вопросы и впечатления по Outpost версии 7.0

[Dergost 0]

какой уровень выставили в детекторе атак?

добавьте IP адрес роутера в исключения

Индивидуальный - могу выслать свой конфиг.

Уже давно добавлен и, собственно, вопрос с доступом в интернет я решил своими силами, только, как понимаю, в ущерб собственной безопасности...

И вопросы подняты у меня в посте другого плана....

PS: Если выставляешь в Детекторе атак уровень По умолчанию, то в разделе Ethernet вообще автоматом не установлены галочки Предотвращать подмену mac-адреса шлюза и Блокировать узлы, сканирующие компьютеры в сети!

[Dmitriy K 603]

ообще автоматом не установлены галочки Предотвращать подмену mac-адреса шлюза и Блокировать узлы, сканирующие компьютеры в сети!

чтобы не было большого числа ложных срабатываний + вы сами в состоянии при необходимости изменить настройки

Индивидуальный

сначала выбрали Максимальный, а затем еще меняли настройки? При Максимальном уровне один параметр (сейчас не скажу какой) в разделе Ethernet по умолчанию не устанавливается

сводит эффективность детектора атак к нулю

у вас уже есть роутер, значимость детектора атак сама по себе уже минимальна

добавить в исключение один-единственный mac-адрес роутера и проблема была бы решена - реализована ли такая возможность

нет

"атака" в вашем случае просто ложное срабатывание

------

upd

нашёл кое что в BTSе

Почему при выборе в модуле Детектор атак МАКСИМАЛЬНОГО уровня тревоги остается не отмеченным пункт Обнаруживать подмену IP адреса и блокировать IP флуд?

Был целый ряд ситуаций когда включение этой опции приводило к блокированию маршрутизаторов.

Мы решили эту опцию оставить только для "сознательного" включения - только когда это нужно.

[Dergost 0]

Ясно, спасибо за информацию.

Осталось только пожелать на будущее: в новых версиях Outpost Firewall'a включить всё же возможность управления доступом к сети по mac-адресам для гибкости и удобства тонкой настройки файервола.....

[dr_dizel 385]

вы точно то читали?

Да. Только так и не ясно из написанного, почему "энумерацию узлов" по mac зовут атакой. Можете раскрыть технические подробности этого ARP_SCAN?

[Dmitriy K 603]

Можете раскрыть технические подробности этого ARP_SCAN?

Я не могу. Попробуйте спросить об этом в тех.поддержке.

[Umnik 997]

Только так и не ясно из написанного, почему "энумерацию узлов" по mac зовут атакой

"Ибо нефик".

[Андрей-001 1099]

почему "энумерацию узлов" по mac зовут атакой

Вероятно, поможет разобраться в этом вопросе хакерский способ описанный в журнале Хакер (сохранился только в Яндекс-кеше).

[dr_dizel 385]

Вероятно, поможет разобраться в этом вопросе хакерский способ описанный в журнале Хакер

В этой статье нет ничего относящегося к ARP_SCAN.

Вообще у arp слишком узкое применение. Навскидку есть только одна явная атака: компрометация IP<->MAC.

А запрет энумерации узлов вообще кажется каким-то бредом. Обеспечение невидимости узла этим запретом тоже сомнительно.

[Killer 55]

чем страшен ARP_SCAN?

А чем страшно обычное сканирование портов? Правильно, ничем

Можете раскрыть технические подробности этого ARP_SCAN?

Обращайтесь к технарям, а не к ...

ARP-сканирование, это грубо говоря такой же пинг, только созданный для локальной сети. Можно, конечно, сканить и не в локали, но скорость упадет скана. Прямой ответ на ваш вопрос - это сканирование, использующее протокол ARP.

Cканирование сети - Некоторые массово распространяющиеся вирусы используют энумерацию узлов для распространения с одного компьютера на другой, заражая их по очереди. Этот метод также используется сканерами сети и анализаторами уязвимостей.

Этот текст полностью лишен смысловой нагрузки. Абсолютно.

Вы хотите узнать, что такое сканирование сети? Понятие это весьма большое, и упирается в 1. цель сканирования -> 2. условия -> 3. тип сканирования

Ну тоесть я могу просто пинговать некий сегмент сети в поисках живых, и это можно назвать сканированием. Я могу использовать стелс или гибридные техники скана, если знаю, что за сеткой следят, и обычный скан палится.

[dr_dizel 385]

А чем страшно обычное сканирование портов? Правильно, ничем

Ну, некоторые методы можно развить до DDoS.

ARP-сканирование, это грубо говоря такой же пинг, только созданный для локальной сети. Можно, конечно, сканить и не в локали, но скорость упадет скана.

Есть два arp пинга. Прямой и обратный. И некоторые аспекты зависят от реализации стека. Я вообще практически не представляю как сканирование хоста через arp может быть атакой.

Этот текст полностью лишен смысловой нагрузки. Абсолютно.

Единственное, для чего возможна реализация такого поведения - "стелс" режим. Но это практически не поможет.

[Killer 55]

канирование хоста через arp

Правильнее, все же, называть это "АРП-пинг"

может быть атакой.

Атакой может быть не само сканирование, а посылка определенных арп-пакетов.

Но это практически не поможет.

Вы знаете, если правильно организовать IDS, то практически ничего не поможет

[dr_dizel 385]

Атакой может быть не само сканирование, а посылка определенных арп-пакетов.

"Разновидностей" arp-пакетов много и соответствующих стандартов. Там не только "пинги". У таких атак свои названия должны быть.

Вы знаете, если правильно организовать IDS, то практически ничего не поможет

Если перекусить пару проводков в патчкорде, то невидимость обеспечить можно.

[AlexFox 0]

Превед, у меня обновление Outpost 7.0.3 происходит так, что в журнале он пишет, что обновление прошло успешно, но в главном окне дата остается не изменой 23.08.2010, а как это баг исправить?

И еще аутпост пишит что некоторые ключевые компоненты выключены, не сматря на то что я все включил?

[Dmitriy K 603]

Превед, у меня обновление Outpost 7.0.3 происходит так, что в журнале он пишет, что обновление прошло успешно, но в главном окне дата остается не изменой 23.08.2010, а как это баг исправить?

Укажите полную версию.

Отключите самозащиту и вгрузите программу.

Удалите папку ИМЯ_ДИСКА:\Program Files\Agnitum\Outpost Security Suite Pro\update_oss20

Включите самозащиту.

И еще аутпост пишит что некоторые ключевые компоненты выключены, не сматря на то что я все включил?

установлен сторонний антивирус?

[AlexFox 0]

Нет сторонего антивируса нету я думаю этоможет брендмаур виндовс так нехоросо посступает и он выключен?

пробывал отключил самозащиту отключил сам аутпост удалил нужную папку перзапустил прогу и обновился но результат тот же что и был до этого(сборка 3392.517.1242)

[Dmitriy K 603]

обновляйтесь до версии 7.0.3 (3395.517.1242)

[greenag 10]

Dmitriy K

Добрый день, у меня такой вопрос - с точки зрения банальной эрудиции, что я должен сделать))? обрыскав машину, нашел только один файл mmcss (но это я догадался, что надо по названию искать) и почему dll (с подписью) обозвали драйвером? может подумать юзер и зайти в полный тупик)))

[Killer 55]

это я догадался, что надо по названию искать

Догадка неверна

с точки зрения банальной эрудиции, что я должен сделать

Начнем с того, что скажите, плз, что вы ставите? Это раз. Едем дальше. Приложение(при установке, да?) пытается загрузить драйвер под именем MMCSS, и что? Ну есть одноименный компонент системы, и дальше что? Не поняли? Уточняю...

Ставим мы антивир. касперского. Стало быть, запускаем установщик kav_setup.exe. Потом ваш мего-фаервол спросит, устанавливать ли драйвер KLIF или нет. Но это же не значит, что вы его найдете на винте? Он может динамически родиться из памяти, из темплоари-файла и тд.

[greenag 10]

Killer

тут мне обьяснили, что запрос, потому что исполняемый неизвестный, вот... но что с таким аляртом делать простому нормальному юзеру, я даже думать не хочу))))

в модулях процесса "драйвера" естественно нет, потому что это библиотека планировщика

[Dmitriy K 603]

запрос, потому что исполняемый неизвестный

Наличие подписи не отменяет лерн (т.к. приолжение может загрузить и доверенный драйвер и, например отправлять данные в сеть через него)

[zzkk 130]

Виталий Я., все-таки сообщения HIPS того же CIS смотрятся более понятно что-ли... а может более дружелюбно... возможно, что дело даже в мелочах каких-то. Давным-давно обратил на это внимание и озвучил Агнитуму. Но ничего не поменялось. Может быть Вашей команде все-таки провести повторный анализ юзабилити аутпостовских сообщений и конкурентских? Ну и что подправить-подшаманить-подрехтовать...

[Виталий Я. 859]

Виталий Я., все-таки сообщения HIPS того же CIS смотрятся более понятно что-ли... а может более дружелюбно... возможно, что дело даже в мелочах каких-то. Давным-давно обратил на это внимание и озвучил Агнитуму. Но ничего не поменялось. Может быть Вашей команде все-таки провести повторный анализ юзабилити аутпостовских сообщений и конкурентских? Ну и что подправить-подшаманить-подрехтовать...

Версия 7.5 имеет новый подход к юзабилити сообщений HIPS.

[greenag 10]

Версия 7.5 имеет новый подход к юзабилити сообщений HIPS.

а когда приблизительно ожидается?

[zzkk 130]

а когда приблизительно ожидается?

Жить ожиданием новой версии? А зачем?

С другой стороны, будет правильно позволить Виталию спокойно (т. е. без "подсказок") выбирать действовать ли ему сегодня преимущественно в рамках обязательств, данных самому себе или кому-либо (проще говоря, выбирать подходящий момент для открытия каких-либо дат).

Наверняка Вам вовсе не жизненно необходимо становиться чьими-то "цепями" в данном случае (под "данным случаем" имею в виду, что ожидание выхода минорной версии, исправляющей сегодня раздражающие баги - это одно, а ожидание выхода мажорной версии с новым функционалом - немного другое).

P. S. навеяно воспоминаниями о ситуации с долгоиграющим выходом семерки...

[Виталий Я. 859]

Жить ожиданием новой версии? А зачем?

P. S. навеяно воспоминаниями о ситуации с долгоиграющим выходом семерки...

Я бы принял во внимание следующий фактор: драйвер sandbox для 7-ки, определяющий не только работу HIPS, но и content filter, и быстродействие системы в целом, был полностью переписан. К сожалению, апгрейд на версию 2 сэндбокса не прошел безболезненно для заметного числа пользователей 6-ки, 6.5 и 6.7 - из тех, кто испытал проблемы, кто-то вообще не может еще работать (до нужного багфикса), у кого-то "жестокие тормоза", у кого-то - несовместимость с нужным ПО. Отсюда и "разочарование".

При этом далеко не факт, что эти проблемы касаются всех, т.к. число обращений в техподдержку и на форумах относительно стабильно уже полгода с дорелизных времен.

Но версия 7.5 по стабильности уже сейчас очень радует даже в альфа-версиях. Ее можно будет назвать мощным багфиксом 7-ки, но с добавлением нескольких "вкусных" фич. Текущий ориентир в выпуске - зима 2010 года, очень надеюсь на декабрь. Возможно, дата скорректируется, но не очень сильно, в отличие от версии 7.0, с которой, признаться, хотелось выйти на рынок на полгода раньше.