» Comodo Firewall Pro / Comodo Internet Security

Цитата:

Вообще пока результат моего тестирования не утешительный: Если иметь в GR последней строчкой Block all incoming (а без этого стенка не правильная, имхо), то пользователям P2P ничего не остается, как открыть в GR порт (порты), задействованные в P2P клиенте. Открыть там можно только глобально, а это дырка.
Или я ошибаюсь, и можно решить эту проблему как-то хитро?

Perets, чисто теоретически открытие порта в GR не влияет на его открытие для всех подряд.
Ведь потом должен быть процесс, который управляет входящими через этот порт (или WOS, если владелец не установлен). В какой-то момент была дырка в COMODO по этому вопросу, но сейчас уже поправили - см. тут.
Так что порт хоть и открывается в GR, но дальше его надо открыть и для конкретного приложения, чтобы стали проходить пакеты.

В шапке не написано,как правильно писать правила в AR для процессов system и svchost.
Надо ли прописовать в конце правил,строку Block and Log All Unmatching Requests или ставить блок в GR.

WIGF

Спасибо

Цитата:

чисто теоретически открытие порта в GR не влияет на его открытие для всех подряд.
Ведь потом должен быть процесс, который управляет входящими через этот порт (или WOS, если владелец не установлен). В какой-то момент была дырка в COMODO по этому вопросу, но сейчас уже поправили - см. тут.
Так что порт хоть и открывается в GR, но дальше его надо открыть и для конкретного приложения, чтобы стали проходить пакеты.

Мм.. как раз теоретически очень даже влияет, имхо. Если порт в GR открыт, троян может его вычислить портсканом, и вот он - канал для бесконтрольной передачи чего угодно...
Так что "процесс, который управляет входящими через этот порт" вполне может оказаться вражеским.
ЗЫ: Топик по ссылке почитал, проблема как раз та самая, а вот о том что это поправили, там нет утверждений.
То, что написАл Yuriy, подтверждаю, но не так всё просто...
Аргументирую:
Действительно, если запущен P2P клиент, и он в данный момент слушает некий порт, в логах входящие по этому порту отразятся правильно, то есть на данного клиента.
Теперь возьмем достаточно обычную ситуацию - некто использует торрент клиента и, скажем, осла.
Значит в GR должно быть открыто, как минимум, два порта. Так вот, если не запущен хотя бы один из P2P клиентов, входящие по его порту будут адресоваться по-прежнему через WOS.
Т.е. мы имеем то, с чего начали - теоретическую дырку, которая легко может стать практической. ИМХО.
Был бы рад ошибиться. )

кто подскажет? Только поставил(точнее переставил).

Ситуация такая: на чистую машину, выбрал конфиг "Internet Security". Сам сижу за роутером с IP 192.168.1.1/255.255.255.0

При первом запуске вылезло окно с предложением назвать данную локальную сеть (192.168.1.1/255.255.255.0), отметил пункт "разрешить шары..."

Далее, вылезает окно, мол прога лезет в инет по такому-то порту и все такое. Нажимаю "Allow"(не выбирая предустановки).

Залезаею в натсройки фаервола - правила. Так он фигачит сразу правило:

Т.е. разрешить все и всюду и как захочешь.

И история повторяется со всеми программами

Что делать?

Sanserif
Изучать шапку...
Особенности создания правил по запросу

Добавлено:
Взято из двойки. У тройки принцип аналогичный

эээ... не нашел ничего подобного в своей версии 3.5? Ткни? нашел!

Цитата:

В шапке не написано,как правильно писать правила в AR для процессов system и svchost.
Надо ли прописовать в конце правил,строку Block and Log All Unmatching Requests или ставить блок в GR.

vladpol2008, дело вкуса, но у меня во всех правилах по всем приложениям и в GR стоит какое-то завершающее правило (за редким исключением это Block and Log All Unmatching Requests).
По правилам для System и svchost.exe действоаать надо также как и для остальных приложений: разрешать то, что можно и необходимо для работы, а остальное блокировать.
Сейчас поищу свои настройки по этим двум приложениям и дам ссылку, чтобы ещё раз не набирать... Не нашёл.
Напишу заново свои настройки:
• для System разрешены исходящие по PPTP и L2TP (см. в шапке настройки для vpn-соединений);
• для svchost.exe разрешены исходяшие HTTP/HTTPS (т.е. на TCP 80 и 443 - для обновления виндоса), исходящие DNS-запросы (т.е. на UDP 53 DNS-серверов провайдера) и исходящие DHCP-запросы (т.е. UDP с порта 68 на порт 67).
• для WOS разрешены входящие ICMP с доверенных узлов (VPN, DNS и DHCP-серверы провайдера).
Всё остальное запрещено.
Но это для меня. А, например, если используется NetBIOS, то добавятся правила для svchost.exe и т.п.

---

---

2 Perets
Цитата:

Мм.. как раз теоретически очень даже влияет, имхо. Если порт в GR открыт, троян может его вычислить портсканом, и вот он - канал для бесконтрольной передачи чего угодно...

Но ведь при правильной работе фаера после прохождения пакета через пакетный фильтр (GR) он должен пройти и через фильтр приложений (AR). И вот раньше была дырка, при которой при открытии порта в GR с ним можно было ничего не делать в AR - он для всех подряд октрывался, независимо от настроек для конкретных приложений (в т.ч. для WOS).

Цитата:

Топик по ссылке почитал, проблема как раз та самая, а вот о том что это поправили, там нет утверждений.

Yuriy Вроде написал, не напрямую, но косвенно подтвердил, что дырки больше нет. Я с тех пор не проверял, но чуть раньше я писал про квип и входящие соединения - и там входящие отражались, а значит поправили.
Да и ты сам ниже написал, что входящие отражаются (с владельцем или без, т.е. с владельцем в лице WOS).

Цитата:

Действительно, если запущен P2P клиент, и он в данный момент слушает некий порт, в логах входящие по этому порту отразятся правильно, то есть на данного клиента.
Теперь возьмем достаточно обычную ситуацию - некто использует торрент клиента и, скажем, осла.
Значит в GR должно быть открыто, как минимум, два порта. Так вот, если не запущен хотя бы один из P2P клиентов, входящие по его порту будут адресоваться по-прежнему через WOS.
Т.е. мы имеем то, с чего начали - теоретическую дырку, которая легко может стать практической. ИМХО.
Был бы рад ошибиться. )

Вот поэтому и не стоит открывать порт через WOS. Потому что после открытия порта в GR он должен быть открыт и ещё для кого-то в AR. И лучше его открыть для конкретного приложения, которое реально будет ждать такие соединения, чем для WOS, а значит для неизвестно кого...

WIGF
Благодарю.
Цитата:

• для System разрешены исходящие по PPTP и L2TP (см. в шапке настройки для vpn-соединений);
• для svchost.exe разрешены исходяшие HTTP/HTTPS (т.е. на TCP 80 и 443 - для обновления виндоса), исходящие DNS-запросы (т.е. на UDP 53 DNS-серверов провайдера) и исходящие DHCP-запросы (т.е. UDP с порта 68 на порт 67).
• для WOS разрешены входящие ICMP с доверенных узлов (VPN, DNS и DHCP-серверы провайдера).
Всё остальное запрещено.
Но это для меня. А, например, если используется NetBIOS, то добавятся правила для svchost.exe и т.п.

Еще несколько вопросов.
1.DHCP-серверы провайдера-как их определить?
2.У меня, NetBIOS включён и в PPTP и подключении локалки-оба отключить?

vladpol2008
1. про входящие ICMP - это совсем не обязательно, просто мой провайдер иногда проверяет моё существование и если я не отвечаю, то не выдаёт настройки. А посмотреть твой DHCP-сервер можно через ПУСК-ВЫПОЛНИТЬ-cmd-ipconfig /all
2. Если NetBIOS не нужен, нет внутренней сетки дома (т.е. дома 1 комп), нет общего доступа к интернету через данный комп с других компов дома, то можно отключить и в настройках сетевых подключений и в службах: ПУСК-ВЫПОЛНИТЬ-services.msc и там службы "Модуль поддержки NetBIOS через TCP/IP" и "Брандмауэр Windows...".

