» Comodo Firewall Pro / Comodo Internet Security (4)

DRONAN77
Рекомендуется блокировать порты 137, 138, 139, 445, по ним другие машины коннектятся с вашей, запомнил это еще с времен прекрасного Oupost Firewall 3.xx.:
заблокировать входящие TCP по локальным портам 137, 138, 139, 445

DRONAN77

Цитата:

Подскажите чайнику про порты 137 и 138.
Снёс Винду сегодня, насторил Комод как раньше, но полезли такие сообщения.
Как поступить мне с этим?

Это сетка "работает"... 137 и 138 - обязательные для NetBIOS и "обычной работы" в сетке, а 139 порт, если не ошибаюсь, обеспечивает транзитный трафик интернета. Если у тебя это все имеется и необходимо, то разрешай для локальной сети. 445 можно блокировать - не встречал случаев, чтобы он понадобился.

Добавлено:
shadow_member

Цитата:

Рекомендуется блокировать порты 137, 138, 139, 445, по ним другие машины коннектятся с вашей, запомнил это еще с времен прекрасного Oupost Firewall 3.xx.:
заблокировать входящие TCP по локальным портам 137, 138, 139, 445

Это только в тех случаях, когда нет локальной сети. У него же, как я понял исходя из логов, она имеется...

Что то я сегодня вообще торможу или что...
Хотел закрыть 139 и 445 порты.
Зашел в Фаервол - Расширенные - Политика сетевой безопасности - Глобальные правила
Добавил запрет Входящие TCP или UDP на указанных портах и все равно они в Активных сетевых подключениях слушают...
Пытался завершить их подключение - не отключает...
Где я сморозил?

MastaG слушают не значит что услышат что то

MastaG

Цитата:

Хотел закрыть 139 и 445 порты.
Зашел в Фаервол - Расширенные - Политика сетевой безопасности - Глобальные правила
Добавил запрет Входящие TCP или UDP на указанных портах и все равно они в Активных сетевых подключениях слушают...

Попытаюсь объяснить немного подробнее...
Если файрволом (допустим, CIS) запрещены входящие на какие-то порты, то, даже если какое-либо приложение локально открывает (читаем - "слушает") эти порты, все равно извне никакая машина не сможет инициировать соединение через эти порты...

ок. спасибо!

еще возник такой вопрос:
имеет ли смысл включать защиту ARP кэша, если да, то ARP фреймы тоже лучше блокировать или как?
меня интересует только - насколько по вашему это необходимо, т.к. по умолчанию их контроль отключен.

MastaG

Цитата:

имеет ли смысл включать защиту ARP кэша, если да, то ARP фреймы тоже лучше блокировать или как?

MastaG

Цитата:

имеет ли смысл включать защиту ARP кэша, если да, то ARP фреймы тоже лучше блокировать или как?
меня интересует только - насколько по вашему это необходимо, т.к. по умолчанию их контроль отключен.

Имхо, в данном случае многое зависит от провайдера, а если более точно, - от настроек с его стороны. Можно проверить следующим образом: включить данную опцию и поработать денек-другой в интернете. Если в течение сессии подключения не возникает необходимость в "исправлении" соединения (ПКМ на иконке соединения > Исправить), то данную опцию можно смело оставлять включенной. При исправлении соединения совместно с другими операциями производится и очистка ARP-кэша.

Если что не так, пусть меня кто-то поправит...

DRONAN77
Я разрешаю NetBios для домашней сети, чтобы компы видели друг друга, общие принтеры и т.п. А локалке провайдера запрещаю. Насколько я помню в ваших настройках это было предусмотрено.

2Chis1
Приятно, что в кто-то теме
Так совпало, что пронесся вирь (кстати Avira не спасла) и на текущий момент сетки нет, т.к. второй комп отдал в безлимитное пользование другу.

DRONAN77

Цитата:

Так совпало, что пронесся вирь (кстати Avira не спасла)...

А как же проактивка CIS?

В политиках безопасности было обязательное правило для всех приложений (*) с правами доступа "Спросить" для всех типов доступа?

Цитата:

А как же проактивка CIS?
В политиках безопасности было обязательное правило для всех приложений (*) с правами доступа "Спросить" для всех типов доступа?

А в этом месте можно поподробнее? Каким образом устанавливать такое правило и в какой режим ставить Режим проактивной защиты.

DRONAN77

Цитата:

А в этом месте можно поподробнее? Каким образом устанавливать такое правило и в какой режим ставить Режим проактивной защиты.

1. ЗАЩИТА+ > Общие задачи > Защищенные файлы > Кнопка "Группы" справа вверху.
2. Если нет группы "Все приложения" (с маской *), то создать такую группу.
3. ЗАЩИТА+ > Расширенные > Политика безопасности компьютера > Если в списке нет группы "Все приложения", то добавить ее в список:
Кнопка "Добавить" справа вверху > Диалог "Управление активностью приложения" > Путь к приложению > Выбрать > Группы файлов > Все приложения.
4. В этом же диалоге ("Управление активностью приложения") отмечаем "Настроить вручную" > Права доступа > Отмечаем для всех типов доступа действие "Спросить".
5. Подтверждаем все изменения кнопками "Применить".

6. Режим проактивки у меня "Параноидальный". Отмечено только "Блокировать все неизвестные запросы, если приложение ... закрыто" (но, это только после настройки основных правил).
7. Настройки мониторинга > Отмечено все.
8. Настройки контроля исполнения файлов "Нормальный" (или "Агрессивный")

Вот вкратце основное описание настроек. В данном случае, если запускается какое-то новое (правила для которого не заданы) приложение, для него обязательно будут выдаваться соответствующие запросы от проактивки. Вирус не пройдет...

Правда, если он уже не сидит в каком-нибудь "разрешенном" приложении (+ обновления приложений). В данном случае остается либо надеяться на реакцию антивируса по доступу (сигнатуры, эвристика), либо анализировать какие действия (в системе) необходимы (свойственны) соответствующему приложению, а какие - нет...

PS Приведены максимально жесткие настройки.

2forser
Пункты 1-5 были задействованы.
Насчет остальных пунктов не знал, т.ч. спасибо.

у меня пропал Threatcast в настройках галочка включена...но его нету...это произошло после переустановки CIS

Цитата:

11. Избегайте применения политик "Доверенные приложения" или "Системные приложения Windows" для ваших e-mail клиентов, веб-браузеров, IM-клиентов (например, MSN, ICQ и т.п.) или приложений для P2P (peer-to-peer) соединения. Данные приложения не нуждаются в таких исключительных правах доступа.

Следуя этим рекомендациям из справки CIS, решил посоставлять ограничивающие политики для интернет-приложений. Включил проактивку в параноидальный режим и начал видеть то, что моим мозгам агронома не под силу понять:



Было по разу ещё такое:


Это нужно скайпу?
Почему об этих вещах я узнал только из журнала? Не было ВООБЩЕ _и_нет_сейчас_сообщений, связанных со SKYPE, во время этих событий, я за компом. Покушений Скайпа на Комод было достаточно много... Политика Скайпа была вчера вообще удалена из "Политик безопастности компьютера"!

И по Опере: ей обязательно нужен доступ по COM-интерфейсу к SVCHOST.EXE ? Запретил - вроде рабоет...

K_Ok_O_S

Цитата:

Включил проактивку в параноидальный режим и начал видеть то, что моим мозгам агронома не под силу понять:

Это сообщения о блокировке. Связаны они с тем, что для приложений CIS по умолчанию включена защита для этих типов доступа от других приложений ("Настройки защиты" в управлении активностью приложения/группы). Алерты в подобных случаях не появляются.


Цитата:

И по Опере: ей обязательно нужен доступ по COM-интерфейсу к SVCHOST.EXE ? Запретил - вроде рабоет...

Это, если не ошибаюсь, DNS-запросы через SVCHOST.EXE. Браузеры, почтовые клиенты и другие интернет-приложения могут работать напрямую с DNS-серверами, но, если имеется такая возможность, то "пользуются услугами SVCHOST.EXE".

forser
Спасибо за ответ. Но всё же хочется знать:
1. Зачем QIP посылает оконные сообщения Комоду? Какое дело QIP-у до Comodo? Это безопастно?
2. Зачем Skype роется в памяти Comodo и System-a? Ну прямо точно вирус какой-то?!

K_Ok_O_S, расслабься, а то так и свихнуться не долго

vitsat
Не то, чтобы я сильно напрягался... просто хочется знать, какие действия программ опасны, а какие - нет. По-моему, вполне нормальное желание. По крайней мере, в рамках нашего форума.

K_Ok_O_S
Имхо, не знаешь какие опасны, какие нет - не ставь вообще D+.

Добавлено:
А то натворишь делов...

Цитата:

А то натворишь делов

Согласен... НО! С компами я начал работать во времена третьих MS DOS, Norton Commander и AidsTest v1 . Так что я не полный ламер. Короче, компы - это моё хобби. Не в смысле игрушек,- последний раз в Zelliard лет 15 назад играл,- а именно в смысле поколупать что-то самому.

Просто я прошу объяснить некоторые моменты, повторюсь:
1. Зачем QIP посылает оконные сообщения Комоду?
2. Зачем Skype роется в памяти Comodo и System-a?

Если кому-то не трудно ответить по сути - спасибо. А нет - так нет. Но вот с Комода не слезу - "не дождётесь !" После 2-ки и 3-ки четвёрка произвела на меня большое впечатление.

Windows 7 Ultimate
CIS 4.1.150349.920, установлен только файервол без антивируса.
Dr.Web 5.00, только антивирус безо всяких файерволов, гейтов и т.п.

Проблема в следующем: при любом режиме проактивки Комодо (кроме Неактивен, естественно) невозможно запустить ни единого файла из каталога Др.Веба. Ни при загрузке системы, ни вручную.
Выдаётся сообщение автозащиты Веба:

Код: ---------------------------
Dr.Web SelfPROtect
---------------------------
Application "C:\Program Files\DrWeb\spiderui.exe" cannot be run because it is not Dr.Web file.
---------------------------
ОК
---------------------------

Rodny
Удали-ка все о Вэбе в правилах Д+, поставь режим проактивки "Обучение" и запусти Dr.Web. И результат в студию

HarDDroN
OK. Кроме файлов, которые я в политики добавлял, Веб был только в доверенных поставщиках.
Удалил всё. Поставил "Обучение". Для чистоты перезагрузился.
После загрузки получил два таких же сообщения самозащиты Веба про spiderui.exe и spideragent.exe.
Заметил в трее системный значок "Устранение проблем", в нём запрос на запуск spidernt.exe. Запустил - опять "cannot be run because it is not Dr.Web file".

Всё это время Комодо не издал ни звука, в журнале D+ пусто.
Может это быть связано с тем, что я при установке выбрал режим с выключенной D+, а включил потом?
Попробую ещё CIS переставить.

P.S. Конфигурация Firewall Security, если что. Выбирал Proactive Security, без разницы.

Rodny
А что ставилось первее - Вэб или комодо? ИМХО, это играет роль...

Да, была такая мысль, Комодо ставился вторым. Вот докачаю Dr.Web 6 - решил обновиться по случаю - и поставлю всё в другой последовательности.

Добавлено:
Дело оказалось в пятой версии Dr.Web.

Удалил обе программы, поставил сначала комодо, потом 5-го веба — те же проблемы.
Удалил веба, комодо не трогал, поставил Dr.Web 6.0 — всё нормально.
В вебе даже файервол включал — друг на друга вроде внимания не обращали.

антивирус у комодо нормальный? или проще от него firewall c hips использовать?

Rodny

Цитата:

Удалил веба, комодо не трогал, поставил Dr.Web 6.0 — всё нормально.

Рад за тебя.
FedorSumkins2009
Сколько раз это обсуждалось? 100? 500? Ищи на предыдущих страницах!
Серьёзно, надоедают такие люди.

ну толку от вас как от козла молока. 100 страниц листать влом. короче свободен