Comodo Firewall Pro

Автор: XenoZ
Дата сообщения: 17.12.2006 15:16

2monkey0

Цитата:

...будет-ли большой ошибкой (брешью в системе защиты), если я в Aplication Monitor'e для FF создам правило типа ALLOW TCP or UDP IN or OUT FROM IP ZONE:[Internet Zone] TO IP [Any] ? (т.е. без указания конкретных портов и с добавлением UDP (для ДНС)) - тогда количество правил для FF можно сократить до количества Parent'ов.

С точки зрения Comodo - нет, т.к. FF (до 1.5.0.8 вкл.) считается у него "Safe", т.е. безопасным приложением.
Если хочется еще большего упрощения - можно поставить флажок:
[v] Do not show any alerts for the applications certified by Comodo
Не показывать предупреждения для приложений, сертифицированных Comodo
и тогда Comodo вообще не будет спрашивать про приложения, к-рые есть у него в базе.

Цитата:

...зачем отдельной группой правил запрещать NetBios'овские порты в инет-зоне? Ведь последним правилом (которое блокирует все) они все-равно будут заблокированы?

Ну, это моя точка зрения - лучше явно запретить и забыть. А последнее правило - дополнительная страховка от неучтенных вариантов.

P.S. В принципе, два правила в Network'е можно объединить в одно:
ALLOW and LOG TCP OUT FROM IP ZONE:[Internet Zone] TO IP [Any] WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS IN [80,81,82,83,443]
P.P.S. В Network'е - правила для пакетов. К приложениям они отношения не имеют, просто я условно разбил их на группы по портам, наиболее часто используемым соответствующими приложениями. (во завернул...

)

Автор: monkey0
Дата сообщения: 17.12.2006 16:48

XenoZ, спасибо за ответ.

Я, собственно, вот что имела в виду:
в Network Monitor'e я насоздаю правил для фильтрации пакетов (открою нужные порты и закрою все оставшиеся - такая будет у меня стратегия

)
Теперь имеет ли мне смысл заморачиваться в Application Monitor'e с указанием разрешенных портов для для конкретных приложений (по идее все уже указано в Network Monitor'e, единственное, что смущает - то что например FF сможет использовать например порты от ICQ или DC - т.е., обобщая, приложение сможет иметь доступ к портам, которые для него "не предназначены" я понятно выражаюсь?

.
На сколько такая политика безопасности будет хм... действительно безопасна?

В принципе я уже все настроила (вышеуказанным способом) - кроме DC для локалки

. Но это вопрос времени

Дольше всего сражалась с DHCP - пока не прочитала, что первый запрос отправляется на 255.255.255.255

)

Автор: XenoZ
Дата сообщения: 17.12.2006 17:37

2monkey0

Цитата:

в Network Monitor'e я насоздаю правил для фильтрации пакетов <...> Теперь имеет ли мне смысл заморачиваться в Application Monitor'e с указанием разрешенных портов для для конкретных приложений <...> что смущает - то что <...> приложение сможет иметь доступ к портам, которые для него "не предназначены"
На сколько такая политика безопасности будет хм... действительно безопасна?

Здесь все упирается в степень "доверия" к конкретному приложению. Если доверяешь, то заморачиваться, IMHO, смысла нет. В противном случае конкретно расписываешь, куда и как данному приложению позволено ходить. При политике "доверия" да, теоретически возможна ситуация, когда доверенное приложение полезет на нестандартный порт, но ведь мы ему доверяем? Или все же нет?

Автор: Andrey32
Дата сообщения: 19.12.2006 00:45

Меня в Comodo смутило то, что он спокойно без вопросов соединяет по локалке и vpn,разрешает Firefox и IEexplorer, причем правил для них и возможность редактирования я не нашел.

Автор: XenoZ
Дата сообщения: 19.12.2006 06:58

2Andrey32
Флажки стоят?
Цитата:

Advanced Security Configuration - Miscellaneous:
[ ] Skip loopback(127.x.x.x) UDP connections
Пропустить loopback(127.x.x.x) для UDP соединений
[ ] Skip loopback(127.x.x.x) TCP connections
Пропустить loopback(127.x.x.x) для TCP соединений

Автор: KUSA
Дата сообщения: 19.12.2006 09:36

monkey0

Цитата:

На сколько такая политика безопасности будет хм... действительно безопасна?

