Ru-Board.club
← Вернуться в раздел «Программы»

» Comodo Internet Security

Автор: Celsus
Дата сообщения: 22.09.2011 09:04
1. В глобальных правилах разрешены все исходящие, а входящие запрещены (кроме правил для ICMP). А если эти правила запрета входящих и разрешения исходящих удалить, то автоматически:
1) входящие останутся запрещены или разрешаться?
2) исходящие останутся разрешены или запретятся?

2. Что важнее, правила для приложений или глобальные правила? Ведь в глобальных правилах входящие запрещены, тем не менее в правилах для приложений в одном правиле для bittorrent разрешены входящие для UDP.

3. Когда я пытался настраивать брандмауэр Windows 7, хотел запретить все входящие - удалось только для приложений: когда запретил входящие для какой-то системной службы, перестало работать Интернет подключение. В Comodo в правилах для приложений уже есть какие-то настройки для системных служб или процессов (System, Средства обновления Windows). Вопрос: дополнительно закрывать какие-нибудь ненужные порты или соединения для системных служб в Comodo уже не нужно? (ненужные мне службы, назначение которых вроде понял, отключил в оснастке "Службы", также воспользовался Windows Worm Doors Cleaner).

4. Входящие ICMP (2 правила в Глобальных правилах) примерно для чего нужны? (если описывать долго или назначение сложно понять не специалисту, тогда неважно

5. В вкладке Сводка можно посмотреть вторжения - пока там появлялись программы, доступ к Интернету для которых обынчыми средствами отключить не удалось (например, google Update, Chrome не установлен, но установленная авастом служба пытается обновить неустановленный браузер, в Планировщике службу обновления Google Update отключил, откуда еще она стартует - неясно).

Если будет вторжение извне, например, Worm из сети, то просто появится строчка и будет указан IP Источника (чужой компьютер) и IP назначения (мой компьютер)?

6. Настроил правила для Bittorrent по шапке, правда, вместо DNS Servers указал "любой", так как пока не выяснил, какой диапазон IP нужно прописать. Все проверил несколько раз, но после этого в Вторжениях появились строчки:

а) протокол UDP, IP источника мой компьютер, и в разных строчках 2 разных порта (в правилах для набора Bittorrent я указал порт, который указан в конфигурации Bittorrent).
Bittorrnet для UDP открывает еще какие-то порты, кроме указанного в его настройках? для UDP IP назначения 239.255.255.250. Порт назначения 1900.

б) Также Bittorrent пытается соединиться через Ipv6, но в этом случае порты источника и назначения отсутствует, IP источника (мой) и IP назначения 77.79.143.139. Провайдер Ipv6 не поддерживает, советует отключить этот протокол в настройках сетевого адаптера и настройках VPN (я так и сделал).

Как быть?


Добавлено:
В наборе портов p2p указан 1 порт - тот, который в настройках Bittorrent

Добавлено:
Bittorrent говорит, что нет входящих соединений. Но есть правило вхоядящего для UDP
Попробовал сделать доверенным (разрешены все входящие и исходящие). Перезапустил. Все равно пишет, что нет входящих соединений (пиры и сиды в скобках указаны).

Добавлено:
Последнее: протестировал Ишеtorrent на скорость. В результатах в пункте Сеть: Порт закрыт (загрузка возможна), отмечена галочка Автоназначение порта
Автор: Chis1
Дата сообщения: 22.09.2011 10:53
Celsus
Для начала почитайте информацию из шапки- "Примеры правил и принципы работы фаервола в CIS:".
Да и все остальное не помешает.
Думаю, большинство вопросов отпадет.
Автор: ytr
Дата сообщения: 24.09.2011 14:06
Друзья, а можно сделать как-то, чтобы все неизвестные cpf .exe, запускаемые на компьютере, запускались в песочнице, причем с минимальными правами (недоверенное) - с виртуализацией файловой системы и реестра? С максимальной защитой. Хочу защититься от троянов, сидящих в кейгенах и прочей фигне.

