home *** CD-ROM | disk | FTP | other *** search
/ PC World 2008 April / PCWorld_2008-04_cd.bin / akce / outpost / OutpostProInstall.exe / {app} / protect.lst < prev    next >
File List  |  2005-11-23  |  7KB  |  217 lines
  1. # The Outpost Attack Detection Plug-in consists of two parts:
  2. #     * Outpost Scanning Detection module.
  3. #     * Outpost Attack Detection module.
  5. # The Outpost Attack Detection module detects and blocks the following 
  6. # attacks-also called exploits or Denial Of Service (DOS) attacks:
  7. #    * Teardrop
  8. #    * Nestea
  9. #    * Iceping
  10. #    * Moyari13
  11. #    * Winnuke
  12. #    * Nuke
  13. #    * FRAG_ICMP Class (Jol12, Targa13 and other)
  14. #    * FRAG_IGMP Class (IGMPSYN and other)
  15. #    * SHORT_FRAGMENTS Class
  16. #    * MY_ADDRESS Class (Snork and others)
  17. #    * Rst
  18. #    * 1234
  19. #    * Fawx
  20. #    * Fawx2
  21. #    * Kox
  22. #    * Tidcmp
  23. #    * Rfposion
  24. #    * Rfparalyse
  25. #    * Win95handles
  26. # The Outpost Attack Detection module can also detect and neutralize 
  27. # distributed DOS attacks.
  29. # The Outpost Scanning Detection module can detect simple TCP and UDP port
  30. # scanning as well as the following types of stealth scanning: 
  31. # Syn, Fin, Xmas, Null, Udp.
  33. # Usually scan detectors in most Personal Firewalls detect a Port Scan 
  34. # (also called TCP port scanning or port probe) if someone connects to any 
  35. # closed port on the local PC. However, this approach results in a great
  36. # number of false alarms because often-valid software needing to interchange
  37. # data routinely checks for open or closed ports. 
  39. # To decrease the number of false alarms Outpost's Scanning Detection Module 
  40. # differentiates between single scan of a closed port (a suspicious packet)
  41. # and several accesses to different ports by the same remote host.
  43. # Outpost designates a packet as suspicious if it is a: 
  44. # 1. TCP Connection request or UDP packet to a non-open port.
  45. # 2. TCP data packet for a non-existent connection.
  46. # 3. TCP Connection request or UDP packet to a port closed by Outpost.
  47. # If Outpost detects a suspicious packet, it displays the "Connection request" 
  48. # message in its log file.
  50. # Port Scanning is another intrusion indicator that is detected if several 
  51. # suspicious packets are received from one remote host within a specified 
  52. # time interval.
  54. # Using the settings below you can fine-tune the Outpost Attack Detection 
  55. # Plug-in settings. Do NOT modify a setting without understanding what 
  56. # that setting is for. If there is any uncertainty, please consult the on-line 
  57. # documents or Agnitum Support. This is an important point so please take this 
  58. # warning seriously.  
  61. # All time intervals are in milliseconds.
  63. # The number of suspicious packets detected before Outpost reports 
  64. # "Port Scan Detected":
  65.  
  66. N(1) = 2    #maximum alert level
  67. N(2) = 6    #normal alert level
  68. N(3) = 12    #minimum alert level
  69.  
  70. # Bit mask of allowed checks for disabling the detection of some attacks:
  71. T1 = 65503
  72.  
  73. # Outpost will report Port scanning if N (see above) suspicious packets 
  74. # are detected from one host within the time T2.
  75. T2 = 600
  76.  
  77. # After a Port Scan is detected, the plug-in will ignore the attacking host 
  78. # for the time T3. This interval is needed to protect from a great number of 
  79. # "Port Scan detected" messages if someone is scanning all your ports.
  80. T3 = 6000
  81.  
  82. # After disconnecting from a valid remote host it might try to send another 
  83. # packet to the same local port not knowing that the port was closed by 
  84. # application that had opened this port. To prevent false alarms in this case,
  85. # the plug-in will forget about these local ports and remote hosts 
  86. # for the time T4.
  87. T4 = 3000
  88.  
  89. # The number of different remote hosts detected in a distributed DOS attack. 
  90. # This is used for detecting an attack in which different remote hosts 
  91. # participate or if the attacker employs IP spoofing. In this case,
  92. # a DOS attack will be detected if the number of remote hosts sending 
  93. # suspicious packets to one port on your system exceeds T5 during the time 
  94. # interval T2. 
  95. T5 = 500
  96.  
  97. # The maximum number of remote hosts detected in an attack after which the 
  98. # attack is ignored for the time T3.  This setting is needed to prevent a 
  99. # great number of "Attack detected" messages if an attacker uses IP spoofing 
  100. # or different remote hosts.
