Поставил Comodo, говорят классный фаэр и по рейтингам первый. Разбираюсь.
Первым возник вопрос как настроить CF так чтобы всегда для любой программы выдавалось окно с выбором “разрешить/блокировать” если она пытается что-то отправить по сети. В качестве примера в Outpost Firewall “режим обучения” работает именно так как я описал.
Я выставил режим обучения для фаэрволла, но некоторые программы спокойно лезут в нет и я не вижу никакого окна от Comodo. Вероятно у него есть список предоопределенных доверенных приложений, но тогда у меня 2 вопроса:
Где можно посмотреть этот список?
Каким образом CF обнаруживает известные приложения? По имени и пути или по внутреннему содержимому файла-программы?
Вы не указали - включен только Firewall, или Firewall и другие модули CIS.
В Защита+ > Политика безопасности компьютера > Доверенные поставщики.
В Защита+ > Настройки проактивной защиты > чекбокс Создавать правила для безопасных приложений.
В Фаервол > Настройки фаервола > чекбокс Создавать правила для безопасных приложений.
Также дополнительно происходит проверка в облаке.
У меня установлен только ComodoFirewall. Т.е. работает только Firewall(training mode)и Defence+(safe mode). пробовал Defence+ ставить в training mode - то же самое.
В Защита+ > Политика безопасности компьютера > Доверенные поставщики.
Т.е. это как я понял список доверенных фирм-поставщиков и CF проверяет их по цифровой подписи программы, так? А если подписи нет, то программа автоматически не доверенная, верно?
В Защита+ > Настройки проактивной защиты > чекбокс Создавать правила для безопасных приложений. В Фаервол > Настройки фаервола > чекбокс Создавать правила для безопасных приложений.
Не понял здесь чекбоксы надо ставить или нет? Вообще мне нужно только чтобы доступ в сеть любой программы был [b]всегда[/b] оповещаем, а действия контролируемые модулем Защита+ необязательно.
Лучше “Очень высокий”, чтобы сразу ощутить всю прелесть оповещений.
Семья готовится ко сну. Жена спрашивает мужа:
- Ты дверь закрыл?
- Закрыл.
- На английский замок?
- Да.
- И на бельгийский замок?
- И на бельгийский.
- А на засов?
- И на засов закрыл.
- А на цепочку?
- И на цепочку тоже.
- А на швабру закрыл?
- Ой! На швабру, кажется, забыл.
- Ну вот! Заходи и бери, что хочешь!
[b]... желаем, чтобы у тебя была хорошая память и ты никогда ни о чем не забывал![/b]
Я большую часть Правил для приложений вручную сделал, немного добавил при работе в режиме уровень оповещений “Очень высокий”, собрав потом их кучно и частично переделал, как бы они выглядели при уровне оповещений “Высокий”. Теперь выставлен режим “Очень высокий” постоянно и каждый редкий запрос уже видно в деталях кто - куда - зачем…
Да я понимаю, что правила там нужны на разрешение UDP, TCP и т.д. Меня интересует вопрос почему Comodo позволяет ему лезть в сеть елс я не разрешал? А разрешил только как браузеру пока, то видно в правилах для приложения. И странно, что он меня не информировал о том что Skype делает TCP запросы на порт отличный от 80 и 21 и при уровне оповещения “средний” и “высокий”. Почему такое происходит? Вроде же в правилах нет разрешения для Skype а соединения оказываются разрешенными?
Вот в активных соединениях показывает что идёт соединение TCP на порт 57062 и другие, но где я разрешал это в правилах?
А в журнале фаэрвола есть только инфа о заблокированном UDP соединении и ни строчки о разрешенном TCP соединении, хотя по идее оно должно блокироваться:
[URL=http://www.uploadup.com/di-DJ4F.png] http://www.uploadup.com/dm-DJ4F.png
[/
URL]
Skype не браузер и правила браузера для него не подходят, соединение Skype происходит по пиринговой сети - peer-to-peer (P2P). Поэтому зачем делать правила не соответствующие запросам программы?
Я пока в глобальных правилах ничего не изменял, только изучаю я CF. Добавил только строчку разрешения протокола IGMP(для программы IP-TV Player, хотя надо сказать её это пока не помогло :embarassed:). Вот скрин глобальных правил:
Я знаю, NOSS, и позже я выставлю правильные правила. Я пока разбираюсь только на примере Skype и “обработать как браузер” задал лишь с целью изучения. Хочу сейчас первым делом протестировать полностью режим обучения, как он работает.
Кроме цифровой подписи Комодо еще проверяет запущенные приложения по своему отдельному списку безопасных файлов. UPD: Есть подозрение, что если отключить опцию Автоматически сканировать в облаке неопознанных файлов, то проверка будет проходить только по списку доверенных фирм-поставщиков.