И еще: нельзя ли сделать песочницу, как это сделано в продуктах от Касперского? Там приложения, запускаемые в песочнице, можно четко отличить от остальных (цветная рамка вокруг окна приложения), и кроме того - в контекстном меню есть пункт "запустить в песочнице", очень удобно.

Спасибо!
Автор: PODs
Дата сообщения: 24.09.2011 22:59
Товарищи, вопрос - у кого стоит в связке с Comodo 5.8 антивирус G Data 2012? У меня фаер комодовский не хочет мониторить запросы приложений по 80-м порту, а сразу их показывает со службы проверки веб-траффика G Data. На остальных антивирусах, у которых имеется своя служба проверки трафика, сначала шли loopback запросы на локальный порт этой службы, а уж потом с нее на 80-й порт по различным адресам. Самое интересное то, что например CPorts как и Process Explorer видит обращения браузера, в инет, причем сразу показывает по 80-м порту, а комод молчит как рыба, даже не нужно правила для браузера в фаерволе он и так спокойно ходит. Пока оформил баг на форуме в бета ветке, посмотрим что ответят
Автор: brath
Дата сообщения: 24.09.2011 23:54
Песочница у Comodo ограничивает активность программ в соответствии с уровнем выставленным в настройках и виртуализирует только защищенные папки/разделы реестра, это не Sandboxie - полной виртуализации нет.

Выставляется на закладке "Защита" ("Defense+") -> "Настройки проактивной защиты"("Defense+ settings"), далее закладки "Настройки контроля исполнения приложений" и "Настройки Sandbox" ("Execution Control Settings" и "Sandbox Settings" соответственно)
Автор: ytr
Дата сообщения: 25.09.2011 00:09

Цитата:

виртуализирует только защищенные папки/разделы реестра, это не Sandboxie - полной виртуализации нет.


Странно. Вот сейчас запустил FAR в песочнице, как ограниченный. В нем один файл удалил, другой - создал. Не на том диске, на котором стоит Windows. На реальном диске ничего не удалилось и не создалось.
Автор: PODs
Дата сообщения: 25.09.2011 16:27
brath,
ytr
В 5.8 (в предыдущих версиях не знаю, не пробовал) полная виртуализация идет что реестра, что файловой системы. Запустите regedit в песочнице и попробуйте посоздавать/поудалять разделы, которые не прописаны в защищенных ключах реестра и ваши действия никак не отобразятся на реальном реестре, так же как и файловые операции на любых дисках и разделах.
Автор: ytr
Дата сообщения: 25.09.2011 18:40
У меня comodo firewall версии 5.5 с копейками, свежескачанный с офсайта.
Автор: Comodius
Дата сообщения: 25.09.2011 21:23

Цитата:
В 5.8 (в предыдущих версиях не знаю, не пробовал) полная виртуализация идет что реестра, что файловой системы.

Это если вручную запустить приложение в песочнице, то да, виртуализация полная. А если сам comodo отправляет процесс в песочницу, то оно стартует просто с ограниченными правами.
Автор: ytr
Дата сообщения: 25.09.2011 21:28

Цитата:
Это если вручную запустить приложение в песочнице, то да, виртуализация полная. А если сам comodo отправляет процесс в песочницу, то оно стартует просто с ограниченными правами.


А разве на это не влияет опция Настройки контроля исполнения приложений -> Обрабатывать неопознанные файлы как ?
Автор: PODs
Дата сообщения: 25.09.2011 22:18
Comodius

Цитата:
А если сам comodo отправляет процесс в песочницу, то оно стартует просто с ограниченными правами.

Оно стартует с ограниченными правами, но все равно внутри песочницы с виртуализацией как ни крути. И запустить с ограниченными правами в песочнице можно и вручную.
Автор: Comodius
Дата сообщения: 27.09.2011 22:04

Цитата:
Оно стартует с ограниченными правами, но все равно внутри песочницы с виртуализацией как ни крути. И запустить с ограниченными правами в песочнице можно и вручную.

Полная виртуализация автоматической песочницы будет только в 6-й версии comodo
Автор: FedorSumkins2009
Дата сообщения: 28.09.2011 07:16
оригинально.
вирус с цифровой подписью которую comodo считает доверенной и разрешает гадить где попало.
послал им лабораторию зверька. спасибо док.веб со скрипом зловреда отловил и удалил. так что не доверяю я comodo-молчит как партизан, зараза прошла,засрала все флешки, нагадила в реестр и ноль реакции.
снести comodo хочется после такой свиньи
Автор: DenverWolf
Дата сообщения: 28.09.2011 08:13
Тут вроде как обновка:
COMODO Internet Security Premium 5.8.209729.2104 RC1
Изменения в версии 5.8.209729.2104 RC1:
• NEW! Добавлен новый расширенный режим защиты для модуля: Defense + (Проактивная защита).
- Это позволит пользователям выборочно включать / отключать новые защитные механизмы.
• ИСПРАВЛЕНО! Антивирус некорректно завершал работу, на плохих дисках с большим числом битых секторов.
• ИСПРАВЛЕНО! Надежные файлы не могли быть очищены
• ИСПРАВЛЕНО! Различные ошибки связанные с локализациями на разных языках.
Автор: vitsat
Дата сообщения: 28.09.2011 09:06
FedorSumkins2009, дай ссылку на этот вирус. У меня на виртуалке CIS как раз недели три не обновлялся. Хочется проверить, как это всё выглядит.
Автор: michail10
Дата сообщения: 28.09.2011 09:55

Цитата:
вирус с цифровой подписью которую comodo считает доверенной и разрешает гадить где попало.

У всех антивирусов бывают проколы. При "правильных" настройках не антивирус, так проактивка сработает. А там уже вы будете думать доверенный файл или нет.
Автор: vitsat
Дата сообщения: 28.09.2011 12:02
FedorSumkins2009, вам следует предъявить претензии на форуме COMODO. Даже можно сказать - "наехать" с доказательствами. Иначе ваши слова здесь могут показаться пустой болтовнёй. Мало ли нюансов... например, у вас в CIS не была грамотно настроена проактивка... C "заводскими" (по умолчанию) настройками CIS слабоват в деле защиты.
Автор: FedorSumkins2009
Дата сообщения: 28.09.2011 14:01
vitsat

в принципе может и ручки кривые
сам зверек в архиве(пароль virus). из гадостей копируется на флешки в папку recycler, в папку appdata сидит тело, на флешке скрывает папки и заменяет на ярлыки со ссылкой к вирю.
собственно http://rghost.ru/23366841
Автор: vitsat
Дата сообщения: 28.09.2011 15:43
OFF FedorSumkins2009, посоветую для флешек проверенную временем защиту AutoRunCleaner_v1.7 :
Распакуй в программную директорию и запусти, в трее вызови настройки и выставь галки :

Если не доверяешь, бери на сайте. Но там надо сначала скачать v1.6 и поверх с заменой экзэшника распаковывать архив от v1.7 : http://ali-k777.narod.ru/autoruncleaner.html
Автор: FedorSumkins2009
Дата сообщения: 28.09.2011 15:51
vitsat
благодарствуем, для удобства прикрутил usb safely remove и настроил в нем для просмотра флешек total commander.
Автор: K_Ok_O_S
Дата сообщения: 28.09.2011 20:35
Запустил этот вирус на живой системе
а
в реестр реальный ничего не попало. Настройки проактивки - в "контроле исполнения приложений" и "sandbox" все галочки стоЯт.
Автор: brath
Дата сообщения: 28.09.2011 22:14

Цитата:
вирус с цифровой подписью которую comodo считает доверенной и разрешает гадить где попало.
...comodo-молчит как партизан


чтоб не молчал "как партизан" надо отключать песочницу и даже включить "создавать правила для доверенных приложений", но последнее уже скорее для маньяков.


