Author Topic: CIS/CFP для новичков в фаерволах!!!  (Read 209801 times)

Offline keksik

  • Newbie
  • *
  • Posts: 24
CIS/CFP для новичков в фаерволах!!!
« on: November 09, 2010, 07:02:43 PM »
помогите как правильно его настроить ?((
и правда то что он " сам ничего не блокирует!!!!!

он дает пользователю выбор "заблокировать", "игнорировать", вам решать...."
просто откуда мне знать какой  айпи блокировать а какой нет(
у меня сеть и много людей подключаются ко мне качают и от куда знать кто атакует, а кто просто поболтать хочет(((?
« Last Edit: January 18, 2011, 02:05:06 PM by SerB »

Offline SerB

  • Comodo's Hero
  • *****
  • Posts: 673
Re: Вопрос по Comodo Firewall 5
« Reply #1 on: November 10, 2010, 03:12:17 AM »
Фаерволы - это то программное обеспечение, которое требует от  пользователя ПК компьютерных знаний немного больших, чем уровень начального пользователя. Связано это с тем, что у каждого пользователя ПК установлены свои, нужные только ему программы, под каждую их которых фаервол настраивается отдельно. А чтобы их настроить, необходимо немного разбираться в транспортных протоколах передачи данных, в определениях атрибутов файлов, способах выхода в интернет, предназначения портов, хотя бы приближённо представлять, что может быть дозволено в работе конкретному приложению на компьютере и многое другое. По другому никак! Иначе смысл фаервола как такового пропадает. Но, это для крепкой "огненной стены". В принципе, на настройках по-умолчанию фаервол неплохо справляется со своими задачами..
Бывают фаерволы простые и сложные. В простых, ничего и настраивать практически не нужно - настройки для приложений обобщёны и настраиваются автоматически, но они справляются со своими задачами хуже. В сложных соответственно, - настройки сложнее, конкретнее для каждого приложения(процесса) и настраиваются вручную, исходя из задач работы его на конкретном компьютере. Но из-за этого, качество защиты такого фаервола приближается к 100%.
Comodo Firewall 2011, всё таки сложный продукт по сравнению с другими фаерволами, такими как PC Tool Firewall, у которого многие правила прописываются автоматом и не требуют дополнительных изменений в настроках. Но защита у "стенки" от Comodo значительно лучше, если конечно её правильно настроить вручную.

Если Вы не имеете навыков  работы с фаерволами, могу Вам в таком случае порекомендовать такой вариант настроек Comodo Firewall 2011:
(подредактировано в связи с выходом CIS/CFP 5.3)


Конфигурацию CIS/CFP переключить на Proactive Security(по умолчанию - Internet Security)

1. Режим фаервола - Безопасный(по умолчанию - Безопасный)

2. Режим Проактивной защиты - Чистый ПК(по умолчанию - Безопасный)
Включается только в том случае, если уверены в чистоте системы от вирусов, т.к. этот режим подразумевает все файлы на компьютере как безопасные, а новые неопознанные будет проверять "облаком" и в "Песочнице". Новые исполняемые файлы Доверенных разработчиков будут сразу попадать в Доверенные файлы.

3. Режим Sandbox(Песочница) - оставить включенным(по умолчанию включен)
Если ранее в предшествующих версиях рекомендовалось отключить Песочницу из-за некорректной её работы, то сейчас, с выходом версии 5.3, лучше оставить включенной, т.к. без неё на данном этапе ваших знаний, при появлении диалоговых сообщений проактивной защиты, можете дать неправильный ответ, что повлечет за собой дыру в защите.
Потенциально возможны пропуски некоторых единичных вирусов Sandbox(Песочницей) CIS, равно как и всеми известными на настоящий момент виртуальными оболочками(типа Sandboxie, виртуальные машины не в счёт)

4. В меню Фаервол:

а) Фаервол->Мастер скрытых портов-> выбрать и нажать Блокировать все входящие соединения и скрыть мои порты для всех входящих соединений
Эта опция создает режим "невидимости" вашего компьютера из сети

б) Фаервол->Настройки фаервола->Создавать правила для безопасных приложений - флаг можно не ставить (по умолчанию опция выключена).
При выключенном чек-боксе - для доверенных приложений правила не создаются и не записываются в Политике сетевой безопасности (сохраняются только в случае его блокировки с запоминанием)

При включенном чек-боксе фаервол автоматически создает и сохраняет в правилах для приложений Политики сетевой безопасности обобщенное разрешающее правило для запущенного в первый раз приложения, распознанного им как безопасное(из списка Доверенных поставщиков). Если неизвнестное, - фаервол задает вопрос в всплывающем окне, ответ на который определяет дальнейшую работу приложения и тоже записывается в правилах.

в) Фаервол->Настройки фаервола->Настройка оповещений - оставить ползунок на Низкий

5. В меню Защита фаервола:

а) Защита->Настройки проактивной защиты->Создавать правила для безопасных приложений - флаг можно не ставить(по умолчанию опция выключена)
Применение аналогично одноименной настройке фаервола в пункте 4б, только относится к Политике безопасности компьютера


б) Защита->Настройки проактивной защиты->Настройки контроля исполнения приложений-> выставить Обрабатывать неопознанные файлы как - Подозрительные.  
Многие советуют выставить Ограниченные, но дело в том, что некоторые программы откажутся запускаться под этой настройкой. Впрочем Вам решать, можно попробовать и так, и так. В любом случае уровень защиты останется достаточно высокий.


P.S. Если пользуетесь такими программами как DEAMON TOOLS или ALCOHOL 120, - в Настройки Проактивной защиты->Настройки контроля исполнения->Обнаруживать внедрение ShelL-кода(поставить флаг) и нажав кнопку Исключения, занести исполняемый файл этих программ туда.

Не забудьте сохранить изменения в настройках, нажав на кнопки Применить и ОК


Вот как-то так..
Этого должно вполне хватить для более-менее нормальной защиты вашего ПК от хакерских атак и минимизировать количество всплывающих сообщений-алертов фаервола, на которые Вы не сможете на данном этапе своих знаний дать правильный ответ.  Если чего забыл, меня форумчане подправят ;)


Дополнительно:

КРАТКОЕ РУКОВОДСТВО ДЛЯ НОВИЧКОВ или ЧТО ДЕЛАТЬ ЕСЛИ...
оригинальный текст: http://syl.ph.free.fr/Comodo.html

Песочница

    Причина: приложение не признано и было изолировано.
    Что делать: ничего. Приложение может работать в нормальном режиме в песочнице. Однако некоторые приложения могут не работать (например, установщики). Если вы уверены, что приложение является безопасным, вы можете нажать на "не изолировать его снова" в всплывающем окне.

Firewall

    Причина: приложение пытается подключиться к сети.
    Что делать: читать описание. Если приложение является безопасным и должно быть подключено к сети для выполнения своих функций, Вы можете разрешить подключение.
    
Defense +

    Причина: приложение пытается выполнить потенциально опасные действия.
    Что делать: читать описание, но в основном, такого рода предупреждения происходит только тогда, когда есть проблемы, вы можете попробовать заблокировать его. Если вы не уверены, чтобы блокировать это приложение, потому что вы использовать его все время, нажмите на кнопку "Песочница", чтобы изолировать его и запустить его в безопасной, виртуальной среде для анализа.
    Когда вы можете позволить ему:
        Если приложение является безопасным.
        красный цвет всплывающего окна = опасно, оранжевый = опасность под сомнением.
        Если действие выполняется - опасности нет.

Антивирус

    Причина: антивирус обнаружил вирус.
    Что делать: нажмите на кнопку "Очистка". Это может быть ложным срабатыванием, если название вируса начинается с HEUR.  Вы можете развернуть кнопку "Очистка" и нажмите на "Карантин", файл будет изолирован, если вы хотите, чтобы позаботиться о нем позже.

Вот ещё есть хорошая статейка Хирона(англ.) по начальной настройке CIS 5.
Удачи в освоении фаерволов! Этот опыт Вам пригодится  :-TU
« Last Edit: March 14, 2011, 04:07:18 AM by SerB »

Offline keksik

  • Newbie
  • *
  • Posts: 24
Re: Вопрос по COMODO Firewall 5
« Reply #2 on: November 10, 2010, 10:15:38 AM »
Большое спасибо Вам, Serb.
Настроил так как написано, но вот на одном форуме увидел еще одни настройки.
Не могли бы Вы их глянуть и сказать правильно ли так делать ((



Еще раз спасибо )
жду Ваше мнения)

Offline SerB

  • Comodo's Hero
  • *****
  • Posts: 673
Re: Вопрос по COMODO Firewall 5
« Reply #3 on: November 10, 2010, 01:23:52 PM »
Я таких сумбурных, взаимоисключающих правил(как на картинке) ещё не встречал. Ну и как, работает интернет? И каким тогда у вас "боком" Generic Host Process будет коннектится с сетью?! Ему исходящие нужны..
А.. ну да! Если в Глобальных правилах есть такое: разрешить IP исходящие из Любой в Любой..., то суммарно это называется "гуляй ветер" ;D и другие запрещающие правила для этих процессов уже никакого значения иметь не будут.

Сделайте как я написал выше и не парьтесь. Перед этим удалите все созданные правила. Фаервол автоматически увидит сеть и создаст правила для этих процессов. Будут они правда обобщенные, но Вам вполне подойдут. Более тонкая настройка правил для System и svchost.exе зависит от многих параметров: типа сети, способа получения IP-адреса, вида подключения к сети, используете ли VPN или NAT, службы DHCP и DNS, NetBIOS, DCOM и т.д. Про это книгу можно написать(но зачем, уже есть :D), да я всего пока и сам не знаю 88)

И лучше не забудьте про это:
Quote
В меню Фаервол: Фаервол-Мастер скрытых портов- выбрать и нажать Блокировать все входящие соединения и скрыть мои порты для всех входящих соединений
этим Вы создадите автоматом нужные Глобальные правила, запрещающие входящие соединения и сделаете режим "стелс"(невидимости из сети). Входящие соединения нужно всегда и везде рубить(за редким исключением), а исходящие фильтровать.

И кстати, забыл выше указать, - поставьте галочку в меню CIS: Разное->Настройки->Автоматически обнаруживать новые сети(потом её можно будет отключить, после обнаружения вашей сети). Я так понимаю у Вас "домашний выход в интернет", через маршрутизатор?! И когда будете обнаруживать свою первую сеть, нажимайте "ОК", если только ниже будут убраны остальные галочки доступа к общим ресурсам.

Если больше хотите узнать о настройках CIS\CFP, то вот вам ссылки, читайте:

http://forums.comodo.com/10551086108810911089108910821080-russian/svchost-t53418.0.html

http://forums.comodo.com/10551086108810911089108910821080-russian/eth%EF%BF%BDn%EF%BF%BDethdegethsup2ethcedilethraquoethdeg-ethacuteethraquon%EF%BF%BD-system-t32747.0.html

http://forum.ru-board.com/topic.cgi?forum=5&topic=30023&start=460#4

http://forum.ru-board.com/topic.cgi?forum=5&topic=29988&start=0&limit=1&m=2

http://forum.ru-board.com/topic.cgi?forum=5&topic=32483#1


P.S. И вообще, разработчики COMODO весьма постарались в последней версии CIS\CFP, чтобы пользователи их продукта как можно меньше вникали в теории создания правил и поэтому в дефолтных настройках фаервол получился очень даже неплохой, с минимумом всплывающих окон и хорошей защитой.





« Last Edit: March 04, 2011, 03:56:38 AM by SerB »

Offline keksik

  • Newbie
  • *
  • Posts: 24
Re: Вопрос по COMODO Firewall 5
« Reply #4 on: November 10, 2010, 03:53:10 PM »
Большое тебе Спасибо!!! ))

Offline 4ak

  • Comodo Member
  • **
  • Posts: 28
Re: Вопрос по COMODO Firewall 5
« Reply #5 on: November 11, 2010, 01:13:55 PM »
Гран мерси  :D
тоже помогло данное мини -руководство  88)

Offline Konstantin R

  • Newbie
  • *
  • Posts: 1
Re: Вопрос по COMODO Firewall 5
« Reply #6 on: November 17, 2010, 12:41:04 PM »
Установил Comodo Firewall 5 на 2-х ПК. Так как раньше не настраивал фаерволы, то использовал ваш совет по настройкам. Активировал конфигурацию Proactive Security.
На обоих ПК также стоит Avast 5 free.
Теперь на обоих ПК сильные тормоза при работе в IE8 (например, при просмотре yandex.ru) процессы cfp.exe , explore.exe  загружают проц до 70%, страницы открываются с большой задержкой.  Временами заметна значительная активность компонента AvastSvc.exe. Другие приложения также начинают тормозить. Системный монитор производительности показывает максимальную сред.длину очереди диска (слышно, как активно шуршит винт). Прошу подсказать, как правильнее настроить фаервол для комфортной работы.
Поможет ли установка вместо Avast родного антивируса Comodo?

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: Вопрос по COMODO Firewall 5
« Reply #7 on: November 17, 2010, 01:46:38 PM »
Установил Comodo Firewall 5 на 2-х ПК. Так как раньше не настраивал фаерволы, то использовал ваш совет по настройкам. Активировал конфигурацию Proactive Security.
На обоих ПК также стоит Avast 5 free.
По моему мнению, для новичков настройки предложенные SerB практически идеальны. Они обеспечивают приемлемый уровень защиты при минимуме пугающих новичков оповещений. Я бы к ним добавил еще все облачные возможности, хотя они, кажется, включены по умолчанию. В соответствие с настройками предложенными SerB это
"Фаервол-Настройки фаервола - Создавать правила для безопасных приложений (поставить галочку)"
"Защита-Настройки проактивной защиты- Создавать правила для безопасных приложений (поставить галочку)"
должно без проблем подружить Comodo с Avast, так как последний у него в списке безопасных.
Причиной
Теперь на обоих ПК сильные тормоза при работе в IE8 (например, при просмотре yandex.ru) процессы cfp.exe , explore.exe  загружают проц до 70%, страницы открываются с большой задержкой.  Временами заметна значительная активность компонента AvastSvc.exe. Другие приложения также начинают тормозить. Системный монитор производительности показывает максимальную сред.длину очереди диска (слышно, как активно шуршит винт).
может быть то, что Comodo даже для безопасных приложений не позволит трогать свои процессы/файлы/ключи реестра. Он защищается, поэтому и тормоза. Посмотрите лог проактивной защиты, возможно там будут записи о блокировании доступа к процессам/файлам/ключам реестра Comodo со стороны Avast. Тогда надо двигаться в другом направлении - добавить везде в настройках Avast не проверять/не трогать/доверять Comodo. Настройки для совместного использования Comodo и Avast обсуждались на форуме - поищите.
Еще один вариант. Процесс cfp.exe отвечает только за интерфейс. Он не может(должен) тормозить, если закрыты все окна Comodo. Симптомы похожие на ваши, я видел при использовании CIS еще 4-й версии на компьютере со слабой аппаратной конфигурацией. Кстати, наиболее сильные тормоза были от cfp.exe при работе с интерфейсом программы, при закрытом еще более менее терпимо.
В вашей ситуации если не подружите Comodo и Avast или слабенький компьютер, то
Поможет ли установка вместо Avast родного антивируса Comodo?
очевидно, придется попробовать. Впрочем Avast очень "легкий" по нагрузке на систему антивирус и выигрыш при установке антивируса Comodo, я думаю, будет не заметен (впрочем, не уверен что выигрыш будет вообще).
« Last Edit: November 17, 2010, 01:54:00 PM by zil968 »

Offline Miki955

  • Comodo Family Member
  • ***
  • Posts: 96
Re: Вопрос по COMODO Firewall 5
« Reply #8 on: November 17, 2010, 03:08:23 PM »
Могу присоединиться к совету выше: введите в "доверенные" (ежели это не сделано).

Offline Loco Perro

  • Newbie
  • *
  • Posts: 3
Re: Вопрос по COMODO Firewall 5
« Reply #9 on: November 17, 2010, 04:56:16 PM »
Если comodo firewall удален из автозагрузки то система windows xp professional sp2 всегда загружается нормально.С comodo firewall 5 иногда полоса загрузки системы остонавливается и перезагрузка через reset даёт тотже результат а если после зависания загрузки обесточить компютер и загрузится с обычной загрузи то система загружается.А ингда и с comodo firewall в автозагрузке система загружается нормально.Читал в журнале Домашний ПК номер9 за сентябрь2008 стр74 что comodo firewall иногда любит "обрушать" операционную систему во время её загрузки,конфликтуя с утилитой chkdsk но это не смертельно и официальные форумы forums.comodo.com всегда придут на помощь.У меня стоит comodo firewall5+avast5.Извините за делитанство./Прошу помогите!

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: Вопрос по COMODO Firewall 5
« Reply #10 on: November 17, 2010, 06:37:29 PM »
Если comodo firewall удален из автозагрузки то система windows xp professional sp2 всегда загружается нормально.С comodo firewall 5 иногда полоса загрузки системы остонавливается и перезагрузка через reset даёт тотже результат а если после зависания загрузки обесточить компютер и загрузится с обычной загрузи то система загружается.А ингда и с comodo firewall в автозагрузке система загружается нормально.
Если под удалением из автозагруки имеется ввиду удаление параметра COMODO Internet Security типа REG_SZ со значением "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и это помогает, то удалите и не восстанавливайте. При настроенном CIS без запущенного cfp.exe можно обойтись - защита все равно работает. Его можно при необходимости запускать вручную, настраивать CIS и выгружать (или не выгружать если жить не мешает).
Читал в журнале Домашний ПК номер9 за сентябрь2008 стр74 что comodo firewall иногда любит "обрушать" операционную систему во время её загрузки,конфликтуя с утилитой chkdsk но это не смертельно и официальные форумы forums.comodo.com всегда придут на помощь.
Не читал. Актуальность статьи за сентябрь 2008 применительно к 5-й версии вызывает сомнения. Я смутно припоминаю, что такие неприятности с Comodo firewall где то в англоязычной ветке форума очень давно вроде бы проскакивали. Несовместимостью с chkdsk ранее грешили на Comodo Time Machine, но в последней версии по заявлению разработчиков это исправлено.
У меня стоит comodo firewall5+avast5.Извините за делитанство./Прошу помогите!
Проблема загрузки появилась сразу после установки comodo firewall5 или проявилась позже? почему вы склонны винить в проблеме comodo? Что предшествовало появлению проблем с загрузкой - устанавливались какие то программы, обновления системы (SP2 уже не обновляется),  выполнялось обновление CIS с предидущей (какой?) версии, изменялись ли настройки установленных компонентов, и.т.д? Антивирус CIS не устанавливался вообще или просто выключен? Если просто выключен - выключите также везде обновление и замените scanners\bases.cav на repair\bases.cav. Какой режим Защита+?  В какой последовательности устанавливались comodo firewall5 и avast5 - сначала firewall5, потом avast5 или наоборот? Как выполнялась их настройка для совместого использования?

Offline 4ak

  • Comodo Member
  • **
  • Posts: 28
Вопросы от новичков
« Reply #11 on: November 24, 2010, 11:25:00 AM »
Не нашел такой темы или плохо искал. Но, весе же рискнул, создал.  O0
Теперь сам вопрос: в комодо есть такая функция, когда например распаковываешь файлы то они помещаются сюдаи оказываются туттак вот, какие действия нужно произвести с этими файлами, их нужно просто удалить, перенести в доверенные или очистить?

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: Вопросы от новичков
« Reply #12 on: November 24, 2010, 11:47:04 AM »
так вот, какие действия нужно произвести с этими файлами, их нужно просто удалить, перенести в доверенные или очистить?
Кнопка "Очистить" просто проверяет физическое существование этих файлов на диске в данный момент.
В режиме "Чистый ПК" нажатие кнопки "Удалить" (ВНИМАНИЕ! НЕ путать с "Удалить файлы") по действию аналогично перемещению в доверенные. Если есть сомнения по поводу файла, можно его "Проверить". Если "Проверить" не развеет сомнений, его можно пока "Заблокировать". Если зловредность файлов не вызывает сомнений лучше сразу "Удалить файлы", предварительно поделившись ими с Сomodo с помощью "Отправить". Если включены "облачные" возможности Сomodo, то, кажется, (не пользуюсь) "Проверить" выполняется автоматически для любого попавшего в список файла.

Offline Privet

  • Comodo's Hero
  • *****
  • Posts: 201
Re: Вопросы от новичков
« Reply #13 on: November 24, 2010, 05:44:01 PM »
1.Создавать ли правила для безопасных приложений(у меня галочка стоит напротив,но не уверен в ее надобности) ???
2.Постоянно,попадают в карантин файлы C:\system volume information\_restore{***********}\****\A******.exe как Heur.Packed.Multipacked[at]-1!!!В саму папку нет доступа(на кой она вообще нужна),из карантина уже запарило их удалять...
3.Unclassified Malware и как к ним относиться(например хотел проверить на вирустотал,так это оказалось не просто(из карантина достаешь и он опять туда-же попадает,не помечать же его чистым)),все неизвестные мне-удаляю,но хотелось бы знать степень их реальной угрозы,а то Комод пишет"опасность высокая",но я знаю,что это-установочный файл,известного мне приложения???
« Last Edit: November 24, 2010, 05:45:56 PM by Privet »

Offline zil968

  • Comodo's Hero
  • *****
  • Posts: 342
Re: Вопросы от новичков
« Reply #14 on: November 24, 2010, 06:42:39 PM »
1.Создавать ли правила для безопасных приложений(у меня галочка стоит напротив,но не уверен в ее надобности) ???
В режиме "Чистый ПК" она имеет значение только для появившихся новых файлов. Я не использую. Для новичка может пока стоит и оставить.
2.Постоянно,попадают в карантин файлы C:\system volume information\_restore{***********}\****\A******.exe как Heur.Packed.Multipacked[at]-1!!!В саму папку нет доступа(на кой она вообще нужна),из карантина уже запарило их удалять...
В system volume information хранятся точки восстановления системы. Доступ можно получить (а зачем?) добавив на вкладке Безопасность в Свойствах папки свою учетную запись и назначив ей права полного  доступа. Если я знаю что это за файл, то на Heur не реагирую - эвристика это хорошо, но голова лучше. В system volume information в принципе попадают уже удаленные с компьютера файлы, и их можно удалять средствами Комодо не помещая в карантин. Впрочем, если не дай бог придется откатываться средствами системы, то могут быть и проблемы.
3.Unclassified Malware и как к ним относиться(например хотел проверить на вирустотал,так это оказалось не просто(из карантина достаешь и он опять туда-же попадает,не помечать же его чистым)),все неизвестные мне-удаляю,но хотелось бы знать степень их реальной угрозы,а то Комод пишет"опасность высокая",но я знаю,что это-установочный файл,известного мне приложения???
Если "я знаю,что это установочный файл,известного мне приложения", то Unclassified Malware я отправляю туда же, куда и Heur, к ... В совокупности по двум пунктам: очевидно установлен переключатель "Антивирус"-"Настройки сканирования"-"Сканирование в реальном времени"-"Автоматически отправлять опасные в карантин". Я всегда рекомендую выключить, особенно если эвристика выше чем "Низкий" и включать голову (которая лучше чем эвристика, которая тоже хорошо   ;D  ). Надоели сообщения антивируса - проверяем хоть на том же ВирусТотале и добавляем в исключения и/или режем средствами проактивной защиты.

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek