Comodo Internet Security Настройки
Предлагаю делиться тут настройками по Comodo на все случаи жизни, задавать вопросы, обсуждать этот firewall.
В общем была ситуация: имеется локалка wi-fi, доступ и раздача интернета с компа.
На целевой комп посыпались запросы(входящие) из Интернета по портам 445, 135, 137, 139 к службам System и svchost, Windows Operation System. За пару часов больше 200. Comodo исправно выдавал сообщение, спрашивал чего делать. Эта активность наблюдалась при включенном utorrent -е. Ручками запаришься кликать, надо было чего-то делать.
Решил проблему так: создал "набор портов" 445, 135, 137, 139 в "политике сетевой безопасности" в "глобальных правилах" запретил входящие и исходящие TCP и UPD для этих портов. Правило поместил ниже разрешений для своей локальной сети.
Все стало тихо и спокойно, докучи троянов на компе антивиром прибил.
На целевой комп посыпались запросы(входящие) из Интернета по портам 445, 135, 137, 139 к службам System и svchost, Windows Operation System. За пару часов больше 200. Comodo исправно выдавал сообщение, спрашивал чего делать. Эта активность наблюдалась при включенном utorrent -е. Ручками запаришься кликать, надо было чего-то делать.
Решил проблему так: создал "набор портов" 445, 135, 137, 139 в "политике сетевой безопасности" в "глобальных правилах" запретил входящие и исходящие TCP и UPD для этих портов. Правило поместил ниже разрешений для своей локальной сети.
Все стало тихо и спокойно, докучи троянов на компе антивиром прибил.
Настройка uTorrenta и Comodo под него. Я делал так:
В uTorrent:
Настройки, Конфигурация, Соединение -> сгенирировал порт, четыре чекбокса - везде снял галки. Bittorrent -> включить scrape запросы снял галку, поиск локальных пиров - снял галку, добавил где-то шифрование еще.
В Comodo:
uTorrent добавил в доверенные.
Снял галку с "Блокировать фрагментированные IP датаграммы" в "Настройках файрвола" "Расширенные".
Разрешил Входящие TCP или UPD Любой, Любой на сгенерированный в uTorrent порт в "Глобальных правилах".
Раздается нормально. Может у кого другие настройки.
В uTorrent:
Настройки, Конфигурация, Соединение -> сгенирировал порт, четыре чекбокса - везде снял галки. Bittorrent -> включить scrape запросы снял галку, поиск локальных пиров - снял галку, добавил где-то шифрование еще.
В Comodo:
uTorrent добавил в доверенные.
Снял галку с "Блокировать фрагментированные IP датаграммы" в "Настройках файрвола" "Расширенные".
Разрешил Входящие TCP или UPD Любой, Любой на сгенерированный в uTorrent порт в "Глобальных правилах".
Раздается нормально. Может у кого другие настройки.
Comodo SandBox:
В общем т.к. часто можно поймать в инете баннеры всякие смс-вымогательные, то при серфинге браузер надо как-то защищать. Моя Avira бесплатная не справляется, например.
Для этого применяю Песочницу от Comodo, запуская браузер исключительно через нее. (Виртуализирует реестр, права доступа делает не административными, виртуализирует файловую систему, в общем цепануть че-нить при серфинге через браузер запущенный в песочнице становится проблематично).
Настройки:
"Настройки Проактивной Защиты" "Настройки SandBox" - SandBox активен.
"Политика безопасности компьютера" "Всегда использовать SandBox" - вводим имя браузера для серфинга. Уровень ограничения - подозрительное.
Теперь при запуске браузера он автоматом будет работать через песочницу.
Скачивание файлов будет проходить в виртуальную среду. Если так уж надо, то юзаю другой браузер для скачки безопасного контента с безопасных источников. Добавление в Избранное - вопрос.
В общем т.к. часто можно поймать в инете баннеры всякие смс-вымогательные, то при серфинге браузер надо как-то защищать. Моя Avira бесплатная не справляется, например.
Для этого применяю Песочницу от Comodo, запуская браузер исключительно через нее. (Виртуализирует реестр, права доступа делает не административными, виртуализирует файловую систему, в общем цепануть че-нить при серфинге через браузер запущенный в песочнице становится проблематично).
Настройки:
"Настройки Проактивной Защиты" "Настройки SandBox" - SandBox активен.
"Политика безопасности компьютера" "Всегда использовать SandBox" - вводим имя браузера для серфинга. Уровень ограничения - подозрительное.
Теперь при запуске браузера он автоматом будет работать через песочницу.
Скачивание файлов будет проходить в виртуальную среду. Если так уж надо, то юзаю другой браузер для скачки безопасного контента с безопасных источников. Добавление в Избранное - вопрос.
Comodo и Alcohol 120%, Daemon Tools, установщики программ:
Изначально Comodo не дружит с эмуляторами дисков. При попытке установить эмулятор выдается ошибка, при работе эмулятора - не может быть произведена загрузка драйвера, эмуляции нет.
Чтобы подружить Comodo с эмуляторами делается следующее:
"Защита" , "Настройка проактивной защиты", "Настройки контроля исполнения", "Исключения" добавте в него исполняемый файл. Например, c:\Program files\DAEMON Tools Pro\DTAgent.exe
Для установщиков, которые выдают ошибку процедура анологична. Указываете установочный файл в "Исключениях".
Изначально Comodo не дружит с эмуляторами дисков. При попытке установить эмулятор выдается ошибка, при работе эмулятора - не может быть произведена загрузка драйвера, эмуляции нет.
Чтобы подружить Comodo с эмуляторами делается следующее:
"Защита" , "Настройка проактивной защиты", "Настройки контроля исполнения", "Исключения" добавте в него исполняемый файл. Например, c:\Program files\DAEMON Tools Pro\DTAgent.exe
Для установщиков, которые выдают ошибку процедура анологична. Указываете установочный файл в "Исключениях".
Comodo и игры (не онлайн!!!):
В общем при "безопасных" настройках Comodo многие игры на ПК могут не запускаться. Например, Darksiders выдает черный экран и все. Чтобы поиграть в любимую игрушку надо включить опцию "игровой режим" в Comodo 2011 (5). Кликаем пкм на значке, ставим галку. При этом режиме алерты не выскакивают. Защита и все прочее, несмотря на это действуют.
В общем при "безопасных" настройках Comodo многие игры на ПК могут не запускаться. Например, Darksiders выдает черный экран и все. Чтобы поиграть в любимую игрушку надо включить опцию "игровой режим" в Comodo 2011 (5). Кликаем пкм на значке, ставим галку. При этом режиме алерты не выскакивают. Защита и все прочее, несмотря на это действуют.
Comodo и игры онлайн:
Добавляем игру в "доверенные", включаем "игровой режим". Для OFP, например, этого достаточно, проблем нет.
Добавляем игру в "доверенные", включаем "игровой режим". Для OFP, например, этого достаточно, проблем нет.
изврат какой то...хотя и юзаю CIS уже давно...
Изврат, не изврат, а траблы есть.
Настройки файрвола в режиме "Пользовательская политика" (Более безопасно):
У кого какие настройки для чего, делитесь, пжл.
Настройки файрвола в режиме "Пользовательская политика" (Более безопасно):
Ephemeral Ports - нафиг не нужно, в политике выбераются привелегированные порты и кликается "Исключить".Наборы портов (My Port Sets):
1. HTTP Ports - 80, 443, 1080, 3128, 8080-8081, 8088.
Основными портами являются 80 и 443.
Остальные порты (1080, 3128, 8080-8081, 8088) используются для PROXY/SOCKS. Если вы не знаете, что это такое или знаете, но не используете PROXY/SOCKS, то данные порты вам вводить не нужно.
2. Email Ports - 25, 110, 143, 465, 587, 993, 995.
Порты 143 и 993 используются для IMAP. Поэтому если вы не используете данный протокол для работы с почтой, то эти порты указывать не нужно.
3. Privileged Ports - 0-1023.
Диапазон может быть расширен до порта 1024, т.к. он хоть и не относится к привилегированным, но зарезервирован и не используется для исходящих соединений.
В любом случае данный диапазон в правилах вообще не используются. Разрешать входящие на эти порты можно только в том случае, если у вас установлена какая-то программа, требующая входящих соединений. Обычному пользователю такие программы не нужны.
4. Ephemeral Ports - 1025-65535.
Теоретически диапазон должен начинаться с порта 1024, но т.к. он зарезервирован и реально не используется, то диапазон следует прописывать с порта 1025 (далее по тексту используется этот тезис).
Максимальный диапазон эфемерных портов: 1025-65535. Его можно смело использовать.
Но если вы параноик и любите прям точно указывать диапазоны, тогда руководствуйтесь следующими рекомендациями:
А) Если у вас в реестре есть ключ HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort, тогда:
• если у вас XP SP2/SP3 и не установлено обновление KB951748, тогда диапазон [1025; MaxUserPort];
• если у вас XP SP2/SP3 и установлено обновление KB951748, тогда для DNS-запросов диапазон [49152; 65535], а для всех остальных соединений (http-трафик и т.д.) диапазон [1025; MaxUserPort];
• если у вас Vista/7, тогда диапазон [49152; 49152+MaxUserPort-1024]; (изменения диапазонов портов в Vista/7 можно осуществлять с помощью netsh int ipv4 - подробнее...);
Б) Если у вас отсутствует в реестре ключ HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort, тогда:
• если у вас XP SP2/SP3 и не установлено обновление KB951748, тогда диапазон [1025; 5000];
• если у вас XP SP2/SP3 и установлено обновление KB951748, тогда для DNS-запросов диапазон [49152; 65535], а для всех остальных соединений (http-трафик и т.д.) диапазон [1025; 5000];
• если у вас Vista/7, тогда диапазон [49152; 65535].
5. ICQ Ports - 443, 5190.
6. Jabber Ports - 5222-5224.
Основной порт, используемый для Jabber, - 5222. Но могут использоваться и другие порты - подробнее...
7. p2p Ports - указываем порт или порты, используемые в torrent-клиенте или иной p2p-программе. Если программ несколько и они одновременно используются, тогда следует для каждой из них создавать свою группу портов, либо сразу писать эти порты в правилах.
DNS узнать можно в cmd вбить ipconfig /all , дальше в инете найти полный список.Сетевые зоны (My Network Zones):
1. Loopback Zone - 127.0.0.1/255.0.0.0
2. DNS Servers - список DNS-серверов провайдера.
3. FTP Servers - список используемых FTP-серверов.
В принципе, можно вообще не использовать, а ставить вместо этой группы Any, т.к. ftp-серверы - это не редкость и заносить в список имена/IP серверов, которые могут понадобится только 1 раз, не очень удобно. Максимум, где стОит использовать эту группу, так это в правиле по входящим соединениям с удалённого порта 20 (правило №5 для Браузера). В остальных правилах можно смело заменять на Any (любой).
4. Email Servers - список используемых почтовых серверов.
5. ICQ Servers - 64.12.0.0/255.255.0.0, 205.188.0.0/255.255.0.0
5. Jabber Servers - список используемых Jabber-серверов.
В общем "Политике сетевой безопасности" создаем "Предопределенные политики", потом цепляем их на нужные нам приложения в "Правилах для приложений". Т.о. доверенных приложений творящих что угодно у нас в идеале не будет, а вместе с этим и дырок. Все это относится к режиму работы фаервола "Пользовательская политика".Предопределённые политики фаервола (Predefined Firewall Policies):
*Перед тем, как приступать к написанию/исправлению политик, не забудьте прописать/исправить "Наборы портов" [?] и "Сетевые зоны" [?]!!!!!
Web Browser (Браузер):
1. Allow Access To Loopback Zone:
Allow TCP OR UDP Out From Any To In [Loopback Zone] Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [Ephemeral Ports]
2. Allow Outgoing HTTP Requests:
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [HTTP Ports]
3. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
4. Block and Log All Unmatching Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any
Web Browser + FTP (Браузер+FTP), FTP Client (FTP-клиент), Download Manager (Менеджер закачек):
1. Allow Access To Loopback Zone:
Allow TCP OR UDP Out From Any To In [Loopback Zone] Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [Ephemeral Ports]
2. Allow Outgoing HTTP Requests:
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [HTTP Ports]
3. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
4. Allow Outgoing FTP Connection Requests:
Allow TCP Out From Any To In [FTP Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 21
5. Allow Incoming FTP-DATA Requests (для активного режима):
Allow TCP In From In [FTP Servers] To Any Where Source Port Is 20 And Destination Port Is In [Ephemeral Ports]
*Это правило необязательно, т.к. подавляющее большинство FTP-серверов поддерживают не только активный режим (данное правило), но и пассивный режим (следующее правило). Заодно мы не будем открывать на вход порты для данного приложения.
6. Allow Outgoing FTP-DATA Requests (для пассивного режима):
Allow TCP Out From Any To In [FTP Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [1025-65535]
7. Block and Log All Unmatching Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any
Email Client (Почтовый клиент):
1. Allow Access To Loopback Zone:
Allow TCP OR UDP Out From Any To In [Loopback Zone] Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [Ephemeral Ports]
2. Allow Outgoing Email Requests:
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [Email Ports]
3. Allow Outgoing HTTP Requests (для получения обновлений):
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is [HTTP Ports]
4. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
5. Block and Log All Unmatching Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any
BitTorrent Client (Торрент-клиент):
1. Allow Incoming BitTorrent-DATA Requests:
Allow TCP OR UDP In From Any To Any Where Source Port Is Any And Destination Port Is In [p2p Ports]
2. Allow Outgoing BitTorrent And HTTP Requests:
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is Any
3. Allow Outgoing BitTorrent Requests:
Allow UDP Out From Any To Any Where Source Port Is In [p2p Ports] And Destination Port Is Any
4. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
5. Block and Log All Unmatching Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any
ICQ/Jabber Client:
1. Allow Outgoing ICQ Requests:
Allow TCP Out From Any To In [ICQ Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [ICQ Ports]
*Если не используете ICQ, тогда это правило не нужно.
2. Allow Outgoing Jabber Requests:]
Allow TCP Out From Any To In [Jabber Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is In [Jabber Ports]
*Если не используете Jabber, тогда это правило не нужно.
3. Allow Outgoing HTTP Requests:]
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is 80
*Если не хотите, чтобы ваш клиент ICQ/Jabber проверял/получал обновления, а может и что-то иное делал (типа различных и необязательных сервисов), тогда это правило не нужно.
4. Allow Outgoing DNS Requests:]
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
5. Ask and Log All Unmatching Requests:
Ask And Log IP In/Out From Any To Any Where IP Protocol is Any
Updater (Antivirus/Antispyware, например, AVZ4, SpyBot, Ad-Aware, NOD32, а также любые иные программы, которые проверяют обновления, используя http-запросы):
1. Allow Outgoing HTTP Requests:
Allow TCP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is [HTTP Ports]
2. Allow Outgoing DNS Requests:
Allow UDP Out From Any To In [DNS Servers] Where Source Port Is In [Ephemeral Ports] And Destination Port Is 53
3. Block and Log All Unmatching Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any
Trusted Application (Доверенное приложение):
1. Allow All Incoming and Outgoing Requests:
Allow IP In/Out From Any To Any Where IP Protocol Is Any
Blocked Application (Запрещённое приложение):
1. Block All Incoming and Outgoing Requests:
Block IP In/Out From Any To Any Where IP Protocol Is Any
Outgoing Only (Только исходящие):
1. Allow Outgoing TCP or UDP Requests:
Allow TCP OR UDP Out From Any To Any Where Source Port Is In [Ephemeral Ports] And Destination Port Is Any
2. Block All Incoming and Outgoing Requests:
Block And Log IP In/Out From Any To Any Where IP Protocol Is Any
У кого какие настройки для чего, делитесь, пжл.
Насроил Torrent как тут указано, вклюл запрет фрагментации, убрал глобальное правило для порта, все работает.
Браузеры - политика для них как для браузеров, а не доверенные.
Браузеры - политика для них как для браузеров, а не доверенные.
Порядок действия "Глобальных правил" и "Правил для приложений":
Для "Входящего" сообщения:
Сначала "Глобальные правила", потом "Правила для приложений"
Внутри них "сверху", "вниз".
Пример, на Torrent -e:
В "Глобальных правилах" - запрещены все входящие, то не смотря на правила для торрента все входящие будут блокироваться. Чтобы разрешить раздачу, необходимо добавить разрешающее правило на входящие для торрентского порта выше запрета на все входящие. Тогда, все входящие на этот порт будут проходить и если это Торрент, то начинают проверяться правила Входящих для него, если не он, и в правилах для приложений нет, то будет алерт с правом выбора действий (если повезет, конечно, и другие настройки соответсвуют).
Для "Исходящего" сообщения:
Сначала "Правила для приложений", потом "Глобальные правила".
Внутри них "сверху", "вниз".
Не все так просто с этим firewall выходит, хе-хе. Короче, в правилах для приложений самым нижним пунктом для каждого обязателен запрет на все входящие и исходящие. Чтобы фаер не подумал, типа если в правилах не прописано, то разрешу пожалуй. Но в этом случае алерта не будет, т.к. существует правило и чтобы понять, почему че-нить не пашет придется копаться в логах и прописывть правило, чтобы заработало.
