» Comodo Firewall Pro / Comodo Internet Security (3)

WIGF Огромное спасибо!!!

Цитата:

просто надо в качестве шлюза на тех компах добавить адрес вашего основного компа (тот, который смотрит на них) и dns-серверы основного компа.

- действительно просто.

Chis1, т.е. всё заработало теперь ?

WIGF
Вернулся обратно на комодо. Вопрос:
нужно ли мне блокировать broadcast? Провайдер - Megaline (вы такого не знаете, я не из России). Если да, то как? Например в Jetico ( до комодо посидел на нём) broadcast adress сам определяется. Как мне определить свой broadcast adress?
Заранеее спс

HarDDroN, я броадкаст блокировал на всякий случай, потому что у моего провайдера есть ограничения, в т.ч. по нему - подробнее... Если у вас такого нет, тогда и блочить его не за чем.
Общий широковещательный адрес - 255.255.255.255.
В вашем локальном сегменте сети также есть широковещательный адрес (используется, например, для NetBIOS). Его адрес можно легко узнать, т.к. броадкаст - это всегда последний адрес в сегменте. Т.е. для этого нужен ваш IP и маска подсети (в локалке), по которым вы вычисляете диапазон вашего сегмента и, соответственно, последний адрес в диапазоне (броадкаст). Для настроек вам это не нужно, но если просто интересует этот вопрос, тогда напишите свой локальный IP с маской и я напишу ваш броадкаст. Можете и сами вычислить его, если почитаете и освоите вот эту тему - IP-адрес и разные ссылки из неё.

WIGF

Цитата:

Chis1, т.е. всё заработало теперь ?

Заработали постоянные IP.
C правилами теперь, думаю, все получится.

Hi! Подскажите, плз, как в последней версии настроить проактивную защиту так,
чтобы:
1) она отслеживала приложения, рвущиеся в Инет
2) не вела ни ухом ни глазом при виде приложений, работающих локально, однако ведущих
себя подозрительно?

ffvvvv2, никак. Проактивке без разницы, лезет приложение в интернет или нет, она контролирует все действия всех приложений, не разделяя их на сетевые и несетевые, а соединения с интернетом контролируйте фаерволом (лучше в пользовательском режиме, тогда никакое новое приложение никуда не выйдет без вашего разрешения).

Т.е. можно проактивку вообще отключить?
Будет ли тогда фаер махать крылом при попытке неизвестного приложения сходить в Инет?


Цитата:

никак. Проактивке без разницы, лезет приложение в интернет или нет, она контролирует все действия всех приложений, не разделяя их на сетевые и несетевые, а соединения с интернетом контролируйте фаерволом (лучше в пользовательском режиме, тогда никакое новое приложение никуда не выйдет без вашего разрешения).

ffvvvv2, если будет в пользовательском режиме, то ДА. Проактивка отвечает не за соединения с интернетом, контролирует активность приложений (любую активность, в т.ч. работа с диском, загрузка других приложений и т.д.). Но не забывайте о том, что вредоносы не всегда в интернет лезут, они ведь могут просто гадить на компе. А значит при отключенной проактивке вы этого своевременно можете не заметить и скорее всего не сможете предотвратить опасные действия таких приложений.
В справке к CIS подробнее всё расписано по поводу назначения проактивки.

ffvvvv2
Проактивка как раз и предназначена для контроля приложений, работающих локально. Приложения, рвущиеся в Инет, контролирует фаервол.
Т.е. вопрос некорректен изначально.

Добавлено:

Цитата:

Т.е. можно проактивку вообще отключить?
Будет ли тогда фаер махать крылом при попытке неизвестного приложения сходить в Инет?

Фаер будет "махать крылом", если приложение попрется в инет напрямую. Если же оно полезет любым другим способом (Invasion, Injection, Impersonation и т.п.), большинство из к-рых как раз и отслеживаются проактивкой, то, при отключенной проактивке, для него (приложения) не будет никаких препятствий.

XenoZ

Цитата:

Invasion, Injection, Impersonation

Можно дать ссылку, плз, нигде не нашёл полноценного описания этих вещей...

Nick222
Ссылку не дам, выдернул из описания CLT (комодовский тест на уязвимость, ссылку на него в топике уже выкладывали).
[more=COMODO Leaktests v.1.1.0.3...]1. RootkitInstallation: MissingDriverLoad
What does it do ? Tries to find a driver entry in the registry that does not have the corresponding file on the disk and puts itself as the missing file.
What is the risk ? A malicious device driver loaded can be as dangerous as it can be due to the fact that it acts as a part of the operating system with the maximum privileges.
2. RootkitInstallation: LoadAndCallImage
What does it do ? Tries to use a device driver loading API, that is commonly, almost always, used by rootkit developers.
What is the risk ? A malicious device driver loaded can be as dangerous as it can be due to the fact that it acts as a part of the operating system with the maximum privileges.
3. RootkitInstallation: DriverSupersede
What does it do ? Tries to overwrite an already existing driver on the disk and load itself as a device driver.
What is the risk ? A malicious device driver loaded can be as dangerous as it can be due to the fact that it acts as a part of the operating system with the maximum privileges.
4. RootkitInstallation: ChangeDrvPath
What does it do ? Tries to change the path of an already existing driver by using service control manager.
What is the risk ? A malicious device driver loaded can be as dangerous as it can be due to the fact that it acts as a part of the operating system with the maximum privileges
5. Invasion: Runner
What does it do ? Tries to modify the default browser on the disk and connect to the internet.
What is the risk ? This is a common infection method that can evade firewalls that do not check the integrity of the applications.
6. Invasion: RawDisk
What does it do ? Tries to access the disk directly and modify its contents.
What is the risk ? This is a common infection method that could open many holes including boot sector infection and device driver loading.
7. Invasion: PhysicalMemory
What does it do ? Tries to access the physical memory directly and modify its contents.
What is the risk ? Accessing the physical memory directly creates many security holes by bypassing standard protection enforced by the operating system.
8. Invasion: FileDrop
What does it do ? Tries to drop itself to system32 directory.
What is the risk ? If the virus can drop itself into the system32 folder, it can easily infect one of the critical files in it too.
9. Invasion: DebugControl
What does it do ? Tries to access the physical memory directly and modify its contents.
What is the risk ? Accessing the physical memory directly creates many security holes by bypassing standard protection enforced by the operating system.
10. Injection: SetWinEventHook
What does it do ? Tries to inject the malicious DLL using a windows accessibility API, SetWineventHook.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
11. Injection: SetWindowsHookEx
What does it do ? Tries to inject the malicious DLL using a common windows API, SetWindowsHookEx.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
12. Injection: SetThreadContext
What does it do ? Tries to inject the malicious DLL by using a slightly different method from ProcessInject.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
13. Injection: Services
What does it do ? Tries to modify “Services” key in registry in order to have itself launched as a service.
What is the risk ? The malware is going to have itself automatically started with windows. The key can be used to install a rootkit or boot driver that can be used to takeover the operating system.
14. Injection: ProcessInject
What does it do ? Tries to inject the malicious DLL using one of the most common methods malware writers use.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
15. Injection: KnownDlls
What does it do ? Being one of the most difficult to detect infection technique, it tries to modify an operating system object in memory to make itself loaded into the trusted processes.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
16. Injection: DupHandles
What does it do ? Tries to access the memory of another process by stealing the handles from a trusted process which already has it.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
17. Injection: CreateRemoteThread
What does it do ? Tries to inject the malicious DLL by using a slightly different method from ProcessInject.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process.
18. Injection: APC dll injection
What does it do ? Tries to inject the malicious DLL by using a slightly different method from ProcessInject.
What is the risk ? A DLL/Code injected into another process acts as the part of the process it is loaded and has the same privileges. Malware commonly exploit this method to present itself as a trusted process
19. Injection: AdvancedProcessTermination
What does it do ? Tries to terminate a process by using debugging APIs.
What is the risk ? A process can be terminated in an unexpected manner.
20. InfoSend: ICMP Test
What does it do ? Tries send the information to the Internet by ICMP protocol.
What is the risk ? If a firewall does not filter ICMP protocol, it can miss the Trojans that transmit data using ICMP protocol.
21. InfoSend: DNS Test
What does it do ? Tries send the information to the Internet by using Windows DNS APIs.
What is the risk ? Windows DNS APIs use trusted processes to make DNS queries causing firewalls to miss the actual process behind these requests.
22. Impersonation: OLE automation
What does it do ? Tries to start MS Internet Explorer then attempts to control this instance using OLE automation to transfer information to the Internet server.
What is the risk ? Firewalls can be bypassed and malicious files can be downloaded
23. Impersonation: ExplorerAsParent
What does it do ? Tries use explorer.exe to connect to the Internet.
What is the risk ? Firewalls may miss the real applications behind the internet connection requests.
24. Impersonation: DDE
What does it do ? Tries to use Direct Data Exchange (DDE) to control IE's behavior and transfer data to the Internet server
What is the risk ? Firewalls can be bypassed and malicious files can be downloaded from the trusted browser process.
25. Impersonation: Coat
What does it do ? Tries use rename itself as the default browser in memory and connect to the Internet.
What is the risk ? Firewalls may think the actual process behind the Internet connection request is the trusted browser.
26. Impersonation: BITS
What does it do ? Tries use Windows Background Intelligent Transfer(BITS) service to connect to the Internet.
What is the risk ? Firewalls can be bypassed and malicious files can be downloaded by using the trusted windows services.
27. Hijacking: WinlogonNotify
What does it do ? Tries to modify “WinlogonNotify” key in registry in order to have itself launched with the logon process.
What is the risk ? The malware is going to have itself automatically started every time Windows starts. The fact that this key is not a common startup key that an average diagnostics utility would look for increases the chance of malware survival. This key is also used to inject a DLL into the trusted operating system processes.
28. Hijacking: Userinit
What does it do ? Tries to modify “Userinit” key in registry in order to take the place of userinit.exe, the process responsible for initialization of the user data after the logon.
What is the risk ? The malware is going to have itself automatically started every time Windows starts. The fact that this key is not a common startup key that an average diagnostics utility would look for, increases the chance of malware survival.
29. Hijacking: UIHost
What does it do ? Tries to modify “UIHost” key in registry in order to take the place of logonui.exe, the process executed before the logon.
What is the risk ? The malware is going to have itself automatically started every time Windows starts. The fact that this key is not a common startup key that an average diagnostics utility would look for, increases the chance of malware survival.
30. Hijacking: SupersedeServiceDll
What does it do ? Tries to modify “ServiceDll” key in registry in order to have itself launched with the trusted operating system process svchost.exe.
What is the risk ? The malware is going to have itself automatically started every time Windows starts. The fact that this key is not a common startup key that an average diagnostics utility would look for increases the chance of malware survival. This key is also used to inject a DLL into the trusted operating system processes.
31. Hijacking: StartupPrograms
What does it do ? Tries to modify “StartupPrograms” key in registry in order to have itself launched when the windows starts.
What is the risk ? The malware is going to have itself automatically started every time Windows starts. The fact that this key is not a common startup key that an average diagnostics utility would look for increases the chance of malware survival.
32. Hijacking: ChangeDebuggerPath
What does it do ? Tries to modify “Debugger” key in registry in order to have itself launched when a program crashes.
What is the risk ? The malware is going to have itself automatically started every time a program crashes. The fact that this key is not a common startup key that an average diagnostics utility would look for increases the chance of malware survival. This key is also used to inject a DLL into the trusted processes.
33. Hijacking: AppinitDlls
What does it do ? Tries to modify “AppInitDlls” key in registry in order to have itself injected into every process.
What is the risk ? The malware is going to have itself automatically started every time a program starts. The fact that this key is not a common startup key that an average diagnostics utility would look for increases the chance of malware survival. This key is also used to inject a DLL into the trusted processes
34. Hijacking: ActiveDesktop
What does it do ? Tries to change the windows active desktop wallpaper.
What is the risk ? An embedded HTML file can allow transmitting the data by using the trusted process explorer.exe and can be used to steal confidential information. [/more]

Насчет зловредов -- у меня есть антивирь, и слава Богу, не Comodo.
А комментарии Comodo насчет работы легальных приложений очень напрягают.
Я ожидаю от Comodo прежде всего функций фаера (правила доступа для приложений + правила доступа для сетей).


Цитата:

сли будет в пользовательском режиме, то ДА. Проактивка отвечает не за соединения с интернетом, контролирует активность приложений (любую активность, в т.ч. работа с диском, загрузка других приложений и т.д.). Но не забывайте о том, что вредоносы не всегда в интернет лезут, они ведь могут просто гадить на компе. А значит при отключенной проактивке вы этого своевременно можете не заметить и скорее всего не сможете предотвратить опасные действия таких приложений.
В справке к CIS подробнее всё расписано по поводу назначения проактивки.

ffvvvv2
Цитата:

Я ожидаю от Comodo прежде всего функций фаера

Одна тонкость: фаер комода не контролирует изменение файлов, данная функция возложена на проактивку.
Если это тебя не смущает, то можешь поставить из пакета КИСы только фаервол.

WIGF
Может ли CIS контролировать транзит в домашнюю сеть, я имею ввиду порты.

Chis1, если стоит галочка в настройках, что этот комп является шлюзом, тогда пакеты пропускаются без проверки, если эе галочки нет, тогда нужны правила и, соответственно, идёт контроль по направлениям/протоколам/портам, но, само собой, нет контроля по конечным приложениям, т.к. эти приложения находятся не на этом компе. Если так хочется контролировать транзит по портам/протоколам, то, как мне кажется, чтобы не нагружать CIS работой и лишними правилами, лучше доп.фильтр поставить типа wipfw. Он не будет мешать CIS и памяти совсем не есть, а вот пакеты будет фильтровать хорошо.
И не стоит забывать о том, что реально входящих соединений на внутреннюю сетку не будет, т.к. для этого на шлюзе должен быть настроен port forwarding, а иначе получателем всех входящих соединений (пакетов, которые инициирует кто-то из интернета) в данной ситуации будет ваш шлюз. Так что и смысла нет контролировать исходящие в таком случае. Если только вам лично не хочется ограничить внутренние компы и в плане исходящих соединений.

Режим файрвола Пользовательский.

Как при запросе на правило сразу задать условие, при котором коннект разрешается только по определенному IP?
А то выскакивает только общее "разрешить-запретить". А лезть в настройки и отдельно вписывать IPшники неудобно.

pmaker, в расширенных настройках модуля "Фаервол" настройте на требуемый режим опцию "Глубина создания правил по запросу".

WIGF
почитайте вот это.
В нём NightHorror (он же у нас на руборде есть) говорит о недостатках проактивки Defence+ комода. Эти недостатки уже исправлены?
Кстати, не могу смериться с потерей Вэб-контроля а-ля аутпоста. Посоветуйте пжлста замену в виде отдельной программы. НАшел какой-то ADGuard (но были отзывы, что мол куда-то (куда не нужно) он лезет)

HarDDroN, не очень понял, что именно автор хотел сказать. Что джетико хорошо контролирует всё со сторонним HIPS? А кто спорит. Только в том тестировании анализировались не связки продуктов, а отдельные продукты.
А вот по проблемам в настройке COMODO и глюкам скажу следующее: глюки/баги есть у всех продуктов, у всех, и во всех продуктах часто правят одно, а вылезает другое. У меня ничего внезапно не переставало работать, когда пользовался COMODO. Что я делаю не так?
Да, я читал, что бывали глюки у людей, но они были либо из-за кривой установки COMODO, либо из-за кривой настройки, либо из-за конфликтов с имеющимся или стоявшим ранее софтом (а ведь многие защитные программы оставляют от себя всякий мусор, а бывает даже и драйвера, которые продолжают действовать после "официального" удаления продукта с компа).
И встроенный HIPS у COMODO не кривой и не глючный, а очень хороший.
В общем, извиняюсь, что скажу грубовато, но по-моему автор просто не смог понять логику работы COMODO (лень было или привык к джетико) и поэтому ругает данный продукт. Я такого рода отчёты читал (не в отношении COMODO, а вообще) и в них сквозит предвзятость к непривычному интерфейсу или же просто к продукту, который по результатам каких-то тестов лучше их любимого, всякие придирки и т.п. Пример обзора NOD32, который мне показался временами слишком предвзятым...
В конце концов, любой софт требует доработки и донастройки и говорить, что этот продукт плохой, потому что он у меня непонятно как работал, наверное, неправильно. Ведь часто софт не сам плохо работает, а его плохо настраивают. "Не любите кошек? Вы просто не умеете их готовить."
Ой, да и версия там древняя анализируется. Как раз таки после этой версии много всего было исправлено.
И про антивирус, выступающий в качестве прокси написал... Ну и в чём там виноват COMODO, если Каспер как прокси работает? Сейчас все антивирусы так работают. И со всеми сторонними фаерволами. Что ж все фаеры сейчас плохие что-ли?
Про замену файлов: ну так если разрешены все действия эксплореру, тогда вот и объяснения беспрепятственной замене файлов... Он потом сам это признал, написав, что менял файлы доверенным фаром.
Единственная относительно верная критика - это отсутствие проверки контрольных сумм файлов. Но эту функцию разрабы намеренно убрали. Её полностью можно заменить правильной настройкой правил для эксплорера (не разрешать всё подряд делать с файлами, я уже приводил пример с работоспособностью HIPS в CIS при замене файлов). Так что просто другой подход реализован в тройке, хотя можно было бы и оставить проверку хэш.

Цитата:

Кстати, не могу смериться с потерей Вэб-контроля а-ля аутпоста.

Я уже не помню, что там за вэб-контроль был в аутпосте... Вэб-антивирус что-ли? Ну так и COMODO мониторит вэб-трафик. Или что-то иное требуется?

уважаемый WIGF!
а каким антивирусом пользуетесь вы?если это,конечно же, не секрет

xp007, скажем так, пользовался, потому что сейчас антивирус как бы есть (clamav), но только сам не знаю зачем.
Последнее время пользовался полным CIS (с антивирусом) плюс NOD32 2.70.39 (из-за того, что он не как прокси работает и с ним в CIS нормально трафик отображается и определяется).
Это не значит, что я отказался от NOD32 и COMODO, просто я отказался от виндоса и полностью пересел на ubuntu, в котором антивирус и персональный фаервол для домашнего использования не нужны (достаточно настройки iptables).
Повторюсь: при правильной настройке фаервола и HIPS в виндосе антивирус имеет опосредованное значение (проверят скачиваемые браузером/почтой файлы и флешки). Всю основную работу делает HIPS.

WIGF
спасибо за откровенный ответ!сейчас нахожусь в поиске нормального файера и антивируса,не выступающего в роли прокси-сервера.в данный момент нахожусь на оутпост секьюрити суит про 6.7 и скорее всего выбор остановлю на нод 2.70.39(пользовался им) и на комодо-3
P.S.в последнее время про смену оси(мелкософт) на линуху подумываю всерьёз

WIGF
спс

Цитата:

уже не помню, что там за вэб-контроль был в аутпосте... Вэб-антивирус что-ли? Ну так и COMODO мониторит вэб-трафик. Или что-то иное требуется?

резалка рекламы, фильтр вложений, java script, cookies, ActiveX.
xp007

Цитата:

P.S.в последнее время про смену оси(мелкософт) на линуху подумываю всерьёз

подумай ещё раз хорошенько (и поверь, не стоит делать всё, как у гуру) - да, линукс безопасен, но переход с винды на *unix системы очень труден, приходится менять юзаемый софт, остаться без всяких вкусностей систем ВИН. Ну это всё

Добавлено:
xp007
если задумываешься о безопастности ОС, советую перейти на Win7 (она безопаснее ХРюши, есть Defender, да и вообще надо систему настроить на макс. безопасность, а потом прикрывать стенкой и антивирем)

Добавлено:
WIGF
можно узнать ваше мнение о продуктах ЛК? Особенно о версии 9 (в тестах матусека у нее высокий результат (как у комода) хипса.)
Просто сейчас выбираю из этих двух. Заранее благодарю

HarDDroN

Цитата:

советую перейти на Win7 (она безопаснее ХРюши, есть Defender, да и вообще надо систему настроить на макс. безопасность, а потом прикрывать стенкой и антивирем)

спасибо за совет!у меня хрюшка сп-3(лицензия) с последними заплатками,отключены ненужные службы и т.п.так что не вижу острой необходимости быть бета-тестером 7-ки.
да и привык я к ней,если и менять-то кардинально.
P.S.но это уже тема других веток,так что сорри за флуд-)

xp007
OFF:
Цитата:

так что не вижу острой необходимости быть бета-тестером 7-ки.

дык уже давно RTM (Final) вышел. Все проги от ХРена пашут. Ну как знаешь.

HarDDroN
Цитата:

резалка рекламы, фильтр вложений, java script, cookies, ActiveX.

Все это настраивается в браузере. К фаерволу - никаким боком.


Цитата:

советую перейти на Win7

Цитата:

можно узнать ваше мнение о продуктах ЛК?

Может, хватит оффтопить? Здесь топик по Комодо.

XenoZ
вот и пришел добрый дядя надзиратель

Цитата:

Все это настраивается в браузере. К фаерволу - никаким боком.

как раз таки я спрашиваю альтернативу модулю фаервола

Цитата:

Может, хватит оффтопить? Здесь топик по Комодо.

заметьте, не я его начал, человек спросил - я ответил.

HarDDroN
Цитата:

резалка рекламы, фильтр вложений, java script, cookies, ActiveX.

Понятно. Тогда, как сказал XenoZ, есть куча дополнений к браузеру файрфокс, которые выполняют все эти функции. Не нужно никаких отдельных программ - небольшая подборка (п.1.11). В CIS такого нет, да и не нужно, чтобы он превращался в комбайн наподобие аутпоста, в котором скоро, наверное, будет и аудиоплеер с графическим редактором
По Касперу ничего не скажу, т.к. давно им не пользуюсь. Хотя есть один момент, по которому я его использовать не буду: он платный, а я давно уже на официально бесплатный софт перешёл. Так что COMODO и ещё раз COMODO, если у вас виндос... или иной бесплатный софт.

WIGF эффективную "небольшую подборку" вы дали, спасибо.