Author Topic: CIS/CFP для новичков в фаерволах!!!  (Read 216908 times)

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #30 on: November 28, 2010, 02:35:03 PM »
neron -
ntoskrnl -               Вам большое человеческое Спасибо за помощь!
zil968 -

P.S. А есть какая-нибудь качественная утилита на подобии "APS", посоветуйте что-нибудь.
И еще по онлайн-игре "Call of Duty: Modern Warfare 2 AlterIWNet v1.3.37a" ответьте, что мне сделать, чтобы возобновилось подсоединение ( http://i068.radikal.ru/1011/fa/48857df8d542.png ).
« Last Edit: November 28, 2010, 03:03:27 PM by Romitto »

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #31 on: December 02, 2010, 05:32:14 AM »
Подскажите. Сегодня, впервые, "APS" заорала про две атаки ( http://s015.radikal.ru/i333/1012/b8/01b88f27ed8b.png ), эти IP-шники из моей локальной сити, а что это ( http://i019.radikal.ru/1012/5d/df016b290753.png ) я вообще не понял, никогда этим приложением не пользовался. Вообщем, что это такое и как с этим бороться.
P.S. Фаервол Comodo в этот момент был в режиме "Блокировать все входящие соединения и скрыть мои порты".

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #32 on: December 02, 2010, 10:58:32 AM »
Сегодня при включении компа выдало "C:\WINDOWS\system32\shell32.dll ===файл не найден", и все ОС не запускается, в безопасном режиме увидел, что Comodo блокирует "shell32.dll". В безопасном режиме сделал "востановление системы" - помогло (выбрал точку перед установкой Comodo).
Почему такое случилось? 
P.S. Что-то слишком много проблем с Comodo, то атаки пропускает, то системные файлы блокирует. Может конечно по неопытности с этим фаерволом, но начинает немного разочаровывать.

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #33 on: December 02, 2010, 11:19:46 AM »
Подскажите. Сегодня, впервые, "APS" заорала про две атаки ( http://s015.radikal.ru/i333/1012/b8/01b88f27ed8b.png ), эти IP-шники из моей локальной сити, а что это ( http://i019.radikal.ru/1012/5d/df016b290753.png ) я вообще не понял, никогда этим приложением не пользовался. Вообщем, что это такое и как с этим бороться.
P.S. Фаервол Comodo в этот момент был в режиме "Блокировать все входящие соединения и скрыть мои порты".
Знакомые картинки - "Сетевые игры Battle.net". Когда я пользовался APS, я так и не понял, как при полностью закрытых входящих такое может быть. Даже запрещающие правила  в глобальных выписывал отдельно по каждому IP. На следующий день APS опять "орал" только с других IP. Закончилось тем, что я снял мониторинг порта 6112. Вопросы о "дружбе" APS с портом 6112 при закрытых входящих встречал и на других форумах.
« Last Edit: December 02, 2010, 11:30:20 AM by zil968 »

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #34 on: December 02, 2010, 11:29:34 AM »
Сегодня при включении компа выдало "C:\WINDOWS\system32\shell32.dll ===файл не найден", и все ОС не запускается, в безопасном режиме увидел, что Comodo блокирует "shell32.dll". В безопасном режиме сделал "востановление системы" - помогло (выбрал точку перед установкой Comodo).
Почему такое случилось? 
P.S. Что-то слишком много проблем с Comodo, то атаки пропускает, то системные файлы блокирует. Может конечно по неопытности с этим фаерволом, но начинает немного разочаровывать.
Если бы Comodo "завалил" shell32.dll, т.е. всю систему, Вы бы на этом форуме были не единственный - уже многие бы орали "караул". Впрочем может следует подождать пока все восстановят свои системы и начнут потом орать? У меня, например, все нормально. На всякий случай огласите версию ОС, версию Comodo и версию вирусной базы.
"в безопасном режиме увидел, что Comodo блокирует "shell32.dll"" - как "увидел" ?

Offline Dragula

  • Comodo's Hero
  • *****
  • Posts: 491
  • We are, Who we are
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #35 on: December 02, 2010, 12:14:57 PM »
С CFP все понятно. А как настроить antivirus. У него эвристика либо параноидальная, либо ее нет вообще (размер баз гиганский).

