Настройка Agnitum Outpost Firewall – настройка DNS для приложений, системных правил.

Настройка Agnitum Outpost Firewall – настройка DNS для приложений

17.03.2022

Продолжаю серию статей про настройку оутпоста. Зачем настраивать DNS, если по умолчание все настроено? Ну во-первых, все новые приложения будут нуждаться в двух новых правилах, это DNS правило, плюс обычное правило. Таким образом мы уменьшаем риск предоставить доступ в сеть левым программам.

Троянские программы, которые используют только DNS протокол, не имея возможности воспользоваться системным правилом, будут теперь нуждаться в специальном правиле. Это единственный вариант, который позволит блокировать DNShell leaktest и различные эксплоиты

1. Заходим в настройку Windows 2000/ XP и отключаем DNS службу. (Пуск/ Настройка/ Панель управления/ Администрирование/ Службы). Тем самым мы заставим каждое приложение выполнять собственные DNS запросы, вместо того, чтобы делегировать их services.exe (Win2000) или svchost.exe (WinXP).

2. Выключаем системное правило “Allow DNS Resolving”.

3. Для каждого приложения необходимо добавить новое правило со следующими параметрами:
<Приложение> DNS Resolution:
Где протокол UDP
и Где удаленный адрес <адреса DNS серверов провайдера>;
и Где удаленный порт 53
Разрешить эти данные

Справка:
Определить IP адрес DNS серверов вашего провайдера можно следующим образом. Пуск- Выполнить набрать cmd, в открывшимся окне набрать команду ipconfig -all

После прописания этого правила в приложениях, можете Svchost.exe переместить в запрещенные приложения (удалять не спешите, может вдруг что-то настроете не так), больше оно нам не нужно.

Протестировал на своей машине, прекрасно работает почта, браузер, фтп-клиент, аська, вебмани, язлик, и другие программы. Единственное в вебманях не работает внутренний обменик (ищу где собака зарыта).

Справка:
Приложение Svchost.exe требует различные сетевые доступы для выполнения базовых сетевых задач. Но предоставление ему полного доступа сделает систему уязвимой для RPC эксплоитов, таких червей как Blaster и Welchia/Nachi.

Поэтому я бы рекомендовал все таки отключить DNS службу, так как некоторые трояны пытаются маскировать свой трафик под DNS, рекомендуется любые попытки связи с другими серверами, кроме серверов провайдера, рассматривать как подозрительные. Если это легальные попытки (например, провайдер поменял адрес DNS сервера и разрешающее правило нуждается в обновлении), то при появлении сообщения и потери связи с сетью следует проверить журнал в разделе “История Заблокированных”, чтобы разобраться в причине.

Необходимо также дописать следующие правила в раздел системных:

Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

Правила для блокировки Simple Service Discovery Protocol

Block Incoming SSDP:
Где протокол UDP
и Где локальный порт 1900
Блокировать эти данные

Block Outgoing SSDP:
Где протокол UDP
и Где удаленный порт 1900
Блокировать эти данные

SSDP - используется для поиска Universal Plug and Play (UPnP) устройств в локальной сети. Так как UPnP имеет много проблем с безопасностью, лучше отключить SSDP, если только он вам не нужен. Если же нужен, то измените правило в разрешенное. Если в конце добавлено правило “Block Other UDP”, это должно ограничить SSDP в соответствии с представленными советами.

Правила для блокировки пакетов UPnP

Block Incoming UPnP:
Где протокол TCP
и Где направление Входящее
и где локальный порт 5000
Блокировать эти данные

Block Outgoing UPnP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 5000
Блокировать эти данные

- Эти правила блокируют пакеты UPnP в соответствии с правилами для SSDP, описанными выше. Если Вы уверены в том, что нужно UPnP (например, для NAT Traversal) измените их в разрешенные, но добавьте IP адреса UPnP устройств как удаленные адреса, чтобы ограничить диапазон. Если в конце добавлено правило “Block Other TCP”, это должно ограничить UPnP в соответствии с представленными советами.

Правило для блокирования RPC/DCOM трафика

Block RPC (TCP):
Где протокол TCP
и Где направление Входящее
и Где локальный порт 135
Блокировать эти данные

Block RPC (UDP):
Где протокол UDP
и Где локальный порт 135
Блокировать эти данные

- Это копия системного правила по умолчанию для блокирования RPC/DCOM трафика. Поэтому оно не является абсолютно необходимым, но может рассматриваться как дополнительное средство безопасности. Если необходим доступ RPC/DCOM измените эти правила на разрешенные, но только доверенным удаленным адресам.

Allow DHCP Request:
Где протокол UDP
и Где удаленный адрес <адрес DHCP сервера провайдера>
и Где удаленный порт BOOTPS
и Где локальный порт BOOTPC
Разрешить эти данные

- Заметьте, что данное правило не является необходимым, если используется статический IP адрес. Здесь правило нужно потому, что svchost.exe отвечает за связь с DHCP, а системные DHCP правила не будут работать, если в конце будет правило “Block Other TCP/UDP”.

Правило для Windows Help

Allow Help Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80, 443
Разрешить эти данные

- Для Windows Help может понадобиться Web доступ для некоторых целей. Если Вы не намереваетесь использовать Help (или не желаете, чтобы Микрософт знал, когда и что Вы…), то уберите это правило.

Правило для для синхронизации времени

Allow Time Synchronisation:
Где протокол UDP
и Где удаленный порт 123
и Где удаленный адрес time.windows.com, time.nist.gov
Разрешить эти данные

- Правило нужно только в том случае, если Вы используете эту функцию Windows XP. В противном случае - удаляем.

Правила для блокировки неопределенных сервисов

Block Other TCP Traffic:
Где протокол TCP
и Где направление Исходящее
Блокировать эти данные

Block Other TCP Traffic:
Где протокол TCP
и Где направление Входящее
Блокировать эти данные

Block Other UDP Traffic:
Где протокол UDP
Блокировать эти данные

- Поместите эти правила последними в списке. Это предотвратит появление многочисленных всплывающих окон Rules Wizard для неопределенных сервисов. Любые дополнительные правила в дальнейшем должны быть помещены перед этими правилами.

Системные правила, которые можно отключить:

- Allow Inbound Authentication - это простой и ненадежный, поэтому редко применяемый метод установления инициатора сетевого соединения. Если же этот метод применяется, то отключение этого правила может вызвать задержку при подключении к некоторым e-mail серверам.

- Allow GRE Protocol, Allow PPTP control connection - оба протокола применяются в VPN - Virtual Private Networks, использующих протокол туннелирования Точка-Точка. Если у Вас нет VPN, они могут быть отключены. (убрать галочку напротив правила)

Системное правило “Allow Loopback”, включенное в настройках по умолчанию, представляет значительную угрозу безопасности для пользователей, использующих прокси-сервера (такие программы, как AnalogX Proxy, Proxomitron, WebWasher и некоторые anti-spam/anti-virus). Так как это правило разрешает использовать прокси любому приложению, для которого специально не заблокирован доступ в Интернет. Отключение или удаление этого правила исключает эту возможность.
Преимущества: Предотвращает возможность уязвимости правил прокси сервера “не доверенными” приложениями.
Недостатки: Каждое приложение, использующее прокси (например, web обозреватель с Proxomitron и т.д.) будет нуждаться в дополнительном правиле, разрешающем доступ к прокси (рекомендаций Rules Wizard - Мастера настроек будет достаточно в большинстве случаев).

На этом все, постарался максимально систематизировать ту информацию, что у меня была. Если есть вопросы по настройке, то задавайте.

при поддержке - Buckster.ru - больше всего денег с Вашего трафика!

Комментарии (41) на запись “Настройка Agnitum Outpost Firewall – настройка DNS для приложений”

пишет:
18.03.2022 в 23:43
Спасибо. Как раз сидел Аутпост последний под Висту настраивал.
пишет:
28.03.2022 в 23:58
настроил все, большое пасибо за инфу. есть один вопросик:

почему у меня svchost упорно бьется на DNS, и в соответствии с правилом “блокировать и оповещать” мне вылазит это дурацкое окно? ведь я отключил службу DNS.. непонятно..
пишет:
29.03.2022 в 01:02
Drossel, удалите svhost вообще из “приложений”, я его удалил так как оно не нужно.

отключив DNS, вы наверное забыли убрать svhost, плюс порекомендовал бы поставить “блокировать все что не было разрешено”, а не сидеть в обучающем режиме, или нормальном режиме.
пишет:
26.04.2022 в 22:51
поставил outpost 2008. интернет работает, локалка (два компа) тоже, но теперь outpost закрыл доступ в инет со второго компа, который в локалке. не могу понять, где я что упустил….
пишет:
27.04.2022 в 00:52
Денис, Alg.exe не заблокирован случайно? Alg.exe дает возможность нескольким компьютерам сети подключиться к Интернету через один компьютер.
пишет:
17.05.2022 в 03:59
Я помню в 4м оутпосте была настройка системных правил, сейчас обновил до версии PRO таковых не наблюдаю придется обратно..
За статью огромное спасибо, поскольку до прочтения был тупым ботом. Спасибо брат.
пишет:
06.07.2022 в 19:41
Agnitum Outpost Firewall Pro 2009 Build 6.5.2355.316.0597.
Opera 9.51 Сборка 10081
Процесс opera.exe постоянно долбится на shoutmix.com (Журнал-НTTP)
На этот сайт я не захожу. Что это такое и как с этим бороться?
Заранее спасибо за ответ.
пишет:
06.07.2022 в 22:44
Badul, посмотрите может у вас установлен модуль сообщений shoutbox от shoutmix.com?

к сожалению я оперой не пользуюсь, больше даже предположить немогу.
пишет:
23.07.2022 в 23:08
вот сижу, разбираюсь со всем этим…
прошу, ответе на несколько вопросов. простите меня дурня, прошу зарание.

я так понял, что в правилах после преложений всё можно запретить? ну если система пропустила, приложение не пустило, то куда стучатся?
как я понимаю, сначала фильтруют системные правила, затем приложения, ну и после приложений. А когда низкоуровневые? как понять, это… “ниже уровня приложений”?

а вот:
pcflank.com/(рекомендован агнитом)
Quick Test
Stealth Test
полный провал? и так и сяк,а дырки кругом.
СПАСИБО!
пс: и можно, как для блондинок.
пишет:
07.08.2022 в 04:22
COMODO Firewall Pro не в планах ?
С Уважением
пишет:
07.08.2022 в 23:55
pivo пока нет ))
пишет:
08.08.2022 в 03:39
танцевал с Agnitum Outpost 2009, там есть отличия, успокоился на comodo.
С Уважением
пишет:
03.09.2022 в 18:00
Спасибо, отличная статья. Долго сидел на стандартных настройках, теперь на многое открылись глаза!
пишет:
14.09.2022 в 22:20
два компа подключины к роутеру и на обоих стоит Agnitum Outpost 2009. На ноутбуке при включеной службе Outpost блокируется инет. Всевозможные правила и разрешения не помогают. даже когда отключаешь защиту (помогает отключение службы). Скажите пожалуста как исправить эту проблему?
пишет:
16.09.2022 в 10:20
vik, если честно была попытка осилить 2009 Agnitum Outpost, даже импортировал старые настройки, но там так все заморочено что снес его нафик, сижу на старой версии пока.

а второй компьютер нормально ходит в сеть? проблема тока в ноуте?
пишет:
17.09.2022 в 02:13
второй камп в нэт входит. проблема в ноуте..удалил даже фаервол на стационарнике но результата не вижу :(все поп режнему. Обидно, классный фаервол…
пишет:
10.12.2022 в 00:17
Что то мой комент не добавился(

Все сделал по вашим подсказкам. Все супер, все работает. Есть одно нарекание. Система не может обновлятся в автомате. Я имею ввиду MW Vista sp6.1 Где что нужно подкрутить, подскажите пожалуйста. То что проблема в аутпосте - проверил путем отключения outposta и проверки обновлений - все прекраснно скачалось. Где зарыта собака? Что нужно разрешить и как? Натсройки outposta практически индентичны вашим описаниям. Кроме пары собственных правил для приложений…

что то не так(
пишет:
10.12.2022 в 00:22
если я правильно понял, то не обновляется винда? тогда необходимо прописать для “модуля обновления” правила и все. Увидеть этот модель можно в журнале заблокированных приложений.

первый комент идет на модерацию, так же возможно что были отключены куки.
пишет:
10.12.2022 в 00:52
Да, именно винда. Самое что интересное при включенном outpost-е даже “центр обновления” не открывается. Может быть тут проблема? А само название модуля не подскажите? В журнале пока ищу…по принципу - запускаю обновление - и смотрю что блокируется, но так как центр даже не запусается то в аутпосте нет записей…сетевой акивности нет… где можно посмотреть? Спасиба заранее.
пишет:
10.12.2022 в 01:12
Да так и выщло. Outpost не регистрирует активность. Даже запуск “центра”. Если аутпост не загружать то все в порядке, после его единождого включения - до перезагрузки не обновляется.
пишет:
10.12.2022 в 03:28
скорее всего вы запретили активность центра при первом запуске, значит необходимо удалить его из настроек (придеться порыться в настройках). оутпост у вас какой?
пишет:
11.12.2022 в 01:28
Outpost Firewall Pro версия 6.5.2358.XXX.XXX

Вот такая версия. порылся в настройках - самого модуля найти не могу просто в силу того что не знаю название приложения.
пишет:
11.12.2022 в 14:57
название приложения можно найти в инете. а оутпост последней версии я что-то не осилил, слишком уж он навороченный.
пишет:
12.12.2022 в 03:02
Ясна) ну попробую и на этом спасибо.

А насчет версии новой…ну я когда версию ставил вообще глобально переходил с XP на VISTA поэтому такой мелочи изменений в OUTPOST даже не заметил. Поменял AntiVIR2008 и даже пресловутый M office с 2003 на 2007… сами видите везде изменения, поэтому привык, а так…очень даже ничего аутпостик…нового мало, но интерфейс приятнее, а все остальное - теже самфые настройки.

Дерзайте!
пишет:
16.12.2022 в 14:31
поставил последнию версию 6.5.2358.316.0607, прописал правила, все работает. Кроме почты, не хочет забирать по TSL и все…
пишет:
17.12.2022 в 01:24
Ну как? Нравится? А обновления работает? Если у вас конечно Виста. У меня все приложения заблокированы кроме тех котрые юзаю - типа браузер, icq, antivirююютем не менее проблема осталась там же…
пишет:
17.12.2022 в 01:42
не совсем понятно с куками, а так все работает. прописал точно такие же правила как и в посте, отключил svhost. винда у меня ХР, сейчас попользуюсь пару недель и возможно куплю лицензию на оутпост.
пишет:
17.12.2022 в 15:21
Pavel, на днях постараюсь написать пост с правилами для приложений, чтоб в будущем можно было смотреть правила.
пишет:
19.12.2022 в 01:59
жду. )) думаю будет полезно.
пишет:
25.12.2022 в 16:25
Установил Agnitum Outpost Firewall 2009, после этого не могу выйти в интернет. Если отключать любые настройки в Outpost ничего не меняется, попасть в интернет можно выйти, только выйдя из Outpost с остановкой сервиса. (интернет - ADSL через Ethernet-соединение)
пишет:
25.12.2022 в 22:57
Михаил, включите в обучающем режиме, все должно работать. сам сижу через ADSL, проблем нет, даже использую выше перечисленные правила.
пишет:
26.12.2022 в 01:56
Проблема Михаила в другом. У вас версия какая? Уверен что что то типо того…

pro 6.5.2351.xxxx
или
pro 6.5.2352.xxxx
вобщем все что до 2356 - не работает - сырые конфиги самого аутпоста, смотря откуда качали. бывает что в сети выкладывают бетки и так далее. При первом появлени версии 2009 в ревизиях 2351-2356 были глюки и , наверно, они работали только у самих агнитумцев))
Качайте версию поновее, например с оф. сайта, причем удостоверьтесь что ваша версия что то вроде x.x.xxx.2358
+++++++++++++++++++++++++++++++

не уверен, но помоему так. пробуйте.
пишет:
26.12.2022 в 10:16
сроду не понимал, зачем качать с левых сайтов ))
у меня вот сейчас с оф сайта, сижу не нарадуюсь.
пишет:
26.12.2022 в 13:14
У меня версия 6.5.2358.316.0607
пишет:
26.12.2022 в 23:20
версия платная или кряк?
пишет:
27.12.2022 в 00:37
У меня версия 6.5.2358.316.0607

Да - это нормальная версия, рабочая, значит либо кривая либо действительно нужно что то с правилами делать… значит не помогло. Sorry about
пишет:
28.12.2022 в 18:27
Скчал с оф. сайта версию 6.5.2509.366.0663 всё заработало. Спасибо за помощь!
пишет:
28.12.2022 в 23:20
кстати продают сейчас с пожизненной лицензией по годовой цене. рекомендую купить :-)
пишет:
15.01.2023 в 19:02
сделал обзор правил для приложений, ибо в старых версиях оутпсота, там они чуток другие были http://arhangelsk-mebel.ru/2009/01/15/pravila-dlya-prilozheni.html
пишет:
16.01.2023 в 02:18
Купил лицензию. классная вещь. спасибо за ссылку - будет полезно изучить.
пишет:
16.01.2023 в 22:44
после 4 версии вообще небо и земля ))

Блог Сибиряка