Ru-Board.club
← Вернуться в раздел «Программы»

» Comodo Internet Security

Автор: stormlord666
Дата сообщения: 11.05.2011 07:16
Некоторые вопросы возникли, в процессе конфигурирования CIS. Поможите, плиз, советами.

1. Как быть с broadcast и multicast? Понятно, что входящие запрещены и для первых и для вторых, что называется по умолчанию, а вот как быть с исходящими? Ну, Broadcast, я вроде запретил так, как WIGF советовал:

255.255.255.555
10.255.255.255
10.X.255.255
10.X.Y.255

а вот как бысть мультикастом? Ну, допустим LLMNR я у себя отрубил, но при поднятии сети у меня комп ломится на 224.0.0.1 и 224.0.0.2 получать данные о системах и маршрутизаторах сети, (хотя я при запрете данных исходящих не заметил каких-то проблем работы сети), так имеет ли смысл отрубить все исходящие на адреса 224.0.0.0-239.255.255.255, не приведет ли это к возникновению (потенциально) каких нить траблов могущих повлиять на стабильность работы сети, навроде того что пакеты пойдут в киев через владивосток или еще чего похуже? Как профит, я вижу разгрузку своего соединения от ненужного трафика, но подозреваю что выигрыш мизерный.

2. Как лучше разрулить правила для svchost.exe, может ему просто все исходящие просто разрешить, или с него категорически достаточно http, dns и dhcp запросов? Что касается процесса system - с ним как быть? Какие то наборы правил создавать или тоже на все исходящие дать добро? И насчет правила для wos (в AR) не нашел примеров нигде - его поставить в конце, с разрешенными ICMP и с запрещенными всеми вх\вых IP, или какие то другие варианты? И надо ли для всех процессов, исполняемых файлов и проч. в AR добавлять в наборе последним правилом запрет всего и вся или будет достаточно замыкающего список WOS с подобным запретом?

3. Не совсем понятно с DHCP.
Билайн. Сначала подключаю сетвую к локалке, потом поднимаю VPN.
В GR CIS первым правилом идет исходящие UDP с 68 на 67 и входящие UDP с 67 на 68. При включении сетевухи в логе вижу, что первым делом пошел запрос с 0.0.0.0 на 255.255.255.255, типа "сами мы не местные поможите кто чем сможет" IP адресом. Далее идет входящее UDP C 67 на 68 порт с адреса 10.9.X.Y на 255.255.255.255, хотя если посмотреть "сведения" о состоянии сетеовго адаптера уже после подключения, то там указан DHCP сервер не 10.9.X.Y. а что-то типа 78.107.W.Z. Это нормально? И какой входящий разрешенный адрес лучше указывать для 10.9.X.Y.? Широковещательный 255.255.255.255 или какой-то другой, например диапазон адресов своего сегмента сети, или вообще тут проще отделаться правилом разрешающим входящие UDP с 67 на 68 порт с любых на любые адреса?

4. Относительно безопасности компьютера при выходе из CIS тоже не очень понятно. ЦОБ включен и мониторит антивирус и файрвол, выхожу из CIS жду пару минут, от ЦОБ никаких сообщений о появившейся опасности не появилось.
Глобальные правила при выходе из CIS не работают. Получается, что например, оставил комп включенным, качает он та чей-та из сети, случилась какая-то беда с CIS - завис или, скажем, жена не туда мышкой ткнула...и все.. заходи кто хочешь? Может есть какая то возможность сделать так чтобы при выходе из CIS вообще все блокировалось или что-то в этом роде?

5. Нашел пару глюков. Ну, один точно - иногда, когда редактируешь правило то не сохраняет изменения. Насчет второго глюка не уверен на все 100%, но как-то логирует он подозрительно,такое ощущение что не всегда логирует все события по правилам с соответствующими галочками, может из за того что слишком много правил отмечено для логирования а может я сам глючу или чего-то не понимаю, но вобщем мне логирование показалось подозрительным.
Например, использую L2TP, по идее это - 1701 UDP, за три дня (десятки переподключений) в логах ни одного раза он встречается, хотя все разрешающие GR и AR отмечены как логируемые. Непонятно.




Автор: WIGF
Дата сообщения: 11.05.2011 09:16
stormlord666,

1. Можно и мультикаст запретить, если вам он не нужен (условия то ваши неизвестны, но для обычного использования он совершенно не обязателен).
И маршрут, по которому пакет от вас куда-то пойдёт, от вас зависеть не будет: какие маршруты вы получили от DHCP-сервера, по таким и будет идти трафик.
Но вообще смысла от запрета мульткаста немного. У меня то такие пакеты для svchost запрещены (адрес 224.0.0.22, т.е. IGMP), т.к. и без них всё работает, но вообще для всех весь диапазон мультикаста можно и не запрещать.

2. По svchost есть в шапке пример: вполне достаточно указанных там правил + исходящие UDP на порт 123 для синхронизации времени.
Для SYSTEM у меня есть только разрешающие для VPN PPTP (см. в шапке). Также стоит запрет на входящие на порт 445. Да и собственно всё. Общего запрета даже нет. Тут по ходу надо смотреть для конкретной ситуации: если есть ещё какие-то соединения и вы не знаете, что с ними делать, спросите.
По WOS также в шапке есть пример. Прописать его можно в любом месте в AR.
Связи между завершающим запретом для WOS и для остальных приложений нет никакой, т.к. это разные приложения; WOS - это не все приложения, это пакеты, которые никто не ждёт или это ICMP. Вы сами решайте по конкретным приложениям, делать ли им завершающим правилом запрет или "спрашивать"; для типичных приложений примеры есть в шапке, по ним можно запрет там поставить, а для каких-то неординарных можно и запрос.

3. Проще отделаться правилом, разрешающим входящие с порта 67 на порт 68, но можно при желании прописать IP источника, подставив туда IP вашего DHCP-сервера.

4. На самом деле вы выходите не из CIS, а просто выгружаете его GUI. При этом драйвера CIS продолжают работать, а значит и сам фаер тоже продолжает работать, но не в интерактивном режиме. Поэтому и ЦОБ не реагирует.
Вы попробуйте не выйти из CIS, а выключить модуль фаера или антивируса и сразу же увидите запрос от ЦОБ.
А чтобы кто-то случайно мышкой не туда не ткнул, поставьте в настройках CIS пароль и тогда просто так его выгрузить не получится.
И для WOS сделайте правила и тогда никто лишний к вам не пройдёт, даже если, как вы пишете, при выгрузке CIS не будут работать GR.

5. А зачем вам вообще протоколировать это? Вы ведь в пустую ресурсы компа тратите. И если вот таких вот событий, которые надо протоколировать, будет много, то вообще комп тормозить начнёт.
Вообще протоколирование лучше уменьшить до минимально необходимых размеров и включать при необходимости в каких-то правилах самому на время.
Автор: Ujinnee
Дата сообщения: 11.05.2011 18:37
Kiril777, попробуете запретить для avp.exe TCP исходящие.
Автор: rrr777
Дата сообщения: 11.05.2011 18:50

Цитата:
Kiril777, попробуете запретить для avp.exe TCP исходящие.


НАРОД е-мое, а они теперь совместимы??
Автор: KismetT
Дата сообщения: 11.05.2011 18:59
Ujinnee

Цитата:
попробуете запретить для avp.exe TCP исходящие.


Это ещё зачем ? AVP.exe - работает как локальный прокси - сервер , т.е. весь трафик гонит через себя .
А ты весь исходящий трафик закроешь .



Цитата:
НАРОД е-мое, а они теперь совместимы??

Они уже давно совместимы , правда неофициально .


Kiril777
91.203.99.45 и 213.236.208.98 - это всего лишь Опера на свои сервера лезет .
[more]
Порядок : 1
IP адреса : 91.203.99.45
Состояние : Успешно
Страна : Norway
Имя сети : NO-OPERA
Владелец : Opera Software ASA
Начальный IP : 91.203.96.0
Конечный IP : 91.203.99.255
Allocated : Да
Контактное имя : Jon S. von Tetzchner
Адрес : Waldemar Thranesgt 98, N-0175 Oslo, Norway
Email : abuse@opera.com
Email для жалоб : abuse@opera.com
Телефон : +47 24 16 40 00
Факс : +47 24 16 40 01
Whois сервер : RIPE NCC
Host Name :
Resolved Name : sitecheck2.opera.com
==================================================

==================================================
Порядок : 2
IP адреса : 213.236.208.98
Состояние : Успешно
Страна : Norway
Имя сети : NO-TDCSONG-OPERA-SOFTWARE
Владелец : Opera Software ASA
Начальный IP : 213.236.208.0
Конечный IP : 213.236.208.255
Allocated : Да
Контактное имя : Anbjorn Grindheim
Адрес : Opera Software ASA, Waldemar Thranes gate 98, 0175 OSLO
Email : abuse@opera.com
Email для жалоб : abuse@opera.com
Телефон : +47 24164000
Факс :
Whois сервер : RIPE NCC
Host Name :
Resolved Name : my.opera.com
==================================================
[/more]
Автор: rrr777
Дата сообщения: 11.05.2011 19:32

Цитата:
Они уже давно совместимы , правда неофициально .

