Предисловие

Следующие советы и примеры, описанные в данном руководстве, сделаны с целью, помочь пользователям Agnitum Outpost Personal Firewall обеспечить более безопасную конфигурацию брандмауэра. Данное руководство описывает более детальные настройки конфигурации, с упором на ограничение исходящего трафика. С увеличением количества программ, пытающихся вызвать скрытый и несанкционированный пользователем исходящий трафик, а также постоянное увеличение в сети Интернет большого количества вредоносных программ, стремящихся разными путями маскировать свою сетевую активность под санкционированный трафик, большое значение принимает более жесткая политика брандмауэра, как для исходящего, так и для входящего сетевого трафика по любым из сетевых интерфейсов компьютера.
Перед принятием и внесением каких-либо изменений в настройки программы, следует предварительно прочитать встроенную справку к программе, а также Руководство пользователя Agnitum Outpost Personal Firewall в формате pdf. Более подробную информацию можно найти на официальном сайте Agnitum http://www.agnitum.com или http://www.agnitum.ru
Необходимо помнить, что, многие настройки взаимосвязаны, поэтому изменение одних настроек должно соответствовать изменению других. Например, в случае с изменением адресов IP DNS-серверов Вашего провайдера, у Вас могут возникнуть некоторые трудности и другие непредсказуемые изменения работы самой программы.
Цель приведенных здесь рекомендаций - повысить общую безопасность системы в целом, несмотря на некоторые сложности настроек для пользователя. Каждый из этапов данного руководства подразумевает под собой кропотливую работу в плане любых изменений настроек конфигурации.
В некоторых случаях, шаги, предпринятые и описанные здесь, могут не дать ожидаемого результата из-за топологии построения локальной сети, тонкостей и методов подключения, а также требований Вашего провайдера по сетевым настройкам для обеспечения канала связи. Поэтому, настоятельно рекомендуем не вносить сразу кардинальные изменения в настройки и конфигурацию программы, а тщательно и детально тестировать работу брандмауэра на каждом из этапов внесений изменений в систему. Много информации о работе брандмауэра Вы сможете получить из Журнала событий Agnitum Outpost Personal Firewall.

Обращаем Ваше внимание, что, это Руководство написано не службой технической поддержки компании Agnitum и является неофициальным. Любые проблемы, вызванные изменением официально рекомендуемых компанией Agnitum настроек конфигурации Agnitum Outpost Personal Firewall, ложатся на самого пользователя. Компания Agnitum не несет никакой ответственности за любое неофициально рекомендуемое изменение настроек конфигурации Agnitum Outpost.
Данное Руководство (опубликованное с личного разрешения автора - участника англоязычного форума и бета-тестера данной программы, известного на многих форумах, как Paranoid2000) является переводом статьи "A guide to Producing a Secure Configuration for Outpost" (http://www.outpostfirewall.com/forum...ead.php?t=9858), которая находится на англоязычном форуме Agnitum Outpost Personal Firewall
Согласно условиям личного договора с автором, приведенный здесь перевод Руководства может иметь какие-либо дополнения, поправки или отступления от оригинала, но, с другой стороны, мы стремились выражать основную мысль и точные пошаговые рекомендации, советы и инструкции Paranoid2000 по изменению настроек конфигурации Agnitum Outpost Personal Firewall.
Предупреждение для пользователей Agnitum Outpost Free.
Настройки, описанные в этом руководстве, не проверялись на программном продукте Agnitum Outpost Free. Соответственно, некоторые разделы (например, секция D) не могут быть применены полностью (поскольку системные правила могут быть выключены, но не могут быть изменены в Outpost Free), в то время как другие (например, Контроль компонентов) являются новыми функциями в Agnitum Outpost Personal Firewall v.2. Тем не менее, чтобы заметно улучшить безопасность системы многие из пунктов руководства все же следует применить.


A - Настройки сети LAN

(Параметры/Системные/Настройки сети/Параметры)
Преимущества: Благодаря ограничению привилегированного доступа к вашему компьютеру, увеличивает безопасность.
Недостатки: Для настройки и установки требуется большой объем работы, особенно для больших LAN.
В этом разделе уточняется, какие диапазоны IP адресов могут быть занесены в "Доверенные". Вообще говоря, с точки зрения безопасности, лучше прописывать сюда меньший диапазон адресов. И необходимо помнить, что даже блокированные приложения или другие системные правила могут взаимодействовать с сетями/узлами с уровнем доступа "Доверенные" (См. на английском языке статью "Порядок рассмотрения приоритетов в Outpost" Outpost Rules Processing Order FAQ thread (http://www.outpostfirewall.com/forum...&threadid=8394) ).
Для компьютера, не имеющего локальной сети, ничего проставлять здесь не нужно вообще. Также уберите галочку с опции "Находить новые настройки сети автоматически", чтобы брандмауэр не мог автоматически находить и разрешать диапазоны/узлы без ведома пользователя.
Сетевые адреса в этом разделе добавляются в следующих ситуациях:
- Компьютер в локальной сети (LAN) в которой есть файлы или принтеры, к которым Вы хотите получить доступ в Windows;
- Компьютер в локальной сети, который должен быть доступен сетевым приложениям, если это не может быть достигнуто применением правил для приложений.
- Общий доступ к подключению Интернет - Internet Connection Sharing (ICS). Заметим, что на узловом компьютере (шлюзе) в некоторых случаях (в зависимости от настроек сети и ее топологии) могут быть вписаны IP адреса каждого ICS клиента как Доверенные адреса (либо галочка NetBios). Делается это для предотвращения возникновения непредвиденных ситуаций, когда сеть может внезапно блокироваться по многим причинам. (Более подробно на английском языке "LAN and DNS settings for V2" (http://www.outpostfirewall.com/forum...&threadid=7338))
В любом случае, сетевые настройки по умолчанию, которые предлагает Outpost, чрезмерно обширны и избыточны, так как предполагается, что все адреса вашей сети будут внесены в список.
Инструкции:

  • Отключите "Находить новые настройки сети автоматически", чтобы быть уверенным в том, что Outpost не добавит новые сети/узлы в список. Заметьте, что в таком случае если будет устанавливаться новая сетевая карта, то новые адреса надо будет вводить вручную, если эта опция была отключена.
  • Добавьте адреса для каждого PC индивидуально (адрес должен потом появиться с маской 255.255.255.255). Интернет адреса никогда не следует вносить в этот список.
  • Для совместного доступа к файлам и принтерам поставьте галочку "NetBIOS" напротив компьютеров в списке.
  • Для работы сетевых приложений поставьте галочку на "Доверенные" напротив компьютеров в списке.
Если у Вас довольно большая сеть LAN, внесение в список каждого компьютера непрактично и долго. В этом случае можно использовать альтернативный путь решения проблемы, например блокировку ненужных адресов в пределах диапазона, с использованием плагина Blockpost (Blockpost, в отличие от Outpost позволяет назначить произвольный диапазон IP адресов.)
Учтите, что LAN активность может быть воспринята как атака модулем "Детектор атак". Если у Вас есть подобные проблемы (особенно с мастерами обозревателя и контроллерами домена в сети Windows), обратитесь к секции G4 за подробностями конфигурирования плагина.


B - ICMP Фильтрация

(Параметры/Системные/ICMP/Параметры)
ICMP (протокол управления сообщениями Интернет) - один из протоколов Интернет, используемый для передачи сообщений диагностики и ошибок. Для подробной информации обратитесь к RFC 792 - Internet Control Message Protocol.
Установки по умолчанию:
- Проверка способности компьютеров обмениваться информацией, используя команду Ping (Echo Request Out and Echo Reply In - Исходящий эхо-запрос и входящий эхо-ответ) - входящий Ping будет блокироваться, чтобы скрыть присутствие Вашего компьютера в сети;
- Сообщения, показывающие, что адрес в Интернет недоступен (Destination Unreachable In and Out);
- Сообщения, показывающие, что адрес в Интернет недосягаем (Time Exceeded for a Datagram In - превышено время датаграммы) - это используется для команды Tracert. Попытки входящей трассировки будут блокироваться, чтобы скрыть ваш компьютер в сети.
Этих установок по умолчанию должно быть достаточно для большинства пользователей. Однако, разрешение исходящих пакетов "Destination Unreachable - Получатель недоступен" может быть причиной того, что ваша система будет обнаружена некоторыми типами сканирований (большинство которых все же будут блокированы Outpost), поэтому блокирование этого ответа в дальнейшем способствует уменьшению вероятности видимости вашей системы в Интернет.
Преимущества: Скрытие вашей системы от попыток сканирований, которые может пропустить Outpost.
Недостатки: "Получатель недоступен" посылается вполне легальным образом в некоторых случаях (например, в связи с медленными DNS ответами), которые будут выглядеть как блокировка. Могут быть задержки и таймауты для некоторых сетевых приложений (таких как peer-to-peer), когда они пытаются установить сетевые соединения с вашей системой.
Инструкции:

  • Снять галочку в строке "Получатель недоступен"(3) столбца "Из".
Если на вашем компьютере установлен сервер, Вам может понадобиться сделать систему видимой для команд Ping и Tracert. Некоторым провайдерам (ISPs) необходимо, чтобы Ваша система была видимой для Ping'а, чтобы обнаруживать ее присутствие в сети.
Преимущества: Разрешает другим проверять способность и эффективность связи с вашим сервером. Может быть необходимо некоторым провайдерам.
Недостатки: Подвергает вашу систему возможности DOS-атаки (Denial-of-Service - отказ в обслуживании).

Инструкции:

  • Поставьте галочки "Эхо-ответ(0)" "Из" и "Эхо-запрос(8)""В" чтобы разрешить ответы на Ping.
  • Поставьте галочки "Получатель недоступен(3)" "Из" и "Для датаграммы превышено время ожидания(11)" "Из", чтобы разрешить ответ на Tracert.
Альтернативные инструкции:
Инструкции, описанные выше, разрешают Ping и Tracert с любого адреса. Вместо этого можно использовать системное правило, разрешающее ICMP только с доверенных адресов. Но это правило разрешит все типы ICMP сообщений с этих адресов, несмотря на правило Outpost касающееся ICMP настроек. Однако, если специфические адреса известны, это может оказаться более предпочтительным.
В этом случае создайте новое системное правило со следующими параметрами (Параметры - Системные - Общие правила - Параметры):
Название: Allow Trusted ICMP
Где протокол IP и IP-протокол ICMP
И где Удаленный адрес <введите здесь доверенный адрес>
Разрешить эти данные
Заметьте, что указывать направление здесь не нужно, так как необходимо чтобы был разрешен как входящий, так и исходящий трафик.


C - Режим работы

(Параметры/Системные/Режим работы)
Этот пункт по умолчанию установлен в "Режим невидимости". Изменять его не рекомендуется.


D - Системные/общие правила

(Параметры/Системные/Общие правила/Параметры)


D1 - Указание адресов DNS серверов

DNS (Domain Name System - Система доменных имен) - это метод, с помощью которого IP адреса сопоставляются доменным именам (например, имя outpostfirewall.com имеет IP адрес 216.12.219.12). Полное описание доступно в документе RFC 1034 - Domain names - concepts and facilities.
Для того чтобы обеспечивать IP адресацию, необходимую для связи с сайтами, DNS трафик должен быть разрешен брандмауэром, но некоторые "Трояны" и leaktest'ы пытаются маскировать свой трафик под DNS запросы. Однако, ограничивая доступ только на DNS-сервера провайдера, этот трафик можно эффективно блокировать. Есть два варианта сделать это:
(a). "Global DNS" - Добавление адреса DNS-сервера провайдера в системные правила.
Преимущества: Обеспечивает преимущества, описанные выше, минимальными средствами.
Недостатки: Если у Вас несколько провайдеров, должны быть указаны адреса всех их DNS серверов.
Если Вы меняете провайдера или провайдер меняет адреса своих DNS серверов, в этом правиле соответственно должны быть изменены адреса. Если у вас есть приложение или сетевое окружение, которые используют итеративные (не рекурсивные) DNS запросы, это правило может вызвать непредвиденные проблемы и не должно быть использовано.
(Хотя согласно RFC 1034/RFC 1035, resolver и сам может делать итеративные запросы, Windows обычно делает рекурсивные запросы, а итеративные обычно делаются DNS серверами, как описано http://www.windowsitlibrary.com/Content/386/12/3.html )
Инструкции:

  • Определите IP адрес DNS серверов вашего провайдера. Самый простой способ, это дать команду ipconfig -all в DOS окне или командной строке. (Адреса DNS серверов должны быть где-то в конце) или (для Windows 9x/ME/XP) использовать кнопку "Пуск"/Выполнить и напечатать winipcfg для утилиты с графическим интерфейсом, которая покажет ту же информацию.
  • Добавить эти адреса в правило "Allow DNS Resolving" как удаленные адреса.
Пользователи Windows 2000/XP также должны добавить эти адреса в правила приложений для services.exe/svchost.exe соответственно (более подробно в секции E2).
(b). "Application DNS" - DNS для приложений.
Удаление системного правила, касающегося DNS, добавление DNS правила для каждого приложения.
Преимущества: Новые приложения теперь будут нуждаться в двух правилах (DNS правило, плюс обычное правило), тем самым это уменьшит риск случайно предоставить доступ подозрительным программам. Злонамеренные программы, пытающиеся создать несанкционированное пользователем скрытое подключение, теперь встретят дополнительное препятствие, пытаясь получить необходимые IP адреса. Они могут быть сбиты с толку, полагая, что сетевое соединение недоступно и находиться в "спячке", до тех пор, пока оно не появится. Троянские программы, которые используют только DNS протокол, не имея возможности воспользоваться системным правилом, будут теперь нуждаться в специальном правиле. Это единственный вариант, который позволит блокировать DNShell leaktest (http://www.klake.org/~jt/dnshell/) и аналогичные эксплоиты.
Недостатки: Требуется большой объем работы, ведь для каждого приложения нужно будет создавать дополнительное правило. А смена провайдера потребует изменения всех этих правил, в соответствии с новыми DNS адресами.
Инструкции:

  • Для Windows 2000/ XP отключите службу DNS-клиент (Пуск/ Настройка/ Панель управления/ Администрирование/ Службы). Это заставит приложения выполнять собственные DNS запросы, вместо того, чтобы делегировать их services.exe (Win2000) или svchost.exe (WinXP).
  • Отключите или удалите системное правило "Allow DNS Resolving".
  • Для каждого приложения добавить новое правило со следующими параметрами:
<Приложение> DNS Resolution:
Где протокол UDP
и Где удаленный адрес <адреса DNS серверов провайдера>
и Где удаленный порт 53
Разрешить эти данные
Создание правил может быть упрощено введением этого правила в предустановки. Чтобы сделать это, отключитесь от сети, выключите Outpost (выход с остановкой сервиса), откройте файл preset.lst (находящийся в программной папке Outpost) и сделайте следующие дополнения в конце файла:
; Application DNS Resolution

[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: <IP адреса DNS серверов провайдера через запятую>
AllowIt
После этого, когда в режиме обучения появится окно с предложением создать правила (предполагается, что вы хотите разрешить трафик), просто выберите предустановку "Application DNS Resolution". Обратите внимание, что в этом случае в настройках приложений Параметры/Приложения IP адреса будут сопровождаться маской (255.255.255.255). Это подразумевает диапазон IP адресов, который функционально идентичен одному адресу. Функцию Автоматического обновления Outpost следует отключить, так как ваши изменения в файле preset.lst могут быть потеряны при обновлении. Сохраните копию этого файла в другую папку, запустите обновления вручную, потом, если необходимо восстановите модифицированный файл.
В заключение, соображения, касающиеся обоих DNS вариантов.
Какой бы, из описанных выше, вариант вы ни выбрали, существуют некоторые особенности относительно DNS запросов, использующих TCP (Transport Control Protocol) по отношению к UDP (User Datagram Protocol). TCP применяется редко и обычно для сложных запросов (если ответ больше 512 байт, или в случае AXFR-запроса). На практике их вполне можно запретить.
Поэтому следует добавить новое системное правило:
Block DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
Если Вы все же предпочтете разрешить TCP DNS, тогда либо измените это правило на "Разрешить" в системных (Global DNS), либо, в дополнение к уже созданным UDP DNS правилам для приложений, создайте еще по одному DNS правилу для каждого приложения, соответственно указывая протокол TCP вместо UDP (Application DNS).
Сообщение о возможной троянской DNS активности.
Любые DNS запросы на другие IP адреса, кроме адресов провайдера, должны рассматриваться как подозрительные и не должны разрешаться без детального исследования (можно использовать ipconfig /all, чтобы проверить, не изменились ли адреса DNS серверов провайдера и не нужно ли изменить DNS правила).
Чтобы решить, необходимы ли изменения, если используете системные правила "Global DNS", добавьте следующие системные правила ПОСЛЕ других DNS правил (второе правило нужно, только если разрешены TCP DNS):
Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
Эти правила помогут выявить и блокировать любые попытки несанкционированного доступа. Но их не рекомендуется применять для правил приложений "Application DNS", так как разрешенные адреса DNS серверов должны быть исключены из этих правил, чтобы избежать ложного срабатывания тревоги (например, когда приложение, для которого не создано правил, создает запрос). Можно было бы использовать диапазон IP адресов, но из-за неадекватной обработки Outpost'ом IP диапазона это невозможно.


D2 - Введение адреса DHCP сервера

DHCP (Dynamic Host Configuration Protocol) - метод, используемый большинством провайдеров для назначения временных IP-адресов пользователям. Так как DHCP трафик должен быть разрешен для связи с провайдером, то для троянских программ появляется возможность передавать данные и не быть обнаруженными. Так же, передача огромного количества DHCP запросов на определенный адрес может быть использована для DoS атак. (Более подробно о DHCP RFC 2131 - Dynamic Host Configuration Protocol)
Если ваша система имеет фиксированные IP адреса (либо в локальной сети, либо при использовании маршрутизатора, который назначает динамические адреса), этот раздел может быть пропущен. Чтобы проверить используется DHCP или нет, дайте команду ipconfig /all - если DHCP используется, будет соответствующая запись об аренде. Ограничение DHCP для определенного сервера несколько сложнее, чем в случае с DNS, потому что Outpost, не всегда правильно определяет направление DHCP трафика (отчасти из-за использования UDP, отчасти из-за изменения в IP адресе). Поэтому рекомендуемое правило использует скорее ограничение на локальные и удаленные порты, чем на направление. К тому же, первый запрос посылается широковещательно на адрес 255.255.255.255 (он должен достигнуть всех машин в локальной сети), так как при подключении не существует другого способа узнать адрес DHCP сервера. Дальнейшие DHCP запросы (чтобы обновить аренду адреса) будут адресованы напрямую серверу. Пользователи Windows 2000/XP могут ограничить DHCP разрешением только широковещательного запроса в системных правилах и использование правил для приложений для других запросов (services.exe для Windows 2000, svchost.exe для Windows XP). Об этом более детально в секции E2.
Преимущества: Предотвращает злоупотребление использования DHCP трафика.
Недостатки: Если у вас несколько провайдеров, нужно вводить адреса для каждого из них. При смене провайдеров это правило нужно обновлять. Для некоторых провайдеров нужно делать несколько записей, особенно если они имеют большую сеть с несколькими точками входа.
Инструкции:

  • Определите IP адрес DHCP сервера, используя ipconfig -all or winipcfg, как описано выше в настройках DNS. Обычно его адрес не совпадает с адресами DNS серверов.
  • Для Windows 9x/ME создайте системное правило:
Allow DHCP Request:
Где протокол UDP
и Где удаленный адрес <адрес сервера провайдера>,255.255.255.255
и Где удаленный порт BOOTPS
и Где локальный порт BOOTPC
Разрешить эти данные
  • Для Windows 2000/XP системное правило:
Allow DHCP Broadcast:
Где протокол UDP
и Где удаленный адрес 255.255.255.255
и где удаленный порт BOOTPS
и где локальный порт BOOTPC
Разрешить эти данные
Так как адрес DHCP сервера может измениться, то, если наблюдаются проблемы с обновлением аренды IP адреса, рекомендуется попытаться отключить в правиле пункт "Удаленный адрес". Потом, после получения аренды IP адреса, перед повторным включением этого пункта, проверить и обновить (если необходимо) адрес DHCP сервера. DHCP сервера не склонны менять сети, поэтому при использовании обобщающего адреса (к примеру, 192.168.2.*) можно эффективно уменьшить такую проблему с изменением адреса.


D3 - Отключение правила "Allow Loopback"

Системное правило "Allow Loopback", включенное в настройках по умолчанию, представляет значительную угрозу безопасности для пользователей, использующих прокси-сервера (такие программы, как AnalogX Proxy, Proxomitron, WebWasher и некоторые anti-spam/anti-virus). Так как это правило разрешает использовать прокси любому приложению, для которого специально не заблокирован доступ в Интернет. Отключение или удаление этого правила исключает эту возможность.
Преимущества: Предотвращает возможность уязвимости правил прокси сервера "не доверенными" приложениями.
Недостатки: Каждое приложение, использующее прокси (например, web обозреватель с Proxomitron и т.д.) будет нуждаться в дополнительном правиле, разрешающем доступ к прокси (рекомендаций Rules Wizard - Мастера настроек будет достаточно в большинстве случаев).
Инструкции:

  • Убрать галочку напротив системного правила "Allow Loopback" в Параметры/Системные/Общие правила/Параметры.


D4 - Отключение неиспользуемых системных правил

Некоторые системные правила могут быть не нужны вашей системе и поэтому могут быть отключены.
Например:
- Allow Inbound Authentication - это простой и ненадежный, поэтому редко применяемый метод установления инициатора сетевого соединения. Если же этот метод применяется, то отключение этого правила может вызвать задержку при подключении к некоторым e-mail серверам.
- Allow GRE Protocol, Allow PPTP control connection - оба протокола применяются в VPN - Virtual Private Networks, использующих протокол туннелирования Точка-Точка. Если у Вас нет VPN, они могут быть отключены.

Преимущества: Уменьшает вероятность злонамеренного использования этих протоколов и уязвимостей в них.
Недостатки: блокирование входящей аутентификации "Allow Inbound Authentication" может привести к задержкам в получении почты (в этом случае включите это правило, введя в пункт "Удаленный адрес" адрес e-mail сервера).

Инструкции:

  • Удалите галочку напротив соответствующего правила в Параметры/Системные/Общие правила/Параметры.


D5 - Блокирование неиспользуемых и неизвестных протоколов

Системные правила могут быть установлены для IP (Internet Protocol) так же, как для TCP и UDP протоколов. Протокол IP имеет много типов и все их рекомендуется заблокировать, за исключением:
- ICMP (1) - связан с ICMP настройками.
- IGMP (2) - используется для многоадресной передачи (например, потоковое видео) Если используется, то блокировать не надо.
- ESP (50) и AH (51) - может понадобиться для IPSec в VPN.

Корпоративным пользователям следует быть аккуратными с настройкой этого списка - некоторые типы могут быть необходимы для маршрутизации в сети.
Рекомендуется так же установить системное правило, чтобы запретить неизвестные протоколы (которые могут включать такие как IPX или NetBEUI)
Преимущества: Уменьшает вероятность злонамеренного использования этих протоколов и уязвимостей в них.
Недостатки: Из-за способа, которым Outpost обрабатывает правила, эти изменения могут значительно увеличить количество обрабатываемых операций, особенно для тех, кто использует программы file-sharing или работает в оживленной LAN.
Инструкции:
  • Для неиспользуемых протоколов.
    • Параметры/Системные/Общие правила/Параметры.
    • Нажать "Добавить" чтобы создать новое правило.
    • Протокол IP/ ОК.
    • Нажать ссылку "Не определено"
    • Поставить галочки напротив каждого неиспользуемого протокола/ ОК.
    • Блокировать эти данные
    • Дать название, например Unused Protocols
  • Для неизвестных протоколов.
    • Параметры/Системные/Общие правила/Параметры.
    • Нажать "Добавить", чтобы создать новое правило.
    • Протокол "Неизвестно"
    • Блокировать эти данные
    • Дать название, например Unknown Protocols


E - Правила для приложений

(Параметры/Приложения)


E1 - Удалите все приложения из группы "Доверенные"

Даже когда приложение имеет сетевое соединение в сети Интернет с легальными целями, разрешать ему все, в большинстве случаев неразумно. Некоторые приложения могут запрашивать больше соединений, чем нужно (забивая канал), другие могут реализовывать функцию "звонок домой" (несанкционированное пользователем скрытое соединение), передавая частные сведения. Чтобы обезопасить систему, переведите приложения из группы "Доверенные" в группу "Пользовательский уровень" и установите правила, как рекомендуется ниже.


E2 - Настройка Пользовательского уровня

Механизм автоматической настройки Outpost создает правила по умолчанию для всех программ, которые ему известны. Однако эти правила по умолчанию создаются с целью простоты использования и поэтому могут быть скорректированы. Однако решение о том, какой именно доступ разрешить конкретному приложению, является, безусловно, наиболее трудной задачей конфигурирования firewall, зависящей от индивидуальных настроек и предпочтений.
Если применяются рекомендации "Application DNS" описанные в пункте (b) секции D1, каждое приложение нуждается в своем правиле DNS в дополнение к правилам, описанным ниже.
Дополнение:
Учтите, что правила для приложений имеют больший приоритет перед системными/общими правилами, при условии, что системное/общее правило не помечено как правило с "высоким приоритетом" и "игнорировать контроль компонентов" - для v2.5 и выше; (Paranoid2000 заверил, что позже подкорректирует порядок рассмотрения правил для v2.5. и выше - прим. http://forum.five.mhost.ru ).
Замечания по использованию доменных имен в правилах
Когда доменное имя вводят в графу "локальный адрес" или "удаленный адрес", Outpost немедленно сопоставит соответствующий ему IP адрес (и для этого потребует DNS доступ). Если в дальнейшем домен поменяет адрес, правило не будет обновлено автоматически. Доменное имя должно быть введено заново. Учтите эту особенность, если правило для приложений или системное правило перестанет работать.
Некоторые домены могут иметь несколько IP адресов. Outpost будет искать все эти адреса, когда правило создается через Параметры/Приложения и не будет, если правило создается с помощью подсказок Rules Wizard - Мастера настроек. Поэтому, когда правило создается с помощью Rules Wizard, введите заново доменное имя через Параметры/Приложения, чтобы обеспечить сопоставление всех IP адресов.


Svchost.exe

(только для системы Windows XP) Svchost.exe - не простой случай. Он требует различные сетевые доступы для выполнения базовых сетевых задач. Но предоставление ему полного доступа сделает систему уязвимой для RPC эксплоитов, таких червей как Blaster и Welchia/Nachi. Поэтому создание соответствующих правил для этого приложения имеет решающее значение.
Allow DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
и Где удаленный адрес <DNS сервера провайдера>
Разрешить эти данные

Allow DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
и Где удаленный адрес <DNS сервера провайдера>
Разрешить эти данные

Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

- Подробнее о DNS правилах - в секции D1. Эти правила для svchost.exe нужны только в том случае, если Служба Windows "DNS Client" не отключена, тогда svchost.exe будет делать DNS запросы.
- Подробнее относительно второго правила, разрешающего TCP DNS в конце секции D1.
- Так как некоторые трояны пытаются маскировать свой трафик под DNS, рекомендуется любые попытки связи с другими серверами, кроме серверов провайдера, рассматривать как подозрительные. Если это легальные попытки (например, провайдер поменял адрес DNS сервера и разрешающее правило нуждается в обновлении), то при появлении сообщения и потери связи с сетью следует проверить журнал в разделе "История Заблокированных", чтобы разобраться в причине.
Block Incoming SSDP:
Где протокол UDP
и Где локальный порт 1900
Блокировать эти данные

Block Outgoing SSDP:
Где протокол UDP
и Где удаленный порт 1900
Блокировать эти данные
- Эти правила блокируют Simple Service Discovery Protocol (SSDP), который используется для поиска Universal Plug and Play (UPnP) устройств в локальной сети. Так как UPnP имеет много проблем с безопасностью, лучше отключить SSDP, если только он вам не нужен. Если же нужен, то измените правило в разрешенное. Если в конце добавлено правило "Block Other UDP", это должно ограничить SSDP в соответствии с представленными советами.
Block Incoming UPnP:
Где протокол TCP
и Где направление Входящее
и где локальный порт 5000
Блокировать эти данные

Block Outgoing UPnP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 5000
Блокировать эти данные
- Эти правила блокируют пакеты UPnP в соответствии с правилами для SSDP, описанными выше. Если Вы уверены в том, что нужно UPnP (например, для NAT Traversal) измените их в разрешенные, но добавьте IP адреса UPnP устройств как удаленные адреса, чтобы ограничить диапазон. Если в конце добавлено правило "Block Other TCP", это должно ограничить UPnP в соответствии с представленными советами.
Block RPC (TCP):
Где протокол TCP
и Где направление Входящее
и Где локальный порт 135
Блокировать эти данные

Block RPC (UDP):
Где протокол UDP
и Где локальный порт 135
Блокировать эти данные
- Это копия системного правила по умолчанию для блокирования RPC/DCOM трафика. Поэтому оно не является абсолютно необходимым, но может рассматриваться как дополнительное средство безопасности. Если необходим доступ RPC/DCOM измените эти правила на разрешенные, но только доверенным удаленным адресам.
Allow DHCP Request:
Где протокол UDP
и Где удаленный адрес <адрес DHCP сервера провайдера>
и Где удаленный порт BOOTPS
и Где локальный порт BOOTPC
Разрешить эти данные
- Подробнее о DHCP правилах в секции D2 (Заметьте, что данное правило не является необходимым, если используется статический IP адрес). Здесь правило нужно потому, что svchost.exe отвечает за связь с DHCP, а системные DHCP правила не будут работать, если в конце будет правило "Block Other TCP/UDP".
Allow Help Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80, 443
Разрешить эти данные
- Для Windows Help может понадобиться Web доступ для некоторых целей. Если Вы не намереваетесь использовать Help (или не желаете, чтобы Микрософт знал, когда и что Вы...), то уберите это правило.
Allow Time Synchronisation:
Где протокол UDP
и Где удаленный порт 123
и Где удаленный адрес time.windows.com, time.nist.gov
Разрешить эти данные
- Используется для синхронизации времени. Правило нужно только в том случае, если Вы используете эту функцию Windows XP.
Block Other TCP Traffic:
Где протокол TCP
и Где направление Исходящее
Блокировать эти данные

Block Other TCP Traffic:
Где протокол TCP
и Где направление Входящее
Блокировать эти данные

Block Other UDP Traffic:
Где протокол UDP
Блокировать эти данные
- Поместите эти правила последними в списке. Это предотвратит появление многочисленных всплывающих окон Rules Wizard для неопределенных сервисов. Любые дополнительные правила в дальнейшем должны быть помещены перед этими правилами.
Бизнес-пользователи могут обратиться к Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System (http://support.microsoft.com/default...b;en-us;832017) Там подробнее о портах, которые могут понадобиться при создании правил для системных служб.
Services.exe

<b>(только для системы Windows 2000) Allow DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
и Где удаленный адрес <адреса DNS серверов провайдера>
Разрешить эти данные

Allow DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
и Где удаленный адрес <адреса DNS серверов провайдера>
Разрешить эти данные

Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
- DNS правила более подробно описаны в секции D1. Эти правила для Services.exe нужны только в том случае, если Служба DNS Client не отключена, тогда Services.exe будет делать DNS запросы.
- Относительно второго правила, разрешающего TCP DNS в конце секции D1.
- Так же как и правила для svchost, описанные выше, правила "Possible Trojan" сообщают о попытках доступа на другие адреса DNS.

Allow DHCP Request:
Где протокол UDP
и Где удаленный адрес <адрес DHCP сервера провайдера>
и Где удаленный порт BOOTPS
и Где локальный порт BOOTPC
Разрешить эти данные
- подробнее о DHCP правилах в секции D2 (Заметьте, что данное правило не является необходимым, если используется статический IP адрес). Это правило нужно для Services.exe по тем же причинам, что и для svchost.exe.
Block Other TCP Traffic:
Где протокол TCP
и Где направление Исходящее
Блокировать эти данные

Block Other TCP Traffic:
Где протокол TCP
и Где направление Входящее
Блокировать эти данные

Block Other UDP Traffic:
Где протокол UDP
Блокировать эти данные
- Поместите эти правила ПОСЛЕДНИМИ в списке. Это предотвратит появление многочисленных всплывающих окон Rules Wizard для неопределенных сервисов. Любые дополнительные правила в дальнейшем должны быть помещены перед этими правилами.
Как и в случае с svchost.exe выше, бизнес-пользователи могут обратиться к Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System (http://support.microsoft.com/default...b;en-us;832017) для более подробной информации о портах, которые могут понадобиться системным службам.


Outpost и обновления

За исключением DNS, Outpost версии 2.0 не нуждается в дополнительных Интернет доступах. Outpost версии 2.1 и более поздних может загружать новости и информацию о плагинах с серверов Agnitum. Чтобы разрешить это:
Allow Outpost News and Plugin Info:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80
и Где удаленный адрес www.agnitum.com
Разрешить эти данные
Такое же правило может быть использовано для обновления:
Allow Agnitum Update:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80
и Где удаленный адрес www.agnitum.com
Разрешить эти данные


Web-браузеры

(Internet Explorer, Netscape/Mozilla, Opera, и т.д.) Утилиты автоконфигурации и предустановки предоставляют широкий диапазон разрешений браузерам. Для большинства пользователей он может быть сужен:
Allow Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80
Разрешить эти данные

Allow Secure Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 443
Разрешить эти данные
- Эти правила разрешают стандартный (HTTP) и безопасный (HTTPS) web-доступ. Однако, если используется прокси и Вы желаете, чтобы весь трафик гарантированно проходил через него (особенно важно для работы с анонимными прокси), измените эти правила на блокирующие. Учтите, что прокси может потребовать создания отдельных правил (конкретные настройки зависят от прокси, поэтому здесь не приводятся).
Allow Alternate Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 8000, 8010, 8080
Разрешить эти данные
- Некоторые Web сайты могут потребовать соединения с другим удаленным портом (например, 8080 - это должно быть видно по URL http://domain.com:8080). Рекомендуется такие правила добавлять только для тех сайтов, которые не могут функционировать без этих соединений.
Allow File Transfers:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 21
Разрешить эти данные
- Это правило разрешает передачу файлов по протоколу FTP. Так же, как и в случае с Web доступом, предлагается изменить это правило на запрещающее, если Вы хотите, чтобы весь сетевой трафик шел через прокси.
Передача файлов обычно требует дополнительных соединений - они будут автоматически разрешены Outpost'ом благодаря включению Динамической фильтрации (FAQ о Stateful Inspection на английском языке (http://www.outpostfirewall.com/forum...&threadid=7443)) Если браузер может работать с email, newsgroup и/или Instant Messaging, добавьте соответствующие правила, как описано ниже для email клиентов.


Email клиенты

(Outlook, Eudora, Thunderbird, и т.д.) Два протокола (отсюда и два правила) могут использоваться при получении почты, в то время как для передачи используется один протокол.
Есть один простой метод создать соответствующее правило - получите и отправьте почту, когда Outpost находится в режиме обучения. Используйте опцию "Создать правило на основе стандартного" во всплывающем окне, которое возникнет при работе email клиента. После этого отредактируйте правила "Параметры/Приложения" и введите ИМЯ email сервера. Это позволит найти и ввести в правило все IP адреса для почтового сервера имеющего несколько IP адресов (с помощью всплывающего окна Rules Wizard определяется только один IP адрес).
Read Email via POP3:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 110, 995
и Где удаленный адрес <имя POP3 email сервера>
Разрешить эти данные
- Это правило применяется для получения почты по протоколу POP3 (Post Office Protocol), который используется в большинстве случаев. Правило разрешает и открытый (порт 110) и безопасный (порт 995) доступ. Имена email серверов можно узнать из конфигурации почтовой программы - некоторые провайдеры имеют один и тот же сервер для отправки и получения почты, в то время как другие могут использовать разные сервера для каждого протокола.
Read Email via IMAP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 143, 993
и Где удаленный адрес <имя IMAP email сервера>
Разрешить эти данные
- Это правило применяется для получения почты с использованием IMAP (Internet Message Access Protocol) и может применяться вместе или вместо правила для POP3, описанного выше. Это зависит от почтового клиента. Правило разрешает и открытый (порт 143) и безопасный (порт993) доступ.
Send Email via SMTP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 25, 465
и Где удаленный адрес <имя SMTP mail сервера>
Разрешить эти данные
- Это правило для отправки почты по протоколу SMTP (Simple Mail Transfer Protocol) разрешает открытый (порт 25) и безопасный (порт 465) доступ. Учитывая большое количество вирусов, пытающихся распространятся по почте и попыток спаммеров захватить уязвимые компьютеры для рассылки почтового мусора, настоятельно рекомендуется ограничиться только email сервером вашего провайдера. Адреса можно взять у провайдера.
Block Web Links:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80
Блокировать эти данные
- Это правило запрещает email клиенту закачивать какие-либо ссылки из писем HTML формата. Дело в том, что часто спаммеры применяют этот метод для того, чтобы определить что письмо прочитано (значит ваш почтовый адрес "живой"). Это правило затронет и легальные письма, но оно обычно удалит лишь рисунки со страницы и не затронет текст (рисунки во вложениях так же не пострадают). - Если Вы хотите смотреть рисунки в определенных письмах, создайте правило разрешающее доступ к доменам, откуда могут открываться ссылки и поставьте его перед этим запрещающим правилом. - Не используйте это правило, если для чтения писем Вы используете браузер, так как оно заблокирует и нормальный Web доступ.
Если у вас есть антивирус, который работает совместно с почтовым клиентом, как прокси-сервер, то для почтового клиента, вместо правил, описанных выше, понадобится только одно правило (для доступа к антивирусному прокси):
Email Antivirus Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный адрес 127.0.0.1
Разрешить эти данные

Дополнение: В этом случае для антивируса (в Параметры/Приложения) надо будет создать (или отредактировать уже существующие) правила:

Inbound loopback:
Где протокол TCP
и Где направление Входящее
и Где удаленный адрес 127.0.0.1
Разрешить эти данные
  • и правила на исходящие соединения для доступа к почтовым серверам (такие, как описанно выше для
email клиента):
    • Если получаете почту по протоколу POP3
Read Email via POP3:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 110, 995
и Где удаленный адрес <имя POP3 email сервера>
Разрешить эти данные
    • Если получаете почту по протоколу IMAP
Read Email via IMAP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 143, 993
и Где удаленный адрес <имя IMAP email сервера>
Разрешить эти данные
    • Для отправки почты по протоколу SMTP
Send Email via SMTP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 25, 465
и Где удаленный адрес <имя SMTP mail сервера>
Разрешить эти данные
конец дополнения




Download Managers

(GetRight, NetAnts, Go!Zilla, Download Accelerator, и т.д.) Специальное примечание: многие качалки или ускорители содержат рекламные модули, которые, кроме того, могут отслеживать вашу деятельность. Если это ваш случай, то или поставьте другую программу, которая этого не делает или создайте правило, запрещающее ей доступ домой, или на другой, используемый для этих целей сайт, и поставьте это правило первым. Чтобы определить какой сайт использует программа, откройте окно Сетевая активность.
Allow File Transfer:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 21
Разрешить эти данные
Дополнение: и включить Динамическую фильтрацию
- Это правило разрешает стандартную передачу файлов по протоколу FTP. Так же как для Web браузера, измените его на запрещающее, если хотите передачу файлов вести через прокси.
Allow Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80
Разрешить эти данные
- Многие даунлодеры используют HTTP протокол.
Newsgroup Readers - программы для чтения новостей (Forte Agent, Gravity, и т.п.) Они используют NNTP (Network News Transfer Protocol). Описание в RFC 997 - Network News Transfer Protocol
Allow Usenet Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 119
Разрешить эти данные
- Правило нужно для нормального доступа к группам новостей.
Allow secure Usenet Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 563
Разрешить эти данные
- Правило для безопасного доступа к новостным группам, если это поддерживается провайдером или третьей стороной.


IRC

Internet Relay Chat (mIRC, ViRC, etc) IRC применяется при онлайн общении с другими людьми, также как DCC (Direct Client-to-Client) протокол используется для приема и передачи файлов. Подробнее RFC 1459 - Internet Relay Chat Protocol
Специальное примечание: Будьте осторожны с файлами, полученными через IRC, так как злонамеренные личности могут легко распространять вирусы или Трояны и т.п. Посмотрите IRC Security (http://www.irchelp.org/irchelp/security/).
Allow IRC Chat:
Где протокол TCP
и Где направлении Исходящее
и Где удаленный порт 6667
Разрешить эти данные
- Правило нужно для IRC клиента.
Allow IRC Ident:
Где протокол TCP
и Где направление Входящее
и Где локальный порт 113
Разрешить эти данные
- Правило может быть нужно для соединения с некоторыми IRC серверами, которые используют Ident/Auth протокол для аутентификации вашего соединения. В этом случае добавьте это правило.
Receive Files with IRC DCC:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 1024-65535
Разрешить эти данные
Send Files with IRC DCC:
Где протокол TCP
и Где направление Входящее
и Где локальный порт 1024-65535
Разрешить эти данные
- Если применяются эти два DDC правила, рекомендуется держать их отключенными, до тех пор, пока они не понадобятся для прямого соединения. Если захотите передать или принять файлы, включите соответствующее правило на необходимое время и потом опять отключите.
- Согласно DCC, принимающая сторона инициирует соединение, поэтому, чтобы передать файл ваша система должна получить запрос. Если Вы используете NAT маршрутизатор, то вам нужно будет его сконфигурировать таким образом, чтобы пропускать такие запросы.
- Так как DCC выбирает случайный порт, диапазон портов не может быть значительно ограничен (хотя и может быть сужен для некоторых клиентов). Вместо этого, чтобы как-то ограничить, попробуйте определить адрес другого клиента и добавить его как удаленный адрес в правило.
- В DCC обмене, происходящим между вашей системой и другим участником, сервер IRC не используется, поэтому опция Stateful Packet Inspection не может быть использована.



E3 - Контроль Компонентов

Рекомендуется установить в режим "Максимум", однако в результате будет периодически появляться всплывающее окно. Если это происходит слишком часто без веских причин, попробуйте удалить файлы modules.ini и modules.0 из программной папки Outpost, чтобы просканировать компоненты заново. (Дополнение. Для поздних версий Outpost вместо удаления файлов можно пересобрать базу данных - Параметры/Приложения/Компоненты/Редактировать/Пересобрать базу данных)
Понижение уровня до "Нормального" уменьшит количество всплывающих окон, но в результате могут быть пропущены некоторые leaktest.


F - Политики Outpost

(Параметры/Политики) Рекомендуется применять Режим обучения или Режим блокировки. В большинстве случаев Режим обучения предпочтителен, так как он будет предлагать создать правило для любого неопределенного трафика.
Однако, если набор правил уже создан и дальнейшие изменения нежелательны, должен применяться Режим блокировки. Этот режим так же следует применять, когда производится онлайн сканирование, чтобы избежать надоедливых всплывающих окон, с предложениями создать правило.
G - Настройки плагинов

(Параметры/Подключаемые модули)

G1 - Интерактивные элементы

В случае если другие программы не используются для фильтрации Web содержимого, для всех параметров рекомендуется установить значения "Запрещено" и разрешать их только для определенных сайтов. За исключением параметра Referers (который может вызвать трудности с некоторыми сайтами) и, для Outpost 2.1, параметра Анимированные GIF (неважного с точки зрения безопасности). Все это будет препятствовать сайтам изменять конфигурацию браузера (например, подмену стартовой страницы или Закладок/Избранного) или пытаться инсталлировать ненужное (или даже злонамеренное) ПО без ведома пользователя, в скрытом для него режиме. Такая тактика в основном применяется для ограничения порнографических сайтов, сайтов азартных игр, сайтов крякеров, но нередко и сайтов недобросовестных компаний, ведущих такую линию. Подробнее Adware and Under-Wear - The Definitive Guide на (http://www.sitepoint.com/avantgo/article.php?aid=888) английском языке.
Однако не всем сайтам понравится такая политика и, если возникнут проблемы, можно сделать более мягкие настройки. Для таких сайтов лучше создать свои правила и разрешать нужные параметры уже в них, так как глобальное (общее для всех) разрешение параметров позволит и другим сайтам, в особенности рекламным, запускать нежелательное активное содержимое.
В зависимости от признаков, описанных ниже, и деталей журнала в разделе "Интерактивные элементы" разрешайте нижеследующие параметры и обновляйте страницу (в некоторых случаях может даже понадобиться очистить кэш браузера перед обновлением. Альтернативно многие браузеры позволяют выполнить полное обновление страницы нажатием Shift+Обновить).
Преимущества: Увеличивает безопасность, препятствуя сайтам инсталлировать программы, менять установки без ведома пользователя и отслеживать его действия с помощью cookies.
Недостатки: Многие сайты не смогут функционировать в полной мере, другие не смогут совсем. Несмотря на то, что в основном Интерактивные элементы необязательны, некоторые сайты будут требовать их разрешения в своих установках. Эти настройки могут отнять много времени.

Cookies
Если сайт "забывает" информацию, которую Вы вводили на его страницах, например login/password не сохраняется или корзина остается пуста, когда вы выбираете товары для покупки.
Сценарии Java
Если нажатие кнопок не вызывает никакого эффекта, или вызывает обновление текущей страницы вместо открытия новой.
Сценарии VB/Всплывающие окна (Outpost 2.1 и позже)
Если, несмотря на разрешения Сценариев Java, нажатие кнопок все еще не вызывает никакого эффекта и в логах появляются соответствующие записи о блокировании.
Внешние объекты
Если необходимые элементы страницы заменены [EXT]
G2 - Реклама

Настоятельно рекомендуется добавить список AGNIS (http://outpostfirewall.com/forum/showthread.php?t=7875) в фильтр рекламы. Этот список включает известные spyware, malware и рекламные сайты и может, даже в отсутствии контроля интерактивных элементов, обеспечить хорошую защиту от известных злоупотреблений. Из-за обширности этого списка существует вероятность, что желательное содержимое также не пройдет через фильтр. В этом случае следует проверить журнал для распознания используемых ключевых слов (или размера). А уже потом или удалить их из списка, или добавить Web сайт в список исключений - это отменит рекламную фильтрацию для этого сайта.
Преимущества: Удаление рекламы повысит скорость загрузки и уменьшит загроможденность страниц. Сайты, известные как устанавливающие злонамеренные программы, будут блокированы.
Недостатки: Может быть блокировано желательное содержимое. Многие сайты, надеющиеся на рекламный заработок могут не выжить, если все будут блокировать их рекламу.
Инструкции:

  • Загрузите список AGNIS со ссылки данной выше. Если требуется - распакуйте.
  • Если желаете дополнить список, используйте Notepad и поместите свои записи в конце файла ag-ads.ctl (или ag-lite.ctl если используете версию Lite). Можно предложить, сохранять пользовательские записи в отдельном файле, чтобы облегчить обновления.
  • Правый клик на заголовке "Реклама" в левом окне Outpost. Параметры.
  • Кликните на иконке под надписью "Показать рекламную корзину". Появится диалоговое окно "Открыть".
  • Выберите ag-ads.ctl/ag-lite.ctl файл.


G3 - Фильтрация почтовых вложений

Кроме того, чтобы держать этот модуль включенным, нет никаких других рекомендаций, разве что не забывать сканировать полученные файлы на предмет вирусов и троянов.
G4 - Детектор атак

Рекомендуемый уровень здесь будет зависеть от того, используется ли firewall на внешнем маршрутизаторе. В этом случае большое количество "фонового шума" от сканеров и автоматических атак будет отфильтровано внешним firewall, а о тех сетевых пакетах, которые достигнут Outpost и будут блокированы Детекторм атак, будет сообщение.
Уровень тревоги:
  • Максимум
Оповещать при обнаружении атаки (Outpost v2.1. и выше):
  • Включите, если используется еще один (внешний) firewall.
  • Иначе - отключите, чтобы избежать слишком частых сообщений.
Блокировать IP адрес атакующего:
  • Включите, если подвергаетесь постоянным атакам. Используйте эту опцию осторожно, так как в результате может заблокироваться и легальный трафик.
DoS атаки:
  • Включите, если находитесь в сети LAN.
Игнорирование атаки с доверенных хостов.
Существует вероятность, что Детектор атак неверно воспримет повторяющиеся попытки соединения за атаку. Это может быть с Browse Master и Domain Controller в локальной сети, которые периодически соединяются со всеми другими компьютерами. Чтобы избежать этого, или выключите Детектор атак или подкорректируйте файл protect.lst (при выключенном Outpost и сети).
Преимущества: Текущие сетевые соединения не будут приняты за атаки, а поэтому не будут блокированы.
Недостатки: О реальных атаках с этих машин больше не будет сообщаться, они не будут определяться и блокироваться. Требуется дополнительная осторожность и внимательность для сохранения безопасности системы.
Инструкции:

  • В конце файла protect.lst должна быть секция <IgnoreHosts>. Добавьте IP адреса доверенных хостов как показано в примере для адресов 192.168.0.3 и 192.168.0.10. Сохраните копию измененного файла, чтобы предохранить его от изменения при обновлении (рекомендуется отключить автоматическое обновление).
# <IgnoreHosts>
#
# 192.168.3.0/255.255.255.0 #Local Network
#
# </IgnoreHosts>

<IgnoreHosts>
#
192.168.0.3/255.255.255.255
192.168.0.10/255.255.255.255
</IgnoreHosts>
Дополнение:
Данный вариант с правкой файла protect.lst применяется до v2.7. Для пользователей v2.7 и позже - есть альтернативный вариант. Детектор Атак/Дополнительно/Исключения/Узлы (прим. - http://forum.five.mhost.ru )




G5 - Содержимое

Нет рекомендаций.




G6 - DNS

Нет рекомендаций.


G7 - Blockpost

Неофициальный плагин Outpost http://www.outpostfirewall.com/forum...?s=&forumid=59
Он полностью блокирует любой трафик с определенными IP адресами независимо от других настроек Outpost. Может применяться в двух случаях:

- Чтобы блокировать любую связь со spyware/adware сайтами, используя список, например, такой как blocklist_2004_03_06.txt;
- Для предотвращения связи с известными злонамеренными адресами (это особенно важно для пользователей таких программ как KaZaA, eMule, Gnutella, и т.п.).
Пользователи таких программ могут посетить форум Bluetack [1] (http://bluetack.co.uk/index.php) для регулярного обновления blocklist'а и соответствующих утилит.
Так как Blockpost работает по IP адресам, его список нуждается в регулярном обновлении. Он будет блокировать TCP, UDP или ICMP трафик с определенным IP, но все же не обеспечивает полную защиту или анонимность, поскольку атакующий может завести другой IP (которого нет в списке).
Учтите, что если Вы работаете через прокси, то Blockpost не будет фильтровать трафик через этот прокси (поскольку весь такой трафик будет иметь адрес прокси, а не адресуемого сайта). Если Вы хотите блокировать доступ к подозрительным сайтам, сконфигурируйте ваш браузер (если возможно) не использовать прокси для связи с ними. После этого любые попытки доступа этих сайтов, если их адреса включены в список Blockpost, будут им отфильтрованы.


G8 - HTTPLog

Это еще один неофициальный плагин, который может быть доступен с форума Muchod's HTTPLog Plug-In (http://www.outpostfirewall.com/forum...?s=&forumid=61)
Он ведет детальный журнал любых web страниц, к которым Вы обращались, и поэтому может быть использован для проверки эффективности фильтров и для мониторинга активности программ, использующих протокол HTTP.


G9 - SuperStealth

Другой неофициальный плагин, доступен с форума Dmut's Super Stealth Plug-In (http://www.outpostfirewall.com/forum...?s=&forumid=60)
Он отфильтровывает ARP (Address Resolution Protocol) трафик, разрешая запросы и ответы только определенным адресам.
Он не дает эффекта безопасности в отношении Интернет, но вместо этого обеспечивает контроль Ethernet трафика в локальной сети. Это специализированное средство и поэтому может применяться теми, кто хорошо разбирается в протоколах ARP и Ethernet.




Послесловие

Оригинал Данного руководства на английском языке доступен по адресу http://www.outpostfirewall.com/forum...ead.php?t=9858
Перевод данного руководства на русском языке доступен по адресу http://forum.five.mhost.ru/kb2
Администрация Неофициального Русского Форума Agnitum Outpost Personal Firewall http://forum.five.mhost.ru/ выражает Большую Благодарность Paranoid2000, David и другим модераторам англоязычного форума Agnitum Outpost Personal Firewall http://www.outpostfirewall.com/forum/, участвовавшим в написании оригинала Руководства, за предоставление данной информации.
Корректировка, перевод (и т.д.) оригинала статьи произведены orvman, EvgenyT с личного разрешения автора - Paranoid2000.
Также, выражаем Большую Благодарность Five и всем, участвовавшим в Данном проекте.
Внимание:
Во избежание недоразумений и других непредвиденных обстоятельств в будущем: опубликование, копирование, корректировка, правка и т.д. - перевода оригинала Руководства "A Guide to Producing a Secure Configuration for Outpost", представленного здесь, категорически Запрещена, без личного разрешения автора - Paranoid2000, Администрации форума http://forum.five.mhost.ru/ и без ссылок на первоисточники.
Перевод Оригинала статьи является собственностью Five's Unofficial Russian Forum Agnitum Outpost Firewall - http://forum.five.mhost.ru/