  101. T6 = 10
  102.  
  103. # This is the minimum fragment size for the 
  104. # PROTECT_ENABLE_SHORT_FRAGMENTS_DETECT. Fragments (excluding the last one in 
  105. # a packet) smaller than T7 will be considered an attack.
  106. T7=128
  107.  
  108. # During the time, T8 the plug-in will try to assemble packets from fragments.
  109. # After the time T8 has been exceeded the plug-in will abort the task.
  110. T8=50      
  111.  
  112. # Maximum number of unassembled packets for an OPENTEAR exploit detection.
  113. T9=30     
  114.  
  115. # During the time T10 after an OPENTEAR attack is detected, all fragmented
  116. # packets will be blocked.
  117. T10=600     
  118.  
  119. # During the time T11 after NUKE packets are received, the connection will be 
  120. # protected from disconnection.
  121. T11=6000    
  122.  
  123. # The number of RST packets for an RST attack detection is T12
  124. T12=5       
  125.  
  126.  
  127. # Ports That are Typically Vulnerable
  129. # Even one suspicious packet sent to a Typical Vulnerable Port (for example 
  130. # 31337, 111 or 139) is considered an attempt to gain unauthorized access 
  131. # to your system. That is why some ports are given more weight than others 
  132. # and can trigger a "Port Scan Detected" message even with only one suspicious 
  133. # packet received. 
  135. # The description of a vulnerable port has the following format:
  137. # Protocol PortNumber Weight Bind UseForAllPackets
  139. # Protocol and PortNumber are self-explanatory.
  141. # Weight is the significance a port has. For example, a weight of 3 for 
  142. # port 111 means that a single suspicious packet to this port is equal to 3 
  143. # suspicious packets sent to another port that is weighted at 1.
  145. # Bind is the number of the Network Interface. For example, you can specify 
  146. # that a packet from a Network Card for a LAN is not counted as suspicious 
  147. # but a packet from a Network Card to the Internet is to be considered 
  148. # suspicious. This can be used for Routers and Gateways.
  149. # If Bind is 0 it is used for All Binds.
  151. # UseForAllPackets. If set to 1 every connection request to this port will be 
  152. # counted as suspicious, no matter if it was blocked or allowed by the 
  153. # Firewall, and whether or not the port is open or closed. 
  154.  
  155. <VulnerablePorts>
  156.  
  157. # System Services:
  158.  
  159. TCP 21 2 0 0
  160. TCP 23 2 0 0
  161. TCP 25 2 0 0
  162. TCP 53 6 0 0
  163. TCP 79 2 0 0
  164. TCP 80 2 0 0
  165. TCP 109 2 0 0
  166. TCP 110 2 0 0
  167. TCP 135 2 0 0
  168. TCP 137 2 0 0
  169. TCP 138 2 0 0
  170. TCP 139 2 0 0
  171. TCP 111 6 0 0
  172. TCP 143 2 0 0
  173. TCP 445 6 0 0
  174. TCP 1080 2 0 0
  175.  
  176. # Trojans:
  177.  
  178. TCP 12345 2 0 0        #NetBus
  179. TCP 12346 2 0 0        #NetBus
  180. TCP 20034 2 0 0        #NetBus
  181. UDP 31337 2 0 0        #Back Orifice
  182. TCP 1243  2 0 0        #SubSeven
  183. TCP 27374 2 0 0        #SubSeven
  184. TCP 10528 2 0 0        #Host Control
  185. TCP 11051 2 0 0        #Host Control
  186. TCP 15092 2 0 0        #Host Control
  187. TCP 5880  2 0 0        #Y3K
  188. TCP 12348 2 0 0        #BioNet
  189. TCP 12349 2 0 0        #BioNet
  190. TCP 17569 2 0 0        #Infector
  191. TCP 24000 2 0 0        #Infector
  192. TCP 9400  2 0 0        #InCommand
  193.  
  194. </VulnerablePorts>
  195.  
  196. # Outpost will not count any packet from the following hosts as suspicious 
  197. # (format is IP or IP/subnet mask):
  198.  
  199. # <IgnoreHosts>
  201. # 192.168.3.0/255.255.255.0 #Local Network
  203. # </IgnoreHosts>
  204.  
  205. <IgnoreHosts>
  207. </IgnoreHosts>
  208.  
  209. # Outpost will not count any packet to the following local ports as suspicious:
  210.  
  211. <IgnorePorts>
  212.  
  213. TCP 113  #Ident
  214. TCP 13223  #PowWow Online Pager
  215.  
  216.  
  217. </IgnorePorts>