Author Topic: Комментарии по теме "Часто задаваемые вопросы"  (Read 36825 times)

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Привет всем

Ваши предложения, уточнения, критика и т. п. относительно темы Часто задаваемые вопросы...
« Last Edit: April 02, 2008, 04:42:49 PM by goodbrazer »

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
Re: Комментарии относительно новой темы
« Reply #1 on: March 10, 2008, 03:29:33 AM »
Глобальные правила (при необходимости); должны располагаться выше любых запрещающих правил: 
- allow/tcp/in/any/any/any/№1*
- allow/udp/in/any/any/any/№2*
* где №1 - порт для приема входящих соединений по TCP протоколу, №2 - порт для приема входящих соединений по UDP протоколу (указаны в настройках P2P-программы) 
Не пользую P2P-программы,но у меня вопрос. Для таких программ UDP-протокол нужен только для DNS-серверов(может еще DHCP) или еще для чего?

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Re: Комментарии относительно новой темы
« Reply #2 on: March 10, 2008, 04:11:26 AM »
Не пользую P2P-программы,но у меня вопрос. Для таких программ UDP-протокол нужен только для DNS-серверов(может еще DHCP) или еще для чего?
Если говорить о правилах в CFP для работы p2p-программы (если не ошибаюсь):
- для входящего UDP только одно правило на один порт, да и то не всегда (если в настройках p2p задано использовать только TCP протокол для входящих);
- для DNS достаточно правила UDP только исходящий, но оно не всегда нужно;
- DHCP входящий/исходящий работает с приложением svchost.exe, поэтому правил для разрешения DHCP для P2P-программы не надо;
 

Если говорить о реальных входящих UDP-соединениях, то я точно не знаю, сколько их всего, и какими они могут быть для разных p2p-программ.  CFP такие соединения обрабатывает автоматически на уровне SPI.

Пример разрешенных соединений в случае с ослом (emule):

Code: [Select]
udp исх.    192.168.1.2 -> 64.34.178.57     1348 -> 7202     
udp вх.     64.34.178.57 -> 192.168.1.2     7202 -> 1348
... хотя в network security policy нигде не разрешен порт 1348 для входящих UDP.   

« Last Edit: March 10, 2008, 04:13:49 PM by goodbrazer »

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Re: Комментарии относительно новой темы
« Reply #3 on: March 28, 2008, 11:04:55 AM »
WIGF, я нашел красивые настройки (особенно для пользователей v2) здесь. Кто же автор ;D ?
... У меня просьба: скопируйте их пожалуйста (если это возможно и есть немного свободного времени) сюда куда-нибудь отдельным сообщением, чтобы можно было передвинуть в FAQ (CLY) (CNY)

Наверное можно обойтись без "стандартных правил", а сразу перечислить "рекомендуемые правила". Также если на двойке есть предустановки "trusted app", "blocked app", "outgoing only", их наверное также можно не перечислять, хотя... на ваше усмотрение.

Что скажете?       
« Last Edit: March 28, 2008, 04:19:37 PM by goodbrazer »

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: Комментарии относительно новой темы
« Reply #4 on: March 31, 2008, 08:27:10 AM »
2 goodbrazer
Quote
5 баллов за идею
Спасибо. Надеюсь и правда кому-нить пригодится (сам то я пользуюсь).

Quote
я нашел красивые настройки (особенно для пользователей v2)
Ссылка немного не та.
Указанная ссылка ведёт к первоначальному варианту правил для тройки, потом мы ушли от данного представления правил. Сейчас то они уже совсем другие - Правила по COMODO 2 и 3
Я имею отношение только к правилам для тройки, ну и к правилам по VPN.
А правила для двойки писал XenoZ, а я сам по ним когда-то учился настраивать фаер.  ;D

А какие именно правила скопировать ? В принципе основа там 3 группы (по тройке):
• My Port Sets;
• My Network Zones;
• Predefined Firewall Policies.
А по двойке основные правила собраны тут - Network Control
И плюс к этому DC, торрент и VPN.
И предустановленных правил там нет в принципе, так же как нет групп портов и нормальных зон (зоны не обновляются в правилах, если поменять саму зону, да и делать зоны можно было только из одного диапазона, т.е. через запятую IP перечислить было нельзя).

По мере возможности постараюсь... а то я так и не успел пока перечитать правила по GUI...

EDIT по GUI:
Quote
Примечания для CFP v2:
Для использования в "тихом" режиме обязательно переводите фаервол в режим custom, а также "закрывайте" каждое приложение правилом "запретить все остальное" в Мониторе приложений.
К сожалению это невозможно, т.к. один из недостатков двойки был как раз в непредсказуемом поведении правил в AR: правила по порядку там нельзя менять и расставлять самому, они сами как-то бессистемно друг с другом меняются и то одно работает, то другое (если есть и разрешающие и запрещающие). Логики в перемещениях особой не увидел. Поэтому завершающего блокирующего в двойке сделать невозможно... точнее оно когда-нить станет единственным работающим ;D
Т.о. в двойке основные настройки приходилось делать в Сетевом мониторе, который из-за этого разрастался достаточно хорошо (в зависимости от имеющихся программ и выбранной для себя логики создания всех правил), в том числе и из-за невозможности объединять в одну группу определённые IP (у меня по DNS было в Сетевом мониторе аж 6 правил, т.к. имелось 5 DNS-серверов).
« Last Edit: March 31, 2008, 08:58:52 AM by WIGF »

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Re: Комментарии относительно новой темы
« Reply #5 on: March 31, 2008, 12:37:19 PM »
WIGF, чего-то я сразу не сообразил... Как вам такой вариант (третья строчка)? Чем париться все переписывать, мне кажется так будет лучше. Что скажете?

К сожалению это невозможно, т.к. один из недостатков двойки был как раз в непредсказуемом поведении правил в AR

Значит на двойке без GUI не получится заявленного результата? Если так, надо будет убрать рекомендацию для двойки...

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: Комментарии относительно новой темы
« Reply #6 on: March 31, 2008, 02:39:20 PM »
WIGF, чего-то я сразу не сообразил... Как вам такой вариант (третья строчка)? Чем париться все переписывать, мне кажется так будет лучше. Что скажете?
Не знаю даже как сказать... дело не в скромности, просто не хочется на себя брать чужие заслуги.
Может как-нить сюда и XenoZ'а приписать, а то всё-таки он первопроходец в данной теме (на Ru-Board), а я только прошлым летом к данному топику присоединился... Может как-нить тогда переформулировать... В общем, не знаю...

А по двойке, и правда, лучше убрать.
Конечно можно написать правила в таком виде (на примере браузера):
• Запретить все TCP исходящие на любой IP на любой порт, кроме 80, 443
• Запретить все UDP исходящие на любой IP на любой порт, кроме 53
• Запретить все TCP и UDP входящие на любой IP на любой порт
Теоретически должно работать (правила не пересекаются и в тоже время закрывают все диапазоны TCP/UDP).
Но это уже будет извращением. Тем более что с другими программами так просто не всегда можно сделать (например, для FTP-клиента вообще в таком виде правила в двойке не сделаешь, т.к. нельзя объединить TCP исходящие на 21 порт и на порты 1024-65535 в одном правиле).

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Re: Комментарии относительно новой темы
« Reply #7 on: April 01, 2008, 12:32:21 PM »
Не знаю даже как сказать... дело не в скромности, просто не хочется на себя брать чужие заслуги.
Может как-нить сюда и XenoZ'а приписать, а то всё-таки он первопроходец в данной теме (на Ru-Board), а я только прошлым летом к данному топику присоединился... Может как-нить тогда переформулировать... В общем, не знаю...
Виноват  :-[ Поправил. Так как сейчас можно оставить? 

А по двойке, и правда, лучше убрать.
Сделано, спасибо за информацию, иначе может быть пришлось бы выслушивать разьяренных пользователей: "Вы че тут фуфло впариваете?! Не работает как заявлено!!" ;D (:LGH) 

Offline WIGF

  • Comodo's Hero
  • *****
  • Posts: 204
    • http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=30023#1
Re: Комментарии относительно новой темы
« Reply #8 on: April 01, 2008, 02:42:34 PM »
...Так как сейчас можно оставить?
Одобрям. Спасибо!
...Сделано, спасибо за информацию, иначе может быть пришлось бы выслушивать разьяренных пользователей: "Вы че тут фуфло впариваете?! Не работает как заявлено!!" ;D (:LGH) 
Это точно, лучше неоднозначную информацию оставлять в обсуждении.

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
Re: Комментарии относительно новой темы
« Reply #9 on: April 02, 2008, 07:54:39 AM »
Предлагаю добавить в FAQ, чем больше народу проверит, тем лучше :)
Ведь в данный момент у нас результаты тестирования расходятся, а так можно собрать больше результатов и отзывов...
ссылка...
goodbrazer,есть предложение этот вопрос помимо FAQ еще оформить в отдельную ветку с каким-нибудь конкретным названием. Смысл-привлечение дополнительных специалистов к обсуждению именно этой идеи от WIGF,так как в свое время многие отказывались от пользования comodo-м из-за отсутствия функции все запрещено что явно не разрешено(соответствие режиму в оутпост). Плюс пользователи получат удобство ориентировки в форуме и будут оставлять свои наблюдения по этому вопросу. Пока полностью не ясно,обеспечит ли фаервол полную защиту от атак и попыток перевода фаера в более демократичный режим зловредными программами в режиме без GUI. Можно так сделать?

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
barsukRed, идея неплохая, создайте конечно при желании такую тему. При выяснении новых обстоятельств относительно использования метода WIGF'a на двойке, либо если что-то работает не так как заявлено, FAQ можно будет обновить.

в свое время многие отказывались от пользования comodo-м из-за отсутствия функции все запрещено что явно не разрешено(соответствие режиму в оутпост).

В случае тройки такая функция доступна не только при выгруженном GUI: защита паролем + 2 опции "supress...". При этом также не будет вопросов от CFP с той лишь разницей, что в этом случае GUI будет висеть в памяти, и не надо будет ставить галку "block unknown requests..." в случае использования d+.

Пока полностью не ясно,обеспечит ли фаервол полную защиту от атак и попыток перевода фаера в более демократичный режим зловредными программами в режиме без GUI
Да, это так, но достаточно предсказуемо для тройки: при использовании фаера без d+, можно выключить cmdagent.exe "стандартным" способом: task manager -> kill, что должно сказаться на правильной работе фаера, причем не важно загружен gui или нет.
При использовании фаера с d+ при выгруженном gui должна быть включена опция "block unknown requests...", а при загруженном gui эту опцию включать необязательно. Мне кажется, что в случае обнаружения лазейки в CFP 3, таковая будет относиться к багу той опции ("block unknown requests..."), либо к более серьезному багу службы/драйверов. При этом статус gui (загружен/выгружен) не будет оказывать влияния на проблему... Конечно, могу ошибаться.
« Last Edit: April 02, 2008, 04:43:06 PM by goodbrazer »

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
У меня есть возможность немного потрепать комодо без GUI с другого компа, но, как понимаете,я не хакер, и за хорошую трепку не ручаюсь:) 
Настройки во время атак должны стоять по дефолту,так как 80-90% пользователей "не лазают" по настройкам. Это будет честно, я думаю. И для чистоты эксперимента тоже хорошо.
А можно из этой ветки посты по теме "тихий режим" потом перенести в новую ветку? Это чтобы не терять уже наработанные посты по теме? Смысла без наработанных постов новую ветку открывать нет.
« Last Edit: April 02, 2008, 09:04:32 PM by barsukRed »

Offline SS26

  • Comodo's Hero
  • *****
  • Posts: 1925
Quote
     
А можно из этой ветки посты по теме "тихий режим" потом перенести в новую ветку? Это чтобы не терять уже наработанные посты по теме? Смысла без наработанных постов новую ветку открывать нет.
Сделано: "Тихий" режим работы CFP без GUI
Название подходящее?
Ссылка в соотв. сообщении в FAQ'e на нее есть.

Настройки во время атак должны стоять по дефолту,так как 80-90% пользователей "не лазают" по настройкам. Это будет честно, я думаю. И для чистоты эксперимента тоже хорошо.
Тут я не согласен, ведь вопрос в том, можно ли получить заявленный результат или нельзя (да или нет) при использовании CFP, при этом неважно, по умолчанию настройки или нет.
   
Еще пара соображений:

- по умолчанию gui загружен и стартует автоматически; изменив порядок запуска gui, мы уже изменили настройки по умолчанию 

- режимы "train with..." бессмысленны и неправильны при выгруженном gui, ведь "обучением" фаера управляет gui, и выгружая gui мы понимаем, что фаер должен работать только согласно существующим правилам, а значит - только custom и paranoid моды

- опция "block unknown requests..." для d+ специально рассчитана на такие случаи, и нельзя говорить, что фаер "не справился", если включение этой опции решает проблему

Мне кажется так...
« Last Edit: April 03, 2008, 01:02:38 PM by goodbrazer »

Offline barsukRed

  • Comodo's Hero
  • *****
  • Posts: 492
goodbrazer спасибо за новую ветку, так будет гораздо удобнее ориентировать посторонних посетителей  в форуме. :)
По настройкам я с Вами согласен, но я начал углубленное исследование вопроса как-бы с самого простого. Далее можно увеличивать уровень настроек и смотреть результат. Вот такая мысль. :) Кстати, я попробовал сканернуть систему без GUI с другого компа. Результат впечатлил. Более подробно чуть попозже напишу, и уже,наверное в новую ветку... :) 

Offline maxvelmax

  • Newbie
  • *
  • Posts: 18
извените канечно за тупой вопрос,почему сomodo не оповещает об сетевых  атакая  или проста их не было,и где можно посареть детальный журнал соединений и т.д?? :)
« Last Edit: June 30, 2008, 01:00:53 PM by maxvelmax »

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek