» Comodo Firewall Pro / Comodo Internet Security (3)

Цитата:

А откуда я узнаю что это Веб-гурад сработал, а не файловый? (запись кэша на диск)

acro, ну это никак не узнать. Да и какая разница кто из них сработал в конкретном случае ? Главное, чтобы сработал Может у CIS вообще нет такого разделения на модули. Но плохие файлы, скачанные из интернета он ведь ловит и не даёт их сохранить.

acro

Цитата:

Подобные жалобы всплывали в топике, списали вроде на баг, но как решение включена "параноидальная"- вроде alert'ит .

Было дело... но, насколько помню (и если помню именно то), речь шла об "обучении проактивки" (всплывающие сообщения) в параноидальном режиме - своеобразное обновление информации в базе правил, имхо...

Я тут глянул лицензионное соглашение, предлагаемое при установке CIS, и честно говоря оно меня насторожило... судя по формулировкам, лицензия, которая сейчас автоматически входит в комплекте с сабжем, является отзываемой (revocable). А также, само собой, в лицензии есть пункт что Comodo в любой момент может в одностороннем порядке "разорвать" лицензионное соглашение с пользователем CIS и назначить цену за использование своих сервисов. Поправьте меня если я не прав - значит ли это, что в принципе в любой прекрасный день может сложиться ситуация, когда CIS перестанет быть бесплатным лицензионным продуктом и при этом официально нельзя будет использовать "старые" версии CIS как "бесплатные"?

Цитата:

Да и какая разница кто из них сработал в конкретном случае ? Главное, чтобы сработал

Так есть ли смысл тогда держать комодовский антивир одновременно с "авирой без ВебГуарда". Я просто думал что комодовский антивирус заменит ВебГуард.

Wereuser

Цитата:

А также, само собой, в лицензии есть пункт что Comodo в любой момент может в одностороннем порядке "разорвать" лицензионное соглашение с пользователем CIS и назначить цену за использование своих сервисов.

Если речь идет п. п. 1.3., то он, как я понимаю, относится к триальному периоду использования и т. п. Если речь идет о п. п. 8.3., то, как я понимаю, подразумеваются онлайн-сервисы, которые доступны и в бесплатной версии. В любом случае, опять же - по моему разумению, - подобные ограничения касаются онлайн-сервисов, предоставляемых Comodo, а также подобным образом разработчики "страхуются" от возможных претензий (исков) западных пользователей, которые любят судиться по поводу и без... Лицензии на "использование программного обеспечения" (читай - существующая/установленная бесплатная/свободная версия CIS) "отбираться" не будут... Естественно, это всё - имхо...

Добавлено:
acro

Цитата:

Так есть ли смысл тогда держать комодовский антивир одновременно с "авирой без ВебГуарда". Я просто думал что комодовский антивирус заменит ВебГуард.

Комодовский антивир это только пародия на антивир... по крайней мере, на данный момент... Отсюда и возникает вопрос: а зачем себе ломать голову подобными экспериментами? В любом случае, - параллельное использование двух антивирусных мониторов рано или поздно вылезет боком... да и сама система при этом заметно притормаживает...

forser
Я имею ввиду следующие пункты соглашения:


Цитата:

1.1.Grant of License. Comodo grants you a limited, non-exclusive, non-transferable, and revocable license to download, install, back-up, and use Comodo Endpoint Security Manager, HopSurf, and Comodo Internet Security, including any documentation and files accompanying the Software. Comodo also grants to you a limited, non-exclusive, and revocable license to access and use the TrustConnect and LivePCSupport services after being fully paid for by you.

Цитата:

1.3.Trial, Evaluation, and Beta Software and/or Services. If this Agreement pertains to a trial, beta, or evaluation license, then the licenses granted under this Agreement will terminate upon the expiration or cancellation of the trial or evaluation period. You agree to use the Software and any Services only for the duration of the trial or evaluation period and only for evaluation or testing purposes. If Subscriber registers for a special promotion, Comodo may still gather payment information from Subscriber. Generally, credit card information is required to access the free trial. However, no charges shall be made to the credit card until the trial period has ended. At the end of the trial period, Subscriber will automatically be billed without further notice for the Software and/or Services to which it has subscribed during the free trial sign-up. To avoid fees, Comodo must be notified of Subscriber's termination using the email address provided during the registration process. Notice of the expiration of the trail is not provided. Annual subscriptions expire one-year from the end of the trial period. Free trials and other promotional offers are limited to one per Subscriber. Comodo reserves the right to deny or revoke a free trial at any time for any reason.

Цитата:

1.6.Registration. The Software and Services require registration or activation to be used properly. You agree to provide accurate and complete information on all registration forms......

Цитата:

1.7.Limited License. The licenses granted herein are only for the number of computers for which you paid for the Services or Software. Multiple computers may be secured through a separate license for each computer, which may require a fee. You must have a license for each computer that accesses or use the Services or Software.

Цитата:

8.3.Termination by Comodo. Comodo may terminate this Agreement at any time and for any reason. Comodo may monitor its systems for excessive consumption of network resources and may take technical or other remedies deemed necessary to prevent or eliminate any excessive consumption. If Comodo deems your use to be excessive, Comodo may terminate your account or adjust the price of the Software and/or Services.

Цитата:

8.4.Events Upon Termination. Upon termination, you must immediately cease using the Software and Services and delete all copies of the Software found on your computer and any backup copies made. Upon termination, Comodo may disable further use of the Software or Services without further notice and may delete, remove, and erase any account information, any backup data stored by Comodo, and any other information stored or collected by Comodo. Such deletions are in Comodo's sole discretion and may occur without notice to you. No refunds shall be given for any reason.

Цитата:

11.5.Amendments. Comodo may amend this Agreement and the Software and Services offered under the Agreement in its sole discretion without notice, including license fees, availability, equipment and software requirements, and limits or restrictions on the use of Software or Services. Comodo may impose additional restraints on the use of the Software at any time. Any amendment made to this Agreement shall be posted on the Comodo website and is effective immediately after posting the Agreement. The website posting shall be your sole notice of any such changes. You agree to check the Comodo website periodically to obtain notice of any changes. Continued use of the Software after a change constitutes your acceptance of the change. Section headings are for convenience only and are not part of the Agreement itself.

по п.1.3 похоже что да, лицензия вшитая в CIS фактически единая для всех продуктов Comodo, и для тех из них которые не freeware, действуют соответствующие ограничения. Для CIS в разделе 2.1 действительно оговорено royalty-free for both commercial and personal use, однако, меня все же терзают смутные сомнения по поводу возможности перевода CIS на финансовые рельсы. Поскольку п.1.1 декларирует revocable лицензию на все Software, п 8.3 декларирует для Comodo возможность в любой момент прервать действие соглашения по любой причине (при этом что-то я по ходу соглашения в частях, которые "переживают" такой разрыв, не заметил намеков на бесплатность CIS), ну и до кучи п.11.5 декларирует для Comodo возможность изменений в соглашении (в т.ч. по вопросам связанным с оплатой) и обязывает вас как согласившегося (нажавшего "Согласен" при установке) пользователя периодически проверять веб-сайт Comodo чтобы узнавать об произведенных изменениях - и если вы продолжаете использовать продукт после изменений политики - то вы автоматически оказываетесь "согласившимся" с данными изменениями.

Wereuser, ну Вы пока бойтесь, а мы будем юзать CIS.

Ujinnee
Если по теме и по заданному вопросу сказать нечего, не следует поддаваться позыву брехнуть чего-нибудь попусту.

Wereuser, чего так переживать? Свое мнение касательно возможного "отзыва" лицензий я высказал выше. Если мои надежды не оправдаются и разработчики поступят "нечестно", то ведь и мы можем поступить аналогично...

Хотя, даже если разработчики и решат сделать CIS платным, и при этом он будет доведен до "соответствующего состояния", то почему бы и не купить? Продукт стоящий...

PS Что-то подобное происходило с файрволом Jetico - первая версия была (и осталась) бесплатной, а вторая уже позиционируется как платная...

Ujinnee

Цитата:

Wereuser, ну Вы пока бойтесь, а мы будем юзать CIS.

Угу...

Wereuser, даже если вы спросите на оф.форуме об этом, то вам скорее ответят общими фразами и не подтвердят опасения, а наоборот скажут, что всегда всё будет бесплатным. Т.е. будет бесплатным до того момента, как не сделают платным, но об этом говорить заранее никто не будет.
Вот они сейчас над четвёртой версией работают, обещали представить на суд общественности в конце этого или начале следующего года. Может четвёрку сделают платной... а может и нет... гадать можно долго...

в проводнике в контексте диска есть "Comodo"
а в Totale в контексте диска НЕТ "Comodo"
как лечить?
===========
и второе:
при нахождении вируса ранее было окно с кнопками выбора "удалить, игнор итд" а щас около трея всплывает маленькое окно о нахождении вируса, нет кнопки УДАЛИТЬ и этот заразный файл блокируется (не открыть, не удалить). Как вернуть прежнее окно с кнопкой УДАЛИТЬ?

Цитата:

при нахождении вируса ранее было окно с кнопками выбора "удалить, игнор итд" а щас около трея всплывает маленькое окно о нахождении вируса, нет кнопки УДАЛИТЬ и этот заразный файл блокируется (не открыть, не удалить). Как вернуть прежнее окно с кнопкой УДАЛИТЬ?

leomaks, в настройках сканирования нужно убрать галку с пункта "Автоматически помещать в карантин угрозы...". Должно помочь.

В продолжение темы о самообучении Defense+
Установил для explorer.exe пользовательскую политику (раньше было системное приложение), в правах доступа выбрано "спросить" для защищённых ключей и файлов/папок.
При загрузке увидел 3 окошка с сообщением об обучении. Первое словил:
Второе было о запуске explorer-ом процесса svchost.exe. Записи об этом разрешении не нашёл нигде. Хотя при перезагрузке сообщения уже не появлялись.
Третье сообщение было тоже об изменении какого-то ключа - запомнить не успел.

По второму пункту полная непонятка. Да и остальное не впечатляет, учитывая, что все настройки защиты стоят на максимуме.
У кого какие мысли?

Ujinnee хм.... возможно это свообразная защита от дурака.
Кто знает,а вдруг при включении компа CIS ВСЁ заблочит что даже мышку шевельнуть не сможете то как тогда обучать его Например не разрешит абсолютно ничего для процессов Winlogon.exe или userinit.exe Я думаю системе CIS даёт дыхнуть чуток ,т.е. самое необходимое для работы,а иначе BSOD
Почему то у меня есть подозрения что и все прочие HIPS & Internet Security так делают

ChronoAngel, я не против "защиты от дурака" и даже всячески её приветствую, только очень хочется знать как же всё-таки она работает!
Просто была подобная ситуация, когда для процесса svchost.exe стояла пользовательская политика и практически блокировала работу системы. Я понимаю, что вопрос риторический и ответить на него смогут только разработчики.
Цель же моего поста достаточно прозрачна. Поделиться опытом и, узнав мнения людей у которых происходило что-то подобное, составить картину работы сабжа в данной ситуации.

Ребят, у меня такая проблема.

Поставил CIS (v 3.10.102363.531), без антивируса (т.е. только как стенку и HIPS), настроил, но радость оказалась недолгой: скорость скачивания с моего ftp-сервера в локалке упала до ~1 Мбайта/с (раньше держалась на уровне 10-12 Мбайт/с), radmin тоже ОЩУТИМО замедлил ссвою работу (появились заметные подлагивания), far и tc не качают > чем 1 Мбайт/с. Получается, что CIS просто-напросто режет скорость..

В глобальных правилах заблокированы icmp и netbios, все остальное регулируется правилами для приложений. Проактивная защита стоит в "безопасном" режиме, как и файрвол, собственно. В "настройках обнаружения атак" стоит только первый "крыжик" ("блокировать фрагментированные IP-датаграммы")

PS. Внесение ftp-сервера (FileZilla) и радмина в список доверенных проблему не решает;
PPS. Установка фаервола в режим "Неактивен" тоже не решает проблему (что интересно), но, однако, пробовал разворачивать образ системы, сделанный как раз перед установкой CIS-а - и, блин, нормальная скорость и никаких проблем!

Что делать, а? Расставаться с комодом не хочется - стенка очень понравилась: и настраивать приятно, и работает стабильно, и free, в конце концов. Но падение скорости в локалке с (пусть и "теоретических") 100 Мбит/с до ощутимо тормозных 8 Мбит/с (ну не более 1 Мбайт/с качаются файлы!) - это же не дело..

icukenqwerty
Для начала
1. Прочесть шапку, написать про используемую операционную систему.
2. Выключен-ли встроенный в виндовс фаервол.
3. Какие еще программы для безопасности используются на компьютере.
4. Показать правила созданные для ftp-сервера.
5. Показать часть логов непринятых соединений.

зы
Это для начала

icukenqwerty, падение скорости может быть связано с активным логированием (протоколированием) правил. Оставь логирование только там, где оно действительно нужно или (для проверки) отключи логирование для файрвола глобально - в настройках.

Прошу прощения за то, что обратился за помощью, дав очень мало информации.


Цитата:

1. Прочесть шапку

Сделано


Цитата:

написать про используемую операционную систему.

XP SP3


Цитата:

Выключен-ли встроенный в виндовс фаервол

Да, выключен, сервис "Служба шлюза уровня приложения" (alg.exe) - тоже disabled.


Цитата:

3. Какие еще программы для безопасности используются на компьютере

DrWeb (5-ка), больше из резидентных ничего нет


Цитата:

4. Показать правила созданные для ftp-сервера

Разрешить: разрешить
tcp
входящие
адрес отправителя = диапазон 192.168.0.3-192.168.0.254
адрес назначения - любой
порт отправителя - любой
порт назначения = набор портов (21, 35513-35515 - это порты для PASV на моем ftp-шнике)


Цитата:

5. Показать часть логов непринятых соединений

гм.. В журнале постоянно блочится только Windows Operating System (причем исходные IP - IP тех, кто получает доступ к моему фтп-шнику по сети (разные адреса, но из диапазона нашей локалки, а порты..гм, да, 21-й вижу, 35513..). Вообще странно, с доступом-то у них проблем нет, только вот качается медленно. Быть может, в этом дело?

PS. У меня файлы тоже очень медленно скачиваются (из локалки), притом что для фара и tc используются стандартные правила (ftp-клиент)

forser, не думаю, что такое заметное падение скорости связано с логированием.
icukenqwerty, т. к. у Вас именно снижение скорости, а не полное блокирование FTP-протокола, рискну предположить, что связано это с запрещением именно netbios и icmp. Поскольку я не знаю, какие ресурсы локалки Вы используете, посоветую разрешить и логировать эти протоколы в GR. Если ситуация кардинально изменится, тогда нужно смотреть логи и пробовать запрещать ненужное Вам.


Добавлено:

Цитата:

гм.. В журнале постоянно блочится только Windows Operating System (причем исходные IP - IP тех, кто получает доступ к моему фтп-шнику по сети (разные адреса, но из диапазона нашей локалки). Быть может, в этом дело?

Вполне возможно, только нужно разобраться какие соединения Вам действительно нужны.

Цитата:

Поскольку я не знаю, какие ресурсы локалки Вы используете

Исключительно ftp.

Нетбиос не используется в принципе, я и в форточках отключил все нетбиосовские сервисы, включая "обозреватель компьютеров", "сервер", "рабочую станцию", и в окне свойств сетевого подключения все связанное с нетбиосом удалено.


Цитата:

посоветую разрешить и логировать эти протоколы в GR

Да пробовал - не менялось ничего.


Цитата:

т. к. у Вас именно снижение скорости, а не полное блокирование FTP-протокола

Скорость чрезмерно мала не только на фтп-протоколе (радмин тоже еле ноги волочит, к примеру).



Добавлено:
ЗЫ. Кстати, и в виртуальных машинах vmware (сеть настроена как bridge, т.е. виртуалкам выделяются ip из диапазона локалки) те же самые траблы - фактическая скорость соединения НЕ ВЫШЕ 8 Мбит/с

icukenqwerty

Цитата:

Скорость чрезмерно мала не только на фтп-протоколе (радмин тоже еле ноги волочит, к примеру).

Это косвенно указывает на то, что блокируются какие-то служебные пакеты. У меня таки icmp под подозрением.
Хотя, отсутствие реакции на отключение фаера позволяет предположить, что проблема где-то в другом месте.

Понимаю, что это может быть конфликт с драйвером какого-нть другого фаервола, но до комода на компьютере стоял 4й аутпост, он был корректно удален и видимых следов его присутствия в системе не видно..

Добавлено:
Собсно, вот скриншот GR:


Добавлено:
Да, еще. Для полноты картины:

Используются 2 сетевых соединения (первое - локалка: мой ip - 192.168.0.2 (маска 255.255.255.0, шлюз по умолчанию не указан), второе - интернет (подключение кабелем к роутеру Linksys WRT54G, мой ip - 192.168.1.1, ip роутера - 192.168.1.2, он же - 192.168.1.2 - стоит шлюзом по умолчанию, маска подсети 255.255.255.0, DNS 1 - 192.168.1.2, DNS 2 - 208.67.222.222)

icukenqwerty, DrWeb, надеюсь, у Вас без guard-а, чистый ативирь?

Цитата:

DrWeb, надеюсь, у Вас без guard-а, чистый ативирь?

Да, чистый антивирь.

icukenqwerty
По поводу 2-го пункта правил, почему именно ICMP тип 3, код 2 (протокол недоступен)?
И пробовали ли вы разрешить и логировать все пункты, касающиеся этого протокола, и, на всякий случай, перегрузиться после этого?


Добавлено:
А для нетбиоса правила не видны.

Цитата:

для нетбиоса правила не видны

Блокировать
Протокол - TCP или UDP
Адрес отправления - любой
Адрес назначения - любой
Порт отправления: 135-139, 445
Порт назначения: 135-139, 445


Цитата:

По поводу 2-го пункта правил, почему именно ICMP тип 3, код 2 (протокол недоступен)?

хз, эти правила были включены сразу после установки комода (по умолчанию т.е.)


Цитата:

И пробовали ли вы разрешить и логировать все пункты, касающиеся этого протокола, и, на всякий случай, перегрузиться после этого?

"разрешать и логировать" пробовал, а вот перезагружаться - нет, считал, что это не важно.. Попробую.




Добавлено:

Цитата:

Попробую.

Увы - ничего не изменилось..

И, кстати, windows operating system в журнале фаера продолжает активно блокироваться. Только я так и не понял, что это за приложение-фантом.

icukenqwerty

Цитата:

Цитата:По поводу 2-го пункта правил, почему именно ICMP тип 3, код 2 (протокол недоступен)?
хз, эти правила были включены сразу после установки комода (по умолчанию т.е.)

Вы отвечаете не на тот вопрос, который был задан. 2-е правило сверху, насколько я помню, по дефолту не присутствует. Поэтому я и предположил, что оно создано Вами.

Добавлено:

Цитата:

И, кстати, windows operating system в журнале фаера продолжает активно блокироваться. Только я так и не понял, что это за приложение-фантом.

Приведите кусок лога.

Цитата:

2-е правило сверху, насколько я помню, по дефолту не присутствует. Поэтому я и предположил, что оно создано Вами.

У меня оно присутствовало по дефолту, ручаюсь за это. Тем более, что его изменение с "блокирвоать" на "разрешить" не меняет ничего.


Добавлено:
Да, кстати, еще один нюанс.

Дело в том, что в нашем доме периодически возникает проблемы со свичем (это касается внутренней локалки - и нередко (когда его в очередной раз меняют или отключают кабели) у меня отваливается сетевое соединение и выскакивает попап "Сетевой кабель не подключен". А я активно юзаю вмварь, сеть в которой настроена в "bridged mode" и "бриджуются" виртуальные машины как раз к соединению с этой самой локалкой. Так вот, когда локалка в очередной раз становится недоступной, вмварь отказывается запускать сеть на виртуальных машинах (при запуске вирмашины выводит сообщение: "интерфейс, к которому подключена vmnet0 сейчас в дауне..поэтому сеть работать не будет" - ну что-то вроде того и в итоге в вирмашинах недоступна не только локалка (что есессно), но и хост). Так вот - проблему решил следующим образом (откопал решение на форумах vmware): добавил в систему в качестве нового устройства Microsoft Loopback Adapter и объединил их с подключением к локалке в сетевой мост. Теперь при падении локалки сеть в вирмашинах все равно стартует и по крайней мере хост оттуда доступен. Надеюсь, все понятно объяснил (старался как мог). Скриншот прилагается.



Так вот, может быть комод отчего-то глючит именно с этим "минипортом MAC-моста"? Интересно, может быть такое?

icukenqwerty
Приведите пожалуйста кусок лога, где видны блокировки WOS.


Добавлено:

Цитата:

Так вот, может быть комод отчего-то глючит именно с этим "минипортом MAC-моста"? Интересно, может быть такое?

По этому поводу ничего сказать не могу. Сам с таким не сталкивался.