Author Topic: "Тихий" режим фаера  (Read 30514 times)

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Re: "Тихий" режим работы CFP без GUI
« Reply #15 on: April 03, 2008, 12:57:21 PM »
возможно еще одно применение
WIGF, еще одно применение метода по ссылке: вкратце суть проблемы в том, что чел не хочет чтобы всплывающие окошки показывались "гостям" и др. ограниченным пользователям, но не хочет использовать парольную защиту, т. к. желает, чтобы на его (администраторской записи) все было как обычно: окошки и т. д. Мой ответ.

Не перестаю удивляться, насколько крут способ :-TU

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
Re: "Тихий" режим работы CFP без GUI
« Reply #16 on: April 04, 2008, 02:55:54 AM »
Провел несколько сканирований системы,защищенной 3.20.320. Использовал сканер иксспайдер и суперскан 4. В комодо отключил D+ и в фаерволе во вкладке GR прописал одно единственное правило: Block ICMP In from IP any to IP any where ICMP Message is ECHO REQUEST. При отключенном GUI фаер заблокировал сканирование по портам. И что самое интересное, в журнале отражены попытки скана! Я специально не логировал ВСЕ правила и не пойму откуда лог? Есть догадка что использовались правила+log из другого профиля. Это надо проверить. Тогда задумка разработчиков,если это специально сделано достойна аплодисментов! Получается,если пользователь имеет еще один профиль скажем№2,то находясь под профилем №1 и попав под атаку с переводом в демократичный режим(например,отключение логирования для некоторых прог) в лог попадет запись от атаки и о несанкционированом выходе в СЕТЬ. Но, могу ошибаться или что-то по невнимательности не так делать. Буду еще проверять. Пока-браво COMODO! :)

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
Re: "Тихий" режим работы CFP без GUI
« Reply #17 on: April 05, 2008, 09:39:52 AM »
Интересное сообщение по теме от известного эксперта по защите ИТ по ником p2u здесь Вот выдержка:
Quote
Это будущее покажет...
Конечно, сама защита от отсутствия этого ярлыка не зависит - для безопасности даже лучше, чтобы GUI не было совсем. Только возможные практические проблемы вижу в случае, если что-то начинается НЕ работать...
Потом, когда ярлык отсутствует КОГДА ОН ДОЛЖЕН БЫТЬ, можно делать вывод о том, что есть проблема (защита погибла, допустим, драйвера слетели, или ещё что-то). А так вы знать не будете.

Paul

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: "Тихий" режим работы CFP без GUI
« Reply #18 on: April 06, 2008, 05:35:45 AM »
Давно я не появлялся тут. А теперь аж целая тема возникла из случайной идеи по уменьшению нагрузки на слабый комп... :-TU
WIGF, еще одно применение метода по ссылке: вкратце суть проблемы в том, что чел не хочет чтобы всплывающие окошки показывались "гостям" и др. ограниченным пользователям, но не хочет использовать парольную защиту, т. к. желает, чтобы на его (администраторской записи) все было как обычно: окошки и т. д. Мой ответ.

Не перестаю удивляться, насколько крут способ :-TU
goodbrazer, почитал... Тяжело, однако, не зная толком аглицкого разбираться ;D
Я даже в переводчик засунул, но там такой бред мне выдали в качестве перевода, что я вернулся обратно на английский текст и кое-как его понял.
Добавлю к этому, что я то без Defense+ использую CFP 3 (т.е. только в качестве стенки). При этом службу фаера можно выгрузить без проблем, но если ничего нехорошего не пускать на комп, то и выгружать фаер будет некому.
В связи с этим вопрос: нельзя ли обойтись без дифанса, но при этом запретить выгрузку фаера ? И если нет, то не собираются ли разработчики как-то включить в будущем эту функцию ?

barsukRed, спасибо за идею об организации отдельного топика по данному вопросу !
Quote
Провел несколько сканирований системы,защищенной 3.20.320. Использовал сканер иксспайдер и суперскан 4. В комодо отключил D+ и в фаерволе во вкладке GR прописал одно единственное правило: Block ICMP In from IP any to IP any where ICMP Message is ECHO REQUEST. При отключенном GUI фаер заблокировал сканирование по портам.
Я сам не очень в таких вещах понимаю, но получается, что эти 2 сканера только пингуют указанный им IP и всё, раз хватило одного единственного запрещающего правила по входящему пингу.
А xSpider разве только пингует ? Я его когда-то давно запускал и игрался (со вторым COMODO)... и мне кажется, что в нём не только пингом всё ограничивается, но я могу ошибаться...
Quote
И что самое интересное, в журнале отражены попытки скана! Я специально не логировал ВСЕ правила и не пойму откуда лог? Есть догадка что использовались правила+log из другого профиля.
Может так, а может быть это из разряда непредсказуемого поведения фаера: протоколируются только ICMP-срабатывания, а UDP и TCP - нет.