Если тебе нечего терять - тогда безопасна.

Автор: XenoZ
Дата сообщения: 19.12.2006 09:51

2KUSA
Хм...

Автор: PopovSergej
Дата сообщения: 19.12.2006 10:35

Пытаюсь переползти с оутпоста (почти 5 лет вместе

) на Comodo , в принципе неплохо, по крайней мере интерфейс меня сразуже не убил как зоне алярм, поначалу все было нормально, но вот тут непонятка какаято получилась, стоит Archivarius и у него запущен сервер в нем прописан 127.0.0.1:80 соответственно я и разрешил для него именно это, на днях вылетела табличка Comodo о Archivarius, я то помню что разрешил для него нужное, вот и ткнул на скорую руку запретить, после этого браузер с Archivarius не коннектился, полез в Защита-Монитор приложений , там нажал Правка для Archivarius у увидел там то, что прописывал, разрешил все - не заработало, в общем крутил крутил, так и не понял гдеж отменить то, что я запретил, даже после удаления Archivarius из списка ничего заново не спросилось, решилось все после перезагрузки компа.

Автор: KUSA
Дата сообщения: 19.12.2006 10:55

XenoZ

Цитата:

Хм... ?

Твое данное сообщение не имеет к теме никакого отношения. Ты нарушаешь правила форума. Я вынужден нажать кнопку.
Одно только правило - разрешить исходящие (всем) для 53 порта вызывает у меня лично чувство недоверия.

Автор: Jenyay
Дата сообщения: 19.12.2006 11:08

PopovSergej

Похоже, что новые правила начинают действовать только после перезапуска приложений. У меня тоже такое было только с другими прогами.

Автор: XenoZ
Дата сообщения: 19.12.2006 11:29

2KUSA
Уточняю: Вы, случайно, топиком не ошиблись? Флудим здесь.

Добавлено:
2PopovSergej

Цитата:

<...> стоит Archivarius и у него запущен сервер в нем прописан 127.0.0.1:80 соответственно я и разрешил для него именно это, на днях вылетела табличка Comodo о Archivarius, я то помню что разрешил для него нужное, вот и ткнул на скорую руку запретить...

Если запрос выскочил на разрешенное соединение, то наиболее вероятная причина - запуск приложения с другим parent'ом. (не учитывая возможных троянов

)

2Jenyay

Цитата:

Похоже, что новые правила начинают действовать только после перезапуска приложений

Именно так, или, если приложение системное, - после ребута.

Автор: Alex54321
Дата сообщения: 19.12.2006 21:39

Всем привет!
Вот читаю ващи ипереговоры и уменя возникают большие вопросы.
Вот я допустим не создаю не каких правил для приложений вообще не догадываюсь зачем это надо.
У меня стаял раньше Авто пост и пару атак он блокировал.
Прошу раскажите для чего это нато и как это деляеться.
Большая прозьба как можно подробнее ато я могу и не понять или

Заранее огромное спосибо.

Автор: XenoZ
Дата сообщения: 19.12.2006 22:05

2Alex54321
Ммм... Попробуй еще раз, только так, чтобы было понятно не только тебе.

Автор: bredonosec
Дата сообщения: 19.12.2006 22:24

Цитата:

Вот я допустим не создаю не каких правил для приложений вообще не догадываюсь зачем это надо.

Допустим, у тебя есть броузер, есть аська, есть мышь. Ты в общих правилах разрешил порты, необходимые всем трем. В результате никто не запрещает, скажем, броузеру, или вообще какой-то левой проге полезть в инет по любому из открытых портов без спросу у тебя.
Если же ты выставил, что на 80 и 443 удаленный с 1024-5000 локальных может ходить только приложение, чей ехе-шник зовется как c:\Program Files\Internet Explorer\IEXPLORE.EXE (или отдельно имя и путь), то никакая случайно запущенная тобой приблуда, включая приаттаченную к новополученному письму "golaja_britneySpears.jpeg.exe" не сможет самостоятельно вылезти в инет по этим портам. Ибо ей такого разрешения от тебя не поступало.
Равно и ИЕ, если внезапно возжелает полезть по мыльным портам заместо твоей мыльной проги (мыши), ему также будет обьявлен "а фиг вам!"