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #36 on: December 02, 2010, 12:54:41 PM »
Если бы Comodo "завалил" shell32.dll, т.е. всю систему, Вы бы на этом форуме были не единственный - уже многие бы орали "караул". Впрочем может следует подождать пока все восстановят свои системы и начнут потом орать? У меня, например, все нормально. На всякий случай огласите версию ОС, версию Comodo и версию вирусной базы.
"в безопасном режиме увидел, что Comodo блокирует "shell32.dll"" - как "увидел" ?
Возможно, но доставило некоторые неудобства. После атаки с 6112, я в комодо заблокировал этот порт, но вот после востановления системы решил не рисковать до выяснения, и установил аутпост, APS и с аутпостом 1 раз прооралал об атаке с этого же порта, но IP другой уже был.
Win7 (32 бит), максимальная, AVIRA премиум, Comodo 5 (скачивал отсюда), по вирусным базам четко не смогу сказать, т.к. пытался запустить обновл., но выдавало, что последняя версия и обновлений нет. Вообщем-то по-большому мне нужен был только фаервол, но решил попробовать проактив, в AVIRA включил в исключения Comodo.
Запустил безопасный режим, через "пуск" открыл Comodo, и в журнале проактива видно было, что блокируется shell.dll еще с 10.20, но вечером нужно было съездить в маркет, и я выключил комп., приехал, включаю - ошибка, наверное ждал перезагрузки (до вечера работал в норме). Вот такая история. И стати комодо блокировал этот shell.dll на протяжении с 10.20 и до вечера около 30 раз с разных процесов, и еше, не знаю связывает ли эти события, но за несколько минут до этой бешеной блокировки был заблокирован shell-код от demon tools, но он давненько у меня уже установлен, все что видел и знал я описал, как смог, извините, если что не так.
« Last Edit: December 02, 2010, 01:42:52 PM by Romitto »

Offline ntoskrnl

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 901
  • Moderators Group Russian Forum Comodo
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #37 on: December 02, 2010, 03:51:35 PM »
После атаки с 6112, я в комодо заблокировал этот порт,
Как именно "заблокировали"? Вообще, CIS не закатывает истерик о разных там "атаках" при паре попыток соединения откуда-то, закрыты порты и закрыты. Порт 6112 вроде, кстати, близзардовский: http://us.blizzard.com/support/article.xml?locale=en_US&articleId=21109 , может кто-то просто поиграть хотел. :)

Запустил безопасный режим, через "пуск" открыл Comodo, и в журнале проактива видно было, что блокируется shell.dll еще с 10.20,
Что именно "блокировалось"? Как выглядела запись точно?

был заблокирован shell-код от demon tools,
Это обычное явление. Демон-тулз, он такой...
« Last Edit: December 02, 2010, 03:53:16 PM by ntoskrnl »

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #38 on: December 02, 2010, 05:21:40 PM »
Как именно "заблокировали"? Вообще, CIS не закатывает истерик о разных там "атаках" при паре попыток соединения откуда-то, закрыты порты и закрыты. Порт 6112 вроде, кстати, близзардовский: http://us.blizzard.com/support/article.xml?locale=en_US&articleId=21109 , может кто-то просто поиграть хотел. :)
Ну для просто поиграть хотел, не думаю, что нужно обходить фаервол. Выловил атаку "APS", а блокировал я так  http://i019.radikal.ru/1012/c2/fd87a06f88eb.png

Что именно "блокировалось"? Как выглядела запись точно?
Ну поскольку ОС не запускалась вообще, и дальнейшие манипуляции происходили в безопасном режиме, скрин я не смог сделать, запомнить блокированные процессы тоже несообразил, но четко запомнил один блок "C:\WINDOWS\system32\shell32.dll", и их было больше 20-ти - это точно.

Это обычное явление. Демон-тулз, он такой...
Ну это я так, вдруг что-то прояснит.

P.S. Помогите с логическим ответом. Фаервол мне по душе, но вот эти заморочки - не совсем приятно.