Интересное сообщение по теме от известного эксперта по защите ИТ по ником p2u здесь
Да всё верно, если ставить проги и следить всегда самому, а если надо настроить для домохозяйки/ребёнка комп и разрешить выход в интернет только определённому кругу программ, тогда стоит отключить.
Я ведь не с проста дома убрал GUI. Убрал именно из-за того, чтобы мне вопросы не задавали, когда меня нет рядом с компом: ну заблочит он что-нить, ну прийду с работы и донастрою.
Было недавно следующее: немного изменились настройки у провайдера... точнее зачем то vpn-сервер решил меня попинговать, прежде чем разрешить подключиться к интернету через себя. А фаер всё заблочил. Пришёл я домой, добавил правило по пингу с vpn-сервера и всё заработало.
А то ведь пытливым умам только дай лазейки, они ведь так настроят всё на компе (понажимают на всё подряд и не запомнят на что нажимали), что потом будешь долго разбираться... ;D
« Last Edit: April 06, 2008, 05:42:16 AM by WIGF »

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Re: "Тихий" режим работы CFP без GUI
« Reply #19 on: April 06, 2008, 05:46:17 AM »
Quote
нельзя ли обойтись без дифанса, но при этом запретить выгрузку фаера ?
Только с помощью сторонней HIPS (или antispyware?), сам фаер никак не может себя защитить без d+.

Quote
не собираются ли разработчики как-то включить в будущем эту функцию ?
Точно не знаю, но уверен, что нет.

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
Re: "Тихий" режим работы CFP без GUI
« Reply #20 on: April 17, 2008, 07:55:55 AM »
Quote
что эти 2 сканера только пингуют указанный им IP и всё, раз хватило одного единственного запрещающего правила по входящему пингу.
А xSpider разве только пингует ? Я его когда-то давно запускал и игрался (со вторым COMODO)... и мне кажется, что в нём не только пингом всё ограничивается, но я могу ошибаться...
Сканеры много чего умеют,флуд и тп... У комода есть доп.настройки по атакам(Attack Detection Settings) может они срабатывают.
« Last Edit: April 18, 2008, 02:51:45 AM by barsukRed »

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: "Тихий" режим работы CFP без GUI
« Reply #21 on: April 17, 2008, 12:27:50 PM »
У комода есть доп.настройки по атакам(Attack Detection Settings) может они срабатывают.
Да, точно. Об этом как-то не подумал. Скорее всего, действительно, блочится по анализу пакетов и по порогу пакетов за единицу времени.

Offline firebot

  • Newbie
  • *
  • Posts: 2
блокровать всё...
« Reply #22 on: July 30, 2008, 12:32:26 PM »
интересует как добиться такого варианта в комодо фаерволе, как в аутпосте, и можно ли... очень не хватает такой фичи: создаешь правила, которые нужны, и выбираешь политику блокировать всё.
и он блокирует все кроме того что разрешено в правилах... комодо на сколько помню блочит всё, подскажите пожалуйста, поэтому приходится юзать аутпост, а очень хочется комодо (B)
просто всплывающие попытки чего-либо соединиться очень раздражают в самый неподходящий момент, да и юзеров смущают.
поиск пользовал, особо результата не принесло, буду рад любым попыткам помочь

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: блокровать всё...
« Reply #23 on: July 31, 2008, 02:51:52 AM »
Если стоит двойка, то надо в настройках COMODO снять галку с пункта "Показывать оповещения..." (забыл как точно звучит, самый верхний пункт).

Если стоит тройка, то есть 3 варианта:
1. поставить период показа оповещений ("Keep an alert on screen for maximum") в "Firewall Behavior Settings" и в "Defense+ Setings" в 1 - оповещения будут показываться только на одну секунду (ноль ставить нельзя);
2. включить пароль в "Miscellaneous" - "Settings" - "Parental COntrol" и поставить там же галки в пунктах "Supress the ... alerts ..." - оповещений не будет;
3. отключить GUI (графический интерфейс пользователя) "Miscellaneous" - "Settings" - "General", сняв галку с пункта "Automatically start the application with Windows" - оповещений не будет, значка фаера в трее не будет, но фаер будет незаметно выполнять свою работу (при этом срабатывания блокировок в журнале запоминаться не будут).
У меня стоит последний вариант и уже давно. При необходимости загружаю GUI и создаю/корректирую правила.

Offline firebot

  • Newbie
  • *
  • Posts: 2
Re: блокровать всё...
« Reply #24 on: July 31, 2008, 05:51:59 AM »
WIGF большое спасибо за ответ :Beer
остался вопрос, будет ли блочиться все то, на что комодо ответа от пользователя не получает, если использовать ваш третий пункт... по логике на сколько я понимаю ответ "да"?

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: блокровать всё...
« Reply #25 on: July 31, 2008, 08:15:14 AM »
WIGF большое спасибо за ответ :Beer
остался вопрос, будет ли блочиться все то, на что комодо ответа от пользователя не получает, если использовать ваш третий пункт... по логике на сколько я понимаю ответ "да"?
Да, ответ "да". У меня именно так стоит и всё блочится.
Например, запускаю новую программу, которая хочет обновится через интернет путём соединения с удалённым портом HTTP, (для неё, соответственно, ещё не было настроек) и с сетью она соединится не может. Поэтому запускаю GUI и прописываю необходимые правила.

Единственный недостаток (может быть для кого-то, но не для меня): при таком методе ничего не отображается в журнале блокировок пока GUI не загружен. Но оно и не нужно. Если видишь, что что-то не выходит в интернет, то сразу запускаешь GUI и возникают запросы или молча что-то режется и прописывается в журнале - и по этим запросам или возникшим записям в журнале блокировок можно подредактировать/добавить правила. И ничего лишнего фаер не делает (какая разница, что он там молча блочит, ведь главное, что блочит, а значит выполняет свою работу).

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek