» Comodo Firewall Pro / Comodo Internet Security

решил таки наконец попробвать тройку, поставил CFP_Setup_3.0.24.368_XP_Vista_x32.exe, интернет радио стало играть 3 секунды и виснуть тоже самое и при полном отключенияя и фаера и дефенсе.
откатился обратно на двойку - все заработало как надо

Ребяты-ы-ы!
У кого HandyCache (прокси) с Comodo дружит, выложите правила.
Разрешаю все(!) - броузеры без прокси работают нормально, с ним - часть пакетов блокируется, например проверка доступа портов для торрент-клиентов (сами клиенты работаю нормально).
Помогите, будь ласка. Сутки ковырялся, ничего не помогает.
Comodo последний

WIGF
Уже разобрался. Оказывается, к комплекту системы безопасности пришлось добавить UnHackMe 4.7 - через НОД/Комод пробился руткит, еле вывел. Кому интересно, подробности тут: http://forum.ru-board.com/topic.cgi?forum=5&topic=24592&start=1140


Добавлено:
apexfmm
Выложи скрины твоих общих правил и конкретно правил под HandyCache.

Цитата:

через НОД/Комод пробился руткит

gjf, imho закономерный результат твоих настроек Comodo по схеме "запрещение через GR + разрешение всего в AR".

Ребята, как сделать быстрый доступ к логам и очистке, надоело по три окна мышкой шелкать, чтоб отследить, - что он блокирует?

gjf, настоятельно советую проверить/изучить систему AVZ4 и HiJackThis. Правда, не знаю, где здесь тема по ним (не искал).


Цитата:

Ребята, как сделать быстрый доступ к логам и очистке, надоело по три окна мышкой шелкать, чтоб отследить, - что он блокирует?

apexfmm, как вариант сделай себе ярлык для запуска файла cfplogvw.exe (Log Viewer), который лежит в папке с CFP.

gjf, hapatsa

Цитата:

через НОД/Комод пробился руткит,

Цитата:

результат твоих настроек Comodo по схеме "запрещение через GR + разрешение всего в AR".

Ребята, вы неправильно понимаете действие Комода. Комод - это стенка + HIPS. Он не может помешать появлению на компе вирусов, руткитов, шпионов. Для этого существует антивирус. Задача Комода (его Дефенса+) - не дать руткиту незаметно запуститься. Если Дефенс отключен или отключены алерты, то пеняйте на что/кого угодно, только не на Комод. Другое дело, что алерты Дефенса нужно понимать (и это проблема!). Иначе можно собственноручно разрешить запуск и внедрение зловреда.

Sssvan, полностью согласен, что hips - это основа персонального фаера, которым и является комод. Работать с остановленным D+ - лучше вообще ничего не ставить. По крайней мере иллюзии защищенности не будет. Но кроме hips-а есть алерты/правила для фаера, с помощью которых тоже кое что можно отловить. Например, если у меня вдруг System будет ломиться с исходящим соединением по 25 порту - нефиг ей там делать. С другой стороны - виси она в доверенных - то алерта просто не будет и вся залезшая пакость будет очень рада свободе..

PS: Вообще, по-моему комодовцы не предусмотрели очень важную вещь: обмен отдельными правилами между пользователями. Сделай они импорт/экспорт отдельных правил - imho выиграли бы все.

никто не знает как сделать чтоб hamachi работал?

hapatsa
Не думаю. После активации трояна повторяю: полная блокировка интернета Комодом не блокировала выход в инет - пакеты летали. Выход на 25-й порт не детектировал НИКТО (правда, нужно было проверить tcpdump ну да после драки руками не машут). Так что не всё Комод блокирует - панацеи не бывает.

Sssvan
ИМЕННО! При том, что очень часто всеми любимый svchost выполняет запрос процесса. У меня процесс руткита выполнялся с приоритетом ядра. Я не знаю, каким образом было это отследить. Блокировать svchost полностью? Хм, что же - удачи!

WIGF
Зачем? Сейчас стоит Avira Antivir Professional (поскольку НОДу я ошибку не простил), UnHackM, Comodo. Чем AVZ4 и HiJackThis лучше? AVZ у меня вообще вызывает ещё большие сомнения, ну да не буду оффтопить.

Прошу прощения за оффтоп, но надо завершить. Не нашёл на Ru-Board топика по лечению с помощью данных утилит, а иначе бы сразу на него ссылку дал.

gjf, я не про антивирусную составляющую писал, а именно про изучение системы (автозагрузка, выполняемые программы, работающие службы, загружаемые библиотеки и т.д.).
Вот инструкция по хайджеку - http://www.saule-spb.ru/articles/hijackthis.html
Вот по AVZ4 - http://z-oleg.com/secur/avz/index.php
Вот сайт по анализу/лечению - http://virusinfo.info/showthread.php?t=1235
И не важно какие у тебя программы стоят, в любом случае ни одна из них не вычистит всё до конца. А для полной очистки используются как раз HiJackThis и AVZ4, которые предоставляют тебе инфу о системе, а уже твоё дело как этой инфой воспользоваться.

WIGF
AVZ4: Ну не верю я, что бесплатная утилита будет мощнее платной, а продукт "всё-в-одном" - лучше отдельных специализированных! И вообще Архив с утилитой содержит базу вирусов от 6.04.2008 157571 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, 370 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 70476 подписей безопасных файлов - количество сигнатур - яплакалъ! Где тот AVZ4 на VirusTotal?

HiJackThis: это вообще только для IE, коим не пользуюсь. Руткиты на kernel-уровне не ловит и иже с ними. ЗАЧЕМ?

Всё, обсуждение - в личку!

Цитата:

Блокировать svchost полностью? Хм, что же - удачи

gjf, Sssvan имел ввиду не блокирование каких-то соединений, а блокировку попытки внедрения руткита (пока он еще не получил права системы).

hapatsa
Это понятно. К сожалению, при установке нового софта редко можно догадаться, что есть злонамеренный код, а что - нет. Один раз ошибёшься - и...

hapatsa

Цитата:

если у меня вдруг System будет ломиться с исходящим соединением по 25 порту - нефиг ей там делать. С другой стороны - виси она в доверенных - то алерта просто не будет и вся залезшая пакость будет очень рада свободе..

WIGF
Я, как раз, наивно надеюсь, что Комод не должен позволить находящемуся в его базе приложению выполнять какие-либо необычные действия. Т.е., находящиеся в его базе приложения не являются "trusted", а только "custom". И если, например, system сделает "шаг влево или вправо", то это должно быть пресечено или должен появиться запрос ко мне.
Ошибаюсь?

ToALL
Подскажите, где в 3-ей версии можно глянуть на правила для приложений и изменть их ?

zhuchella

Firewall -> Advanced -> Network Security Police

Sssvan, ты перепутал или правда ко мне обращаешься ?
Теоретически CFP (как и любой другой фаер) должен работать по прописанным правилам, а значит, если для приложения одни действия разрешены, а другие запрещены, то CFP будет действовать строго в рамках этих правил (как в AR, так и в GR), а вот если правил для конкретного соединения нет, то реакция будет в зависимости от установленного режима CFP.
Т.е. если разрешены для SYSTEM только, например, исходящие VPN и DHCP, а остальное запрещено, то ничего у "зверька" не выйдет и фаер всё заблочит. А по журналу ты это увидишь и соответственно начнёшь лечение компа.


Цитата:

Подскажите, где в 3-ей версии можно глянуть на правила для приложений и изменть их ?

zhuchella, для модуля FIREWALL: Advanced->Network Security Policy->Application Rules
для модуля Defense+: Advanced->Computer Security Policy

WIGF

Цитата:

Т.е. если разрешены для SYSTEM только, например, исходящие VPN и DHCP

А где в глобальних правилах можно устновить сие? Там только для протоколов…

apexfmm, ну я обобщённо написал: VPN - исходящие на TCP-1723 или UDP-1701, а DHCP - входящие/исходящие с/на UDP-67, 68.

Цитата:

Комод не должен позволить находящемуся в его базе приложению выполнять какие-либо необычные действия...Ошибаюсь?

Sssvan, к сожалению заблуждаешься. Все немного не так. База у Комода представляет что-то типа структуры "имя файла, хэш". Т.е. там нет абсолютно накакой информации на тему что можно, а что нельзя делать этому файлу. Все остальное, как написал WIGF, зависит от режима работы Комода. Если режим подразумевает "доверие" сертифицированным файлам - то алертов для них не будет. Вместо алертов будет Allow.

Comodo 3.0.25.378

Не сохраняет изменения в названиях правил. Это только у меня или нет?

Цитата:

Не сохраняет изменения в названиях правил

У меня тоже, в главных правилах

Цитата:

Не сохраняет изменения в названиях правил.

Да, косячокс. И в AR, и в GR.

P.S. Запостил это на оф.форуме.

парни,
есть реальная надежда на появление типовых настроек D+ в шапке?.. этот "in progress" навсегда или что-то всё же будет?.. мы, замученные цейтнотом ламеры, внемлем в надежде!..

umdraak, если честно, то я отключил этот модуль давно и пока не хочу его включать, а XenoZ на данный момент вроде бы не использует CFP. Так что с нашей стороны подвижек в вопросе правил D+ пока не предвидется, но это не означает, что кто-то другой не может их сделать. Ведь если проанализировать данный топик, то видно, что немало народу используют D+ и, соответственно, потенциально могут дать свои рекомендации по настройке этого модуля.

Со своей стороны скажу, что если будет во время летнего отпуска время, то сделаю хотя бы краткое описание всех опций этого модуля на русском языке, если никто до этого времени их не сварганит.

Как показала практика, типовых настроек для практически невозможно создать, т.к. в реальности каждая программа уникальна и использует свои алгоритмы взаимодействия (особенно это проявляется на модульных программах, состоящих из нескольких исполняемых файлов).
Если создавать типовые настройки, то получится:
Вариант 1 Для каждой программы своя "типовая настройка"
Вариант 2 Если для группы программ получится, что разрешаем больше, чем этой программе надо (хотя в случае проверенных и безопасных программ это не так и страшно)

Добавлено:
Кстати, нашёл на комодовском сайте отправку багрепортов https://support.comodo.com/index.php (полезно, если не хочешь показывать владение английским на форуме) пункт     "Submit a Ticket"

D+ пользую, иногда даже помогает, хотя и редко. Есть странный момент: не работают обновления Microsoft Office. То есть всё работает, но когда производится попытка изменить ключ реестра в Classes - инсталлер получает отказ и откатывает всё назад. Работа естественно с правами инсталлера в режиме инсталляции. Полное отключение D+ с ребутом не помогло. Вот такие вот делы...

Цитата:

Полное отключение D+ с ребутом не помогло.

gjf, тогда может в твоём антивирусе дело. Ведь он тоже может блочить такого рода операции (потенциально, а на практике с Авирой не сталкивался).

WIGF
Проблема была при НОДе, осталась до сих пор (с Авирой). Пробовал вырубать и антивирь - без толку.