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #39 on: December 02, 2010, 05:56:58 PM »
Ну для просто поиграть хотел, не думаю, что нужно обходить фаервол. Выловил атаку "APS", а блокировал я так  http://i019.radikal.ru/1012/c2/fd87a06f88eb.png
ТАК входящие не блокируются. 6112 должен быть в "Порт назначения". Надеюсь что "Адрес назначения" там "Любой" и это правило прописано в ГЛОБАЛЬНЫХ.
Ну поскольку ОС не запускалась вообще, и дальнейшие манипуляции происходили в безопасном режиме, скрин я не смог сделать, запомнить блокированные процессы тоже несообразил, но четко запомнил один блок "C:\WINDOWS\system32\shell32.dll", и их было больше 20-ти - это точно.
Ну это я так, вдруг что-то прояснит.
Там было "Блокирование хука" ?
Настройки проактивной защиты по умолчанию трогали?
P.S. Помогите с логическим ответом.
А какой собственно вопрос?
Фаервол мне по душе, но вот эти заморочки - не совсем приятно.
Если вы накручивали все подряд настройки Комодо не очень понимая что они обозначают, то "заморочки" не заставят себя ждать. Остановитесь пока на настройках по умолчанию - можно уметь играть на рояле, но не обязательно уметь его настраивать. С опытом по чуть-чуть придет и умение настраивать. Комодо, пока еще слава богу, хорошо настраиваемый продукт, который при "тонкой" (модное словечко) настройке обеспечивает приличный уровень безопасности. При этом в неумелых руках он может доставить массу неприятностей.

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #40 on: December 02, 2010, 06:59:23 PM »
ТАК входящие не блокируются. 6112 должен быть в "Порт назначения". Надеюсь что "Адрес назначения" там "Любой" и это правило прописано в ГЛОБАЛЬНЫХ..
Понял, спасибо, исправлюсь.

Там было "Блокирование хука" ?
Да, было.

Настройки проактивной защиты по умолчанию трогали?
Все подстраивал по инструкции в начале темы, и никакого фанатизма.

А какой собственно вопрос?
Их два: 1. Почему Comodo чуть не завалил мне систему?
           2. Почему Comodo сквозит (сегодняшний свежак  http://s16.radikal.ru/i190/1012/fc/7d8e23d299e4.png ).
Другого кроме "APS" ничего не нашел, но если не известно как она работает, на мое мнение, это не говорит о том, что не стоит к ней прислушиваться, ведь Comodo с такими рода оповещениями по-жадничала. А то получится, как я раньше сидел с авировским фаерволом и думал, что относительно в полной безопасности, а на самом деле у авиры фаервол  :-TD.

Если вы накручивали все подряд настройки Комодо не очень понимая что они обозначают, то "заморочки" не заставят себя ждать. Остановитесь пока на настройках по умолчанию - можно уметь играть на рояле, но не обязательно уметь его настраивать. С опытом по чуть-чуть придет и умение настраивать. Комодо, пока еще слава богу, хорошо настраиваемый продукт, который при "тонкой" (модное словечко) настройке обеспечивает приличный уровень безопасности. При этом в неумелых руках он может доставить массу неприятностей.
Не люблю смелые компьютерные эксперементы. Отбил у себя эту охоту еще в самом начале знакомства с копьютером, когда из-за своего эксперемент-любопытства мне несколько раз переустанавливали ОС (попадал на денюшку), сейчас сам себе переустанавливаю ОС, но кое-что я для себя еще тогда подчеркнул - "не знаешь - не влезай, дороже будет".
« Last Edit: December 02, 2010, 07:13:19 PM by Romitto »

Offline ntoskrnl

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 901
  • Moderators Group Russian Forum Comodo
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #41 on: December 03, 2010, 05:22:18 AM »
Ну для просто поиграть хотел, не думаю, что нужно обходить фаервол. Выловил атаку "APS"

Так, давайте по порядку.

