» Comodo Firewall Pro / Comodo Internet Security (4)

Здравствуйте. Нужен совет по поводу того, как настроить CIS. Понимаю, что может я уже 100-ый, кто про это спрашивает и все вопросы по 1000-му кругу, но не разбираюсь я в сетевых технологиях, не обессудьте.
У меня Windows XP SP3 Интернет по технологии Ethernet через VPN. Пользуюсь программами: браузеры, uTorrent, менеджеры закачек, плееры для прослушивания онлайн-радио.
Практически это всё, что у меня выходит в сеть. Для них я установлю предопределённые политики. Сервисами локальной сети не пользуюсь вообще.
Вопрос в том, какие правила прописывать для системных приложений в глобальных правилах.
В разделе Comodo Internet Security 3.14, в шапке нашёл правила:

1. Comodo 3 vs VPN - получилось
2. Windows Operating System (System Idle Process) - получилось
3. svchost.exe - первые два пункта получилось. 3-й пункт не знаю как сделать. Я не знаю адрес DNS-сервера - его адрес должен выдаваться провайдером автоматически при подключении. По 4-му пункту далее сказано "Если IP у вас прописаны вручную в настройках сетевых подключений, тогда правило 4 не нужно". Не понял что это значит.
А следующим пунктом идёт полное разрешение на протокол ICMP, но я прочитал что этот протокол может использоваться для хакерских атак и теперь в сомнении.
Прочитал по ссылке http://bugtraq.ru/library/books/attack/chapter04/04.html

4. Общий доступ в интернет совсем не понял нужно оно мне, или нет
5. Что касается глобальных правил, то приведено 3 варианта и я запутался какой мне больше подходит. Сейчас у мня там следующее:

Разрешить ТСР исходящий из IP любой в [имя vpn-сервера] где порт отправления в [1024-4999] и порт назначения 1723
и
Разрешить IP исходящий из IP любой в [имя vpn-сервера] где протокол 47

Это я сделал при настройке пункта 1.
А что сделать с другими протоколами, в частности с ICMP?

Ну в общем может кто-то подсказать какие правила мне нужны для максимальной защиты системы, с учётом того, что я пользуюсь только VPN, но не локалкой и в основном теми приложениями, что я перечислил выше.

народ кто может обьяснит вот это?

IP тот кому раздаю файл....как такое может быть?

mahtanoronra

Цитата:

народ кто может обьяснит вот это?
IP тот кому раздаю файл....как такое может быть?

Не совсем понятна суть вопроса. Но, по всей видимости, правилами заблокированы исходящие на порты NetBIOS или, в частности, на 137 порт.

Rodny
Спасибо.

Перевод с www.translate.ru


Цитата:

2. Определенные Лицензии
2.1. Защитное программное обеспечение Comodo. Интернет-безопасность Comodo (СНГ) может использоваться единожды оплачиваемая и для коммерческого и для личного использования. СНГ включает продукты Брандмауэра и Антивируса Comodo. Нет технический или клиентская поддержка не обеспечен для СНГ, отдельного от продуктов, описанных в разделе 2.5. Установка СНГ может включать установку дополнительных продуктов. Использование этих продуктов может быть инвалидом, пока Вы не платите за продукты.

Настораживает

Цитата:

единожды оплачиваемая

Значит платить все-таки нужно?

Vinidimka
Перевод неточный. Смысл фразы "may be used royalty-free" сильно искажен. Ее можно перевести так: "может использоваться безвозмездно (на безвозмездной основе)"

forser
забыл добавить что это я сидел в торенте и IP как раз тот кому раздовал....

mahtanoronra

Цитата:

забыл добавить что это я сидел в торенте и IP как раз тот кому раздовал...

Это я понял, - исходя из слова "раздаю"... А что это меняет? Или 137 порт не заблокирован?

forser
заблокирован...простоя не пойму связи...торент и порт 137 так как именно когда раздовал он ломился на него...это вобще нормалное поведение?

vishvamitra, по пунктам:

3. Чтобы узнать список DNS-серверов, нужно запустить командную строку и в ней выполнить команду ipconfig /all
В списке будет несколько DNS-серверов (для локального подключения и для VPN).
В четвёртой строке имеется в виду тип получения IP в настройках сетевых подключений: Сетевое окружение/Центр управления сетями -> свойства нужного подключения -> Сеть -> Протокол интернета TCP/IPv4 -> Свойства. Далее если стоит "автоматически", значит правило нужно, а если там циферками всё прописано, значит не нужно.
ICMP мы разрешаем не все, а только исходящие. Проблемы же могут возникнуть, если у нас разрешены все типы входящих ICMP, но их разруливать надо в Global Rules.

4. Не понял к чему этот вопрос. Что тут имелось в виду?

5. Приведены 3 примера разных GR. Вы можете из них выбрать для себя нужные. По ICMP правила то практически одни и те же. Только у кого то есть разрешение входящего пинга для доверенных узлов или в своей локалке. Вам максимум нужно будет разрешить входящий пинг от DHCP-сервера провайдера, да и то если провайдер его использует. Пропишите по ICMP 6,7,8 и 10 из моих, а если понадобится потом что-то разрешить ещё, тогда и пропишите.

Далее разруливайте на уровне приложений. Глобальными правилами удобнее запретить все возможные и ненужные входящие, а исходящие соединения прописывайте по конкретным приложениям в Application Rules. Примеры таких правил есть в шапке (смотрите в блоке по четвёрке).

mahtanoronra, видимо, кто-то установил у себя 137 порт в качестве порта торрент-клиента. Пока вижу только такой вариант...

forser
ну не торент запрашиват этот порт а system..так что лично я не понимаю как так может быть да и зачем..странно...в итоге 200 с лишним блокировок...

mahtanoronra, а запрещающее правило с "логированием" для какого процесса установлено?

forser
для System у меня там заблокировано UDP с 192 168 1 2 (ip модемный через который в нет выхожу) в 192 168 1 255 на эти порты нет биоса и лог убран (а то достал уже мелькать перед глазами,у меня маршрутизатор видимо по этому ) и + просто блокирующие правила на все с логом..вот оно и логирует блокировки на исходящие 137 с айпишниками из торента...просто не пойму причём тут торент да и ещё те кто у меня качает

mahtanoronra
Торрент ни при чем. System стучит на все активные адреса.

XenoZ
то есть передача с торента ..автоматом считает активным IP адреса на которые передаёться?можно убрать лог и не париться?

WIGF, я сегодня повожусь с настройками и позже ещё напишу. Наверняка то что мне нужно, обсуждалось на форуме, но в ветках про CFP/CIS написано столько, что разобраться самому в этом объёме информации практически непосильная задача. Приходится надеется на помощь постоянных участников форума.

mahtanoronra
Еще раз: торрент здесь ни при чем. Система ищет расшаренные ресурсы в сети и ей глубоко пофиг, локалка это или инет. Если тебя это так беспокоит, отключи в настройках сетевого интерфейса NetBIOS over TCP/IP.

XenoZ
ну как ни причём...у меня качали ..видать эти IP посчитались за рашаренные(верно понял?) из за этого вот и ломился NB...так как без торента все тихо..

mahtanoronra, а не включен ли у вас в торрент-клиенте поиск локальных пиров?

WIGF
мм..пользуюсь Azure.... возможно там включён.там настроек много,чесно не знаю..скажите где посмотреть

mahtanoronra, у меня utorrent, подсказать по Azure не могу, но про поиск локальных пиров прям так в настройках и написано (Настройка -> Конфигурация -> BitTorrent).

WIGF
в utorrent стоит...в надо будет через него раздать попробывать....думаете в этом дело?кстати видел тут в одной из тем cocmoda скрин и там был болшой список опасных портов...не знаете где его можно посмотреть?

Каждое утро, при включении компа, COMODO требует запустить Диагностику.
Запускаю Диагностику, перезапускаю Агент и все нормально.

где искать причину?

mahtanoronra, список опасных портов? Скорее всего это была картинка отсюда - http://www.pcflank.com/about.htm

Поставил все правила фаервола на логирование с целью проверить на опечатки итд.
Кроме всего прочего заметил, что у меня блокируюся для WOS:
1. исходящие ICMP в DNS сеть недоступна,
2. исходящие ICMP в DNS порт недоступен,
3. исходящие ICMP в 207.46.232.182 эхо запрос,
4. исходящие UDP в DNS на порт 53.
Для SvchosT:
5. исходящие UDP на 123 порт.

CIS5, WIN7X64. Все правила у меня в, основном, стандартные. Глобальные без общего завершающего.
Может-ли отсутствие этих разрешений повлиять на стабильность системы?
Узаконить их, или...?
Если 5 служба времени, то может отсутствие этого разрешения повлиять на точность часов ( у меня системные часы бегут на 30 сек.)?

noisy
Цитата:

где искать причину?

Цитата:

Рекомендуется при описании проблемы указывать версию операционной системы и тип подключения к интернету.

Навскидку, - причина в некорректной установке. Удалить, почистить хвосты, установить.

WIGF
Цитата:

а не включен ли у вас в торрент-клиенте поиск локальных пиров?

Каким боком связан торрент и обращения System по NetBIOS?

mahtanoronra
Цитата:

там был болшой список опасных портов...не знаете где его можно посмотреть?

Набери в Гугле "опасные порты" и почитай ссылки.

WIGF
нет и
мено кто то выкладывал скрин с портами своими и там был списко по английский опасные порты..штук так 20 или 25 всего
а с чем связано что тест http://www.pcflank.com/test2.htm с аутпостом прошёл на ура кроме 3 смайла...а с комомдом тока жёлтые смайлы...не ужели тока из за рекламы аутпоста или есть другое обьяснение?

XenoZ, ну а вдруг...

mahtanoronra, там много тестов. Каждый что-то свое делает. Описания к тестам там есть.

WIGF
когда Quick Test с комодом что то про Ports check пишет и про Trojan horse check..хотя хотя у меня же все закрыто да и сижу через маршрутизатор...если пришлю то что пишет поможите разобраться?

mahtanoronra, если сидите через маршрутизатор и при этом не проброшены порты, то вы проверяете не комп, а маршрутизатор. Т.е. отчёты по тестам на пробиваемость извне в данной ситуации не дают никакой информации о безопасности компа.