Comodo Firewall Pro

[tanganika]

Целта на защитната стена е да филтрира двупосочно трафика и при необходимост да блокира входящи и изходящи връзки и пакети,но така и не разбрах каква е била причината да бъде блокиран на снимките дадени по-горе?!?

Предполагам правиш разликата от филтриране до блокиране,а какво филтрира и блокира също е един важен критерий за качество на защитна стена!

Лека!

Защото това което не съответства на зададеното и правило се блокира.

Например Svchost.exe може да ползва само указаните му портове и IP адреси

 

http://i46.tinypic.com/qrxd04.png

 

всичко друго е забранено т.е. всеки опит за ползване на друг порт или комуникация с друг адрес различен от указаните стената ги блокира.

[mihnev_sz]

Например Svchost.exe може да ползва само указаните му портове и IP адреси

всичко друго е забранено т.е. всеки опит за ползване на друг порт или комуникация с друг адрес различен от указаните стената ги блокира.

Каква е целта и с какво повишаваш сигурността в случая,като го ограничаваш допълнително?

Тези адреси които се задават са за приложенията,които в никакъв случай не можем да ги сметнем за постоянни и подлежат на промяна,в случая как ще разбереш че има такава?

Айде за портовете съм съгласен,но за IP адресите в Svchost.exe в никакъв случай.

Ще разбереш,да,като вземе някой ден да ти изписва грешка някоя програма или ще вземе да не работи пълнофункционално,както почти всички са изцяло зависими с даден адрес.

Ето например с автоматичната регистрацията на Avast!5. Автоматично става чрез връзка с IP адрес 74.86.245.12. чрез Svchost.exe .Мисля,че и обновяването минава от там.Ако този адрес се промени(ако си го задал вече веднъж) и не му е дадено разрешение за нов, както е в случая,Avast!5 увисва!

Та мисълта ми е,че в Svchost.exe програмите автоматично са си намерили вече указаните адреси от които имат нужда!

Да се променя и ограничава не е за предпочитане за мен ,Svchost.exe не е заплаха за сигурността според моите виждания!

[nikikom]

Здравей mihnev

 

Почвам да тегля с торент клиента един филм.

 

В COMODO се вижда остановените връзки и порта 46297 който ползва клиента ми.

 

http://store.picbg.net/pubpic/40/FD/49053c18de3740fd.JPG

 

 

Като погледна през това време в дневника на COMODO, порт 46297 не се блокира.

 

http://store.picbg.net/pubpic/0E/3F/82df2080ef6f0e3f.JPG

 

 

Свършва свалянето и оставям да сиидвам, след което спирам торент клиента.

Поглеждам отново в дневника на COMODO и опита за свързване към порт 46297 е блокиран. Хората който сваляха от мен продължават да се опитват да се свързват, но COMODO вече блокира портта.

 

http://store.picbg.net/pubpic/B9/4C/51ac1dce9bbcb94c.JPG

 

 

Тегла, сиидвам и спирам.

За какво принудително ограничаване на вразките и лошо качество на комуникация и трансфер става на въпрос?

 

Каква е причината да бъде блокиран? Ограничавате допълнително и принудително връзките при P2P и IM в дадена мрежа,било то публична,домашна,локална и пр.? А това влияе лошо в качеството на комуникация и трансфер на данни с подобни програми !?!

[mihnev_sz]

Привет,Ники!

Естествено,има зададено правило торент клиента,програмата се затваря и порта също тя вече не го ползва,нямах това точно на в предвид за ограничаване на трафика.

Порта е затворен,понеже не се ползва от друга програма освен от торент клиента,нали така е зададено? Ако този порт бъде отворен от друга програма,съм съгласен да блокира и да те предупреди понеже няма зададено правило за нея или греша?

Кажи ми тогава,какъв е смисъла да се блокират връзки към вече затворен порт? Какво защитава в случая ?

Мерси.

[B-boy/StyLe/]

А, аз да попитам, някой получавал ли е известие от Comodo, че непознат компютър желае да осъществи контакт с вас и какво да го правите (в категорията system).

Каза ми, че ако не ми е познат този компютър да го блокирам (аз така и направих). Но по IP-тата изглежда, че ще е някоя машина от същия интернет доставчик.

Наскоро получих второ такова предупреждения и блокирах още една машина.

Компа ми е на LAN (PPPoE) и нямам домашна мрежа или безчижна връзка (нито шернати ресурси). Оттогава взеха да валят масови блокирания в тази секция, без това да се отрази на скоростта на връзката или да имам проблеми с достъп на приложения до нета ? Определено не са и портове на торент клиетна. Да не би да е нещо сървъра на доставчика ми или...

 

ПС: Забранил съм и NetBIOS_over_TCP/IP !!!

ПС2: Нямам и шернати принтери:

http://i47.tinypic.com/ae7gk5.jpg

ПС3: Спрях и порт 445 за всеки случай...дано това да става и за Win 7 => http://forums.softvisia.com/index.php?showtopic=932

[tanganika]

Каква е целта и с какво повишаваш сигурността в случая,като го ограничаваш допълнително?

Тези адреси които се задават са за приложенията,които в никакъв случай не можем да ги сметнем за постоянни и подлежат на промяна,в случая как ще разбереш че има такава?

Айде за портовете съм съгласен,но за IP адресите в Svchost.exe в никакъв случай.

Ще разбереш,да,като вземе някой ден да ти изписва грешка някоя програма или ще вземе да не работи пълнофункционално,както почти всички са изцяло зависими с даден адрес.

Ето например с автоматичната регистрацията на Avast!5. Автоматично става чрез връзка с IP адрес 74.86.245.12. чрез Svchost.exe .Мисля,че и обновяването минава от там.Ако този адрес се промени(ако си го задал вече веднъж) и не му е дадено разрешение за нов, както е в случая,Avast!5 увисва!

Та мисълта ми е,че в Svchost.exe програмите автоматично са си намерили вече указаните адреси от които имат нужда!

Да се променя и ограничава не е за предпочитане за мен ,Svchost.exe не е заплаха за сигурността според моите виждания!

 

Всяко приложение трябва да бъде ограничено максимално особено Svchost.exe,защото може да обслужва както доверени приложения така и зловреден код.Неслучайно преди няколко месеца Night_Raven направи забележка на потребител който му беше създал правило „Доверено”.

Едва ли често ще ми се променят DNS сървърите.

До момента нито една програма не се е оплакала от правилата на Svchost.exe и едва ли ще се случи.

 

B-boy/StyLe/,при мен това се случва само когато някой трябва да се свърже с моя компютър чрез TeamViewer.

[B-boy/StyLe/]

B-boy/StyLe/,при мен това се случва само когато някой трябва да се свърже с моя компютър чрез TeamViewer.

 

Значи блок му е цаката...щом ще е нещо непознато, но защо в твоите снимки не виждам информация за подобни блокирания...би трябвало ако правилата в Network Security Policy си стоят постоянно постоянно да записва информацията в лог файла. Освен ако не го зачистваш честичко, но пък кой ще се опитва да се свързва с мен с TeamViewer, по "амнадесет" пъти на ден...нещо не ми се връзва. Други мнения ?

[nikikom]

Кажи ми тогава,какъв е смисъла да се блокират връзки към вече затворен порт? Какво защитава в случая ?

Мерси.

Здравей mihnev

Какво става ако към затворен порт се пращат TCP пакети с установен флаг SYN за остановяване на сесия?

Ами понеже порта е затворен, машината ще връща TCP пакети с установен флаг RST.

Това е пакет за внезапно прекратяване на връзката.

Именно по тоя начин портовите скенери разбират че порта е затворен, но машината работи и можеби не се защитава от стена.

 

Свалям, сиидвам и спирам.

Снимка на която съм без стена.

 

http://store.picbg.net/pubpic/D6/09/3f41ba6e38c5d609.JPG

 

Както се вижда на всеки пакет за остановяване на сесия, аз отговарям с TCP/RST

 

Малко по-долу се вижда пакет към мен, пак към същия порт на торент клиента, но UDP

Виждаш и отговора.

 

Освен легитимните връзки които имам с forums.softvisia.com и друг форум, към мен идват пакети които не ме интересуват, и те не са малко. Защо да им отговарям?

[mihnev_sz]

Именно по тоя начин портовите скенери разбират че порта е затворен, но машината работи и можеби не се защитава от стена.

Освен легитимните връзки които имам с forums.softvisia.com и друг форум, към мен идват пакети които не ме интересуват, и те не са малко. Защо да им отговарям?

Точно това ме интересуваше!

Благодаря @nikikom за така изчерпателния и нагледен отговор.

 

P.s.Така и не разбрах Comodo защитава ли безжични WI-FI мрежи?

Единствено само за Panda Global е писано, че защитава подобни мрежи.

[nikikom]

А, аз да попитам, някой получавал ли е известие от Comodo, че непознат компютър желае да осъществи контакт с вас и какво да го правите (в категорията system).

Каза ми, че ако не ми е познат този компютър да го блокирам (аз така и направих). Но по IP-тата изглежда, че ще е някоя машина от същия интернет доставчик.

Наскоро получих второ такова предупреждения и блокирах още една машина.

Компа ми е на LAN (PPPoE) и нямам домашна мрежа или безчижна връзка (нито шернати ресурси). Оттогава взеха да валят масови блокирания в тази секция, без това да се отрази на скоростта на връзката или да имам проблеми с достъп на приложения до нета ? Определено не са и портове на торент клиетна. Да не би да е нещо сървъра на доставчика ми или...

 

ПС: Забранил съм и NetBIOS_over_TCP/IP !!!

ПС2: Нямам и шернати принтери:

http://i47.tinypic.com/ae7gk5.jpg

ПС3: Спрях и порт 445 за всеки случай...дано това да става и за Win 7 => http://forums.softvisia.com/index.php?showtopic=932

Преди време писах в един друг форум, за подобно нещо.

 

nikikom

Здравейте! Пиша ви понеже забелязах, едно IP 77.76.148.81 през определен период от време, вече втори ден, се опитва да се свърже с мен на порт 139. Портове 137,138, 139 и 445 са ми затворени и заради това не знам как да тълкувам ситоацията

 

 

Отговори

 

Продължавай да държиш въпросните портове затворени и не се шашкай. Може също да е полезно (но не задължително) да изключиш шеринга на файлове и принтери, да се увериш че нямаш потребители без пароли на компютъра и да забраниш Guest акаунта, а ако си много параноичен, можеш дори да забраниш Server услугата на компютъра си, стига да не ти трябва за нещо.

 

Отговор

 

Това е "нормален" "шум" по мрежата, къде от дребни троянци, пробващи насам натам, къде някой просто отваря Network в твоя сегмент и т.н.

Докато са ти затворени с файруол, няма какво да се притесняваш.

[amat]

А, аз да попитам, някой получавал ли е известие от Comodo, че непознат компютър желае да осъществи контакт с вас и какво да го правите (в категорията system).

Каза ми, че ако не ми е познат този компютър да го блокирам (аз така и направих). Но по IP-тата изглежда, че ще е някоя машина от същия интернет доставчик.

Наскоро получих второ такова предупреждения и блокирах още една машина.

Компа ми е на LAN (PPPoE) и нямам домашна мрежа или безчижна връзка (нито шернати ресурси). Оттогава взеха да валят масови блокирания в тази секция, без това да се отрази на скоростта на връзката или да имам проблеми с достъп на приложения до нета ? Определено не са и портове на торент клиетна. Да не би да е нещо сървъра на доставчика ми или...

 

 

Тези логове са съвсем нормални , ако желаеш ще копирам моите , те ще са подобни (основно порт 445 и по-рядко 139).

С едно тулче ,което ползвах от твоя препоръка (Safe XP),те изчезват ,сигурно изтрива параметри в регистрите .Други две неща са ми по-интересни:Comodo (до v.4-м.02.2010) не подържа защита по IPv6 и се препоръчва или забрана или ръчно конфигуриране , а второто е (малкия шот), че разрешаващото правило винаги е над блокиращото .Лесно може да се отървеш от тези логове като премахнеш опцията за System "log".

[B-boy/StyLe/]

Тези логове са съвсем нормални , ако желаеш ще копирам моите , те ще са подобни (основно порт 445 и по-рядко 139).

С едно тулче ,което ползвах от твоя препоръка (Safe XP),те изчезват ,сигурно изтрива параметри в регистрите .Други две неща са ми по-интересни:Comodo (до v.4-м.02.2010) не подържа защита по IPv6 и се препоръчва или забрана или ръчно конфигуриране , а второто е (малкия шот), че разрешаващото правило винаги е над блокиращото .Лесно може да се отървеш от тези логове като премахнеш опцията за System "log".

 

SafeXP не става за Windows 7.

Както казах съм забранил вече и порт 445 от регистрите.

Ясно, че IPv6 не се поддържа. Има отметка в мрежовата карта, но е спряна от самия ми интернет доставчик - пише - No Netwotk Access.

http://i49.tinypic.com/id85f4.jpg

А иначе за логовете знам как да ги изтрия. Въпроса ми бе, защо тези машини от мрежата се опитваха да се свържат с мен...

Както и да е...ще продължавам да ги държа блокирани...засега.

 

EDIT: Благодаря за отговора и на nikikom !

[tanganika]

Тези логове са съвсем нормални , ако желаеш ще копирам моите , те ще са подобни (основно порт 445 и по-рядко 139).

С едно тулче ,което ползвах от твоя препоръка (Safe XP),те изчезват ,сигурно изтрива параметри в регистрите .Други две неща са ми по-интересни:Comodo (до v.4-м.02.2010) не подържа защита по IPv6 и се препоръчва или забрана или ръчно конфигуриране , а второто е (малкия шот), че разрешаващото правило винаги е над блокиращото .Лесно може да се отървеш от тези логове като премахнеш опцията за System "log".

Какво представлява тази защита по IPv6 ?

 

Стената спазва зададените правила в този ред,първо проверява какво е разрешено и ако първо е блокиращото правило стената ще се съобрази с него защото е първо,а въпросната програма няма да може да функционира правилно или въобще няма да има достъп до интернет,зависи какво е блокиращото правило и къде се намира/на кое място е.

 

Пример:

 

http://i48.tinypic.com/29qkrq8.png

http://i50.tinypic.com/2mxmiye.png

 

 

http://i49.tinypic.com/jt1nqf.png

http://i45.tinypic.com/xdguog.png

[amat]

Какво представлява тази защита по IPv6 ?

...............................................

Уважително,заради сътворените "С огън и меч" от теб теми за Firewall,които можеха да бъдат и още по добри , ако имаше повече прагматичност (знаещи във форума има не малко),ти давам два линка за това какво е IPv6 и как работи , а също и какво следва , ако стената не го поддържа .

 

http://www.winblog.ru/net/1147766009-19120801.html

 

http://forums.comodo.com/empty-t38465.0.html

[tanganika]

Уважително,заради сътворените "С огън и меч" от теб теми за Firewall,които можеха да бъдат и още по добри , ако имаше повече прагматичност (знаещи във форума има не малко),ти давам два линка за това какво е IPv6 и как работи , а също и какво следва , ако стената не го поддържа .

 

http://www.winblog.ru/net/1147766009-19120801.html

 

http://forums.comodo.com/empty-t38465.0.html

Доколкото разбрах от поста на модератора Quill решението на този недостатък е да се добавят и тези три правила:

 

http://i45.tinypic.com/28qw7eo.png