» Comodo Firewall Pro / Comodo Internet Security (3)

P.S. Пока писАл, успели ответить.

никак не могу установить патчик - лечилку для AdMunchera. Ругается что в нем вирус. Установил /пропатчил/ через безопасный режим. Теперь не запускается AM. Как дело-то исправить?

DikAll
В исключение если добавить? У меня тоже ругался на некоторые чистые вещи, но искл-е помогает.

YVR
мне что-то никак не помогает. В общем не стал мучаться, поставил свою любимую киску

Кто пользуется HopSurf? Расскажите, пожалуйста. Общий смысл понятен, но смутно

WIGF

Цитата:

уже писал про эти тесты и картинки давал. И сейчас этот тест прошёл (всё зелёненькое).

Хм... Интересную ситуацию заметил... Если проверяю ранее упомянутый тест (Stealth Test) через ДиалАп, - все зеленое... если же через ADSL:
TCP "ping" - non-stealthed
TCP NULL - unknown
TCP FIN - non-stealthed
TCP XMAS - non-stealthed
UDP - stealthed

Сначала грешил на CIS, но, как оказалось, аналогичная соответствующая (ДиалАп, ADSL) ситуация и при проверке с Jetico (на ноуте).

Подозреваю, что "проблема" у провайдера... но, возможно, и ошибаюсь... Есть какие-либо идеи по поводу решения данной проблемы?

Для информации:
ADSL-модем: D-Link DSL-300T
Режим: Bridge Mode
Тип соединения: 1483 Bridget IP LLC
DHCP в модеме: отключен

Может XenoZ что-то подскажет по настройкам Jetico...

forser
На pcflank'е перед началом тестирования указывается IP, определенный, как IP тестируемой машины. Нужно, чтобы он соответствовал, иначе будешь тестировать не свою машину, а провайдера.
Также возможны проблемы из-за настроек/особенностей работы ADSL-модема. Здесь ничего не скажу - у меня VPN over Ethernet.
(вопросы по Джетике - лучше в ПМ или в соответствующем топике)

WIGF
Цитата:

Только вот базы антивируса чуднО обновились: только до версии 1552 и пишет, что никогда оне обновлялись базы.

Аналогично. Поставил таки дома КИСу, после установки базы 1157, однако при обновлении потянулась сразу 1552 с нехилым размером в 90+ метров,после чего была предложена перезагрузка, и уже со 2го раза обновилось до актуальной версии.

All
Поймал странный глюк: Defense+ - в режиме параноика, тем не менее вчера при логоне краем глаза зацепил окошко обучения... Сегодня одно из них удалось поймать:

Это что получается, на экране приветствия КИСа висит в режиме обучения?

XenoZ
Возможно в настройках защиты у вас стоит галка "Доверять приложениям подписанным доверенными поставщиками"

ChronoAngel
Как говорится "не первый день замужем" Комод гонял еще с версии 2.3, так что "разрешить", "доверять" и т.п. были отключены сразу.

XenoZ ну значит пока комод полностью не загрузился он находится в состоянии обучения,это баг или фича что бы небыло проблем при загрузке,надо очевидно спрашивать у разрабов

Цитата:

Кто пользуется HopSurf? Расскажите, пожалуйста. Общий смысл понятен, но смутно

Ujinnee, в справке к CIS очень подробно про эту штуку написано. И с картинками. Вот такая вот занимательная панелька к IE, только жаль, что разрабы не догадались, что IE далеко не все пользуются, а то бы и я её заценил...

---

---

forser, ещё добавлю к сказанному XenoZ'ом: если провайдер предоставляет не белые IP, а через NAT, то в таком случае тестироваться будет не ваш комп, а сервер провайдера. Вы можете сами проверить это: в момент проверки полностью включите протоколирование или, что намного лучше, установите сниффер wireshark, который будет отлавливать все пакеты до их обработки фаером. И увидите, на самом ли деле вас тестируют или же кого-то другого.

