Działanie modułu firewall

Niedawno zauważyłem u siebie dziwne zachowanie modułu firewall. Tak jak w wersji 3 Comodo podobnie w czwórce wybrałem w Kreatorze ukrywanie portów opcję trzecią Zablokuj wszystkie przychodzące połączenia i ukryj moje porty dla wszystkich

http://comodo.andgird.webd.pl/obrazy/20.png

Co do Reguł globalnych to w opisach proponowano już 3 różne wersje.

http://img171.imageshack.us/img171/7125/36177247.jpg

Oryginalna to pierwsza, ale tą niektórzy zmieniają na drugą, czyli blokując pozwolenie na komunikaty o fragmentacji i przekroczeniu czasu. Niedawno widziałem opcję trzecią, że pozostaje jedynie ostatnia zablokowana reguła. Nie znam się która opcja jest najwłaściwsza, jeśli ktoś orientuje się to proszę o informację.

Ale chodzi mi także o coś innego. Kiedy miałem wybraną 3 opcję reguł, to w ciągu godziny, kiedy używałem internetu na panelu informacyjnym Ochrona sieci miałem komunikat o ok. 100 “próbach włamań”. Wiadomo, to inni w sieci rozsiewają z komputera zapytania systemu itd. Firewall to wyłapywał. Kiedy zmienię w Regułach globalnych np. na opcje pierwszą, okno nie rejestruje żadnych prób włamań. Mamy coś takiego

http://img337.imageshack.us/img337/2525/92800224.jpg

Trudno uwierzyć, by nagle w sieci zapanowała cisza, ale nawet jak ponownie wrócę do poprzedniego ustawienia to nadal z zewnątrz nie mam notowanych żadnych “prób włamań”, jedynie firewall odnotowuje zablokowane próby wyjść z systemu.
Próbowałem zmieniać ustawania na różne sposoby, bez skutku zawsze jest zero ataków. Jest sposób na ponowną aktywacje, by to wszystko zadziałało to ponowna instalacja Comodo. Wtedy znowu działa monitor firewalla. Ale przecież za każdą zmianą nikt nie będzie na nowo instalował programu. Albo u mnie coś jest nie tak lub program ma jakiś błąd. Czy ktoś miał podobne problemy? Pozdrawiam

Ja też tak mam :-. Najprawdopodobniej to błąd “licznika” bo nie wierzę, żeby firewall niczego nie filtrował.

Jest coś sknocone w tej wersji. Zainstalowałem na nowo zaporę, to najpierw nie chciał się uruchomić Agent Comodo, program nie działał, jak już ruszył to monitor sieci niezależnie jak ustawię reguły w firewallu zawsze pokazuje zero “prób włamań”. Co ciekawe jak sprawdzam w Pokaż zdarzenia firewall to rejestruje próby wyjścia, ale prób wejścia nie ma, tak jakby w internecie panowała idealna cisza. Jak najedziemy kursorem na liczbę prób włamań tu 4 próby wyjścia to pojawia się napis, że jest zero, obok prawidłowy widok jak kursorem wskazałem Tryb własnych zasad

http://img407.imageshack.us/img407/2831/52437504.jpg

To firewall, o sklerozie programu trzeba by napisać w innym temacie, bo przy aktywnej Piaskownicy i opcji Automatyczne uruchamiaj nieznane programy w Piaskownicy mi nie raz, ale i innym wystarczy poczytać fora, program nie pamięta kiedy zaznaczymy Nie uruchamiaj tego programu w Piaskownicy i co jakiś czas znowu pyta. Można to obejść odznaczając 3 punkt Automatyczne uruchamianie w Piaskownicy wtedy normalnie ustalamy reguły i program to pamięta. Tylko, że nie na tym ma polegać działanie programu.

http://comodo.andgird.webd.pl/obrazy/204.png

sprawdzilem, jak mialem na comodo tak samo wynik 0 … na innych firewallach takze NULL. wiec nie sadze, aby to byla wina comodo. lub ew. poziom zabezpieczenia jest tak dobry, ze rezultatow do szukania/skanowania (twoja siec) nie ma

dla pewnosci, sprawdz z innymi ogniomurkami. u mnie bylo to ashampoo i zone alarm

Masz rację to dobry pomysł, sprawdzę na innej zaporze.

Tak jak pisałem sprawdziłem trzy inne firewalle: Sunbelt Personal Firewall, ZoneAlarm i Outpost Firewall Pro.

Najpierw testowałem ZoneAlarm, co prawda krótko, kilka godzin, ale jej monitor nie pokazał żadnych blokowanych prób wejść z zewnatrz.

http://img695.imageshack.us/img695/3220/zonealarm.gif

Podobnie Sunbelt Firewall. To samo bym napisał i o zaporze Outpost, ale ona pokazuje to trochę inaczej. Jeśli chodzi o firewall jest statystyka blokowanych prób wejść/wyjść:

http://img7.imageshack.us/img7/2183/outpostfirewallpro.gif

jak widać jest spory ruch, głównie w ramach lokalnej sieci. Jeśli chodzi o ataki, to tak Outpost nazywa np. skan ARP, ale zauważył później i inne.

http://img8.imageshack.us/img8/9748/26517193.gif

Także każda z tych zapór troszke inaczej podaje statystyki. ZoneAlarm nie zauważył żadnych ataków z zewnatrz, Sunbelt podobnie, a Outpost podaje zablokowane próby wejść plus prób ataków.

skanowanie portow to jeszcze nie atak :wink:

ktos sie w chakjera bawi i mysli ze kozak. lub pogadaj z zarzadzajacym sieci. powiedz ze nie czujesz sie bezpiecznie w takim otoczeniu i niechaj cos z tym zrobi.

inna sytuacja, kiedy to sam system z sieci szuka innych w otoczeniu sieciowym. wtedy po prostu wystarczy sam system w sieci ukryc i ma sie spokoj ;]

U mnie kreator ukrywania portów inaczej ustawia reguły jeśli wybiorę poszczególne opcje, mam CIS3
opcja 1, opcja 2, opcja 3. Przy wybieraniu opcji 3 jest opis, że komputer będzie niewidoczny dla wszystkich i ukryje wszystkie porty oraz zablokuje przychodzące połączenia - wybrałem tę opcję. Gdy się przyjrzałem co zamieścił Com4, to zauważyłem, że opcja 3 u mnie ma ustawione reguły jak u Com4 opcja 1, więc już nie wiem, która jest prawdziwa. Chciałbym mieć ustawioną opcję 3, tak jak jest w opisie, więc jakie powinny być reguły?

[attachment deleted by admin]

Co do mojej sieci, tak jak wszędzie, jak jest dużo ludzi, to wiadomo, że jedni serfują w internecie, zajmują się sobą, a inni z nudów próbują skanować, a może zajrzeć na komputer kogoś innego. Na razie, a jestem tu kilka lat nie miałem żadnych kłopotów.
Bardziej chodziło mi o porównanie programów, że jedne nie widzą żadnych “ataków” czy “prób włamań”, w monitorze nie ma zablokowanych wejść, a inne mają takie blokowania i liczają “ataki”. Ale by porównie było wiarygodne, musiałbym to sprawdzać na dwu komputerach w tym samym czasie.
Teraz wracam do CIS4, opcji 3 blokowanie i ukrywanie portów z Kreatora ukrywania portów. System podobnie jak to jest w Outpost - blokuj ruch NetBIOS zablokuję na połacznia wychodzące, najwyżej dla znanych procesów, programów, ustalę regułę Outgoing only - tylko wychodzące.

Zadra masz prawidłowo ustawione reguły. Przy wyborze polecanej trzeciej opcji kreatora, czyli Zablokuj wszystkie przychodzące połączenia i ukryj moje porty dla wszystkich Comodo oryginalnie ma ustawione reguły jak ze screenu oznaczonego 1, a u Ciebie to ostatnie zdjęcie. Tak jast w CIS3 jaki i CIS4.

Wygląd reguł spod numerków 2 i 3 to dodatkowe zmiany ludzi, którzy ich zdaniem dodatkowo ulepszają zabezpieczenie. Akurat wiem, że tak zmienine reguły przez pewnien czas miał na swojej stronie andgird. Ale, każdy może dowolnie je ustalać. Czy opcje 2 i 3 faktyczne poprawiają kontrolę nie wiem, niech napisze osoba, która bardziej się zna.

Dzięki za wyjaśnienie Com4. Możesz mi jeszcze wytłumaczyć o co chodzi z UDP, TCP, ICMP, IP(wiem co to jest). Jeśli chcę zezwolić/zablokować na połączenie aplikacji to co należy wybierać UDP, TCP, ICMP, IP? Nie rozumiem tych trzech skrótów i gdy chciałbym utworzyć regułę dla jakiejś aplikacji to nie wiem co wybrać.

zalezy co jeszcze masz zamiar uruachamiac. bo mozesz powylaczac te uslugi u siebie. ale przyjdzie czas, kiedy bedziesz chcial pograc multi i comodo powie ‘a wala’ … wtedy wypieprzenie programu z procesoe dopiero rozwiarze sprawe.

to sa protokoly sieciowe. tci/ip/(malo kiedy udp - chyba ze uzywasz hamachi lub podobnych) powinny byc ustawione jako reguly

bo kliknac zablkuj latwo … ale poznie nerwy, jakie stracisz … bezcenne ;d

Zadra kiedy chcesz zablokować/zezwolić na działenie aplikacji to na ogół nie wybierasz UDP, TCP, ICMP. Najpierw pojawia się komunikat Defense+, gdzie zaznaczasz Zezwól/Zablokuj lub tworzysz regułę czyli piszę z pamięci 88) chyba Potraktuj jako i tu wybór Zaufana aplikacja, Aplikacja Systemu Windows, Izolowana Aplikacja itd. Wybierasz opcję, która Ci odpowiada i OK. Podobnie z Firewall. Tam możesz wybrać dodatkowo Outgoing only czyli Tylko połączenia wychodzące. Jak ustalisz reguły i jest zaznaczone zapamiętaj moje decyzje, to potem program już nie pyta o tą aplikację.
By zmienić poprzednie decyzje wchodzisz dla Firewall w Zasady bezpieczeństwa sieci/Reguły aplikacji i zaznaczasz tą do zmiany i Edytuj. Po zmianie OK i już. W tym oknie można także usuwać wcześniej zapamiętane reguły. Chyba podobnie jest w Defense+, teraz nie pamietam jak tam nazywał się odpowiedni panel. I to cała filozofia. Jasne można tworzyć własne reguły dla poszczególnych protokołów, ale nigdy tym nie bawiłem się.

Teraz testuję jeszcze triala Outposta. Wczoraj miałem także Comodo, ale ono nie zauważa żadnego skanowania pojedynczych portów, czy ARP.

http://img64.imageshack.us/img64/1029/skan3.gif

Jak wyświetliłem listę ataków (skanów) z Outposta to stale ktoś z różnych miejsc szuka otwartych portów. Często pojawia się ostrzeżenie o skanowaniu, a jak sprawdzam na whatismyipaddress.com skąd adres to bardzo różnie, tu akurat gość z Amsterdamu.

http://img64.imageshack.us/img64/2787/skan1.gif

Zastanawia mnie coś - 3 kwestie/3 pytania :slight_smile:

Pierwsza rzecz - Odnośnie firewalla CIS i spostrzeżeń Com4 - czy to oznacza, że po wybraniu opcji “Zablokuj wszystkie przychodzące połączenia i ukryj moje porty dla wszystkich” nasz komputer pozostaje w zasięgu skanerów portów?

Druga rzecz - zawsze gdy uruchamiam kreator ukrywania portów (zarówno CIS 3 i 4), domyślnie podświetlonym przyciskiem jest “zdefiniuj nową zaufaną sieć i ukryj moje porty dla innych” - i to mnie niepokoi. Człowiek myśli - czy opcja 3 po włączeniu pozostaje opcją aktywną?.. To zapewne drobnostka w GUI ale mogli by to poprawić…

I trzecia rzecz - Jak to jest z tym Time Machnie? Czy da się z tej funkcji korzystać na zasadzie - click to use? Tak jak w windowsowym “przywracaniu systemu” - uruchamiam aplikację, robię snapshot i cieszę się ochroną danych/systemu?

----------------edit----------------

A jeszcze 4 rzecz :slight_smile: - trywialna :slight_smile: Nie mogę ukryć swojego adresu mail na forum - korzystam z opcji “Hide email address from public?” - nieważne czy odznaczam/zaznaczam, to mail pozostaje widoczny. Jak więc go ukryć?

Po wybraniu opcji Zablokuj wszystkie przychodzące połączenia i ukryj moje porty dla wszystkich nasz komputer teoretycznie powinien być niewidoczny w sieci. To, że mamy komunikaty, że inni skanują sieć, to jedynie oznacza, że my widzimy ich działania. Czy oni nas, przeciętny Kowalski raczej nie, zaawansowany haker pewnie będzie wiedział, że ktoś jest w tym miejscu sieci, ale przy prowidłowo skonfigurowanej zaporze, by włamać się do nas będzie miał kłopot. Nie ma 100% zabezpieczxeń, skoro hakerzy włamują się na serwery agencji rządowych w USA. Na pewno Comodo zabezpiecza nas o niebo lepiej od firewalla windowsowskiego.

Czy jesteśmy widoczni w sieci, można zrobić sobie test. Na stronie pcflank wybieramy Stealth Test i po chwili widzimy, stan naszego zabezpieczenia. Warunek trzeba mieć tzw. zewnętrzny IP, w sieciach wielu ma wewnętrzny np. ja, wówczas test nie skanuje naszego komputera. Tam jest więcej testów.

Ad 2 Nova1112 opcja 3 jest aktywna. Ten program tak ma, że niezależnie co wybierzesz w Kreatorze, zawsze kiedy ponownie do niego zajrzysz jest zaznaczona pierwsza opcja. Mogliby to zmienić, przecież nietrudno to zrobić.

Time machine powinno działać, na zasadzie przywracania poprzedniej wersji, ale nie wypróbowywałem tego wynalazku.

No to same pozytywne informacje :slight_smile: i człowiek czuje się spokojniejszy. A w wolnej chwili posprawdzam system tą stroną pcflank. Dzięki za odpowiedź :wink:

“Automatycznie wykrywaj nowe prywatne sieci” mam zaznaczoną tę opcję, jak jest najkorzystniej, zaznaczona czy odznaczona?

Jak nie masz swojej sieci domowej (router, z kompa) to odhacz to ustawienie, bo jakiś niemilec uzyska łatwy dostęp do zasobów komputera. Nawet jak masz ze swojego routera, to po wykryciu własnej sieci też odhacz tę opcję.

Sprawdziłem dość dobrze zaporę Outpost, w porównaniu do Comodo informuje o takich sprawach, jak skanowanie sieci, w poszukiwaniu otwartych portów. W Comodo ta informacja też powinna być podawana. Nie wiem jak w wersji 4 ale w trójce przeważnie mieliśmy zalew komunikatów windows operting system. U mnie w czwórce na ruchu z zewnątrz była idealna cisza, a jak patrzę na logi Outposta, to ludzie z całego świata stale skanują porty.
Przewagę Comodo nad Outpostem widać w leak teście CLT. Zalicza całość na 100%, gdy Outpost na ustawieniu maksymalnym puszcza 3 procesy. Jak znajdę czas to sprawdzę Online Armor

to zalezy co rozumiec przez informowanie. cis wybral droge ‘niepoinformowany iser, szczesliwy user’

a dla outosta ? teza ‘kazdy paranoik ma swojego wroga’ tez jest dobra. kazdy ma inny sposob, aby byc ‘informowanym’ przez program ktory uzywa. mnie kiedys podobalo sie podejscie netstat. ale z czasem, przeszedlem na rozwiazanie dumettera i jestem happy.

jak znudzi mi sie informowanie, lub raczej brak w cis’ie, przejde na zone alarm z innym anantywirem. wszystko zalezy od tego, co ludzie chca widziec a czego nie.

Pewny jesteś? Bardziej prawdopodobne jest to, że coś jest sknocone i tak będzie dopóki nikt tego im nie zgłosi, sprawdzą i kiedyś w aktualizacji to poprawią. Nie raz już tak było, że chłopaki z Comodo ciągle ulepszają program, tylko wiele z tych “ulepszeń” wychodzi z bykami, które następne aktualizacje naprawiają.

U mnie choć ciągle w sieci ktoś próbuje skanować, dostać się do zasobów innego, Comodo nie widzi nic, kompletnie ślepy kret. Licznik stale pokazuje zero “prób włamań”, jedynie reaguje na próby wyjścia z mojego komputera. Informacja to podstawa, nie wiem czy wiele osób ciszy się, że widzi zerowy ruch wokół siebie, choć w rzeczywistości jest inaczej.