» Comodo Internet Security

WIGF 12:03 15-07-2011
Цитата:

а в чём оно дырявое?

Как написал XenoZ - "вопрос не по адресу"...
Это же не я утверждал, что:

Цитата:

Правил для WOS, по сути, не должно быть вообще, ибо это - потенциальная дыра.

Я бы, к примеру, хотел узнать, в чём "дырявость" правила...

У меня файл cislogs.sdb весит 3,21МБ (разрешено 20МБ) - это ответ написавшему ниже.

All
Замечено странное поведение последнего CFP (конфигурация: фаервол+проактивка) при включении сохранения логов. Уже за сегодня в папке 66 файлов общим объемом 1.6 гига (установленный предел журнала - 20МБ) со временем создания каждые 2-5 минут.
Причем многие файлы при открытии откровенно пустые.

Ronin666, если "вопрос не по адресу", тогда и вам не за чем было писать "дырявое правило"

И я думаю, что XenoZ писал скорее про то, что вообще факт возможности писать правила для WOS в AR - это ненормально, т.к. по сути в этих правилах идёт анализ пакетов, для которого уже есть GR, а не то, что не нужно что-либо для данного приложения писать. Ведь если не прописать ничего для WOS, а в GR также для каких-то ничейных пакетов ничего не будет прописано, тогда получится, что они разрешены и ничем не контролируются (во всяком случае в предыдущих версиях именно такое было поведение при анализе WOS самим продуктом CIS, т.е. по умолчанию для него было всё разрешено в AR). Поэтому в шапке и написано, что надо разрешить 2 ICMP, а потом запретить все остальные входящие для WOS.
Если же у вас в GR всё полностью прописано для входящих и разрешены только, например, входящие на порт торрента, то и правила для WOS по сути не требуются.

Добавлено:
XenoZ, а у меня давно прописано, что при достижении 10МБ надо перемещать данный файл в спец.папку и создавать новый файл, но никаких файлов, да и самой спец.папки нет, а просто происходит обнуление основного файла.

WIGF, вот что у меня в Глобальных:



И вот для svchost.exe:



Для SYSTEM у меня, кстати, вообще правил нет. Что не так? Буду благодарен, если поправите...

Цитата:

COMODO лучше Agnitum Outpost Firewall Pro потому что он, COMODO, бесплатен?

Если честно - оно все отстойно )

Ronin666
По svchost.exe: у вас мои же правила, которые в шапке прикреплены, и по которым вы меня уже спрашивали. Так что возражений нет ))
Правда, на данный момент у меня нет правила, разрешающего все исходящие ICMP от него. И вроде бы никаких проблем нет.
И также присутствует правило для синхронизации времени.

По GR: у вас нет никаких запретов по исходящим (кроме IGMP), а значит все ваши правила по исходящим по сути только для красоты или для удобства, т.к. и так все исходящие (кроме IGMP) разрешены. В этом, т.е. в отсутствии полных запретов по исходящим в GR, ничего плохого нет, т.к. в принципе все исходящие соединения удобнее контролировать в AR, а в GR (IMHO) их стоит прописывать только если нужно что-то ограничить по каким-то конкретным исходящим IP/портам или сделать хитрые фильтры, которые простым запретом каких-то соединений не сделаешь, например, как тут в правилах 1 и 2.
Третье правило надо или разбить на 2 (исходящие и входящие отдельно), или оставить только входящие, т.к. потенциальная опасность именно от них.

А то, что для SYSTEM у вас правил нет, значит в вашем случае в них и нет необходимости. И для данного приложения (точнее для ядра системы) запрещена любая сетевая активность.

Цитата:

У меня файл cislogs.sdb весит 3,21МБ (разрешено 20МБ) - это ответ написавшему ниже.

Цитата:

а у меня давно прописано, что при достижении 10МБ надо перемещать данный файл в спец.папку и создавать новый файл, но никаких файлов, да и самой спец.папки нет, а просто происходит обнуление основного файла.

Нужно смотреть именно в папке сохранения, если она указана в настройках, причем она (папка) должна существовать. И здесь таки просматривается баг: перед выходом с работы опять заглянул, а там еще на 1.6 гига сейвов, и это только за 2 часа. И опять же, повторюсь, при просмотре сейвов через журнал Комода в лучшем случае можно увидеть 5-10 записей, а в худшем - ни одной, тем не менее, вес каждого сейва - 20МБ (указанный предел).
Засираемость фейк-сейвами происходит с периодичностью 2-5 мин при активном интернет-соединении.

