home *** CD-ROM | disk | FTP | other *** search
/ PC World 2006 December / PCWorld_2006-12_cd.bin / zabezpeceni / outpost / OutpostProInstall.exe / {app} / protect.lst < prev    next >
File List  |  2006-07-17  |  7KB  |  216 lines

  1. # The Outpost Attack Detection Plug-in consists of two parts:
  2. #     * Outpost Scanning Detection module.
  3. #     * Outpost Attack Detection module.
  4. # The Outpost Attack Detection module detects and blocks the following 
  5. # attacks-also called exploits or Denial Of Service (DOS) attacks:
  6. #    * Teardrop
  7. #    * Nestea
  8. #    * Iceping
  9. #    * Moyari13
  10. #    * Winnuke
  11. #    * Nuke
  12. #    * FRAG_ICMP Class (Jol12, Targa13 and other)
  13. #    * FRAG_IGMP Class (IGMPSYN and other)
  14. #    * SHORT_FRAGMENTS Class
  15. #    * MY_ADDRESS Class (Snork and others)
  16. #    * Rst
  17. #    * 1234
  18. #    * Fawx
  19. #    * Fawx2
  20. #    * Kox
  21. #    * Tidcmp
  22. #    * Rfposion
  23. #    * Rfparalyse
  24. #    * Win95handles
  25. # The Outpost Attack Detection module can also detect and neutralize 
  26. # distributed DOS attacks.
  27. # The Outpost Scanning Detection module can detect simple TCP and UDP port
  28. # scanning as well as the following types of stealth scanning: 
  29. # Syn, Fin, Xmas, Null, Udp.
  30. # Usually scan detectors in most Personal Firewalls detect a Port Scan 
  31. # (also called TCP port scanning or port probe) if someone connects to any 
  32. # closed port on the local PC. However, this approach results in a great
  33. # number of false alarms because often-valid software needing to interchange
  34. # data routinely checks for open or closed ports. 
  35. # To decrease the number of false alarms Outpost's Scanning Detection Module 
  36. # differentiates between single scan of a closed port (a suspicious packet)
  37. # and several accesses to different ports by the same remote host.
  38. # Outpost designates a packet as suspicious if it is a: 
  39. # 1. TCP Connection request or UDP packet to a non-open port.
  40. # 2. TCP data packet for a non-existent connection.
  41. # 3. TCP Connection request or UDP packet to a port closed by Outpost.
  42. # If Outpost detects a suspicious packet, it displays the "Connection request" 
  43. # message in its log file.
  44. # Port Scanning is another intrusion indicator that is detected if several 
  45. # suspicious packets are received from one remote host within a specified 
  46. # time interval.
  47. # Using the settings below you can fine-tune the Outpost Attack Detection 
  48. # Plug-in settings. Do NOT modify a setting without understanding what 
  49. # that setting is for. If there is any uncertainty, please consult the on-line 
  50. # documents or Agnitum Support. This is an important point so please take this 
  51. # warning seriously.  
  52. # All time intervals are in milliseconds.
  53. # The number of suspicious packets detected before Outpost reports 
  54. # "Port Scan Detected":
  55.  
  56. N(1) = 2    #maximum alert level
  57. N(2) = 6    #normal alert level
  58. N(3) = 12    #minimum alert level
  59.  
  60. # Bit mask of allowed checks for disabling the detection of some attacks:
  61. T1 = 65503
  62.  
  63. # Outpost will report Port scanning if N (see above) suspicious packets 
  64. # are detected from one host within the time T2.
  65. T2 = 600
  66.  
  67. # After a Port Scan is detected, the plug-in will ignore the attacking host 
  68. # for the time T3. This interval is needed to protect from a great number of 
  69. # "Port Scan detected" messages if someone is scanning all your ports.
  70. T3 = 6000
  71.  
  72. # After disconnecting from a valid remote host it might try to send another 
  73. # packet to the same local port not knowing that the port was closed by 
  74. # application that had opened this port. To prevent false alarms in this case,
  75. # the plug-in will forget about these local ports and remote hosts 
  76. # for the time T4.
  77. T4 = 3000
  78.  
  79. # The number of different remote hosts detected in a distributed DOS attack. 
  80. # This is used for detecting an attack in which different remote hosts 
  81. # participate or if the attacker employs IP spoofing. In this case,
  82. # a DOS attack will be detected if the number of remote hosts sending 
  83. # suspicious packets to one port on your system exceeds T5 during the time 
  84. # interval T2. 
  85. T5 = 500
  86.  
  87. # The maximum number of remote hosts detected in an attack after which the 
  88. # attack is ignored for the time T3.  This setting is needed to prevent a 
  89. # great number of "Attack detected" messages if an attacker uses IP spoofing 
  90. # or different remote hosts.