WIGF
Долго вчера тестировал, в итоге всё получилось и весьма неплохо. )
Сразу оговорюсь, проверял только на CIS 3.5, в данный момент V 3.5.55810.432.
Итак, исхожу из предположения, что последним правилом в GR стоит Block ALL Incoming, что есть правильно.

Открываем в GR необходимые P2P порты на вход:
Rule for incoming TCP and UDP connections:
Allow TCP OR UDP In From Any To [Internet Zone] Where Source Port Is In Port Range 1024-65535 And Destination Port Is In [Torrent Port]

Закрываем эти же порты для WOS:
Block TCP OR UDP In From Any To [Internet Zone] Where Source Port Is In Port Range 1024-65535 And Destination Port Is In [Torrent Port]

Настраиваем, например, uTorrent(torrent-клиент):

1. Rule for incoming TCP and UDP connections:
Allow TCP OR UDP In From Any To [Internet Zone] Where Source Port Is In Port Range 1024-65535 And Destination Port Is In [Torrent Port]
2. Rule for outgoing TCP or UDP connections:
Allow TCP or UDP Out From [Internet Zone] To Any Where Source Port Is In Port Range 1024-65535 And Destination Port Is In Port Range 1024-65535
3. Block and Log All Unmatching Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any

Несколько жёстче, чем в шапке, но у меня никаких проблем не возникло (DHT отключен).
Отдельные пиры блочатся потому, что используют Торрент порт из диапазона [Privileged Ports].

Цитата:

Вопрос, насколько существенно такие коннекты запрещать?

На этом всё, если P2P клиент запущен, он полноценно работает.
Если же нет, все входящие запросы на его порт корректно блочатся в WOS.
Можно еще закрыть программу клиента каким-нибудь HIPS (Defender+, например) и дышать глубоко и ровно.

Кстати, первые два примера вполне себе универсальны. =))

Люди помогите пожалуйста я скачал CIS_Setup_3.5.55810.432_XP_Vista_x64 Устанавливаю а он мне пишет An unsupported operation was attempted. и не устанавливается на Windows Vista X64bit Если кто знает помогите пожалуста!!

WIGF

Цитата:

1. про входящие ICMP - это совсем не обязательно, просто мой провайдер иногда проверяет моё существование и если я не отвечаю, то не выдаёт настройки. А посмотреть твой DHCP-сервер можно через ПУСК-ВЫПОЛНИТЬ-cmd-ipconfig /all
2. Если NetBIOS не нужен, нет внутренней сетки дома (т.е. дома 1 комп), нет общего доступа к интернету через данный комп с других компов дома, то можно отключить и в настройках сетевых подключений и в службах: ПУСК-ВЫПОЛНИТЬ-services.msc и там служба "Модуль поддержки NetBIOS через TCP/IP".

Спасибо.Запустил ipconfig /all - DHCP-сервер везде выключен.NetBIOS,придётся оставить.По ходу дела, допишу правила для system и svchost.exe.

Народ, увидел, как работает SafeSurf. Он отреагировал на запущенные DC++ клиенты. Только они начали работу, как вылезло диалоговое окно, в котором говорилось, что программы что-то там терминэйт... и они закрылись. Я из добавил в список SafeSurf - и они больше не закрывались.

Цитата:

Закрываем эти же порты для WOS:
Block TCP OR UDP In From Any To [Internet Zone] Where Source Port Is In Port Range 1024-65535 And Destination Port Is In [Torrent Port]

Perets, а точно нужно это правило ? По идее, остутствие этого правила приведёт либо к запросу (если кто-то ждёт подключения), либо фаер его молча будет резать - это я про вариант выбора "Custom Policy Mode".
Хотя, одобряю: лучше раз и навсегда заблочить и забыть.

---

---

Цитата:

Люди помогите пожалуйста я скачал CIS_Setup_3.5.55810.432_XP_Vista_x64 Устанавливаю а он мне пишет An unsupported operation was attempted. и не устанавливается на Windows Vista X64bit Если кто знает помогите пожалуста!!

211Ivan, попробуй поставить х32.

---

---

vladpol2008, если в настройках сетевого подключения у тебя всё ручками забито, то DHCP не нужен, т.е. можно было и не смотреть через ipconfig.
NetBIOS можешь разрешить не для всех подряд, а только для конкретного диапазона IP (и в правилах этот диапазон используй, чтобы случайно не тому не разрешить) - это я на всякий случай.

WIGF

Цитата:

если в настройках сетевого подключения у тебя всё ручками забито, то DHCP не нужен, т.е. можно было и не смотреть через ipconfig.

В настройках TCP/IPv4 подключения PPTP,стоит IP и DNS-автоматически,впрочем реально постоянно 10.128.0.108 и 10.128.0.0 соответственно.

Цитата:

NetBIOS можешь разрешить не для всех подряд, а только для конкретного диапазона IP (и в правилах этот диапазон используй, чтобы случайно не тому не разрешить) - это я на всякий случай.

Это значит, создать в My Network Zones нужные зоны и разрешать их для NetBIOS,я правильно понял? Осталось разобраться какие соеденения создаёт NetBIOS.

Цитата:

лучше раз и навсегда заблочить и забыть

Ага, в любом случае так спокойней.

А что теория говорит насчет работы P2P на портах из [Privileged Ports]?
Вроде бы ничего криминального тут нет, и немало пользователей ставят себе в клиенте такие порты..

В коломбо IS антивирус совсем убогий или нормальный? Если сравнить, то на уровне какого антивируса он стоит по качеству? Судя по нескольким ложным срабатываниям-это аваст! Или хуже?

SergeSochi

ИМХО, хуже и аваста, и авг, и, тем более, авиры (ну это если мы про бесплатные ). Пользовался, много тушканов пропускает. Лучше ставить что-то от другого производителя.

ЗЫ. А файервол, имхо, хорош.

Цитата:

В настройках TCP/IPv4 подключения PPTP,стоит IP и DNS-автоматически,впрочем реально постоянно 10.128.0.108 и 10.128.0.0 соответственно.

vladpol2008, это понятно, но это не первичное соединение. По vpn и у меня автоматом стоит. А вот настройки локального подключения могут быть и ручками забиты, и автоматом получаться (адреса 10.*.*.* - это адреса внутренние, которые как раз по локалке выдаются/прописываются). В любом случае увидишь, если однажды IP не сможешь получить из-за отсутствия разрешения DHCP-запросов.
А по NetBIOS посмотри в шапке в разделе по двойке Network Control.

---

---

Цитата:

А что теория говорит насчет работы P2P на портах из [Privileged Ports]?
Вроде бы ничего криминального тут нет, и немало пользователей ставят себе в клиенте такие порты..

Perets, так просто выбранный порт может попасть на зарезервированный какой-то программой или протоколом прикладного уровня. Да и такие порты в принципе за системой зарезервированы.

Народ подскажите, как эту гадину (других слов уже нет), заставить в CS показывать список серверов в инете. Показывает, только если отключить совсем защиту. Игра- доверенное приложение....были разные фанеры - на всех доверенное приложение было доверенным, кроме этого...

kotodama, надо в журнале CIS посмотреть блокировки и по ним уже что-то решать (разрешать какие-то соединения или ещё что-нить).

WIGF

Цитата:

так просто выбранный порт может попасть на зарезервированный какой-то программой или протоколом прикладного уровня. Да и такие порты в принципе за системой зарезервированы.

Да я это понимаю и у себя порт назначаю >1023 конечно.
Но так делают не все, вопрос заключался в том, что криминального случится, если моему клиенту позволить принимать и отправлять запросы на порты 1-1023.
Ну хочет кто-то задействовать для торрентов порт 808 или 1021, зачем его отвергать?

! Есть ли возможность увидеть в логах какое именно правило породило лог?

Цитата:

что криминального случится, если моему клиенту позволить принимать и отправлять запросы на порты 1-1023.

Есть такая известная зараза - троян Долли (Doly Trojan). Сидит а портах 1010-1012 и 1015. Это - как один из известных примеров. Такое вам нужно?

Кстати сказать, сменить используемый порт в серверной части - пара пустяков


Цитата:

Есть ли возможность увидеть в логах какое именно правило породило лог?

К сожалению, нет.

Цитата:

Есть такая известная зараза - троян Долли (Doly Trojan). Сидит а портах 1010-1012 и 1015. Это - как один из известных примеров. Такое вам нужно?

Кстати сказать, сменить используемый порт в серверной части - пара пустяков

Не очень понял про серверную часть...
Чтобы убедиться, что мы говорим об одном и том же, возьмём, к примеру, utorrent.
Допустим мой порт в этой программе - 33333. ЕХЕ-шник защищен с помощью HIPS.
Среди пиров на раздачах есть такие, кто прошил в своем клиенте порт 1015.
Я разрешаю utorrent отдавать/принимать контент на этот порт.
Если у кого-то сидит троян Долли, чем он может повредить МНЕ?
Врядли цель Doly связаться с utorrent, а кроме него вход на 1015 никому не доступен.
А если я разрешил клиенту отдавать на этот порт, что ж, пусть троян кино смотрит.
Так в чём же опасность?

WIGF

Цитата:

это понятно, но это не первичное соединение. По vpn и у меня автоматом стоит. А вот настройки локального подключения могут быть и ручками забиты, и автоматом получаться (адреса 10.*.*.* - это адреса внутренние, которые как раз по локалке выдаются/прописываются). В любом случае увидишь, если однажды IP не сможешь получить из-за отсутствия разрешения DHCP-запросов.

Настройки локалки набиты вручную.На пробу, заблокировал в GR UDP исходящее,порты 68 и 67.Пока всё работает.Стоит ли оставить блокировку или лучше включить.И ещё,когда открываешь View Active Connections,не виден реальный входящий трафик.Загрузчик вовсю качает, а видно всего несколько килобайт.

Perets
В начале не сразу понял проблему. Потому и ответил не совсем то. Приношу извинения.

Разреши все входящие на 33333.
Разреши исходящие TCP.
Разреши исходящие UDP с 33333.

С торрентом безопасность снизиться, поскольку гипотетически сервер троянской программы может слить инфу по TCP. Но делать твою машину ботом не получится - чётко ограничены входящие команды.

gjf

Цитата:

Разреши все входящие на 33333.
Разреши исходящие TCP.
Разреши исходящие UDP с 33333.

У меня так и сделано. Вернее почти так, поскольку я и исходящие TCP разрешил клиенту только с 33333.
Кроме того, закрыл вход по 33333 для WOS, писАл на предыдущей странице.
Пока проблем не наблюдаю, может быть ты сталкивался с ними, или речь не об utorrent?
В каком случае ему может понадобиться выходить не со своего порта?
Еще я оставил ASK на запрос по HTTP (как в шапке), но у меня пока ни разу этого не произошло.

vladpol2008
Цитата:

Настройки локалки набиты вручную.На пробу, заблокировал в GR UDP исходящее,порты 68 и 67.Пока всё работает.

Тогда разрешение DHCP-запросов не нужно. А блокировать их намеренно не обязательно: главное, чтобы ненужных входящих не было, а исходящие в GR можно все разрешить (если только нет задачи что-то конкретное заблочить из IP или др.) и рулить исходящими уже на уровне приложений в AR.
Цитата:

И ещё,когда открываешь View Active Connections,не виден реальный входящий трафик.Загрузчик вовсю качает, а видно всего несколько килобайт.

Наблюдал такое и не раз... Это к разработчикам, недоделка на лицо.

Блин!!!помогите пожалуйста!!CIS_Setup_3.5.55810.432_XP_Vista_x64 не устанавливается на Windows Vista X64bit!!!

Цитата: WIGF попробуй поставить х32.

а тип о поставь Х32 это смешно!!! у меня Win VistaX64 а не Win x32