut/blockpost_2003_07_04.exe

WhoEasy - http://www.pcflank.com/whoeasy.exe + ключик 375-8423058

HTTP Log - http://outpostfirewall.com/muchod/httplog.exe

Super Stealth - http://www.outpostfirewall.com/dmut/sstealth_2003_06_03.exe

Traffic Led - http://outpostfirewall.com/muchod/traffled.exe



Если вам показалось что это детская цяця для америкосов – то вы однозначно чего-то не поняли. Эту программу можно назвать передвижным центром управления полётами. В ней есть всё, что нужно чтобы за 10 минут защитить свой комп как от внешнего вторжения возможного противника, так и разобраться со стукачами внутри компьютера. Хто в танке и не понял:


даю некоторые тактико-техничекие характеристики:

- защита компьютера как от вторжения извне, так и от попыток любого ранее проникшего в
компьютер трояна передать сворованные данные;
- есть возможность задать зону доверенных сетевых адресов (IP и/или DNS), - например, локальная
сеть или ее часть
- поддерживается полностью "невидимый" режим - из сети компьютер не будет виден никому;
- осуществляется контроль за файлами, приходящими по e-mail и из UseNet
- есть опция работы в скрытом режиме без загрузки интерфейса;
- запись в лог всех событий и просмотр в реальном времени
- поддерживаются плагины – об этом ниже
- допустимо автоматическое обновление программы – ключ при этом не вылетает

Добавлю еще, что сразу же после инсталляции компьютер будет готов к отражению практически любой сетевой атаки - настройки "по умолчанию" выставлены так, что позволяют воспользоваться Аутпостом даже самому начинающему интернетчику.

Для более продвинутых юзеров программа предлагает следующие возможности:

· полностью контролировать сетевую активность
· реагировать на нездоровый интерес к вашей машине из Интернета;
· гибко настраивать условия срабатывания правил запрета или разрешения деятельности — исходящий адрес и порт, входящий адрес и порт, протокол, время события, направления подключения (входящее или исходящее)… и обрабатывать правила, условия которых выполнились — разрешить подключение, запретить подключение, блокировать, записать в журнал, запустить…

Программа делится на две части: сервис файрвола — в принципе невидимый и неслышимый компонент, который запускается при старте системы, и панель управления, которую мы и рассмотрим ниже. Панель управления запускается отдельно от сервиса файрвола и может быть свободно закрыта и снова открыта.

Сразу после установки программа переходит в режим обучения, о чём свидетельствует вопросительный знак в системном трее. В этом режиме все попытки всех программ подключиться к сети вызывают появление окна выбора. Думаю всё понятно. Поскольку я никому не доверяю полностью остаётся только создать правило.
Итак выбираем третий пункт. Стена автоматически определяет вид программы по имени файла и по роду сетевой активности и ещё бог знает как и подсовывает шаблон настроек. В конце концов помещает программу в «условно разрешённый» список. То есть работать эта программа будет согласно указанным правилам и никак иначе.
Единственное – надо быть очень осторожным со стандартными правилами – например Outpost не даст вашему менеджеру закачек юзать всякие 55555 порты итд итп – тут нужна более тонкая настройка.
Да и вообще советую ничего не передавать на усмотрение софта - так что выбераем «Другие». Сначала выберем условие. Если почтовый клиент настроить проще простого, то с универсальными прогами придёться помучаться. Попробуем настроить FlashFXP.

Выставьте минимум параметров – протокол=FTP, порт 21. Как только вы попробуете приконектиться к напроимер порту 666 – тут же выскочит окно(см. выше) и спросит что делать.

Динамическая фильтрация: если ваша программулина открывает соединение с портом 123 на server.com, то после этого весь входящий трафик с этого самого server.com:123 будет разрешён. Если это вам не надо то включать не стоит.

Если внимательно читать и немного думать уже через пару дней в списке будут правила для всех прог и больше не возникнет проблем с настройкой последних.

Можно пойти и другим путём - перевести Агнитум в режим разрешения(запрета) и явно запрещать то, что нас не интересует(или наоборот) – это только для опытных пользователей !!!!

Перейдём непосредственно к настройке.

По умолчанию стоят правильные настройки и трогать их не стоит, развечто вы хотите вырубить стену – тогда кликните по «не загружать». Разное и Пароль в комментариях полагаю не нуждаются.

Фон нужен если вы всё настроили и не хотите видеть этого поганого значка в трее, слышать этот писк диалоговых окон или если у вас нет лишних 10 метров памяти.

Приложения. Тут видны все программы, которые и контролирует OutPost. Всё поделено на 3 группы: запрещённые – эти не смогут лезть в сеть, те что пользуются вашим безграничным доверием(для меня такой софтиной является только мой старый TheBAT) и пользовательский уровень – это те на которые вы долго и нудно писали права доступа (им можно не всё ). Кнопка – показывает все приложения(программы, dll, системные заморочки) которые использует или могут использовать сеть. И при желании отслеживает изменения. Вам врядли пригодится.