В то же время, файл cislogs.sdb с кол-вом записей около 200 весит около 300кБ.

XenoZ, дело в том, что эта точно папка была когда-то, а сейчас нет её... Может во время очередного апдейта с выпуском новой ветки там всё потёрлось.
Сейчас создал папку в другом месте и прописал её в настройках. Понаблюдаю, но на данный момент никаких фейковых файлов не возникает.

WIGF, странно у меня
WOS просится на разные порта

settings, очень странное поведение... Могу только предположить, что по какой-то причине CIS принимает исходящие соединения, например, торрент-клиента как исходящие от WOS. Но такого быть не должно. Хотя, возможно, что просто слишком много соединений у вас прописано в торрент-клиенте и CIS их не успевает правильно идентифицировать.
Чтобы подтвердить или опровергнуть эту догадку, надо бы вам установить wireshark и посмотреть им, что именно в тех пакетах, которые CIS воспринимает как исходящие от WOS.

P.S. У меня таких соединений сроду не проскакивало и запросов таких не было...

settings, WIGF
Еще одна причина НЕ пихать правила для WOS в AR. По сути: исходящие бесхозные пакеты (читай - WOS) могут наблюдаться при транзитном трафике из локальной сети или при наличии в системе руткита.

XenoZ

Цитата:

транзит работать и не будет.

Только так и работает.
Птица стоит, в GR нет запрещающего всё правила.
При этом WOS просит пропустить транзитные пакеты, что я и разрешил.
Ваши рекомендации по настройке транзита сработали единожды, по-моему, ещё на тройке. Потом, при обновлении, транзит заглох и пришлось изучать логи. При переходе на Win7 опять пытался ограничиться "птичкой", но ничего не получилось.
Интересно, почему, по вашему, транзит не должен работать с моими правилами.
Или вот последняя редакция для Win7:

господа, помогите советом.
стоял комодо фаерволл версии 5.3.ххх, ни в какую не хотел обновляться, хотя регулярно вывешиал сообщения, что доступны обновления, после чего выкидвал ошибку 0x89972efd, решил его переустановить на свежую версию, по пути не мог зайти на офсайты, чтобы скачать (страница не найдена), но нашел, где скачать. сначала снес предыдущую версию, после чего, почистив реестр, установил свежую версию. вроде все установилось, но пишет - comodo application agent не работает. запускаю диагностику, пишет, что обнаружены проблемы в инсталяции., хочу ли их исправить, - давлю "да" - утилита диагностики не смогда устранить некоторые проблемы...

как бороться с этой напастью, переустановка с ноля не помогает.
винда 7 ультимейт, не ломанная, подключение по lan, без роутера.
на вирусы и прочую заразу проверено, ничего не найдено...

plaid
Почитайте здесь
Отключите сторонний антивирус.
Используйте для удаления COMODO утилиту из шапки.

Chis1

ставил при снесенном антивирусе и вычищенном от него реестре. удалял через утилиту.
по ссылке пройти не могу, почему-то не заходит не только на сайт комода, но и на сайты форумов... (т.е. все ссылки из шапки на скачку, базы и форумы не открываются вообще ни в одном браузере...) также и утилиту скачать не могу...

UPD
скачал утилиту, почистил, установил, запустился, работает, но обновления снова - 0х80072ее2...

Добавлено:
господа, можно поподробнее о настройках проактивной защиты? и имеет ли смысл ею пользоваться?
на оффсайт,Ю как писал выше, попасть не могу...

Chis1, вроде ICMP нужно настраивать в "глобальных", а не для WOS.
еще думаю при наличии 8-го правила, 7-е правило теряет смысл (правда не знаю какой диапазон захватывает [allports])

plaid

Цитата:

на оффсайт,Ю как писал выше, попасть не могу...

Ищите, где блокируется....
Посмотрите файл C:\Windows\System32\drivers\etc\hosts.
Почистите кэш браузера.
Качайте последнюю версию Комода.
pytex

Цитата:

вроде ICMP нужно настраивать в "глобальных"

Правила созданы по запросам фаервола.
Что, надо переносить в глобальные? Честно говоря, не понимаю разницы...???
Да и в шапке рекомендации присутствуют. Уже, вроде, как, аксиома.