Во-первых, когда говорят про "обход" файрволла, то имеют в виду выход из охраняемой подсети, а не попытку соединения снаружи. блокирование таких соединений - это минимально необходимый функционал любого файрволла, и в CIS, и в авире, и любого адсл-роутера, и обычного фв в WinXP, и простых пакетных фильтров, которые были на каждом сетевом интерфейсе в прежних версиях NT.

Во-вторых, Вы, как мне кажется, слишком много значения придаете этим "атакам". Это вполне рядовое явление, когда по сети во все стороны гуляют неприкаянные пакеты в попыке прицепиться к кому-нибудь по телнету, ssh, http, http-прокси, socks-прокси, mssql, mysql, и т.д, и т.д., и т.д. Кто-то где-то нахватался троянов, кто-то начитался разных "кулхацкерство для чайников" и обзавелся порт-сканером, кто-то ищет доступные прокси и т.д., а кто-то, действительно, запустил какую-нибудь игру и она отправилась искать "друзей" по всей доступной сети. Если обращать внимание на все эти "атаки", можно закончить в сумасшедшем доме. :) Достаточно того, что файрволл эти пакеты сбрасывает и всё. Главное его правильно настроить. Понятно, что остается какой-то небольшой шанс, что Вами и вправду кто-то заинтересовался. Но для этого есть анализ логов, спецсредства (тот же APS, но правильно используемый) и опять же файрволл. Но в целом, никто не станет ломиться в закрытую дверь, когда кругом полно открытых. :)

В-третьих.
Почему Comodo сквозит (сегодняшний свежак  http://s16.radikal.ru/i190/1012/fc/7d8e23d299e4.png ).
Comodo не сквозит. Вы просто неправильно используете APS. Во-первых, это всё-таки больше антивирусная утилита и её главное предназначение - поиск рассадников заразы, особенно в больших сетях, и мониторинг сети на предмет именно целенаправленной атаки, а не "заблудившихся" пакетов Все эти красные "ААА--аа!!! Тревога!!! Хакер!!!" оставим на совести Зайцева. :) Во-вторых, что такое APS? Это простой сервер, который слушает целую кучу портов. И если в правилах файрволла ей разрешить пользоваться сетью, то она будет "слушать" сеть, если же запретить, то ничего и никогда она и не скажет. Я подозреваю, что Вы разрешили ей пользоваться интернетом, и, как и просили, CIS ей это разрешил. Скажем, если её занести в доверенные, а потом просто посканировать порты с другой машины, то увидим что-то вроде этого:

Страшно, правда? :)
А если запретить, то, естественно,ничего и не увидим, даже скриншот не нужен. :) Разумеется, если файрволл правильно настроен.

Ну и
Ну поскольку ОС не запускалась вообще, и дальнейшие манипуляции происходили в безопасном режиме, скрин я не смог сделать, запомнить блокированные процессы тоже несообразил, но четко запомнил один блок "C:\WINDOWS\system32\shell32.dll", и их было больше 20-ти - это точно.
Почему Comodo чуть не завалил мне систему?

Потому, что Вы ему это приказали! :) Не знаю, как именно Вы это сделали, но на shell32 завязано очень много функций оболочки и вполне естественно, что всё "окоченело". Если Вы в следующий раз запретите работу каких-нибудь lsass.exe или csrss.exe, то и подсистема вообще не запустится и ОС останется в "безголовом" состоянии. Так что здесь надо аккуратно. :)
« Last Edit: December 03, 2010, 05:25:11 AM by ntoskrnl »

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #42 on: December 03, 2010, 07:27:33 AM »
ntoskrnl, Спасибо за разъяснения, кстати убидительно-доходчево вышло  :-TU, в целом все понятно. Вывод: не колотить понты, сидеть и не дергаться.
Ну с фаерволом разобрались. По поводу не правельных настроек того же фаера, я постоянно нахожусь в режиме "блок всех вх. и скрыть мои", а он как я понимаю работает по своим настройкам, по-этому что-то вымудрить не смог бы, да и нет такого желания, иногда включаю "оповещать о вх.соедин.", но это когда хочу убить время в Call of Duty: Modern Warfare 2 AlterIWNet, и то в Comodo игровой режим не включаю,т.к. играю в оконном режиме (выставляю себя хостом), но при этом блокирую все всплывающие соединения.