  91. T6 = 10
  92.  
  93. # This is the minimum fragment size for the 
  94. # PROTECT_ENABLE_SHORT_FRAGMENTS_DETECT. Fragments (excluding the last one in 
  95. # a packet) smaller than T7 will be considered an attack.
  96. T7=128
  97.  
  98. # During the time, T8 the plug-in will try to assemble packets from fragments.
  99. # After the time T8 has been exceeded the plug-in will abort the task.
  100. T8=50      
  101.  
  102. # Maximum number of unassembled packets for an OPENTEAR exploit detection.
  103. T9=30     
  104.  
  105. # During the time T10 after an OPENTEAR attack is detected, all fragmented
  106. # packets will be blocked.
  107. T10=600     
  108.  
  109. # During the time T11 after NUKE packets are received, the connection will be 
  110. # protected from disconnection.
  111. T11=6000    
  112.  
  113. # The number of RST packets for an RST attack detection is T12
  114. T12=5       
  115.  
  116.  
  117. # Ports That are Typically Vulnerable
  118. # Even one suspicious packet sent to a Typical Vulnerable Port (for example 
  119. # 31337, 111 or 139) is considered an attempt to gain unauthorized access 
  120. # to your system. That is why some ports are given more weight than others 
  121. # and can trigger a "Port Scan Detected" message even with only one suspicious 
  122. # packet received. 
  123. # The description of a vulnerable port has the following format:
  124. # Protocol PortNumber Weight Bind UseForAllPackets.
  125. # Protocol and PortNumber are self-explanatory.
  126. # Weight is the significance a port has. For example, a weight of 3 for 
  127. # port 111 means that a single suspicious packet to this port is equal to 3 
  128. # suspicious packets sent to another port that is weighted at 1.
  129. # Bind is the number of the Network Interface. For example, you can specify 
  130. # that a packet from a Network Card for a LAN is not counted as suspicious 
  131. # but a packet from a Network Card to the Internet is to be considered 
  132. # suspicious. This can be used for Routers and Gateways.
  133. # If Bind is 0 it is used for All Binds.
  134. # UseForAllPackets. If set to 1 every connection request to this port will be 
  135. # counted as suspicious, no matter if it was blocked or allowed by the 
  136. # Firewall, and whether or not the port is open or closed. 
  137.  
  138. <VulnerablePorts>
  139.  
  140. # System Services:
  141.  
  142. TCP 21 2 0 0
  143. TCP 23 2 0 0
  144. TCP 25 2 0 0
  145. TCP 53 6 0 0
  146. TCP 79 2 0 0
  147. TCP 80 2 0 0
  148. TCP 109 2 0 0
  149. TCP 110 2 0 0
  150. TCP 135 2 0 0
  151. TCP 137 2 0 0
  152. TCP 138 2 0 0
  153. TCP 139 2 0 0
  154. TCP 111 6 0 0
  155. TCP 143 2 0 0
  156. TCP 445 6 0 0
  157. TCP 1080 2 0 0
  158.  
  159. # Trojans:
  160.  
  161. TCP 12345 2 0 0        #NetBus
  162. TCP 12346 2 0 0        #NetBus
  163. TCP 20034 2 0 0        #NetBus
  164. UDP 31337 2 0 0        #Back Orifice
  165. TCP 1243  2 0 0        #SubSeven
  166. TCP 27374 2 0 0        #SubSeven
  167. TCP 10528 2 0 0        #Host Control
  168. TCP 11051 2 0 0        #Host Control
  169. TCP 15092 2 0 0        #Host Control
  170. TCP 5880  2 0 0        #Y3K
  171. TCP 12348 2 0 0        #BioNet
  172. TCP 12349 2 0 0        #BioNet
  173. TCP 17569 2 0 0        #Infector
  174. TCP 24000 2 0 0        #Infector
  175. TCP 9400  2 0 0        #InCommand
  176.  
  177. </VulnerablePorts>
  178.  
  179. # Outpost will not count any packet from the following hosts as suspicious 
  180. # (format is IP or IP/subnet mask):
  181.  
  182. # <IgnoreHosts>
  183. # 192.168.3.0/255.255.255.0 #Local Network
  184. # </IgnoreHosts>
  185.  
  186. <IgnoreHosts>
  187. </IgnoreHosts>
  188.  
  189. # Outpost will not count any packet to the following local ports as suspicious:
  190.  
  191. <IgnorePorts>
  192.  
  193. TCP 113  #Ident
  194. TCP 13223  #PowWow Online Pager
  195.  
  196. </IgnorePorts>