Добавлено:

Цитата:
K_Ok_O_S


Цитата:
Запустил этот вирус на живой системе



забыл добавить, "не способным восстанавливать систему" данные действия категорически не рекомендуется повторять.
Автор: vitsat
Дата сообщения: 29.09.2011 03:59
Народ, не понимаю, как этот вирус можно прозевать, если ещё на стадии распаковки (до проактивки даже дело не доходит) его перехватывает антивирь. Вот примеры со старыми базами где-то двухнедельной давности и второй пример с беткой (RC1) на свежих базах :


Автор: brath
Дата сообщения: 29.09.2011 09:36
Есть/(был?) у Comodo один глюк позволяющий такое сделать. Надо взять, например Total Commander, добавить его в "Доверенные приложения" или "Установщики", временно отключить антивирус Comodo, далее распаковать архив с вирусом средствами именно Total Commander-а, включить антивирус Comodo обратно, и можно пробовать запускать (я не запускал, только проверку антивирусом делал) зловреда и наблюдать то что ни антивирус, (ни Defense+ ???) на него не реагируют, так как он был распакован "Доверенным/Установщиком" и сам автоматом стал "доверенным".
Автор: mahtanoronra
Дата сообщения: 29.09.2011 09:54
brath
у меня по этому все приложения в доверенных сидят.то есть если они запускают любой exe файл то вылезет запрос на разрешение или нет.если стоит установщик то тут и так понятно пролезет зловред..странно что как ты говоришь антивир молчит
Автор: Valiot
Дата сообщения: 29.09.2011 16:02
Кто-нить встречался с проблемой: очень долго устанавливаются новые флешки в win7. Уже на 2-х машинах такая фигня.. Причём всё начинает работать нормально как только полностью отключаю антивирус (фаервол и проактивка никак не влияют). Причём на одном компе на установку новой флехи уходит примерно 5 мин, а на др - они совсем не устанавливаются (ждал минут 10)
Помогите, если кто знает, куда копать.. (
Автор: mahtanoronra
Дата сообщения: 30.09.2011 10:18
v0te
уже было
v0te
DenverWolf
а что за
Цитата:
NEW! Добавлен новый расширенный режим защиты для модуля: Defense + (Проактивная защита).
- Это позволит пользователям выборочно включать / отключать новые защитные механизмы.

как проявляется?
Автор: Celsus
Дата сообщения: 30.09.2011 11:55
Для чего нужны эти правила для Bittorrent&
1. Allow Incoming BitTorrent-DATA Requests:
Allow TCP OR UDP In From Any To Any Where Source Port Is Any And Destination Port Is In [p2p Ports]
4. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53

Если все входящие запрещены, нужно ли это правило:
4. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
LOG - это сохранение событий о том, что произошло - нарушение правил, неразрешенные попытки программы выйти в интернет?

Какое правило создать, чтобы как в фаерволе Windows 7 в режиме повышенной безопасности запретить все исходящие, кроме указанных.

Чтобы запретить все входящие вообще, достаточно создать правило в Глобальных и выбрать настройку Запретить входящие и скрывать компьютер?


Добавлено:
Если приложение/процесс доверенное и начнет выполнять опасные действия, HIPS Comodo предупредит или доверенному процессу разрешено абсолютно все?
Автор: DenverWolf
Дата сообщения: 30.09.2011 12:03
mahtanoronra

Цитата:
как проявляется?

Честно, пока не знаю. Все собираюсь на виртуальной машине проверить. Да вот пока руки не дошли. Как проверю, отпишусь.
Автор: Celsus
Дата сообщения: 30.09.2011 12:08

Цитата:
brath,
ytr
В 5.8 (в предыдущих версиях не знаю, не пробовал) полная виртуализация идет что реестра, что файловой системы. Запустите regedit в песочнице и попробуйте посоздавать/поудалять разделы, которые не прописаны в защищенных ключах реестра и ваши действия никак не отобразятся на реальном реестре, так же как и файловые операции на любых дисках и разделах.

Если запустить в песочнице программу, то будет ли наследование - процессы, которые запустит эта программа также будут в песочнице?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458

Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.