Закладка - системные.
Настройки сети по дефолту сделаны для домашних пользователей (типа рассчитано на прямое подключение к нету само собой) а настройки довольно бедны. Можно добавить свою локалку если есть – но это ПЕРСОНАЛЬНАЯ стена. Если вам нужен мощный и гибкий сетевой файрвол – придётся изменить выбор. ICMP – тут можно выбрать какие пакеты можно принимать и какие отсылать. Протокол этот юзается как правило для посылки сообщений в сети(ошибки, эхо, пинг, маршрутизация…).
Файрвол юзает этот протокол для контроля той самой локалки которой у вас скорее всего нет

Теперь немного о невидимках - здесь выбор небогатый али да али нет. Как правило менять смыла нет. Жмём на бутон Параметры… Тут хранятся абсолютные правила работы(действуют для всех программ) – некоторые преднастроены, некоторые придётся добавить.
Например можете смело разрешить коннекты на любые IP на 21й порт по протоколу FTP и тогда не придётся настраивать правила для каждого клиента отдельно. Или запретите всем прогам использовать ФТП протокол если вы жадный админ маленькой сетки J. Если вы в режиме блокировки, то этот раздел станет любимым.

Теперь валим в политику. Предварительные настройки присутствуют – на любой вкус и цвет. Разрешить – типа все проги делают что хотят – но все действия идут в лог, действуют ваши запреты и работают общие правила безопасности. Да и много чего другого отслеживается тоже. Если совсем просто: можно всё кроме того что нельзя.
Обучение – это то что вы испытали при первом включении. Оптимальный вариант!!!
Блокировать – как разрешить, только наоборот
Запретить – этому начхать на любые правила – он полностью убивает сеть в глазах всех ваших программ. Логии ведёт!
Отключить – файрволл будет сидеть и жрать память но трафик трогать совсем не будет. Нужон чтобы временно приостановить работу стены.

Ну и в конце концов – всеми любимые плугины. Само окно в комментариях не нуждается:
Добавить, удалить, запустить, остановить или настроить плагин. Лучше перейду к самим плугинам. Начнём сверху.
Blockpost – шикарный плугин – ведёт чёрный список хостов. Скажем можете без головной боли добавить туда какойнить IP/DNS на который обращаться совершенно нельзя. Довольно большую базу этих хостов(всякие рекламы, порнобаннеры, антиP2P-организации итд итп) можно импортировать в прогу скачав базу с отсюдова или для более полного удволетворения пробежацца ТУТ. Если вы юзаете P2P – вам эта база. А пользователям из зоны .lv да и любители KaZaa двигают сюда
ВНИМАНИЕ: не забудьте его включить(правый клик на нём –> включить)

Теперь DNS.
Это чудесное творение запоминает все проходящие через фаервол DNS и хранит их в Кеше. Это значит машина не будет тратить время на ресолвинг, что ускоряет ваше сёрфанье в сети. Настройки предельно просты. Я например посещаю сайтов 30-50 постоянно но не очень часто – так что число 100 как раз пришлось по вкусу. Можете оставить так – но если из принципа хотите точно определить: посчитайте сколько DNS вы посещаете постоянно и умножаете на два. Срок хранения: если часто юзаете одни и те же форумы и сайты – можно оставить, если каждый день по 10-20 новых DNS(которые юзаете редко) – ставьте месяц.
ОСТОРОЖНО: если какието сайты переедут и перестанут пахать отключите плугин и попробуйте ещё раз.

Следующий в списке у нас HTTP Log
Этот плагин ведёт лог работы http. В отличии от стандартного лога стены показывает не только первый корневой запрос но и остальные тоже – скажем куда вас заредиректило, откуда подгружаются картинки, flash итд итп. В таком ценности для взлома не представляет.
А если включить режим Verbose из меню правого клика то получим все хттп запросы и полученные ответы.
Думаю эта возможность будет оценена. Собирает следующие данные:

*Дата и время
*Кто делает запрос
*Путь к программе
*Данные и тип запроса/ответа

Это значит мы увидим: УРЛ, запрос, ответ. А если точнее, то:
ACCEPT - что принято, ACCEPT-ENCODING - в какой кодировке, ACCEPT-LANGUAGE - для какого языка(важно для кардеров-вбивщиков чтобы не засветился не тот что надо), COOKIE - имя и содержимое отправленного кукиса, тип коннекта – KeepAlive или нет(важно для прокси) и данные, запросы GET, поле HOST, IF-MODIFIED-SINCE – дата последнего посещения паги, REFERER, USER-AGENT – код вашего бровсера, и много чего ещё. Лёгко копируется и поддаётся форматированию.

Вот так например

CODE
ANSWER ARG         CONTENT-TYPE image/gif

ANSWER ARG         CONNECTION close

ANSWER ARG         CONTENT-LENGTH 15382

ANSWER ARG         ACCEPT-RANGES bytes

ANSWER ARG         ETAG "e6c454-3c16-3f0b4a30"

ANSWER ARG         LAST-MODIFIED Tue, 08 Jul 2003 22:48:16 GMT

ANSWER ARG         SERVER Apache/1.3.27 (Unix)

ANSWER ARG         DATE Wed, 09 Jul 2003 19:53:18 GMT

ANSWER (v1.1)      200 - OK

URL                         http://www.turbodownz.de/logs/*****.***

REQUEST ARG        AUTHORIZATION Basic ****************

REQUEST ARG        CONNECTION Keep-Alive

REQUEST ARG        HOST www.turbodownz.de

REQUEST ARG        USER-AGENT Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)

REQUEST ARG        IF-NONE-MATCH "******-****-******"

REQUEST ARG        ACCEPT-ENCODING gzip, deflate

REQUEST ARG        ACCEPT-LANGUAGE ru

REQUEST ARG        REFERER http://www.turbodownz.de/

REQUEST ARG        ACCEPT */*

REQUEST (v1.1)     GET /logs/1t.gif

ANSWER ARG         TRANSFER-ENCODING chunked

ANSWER ARG         LOCATION http://www.turbodownz.de/logs/

ANSWER (v1.1)      301 - Moved Permanently



Следующий пациент у нас PC Flank WhoEasy. Сначало о настройках – их нет. Вы только можете сказать ему вести или не вести лог запросов.
Всё просто – вводим IP или домен который нас интересует и получаем много нужной инфы. Также позволяет просмотреть оригинальный ответ хуиз-сервера.
Полезнейший плугин для работы в нете.



Добавлено:
Далее рассмотрим SuperStealth – это чудо скрывает ваше наличие в сети(локалке).
Изменяет таблици ARP и никому не даёт ресолвить ваш MAC. Может сгодиться если надо скрыть своё прибывание за машиной от злого админа. А чтобы рубиться в кваку по лану можно добавить MACи друзей в доверенный список – через настройки плугина: для этого просто введите мак и жмите бутон Add…
MAC можно узнать командой ipconfig /all
Если же вы юзаете win98SE.RUS или аналог, то советую вам повеситься на кабеле питания.

Активное содержимое - это типа настроек в ослике ИЕ. Пусть работает плугин. Менять настройки можно при желании – но толь если вы знаете что это даёт – иначе ставьте дефолт. Все настройки доступны из меню правого клика. Что приятно – позволяет создавать настройки для конкретных сайтов – типа хочу блокировать кукисы с гугла и вырезать картинки на porno.com

Детектор атак – защищает вас от атак извне. Настройка происходит в трёх режимах:
-безразличный (пискнет только когда вас уже завалят J - в случае 100% атаки)
-обычный (будет пищать када сканят ваши порты)
-максимальный (к вам ещё не успеют постучать по портам а сирена на весь дом). Режим предстоит выбрать вам – а вот отключать плугин не стоит.
Имеет ли смысл блокировать нападавшего – аналогично. Подсети блокировать не рекомендую. Также не стоит ставить защиту от DoS если вы действительно сервер.

Защита файлов. На самом деле имеется ввиду проверка аттачей на всякие нехорошие вещи и в зависимости от типа приаттаченного файла стена его переименует, запретит или громко закречит мол “низзя, R U sure?”. Решение как всегда за вами. Поскольку большенство современных антивирей это всё делают неплохо мона и выключить. А если никакими антивирями вы не ползуитесъ – как я например – да ещё и вместо Бата юзаете Аутглюк, то настоятельно рекомендую включить этот плагин – настройки и по дефолту пойдут. Реклама - позволяет вырезать баннеры по определённым строкам в хтмл или по размеру. Я в инете живу долго и давно научился баннеры и так не замечать – опять-таки иногда очень толковые баннеры бывают и посмотреть приятно и покликать. Настройки осуществляются следующим образом: можете добавить свои слова или размеры баннеров.
Можно вывести корзину куда вы будете кидать неотфильтрованную рекламу – и через ару дней всё будет в лучшем виде.

Блокировать содержимое есть интересный плугин – запрещает доступ к страничке или целому сайту если увидит на нём ключевые слова. У меня он выключен. Ценность может иметь для родителей желающих ограничить область сёрфа детей. Последний плугин это TrafficLed – это такая небольшая штучка - сидит в трее и показывает ваш трафик – вернее не сам трафик а сколько у вас на аплоаде и сколько на даунлоаде. Из настроек только ширина канала и частота обновления.


Закончили с настройкой – читаем лог. Если вы дочитали до этого места то я вам завидую. Теперь же рекомендую пройти онлайн тест из меню сервиса. И все остальные из меню PC Flanc.
X