Firewall Security & Internet Security

Я бы сказал, что в данном случае это нужно проверять выключая КАВ. С ним такая проблема возникает у очень многих, а вот с Комодо такой проблемы я лично вообще не помню...
Если я Вас правильно понял, необходимо в КAV отключить Веб-антивирус. Спасибо, вечером поковыряю и отпишусь.

Чем они отличаються?

Использую параллельно с CIS антивирус Авиры. После долгих размышлений и анализа “Активных подключений” в CIS, обратил внимание, что везде фигурирует Webguard Avira,
который является “доверенным” для CIS.
Таким образом, через него шел весь сетевой трафик.
То есть непонятно, кого Webguard “крышует” в разные моменты времени.
И правда то, что в сеть выходили даже те приложения, которым явно был запрещен выход в сеть в “Правилах Приложений” Comodo.
Webguard Авиры выступал, как своеобразный шлюз.
Так ведь и “гада” какого-нибудь можно выпустить на волю (если он вдруг завелся),
и дать выходить на связь с “базой”, если Авира не идентифицировала его и сайт, с кем он связывается, опасными.
Так что, давно отключил Веб-антивирус, и в “Активных подключениях” Comodo наблюдаю
реальную картину подключений.
А кэш браузера недолго и самому почистить…

Не знаю у кого как настроены правила, но в моем случае Avira WebGuard никаким “шлюзом” не является, и не может “через себя” выпустить приложение в сеть.
Пример:
Установленный Internet Download Manager при скачивании проверяется WebGuard, что отражено в “Фаервол” > “Активные сетевые подключения” и там показан процесс Входящего - Исходящего трафика через C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe
Но для Internet Download Manager существуют определённые правила в “Правила сетевой безопасности” > “Правила для приложений” и если их удалить, то через Avira WebGuard он в сеть не выйдет, а снова последует запрос Фаервола COMODO разрешить/не разрешить выход.
Так что дело в созданных правилах COMODO Firewall, а не в работе Avira WebGuard.

А если их не удалить, а изменить, скажем, запретить определенный хост, это “возымеет”?

Что нужно перекрыть и как, чтобы проверить?
Вот мои Настройки Фаервола, а это Глобальные правила.
После удаления бывших правил запросы будут полные, так вот сейчас пока было разрешено 2 правила при попытке скачивания через IDM:

  1. Разрешить TCP Исходящие из MAC Любой в IP 127.0.0.1, где порт источника: Любой и порт назначения: 443
  2. Разрешить TCP Исходящие из MAC Любой в IP 127.0.0.1, где порт источника: Любой и порт назначения: 44080

P.S. Почему бы не добавить возможность копирования строк правил, а то набирать их вручную меня всегда не очень радует.

А, так там локалхост, в этом и дело, ivm19651 про это и пишет. Т.е. можно в принципе либо запретить, либо разрешить активность, но не ограничить определёнными адресами. Вопрос в том, сможет ли (пусть какой-нибудь браузер, им проверять удобнее) получить что-нибудь с хоста, пусть будет, скажем, 91.199.212.149, он же forums.comodo.com, если добавить браузеру запрещающее правило на этот IP? В принципе, каждый день это точно не нужно, но, тем не менее… Я,к своему стыду, могу честно признаться, что ни разу не смотрел авировский веб-антивирус в этом отношении, потому и спрашиваю. Может и погляжу, раз представляется случай. :slight_smile:

А где именно?

Я в этом конечно ни бельмеса не понимаю, но 127.0.0.1 можно вручную заменить, и любую часть правила можно поменять вручную. Если б мне на пальцах (или с картинками) объяснили, то я бы быстрей понял.

Тут точно нужна свежая голова и без неё никак не разобраться.

Я и ключик на полгода именной, на имя ntoskrnl на Avira Internet Security 2012 организую по такому случаю, 14 декабря русская версия выйдет… чтоб быстрее в настройках разобраться.
http://i.smiles2k.net/plakat_smiles/achtungironie.gif

Любую строку из правил для приложений или глобальных правил как скопировать, там через ПКМ варианты:

  • Добавить правило…
  • Изменить…
  • Удалить

ivm19651
Так что у нас нового со шлюзами, есть ли какие новости по проверке, поделитесь со мной, как лоцман с лоцманом.


http://s17.rimg.info/488ea63e6948faecc3c85883f4c4426c.gif
А тут вот какая мысль:
Если бы при нажатии ПКМ пункта “Изменить”, в этой выделенной строке (см. вложение) отображалось правило в таком виде (мой пример для IDM):
Разрешить TCP Исходящие из MAC Любой в IP 127.0.0.1, где порт источника: Любой и порт назначения: 443
и его можно было скопировать, было бы просто замечательно…
Что там вообще можно полезного вписать в эту строку “Описание:” ?

[attachment deleted by admin]

Webguard Авиры в данный момент у меня не установлен.
Отказался от установки в процессе инсталляции.
Чтобы его включить, требуется снести Авиру, и переустановить заново, с включенным Webguard.
Вы же должны видеть, что в “Активных соединениях” Comodo фигурирует практически только один
Webguard (не помню точное имя процесса - кажется avwebgrd).
Могу на выходных продолжить исследование этого процесса, если время позволит.
Речь не идет о том, что этот процесс является “зловредным” ;D, и только и мечтает наделать нам пакостей.
Речь о том, что под его “маской” может отправиться путешествовать по бескрайним просторам, действительно какой-либо “зловред”, которого Авира, по каким-либо причинам не сумела идентифицировать. Например вирусные сигнатуры не подоспели, или вирус слишком новый, которого не знает пока никто, и т.д… Поэтому лучше (опять-таки, на мой взгляд) в фаере Comodo использовать правило “Блокировать Все Приложения” (это предлагал в свое время и ntoskrnl), а от Webguard Авиры - отказаться. Думаю, это будет эффективней и надежней, и в журнале фаера Comodo вы сразу же приметите что-то неладное, если вдруг что случится нештатное.
Это мое мнение…
Никого не заставляю, не настаиваю, и мое мнение не является истиной в первой инстанции.
Как говорится, на вкус и цвет…
P.S. А с web-безопасностью неплохо справляется и Comodo Dragon.

Открою маленький секрет про тайну “Золотого ключика”: для того чтобы заново установить Avira WebGuard не нужно переустанавливать Avira. Достаточно зайти в “Панель управления” > Установка и удаление программ > Avira > Изменить. Запускаем установщик, доходим до места установки компонентов, устанавливаем галочку в чекбоксе Avira WebGuard, завершаем установку. Перезагружаем компьютер и WebGuard работает, но это в случае установленной платной версии. С бесплатной немного посложнее, но думаю справитесь:
Как установить новую панель инструментов Avira позднее с помощью процедуры установки?
Браузером по умолчанию на момент установки сделать Internet Explorer.

WebGuard только контролирует трафик на предмет загрузки - выгрузки (по-простому), но с условием что предварительно программе эту загрузку - выгрузку разрешит фаервол, т.е правила фаервола позволяют её делать. Работа WebGuard в этом процессе уже вторична: сначала будет запрос на разрешение\запрет действия от фаервола и если последует разрешение, то WebGuard подключается к процессу.

Надо обязательно продолжить, может я не понимаю чего-то в этом процессе подключения.

Посмотрим какие будут результаты дальнейших исследований, там уже можно будет подумать… Пока все устраивает в моей связке, но если откроются дополнительные обстоятельства по делу, тогда буду решать.

NOSS,
Пока так, для разминки:

http://virusinfo.info/showthread.php?t=41398&s=0950ee4df78b0b73f51890062f24cd5c

https://forums.comodo.com/10551086108810911089108910821080_russian/eth�ethdegethordm_ethfrac34ethfrac12ethcedil_n�n�ethfrac34_ethacuteethmicroethraquoethdegn�n�-t32251.0.html

Может нужно как-то хитро выворачивать и прописывать правила в Комодовском фаерволе, особенно касательно Webguard Авиры…
Просто я, около года назад, используя только фаервол Комодо и Авиру с ее Webguard, наблюдал практически схожую ситуацию. Тогда меня это совершенно не устроило…
Не помню, какая версия Комодо тогда использовалась - 4-я или уже 5-я, а Авира была кажется 9-ой версии.
Короче, я так понимаю, аналогичная проблема наблюдается со всеми сторонними Webguard, которые совместно работают с фаером Комодо. Жаль, что у CIS нет своего Webguard. Может с ним бы все отрабатывало корректно.
Сейчас использую CIS последней версии и Avira Internet Security 2012 - без Webguard (изначально не ставил).
Попробовать проверить все это еще раз можно, правда вопрос это серьезный, если проверять различные ситуации дотошно.

Avira Internet Security + CF ?

Webguard и Фаервол Авиры не установлены.
Чистый антивирусник Авиры + CIS (у этого антивирус отключен).
Было желание потестить Avira Internet Security 2012. :slight_smile:

ivm19651
http://s19.rimg.info/0dfc5e1ca9d8ff2a650c8e585d342c9a.gif

Шура Балаганов, который считал себя первенцем лейтенанта, не на шутку обеспокоился создавшейся конъюнктурой.
Нет - нет, я "первенец" этой связки (COMODO Firewall + Avira PSS), у меня всё [url=http://forum.avira.com/wbb/index.php?page=Thread&threadID=114061]документально[/url] подтверждено и заверено [url=http://us.123rf.com/400wm/400/400/maigi/maigi1007/maigi100700016/7282250-grunge.jpg]печатью[/url].

Честно признаться, не понял - что Вы хотели этим постом сказать.
То, что Вы раньше всех начали использовать подобную связку, и у Вас с ней (связкой) все в порядке?
Ничего против не имею, на пальму первенства не претендую, и не претендовал…
Думал, Вы скажете что-то по-существу вопроса, например что-то пробовали делать, тестировать… :slight_smile:

Хотел немного сбавить обороты серьёзности данного вопроса. Я там и квоту вставил и ссылки дал.

Моей задачей было проверить совместимость данных продуктов, а именно тех модулей APSS, которых нет в других (Premium и Personal) версиях, так как на них уже была проверена совместная работа. Для себя в первую очередь, ну и для того, чтобы можно было советовать/не советовать использовать эту связку другим.

Я же пытался объяснить, что для меня представляют сложности в понимании этого вопроса. Прочитав информацию по Вашим ссылкам у меня так и осталось убеждение в том, что всё дело в индивидуальных настройках COMODO Firewall, и в моей ситуации никакой угрозы связка с Avira WebGuard не несёт. Свои настройки правил я выложил, если именно по ним есть угроза буду рад увидеть разъяснения, в чём кроется проблема. Поэтому и надеюсь на Ваши дальнейшие исследования, может они внесут дополнительную ясность в данный вопрос.

NOSS, Здравствуйте !
Я провел небольшую проверку, которую рекомендовал ntoskrnl.
Хотя она достаточно проста, но, тем не менее, мне кажется – объясняет очень многое.
Я включил Webguard Авиры так, как Вы рекомендовали. Все прошло успешно.
Принцип проверки был основан по пожеланию и совету ntoskrnl.
То есть, ntoskrnl предложил добавить браузеру запрещающее правило на
IP 91.199.212.149, он же forums.comodo.com.
(см. Reply #27 в этой теме)
Что я и сделал.
Ниже расположены скриншоты – 8 шт.
Скриншоты «1 – 4» – это попытка соединиться с IP 91.199.212.149, при включенном запрещающем правиле в Фаерволе COMODO, для браузера Comodo Dragon. (скрин №2)
Webguard Авиры – отключен.
Итог: соединение с данным IP не возможно. Фаервол заблокировал его наглухо – видно на скриншоте №3: «События Фаервола_Webguard disabled».
Скриншот №4 наглядно показывает невозможность соединения с данным адресом.

Теперь рассмотрим скринщоты «5 – 8»…
Был включен Webguard Авиры, и была произведена аналогичная попытка соединиться с
IP 91.199.212.149. Запрещающее правило в Фаерволе COMODO – на месте (скрин №6
«AR для Dragon с заблокированным 91.199.212.149»).
Итог: соединение состоялось, несмотря на явное запрещающее правило в Фаерволе COMODO.
Скрины «7 – 8» ясно это показывают («7. Активные подключения_Webguard enabled»,
«8. Соединение с 91.199.212.149_Webguard enabbled»).

Если при включенном Webguard, с явно заблокированным правилом для приложения - соединение возможно, то что уж говорить про те приложения, для которых правила никак не обозначены, или просто не существуют - по тем или иным причинам.

Выводы делайте сами.

P.S. Надеюсь ntoskrnl прокомментирует данную ситуацию.

[attachment deleted by admin]

ivm19651, Здравствуйте!
Спасибо за проверку, тоже буду пробовать провести подобную проверку соединений на примере Google Chrome. Правила и настройки для Opera Unofficial пока трогать не буду. Хоть у нас правила и различаются, но тут я подозреваю, что это общей картины возможности или невозможности соединений не изменит. Хотя такие настройки запретов и маловероятны в моём случае, надо попробовать разобраться какие варианты их осуществления возможны в принципе.

Удалил все правила приложений для Google Chrome и создал одно - первое (верхнее) запрещающее с логированием, как на Вашем скриншоте 2. AR для Dragon с заблокированным 91.199.212.149.jpg
В момент эксперимента у меня была запущена Opera Unofficial и я просматривал ей эту тему, а в “Активных сетевых подключениях” были отображены все соединения, в том числе и работающего Avira WebGuard. При попытке запуска Chrome (в котором были удалены вся история и все куки) по адресу
https://forums.comodo.com/10551086108810911089108910821080-russian-b73.0/ , скопированному и вставленному в адресную строку, в первую очередь появился запрос на продолжение дальнейших действий (Скриншот 001). Никакого соединения и открытия страницы в Chrome через WebGuard не произошло. Это всё при работающем WebGuard, кстати в этот момент обрабатывающего соединения именно этого форума в работающей Opera Unofficial.
Затем, при появившемся в памяти на быстрых вкладках форум в Chrome также не откроется, пока не получит разрешение фаервола, с учетом того, что фаервол правила для приложения не запоминает.
Но дальше веселее: разрешив правило (Скриншот 001) происходит соединение и открывается страница форума в Chrome и одновременно появляется другой запрос (Скриншот 002), получается что с опозданием, поезд ушёл…
При отключенном WebGuard, при попытке подключения происходит запрос (Скриншот 002) и без разрешения соединения не произойдёт. Теперь ситуация понятна, но это можно назвать частным случаем, да и то он был создан искусственно.
Если основной вопрос был

получается однозначный ответ: нет, так как в любом случае последует оповещение - запрос фаервола.

[attachment deleted by admin]