Konfiguration Outpost Firewall Pro

bazzd

Stammuser
#1
Meine Empfehlung für Outpost Firewall Pro (Version: 8.1.2)

1) Antivirus installieren (bei Bedarf)
2) Outpost installieren
3) den Installationsordner (by default C:\Program Files\Agnitum\Outpost Firewall Pro) zu den "Echtzeitscan-Ausnahmen" und den "Scan-Ausnahmen" im Antivirus hinzufügen.
(Outpost übernimmt die Ausnahme automatisch, da es nach dem AV installierst wird)

4) Einstellungen -> Erweiterte Einstellungen -> Firewall -> Angriffserkenung -> Optimal
5) Einstellungen -> Erweiterte Einstellungen -> Proaktiver-Schutz -> Anti-Leak -> Erweitert
6) Einstellungen -> Erweiterte Einstellungen -> Firewall IP-Blockierungsliste
-> Host-Liste bearbeiten -> Inhalt hinzufügen*
* Liste liegt im "Outpost" Format vor und befindet sich im Anhang

Die IP-Blockierungsliste* (*.txt) beinhaltet:

Behörden, Ministerien und Institutionen auf staatlicher Ebene
* Quelle: UBERWACH!

6a) Einstellungen -> Erweiterte Einstellungen -> Firewall -> IP-Blockierungsliste
-> Host-Liste bearbeiten -> Importieren -> "IP-Blockierung.txt"

Nach erfolgreichem importieren erscheint folgende Meldung bei "Zugriff"


7) Einstellungen -> Erweiterte Einstellungen -> Allgemein -> Update -> Stündlich

Für eine erweiterte Sicherheit empfiehlt es sich:

[8] den Selbstlern-Modus* deaktivieren
* Nach der Installation max. 1h aktivieren, notwendige Programme durchstarten und danach ausgeschaltet lassen.

9) den Netzwerkschutz, nach 30 Tage "Regelassistenten", auf "Fast alles blockieren" stellen



10) Den Wechselmedien-Schutz auf "Nicht vertrauenswürdige Anwendungen blockieren" erhöhen



Kompatibilität mit Antiviren Produkten:

Ein weiterer wichtiger Aspekt ist die Kompatibilität mit anderen Produkten.
Es existiert eine, aus den Programmkomponenten ausgelesene, Übersicht aller "getesteten" Kompatibilitäten mit anderen Anbietern. Produkte aus der Liste wurden im Zusammenhang mit Outpost getestet und optimal aufeinander angepasst. Da hier Kompatibilitäten und Ausnahmen erstellt wurden, arbeiten beide Programme miteinander optimal.
Wenn ein Programm aus der Liste nicht auftaucht, heißt dies nicht, dass es hier eine Inkompatibilität geben wird, sondern das es nicht auf Outpost abgestimmt wurde oder eine Komponente im Antiviren-Programm erst gar nicht verfügbar ist.
Der User muss dann ggf. die Kompatibilität selber überprüfen und nach u.g. "Issues" konfigurieren.
Für alle aufgelisteten Programme übernimmt Outpost "Support"

Code:
For Avast! antivirus
For AVG antivirus
For Avira AntiVir Personal Edition Classic and Avira Antivir Premium:
For BitDefender
For Dr. Web SpiderGuard
For F-PROT Antivirus
For G Data AntiVirusKit
For Kaspersky Lab products
For McAfee VirusScan Home Edition
and McAfee VirusScan Professional Edition
For ESET products
For Symantec Norton Antivirus
For Panda Security software
For Trend Micro Internet Security
Ausnahme hierbei EMSI Antimalware. Ich habe es in einer Testumgebung "nachgestellt" und die Kompatibilität wird nach "Bitdefender" sichergestellt (Engine identisch)
(Meldung: Deaktiviert um die Kompatibilität mit Drittanbieter-Software sicherzustellen)

Im Falle von Symantec sieht das folgendermaßen aus:

Code:
[symantec_issue]
Product=symantec_product
Detect=service:CLTNetCnService
Action=wl_hook_exclusion ccSvcHst.exe
Action=sandbox_exclusion ccSvcHst.exe
Action=wl_hook_exclusion CCPD-LC\symlcsvc.exe
Action=sandbox_exclusion CCPD-LC\symlcsvc.exe
Action=symantec_disable_auto_protect
Action=disable_attributes
Action=app_guard_exclusion ccSvcHst.exe
Action=app_guard_exclusion asoelnch.exe

[symantec_v10_issue]
Product=symantec_product
Detect=service:ccEvtMgr
Action=wl_hook_exclusion ccEvtMgr.exe
Action=sandbox_exclusion ccEvtMgr.exe
Action=disable_attributes
Action=app_guard_exclusion ccSvcHst.exe
Action=app_guard_exclusion asoelnch.exe

[symantec_autoprotect_issue]
Product=symantec_product
Detect=driver:eectrl
Detect=service:ccEvtMgr
Detect=service:NAV
Action=disable_on_access
Action=app_guard_exclusion ccSvcHst.exe
Action=app_guard_exclusion asoelnch.exe

[symantec2010_issue]
Product=symantec_product
Detect=service:NAV
Detect=service:NIS
Detect=driver:SYMTDI
Action=sandbox_exclusion CCSVCHST.exe
Action=wl_hook_exclusion CCSVCHST.exe
Action=disable_content
Action=disable_on_access
Action=symantec_2010av_exclusion_action
Action=app_guard_exclusion ccSvcHst.exe
Action=app_guard_exclusion asoelnch.exe

[symantec_filtration_issue]
Product=symantec_product
Detect=driver:SYMTDI
Action=disable_content
Daran erkennt man gut, warum es unbedingt erforderlich ist, als erstes sein Antiviren-Programm zu installieren. Outpost kann sich dann auf die Kompatibilität einstellen und alle notwendigen Ausnahmen hinzufügen bzw Dienste und Komponenten deaktivieren.

Wer seine, aus Kompatibilitätsgründen deaktivierte Outpost-Komponente, wieder aktiviert haben möchte und etwas "experimentieren" will, hat dazu folgende Möglichkeiten.

1. Den Selbstschutz deaktivieren
2. Outpost beenden (Tray -> Exit)
3. per Deafult (C:\Program Files\Agnitum\Outpost Firewall\machine.ini
- Anti-Malware (Anti-Spyware) Modul -> EnableScanner -> TRUE
- Web Control Modul -> EnableContentProcessing -> EnableContentHandler

4. Outpost starten
5. Selbstschutz aktivieren

Achtung: Standardmäßig wird es bei "Kompatibilität" in der Installation deaktiviert und sollte auch nicht manuell aktiviert werden.

Important: We strongly recommend that you do not enable the specified modules while partly-compatible security software operates on your computer in background mode, as it can cause system conflicts. You can disable and enable the modules manually as above by changing the values


Was tun bei unerwünschtem Traffic (Beispiel: 007guard)

Wenn es sich hierbei um potentiell gefährlichen Traffic handelt und ein Backup vorhanden sein sollte, dies bitte zurückspielen. Keins vorhanden dann anschließend Hosts-/Firewall-Einstellungen

Folgende Vorgehensweise würde ich empfehlen:

Als erstes den Traffic ins "Leere" laufen lassen".
Dazu bite wie folgt vorgehen:


1) C:\Windows\System32\drivers\etc\Hosts mit Notepad öffnen
2) Folgendes einfügen und abspeichern:


Code:
127.0.0.1   http://www.007guard.com 
127.0.0.1   007guard.com
Nun werden sämtlche Anfragen an *007guard.com und h**p://**w.007Guard.com auf den Localhost umgeleitet. Die RemoteAdresse (Domain) ist nun nicht mehr erreichbar.

Anschließend wird sämtlicher TCP/UDP Traffic in der Firewall geblockt.
Dazu bitte wie folgt vorgehen:

1) Einstellungen -> Erweiterte Einstellungen -> Firewall -> Netzwerk-Regeln-> Systemweite Regeln -> Globale Regeln hinzufügen -> *Wie auf dem Bild zu sehen




2) Für sämtliche Richtung und Protokolle (TCP/UDP/Eingehend/Ausgehend) konfigurieren.



Dies kann für sämtlichen Traffic verwendet werden. Einfach unter Domain eine andere eintragen!

Falls kein Backup vorhanden sein sollte: Muss die "Malware" die den Traffic verursacht hat noch entfernt werden.

Dazu bitte einen Scan mit einer der folgenden Programmen im abgesichertem Modus durchführen.

1) Malwarebytes
2) EMSISOFT Emergency Kit
3) Spyware Search and Destroy

und bei Bedarf auf Tools wie: Hjackthis, OTL, Combofix, MWBATR, FRST zurückgreifen (Kenntnisse notwendig)

Grüße LaXoR


 
Zuletzt bearbeitet:
Oben