» Comodo Firewall Pro / Comodo Internet Security (4)

1) Никто не замечал притормаживания при использовании Comodo-вских DNS-серверов?

2) В песочнице можно запускать любую-любую бяку и комп не заразится? Подразумевается, что юзер адекватно будет реагировать на вопросы HIPS-a и не разрешать то, в чём не уверен.
(Я запустил в песочнице CLT - были запросы на установку глобального хука, использование COM-интерфейса RCP-Control и на подключение к инету. В результате был провален тест по пунктам FileDrop, ExplorerAsParent, DDE, Coat.)

3)
Цитата:

11. Избегайте применения политик "Доверенные приложения" или "Системные приложения Windows" для ваших e-mail клиентов, веб-браузеров, IM-клиентов (например, MSN, ICQ и т.п.) или приложений для P2P (peer-to-peer) соединения. Данные приложения не нуждаются в таких исключительных правах доступа.

Что будет, если все вышеозначенные проги будут "Trusted Application"? Нужно ли заморачиваться с индивидуальной настройкой политики под каждую прогу? Ведь защита от переполнения буфера для всех работает... Или есть ещё какие-то "ахилессовы пяты", которые желательно прикрыть? Опять-таки, подразумевается, что юзер адекватно будет реагировать на вопросы HIPS-a и не разрешать то, в чём не уверен.

Цитата:

Цитата: все входящие извне на порты 135, 137, 138, 139 и 445 лучше блокировать.

Нужно учитывать, что при блокировке портов 137-139 будет невозможно использовать локальные сетевые ресурсы.

K_Ok_O_S

Цитата:

Никто не замечал притормаживания при использовании Comodo-вских DNS-серверов?

Юзал неоднократно, мне наоборот показалось, что быстрее стало работать

brRamires

Цитата:

Неужели кто-то думает, что если бы автор например

IMHO, речь о том, что функционал перечисленных прог подразумевает наличие прослушиваемого порта. А злоумышленники могут, подключившись к этому порту, взломать прогу и дальше делать свои чёрные дела.
Я читал, что для таких взломов часто используется атака на переполнение буфера, защита от которой реализована в Comodo для всех программ. Ну, ещё работают "Мои защищённые ключи реестра" и "Мои защищённые файлы". Вот я и думаю: нужно предпринимать ещё какие-то меры для минимизации последствий потенциального взлома, или нет?

TeeHa1F
>CIS 2011 (CIS 5.0)
DO WANT!

Пытался найти настройки CIS для домашнего FTP сервера (параллельно настраивался и HTTP сервер), однако дело оказалось непростым. Был намек в теме аж за 2008 год, но с мертвыми ссылками. При этом в CIS 3.x оно раньше как то все само собой работало, достаточно было прописать адекватные настройки в AR. В CIS же 4.х, вдруг потребовавшись, работать не хотело ни в какую. В результате применения "методов научного тыка" получилось следующее:

---

Исходные данные:
CIS 4.1.150349.920 x64 @ Windows7 Ultimate x64
Firewall:User Mode/Пользовательский
AV:Statefull/Кумулятивный; Defence+:Safe Mode/Безопасный; Sandbox:Disabled/Неактивен
FTP сервер: FZS FileZilla Server 0.9.35 beta
HTTP сервер: HFS HFS (http File Server) 2.3 beta Build 261

---

Мои сетевые зоны/My Network Zones:
[NULL] 0.0.0.0
[HOST] 127.0.0.1
Примечание: IP актуальны для умолчательного локального управления, своим сервером со своего компьютера; для удаленного управления подлежат корректировке отражающей специфические настройки FZS: Admin interface settings
(IPs actual for default local administration; for remote control to be altered according to specific FZS settings)

---

Мои наборы портов/My Port Sets:
[FTP SERVER] порт(ы) FTP сервера, включающие:
- порт(ы) (в диапазоне 1-65535; по умолчанию 21): согласно настройкам FZS "General setting/Connection setting/Listen on these ports"
- диапазон портов: согласно настройкам FZS "Passive mode settings/Use custom port range" (обеспечивает пассивный режим для доступа к серверу из-за файрволла на стороне клиента)
(FTP server port set that includes:
- port(s) (list of ports between 1 and 65535; default 21): according to FZS configuration section "General setting/Connection setting/Listen on these ports"
- port range: according to FZS configuration section "Passive mode settings/Use custom port range")
[FTP INTERFACE] порт интерфейса FTP сервера, согласно настройкам FZS: Admin interface settings
(FTP server interface port, corresponding to FZS settings)
[HTTP] порты HTTP, предполагаемые для использования HFS
(HTTP port(s) supposed for HFS)

---

Глобальные правила/Global Rules:
- Разрешить входящие TCP на порт [FTP]
- Разрешить входящие TCP на порты [HTTP]


/

---

Правила для приложений/Application Rules
Для FZS интерфейса (управление/настройка сервиса/сервера):
- Разрешить исходящие TCP из [NULL] в [HOST] на порт [FTP INTERFACE]
Для FZS сервера:
- Разрешить TCP на порт(ы) [FTP SERVER]
Для HTTP сервера:
- Разрешить TCP/UDP на порты [HTTP]


/

---

Критика приветствуется =)

з.ы. на начальном этапе все правила логируются

з.з.ы. комментарий от автора FileZilla

WinXP SP3, Comodo IS последний

не с того начал сильно грузить проц cmdagent ... подвешивает Hamachi не подетски - вырубил адаптер. результат прежний...
думал что какое приложение тормозит\\ так нет (((
хмм.. есть такая болезнь?

mleo

Для начала я бы попробовал выяснить - грузит ли CIS cpu сам-по себе, или в паре с определенным приложением.

Далее я бы пошел на форум комодо и искал бы свежие темы, отражающие аналогичную проблему (eсли проблема глобально-массовая, то это сразу будет видно), или создал бы свою тему
http://forums.comodo.com/bug-report-cis-b132.30/

Время от времени подобное случается, например из-за неудачных обновлений. Тогда проблема уходит с одним из следующих обновлений, а на время можно попробовать откатиться к предыдущей или нулевой базе.

mleo
Было такое неоднократно после установки нового приложения.
Лечил помещая приложение в список исключений антивируса.

ewild

переустнавливал. сразу обновил антивирус базы. все равно подвисает.
до 70% грузит и резурсов 20-120 ((((

попробую создать на форуме. хотя проще на время отойти от него на другой. на других машинах работате и не кашлеет. вот что смущает. набор прог на машинах вроде одинаковая...

Chis1

найти б еще что мешает.. никакое приложение рядом вроде не жрет
хмм вот только еще Services.exe рядом 15-20% что это сейчас попробую разобраться

mleo

Цитата:

найти б еще что мешает

Попробуйте всю папку Program и Application Data в исключения.
И все станет ясно.

Chis1



Цитата:

Application Data в исключения

это да..
а вообще папки врядли можно))

подскажие плиз..в шапке есть иструкции по рекомендовавннй настройки фаервола...
2. DNS Servers - список DNS-серверов провайдера. что это такое? в настройке моего подключения интернета указаны ip модема и маска и два DNS сервера..это они и есть их туда и вписывать?
и ещё актуална ли иструкция в шапке или у кого что по лучше есть?)
PS да и вообще странно...сделал всё как написано...дак правило для торентов толком не пашет..всё время блокирует то что не нужно...хотя всё перепроверял..как по написанному. версия CIS 4.1.150349.920

Добавлено:
может у кого есть уже толком настроенно всё скинте конфиг..плиз

mahtanoronra
Нажимаешь win + r (или пуск -> выполнить) -> вбиваешь cmd -> ipconfig -all -> ищешь имя своего подключения -> ниже будут 2 твоих DNS серва. Берешь их и засовываешь в Сетевые зоны, назвав "My DNS Servers", при создании правил в Адресе получателя выбираешь "Сетевая зона" и выбираешь в списке "My DNS Servers".

Цитата:

PS да и вообще странно...сделал всё как написано...дак правило для торентов толком не пашет..всё время блокирует то что не нужно...хотя всё перепроверял..как по написанному. версия CIS 4.1.150349.920

Комрад XenoZ на предыдущих страницах выкладывал свои правила в виде портянки, юзай Версию для печати.

