Korzystam od długiego czasu z pakietu CIS. Obecnie piszę pracę dyplomową nt. bezpieczeństwa. Opieram swój model na gruncie ochrony jaką dysponuje Comodo. Jest to naprawdę dobre rozwiązanie, a do tego darmowe. Polecam każdemu użytkownikowi bo wiem, że się sprawdza w każdych warunkach.
W praktyce nie mam żadnych problemów z konfiguracją i zarządzaniem wszystkimi modułami. Problem jaki dla mnie stanowi to odwzorowanie (chociaż częściowe) teoretyczne tego co CIS robi w praktyce. Zależy mi na pokazaniu za pomocą diagramu jak CIS pracuje i jakie części składowe systemu zabezpiecza. Czy jest mi ktoś w stanie pomóc lub pokazać jakiś fragment za pomocą modelu, diagramu czy innego rysunku jak np. działa firewall lub defense+?
Tak. Nie wiem czy to jest wyraźnie zaznaczone, ale nieznany plik ze względu na swoją potencjalną szkodliwość (bo neiznany plik[nieobecny na czarnych listach programów AV] może okazać się złym plikiem) umieszczany jest w piaskownicy gdzie ograniczane są jego prawa do działań w takim zakresie, aby nie mógł wyrządzić poważnych szkód. Z piaskownicy plik wysyłany jest do Comodo gdzie jest klasyfikowany jako bezpieczny bądź niebezpieczny. Plik niebezpieczny jest usuwany, natomiast plik bezpieczny trafia z piaskownicy do systemu operacyjnego aby mógł działać w pelni praw.
to jest ogólny model działania ochrony prewencyjnej, do której można zaliczyć antywirusa, defense+ i piaskownicę.
chciałbym jeszcze dowiedzieć się coś nt. zasady działania firewall’a. czy mógłbyś mi pomóc?
btw.
zawsze chciałem oto spytać. dlaczego comodo nie pokazuje prób przychodzących połączeń, skanowania portów czy też bezpośrednich ataków z zewnątrz? wiele produktów ma taką cechę. dlaczego akurat comodo nie korzysta z takiej opcji? osobiście uważam, że to jest jedyny mankament firewalla. ciężko nazwać to nawet mankamentem. chciałbym po prostu mieć wiedzę dotyczącą prób ataków, a ponieważ nie mogę tego sprawdzić w logach (jedynie mogę podejrzeć próby wychodzących połączeń aplikacji zainstalowanych w systemie) to w konsekwencji daje złudne poczucie bezpieczeństwa.
Takie zabezpieczenia istnieją. To, że Comodo nie wyswietla o tym alertów, nie znaczy, że nie ma. Aby mieć wgląd na logi zablokowanych, przychodzącyh połączeń udaj się do Reguły zabezpieczeń sieci>Reguły globalne i przy regułach blokujących (edytuj je) zaznacz ptaszek “Zapisz zadziałanie reguły do dziennika”. Rodzaj reguł blokujących w regułach globalnych zależy od tego w jaki sposob ukryles porty.
Nikt nie odpisał na mój post więc spróbowałem sam stworzyć model działania firewalla. na chwilę obecną rozpisałem jedynie zasady ruchu wychodzącego i przychodzącego dla aplikacji zdefiniowanych (tryb tylko własne reguły).
oznacza, że ruch jest możliwy tylko pod warunkiem, że aplikacja wychodząca nawiązuje próby połączeń (screen shoot ruch wychodzący)
czy dobrze myślę?
ps. przepraszam, że piszę kolejny post pod swoim starszym, ale chciałbym by się pojawiło na forum jako nowy wpis nieprzeczytany. zrobiłem to z nadzieją, że teraz ktoś mi pomoże w analizie.
zrozumiałem, że aby pakiet wyszedł z PC musi przejść przez reguły aplikacji, a następnie reguły globalne dotyczące samych połączeń.
drogi morphiuszu czy na twoje oko taki model, który przedstawiłem może pozostać? on tylko dotyczy aplikacji. do tego chciałbym dołożyć osobne modele reguł globalnych.
czy może lepszym wyjściem byłoby połączenie modelu aplikacji i reguł globalnych?
przy okazji chciałbym zapytać o ustawienia globalne.
czy jest tutaj wszystko w porządku? ewentualnie jakieś poprawki, które mógłbym poczynić?
w kolorze czerwonym zaznaczyłem swoje ustawienie, które dodałem. jeśli jest blokada ICMP w obu kierunkach dla wszystkich typów wiadomości to czy mogę usunąć 2 reguły zaznaczone w kolorze zielonym?
morphiusz czy u ciebie zestaw globalnych ustawień wygląda podobnie? jeśli mi czegoś brakuje to proszę o podpowiedź.
U mnie zestaw reguł jest domyślny tj. taki, jaki pojawia się po użyciu konfiguratora ukrycia portów. Nie widzę sensu dodawania/zmieniania, chyba, że chcesz osiągnąć konkretny i cel i wiesz na 100% co robisz.
Te 2 reguły, które chcesz usunąć mogą być potrzebne, bowiem wykluczają pewne nieszkodliwe działania, które mogą się nie udać gdy będą przyblokowane. Radzę za dużo nie kombinować
i według tego dodałem regułę blokowania TCP/UDP w obu kierunkach i ICMP w obu kierunkach.
w takim razie blokada ICMP w obu kierunkach dla dowolnych typów wiadomości pakietów nie jest tym samym (a raczej rozszerzeniem) w stosunku do reguł, które zaznaczyłem na zielono?
btw.
chciałbym jeszcze dopytać Cię jako specjalistę o regułę aplikacji o nazwie
systemowe aplikacje windows
Jeśli do połączenia z Internetem wymagany jest proces svchost (który mam ustawiony na tylko wychodzące) to po co Comodo wymaga aby “systemowe aplikacje windows” łączyły się także? Co się składa w ogóle na to pojęcie? Jakie składniki?
ps. przepraszam za podkreślenie, ale moja wypowiedź jest dość długa więc dokładne pytania chciałem jakoś podkreślić.
dziękuje.
edit:
w między czasie kolejne pytanie mnie naszło.
Dokładnie chodzi mi o kwestię ochrony USB przez CIS. Doczytałem się, że CIS chroni wejście USB lecz chciałbym dopytać się o szczegóły na moim przykładzie.
Mam kilka pendrive’ów i obojętnie, który wkładam do portu to nie widzę żadnej różnicy w rozpoznawaniu nowego urządzenia przez system operacyjny. Chodzi mi oto, że czy CIS nie powinien jakoś sprawdzać przed podłączeniem nowego urządzenia do systemu i zeskanować pod kątem szkodliwego oprogramowania znajdującego się na pendrivie? Jaką mam pewność, że CIS sprawdza każde podłączenie do portu USB? Do tej pory nie zauważyłem jakiejkolwiek różnicy i zastanawiam się czy CIS rzeczywiście chroni USB?
Prosiłbym o pomoc w 2 wyżej pogrubionych pytaniach oraz w mojej najnowszej edytowanej myśli.