Цитата:

при наличии 8-го правила, 7-е правило теряет смысл

Они не пересекаются.

plaid, а при снесённом CIS у вас сайты открываются или тоже нет?
Если не открываются, то, возможно, виноват какой-то другой защитный софт, который раньше стоял у вас, но не полностью удалился. Если был такой, то надо постараться полностью удалить все остатки этого софта.
Плюс выполните в командной строке из-под админа вот это:

Код: netsh winsock reset

Думаю что эту темы уже обсуждали... но как-то поиском не нашел.
Есть комп. основная и единственная задача компа тянуть/раздавать торренты через анонимного VPN провайдера и не светить свой айпи. VPN через OpenVPN.

Я правлю route. маршрут по умолчанию через VPN, через шлюз местного провайдера только набор прописанных маршрутов для айпи адресов VPN провайдера что бы можно было установить соединение.
но хочется еще подстраховаться и перекрыть все файерволом.
В глобальных оставить только OpenVPN соедение через местного провайдера... остальное через VPN и только необходимые адреса и порты (не когда не знаешь, как там у VPN провайдера сеть настроена, я одного уже имел, он что-то там в конфигах после апдейта забыл исправить и в сетке компы всех клиентов у кого что-то разшарено было имелись...) + в приложениях торрент + необходимые системные от винды.

может у кого уже есть набор проверенных настроек? буду очень благодарен.

Подскажите давно пользуюсь COMODO CIS проблем не было, а тут купил 3G модем, не видит соединение???! т.е. все приложения спокойно выходят в инет (((
Win7, CIS 5.5

Ув. эксперты. Использую Comodo 5.4.189822.1355 под Win7HP. Складывается впечатление, что принцип работы флажка "Remember my answer" изменился не в лучшую сторону по сравнению с предыдущими версиями. Что я имею в виду:

1. Запускаем ping.exe на Яндекс IP.
2. Получаем всплывающий запрос от Comodo.
3. Разрешаем запрос и тикаем на "Remember my answer".

4. Проверяем созданное таким образом правило:

Видим, что Comodo разрешил ping.exe любые исходящие IP запросы!

ЕМНИП, в прошлых версиях автоматически создавалось правило с использованием IP:порта, которые были в разрешенном запросе. Теперь же "запоминание", во-первых, явно понижает безопасность, во-вторых, при настройке custom policy теперь приходится вручную указывать все IP, порты, направления, а не редактировать запомненное, как раньше.

Господа, это баг или фича? Кто наблюдал подобное поведение?

Deklin, эти правила запоминаются в соответствии с вашими настройками в "Фаервол" -> "Настройки фаервола" -> "Настройки оповещений". Передвиньте ползунок в самый верх и тогда запоминаемые правила будут максимально точными.

Добавлено:
KaZaKoV, а в настройках модема присутствует драйвер COMODO? Если нет, тогда стоит попробовать переустановить CIS, предварительно сохранив вашу текущую конфигурацию.
При этом при установке обязательно подключите модем, чтобы установщик CIS его увидел.
Либо можно попробовать поставить сверху последнюю версию, но опять же при подключённом модеме.
Может поможет...

Добавлено:
Vladlp, готовых настроек у меня нет и не использовал я такой конфиг, но не забудьте при создании правил разрешить DNS и DHCP-запросы, а то без них сеть не заработает.

WIGF, большое спасибо! Works like a charm.

Цитата:

WOS просится на разные порты

И видно что возникает тогда, когда я подключаюсь к vpn, или что-то открываю (это реже)

WIGF
сори, а где это смотреть?
я не чайник но не нашел(

KaZaKoV
В сетевых подключениях Винды.

Цитата:

а в настройках модема присутствует драйвер COMODO?

Так, а у меня нет там драйвера COMODO. Фаервол работает нормально. Из всех популярных комбайнов впервые вижу, чтобы программы с фаерволом не установила свой сетевой драйвер. Знатоки COMODO, подскажиете, пожалуйста, с чем это связано и чем чревато?

у меня тоже нет и никогда не было драйвера комодо в сетевых подключениях. и мне это нравилось - думал это его особенность работы

О, на адаптере у меня есть, а на PPPoE подключении (те же "Свойства" - "Сеть") - нет!

Добавлено:
... и на виртуальных сетевых картах тоже нет.

У меня тоже драйвер есть только в физических устройствах (сетевая карта, Wi-Fi, WiMAX) и в VirtualBox, а в виртуальных нет, но ведь виртуальные подключения идут через какие-то реальные устройства, поэтому, как я понимаю, драйвера COMODO на них и нет.
Но вот в свойствах модема, как мне кажется, он должен быть, пусть это даже USB-модем.