---

---

Цитата:

Поймал странный глюк: Defense+ - в режиме параноика, тем не менее вчера при логоне краем глаза зацепил окошко обучения...

XenoZ, тоже видел такое окошко после того как обновил CFP автоапдейтом до билда 531. В CIS такого не видел (видать уже обучился ).

Подскажите пожалуйста. У меня вторая версия комода. В сводке записано более 400 событий особой важности. В общем-то всегда так много. Решил разобраться. В журнале посмотрел и нашел следующее:

Описание: доступ приложению запрещен (svhost.exe:0.0.0.0: ms-rdp(3389))
Приложение: C:\Windows\System32\svhost.exe
Родитель: C:\Windows\System32\services.exe
Протокол: TCP Вх
Получатель: 0.0.0.0::ms-rdp(3389)

Таких записей в журнале достаточно много, из 400 около 250-300. Правильно ли то, что у меня оно заблокировано и вообще что оно означает?



Еще появляется такая вещь(если не ошибаюсь выскакивает при включении компа/перезагрузки, я ее всегда просто запрещаю):

Описание: доступ приложению запрещен (svhost.exe:239.255.255.250: upnp-mcast(1900))
Приложение: C:\Windows\System32\svhost.exe
Родитель: C:\Windows\System32\services.exe
Протокол: UDP Исх
Получатель: 239.255.255.250::upnp-mcast(1900))

Что с этим можно сделать: запретить совсем или наоборот можно открыть?



Также были замечены непонятки с GRE. В глобальных правилах у меня стоит правило:
разрешать IP Исх источник любой получатель [vpn билайна] где IP - GRE.
В правилах приложений дается добро svhost на порты 67-68 UDP Вх/Исх.
В журнале пишется следующее(причем блокируется просто так, то есть по времени например не связано с подключением к инету или отключением от него):

Описание: политика входящих нарушений (доступ запрещен, протокол - GRE)
Протокол: GRE входящий
Источник: 10.*.*.*
Получатель: 10.*.*.*
Причина: сетевое правило ID 16

Опять же, как лучше поступить в данном случае? Или все оставить как есть...



И пожалуй последнее. Просмотрел журнал при подключении к инету.
Вышло примерно следующее:
блокируется вышеупомянутый (svhost.exe:95.*.*.*: upnp-mcast(1900)) UDP Вх
блокируется (svhost.exe:10.*.*.*: upnp-mcast(1900)) UDP Вх
блокируется (svhost.exe:239.255.255.250: upnp-mcast(1900)) UDP Исх

После идет:

Описание: политика входящих нарушений (доступ запрещен, протокол - IGMP)
Протокол: IGMP Исх
Источник: 10.*.*.*
Получатель: 224.*.*.*
Причина: сетевое правило ID 16

Описание: политика входящих нарушений (доступ запрещен, протокол - IGMP)
Протокол: IGMP Исх
Источник: 95.*.*.*
Получатель: 224.*.*.*
Причина: сетевое правило ID 16

И только теперь идет доступ разрешен на bootp 67

В это время выскакивают таблички комодо на запрос svhost.exe действовать как сервер
IP: 10.*.*.* UDP порт X
а потом
IP: 95.*.*.* UDP порт Y

Обе таблички разрешаю и все нормально, если запрещаю то соответственно инета нет. Хотелось бы сделать все по-человечески чтоб работало нормально без всяких дополнительных запросов.



Может кто-нибудь помочь с данными вопросами (WIGF ты хде?). Буду очень признателен :)
Добавлено: система - XP SP2, провайдер - билайн

XenoZ

Цитата:

Поймал странный глюк: Defense+ - в режиме параноика...

Можетя не прав, но, ИМХО, нужно посмотреть какое правило стоит для данного компонента в Defense+. Если что-то типа "Windows System Application", то Комода и не должна спрашивать пользователя, чтобы получить доступ к защищенной ветке рееста...

AlaRic, именно svhost ? Или всё-таки svchost ? Если первый вариант, то лечиться от вирусов.
Цитата:

Описание: доступ приложению запрещен (svhost.exe:0.0.0.0: ms-rdp(3389))
Приложение: C:\Windows\System32\svhost.exe
Родитель: C:\Windows\System32\services.exe
Протокол: TCP Вх
Получатель: 0.0.0.0::ms-rdp(3389)

Этот порт используется для удалённого управления. Не нужно это разрешать, если не хочешь, чтобы тобой удалённо управляли.

Цитата:

Описание: доступ приложению запрещен (svhost.exe:239.255.255.250: upnp-mcast(1900))
Приложение: C:\Windows\System32\svhost.exe
Родитель: C:\Windows\System32\services.exe
Протокол: UDP Исх
Получатель: 239.255.255.250::upnp-mcast(1900))

Это SSDP и UPnP. Это надо отключить на уровне служб. На страницах 47-48 об этом почитай (чтобы не повторяться). Там и про IGMP написано.

Цитата:

Также были замечены непонятки с GRE. В глобальных правилах у меня стоит правило:
разрешать IP Исх источник любой получатель [vpn билайна] где IP - GRE.
В правилах приложений дается добро svhost на порты 67-68 UDP Вх/Исх.
В журнале пишется следующее(причем блокируется просто так, то есть по времени например не связано с подключением к инету или отключением от него):

Описание: политика входящих нарушений (доступ запрещен, протокол - GRE)
Протокол: GRE входящий
Источник: 10.*.*.*
Получатель: 10.*.*.*
Причина: сетевое правило ID 16

Всё в одну кучу Разрешение 67-68 (DHCP) никакого отношения к GRE не имеет. Это разные вещи. А вот блокировка странная. По протоколу GRE ты должен связываться только с vpn-серверами, но никак не с другими адресами в локалке. Так что пусть блокируется, если это на работоспособность интернета не влияет.
А какой там источник ? Твой адрес там в качестве получателя должен быть. Или там в качестве получателя броадкаст вашего сегмента (оканчивается на .255) ? Отпишись. Были странные проблемы с одним сегментом в Билайне. Может именно ваш...

Цитата:

В это время выскакивают таблички комодо на запрос svhost.exe действовать как сервер
IP: 10.*.*.* UDP порт X
а потом
IP: 95.*.*.* UDP порт Y

Вот это бы поподробнее. Можешь скрыть свой локальный адрес, но глобальный и порты покажи (он всё равно динамический и меняется при каждом подключении, так что никто не вычислит ).

XenoZ

Цитата:

Нужно, чтобы он соответствовал, иначе будешь тестировать не свою машину, а провайдера.
Также возможны проблемы из-за настроек/особенностей работы ADSL-модема.

Вот и я подозреваю, что именно первый вариант имеет место быть... фактически моя машина находится во "внутренней" сетке с провайдером, а уже его (провайдера) машина выходит в интернет... Так что вряд ли я здесь что-то смогу изменить...

Цитата:

Поймал странный глюк: Defense+ - в режиме параноика, тем не менее вчера при логоне краем глаза зацепил окошко обучения...

Тоже заметил аналогичную ситуацию после он-лайн обновления с 3.10.102194.530 до 3.10.102363.531. Defense+ также в режиме параноика, но на 530 билде подобного замечено не было... То ли в нем подобные окна не отображались, а "обучение" все-таки происходило, то ли в 531 алгоритм изменили, то ли баг...

WIGF

Цитата:

или, что намного лучше, установите сниффер wireshark, который будет отлавливать все пакеты до их обработки фаером. И увидите, на самом ли деле вас тестируют или же кого-то другого.

Ок, спасибо за совет, сейчас проверю...

Добавлено:
laimer

Цитата:

Можетя не прав, но, ИМХО, нужно посмотреть какое правило стоит для данного компонента в Defense+. Если что-то типа "Windows System Application", то Комода и не должна спрашивать пользователя, чтобы получить доступ к защищенной ветке рееста...

Логично... если это так, то тогда "это не баг, а фича" - алгоритм не менялся, а добавили окно предупреждения... Пару раз (при загрузке) выскакивали данные окошки, принтскрином поймал одно, рассмотрел, вроде как, ничего особенного не увидел, но проверить вышесказанное, честно говоря, не додумался... Если повторится, - проверю...

laimer
Цитата:

Можетя не прав, но, ИМХО, нужно посмотреть какое правило стоит для данного компонента в Defense+. Если что-то типа "Windows System Application", то Комода и не должна спрашивать пользователя, чтобы получить доступ к защищенной ветке рееста...

Есть ма-а-аленькое но: по логике работы КИСы окно обучения должно появляться ТОЛЬКО в режиме обучения. Во всех остальных случаях - запрос. Если же доступ к соответствующей ветке разрешен политикой, то тем более не должно быть никаких "обучений".

XenoZ, хм... но ведь можно предположить, что это фактически не "обучение", а т. с. "обновление" уже имеющейся информации о соответствующем файле, т. е. - возможно, не совсем корректно именованы данные сообщения... Хотя, все равно странно - данные сообщения появлялись только в течение нескольких запусков системы после обновления версии CIS... или все-таки баг...

Кстати, XenoZ, а почему твой выбор пал на Comodo?
В чем ты видишь его основные преимущества по сравнению с Jetico (насколько помню, ты именно его использовал)?

Как по мне, в Comodo пока больше минусов чем плюсов в подобном сравнении... имхо, естественно...

XenoZ
Да, согласен, по логике "Зашита+", в данном режиме, должна реагировать на все события возникающие впервые только запросом, а повторные события - подчиняться правилам, созданным ранее. Однако "Защиту+" большинство использует с настройками от производителя, изменяя лишь некоторые параметры. К тому же файл, о котором ты говорил ранее, является подписанным приложением, следовательно доверенным, следовательно с неограниченными правами, хотя, имхо, это не есть гуд... Надо поковыряться бы в настройках, только вот ситуацию такую никак не удается спровоцировать...

laimer

Цитата:

только вот ситуацию такую никак не удается спровоцировать...

Необходимо обновиться на 531 билд... По крайней мере, подобные сообщения я увидел только после обновления версии CIS; настройки не менялись, правила тоже...

WIGF,
Цитата:

именно svhost ? Или всё-таки svchost ? Если первый вариант, то лечиться от вирусов.

Вай-вай промахнулся - конечно же svchost.


Цитата:

Это SSDP и UPnP. Это надо отключить на уровне служб. На страницах 47-48 об этом почитай (чтобы не повторяться). Там и про IGMP написано.

Спасибо. Службы отключил.


Цитата:

А какой там источник ? Твой адрес там в качестве получателя должен быть. Или там в качестве получателя броадкаст вашего сегмента (оканчивается на .255) ? Отпишись. Были странные проблемы с одним сегментом в Билайне. Может именно ваш...

Источник 10.255.255.253


Цитата:

Вот это бы поподробнее. Можешь скрыть свой локальный адрес, но глобальный и порты покажи (он всё равно динамический и меняется при каждом подключении, так что никто не вычислит ).

Порты были 3013-3014 а внешний IP 95.30.71.32

При добавлении элемента в Мои защищённые файлы CIS никак на них не реагирует. Можно изменять, удалять файл.
З.Ы. После того, как я убрал svchost.exe из группы Приложения обновления Windows и создал для него отдельную группу, в Диспетчере задач на вкладке Процессы в колонке Имя пользователя пусто. Только Бездействие системы имеет хозяина - SYSTEM. Может быть как-то с этим связано?
Работаю с правами админа.

Ujinnee
Цитата:

При добавлении элемента в Мои защищённые файлы CIS никак на них не реагирует. Можно изменять, удалять файл.

