» Comodo Firewall Pro / Comodo Internet Security (3)

Ujinnee
Цитата:

А в русской ветке на оффоруме делать нечего, я так понял.

Насколько я понял, там модератор, по мере сил и возможностей, периодически составляет баг-рапорты на основании существующих сообщений. Вот только насколько активно разработчики на указанные им баги реагируют... Это совсем другой вопрос...
(стукну, наверное и в русской ветке оффорума по этим багам... пусть будет... )

XenoZ

Цитата:

Вот только насколько активно разработчики на указанные им баги реагируют...

Вот-вот. Хотя бы по вопросу русификации.

XenoZ
Цитата:

Цитата:
Заметил такой баг. Если в Настройках - Логирование выбрать перемещение логфайлов в пользовательскую директорию при превышении размера, то ровным счётом ничего не происходит.
Помню, такое было еще на 3.0, потом мы с Комодом надолго расстались... И похоже, в 3.10 баг еще не поправили...

А никто не пробовал в качестве целевой директории для сохранения логов выбирать такую, в пути к которой нет русских букв ? Возможно такой вариант поможет.
Цитата:

1. тип соединения - VPN (PPTP). Для работы необходимо: соединение на уд. порт 1723,TCP и открытый протокол GRE. На самом деле: работает БЕЗ разрешения протокола GRE в Глобальных правилах.

Получается, что то, что не запрещено в GR, это разрешено. Это было бы нормально, но не для режима "Пользовательский". А это сводится к тому, что всё-таки надо делать завершающее блокирующее правило в GR, что неудобно...
Цитата:

2. тип соединения - VPN (L2TP). Здесь с подключением все нормально... Но! В Активных соединениях весь трафик указывается проходящим через System, UDP, 1701 порт.

Что-то ты путаешь... Там трафик считается, точнее он как бы дублирует весь остальной трафик. И т.о. можно посмотреть весь потраченный трафик за сессию... наверное (не сравнивал)
Цитата:

(тут общались с WIGF в аське, так похоже, что КИСа контролирует только протоколы TCP, UDP и ICMP, т.к. у него работает IGMP также без явных разрешений)

Да, очень на это похоже. Другие протоколы вроде как нечем проверить. Но вот IGMP у меня, действительно, работает без правил в AR.

Добавлено:
Однако... Заблочил сейчас в WOS и исходящие с протоколированием и выяснилось, что на само деле соединения по IGMP COMODO понимает как соединения WOS (блокировки отразились). И IPTV не работало, но спустя секунд 30 всё-таки как-то заработало.
Потом переключил канал и опять 2 блокировки в журнале отобразились, секунд 30 думал и канал заработал. Возможно, что программа сама потом нашла потоки IPTV, либо через какое-то время CIS стал понимать такие соединения не как от лица WOS, а как от лица IPTV-плеера (там есть разрешение по адресам).
Потом добавил разрешающее правило для WOS по исходящим IGMP и каналы стали моментально переключаться.
Намудрили комодовцы с этим WOS...

Добавлено:
Получается, что в WOS надо прописывать все исходящие по неосновным протоколам.
Потом правила по vpn в шапке подправлю, да и для WOS в шапке другие надо будет прикрепить.
Дырки как бы и нет, просто почему-то для исходящих WOS по умолчанию стоит политика "Разрешать" (по аналогии с iptables), а для входящих "Запретить". Может WOS на основе политик виндоса в данном случае действует ? Ведь там так же устроено: все исходящие разрешены, а на входящие запрос или вообще запрет.

WIGF

Цитата:

А никто не пробовал в качестве целевой директории для сохранения логов выбирать такую, в пути к которой нет русских букв ?

А нет у меня в пути к целевой директории русских букафок! (правда и лог-файл пока еще до лимита не дорос...)
Хотя, вроде у КИСы проблем с кириллицей нет. Настраивал правила для Ведьмака - работает.

Цитата:

Получается, что то, что не запрещено в GR, это разрешено. Это было бы нормально

Это ненормально! Все, что не разрешено, должно быть запрещено.

Цитата:

Что-то ты путаешь...

Ничего я не путаю. Запусти закачку чего-нибудь здорового, открой окно соединений КИСы, и посмотри, где трафик фигачит. (причем, на соединении VPN(PPTP) трафик показывается правильно)

Цитата:

Однако... Заблочил сейчас в WOS и исходящие с протоколированием и выяснилось, что на само деле соединения по IGMP COMODO понимает как соединения WOS (блокировки отразились)

Так я ж об этом уже говорил... Если прописать в Глобальных правилах разрешение для GRE с логированием, то соединения в логе пишутся от имени WOS.

Цитата:

Дырки как бы и нет, просто почему-то для исходящих WOS по умолчанию стоит политика "Разрешать"

А это не дырка: разрешать исходящие для "левых" пакетов (да еще и разрешать получать ответ на них)?
Тут получается, что для нормальной работы (чтобы действительно блокировалось все, что не разрешено) в Глобальных правилах последним надо ставить "запретить все"...

Есть проблема. Ставим CIS 3.10 на сервер (только антивирус), затем копируем любой файл в буфер, заходим на этот сервер по Remote Desktop Connection и пробуем вставить файл - сервер уходит в перезагрузку с ошибкой
Конфиг сервера - Win 2003 R2 SP2 Rus 32x.
Это стопроцентно из-за Comodo, такая же вещь была у антивируса F-Secure. Сносим Comodo, перезагружаемся, пробуем ставить Нод, и он заявляет, что в системе висит F-Secure Software.

acro
AgapKa

-оффтоп
-переход на личности

Varset
Цитата:

он заявляет, что в системе висит F-Secure Software

А если проблема в этом? Некорректно/не полностью удален, остались хвосты в виде драйверов и/или записей в реестре?

WIGF

Цитата:

А это сводится к тому, что всё-таки надо делать завершающее блокирующее правило в GR, что неудобно.

А чем неудобно? У меня прописано это правило и ничего, работает...

Тестировала сегодня на компе у брата антивирус Комодо, нашел все кряки и кейгены, что до этого нашел Аваст, и даже больше, а именно - почему-то указал на некоторые exeшники электронных книг, как на вирусы. Проверили все эти файлы онлайновым антивирусом Касперского и Куреитом Веба - молчат, не ругаются. Не знаем кому верить. Выходит, если у Аваста много ложных срабатываний, то у Комодо их еще больше...Или же Касперский с Вебом пропускают ...

XenoZ
Цитата:

Ничего я не путаю. Запусти закачку чего-нибудь здорового, открой окно соединений КИСы, и посмотри, где трафик фигачит. (причем, на соединении VPN(PPTP) трафик показывается правильно)

Да, странно это, действительно не отображается скачка. Раньше наоборот маленькая скачка по ftp не попадала в активные соединения. Лог вообще не очень информативный и тормознутый (не сразу открывается, если записей много, а немного подвисает). Но тут всё-таки проблема в протоколе L2TP: Каспер, например, при интернете через L2TP определяет в качестве источника атак vpn-серверы, а не конкретные узлы.
Цитата:

Цитата:
Однако... Заблочил сейчас в WOS и исходящие с протоколированием и выяснилось, что на само деле соединения по IGMP COMODO понимает как соединения WOS (блокировки отразились)
Так я ж об этом уже говорил... Если прописать в Глобальных правилах разрешение для GRE с логированием, то соединения в логе пишутся от имени WOS.

Это понятно, только я это же проверил на IGMP.

---

---

Цитата:

А чем неудобно? У меня прописано это правило и ничего, работает...

Ronin666, есть программы, для которых нужны входящие, и заранее неизвестно на какой порт эти входящие будут. Но всё-таки можно и с завершающим блокирующим. Как-то я сразу не подумал об этом... Тогда нужно до него разрешить исходящие и входящие TCP/UDP. Будет тоже самое, что и сейчас у меня, но будут резаться все остальные протоколы на уже на уровне GR, а не на уровне AR.
Даже не точно не подумал, а просто не предполагал, что не запрещённые в GR неосновные протоколы будут разрешаться молча.

Добавлено:
AgapKa, антивирус у COMODO сейчас на стадии развития. Если вы пошлёте через сам CIS эти файлы, по которым были возможно ложные срабатывания, то и при безвредности добавят в будущие базы как исключения.
Вот такая вот неуёмная эвристика у COMODO, даже на низком уровне. Но это ведь лучше, чем если бы не было срабатывания на вредоносный файл.

При запуске нового (неизвестного комодику) приложения периодически выскакивает попап "Проактивная защита обучается"- и показывает что изменяется защищенная ветка реестра. Это почему так? Проактивка в безопасном режиме. Доверенных приложений почти нет. Может потому-то выполнение действия новой программой наследует родительские права explorer.exe ?
Хотелось бы чтобы на любое подобное действие все-таки был запрос.

Первых пять минут после старта MS Windows работать не возможно — CIS интенсивно обращается к HDD и грузит проц. Как это отключить? Антивирус в ручном режиме и сканирование памяти при старте отключено.

acro, ну так безопасный режим - это ведь не параноидальный. Возможно данные приложения в числе безопасных по классификации COMODO, поэтому и обучение происходит, а не запросы. И про галочку по доверенным на той же вкладке, где режимы Defense+, не стоит забывать.

---

---

a520, скорее всего протоколирование включено слишком во многих правилах в фаере.
Либо конфликт с каким-то другим софтом или с остатками другого софта.

WIGF
В том-то и фокус, что база по безопасным производителям почищена, доверять надежным тоже запрещено. Может все-таки из-за родительских прав? Отключаются где-то они?

WIGF

т.е. такая фигня только у меня?
Протоколирование не включал вовсе и другие атививирусы не пользовал.

Цитата:

Первых пять минут после старта MS Windows работать не возможно — CIS интенсивно обращается к HDD и грузит проц. Как это отключить?

Возможно блокируются обращения к защищенным процессам. Необходима настройка исключений защиты. Посмотрите отчет проактивной защиты в главном меню.

WIGF
Цитата:

антивирус у COMODO сейчас на стадии развития

Пофлудить, что ли?..

Комодовский антивирь за 3 года так и не вылез из перманентного бета-состояния. Как бы слишком затянувшаяся стадия развития...
Что он ловит и как - это отдельная песня... Как и размер обновлений баз (что, впрочем, типично для Комодо - скромностью ребята в этом плане не страдают).
Свежий пример: шеф сходил в соседний офис. Как результат - принес на флэшке очередной авторан. ESS сделал стойку сразу. Решил КИСовский антивирь проверить. Перегружаюсь в систему с КИСой, вставляю флэшку... Ничего... Запускаю скан - "Вирусов не найдено". Потом подсунул ему сборник из 20 вирей не первой свежести - обнаружил только 10... А на свежеустановленной системе "нашел" 12 вирусов...
Может, конечно, комодовцы считают, что откровенная убогость антивируса компенсируется надежностью HIPS'а... Вот только зачем оно такое надо, когда в дополнение к хорошему HIPS'у можно поставить хороший антивирус от другого производителя, отключив встроенное чудо нафик...
По крайней мере, своим знакомым я бы этот "антивирус" рекомендовать не стал.

а вот окошко алерта мне у него понравилось - красиво сделали...

Добавлено:
acro
Цитата:

При запуске нового (неизвестного комодику) приложения периодически выскакивает попап "Проактивная защита обучается"

Уже постил о похожем. Похоже на глюк.

a520
Цитата:

Первых пять минут после старта MS Windows работать не возможно — CIS интенсивно обращается к HDD и грузит проц.

Странно... Чем мне понравилась КИСа, так тем, что система грузится очень быстро. (антивирус отключен, поставлена Авира)

a520, честное слово, без проблем загружается.
А всё-таки в журнале много срабатываний ?
И стоял ли какой до этого софт, который был снесён ?

---

---

XenoZ
Цитата:

Как бы слишком затянувшаяся стадия развития...

Ну уж какая есть
А по поводу флэшки: так ты небось всё уже удалил с помощью NOD32, поэтому и не нашёл. А вот в старых сборниках у меня как раз CIS больше нашёл и убил вирусни (оставил лишь 1 файл из... забыл сколько было, но больше ста), нежели NOD32 (оставил нетронутыми более 20-ти файлов). Но всё это, конечно же, ни о чём не говорит. Главное, чтобы на практике всё было Ок. Я пока им попользуюсь всё-таки... но вместе с NOD32 2.70.39

WIGF
Цитата:

А по поводу флэшки: так ты небось всё уже удалил с помощью NOD32, поэтому и не нашёл.

Хм... неужто я так похож на ламера, чистую флэшку тестить?
Вирь был выдернут из карантина ESS в папку для исключений, оттуда скопирован на флэшку с командой "Игнорировать".
После проверки комодовским антивирем на флэшку был натравлен CureIt, к-рый и прибил авторан, а заодно и систему проверил, на всякий случай...
Воть...

И, учитывая повальное распространение в последнее время флэшевых вирусов, сабжевый антивирус как-то не впечатляет...

XenoZ

Цитата:

И, учитывая повальное распространение в последнее время флэшевых вирусов, сабжевый антивирус как-то не впечатляет...

Именно для этих целей у меня стоИт ещё и USB Disk Security.

Цитата:

Уже постил о похожем. Похоже на глюк.

Да, похоже. Только у меня это происходит "гораздо после" загрузки.

После перезагрузки пропали все настройки. Список конфигураций в разделе "Управление конфигурациями" пуст. Осталась только строчка COMODO-Internet Security.
Восстановил резервную COMODO-Internet Security-Updated1. Настройки восстановились кроме обновлений антивируса(?). Предполагаемая причина: восстановление и активация сохраненной конфигурации COMODO-Internet Security-Updated1 с последующим удалением неактивной конфигурации COMODO-Internet Security-Updated.
Стоит-ли в этом случае переустановить программу?

XenoZ, если так по флэшке, то явный минус COMODO.
И я не сомневаюсь, что ты не ламер Привычка такая у меня: писать самые глупые варианты, если о них не сказано, а то частенько именно глупые варианты и являются рабочими... ну забыл я, что именно тебе пишу...

Добавлено:
Chis1, похоже на глюк. Но если есть конфигурация, то можно и переустановить, чтобы уж наверняка.

О вчерашнем авторане сегодня:


Цитирую себя любимого:Кстати, сегодня КИСа этот авторан уже ловит, и при втыкании флэшки и при распаковке. Вчера попробовал ейную отправку подозрительных файлов... Мдя... Из карантина отправляет все, что там есть. Если же использовать именно отправку, то отправляет то, что укажешь, но в обоих случаях - молча, т.е. не дает никакой возможности вставить комментарий к отправке по содержимому: positive false это или possible malware...

Цитата:

Varset
Цитата:
он заявляет, что в системе висит F-Secure Software

Цитата:

А если проблема в этом? Некорректно/не полностью удален, остались хвосты в виде драйверов и/или записей в реестре?

Дело в том, что первым антивирусом, который туда вообще был поставлен, был именно Comodo. Кроме того, софта компании F-Secure на сервере нет и не было тоже.
Из чего я делаю вывод, что Comodo основан на ядре F-Secure, и hooks обрабатываются аналогично...
Я же говорю - после удаления Comodo все стало нормально, а хвост я бы не заметил, если бы мне Nod не сказал об этом.

Varset
Цитата:

Кроме того, софта компании F-Secure на сервере нет и не было тоже.

Цитата:

Это стопроцентно из-за Comodo, такая же вещь была у антивируса F-Secure.

Не сходится, однако...

К тому же, не знаю, как на сервере, а на XP x86 сабж версии 3.10 удаляется чисто, без хвостов...

XenoZ, WIGF
Провёл эксперимент. Запись в логе "Протокол ICMP, IP источника [неважно], порт источника Type(3), IP назначения [мой], порт назначения Type(3)" по замыслу разработчиков означает вот что. Это ICMP пакет с типом 3 - адресат недоступен, кодом 3 - порт недостижим.

Ujinnee
Тут похоже не замысел, а экономия столбцов. Просто логичнее было бы для ICMP добавить отдельный столбец, а так параметры выводятся в уже существующие, да еще и с ошибкой: код также назван "Тип".

All
Проверил, что будет, если в Глобальных правилах поставить в конец "Запретить IP вх/исх из IP любой в IP любой где протокол любой"... Ничего не будет... В прямом смысле - блокируется вообще все исходящие, даже не взирая на разрешения в правилах приложений. В принципе, это согласуется с описанной логикой прохождения пакетов... Но тогда все еще остается открытым вопрос о разрешенных по умолчанию исходящих пакетах от имени WOS, т.е. ничьих...

XenoZ
Столбцов, по идее, хватает. Если бы было написано в порт назначения вместо Type(3) Cod(3), и описано в справке, вопросов бы вообще не возникало.

Цитата:

блокируется вообще все исходящие, даже не взирая на разрешения в правилах приложений.

Но разрешения которые стоят выше в GR, надеюсь, не блокируются?
А по поводу WOS не понял. Пусть они ничьи, но под правило запрещения то попадают.

Ujinnee
Цитата:

Столбцов, по идее, хватает.

Вот только смысл хромает, т.к. тип/код к портам - ну никаким боком...

Цитата:

Но разрешения которые стоят выше в GR, надеюсь, не блокируются?

Теоретически - не должны, только у меня в GR разрешающих правил нет.

Цитата:

А по поводу WOS не понял. Пусть они ничьи, но под правило запрещения то попадают.

Ну я же раньше постил о GRE, к-рый в GR явно не разрешен, а работает.