HarDDroN
да спасибо они и были)
дак что тогда правилами из шапки не стоит пользоваться?
покапался нашёл для торента у Автор: XenoZ ...дак что ни кто не выкладывал конфиги ни где?

mahtanoronra

Цитата:

дак что тогда правилами из шапки не стоит пользоваться?

А в чем отличия? Я не вижу....

Chis1
к примеру если правила для торента дак у меня оба торента что юторент что азура если не выстовить вместо блокировки задать вопрос..то почти всё блокируеться..а если с вопросом...всё время спрашивает подключение к ip с таким то портом..что порт что и ip всегда разные..но при разрешении всё начинает работаь..хотя юзаю один порт его уже указал в комоде...либо голобалные правила у меня кривые либо что для моей сети ка кто надо настроить толком)

Добавлено:
а конфиги от XenoZ так найти и не могу...

mahtanoronra
В глобальных правилах тоже нужно разрешить входящие TCP и UDP на порт торрента.

Цитата:

а конфиги от XenoZ так найти и не могу...

mahtanoronra
http://forum.ru-board.com/topic.cgi?forum=5&topic=32483&start=920#2

Chis1
не знаю..вроде там не ту разрешения такова в глобале...дело не в этом....там же...любые ip и порты вылазят..кроме тек которые я разрешил..на них не ругаеться и запроса не делает..
да их я и находил...я думал он полные выкладывал..
вопрос относително этих правил глобалных у него. их нода добавить уже к имеющимся или полностью всё удалить и добавить тока их?

mahtanoronra
Слушай ты реально достал...
Тебе сказали - разреши в GR входящие TCP/UDP на свой порт торрента и не парь мозги никому. У всех всё работает - почему у тебя нет, я не знаю, видимо, дело в кривых руках; другой причины я не вижу.

классно тут люди помогают)всех всё достаёт)

mahtanoronra
Трудновато разобраться в твоих сообщениях.
Давай ка, дружище, свои правила в студию.

mahtanoronra
, и в шапке (в блоках по тройке и по четвёрке) и в сообщении XenoZ'а указаны рабочие правила, но для разных степеней параноидальности. Удалять и править в шапке эти правила не нужно.

Очередной глюк: исчез список безопасных файлов.

Может, всё-таки кто-то поможет разобраться...

1)
Цитата:

11. Избегайте применения политик "Доверенные приложения" или "Системные приложения Windows" для ваших e-mail клиентов, веб-браузеров, IM-клиентов (например, MSN, ICQ и т.п.) или приложений для P2P (peer-to-peer) соединения. Данные приложения не нуждаются в таких исключительных правах доступа.

IMHO, речь о том, что функционал перечисленных прог подразумевает наличие прослушиваемого порта. А злоумышленники могут, подключившись к этому порту, взломать прогу и дальше делать свои чёрные дела. Я читал, что для таких взломов часто используется атака на переполнение буфера, защита от которой реализована в Comodo для всех программ. Ну, ещё работают "Мои защищённые ключи реестра" и "Мои защищённые файлы".
Но разработчики COMODO в целях минимизации последствий потенциального взлома, советуют не применять к таким прогам политику "Trusted application"... Поделитесь, пожалуйста, опытом по индивидуальной нстройке политик HIPS под таки проги.

2) В песочнице можно запускать любую-любую бяку и комп не заразится? Подразумевается, что юзер адекватно будет реагировать на вопросы HIPS-a и не разрешать то, в чём не уверен.
(Я запустил в песочнице CLT - были запросы на установку глобального хука, использование COM-интерфейса RCP-Control и на подключение к инету. В результате был провален тест по пунктам FileDrop, ExplorerAsParent, DDE, Coat.) Подразумевается, что юзер адекватно будет реагировать на вопросы HIPS-a и не разрешать то, в чём не уверен.

Появляются вот такие записи в журнале, что это ?

Neville http://www.pc-library.com/ports/tcp-udp-port/5355/ у меня локалки нет, заблокирован мультикаст на этот порт для свхоста. Проблем и последствий не замечено.

Neville
http://ru.wikipedia.org/wiki/Multicast

А как его запретить?