А возжелать он может напр, от того, что, напр, скриптом на посещенной страничке тебе воткнули длл-ку к ие, рассылающую спам с адресами отправителя, равными всему набору адресов, найденному на твоем компе.

Идея ясна? Далее обьяснять "а нафига оно?" нужно?

Автор: Alex54321
Дата сообщения: 19.12.2006 22:30

Цитата:

Ммм... Попробуй еще раз, только так, чтобы было понятно не только тебе.

все просто
ЗАЧЕМ НУЖЕН firewall?????????????????

Добавлено:

Цитата:

Идея ясна? Далее обьяснять "а нафига оно?" нужно?

Караче я идею понял. Тепеь бы узнать как это делаеть. Только маленькая прозьба я в вашем "жаргоне не бум-бум" попроше ня "тормозов"

Автор: XenoZ
Дата сообщения: 20.12.2006 07:21

2Alex54321
Лучший файрволл firewall
Настройка персональных файерволов (firewall rules)
Желательно "от корки до корки".

Добавлено:

Цитата:

Comodo Firewall Pro Version 2.4.8.122 BETA Released
« on: Yesterday at 09:59:16 am »

Ну, дальше вы знаете...

Автор: monkey0
Дата сообщения: 20.12.2006 12:53

В продолжении дискуссии о Network и Application Monitor's:

из поста bredonosec: файлик golaja_britneySpears.jpeg.exe будет пытаться лезть в инет - в таком случае Комод выкинет окошко, что эта самая Спирс, используя родителя IExplore.exe (например) пытается залезть туда-то и туда-то, разве нет? Тут-то мы и запретим ей это дело

Вобщем я так поняла, что правила для приложений все же придется расписывать

Жалко, что нельзя компоновать правила фильтрации пакетов в группы (например: правила для WEB, E-Mail и т.п.) и при написании правил для приложений ссылаться уже на группы правил.

Автор: Andrey32
Дата сообщения: 20.12.2006 21:17

XenoZ

Цитата:

2Andrey32
Флажки стоят?
Цитата:
Advanced Security Configuration - Miscellaneous:
[ ] Skip loopback(127.x.x.x) UDP connections
Пропустить loopback(127.x.x.x) для UDP соединений
[ ] Skip loopback(127.x.x.x) TCP connections
Пропустить loopback(127.x.x.x) для TCP соединений

Ну да... Наверное. Вообще сложно все это. Читал, читал про настройку фаерволов, каша в голове. Без понимания устройства сетевых соединений в Windows, думаю не пойму до конца. Протокол понимаю, порт понимаю, адрес понимаю, localchost, loopback не понимаю, почему Firefox,например, не коннектится напрямую используя порт, не понимаю, вернее не нашел информации.
Может посоветуете какую умную книжку почитать?

Автор: Re9istr
Дата сообщения: 21.12.2006 00:37

Как настроить Comodo чтобы Azureus нормально работал? Когда выскакивали окошки с запросом азуреуса в инет я разрешал, но почему-то иконка NAT желтая (должна быть зеленой если все нормально), и пишет что "no recent incoming TCP connections"

Автор: XenoZ
Дата сообщения: 21.12.2006 09:30

Andrey32

Цитата:

Ну да... Наверное.

Так "Ну да" или "Наверное"?

О проблемах с loopback'ом можешь почитать здесь.

Автор: InKr
Дата сообщения: 21.12.2006 11:14

К вопросу о парентах и багах:
http://forums.comodo.com/index.php/topic,4711.0.html

Автор: Andrey32
Дата сообщения: 21.12.2006 11:35

XenoZ

Цитата:

Так "Ну да" или "Наверное"? О проблемах с loopback'ом можешь почитать здесь.

Да снес я его пока. Разобраться с ним надо. О проблемах с loopback'ом я почитал. Еще бы почитать где, что такое этот loopback.
Еще вопрос по созданию правил по логам. Ведь, как я понимаю. в логах будут только попытки исходящих соединений какого либо приложения, а вот входящие с ним (с приложением) не будут связаны. Тот же StrongDC, который у меня мог коннектится к хабу, но не мог ничего скачивать. Или я не прав?

Автор: XenoZ
Дата сообщения: 21.12.2006 12:53

2Andrey32
[imho] Loopback (127.0.0.x), если не ошибаюсь - это петля возврата. Организуется программой для обмена данными внутри системы. Если же используется какой-нить прокси (или что-то подобное), то здесь несколько сложнее, т.к. программы выходят в И-нет через него (прокси) по тому же loopback'у. И если, применительно к Комоду, в вышеуказанных параметрах стоят флажки, т.е. Комод не фиксирует обращения к loopback'у, тот же Лис вылезет в И-нет без вопросов. [/imho]
Что касается входящих... При попытке создания приложением входящего соединения (открытия порта на прослушивание) Комод должен выдать запрос "... is trying to act as server". После этого невредно создать соответствующее правило в Network'е, чтобы Комод пропускал необходимые входящие пакеты.

Автор: Andrey32
Дата сообщения: 21.12.2006 13:04

Я для StrongDC разрешил все, тем не менее работать он не захотел. (?)

Автор: gameman
Дата сообщения: 22.12.2006 08:18

XenoZ
не нашел на хоумпаге про совместимость с вистой. обещали ?

Автор: roma6ka
Дата сообщения: 22.12.2006 08:34

COMODO Firewall Pro Version 2.4.9.126 BETA

Цитата:

Following are changes:
1) System Tray icon animation is optional now, there is a menu item "Enable Tray Animation" added in system tray icon menu, so you can turn on/off animation.
2) Some users reported at times they see "library dialog box" without any list of libraries. It has been fixed.
3) Firewall should not be asking about permission for the same library again and again. If you do get it please checkout if those files have been updated b'caz of some update. If that's the case and you allow there should be multiple entries of that library in "Component Monitor". Duplicate entries are only possible if their hash values differ else not.

И снова перенос даты релиза.

теперь уже на 4 января 2007 года.

Цитата:

We have postponed COMODO Firewall Pro release date to 4th Jan, 2007. It will be released with following languages:
1) Chinese (Traditional)
2) Chinese (Simplified)
3) Dutch
4) French
5) Greek
6) Hungarian
7) Portugese (Brazilian)
8 ) Portugese (Continental)
9) Russian
10) Spanish (LA)
11) Spanish (Spain)
12) Swedish
13) Turkish

Добавлено:
И уже называются примерные сроки выхода версии 2.5.
С оффорума:

Цитата:

After we put Buffer Overflow, we observed some issues which could delay the release of 2.4 and therefore we took it out.
Regarding 2.5 we can not give exact date, but Feb, 2007 end should be a realistic date.

Автор: XenoZ
Дата сообщения: 22.12.2006 18:59

2InKr

Цитата:

К вопросу о парентах и багах:

И где здесь баг? Все логично: Неро впихнул свой hook, и при запрете все, естественно, глохнет. А то, что AOwL™ назвал это багом - хм... Здесь, IMHO, важен сам факт внедрения hook'а. А полезет Неро в И-нет или нет, это уже вопрос десятый. Главное, что при разрешении он потенциально получает эту возможность.

2gameman

Цитата:

не нашел на хоумпаге про совместимость с вистой

Мельком пробежался, тоже не нашел...

2roma6ka
Thnx, с шапкой разберусь попозже...

Автор: jvalej
Дата сообщения: 22.12.2006 19:35

Цитата:

December 14, 2006

Comodo are working on being Vista ready for all their software, and I believe these are to be released when Vista becomes mainstream.

source

Автор: Jenyay
Дата сообщения: 24.12.2006 17:16

А можно ли в этом файрволе сделать, чтобы он блокировал все, для чего не созданы правила, не спрашивая что делать? Т.е. аналог режима "Блокировать" Outpost-а.

Автор: XenoZ
Дата сообщения: 24.12.2006 20:31

2Jenyay
Advanced Security Configuration-Miscellaneous-Firewall Alerts
[ ] Enable alerts (if disabled, the firewall will not display any alerts)

Цитата:

Firewall Alerts

Enable Alerts
Switches alerts on or off. Unchecking this option means no alerts will be generated by the program. Whilst this does not affect your security (which is determined by the rules that you have created for the firewall), it will diminish your awareness of connection attempts. Without alerts, any connection attempts that do not have any matching rules will be blocked but you will not be notified. However, in the case of serious attacks, this setting will be over-ruled and an alert generated.

P.S. Вроде то, что тебе надо...

» Comodo Firewall Pro