Значит, где-то уже наигрался с разрешениями.
Неизвестное приложение:


Известное приложение:

Ujinnee, самому было интересно, и вот - эксперимент:

Добавляю в защищенные файлы файл Opera.exe
Из Totalcmd удаляю его, упс - удалился. Смотрю - "Защита" - "Политика безопасности" - "Totalcmd" - "Права доступа" - "Защищенные файлы и папки" - "Разрешить".
Переключаем на "Спросить" и идем удалять Opera.exe. Удаляю - алерт - "Totalcmd хочет изменить запрещенный файл", блокируем и ни фига он сделать не может. Победа !
Если действовать через explorer, а он по умолчанию "системное приложение", то он снесет все что угодно, в т. ч. и защищенные файлы и папки.

(пока экспериментировал, уже ответили)

Вопрос к специалистам: через что работают вирусы ?

Dorovsky

Цитата:

...через что работают вирусы ?

Обычно через процесс explorer, а необычно - х.з. ...

ЗЫ: а на счет остального, выше сказанного, согласен, чтобы без ведома пользователя какие-нить приложения (процессы, кривые руки и.т.д.) чего-нить не удаляли с компа, ИМХО, надо в "предопределенных политиках", модуля "Защита+", во всех правилах изменить настройки для защищенных файлов в положение "Спросить". А когда применяешь пользовательские политики (т.е., когда просто отвечаешь в алерте "Разрешить" для выполнения какого либо приложения/процесса) у мну и так стоит по-умолчанию для "Защищенных файлов" параметр "Спросить".

Цитата:

Обычно через процесс explorer

Тогда теряется смысл всей проактивки...

Dorovsky

Цитата:

Тогда теряется смысл всей проактивки...

А что мешает сделать тоже самое для explorer.exe?
Прочитай, для размышления, справку для функции "Защищенные файлы/папки".

Цитата:

А что мешает сделать тоже самое для explorer.exe?
Прочитай, для размышления, справку для функции "Защищенные файлы/папки".

А что мешало сделать это разрабам, если здесь таится такая опасность ? Давно уже сам подумал об этом, но не стал заморачиваться ибо не хватает знаний и опыта.
Для особо важных файлов юзаю "Мои заблокированные...". Заблокировал целый раздел со 2й ОСью и он как под железобетонным саркофагом.

Посоветуйте качественный вирус (и где скачать), потестю из под Shadow, отпишусь.

Dorovsky

Цитата:

А что мешало сделать это разрабам...

ХЗ, но при установке CIS, в разделе "Управление конфигурациями", от разработчиков уже имеется несколько вариантов конфигов, может в каком-нить конфиге имеется такая настройка, а вообще это дело сугубо личной направленности. Я, например, вообще практически не пользуюсь проводником(процесс explorer.exe) (чтобы через него самому не занести зловредов на комп), только файловыми менеджерами. Но при попытке мною удалить защищенный файл через проводник, Defense обругался и спросил че делать. Я разрешил без запоминания действия, чтоб CIS не создавал правил. Вообщем все работает...

Вообще это конечно очень интересный и важный вопрос. Один юзер ОнлайнАрмора тоже задавал такаой вопрос разрабам, что мол, может запускать explorer.exe с ограниченными правами, тогда типа хана вирусам, на что ему ответили, что делать этого совсем не нужно, во избежании глюков системы.
Вот и интересно, как конкретно вирусня работает, поэтому мог-бы поэкспериментировать.

XenoZ, Dorovsky
Спасибо, понял логику, хотя я с ней и несогласен.
laimer

Цитата:

...во всех правилах изменить настройки для защищенных файлов в положение "Спросить".

Получается, что это не защита самого файла, а лишь запрещение процессам, которые неСистемные или неДоверенные, на определённые действия с этим самым файлом.
Что по мне - довольно неудобно.
По моей логике, если файл защищён, то он должен быть защищён от изменения/перемещения/удаления.