Ну и
Потому, что Вы ему это приказали! :) Не знаю, как именно Вы это сделали, но на shell32 завязано очень много функций оболочки и вполне естественно, что всё "окоченело". Если Вы в следующий раз запретите работу каких-нибудь lsass.exe или csrss.exe, то и подсистема вообще не запустится и ОС останется в "безголовом" состоянии. Так что здесь надо аккуратно. :)
Ну а это уже вообще "полтергейст" получился, никаких слепых и лишних настроек в проактиве не выставлял (все чисто по инструкции в начале поста), никакого фанатизма, как я уже писал не было, и все было хорошо до перезапуска ОС (ни тормозов, ни глюков), так что это похоже останется загадкой. Уже не рискую, проактив категорически уже не включаю.

P.S. Вот было бы не плохо, если бы кто-нибудь сделал отдельный топик по настройке Comodo в скринах. Я думаю недоразумений было бы по-меньше.

Хороший форум  :-TU, Спасибо за помощь!

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #43 on: December 03, 2010, 12:32:51 PM »
Если было как я и предполагал "Блокирование хука" то:
1) Изменялись настройки проактивной защиты, и, скорее всего, не только "Права доступа", но и "Настройка защиты" для системных приложений.
2) Не "все подстраивал по инструкции в начале темы, и никакого фанатизма". В частности, режим проактивной защиты НЕ "Чистый ПК" и в "Защита"-"Настройки проактивной защиты"-"Создавать правила для безопасных приложений" НЕ стоит галочка. Из "до этой бешеной блокировки был заблокирован shell-код от demon tools" также следует, что НЕ "все подстраивал по инструкции в начале темы".
3) Используется сборка операционной системы с shell32.dlll НЕ от Microsoft или ставшая такой в процессе эксплуатации системы.
4) Comodo примитивно глючит

            1. Почему Comodo чуть не завалил мне систему?
           2. Почему Comodo сквозит
1. а) Вы сами его об этом просили б) повторюсь - Comodo глючит.
2. а) Вы сами его об этом просили - покажите хотя бы глобальные правила и правила приложений для APS (для APS не должно быть никаких правил) б) Comodo глючит.
Из "раньше сидел с авировским фаерволом" и "после востановления системы решил не рисковать до выяснения, и установил аутпост" вполне возможно, что Comodo действительно глючит. Припоминаю, что то тут было на форуме, связанное с некоректным функционированием Comodo, установленном после других програм безопасности, вследствие не полного удаления последних - поищите. Удалите Comodo, почистите систему, установите Comodo и настройте по инструкции в начале этой темы. Если нет желания, то 2 совета:
1. "Уже не рискую, проактив категорически уже не включаю" - напрасно, включите. В режиме "Чистый ПК" и если включено "Защита"-"Настройки проактивной защиты"-"Создавать правила для безопасных приложений" вы ее почти не заметите, так как она действует только на НОВЫЕ файлы, появляющиеся на ПК и без цифровой подписи из списка "Доверенные поставщики".
2. Снимите мониторинг порта 6112 в APS (я в свое время снял и спал вполне спокойно  ;D  )
« Last Edit: December 03, 2010, 12:36:18 PM by zil968 »

Offline Romitto

  • Newbie
  • *
  • Posts: 18
Re: CIS\CFP для новичков в фаерволах!!!
« Reply #44 on: December 05, 2010, 06:45:58 AM »
Достал, если честно, этот "6112", закрыть глаза на это - как для меня не очень, т.к. кто-то или что-то ломится через него ко мне из моей лакалки (проверил, при выключеном интернет-соединении, но при включеной локальной сети с 6112 порта настойчиво "тарабанит мне в двери" (на аутпосте), а с Comodo тупо заходит, как свой. Для эксперемента поставил аутпост, и вот вопрос : почему аутпост видит и блокирует ( http://i039.radikal.ru/1012/d5/40c9536166b4.png  ) "6112" без каких-либо манипуляций пользователя, а Comodo не видит его в упор, и блок порта не спасает? ???

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek