Непонятка с Comodo какая-то…
Есть небезызвестное FileZilla
Сделал его вообще уже Trusted Application, а Comodo его не пускает на определенные сервера и в “View Firewall Events” пишет тупо
FileZilla Blocked …
Без Comodo конект проходит. Вопрос собственно: как “правильно” пользоваться этими логами?
В каких файлах эти логи хранятся (не могу найти, в хелпе ни слова)
Та иформация, что даётся в Event Viewer, в данном случае, бесполезная…
И вообще, как понять, какое именно правило блокирует запрос? Вот что, сложно это прописать в логе?
Скорее всего, блокируется FileZilla глобальным правилом.
Первое, что дает лог, это возможность определить, является ли соединение входящим или исходящим (колонки source address и destination address). Второе - если приложение является доверенным, но блокируется - дело скорее всего в глобальных правилах. Третье - если в логе обозначен заблокированным “левый” процесс, значит возможно для этого процесса необходимо создать дополнительные правила.
Такой же подход в других случаях.
Одним из вариантов использования NetBIOS-обеспечения совместного доступа в сети. Крайне опасная на мой взгляд штука. Позволяет осуществить организацию администрирования системы удаленно хакером.Не вдаваясь в долгие подробности рекомендую отключить NetBIOS. Это надо сделать так:
1 Панель управления-администрирование-службы, остановить и поставить на отключено Модуль поддержки NetBIOS через TCP/IP
2 В свойствах подключения-протокол TCP/IP-свойство-дополнительно-отключитьNetBIOS
3 Скачиваем утилиту WWDC.exe,запускаем и жмем все желтые и красные кнопки. После перезапуска системы кнопки должны быть зеленые.
yascher, NetBIOS - это возможность просматривать/редактировать файлы, к которым разрешён общий доступ по сети, на удалённых компутерах через Сетевое окружение. Если данная опция не используется, то NetBIOS можно смело отключить как в настройках соединения, так и службу такую прибить. Вреда не будет.
А в локальных сетях такие соединения будут всегда летать (запросы то идут на броадкаст - на 192.161.1.255, т.е. на все компутеры в локальной сети).
В общем, чтобы понять нужен ли данный протокол тебе, надо знать что у тебя за сетка.
А последние блокировки с порта 68 на порт 67 адреса 255.255.255.255 - это запрос на получение IP-адреса с DHCP-сервера провайдера. Если используется автоматическое получение IP-адресов, то данных блокировок не должно быть, точнее если они будут, то адрес ты не получишь и соответственно не сможешь пользоваться сетью.
Если же IP прописан вручную, то данные соединения не нужны. Ничего страшного в появлении их в журнале нет.
Не заметил, что barsukRed уже отписал по NetBIOS-у… Извиняюсь за повтор.
По поводу WWDC есть один нюанс: если используется COMODO 2, то WWDC заблокирует необходимую для работы фаера службу - “Службы терминалов”. Её необходимо будет включить вручную. Либо в самой программе отказаться в первом пункте от отключения этой службы.
На COMODO 3 не проверял. Служба у меня данная включена.
После включения данной службы WWDC всё равно будет показывать, что всё Ок, все опасные порты будут закрыты.
P.S. Только заметил, что тема называется Настройки комодо.
Может кому пригодиться - Comodo Firewall Pro / Comodo Internet Security - [1] :: Программы :: Компьютерный форум Ru.Board - в данном топике есть различные рекомендации по настройке фаера CFP 2 и 3.
(Не знаю, можно ли давать в данном форуме ссылки на другие форумы. Если нельзя, то прошу прощения. Тогда сотрите данную ссылку.)
Привет. Только поставил COMODO v3:
1. Он з НОД32 v3 нормально будет работать?
2. Как там попроще правила эти настроить что б интернет не тормозил, безопасность была на уровне и что б не вспоминать про его больше?
3. Там есть диагностика, у меня находит проблеми инст. но не может их решить.
4.!!! В трее есть индикатор (зеленые и красные отметки) и постоянно видно что идет передача инфы (1 красн. отметка), на 10 МБ получ : 1 МБ отправленной инфы. Это нормально или нет? Это все при работе только Оперы, Нода32(не обн.) ну и COMODO(тоже не обн., все автоапдейты я в настройках откл).!!!
5. У меня к сожалению Dial-Up, после подключения и открытия Оперы оно сек 30 думает и только потом начинает что-то грузить, без COMODO оно сразу грузит страницы.
6. Что делать в правилах с SYSTEM и SVCHOST? Только попроще.
7. И посоветуйте самую лучшую и простую ANTISPYWARE прогу, что бы только проверить и удалить все плохое. Только не AVZ, уже есть пишет в протоколе скан. красным шрифтом “функцыя … перехвачена … перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys”
это что? Троян? Комодо?
Все хватит, спасиба тому кто оветит на все мои бессмысленные вопросы, я очень удивлюсь и буду рад. (B)
Система XP или Vista? Если XP, попробуйте запустить диагностику с администраторской записи.
Если Vista, выключите фаер (значок в трее->exit). Запустите ярлык фаера от имени администратора на администраторской записи, включите диагностику. Если не поможет, выключите UAC и повторите попытку.
1. Третий NOD так устроен, что представляет собой нечто вроде прокси, так что он пропускает через себя весь трафик… и фаер у тебя будет видеть, что все запросы идут от процесса ekrn /как-то так/, т.е. от NODа…
А это значит, что фаер свои функции будет не совсем корректно выполнять…
Для того, чтобы фаер нормально видел кто и какие соединения устанавливает, необходимо отключить у NOD’а проверку POP3/Web-траффика /вроде как-то так… наталкивался на такое на форуме Wilders Security/, но это влечет за собой то, что антивирус не будет проверять траффик и, соответственно, можно кого-нибудь поймать себе.
На данный момент не очень удачная комбинация… Сам сижу на версии 2.70…и подумываю вообще перейти на Касперского…с ним вроде Comodo сумели подружить
2. Тебе нужен полный контроль над всем, что установлено? Тогда придется первое время поставить Custom Policy в Firewall Security Level с Very High частотой pop-ups и отвечая на запросы стенки, создавать автоматически правила…
Для Defense могу сказать, что некоторые используют CleanPC /но это если ты уверен, что на компьютере нет никаких зловредов/, а потом уже переводят его в другой режим.
3. До этого стояли какие-то фаеры? Вероятно, что он находит какие-то следы от них…
В директории…Comodo\Firewall\Repair\ есть incompatsw.ini… Насколько я понимаю это список того, с кем он не умеет дружить и где искать следы… проверь по нему… или может у тебя в фоне что-то еще работает…что с Defense конфликтует…
…
7. А чем плох AVZ?? Он все правильно определил… Comodo и есть перехватчик на уровне ядра… у него работа такая… не стоит этого пугаться
Мне он такие же отчеты показывает…
На большинство вопросов форумчане уже ответили Вам. Хочу добавить на мой взгляд важное для вопроса:
Некоторые обновления программ нельзя отключить в самой программе. Например в виндовс медиа плеере. Он все равно лезет в инет. Логируйте ВСЕ правила и тогда можно вычислить кому принадлежит трафик.А лучше в разделе общих правил в комодо назначить узкие рамки. Т.е. одно разрешающее правило для UDP/TCP заменить на отдельные,например так:
1.Destination: 127.0.01; Port: Any;Protocol: TCP In/Out;Allow
2.Destination: RANGE: xx.xxx.xx.xx – xx.xxx.xx.xx (DNS servers);Port: 53;Protocol: UPD Out;Allow
3.Destination: [Any];Port: 21,80,81,82,83,443. 8080; Protocol: TCP Out;Allow
Подработать под себя(добавить правила для ICQ и тд.) Очень увеличит безопасность и не допустит редиректов троянов.
Если не давать обновляться винде и тп. я посоветовал бы оставить только два правила:
1.Destination: 127.0.01; Port: Any;Protocol: TCP In/Out;Allow
2.Destination: RANGE: xx.xxx.xx.xx – xx.xxx.xx.xx (DNS servers);Port: 53;Protocol: UPD Out;Allow
где xx.xxx.xx.xx- адреса Ваших DNS-серверов.
Спасиба за ответы, помогли. Еще один вопрос на засыпку, как вы относитесь к кофигурации Dr.Web 4.44trial + Comodo v3 + установленый но отключенный без автозагр. с Виндовс Kaspersky Antivirus 7? Я заметил что KaspAntivir7tr+COMODO 3 ведет себя как Нод32 перехватывает все и это видимо плохо, плюс инет вобще не работает. Но Касперский имеет большую базу и только он нашол у меня вирусы. Зато Dr.Web вроде ничего не перехвативает и с COMODO норм.раб., но очень уж долго полная проверка идет и не находит ничего в отличие от Касп. Я конечно понимаю что можна все правильно настроить “под себя” и будет работать нормально но для меня это слишком сложно. Как насчет Kaspersky Internet Security :-La? Там фаер приличный? Очень хочу узнать мнение спецов в этом деле :■■■■
Я извиняюсь за ламерство…
Недавно установил третий Комодо со включенным Defense+. Поставил режим Train with Safe Mode. Вроде все работает идеально, но Defense на главном окне пишет: The Defense+ has blocked 5 suspicious attemp(s) so far.
Никак не могу понять, а где можно посмотреть заблокированные приложения? Никаких указаний для заблокирования приложений я еще не давал Defense+, так что он блокирует?
Спасибо.
К спецам я, конечно, не отношусь, но хотелось бы заметить что на мой взгляд популярный фаервол-это не есть хорошо. Огромное количество хакерских форумов пестрят способами обхода/переведения в более демократичный режим КИС. Я не хочу сказать что КИС лучше или хуже другого фаера-это было бы не совсем правильно. А во всем остальном: каждый продукт,будь то антивирус или фаервол, имеет кучу недостатков. Хотите убедиться-посетите форумы ЛК и тд. Почитайте и Вам все станет ясно.
Я бы поставил Касперского Антивирус 7ой с Comodo, но у каспера отключил его проактивную защиту… пусть фаер со свои HIPS’ом за этим следит… и насколько я помню в какой-то старом билде комодостроители сумели покорить антивирус этот, так что с ним вроде все хорошо… и фаер видит соединения за ним…
боюсь, что с NODом такое не выйдет… так что я вот хочу перейти на Каспер…
Скорей всего если кто-то сильно захочет залесть в мой комп то никакой фаєр не поможет. Зато КІС это одна прогна а не две и конфликтов нет. Не могли бы дать ссылку на те форумы?
В defense+ events написано: there sre no itemps to show, но на главном окне все равно написано, что defense+ заблокировал 6 attemps…
В принципе пускай он блокирует все что хочет, главное чтобы не трогал avast!. Где можно посмотреть, что аваст не заблокирован?
Спасибо.
goodbrazer, хочу поблагодарить Вас и всех остальных мемберов за отклики и советы (:LGH)
Я потихонечку осваиваю сомоду, с вашей помощью. Даже сам настроил вторую локалку (:CLP)
Но вопрос в следующем:
Попробуйте самый простой способ для того, чтобы запретить все входящие: firewall->stealth ports wizard->block all incoming.
Я работаю с парой ресурсов где практикуется реферальство. Т.е., я сам являюсь рефералом и рефери. Я, честно говоря, не совсем знаю как это реферальство обеспечивается, но читал вводную статью и там писали, что, типа, нельзя отключать куки и пр. пр. Из прочитанного понял что время от времени ко мне будут коннектиться и что-то там учитывать.
Так я к чему, не получится ли так, что я буду людей рефералить, а мне это не будет засчитываться, после того как я закрою все входящие?
Спасибо.
Странно, попробуйте проверить настройки: miscellaneous->settings->logging и поставить значения по умолчанию, т. е. size=2 mb, delete and recreate new, и две опции disable не отмечены.
Там же. Лог будет показывать записи, в которых application = avast (или другие модули, которые относятся к avast).
Мне кажется, что если и есть проблема, то она заключается в ложном сообщении “defense+ заблокировал 6 attemps”. Конечно, могу ошибаться.
Честно говоря, я и сам не знаю: ни принцип, как происходит связь между рефералами, ни какие приложения принимают при этом входящие соединения (нужны ли им вообще входящие или достаточно разрешить исходящие).
Так что, сначала вам надо это выяснить, а потом приступить к созданию соотв. правил, сверяясь с логом.
Значения по умолчанию поставил. В Defense+ Events появились сообщения:
Date/Time Application Action Target
26.02.2008 1:29:40 C:\Program Files\Comodo\CBOClean\BOC425.EXE Access Memory C:\Program Files\Comodo\Firewall\cfp.exe
26.02.2008 1:29:54 C:\Program Files\Comodo\CBOClean\BOC425.EXE Access Memory C:\Program Files\Comodo\Firewall\cfpupdat.exe
26.02.2008 1:29:58 C:\WINDOWS\explorer.exe Terminate Process C:\Program Files\Comodo\Firewall\cfpupdat.exe
26.02.2008 1:33:56 C:\Program Files\Comodo\CBOClean\BOC425.EXE Access Memory C:\Program Files\Comodo\Firewall\cfp.exe
26.02.2008 1:42:24 C:\Program Files\Comodo\CBOClean\BOC425.EXE Access Memory C:\Program Files\Comodo\Firewall\cfplogvw.exe
То есть, как я понимаю, он заблокировал Comodo AntiMalware - которое тоже Комодо (:CLP), но разрешения не спрашивал. Или это не заблокированные приложения? И еще - здесь только пять действий, но на главном окне все равно пишет, что заблокировал 7 штук.
