При отключенном C:\Program Files\COMODO\Firewall\cfp.exe не работает журнал, алерты на новые соединения без правил. Не пойму-в чем прикол такой экономии ресурсов? Ведь практически контроля за системой нет…
Проверил двойку сегодня: если в Мониторе приложений есть запрещающее правило, то блокировка происходит, а если нет, то тупо разрешается… фаер как бы умывает руки в таком случае… Что не есть хорошо.
Так что по двойке данную идею точно не стоит воплощать. Точнее можно, но если прописать все правила по всем приложениям и не запускать ничего нового… но это какой-то лабораторный вариант использования компа получается…
Для тех, кто вдруг это уже сделал, напишу текст файла, который внесёт необходимые поправки в реестр и вернёт автозагрузку GUI для второй версии:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Firewall Pro"="\"C:\\Program Files\\Comodo\\Firewall\\CPF.exe\" /background"
Этот текст надо будет сохранить через Блокнот в файле с расширением .reg (путь к файлу надо свой прописать, у меня файл GUI находится на диске C: ), потом запустить данный файл и согласиться на внесение изменений в реестр.
По поводу тройки:
При отключенном C:\Program Files\COMODO\Firewall\cfp.exe не работает журнал, алерты на новые соединения без правил. Не пойму-в чем прикол такой экономии ресурсов? Ведь практически контроля за системой нет…С первой частью соглашусь, но не полностью:
• если в фаере прописаны запреты с логированием по конкретному приложению, то записи в журнал идут (эксперементировал с IE, правда без перезагрузки, а просто загружал/выгружал GUI);
• если для приложения нет правил, то оно тупо блокируется без логирования в журнале, но я использовал случай, в котором в GR в конце нет правила, запрещающего и логирующего ВСЁ, там только входящие запрещены… возможно, что в случае присутствия последнего правила, запрещающего всё в GR, будет логирование для неизвестных приложений.
По поводу второй части данного поста.
barsukRed, смысл такой операции прост: настроил фаер, отключил GUI и забыл о его существовании. Всё там работает, а то что в журнале не логируется что-то… так у меня нет такой привычки лазить в журнале и смотреть какой там негодяй ко мне пытался подключиться или какая прога пыталась проверить обновления для себя в интернете. Ну, а если что-то будет работать неправильно или же надо будет настроить/перенастроить правила для какого-то приложения, то проблем с загрузкой GUI никаких нет. Ну и экономия в виде отсутствия одного процесса, причём активного процесса. Да и смущать других пользователей компа значок фаера и вообще его присутствие не будут.
В общем, некоторая склонность к минимализму у меня присутствует. Не люблю ничего лишнего. Ну и ещё важный момент забыл упомянуть: я не использую Defense+.
У меня есть в GR последнее правило все блокирующее. Лог по всем правилам указан. Я удалил все правила для (к примеру) proga.exe и выгрузил GUI. Запускаю proga.exe и лезу в инет. При запуске GUI про proga.exe в журнале ни одной записи… Значит без правила для proga.exe и без GUI в инет proga.exe пускают…
Дефенс я использую. В параноидальном режиме. На прошедший запуск proga.exe он среагировал.
Возможно кому-нибудь пригодится такой вариант. Главное, что двойка все же не пропускает того, чего нет в политике, если все настроить как надо.
Насчет логирования на тройке: на время проверки сделал IE blocked application (где правило block and log). При выгруженном gui IE блокировался, но при загрузке gui никаких записей в логе не было.
...в случае присутствия последнего правила, запрещающего всё в GR...Off topic: Имеется ввиду правило block/ip/in-out/any..? Насколько помню с таким правилом не мог подключить даже любую trusted application.
смысл такой операции прост: настроил фаер, отключил GUI и забыл о его существовании. Всё там работает, а то что в журнале не логируется что-то... так у меня нет такой привычки лазить в журнале и смотреть какой там негодяй ко мне пытался подключиться или какая прога пыталась проверить обновления для себя в интернете. Ну, а если что-то будет работать неправильно или же надо будет настроить/перенастроить правила для какого-то приложения, то проблем с загрузкой GUI никаких нет. Ну и экономия в виде отсутствия одного процесса, причём активного процесса. Да и смущать других пользователей компа значок фаера и вообще его присутствие не будут.Согласен, идея абсолютно рабочая, т. к. фаер при соотв. настройках ничего лишнего не пропустит, несмотря на то, что отсутствует (или частично отсутствует?) логирование.
Странно, но при проверке я получил другие результаты. Фаер в custom policy, глобальных правил нет, gui выгружен.
Если приложения нет в списке AR - приложение блокируется при попытке соединиться, если приложение есть в списке, соединения разрешаются согласно правилам, причем последнее запрещающее правило не обязательно, чтобы резать все неразрешенные соединения. Т. е. CFP работает как надо.
Defense+; paranoid mode. Чтобы d+ блокировал все приложения, не упомянутые в computer security policy, обязательно нужно, чтобы была включена опция “block unknown requests if application is closed”. При данных настройках CFP разрешает известным приложениям только то, что упомянуто в computer security policy, по крайней мере я не заметил никаких исключений, и молча блокирует все неизвестные приложения. Т. е., если не ошибаюсь, d+ также может отлично работать без gui.
Предлагаю добавить в FAQ, чем больше народу проверит, тем лучше 
Ведь в данный момент у нас результаты тестирования расходятся, а так можно собрать больше результатов и отзывов…
…Готово. Вот ссылка…
Идея действительно классная. Покопаюсь в своих настройках,может что и пропустил по невнимательности.
goodbrazer, :-TU
Стоко много буков… В выходные почитаю внимательнее… сейчас не смог напрячь мозги ;D
WIGF, возможно еще одно применение “тихого” режима: ссылка.
Учитывая, что багов именно GUI достаточно, способ может оказаться полезным для некоторых.
Так что, 5 баллов за идею :-TU
Если блокируется все, кроме явно прописанного в правилах для приложений, почему Вы переживаете что не будет работать? В крайнем случае сработает запрещающее в сетевом мониторе. Или нет?
barsukRed, в том то и дело, что к сожалению в двойке, например, при отсутствии правил в Мониторе приложений для Оперы и присутсвии правил для IE (а значит и разрешения подобных соединений в Сетевом мониторе) при выключении GUI через Оперу можно спокойно открывать всё, что угодно (всё, что разрешено в Сетевом мониторе… а может и вообще всё… не пробовал ограничивать по портам Сетевой монитор и выключать GUI).
И неизвестно какова будет судьба новых входящих соединений от кого-либо при выключенном GUI и даже при запрете этих соединений в Сетевом мониторе.
Попробовать эти вещи негде, т.к. комп у меня один, а на работе второго свободного в данный момент нет и не предвидется…
В общем, одни вопросы без ответов по двойке…
WIGF, еще одно применение метода по ссылке: вкратце суть проблемы в том, что чел не хочет чтобы всплывающие окошки показывались “гостям” и др. ограниченным пользователям, но не хочет использовать парольную защиту, т. к. желает, чтобы на его (администраторской записи) все было как обычно: окошки и т. д. Мой ответ.
Не перестаю удивляться, насколько крут способ :-TU
Провел несколько сканирований системы,защищенной 3.20.320. Использовал сканер иксспайдер и суперскан 4. В комодо отключил D+ и в фаерволе во вкладке GR прописал одно единственное правило: Block ICMP In from IP any to IP any where ICMP Message is ECHO REQUEST. При отключенном GUI фаер заблокировал сканирование по портам. И что самое интересное, в журнале отражены попытки скана! Я специально не логировал ВСЕ правила и не пойму откуда лог? Есть догадка что использовались правила+log из другого профиля. Это надо проверить. Тогда задумка разработчиков,если это специально сделано достойна аплодисментов! Получается,если пользователь имеет еще один профиль скажем№2,то находясь под профилем №1 и попав под атаку с переводом в демократичный режим(например,отключение логирования для некоторых прог) в лог попадет запись от атаки и о несанкционированом выходе в СЕТЬ. Но, могу ошибаться или что-то по невнимательности не так делать. Буду еще проверять. Пока-браво COMODO!
Интересное сообщение по теме от известного эксперта по защите ИТ по ником p2u здесь Вот выдержка:
Это будущее покажет... Конечно, сама защита от отсутствия этого ярлыка не зависит - для безопасности даже лучше, чтобы GUI не было совсем. Только возможные практические проблемы вижу в случае, если что-то начинается НЕ работать... Потом, когда ярлык отсутствует КОГДА ОН ДОЛЖЕН БЫТЬ, можно делать вывод о том, что есть проблема (защита погибла, допустим, драйвера слетели, или ещё что-то). А так вы знать не будете.Paul
Давно я не появлялся тут. А теперь аж целая тема возникла из случайной идеи по уменьшению нагрузки на слабый комп… :-TU
goodbrazer, почитал… Тяжело, однако, не зная толком аглицкого разбираться ;D
Я даже в переводчик засунул, но там такой бред мне выдали в качестве перевода, что я вернулся обратно на английский текст и кое-как его понял.
Добавлю к этому, что я то без Defense+ использую CFP 3 (т.е. только в качестве стенки). При этом службу фаера можно выгрузить без проблем, но если ничего нехорошего не пускать на комп, то и выгружать фаер будет некому.
В связи с этим вопрос: нельзя ли обойтись без дифанса, но при этом запретить выгрузку фаера ? И если нет, то не собираются ли разработчики как-то включить в будущем эту функцию ?
barsukRed, спасибо за идею об организации отдельного топика по данному вопросу !
Провел несколько сканирований системы,защищенной 3.20.320. Использовал сканер иксспайдер и суперскан 4. В комодо отключил D+ и в фаерволе во вкладке GR прописал одно единственное правило: Block ICMP In from IP any to IP any where ICMP Message is ECHO REQUEST. При отключенном GUI фаер заблокировал сканирование по портам.Я сам не очень в таких вещах понимаю, но получается, что эти 2 сканера только пингуют указанный им IP и всё, раз хватило одного единственного запрещающего правила по входящему пингу. А xSpider разве только пингует ? Я его когда-то давно запускал и игрался (со вторым COMODO)... и мне кажется, что в нём не только пингом всё ограничивается, но я могу ошибаться...
И что самое интересное, в журнале отражены попытки скана! Я специально не логировал ВСЕ правила и не пойму откуда лог? Есть догадка что использовались правила+log из другого профиля.Может так, а может быть это из разряда непредсказуемого поведения фаера: протоколируются только ICMP-срабатывания, а UDP и TCP - нет.
Да всё верно, если ставить проги и следить всегда самому, а если надо настроить для домохозяйки/ребёнка комп и разрешить выход в интернет только определённому кругу программ, тогда стоит отключить.
Я ведь не с проста дома убрал GUI. Убрал именно из-за того, чтобы мне вопросы не задавали, когда меня нет рядом с компом: ну заблочит он что-нить, ну прийду с работы и донастрою.
Было недавно следующее: немного изменились настройки у провайдера… точнее зачем то vpn-сервер решил меня попинговать, прежде чем разрешить подключиться к интернету через себя. А фаер всё заблочил. Пришёл я домой, добавил правило по пингу с vpn-сервера и всё заработало.
А то ведь пытливым умам только дай лазейки, они ведь так настроят всё на компе (понажимают на всё подряд и не запомнят на что нажимали), что потом будешь долго разбираться… ;D
нельзя ли обойтись без дифанса, но при этом запретить выгрузку фаера ?Только с помощью сторонней HIPS (или antispyware?), сам фаер никак не может себя защитить без d+.
не собираются ли разработчики как-то включить в будущем эту функцию ?Точно не знаю, но уверен, что нет.
что эти 2 сканера только пингуют указанный им IP и всё, раз хватило одного единственного запрещающего правила по входящему пингу. А xSpider разве только пингует ? Я его когда-то давно запускал и игрался (со вторым COMODO)... и мне кажется, что в нём не только пингом всё ограничивается, но я могу ошибаться...Сканеры много чего умеют,флуд и тп... У комода есть доп.настройки по атакам(Attack Detection Settings) может они срабатывают.
Да, точно. Об этом как-то не подумал. Скорее всего, действительно, блочится по анализу пакетов и по порогу пакетов за единицу времени.
интересует как добиться такого варианта в комодо фаерволе, как в аутпосте, и можно ли… очень не хватает такой фичи: создаешь правила, которые нужны, и выбираешь политику блокировать всё.
и он блокирует все кроме того что разрешено в правилах… комодо на сколько помню блочит всё, подскажите пожалуйста, поэтому приходится юзать аутпост, а очень хочется комодо (B)
просто всплывающие попытки чего-либо соединиться очень раздражают в самый неподходящий момент, да и юзеров смущают.
поиск пользовал, особо результата не принесло, буду рад любым попыткам помочь
Если стоит двойка, то надо в настройках COMODO снять галку с пункта “Показывать оповещения…” (забыл как точно звучит, самый верхний пункт).
Если стоит тройка, то есть 3 варианта:
- поставить период показа оповещений (“Keep an alert on screen for maximum”) в “Firewall Behavior Settings” и в “Defense+ Setings” в 1 - оповещения будут показываться только на одну секунду (ноль ставить нельзя);
- включить пароль в “Miscellaneous” - “Settings” - “Parental COntrol” и поставить там же галки в пунктах “Supress the … alerts …” - оповещений не будет;
- отключить GUI (графический интерфейс пользователя) “Miscellaneous” - “Settings” - “General”, сняв галку с пункта “Automatically start the application with Windows” - оповещений не будет, значка фаера в трее не будет, но фаер будет незаметно выполнять свою работу (при этом срабатывания блокировок в журнале запоминаться не будут).
У меня стоит последний вариант и уже давно. При необходимости загружаю GUI и создаю/корректирую правила.
WIGF большое спасибо за ответ :■■■■
остался вопрос, будет ли блочиться все то, на что комодо ответа от пользователя не получает, если использовать ваш третий пункт… по логике на сколько я понимаю ответ “да”?
Да, ответ “да”. У меня именно так стоит и всё блочится.
Например, запускаю новую программу, которая хочет обновится через интернет путём соединения с удалённым портом HTTP, (для неё, соответственно, ещё не было настроек) и с сетью она соединится не может. Поэтому запускаю GUI и прописываю необходимые правила.
Единственный недостаток (может быть для кого-то, но не для меня): при таком методе ничего не отображается в журнале блокировок пока GUI не загружен. Но оно и не нужно. Если видишь, что что-то не выходит в интернет, то сразу запускаешь GUI и возникают запросы или молча что-то режется и прописывается в журнале - и по этим запросам или возникшим записям в журнале блокировок можно подредактировать/добавить правила. И ничего лишнего фаер не делает (какая разница, что он там молча блочит, ведь главное, что блочит, а значит выполняет свою работу).