id: Гость   вход   регистрация
текущее время 16:54 28/03/2024
Владелец: Eridan (создано 04/11/2012 11:57), редакция от 24/11/2013 11:46 (автор: Гость) Печать
Категории: софт
создать
просмотр
редакции
ссылки

COMODO Firewall


Оглавление документа:

Установка



Примечание. В различных версиях разный интерфейс, но принцип и назначение пунктов меню схожи. (Например, в версии 6.1 для входа в меню с настройками нужно нажать на кнопку с зеленой стрелкой в верхней правой части экрана.)



Устанавливать только компонент "Firewall". Запустить установку, нажать кнопку "Опции" (возможно другое название) и убрать все галочки кроме "Firewall". Убрать галочки перед предложениями "участвовать в программе по улучшению", "установить браузер COMODO Dragon" и подобных.


При установки только фаервола и отключении проактивной защиты файлы всеравно проверяются в "облаке" (через интернет):
Зайдите во вкладку "Проактивная защита" > "Настройка проактивной защиты" > "Настройка контроля исполнения приложений", отключите её и снимите галочку "Анализировать в облаке поведение неопознанных файлов".


COMODO использует сообщения для рекламы. Для отключения зайдите во вкладку "Разное" > "Настройки" и снимите галочку с "Центр сообщений COMODO" и "Показывать всплывающие сообщения".

Настройка Firewall


Если коротко: запрещаем выход в сеть всем программам кроме разрешённых лично.


  1. Клик правой кнопкой мыши по значку в трее > "Фаервол" > "Пользовательская политика" (так будут действовать только правила установленные пользователем). Заходим в меню – двойной клик левой кнопкой мыши по значку в трее.
  2. "Фаервол" > "Настройки" > ставим галочку и выбираем пункт "Не показывать всплывающих оповещений" (блокировать все).
  3. "Фаервол" > "Пользовательские политики" > кнопка "Добавить" (создаёт правило для программы или групп программ):
    1. Создать правило "Все приложения" (пункт в меню "Группы файлов"), поставить ему политику "Заблокированное приложение" и перетащить в самый низ (левой кнопкой мыши зажать и тащить).
    2. Запретить всем приложением выход в интернет (поставить ему политику "Запрещенное приложение" в свойствах стемы). Запретить включая программы "Системные", "COMODO", "Обновление Windows" etc.
    3. Отключить DNS службу (может чуть по другому называться) в меню "Пуск" > "Панель управления" > "Администрирование" > "Службы", иначе в интернет не выйдут программы пользующиеся этой службой (большинство программ).
  4. Добавить нужное вам приложение, поставить политику "Доверенное приложение" и перетащить выше всех запрещенных. От порядка в списке зависит приоритет. Антивирусу, например, можно разрешать доступ в сеть только на время обновления.

Обратите внимание на пункт "Глобальные правила" — глобальные правила для протоколов.


Пункт в "Политика сетевой безопасности" под названием "Сетевые зоны" – диапазон IP. Если добавить туда "Зону", то потом её можно выбрать в настройках политики для какой-нибудь программы. То же относится к "Набор портов".


Также после установки рекомендуется отключить "Рейтинг программ", так как идет постоянная проверка файлов и отсылка информацию о них.

Настройка для TorBrowser


В дополнение к шагам выше добавить правила и поставить политику "Доверенное приложение" для файлов из папки "App" (в распакованном TorBrowser): tor.exe, obfsproxy.exe, vidalia.exe.


Добавить правило для файла из папки FirefoxPortable\App\Firefox\tbb-firefox.exe:
Действие: "Разрешить"
Адрес назначения: 127.0.0.1
Порт назначения: 9150 (номер может быть другим в разных версиях TorBrowser)


Версия Tor с obfsproxy сейчас на стадии тестирования, поэтому может меняться состав файлов требующих доступ к сети и выход в интернет может понадобится не только процессу obfsproxy.exe

Возможные проблемы


1. Некоторые программы используют локальный адрес (127.0.0.1 — адрес внутри самого компьютера, без выхода в сеть) и порт для связи между другими программами или своими собственными частями. Поэтому такая настройка может сделать их нерабочими. Чтобы они заработали нужно:

  1. Посмотреть в "Журнал событий Фаервола" какие соединения переставшей работать программы были запрещены.
  2. Создать правило для этой программы, где добавить в "Адрес назначения" сетевую зону "Loopback" (адреса самого компьютера, 127.0.0.1).
  3. Посмотреть номер порта (или нескольких) запрещенного соединения и добавить его (их) в "Порт назначения".

Простой, но возможно чуть менее безопасный, способ решения этой проблемы:

  1. Настраиваем COMODO Firewall по инструкции.
  2. За исключением пункта 3.1. Не ставим политику "Заблокированное приложение", а ставим галочку "Применять пользовательскую политику" и нажимаем кнопку "Добавить". Добавляем два правила (остальные настройки по умолчанию):
    1) Ставим действие: "Блокировать". Это правило блокирует все соединения аналогично политике "Заблокированное приложение".
    2) Добавляем еще одно правило, во вкладке "Адрес назначение", тип: "Сетевая зона", зона "loopback" (локальные адреса, только внутри компьютера). И перетаскиваем его вверх. Получится, что приоритет этого правила выше и будут блокированы все соединение кроме локальных.

2. Установленные совместно с COMODO Firewall антивирусы могут пытаться сами контролировать соединения с интернетом и мешать работе COMODO Firewall. В этом случае нужно в настройках антивирусов отключить контроль соединения с интернетом (опции с названиями: "Защита почты", "Защита протоколов передачи данных", "Защита сети" и подобных).


В некоторых антивирусах не предусмотрено отключения или полного отключения контроля интернет соединений. То есть даже если вы отключите эти опции антивирус все равно будет продолжать контроль и мешать работе COMODO Firewall.
Также антивирусы могут использовать механизм работы мешающий работе COMODO Firewall и использовать их вместе с COMODO Firewall невозможно. (обычно это непопулярные и/или неразвитые антивирусы)


3. По каким-то причинам некоторые версии могут тормозить, работать не правильно или совсем не работать.
Старые версии можно найти на http://www.filehippo.com/download_comodo (Если основная ссылка ведет не туда, то жмите кнопку "FileHippo Mirror").
А дополнительную информацию на форуме forum.ru-board.com


4. Не подключается к vpn. Из комментария на форуме следует,что нужно разрешить (создать правило) для процесса svchost (файл, пример пути, C:\Windows\System32\svchost.exe), где разрешить ему соединения типа UDP.


5. Если не подключается, часто с помощью внешних устройств (например через телефон), то нужно Создать правило для "Системные приложения" (смотреть в пункте "Группы файлов"). Где создать правило (кнопкой "Добавить"), где:

1) Протокол: "IP"
2) Направление: "Исходящие"
3) Действие: "Разрешить"

Автору этого пункта не известно, насколько это безопасно и как задать более жесткие правила.

Настройка проактивной защиты


Проактивную защиту можно отключить, на работу фаервола это не повлияет. А можно включить и настроить. Проактивная защита позволяет контролировать обращение программ друг к другу и к устройствам компьютера.

Настройка песочницы (Sandbox)


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (09/11/2012 01:57)   <#>
Eridan, уже давно хотел вам замечание сделать по поводу ваших вики-документов.

У вас совершенно хрестоматийные ошибки в вёрстке: изобилие шрифтов, выделений, цвета. Получается яркая ёлка, которую воспринимать трудно. Выделения адекватны, только когда их мало на фоне основного текста. И ни в коем случае не надо менять размер шрифта в рамках одного и того же абзаца: мелкий шрифт может идти только с новой строки. Лучше использовать нецветовые выделения, цвет — только в особых случаях. Вот ещё один пример вырвиглазной вёрстки, чтоб вам было понятнее, о чём идёт речь. Ссылки лучше постить не кишками, заставляя движок их обрезать, а указывая слово в качестве ссылки: ((http://линк имя)). Стрелку можно рисовать стрелкой, т.е. как &rarr; (→), а не делать вместо неё суррогат "->". Аналогично с кавычками: &laquo; и &raquo; (« и ») вместо суррогатов «"».
— SATtva (09/11/2012 10:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Поддержу Гостя. Те же замечания относятся к нумерованным спискам и отсутствию общей консистентности в подаче материала: например, в одних местах Вы при описании перемещения по пунктам меню берёте их в кавычки, в других — нет, вместо того, чтобы один раз определиться и дальше использовать общий стиль единообразно.

Я кое-что поправил. Старайтесь следовать нормам стиля, используемым на остальных страницах сайта.
— Eridan (09/11/2012 10:46)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Ну по ссылки действительно вырвиглаз, а у меня нет. =) Я специально делаю такую верстку, читал исследование что при таком разнообразии мозг лучше воспринимает и запоминает материал. И на меня это действует.
— Гость (09/11/2012 17:59)   <#>
Есть книжки для детей, где всё цветасто и размашисто, но это скорее имеет смысл «показать игрушку книжку ребёнку, чтобы он ею заинтересовался». Любая толстая книга для взрослых набрана одним шрифтом и, как правило, без цвета. Считается, что это меньше отвлекает от сути и меньше мозолит глаза (а если взрослому скучно, он её читать вообще не будет, ребёнка же заставляют).
— Eridan (09/11/2012 20:20)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Все взрослые в душе дети.
— Гость (03/12/2012 12:00)   <#>
Отключить DNS
можно спросить почему?
— Гость (03/12/2012 22:38)   <#>

Сетевое косноязычие. Руки вперёд головы набирают. Вместо
иначе в интернет не выйдут программы пользующиеся этой службой (большинство программ).
должно быть
чтобы в интернет не вышли программы, пользующиеся этой службой (большинство таких программ).
Одним словом, "заглушка на всякий пожарный случай" безо всякой гарантии. От глупых программ она поможет, от умных — нет.
— Eridan (05/12/2012 12:56)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Это не заглушка, а кэш dns. Она запоминает уже полученные соответствия dns – ip, чтобы реже делать такие запросы. Но в современных браузерах dns-кэш встроенный, а использование системного требует разрешить системе выход в интернет. Отключение, чтобы проще настроить.

Я сейчас пытаюсь рассуждать о DNS. Если dns пришли с одного узла tor и закэшированны, а потом узел поменялся и dns поменялись если записи на новом и старом узлах не совпадают, то это возможно использовать для обнаружения?


Про косноязычие. Русский язык позволяет многое и для моего уха это предложение не чужеродно.
— Гость (06/12/2012 00:38)   <#>

Дело не в чужеродности, а в логичности. Когда пишешь поток сознания на бумагу в интернет, если не прилагать специальных усилий, масса слов сглатывается, логические цепочки между разными частями мысли оказываются незаписанными, и всё становится настолько контекстно-зависимо, что потом сам же пишуший, перечитав свой текст время спустя, не может понять, что же он в точности имел тогда в виду.

Вот вы же сами выше пишете:
Это не заглушка, а кэш dns. Она запоминает уже полученные соответствия dns – ip, чтобы реже делать такие запросы. Но в современных браузерах dns-кэш встроенный, а использование (кем? программой? системой?) системного (кэша? ну это ещё по контексту ясно) требует разрешить системе выход в интернет (тут мне уже непонятно, какая связь между выходом системы в интернет и dns-кэшем конкретных программ типа браузера). Отключение, чтобы проще настроить (чтобы проше настроить ЧТО? подключение в интернет? проще настроить анонимность? Предложение повисло в воздухе).
И не думайте, что это я один тут такой. Другие понимают не больше, но просто молчат, если высказанная мысль им не сильно интересна. И, поверьте, никому не хочется сидеть и по пол часа обдумывать, что же хотел сказать автор. Высказался нечётко, неясно — значит, слова не дошли до публики, они были написаны впустую. Впрочем, следует отдать должное, эта претензия относится в основном к другим товарищам, а ваши тексты в среднем более-менее понятны (но у них другая проблема).


Разве в TBB есть кэш DNS? Я когда за обычными браузерами (не TBB) наблюдал при отладке сети, у меня в сознании отложилось, что никакого кэширования по умолчанию нет: браузер каждый раз заново отправляет запрос. Но, возможно, я плохо тестил или неверно понял, тем более, что на запросах к DNS-серверу я не сосредотачивался. ☠
— Eridan (06/12/2012 11:07)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Кэш есть, но я не знаю точно как он используется. Например, большинство дополнений для Firefox которые показывают ip пользуются не dns-сервером по умолчанию, а отправляют запрос на сторонние сервера.

Я встречал пример кода: когда firefox посылает dns-запрос он на некоторое время кэширует связку ip – DNS, код из примера брал ip из этого кэша и показывал. Но на сайте дополнений мозилы я такого дополнения не нашел, хотя его можно сделать.

Еще один плюс отключения такой службы можно увидеть набрав в командной строке Windows


Если служба была включена можно просмотреть список сайтов. Не знаю, можно такое в Linux сделать?
— Гость (07/12/2012 00:06)   <#>

Если исходить из написанного тут, то
  1. there is no DNS cache maintained on the client in Linux (resolver) unless the system is using local caching only dns service on the client
  2. Чтобы работал кэш DNS, надо ставить nscd. Например, у меня он не стоит. Он хоть в одном дистрибутиве стоит и включен по умолчанию?
— Гость (07/12/2012 00:22)   <#>

По ссылкам (1, 2, 3) написано предельно мутно*, но, скорей всего, в Ubuntu никакого DNS-кэша по умолчанию нет. Могу ошибаться, так что пусть кто более опытный прокомментирует.

*Чтобы сбросить DNS-кэш, якобы надо 1) установить nscd 2) рестартнуть nscd. Я так и не понял, до установки nscd какой-то кэш вообще был или нет?
— Гость (09/05/2013 14:33)   <#>
какие то новости про dns есть?
— Гость (09/05/2013 14:59)   <#>
во а как завернуть DNS в VPN или Тор?
— Гость (09/05/2013 15:24)   <#>
Гость (09/05/2013 14:59)
во а как завернуть DNS в VPN или Тор?

https://www.pgpru.com/chernowi.....ostjsetjtor#h36916-2
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3