я года полтора вообще без всякой защиты сидел, а до этого каспер с аутпостом именно из-за БСОДов с комодом в прошлом, теперь взял блин и поставил CIS с его антивирем..
Автор: KismetT
Дата сообщения: 11.05.2011 19:41
Сейчас стоит Comodo (правда последняя 2-ка) , КАV и MD . Синяки были только из-за драйверов ATI .
Автор: rrr777
Дата сообщения: 11.05.2011 19:44
Нескажу точно какая версия комодо была, а каспер 7-ой тоже билд не помню бсоды были по вине дров каспера..
Автор: Ujinnee
Дата сообщения: 11.05.2011 19:52

Цитата:
Это ещё зачем ? AVP.exe - работает как локальный прокси - сервер , т.е. весь трафик гонит через себя .
А ты весь исходящий трафик закроешь .

KismetT, каков вопрос (
Цитата:
как такое можно присечь?
) - таков ответ


Автор: KismetT
Дата сообщения: 11.05.2011 19:52
Ранее стояла и 7-ка с Комодом ( кстати в то время комод был двойкой ) , и всё путём было . Но была одна тонкость , если поставить галку в пункте " Отслеживать другие NDIS протоколы , кроме TCP/IP " , то тут то синяки и лезли , так как Каспер ставит свой NDIS фильтр и происходил конфликт .
Автор: Kiril777
Дата сообщения: 12.05.2011 05:37
KismetT
а вот это тоже опера пакостит?
Автор: XenoZ
Дата сообщения: 12.05.2011 07:29
Kiril777
И ты на каждый адрес по вопросу задавать будешь? В шапке есть довольно внятное разъяснение принципов работы веб-экранов современных антивирусов. Попробуй внимательно перечитать, а затем немного подумать.
Автор: Kiril777
Дата сообщения: 12.05.2011 07:43
XenoZ
если быть внимательным, то можно увидеть следующее
Kiril777 15:08 11-05-2011
Цитата:
проблема в том, что такие вот утечки бывают частенько, а иногда и не прекращаются пока не переподключишь инет.

активен только каспер, остальные проги я уже отключал, на утечки это не повлияло.
Автор: XenoZ
Дата сообщения: 12.05.2011 08:04
Kiril777
Чукча не читатель, чукча писатель?
Может таки изучишь предложенную тебе ссылку? Ибо, для начала, весьма полезно понять принцип работы веб-монитора хотя бы того же каспера. А потом уже двигаться дальше и разруливать приложениям/процессам доступ в сеть через loopback.
Автор: Kiril777
Дата сообщения: 12.05.2011 08:11
XenoZ
настроек нету, а отключать не вариант. ссылку я изучил, можете тему пролистать на несколько месяцев назад, мне на нее показали когда я спрашивал насчет блокировки приложений.
Автор: XenoZ
Дата сообщения: 12.05.2011 08:49
Kiril777
Настройки есть, надо только их включить:
Firewall Behavior Settings-Alert Settings- [v] Enable alerts for loopback requests
Автор: vitsat
Дата сообщения: 12.05.2011 09:29
Для тотального контроля сетевых приложений не забываем ещё это :


Автор: Ronin666
Дата сообщения: 12.05.2011 10:41
Хм, стоит версия 5.3... Только файерволл и защита. В настройках автообновление выключено.
Решил сегодня обновиться до версии 5.4... Нажимаю "Проверить обновления", выдаёт это:



Что сие значит?
Автор: SUBMARINA
Дата сообщения: 12.05.2011 10:51
XenoZ
ссылочку прочитал, скажи пожалуйста, если у меня стоит Комодо и Аваст, то в сетевой активности Комодо должен указывать только активность Аваста, исходя из написанного в ссылке, но у меня все активные соединения отражены по приложениям, хотя по идее это должны быть соединения Аваста?
Автор: Kiril777
Дата сообщения: 12.05.2011 10:53
XenoZ
оповещения были на среднем уровне, повысил на 1 ступень, посмотрю что изменится.
vitsat
галочки поставил, надеюсь помогут
Автор: PODs
Дата сообщения: 12.05.2011 11:34
vitsat

Цитата:
Для тотального контроля сетевых приложений не забываем ещё это :

Как раз ту галочку ставить не надо, т.к. фаер начнет автоматом создавать правила для безопасных приложений. Хоть бы справку почитали, что ли

Ronin666
А это хз что )))

SUBMARINA
Если в авасте активен какой то веб гуард (или как там он называется) то сначала из приложений, которые лезут в инет, будут запросы на 127.0.0.1 и авастовский порт, а уже из аваста по конкретным адресам пойдет дальше
Автор: SUBMARINA
Дата сообщения: 12.05.2011 11:45
PODs

Цитата:
SUBMARINA
Если в авасте активен какой то веб гуард (или как там он называется) то сначала из приложений, которые лезут в инет, будут запросы на 127.0.0.1 и авастовский порт, а уже из аваста по конкретным адресам пойдет дальше

это я понимаю, но в этом случае Комодо должен отражать в сетевых соединениях только Аваст, а я говорю о том, что у меня в сетевых соединениях указаны все вышедшие в инет приложения, а не только Аваст, судя же по той ссылке, что дал уважаемый XenoZ (по смыслу) должна отражаться сетевая активность только Аваста, который пропускает все через себя, а у меня ВЭБ монитор не отключен в Авасте, тогда что, все-таки можно создавать отдельные правила для приложений?
Автор: XenoZ
Дата сообщения: 12.05.2011 11:46
vitsat
Эмм... Если не ошибаюсь, при пользовательской политике фаервола наличие/отсутствие флажка на "Создавать правила для безопасных приложений" никакой роли не играет.

SUBMARINA
Могу сказать по Авасту 5. Его веб-монитор фильтрует только трафик известных ему браузеров (про почтовые клиенты не скажу, не проверял), причем, если не изменяет память, только 80й порт, все остальные приложения выходят в сеть напрямую.

Kiril777
А почитать описание уровней оповещений религия не позволяет? Контроль адресов появляется только на уровне "Very High".

Добавлено:
Ronin666
Ошибка при обновлении CIS 5.3 на CIS 5.4
Автор: SUBMARINA
Дата сообщения: 12.05.2011 11:51
XenoZ

Цитата:
SUBMARINA
Могу сказать по Авасту 5. Его веб-монитор фильтрует только трафик известных ему браузеров (про почтовые клиенты не скажу, не проверял), причем, если не изменяет память, только 80й порт, все остальные приложения выходят в сеть напрямую.


тогда в сетевых подключениях Комодо вместо браузера у меня должна быть активность Аваста, но у меня нормально отражаются и Мозила и Опера вот сейчас, или я чего-то недопонимаю...
Автор: vitsat
Дата сообщения: 12.05.2011 11:54
PODs

Цитата:
Как раз ту галочку ставить не надо, т.к. фаер начнет автоматом создавать правила для безопасных приложений. Хоть бы справку почитали, что ли


XenoZ

Цитата:
Эмм... Если не ошибаюсь, при пользовательской политике фаервола наличие/отсутствие флажка на "Создавать правила для безопасных приложений" никакой роли не играет.

У меня эта галка осталась от Безопасного режима. Проверил : действительно, эта галка оказывает влияние только в Безопасном режиме. Для Пользовательской политики её вкл./выкл. не имеет никакого значения.

Ronin666

Цитата:
Что сие значит?

Апдейт на серверах временно приостановлен. Попробуй в другой раз.

Автор: XenoZ
Дата сообщения: 12.05.2011 11:57
SUBMARINA
Мозила и Опера (при включенном веб-мониторе Аваста) обращаются на 127.0.0.1:12080, т.е на прокси Аваста.
Автор: SUBMARINA
Дата сообщения: 12.05.2011 12:40
XenoZ
вот я этого как раз и не вижу, там не 127.0.0.1:12080
Автор: XenoZ
Дата сообщения: 12.05.2011 13:01
All
Господа, давайте таки не путаться и не путать других.

Цитата:
Safe Mode (Default): While filtering network traffic, the firewall automatically creates rules that allow all traffic for the components of applications certified as 'Safe' by Comodo, if the checkbox Create rules for safe applications is selected. For non-certified new applications, you will receive an alert whenever that application attempts to access the network.

В безопасном режиме фаервола для безопасных приложений разрешается весь трафик без создания правил, правила создаются, только если выставлен соответствующий флажок. При выставленном флажке правила создаются только в безопасном режиме.
И ничего более.

SUBMARINA
Сеансы черной магии проводятся совсем в другом топике. Шерсти настройки Аваста и Комода.
Автор: SUBMARINA
Дата сообщения: 12.05.2011 13:09
XenoZ
ну какая черная магия, я с умным знающим человеком посоветоваться хотел, как настройки не шерсти, либо браузеры Опера и Мозила должны отражаться как 127.0.0.1, либо что-то не так в описании и понимании
Автор: difuzor76
Дата сообщения: 12.05.2011 13:21
Народ а че надо включить в фаере,что-бы после сноса любой из прог она не лезла автоматом на родной сайт ??

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458

Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.