Установлен Comodo Firewal 5.3, выключена проактивка (необходим лишь фаервол). Правила работают, однако при изменении программы (обновление, перекомпилирование) она безпрепятственно получает доступ в сеть согласно созданым ранее правилам. Так и должно быть? Почему фаервол не уведомил меня о том, что программа была изменена и хочу ли я ее пустить в сеть?
Режим рааботы “пользовательская политика”.
Так за изменениями приложений фаервол и не должен следить. Приложению разрешено выходить в интернет, указаны какие-либо определённые протоколы, порты - он с ними и работает, т.е. если приложение было в доверенных до обновления/изменения, то таким же и останется.
Фаервол должен за этим следить, его для этого и ставят. Какой прок создавать правила если можно подменить “доверенный” файл и получить доступ в сеть?
Сейчас речь идет о моих программах, они не имеют цифровых подписей, и после перекомпилирования им ничего не мешает лезть в сеть.
Именно для этих целей и существует D+. Именно проактивная защита обеспечивает контроль над неизменностью приложений, получивших те или иные права.
По факту, CIS следует рассматривать не как набор из Антивируса, Проактивки, Фаера, а как логические “соединения”. Это или Антивирус, Или Фаер ПЛЮС Проактивка.
На крайний случай - отдельно Проактивка.
Фаер без Проактивки, как Вы верно заметили, имеет не так много степеней защиты.
Как показала практика, наличие установленной Проактивки в довесок к фаеру - не приносит больших затруденений в настройке/использовании, но очень сильно повышает надёжность системы.
К слову сказать, когда это всё ещё не было “комбайном” из антивиря. D+ и фаера, был отдельный продукт Фаер. Так вот его установка подразумевала установку D+, которую правда можно было и отключить.
Краткий итог - кто что и как за чем должен следить - исключительно сугубо личные мнения. COMODO переложила одну часть на фаер, другую на D+ by design, так сказать.
Я не устанавливал Комодо Интернет Секурити, я скачал Комодо Фаервол, соответственно этот продукт должен обеспечивать контроль за сетевой активностью и не пропускать файлы которые прикидываются “доверенными”. Так, как это делал Kaspersky Anti-hacker.
В качестве антивиря/проактивки у меня КИС с отрубленным сетевым экраном, не понятно что разработчики подразумевают под “проактивной защитой” в фаерволе и как они могут конфиликтовать.
PS “программист” даже в “транскрипции” пишется с двумя “м” 
В таком случае надо обращаться на форум касперского по поводу его проактивной защиты. Comodo Firewall вполне исполяет свои функции.
А две проактивных защиты естесственно ставить не стоит.
В каком таком случае? Причем тут касперский? От него остался только антивирь, в качестве фаервола выступает Комодо. И все было бы отлично, если бы Комодо не пропускал в сеть измененные файлы.
Firewall - должен следить за сетевой активностью. Точка. Его задача разрешать/запрещать/спрашивать в зависимости от настроек. Его не должны заботить проблемы контроля приложений.
Предлагаю другой вариант. Есть приложение. Оно подгружает dll-ки. Вот изменили dll-ку на “плохую”. Как должен реагировать FIREWALL на такое поведение? Исходя из Вашей логики он и этот момент должен отлавливать.
Все вопросы с заменой файлов должна отслеживать Проактивная Защита.
Все вопросы с сетевой активностью - Firewall.
Я вам просто по секрету скажу, что для того чтобы хранить хеш файла не нужен маркетинговый модуль “проактивная защита”.
Firewall - должен следить за сетевой активностью. Точка. Его задача разрешать/запрещать/спрашивать в зависимости от настроек.Фаервол должен следить за сетевой активностью [b]приложений[/b]. Вот тут точка. Его задача (в режиме настройки) спрашивать пользователя что делать с приложением, создавать для них правила, и следить чтобы они выполнялись. Никому не нужен фаервол не способный ограничивать приложения. Не так ли? Вам такой нужен?
Где Вы увидели, что этот фаер не следит за сетевой активностью приложений?
Он и настраивает правила для ПРИЛОЖЕНИЙ. Контроль изменения приложений - не его стезя.
Ещё раз спрашиваю про подмену dll для доверенного приложения. Не это ли задача Проактивки?
И ещё вопрос - я правильно понял, что Проактивная Защита это исключительно маркетинговый модуль?
p.s. Кстати, добро пожаловать на наш форум 
Т.е. раньше, когда небыло придумано понятия “проактивная защита”, практически все фаерволы умели определяеть что приложение изменилось, а теперь вдруг сделали фаервол в котором эту фичу отключили? При отключении этой штуки нельзя надеяться на надежность связки “приложение=правило”, потому что приложение может быть подменено. И в чем смысл тогда такого фаервола?
И ещё вопрос - я правильно понял, что Проактивная Защита это исключительно маркетинговый модуль?В некоторых продуктах - да. Просто они недавно осознали, что то что они делали раньше теперь обзывается новомодными словами, что браготворно влияет на фичелист в анонсах и рекламках.
Про dll - AI еще не придуман. Можно смотреть таблицу импорта для статических длл, можно смотреть динамику, и со всего этого снимать хеши, но в домашних фаерволах оно будет невостребовано.
Смысл фаервола - как уже неоднократно было сказано, в т.ч. и Вами - контроль за сетевой активностью.
То, что раньше делалось фаерами (и то далеко не всеми) было необходимо модернизировать. Если ранее фаер следил за сет.акт. + за изменением приложения, то теперь следить надо не только за изменением самого приложения.
Мой вопрос про dll Вы упорно игнорируете. Однако это один из ключиков к ответу. Ранее фаеры не отличались такой мудростью. Вернее многие. Например сайгейтовский и dll отлавливал. Вернее отлавливал влияние dll на приложение, но не подмену самой dll вроде. Однако модели поведения изменились. Защищать стало необходимым всё подряд. Для этого необходимую функциональность и выделили в отдельный “модуль”.
А ещё именно потому, что стало развиваться активно само направление проактивок. Далее пришло понимание, что наличие более 1 проактивки, равно как и более 1 антивируса может привести к непредсказуемым последствиям. В таком случае наличие неполноценной проактивки в одном приложении, исключало установку проактивки другой.
На данный момент, если внимательно приглядеться. Проактивка присутствует практически во всех “комбайнах”. Иногда её разделяют, как Вы правильно указали, на маркетинговые составляющие. Однако проактивка интегрирована с другими частями “комбайнов”.
Теперь отвечая на Ваш изначальный вопрос:
- “Так и должно быть?” - в указанной конфигурации - да.
- “Почему фаервол не уведомил меня о том, что программа была изменена и хочу ли я ее пустить в сеть?” - фаер не отслеживает изменение приложений.
Ещё раз задам свои вопросы:
- Должен ли фаер отслеживать изменение подключаемых библиотек?
- Должен ли фаер отслеживать изменение количества подключаемых библиотек?
- Откуда Вы взяли, что фаер обязан отслеживать изменение приложений? Вариант “мне так хочется” понятен и логичен. Но откуда Вы взяли что это ЕГО работа, а не других подсистем?
По поводу “маркетинга” - раз это делали, значит уже было востребовано. Просто теперь выделили в отдельную подсистему. Так что это всё же “маркетинг” в названии, но не в сути выполняемой работы.
А про AI не надо. Изменение dll - Проактивка. Доступ к новой dll - Проактивка. Появление новой dll - Проактивка. Это ЕЁ задачи.
Мои предложения:
- Оставить антивирус Касперского (если он Вам нравится - это Ваш выбор)
- Оставить фаер от Комодо
- Добавить D+ от Комодо для полного контроля за приложениями, равно как выходящих в Инет, так и для влияния друг на друга.
Изначально фаеры работали на уровне протоколов, портов, адресов и всё.
Потом осознали необходимость контроля не только по адресам и портам, но и по приложениям. Появились “персональные” фаеры. Эволюция сделала свой шаг. Потом появились проблемы изменения приложений. Фаеры эволюционировали ещё раз в то, что Вы, видимо, от них ожидаете. Но со временем появились более широкие проблемы контроля приложений. Фаеры сделали очередной шаг - отделили от себя инспекцию приложений на новый уровень. Происходит очередной эволюционный шаг. Сделайте его вместе =)
Я уже сделал это с касперским, спасибо, наелся.
Попытки сделать все-в-одном обычно приводят к полуфабрикату.
Именно поэтому КОМОДО предлагает полную вариацию что устанавливать. Но при этом, КОМОДО чётко реализует принцип “кто за что отвечает”. Вполне естественно, что совместное использование более интегрировано и более надёжно. Но, как Вы заметили, никто Вас не заставляет ставить ВСЁ-в-одном. Надо только точно представлять ЧТО Вы хотите (с этим, как я вижу, проблем абсолютно никаких) и КАК этого достичь =)
kukushka, более детально для Вас:
Фаервол, в Комодовском исполнении, в настоящее время состоит из трех составляющих:
-
Программный фаервол(сетевой фильтр) который ФИЛЬТРУЕТ ВХОДЯЩИЕ И ИСХОДЯЩИЕ СЕТЕВЫЕ СОЕДИНЕНИЯ, в зависимости от созданных правил для приложений выходящим в сеть.
-
Проактивная защита “D+” (как чистый HIPS), которая ОТСЛЕЖИВАЕТ КРИТИЧЕСКИЕ ИЗМЕНЕНИЯ защищённых системных файлов, реестра и приложений, согласно созданных ограничений и правил.
-
[b]Песочница/b проверяет НЕОПОЗНАННЫЕ файлы в виртуальной, изолированной среде на поведение.
Другими словами:
запустилось приложение, - фаервол смотрит можно ли ему выходить в сеть, если можно то куда и по какому порту…
проактивная защита смотрит какие изменения вносит запущенная программа в системе, можно ли этой программе делать такие изменения(обращаться к памяти, следить за монитором, клавиатурой, модифицировать системные файлы и т.д.) и соответсвуют ли эти изменения политике данной программы и операционной системы вцелом, -
песочница запускает приложение на исполнение в изолированнной от системы среде и смотрит за его поведением…
P.S. Отдельным списком можно включить ещё “облачный анализ”, но это скорее “довесок” к основным функциям фаервола. Надеюсь теперь Вам понятна разница?
Вот я и хотел бы от Комодо оставить только Фаервол с базовыми возможностями (как-то хеши от файлов хранить, благо не напряжно), а проактивку (доступ к важным системным ресурсам) я оставил бы тому продукту что лучше в этом разбирается.
К сожалению - не сложится. Будем посмотреть Аутпост.
Слушайте, а мне уже интересно, а эта фича вообще работает?
Перегрузился в чистую Вин7, стоит Комодо Фаервол 5.0, включен фаервол и проактивка. Написал простейшую программу, через сокеты дергает страницу яндекса. При первом запуске появился запрос от Комодо - разрешил доступ в сеть. Немного сменил код, перекомпилил, запустил и без вопросов получил доступ в интернет.
Можете кто нибудь показать скриншот ситуации когда Комодо ругается что файл для которого есть правила был изменен?
Ну вот тут мы подошли к теме для очередного холивара =)
Если посмотреть форум внимательно, то можно увидеть следующую тенденцию:
- Как фаер - Комодо устраивает практически всех.
- Как проактивка - Комодо устраивает практически всех
- Как следствие - совместно они работают “на ура”.
- Отдельные споры по удобству/надёжности “песочницы”, но это уже детали
- Отдельные споры по Антивирусу. Тут пока большинство не очень доверяет Комодо, хотя “болеет” за него.
Как видно, даже приверженцы, да что уж там, даже фанаты Комодо не отрицают и тот факт, что с Антивирусом не так уж всё гладко. Поэтому по форуму разбросаны многочисленные истории из жизни с чем именно и как Комодо дружит, если антивирус не его.
Однако ни к фаеру, ни к проактивке претензий не было практически никогда.
Часть людей сидело на фаер+проактивка даже без антивиря и выжили =)
Поэтому, на всякий случай, повторю свои мысли:
- Фаер от Комодо + Проактивка от Комодо
- Антивирус любой, которому больше доверяете, но проверьте на совместимость с Комодо по форуму.
Если будут ещё вопросы - обращайтесь. Наша задача не “захапать неопытные души в свои сети”, а помогать уж чем можем =)
Иногда для этого приходится людям расширять горизонты своего восприятия моделей Программного Обеспечения + Коммерциализации их =)
При создании нового екзешника Проактивка ругалась?
Какие правила в проактивке для линковщика?
Какие настройки проактивки? (режим)
Какие настройки фаера? (режим, но менее важно)
Где запустилась пересобранная программа - в песочнице или нет?
з.ы. из личного опыта работы с MSVS.
При пересборке проекта на каждую dll и exe ругается D+.
При этом что режим стоял “Чистый ПК”.