Иванов Юрий
Похоже на попытку DoS-атаки. Открыл справку Аутпоста и.... точно: он так назвал одну из попыток DoS-атак
Ничего страшного в этом нет: он (Аутпост) всё зарубил. Тем более, что ни система ни ребутнулась ни сервисы, наверное, тоже не остановились?

Иванов Юрий
Если у тебя динамический ip, то можешь забыть об этом, если постоянный - имеет смысл заблокировать ip с которого шла атака.

Уязвимость:
Решение: В outpost.ini нужно поменять вот эти значения:
HideIcmpActivity=yes
HideIpActivity=yes
взято с _http://www.securitylab.ru/45212.html

enf0rcer
говорили уже. на предыдущей странице
хотя, как говорится, повторенье - мать ученья

sorry не заметил.

Есть проблемы с Outpost'ом, посетите неофициальный русский форум Agnitum Outpost Firewall

На этом форуме бывают разработчики Outpost'a :yees:

Всем доброго.
У меня с аутпостом случается такая проблема. Первое время работает все отлично, пакеты блокирует, предупреждает. Проходит время, и этот аутпост начинает жрать 30-40% от моего проца. Для меня это очень неприемлимо и решаю проблему только полной переустановкой файрволла.

Может дело в журнале, который он ведет?

Или в чем нибудь еще?

в outpost.ini попробуй установить
HideIcmpActivity=yes
HideIpActivity=yes

Такая проблема - использую Аутпост с версии 2.0 ... Сейчас стоит 2.1 последний билд. Так вот... Все стоит практически по умолчанию.. Включены фильтры Реклама\ДНС\Attack Detection.. Также настроены правила для каждого приложения. НО! Возникает проблема с доступом к моему компьютеру из сети. То, что стоит на шарах(share) - люди зайти могут, но ОЧЕНЬ медленно... Буквально открывается 1-2 минуты. При отключении Аутпоста - все ок. Сеть - 100МБит .. Комп - не совсем уж слабый - AthlonXP 1700+@2200+ ... Есть идеи? Помогите плз, а то люди жалуются, а без файра нельзя - то вирусы, то любители тестировать эксплойты и т.д. :(

dk
Возможно. Хотя, вполне вероятно, что просто много всего у тебя с сетью работает. Вот от и грузит так проц: разгребает кучу соединений и решает что можно, а что нет.

RTX
Не похоже, чтобы это было целенаправленной DoS-атакой. А если бы она была, то Аутпост бы просто вылетел.

mrac
Что журнал пишет? Есть ли в нём что-нить интересное?
В настройках сети разрешал NETBIOS-соединения той сети, из которой пытаются получить доступ люди?

Уже второй день обнаруживается сканирование порта ТСР 445. Можно его как-нибудь прикрыть и чем это чревато? И еще, можно узнать кто это делает (адрес, провайдер)?

djon72
Создай правило, запрещающее входящие на 445 порт по TCP протоколу. Этот порт любят вирусы атаковать

В журнале рыться практически бессмысленно... Больше 100 компов в сети, постоянно идут сканы\атаки с зараженны машин\пинги\ и тд и тп.. В таком ворохе не найти ни черта :\ Раньше, в версии 2.0, когда не было нормальной очистки журнала, за неделю он становился 300-400 Мб. Хотя может и есть смысл, но где копать? :confused: Нетбиос естественно разрешен - без него вообще бы никто на шару не залез.. Мне кажется, что надо искать ответ в Параметры\Системные\ICMP или Параметры\Системные\Общие правила
Но не знаю, что там что обозначает (вообще, в сетях разбираюсь не очень сильно).. Общие правила настраивал по документу (был здесь линк в предыдущих постах на Secure Configuration). Сеть у нас состоит из адресов 192.168.1.хх, и еще есть 192.168.2.хх (т.е. у меня ip 192.168.1.16 и 192.168.2.16, т.к. во втором сегменте (192.168.2.221) находится сервер с VPN доступом в инет)

Спасибо! Так и сделаю. Если не ошибаюсь, этот порт нужно закрыть для каждого приложения в Оутпосте, не зависимо от его вида?

djon72
параметры - системные - в самом низу "общие правила", кн. "Параметры".
там - Добавить - где протокол - TCP; где направление - входящее; где локальный порт - 445. Действие - блокировать.
и задвигаешь в самый верх
это общие правила Аутпост отрабатывает сперва их, а потом уже начинает с приложениями разбираться

Gerasim
Почему сразу вирусы? По большей части сканирование 445'ого порта - это либо поиска шаров либо попытка атаки службы lsass.exe
А эту службу может атаковать и не обязательно вирус!

mrac
Вполне возможно, что так тормозит из-за постоянных записей в журнал.

Interceptor
Я не говорю что сразу вирусы, я говорю, любят они этот порт, по мне этого достаточно, что бы закрыть его первым делом, что и Мелкософт кстати советует делать. Я при переустановке винды первым делом отрубаю драйвер NetBIOS через TCP/IP, не службу, а именно драйвер, который держит этот порт открытым и закрываю 445 порт стенкой до кучи, чтобы какая нибудь зараза типа Sasser его не открыла

Помогите разобраться: при работе Firewall-a не работают java script на страницах. Приходиться каждый раз вырубать аутпост что бы заработал скрипт. Как быть?

SlavUser
Посмотри в Интерактивные элементы->Свойства Вкладка Web-страницы. Убедись, что здесь не отрублены Java и javascripts

SlavUser
Залезь в параметры плагина "Интерактивные элементы", там можно разрешить java script для всех сайтов, или только для тех, которые добавишь в исключения

Спасибо. Но в том и дело что у меня везде стои "Enabled", и поэтому я и хочу узнать что за трабл такой. Вроде все настроено как нужно, а не работает так как надо.

Кто-нибудь знает как отключить журнал Аутпоста? Всё перерыл - не найду как это сделать.

SlavUser
Посмотри в журнале интерактивных элементов: какие-нибудь записи там есть?

Я знаю
 

Переименуй op_data.dll и перезагрузи Outpost.

??
 

Блина кажись уже так потел с этой прогой, что бл...потерял 5-кг..
Так конечно все ок! Знаю там всякиек примочки-фишки,, но мне кажетса что все-таки прога сама ,,сырая,,
Новичок

Новичок
С чего вдруг такие подозрения?

Новичок
Эта "сырая" прога лидер в своём классе, да и в чём, собственно, ты усмотрел "сырость"?

Новичок
а руководство пользователя почитать, а форум почитать, а на форум поддержки сходить, а вопрос по делу задать? :mad:

Неправильное правило
 

Всегда при переустановке виндомс я ставил оутпост и использовал заранее сохраненные более года назад настройки. Но при последней переустановке виндомс на той неделе я поставил оутпост версии 2.1.303.4009 (314) с настройками по умолчанию. И при первом же коннекте в и-нет обнаружил туеву-хучу UDP ответов от DNS серверов, которые должны были нормально отрабатываться правилами по умолчанию. После нескольких миную нажатия на "Allow once", я решил разобраться и нашел правило "DNS Service" для программы svchost.exe следующего содержания:
---
Where the protocol is UDP
and Where the local port is DNS
Allow it
---
что меня сразу насторожило, ведь 53 порт открыт не у меня, а на сервере и сделав небольшое преобразования правило получило следующий вид:
---
Where the protocol is UDP
and Where the remote port is DNS
Allow it
---
и как ни странно все заработало.
п.с. выше описаноое относится к версии 2.1.303.4009 (314), и на более ранних (всей ветке 2.1.*) не проверялось.

Народ, вопрос ко всем. Я уже ранее задавал вопрос о сканировании 445 порта. Мнения разделились на два: либо глючит оутпост на определенном провайдере (адресе), либо действительно сканируется порт. Первый случай рассматривался http://www.imho.ws/showthread.php?t=...hlight=outpost. У кого-нибудь возникали такие проблемы? Виноват ли в этом действительно оутпост?

djon72
Я так думаю, что Аутпост всё верно видит: он просто не даёт службам отвечать (направлять ответные пакеты в сеть) и только принимает входящие пакеты на порты. От сюда он и видит, что порты пытаются просканить

Interceptor
Вот и я так думаю. Оутпост поставил 15 мая и все было нормально. И вдруг с 4 июня как вбесился. Так что дело не в нем.

djon72
Наверное, просто массовые сканы на шары и дыры в винде. Я так понимаю, у тебя Win2000\XP. Верно?

Недавно тоже был подобный глюк. Тоже переставил систему, поставил Outpost со старыми настройками. Вылез в инет и обнаружил, что все DNS запросы отображаются не как исходящие на удаленный порт 53, а наоборот, как входящие на _локальный_ порт 53. Я знаю, что такого не должно быть, попробовал минут двадцать разные варианты, но все-таки разрешил такие соединения. Все стало нормально, а через некоторое время и вообще стало так, как и должно быть - исходящие на удаленный порт 53. По ходу, глюк небольшой случился :-)

Interceptor
Да (ХР). Вот только у другого провайдера этого нет. Крупных у нас только двое.

djon72
Всё понятно. Знаю я эту фишку: просто один пров не даёт сканить свою сеть на некоторые порты - рубит пакеты в капусту, оберегая своих клиентов. Попробуй сам просканить свою или чужую сеть - увидишь, что ни одного компа с открытым 445 портом не найдёшь - пров все пакеты зарубит!

REBYATA u menay na samom verxu gde napisanno Agnitum Otpust firewaal i Konfiguraciya ... vot mejdu etimi dvumya v napisanno (Service Mode) chto eto? pochemu tak napisanno?

У меня тоже самое
 

А что здесь удивительного? Service Mode - режим обслуживания.

TAK i daljno bit?Nu mayevo druga etovo ne pisanno tak kak pravilneye?

А у меня WinMe и тоже постоянные атаки!

caramba
Это не атаки! Сканирование - это сбор информации, а не атака!!! К тому же, спешу тебе доложить, что 445'й порт по дефолту открыть тока у WinNT-ОСей! Так что можешь не бояться