Для "Входящего" сообщения:
Сначала "Глобальные правила", потом "Правила для приложений"
Внутри них "сверху", "вниз".
Пример, на Torrent -e:
В "Глобальных правилах" - запрещены все входящие, то не смотря на правила для торрента все входящие будут блокироваться. Чтобы разрешить раздачу, необходимо добавить разрешающее правило на входящие для торрентского порта выше запрета на все входящие. Тогда, все входящие на этот порт будут проходить и если это Торрент, то начинают проверяться правила Входящих для него, если не он, и в правилах для приложений нет, то будет алерт с правом выбора действий (если повезет, конечно, и другие настройки соответсвуют).
Для "Исходящего" сообщения:
Сначала "Правила для приложений", потом "Глобальные правила".
Внутри них "сверху", "вниз".
Не все так просто с этим firewall выходит, хе-хе. Короче, в правилах для приложений самым нижним пунктом для каждого обязателен запрет на все входящие и исходящие. Чтобы фаер не подумал, типа если в правилах не прописано, то разрешу пожалуй. Но в этом случае алерта не будет, т.к. существует правило и чтобы понять, почему че-нить не пашет придется копаться в логах и прописывть правило, чтобы заработало.
Есть короче действие кроме Разрешить, Запретить еще и "Спросить" можно выставлять его нижним пунктом, если не уверены в блокировке. Хотя как поведет себя фаервол в Игровом режиме, будет зависить от других настроек фаервола, т.к. алерты в нем отрублены.
svchost.exe:
Для корректной работы настраиваем для локалки, для модема, для провайдера.
Правило для провайдера:
UPD Исходящий из любой в DNS-зону на порт 53.
Без этого правила и блокировкой всего внизу интернетэксплорер, например, пахать не будет.
Для System тоже надо настроить локалку, модем.
Для корректной работы настраиваем для локалки, для модема, для провайдера.
Правило для провайдера:
UPD Исходящий из любой в DNS-зону на порт 53.
Без этого правила и блокировкой всего внизу интернетэксплорер, например, пахать не будет.
Для System тоже надо настроить локалку, модем.
Opera не понятно зачем ломится с компа на 53 порт модема.
Т.о. в DNS-зону к адресам провайдера прописываем еще и локальный ip-модема с маской.
Т.о. в DNS-зону к адресам провайдера прописываем еще и локальный ip-модема с маской.
у меня с дефолтными настройками все прекрасно работает 
по дефолту что комод что торрент мне фаервол нужен что бы следить за сетевой активностью
по дефолту что комод что торрент мне фаервол нужен что бы следить за сетевой активностью
Работать-то может оно и работает. Только вот как?
svchost в доверенных? Он любит ломиться куда не попадя. Например, на 239.255.255.250:1900. Шары ищет и т.п.. Все приложения, которые поиметь через него инет хотят не настроишь. Надо его ограничивать. И дохрена где так. Например, torrent, несмотря на указанный ему порт для коннектов, наровит UDP-нуть 239.192.152.143:6771 со своего 6771, т.е. чихал он на прописанные в его интерфейсе правила.
И такое у многих в сети.
По дефолту все работает, но либо запаришься кликать по каждому чиху - разрешать, запрещать, либо дыру в защите огребешь и будешь иметь левый трафик. Так что приходится настраивать.(
А вообще - это дело выбора. Копаться или нет в настройках. В Сomodo теже правила для браузеров прописаны не идеально. В других firewall-ах ситуация не лучше. У Outpost-а для svchost политика по дефолту из 17 правил (в инете писали, если не попутал). Левого/вредного/не нужного в этой политики много.
В общем минималист.(
svchost в доверенных? Он любит ломиться куда не попадя. Например, на 239.255.255.250:1900. Шары ищет и т.п.. Все приложения, которые поиметь через него инет хотят не настроишь. Надо его ограничивать. И дохрена где так. Например, torrent, несмотря на указанный ему порт для коннектов, наровит UDP-нуть 239.192.152.143:6771 со своего 6771, т.е. чихал он на прописанные в его интерфейсе правила.
И такое у многих в сети.
По дефолту все работает, но либо запаришься кликать по каждому чиху - разрешать, запрещать, либо дыру в защите огребешь и будешь иметь левый трафик. Так что приходится настраивать.(
А вообще - это дело выбора. Копаться или нет в настройках. В Сomodo теже правила для браузеров прописаны не идеально. В других firewall-ах ситуация не лучше. У Outpost-а для svchost политика по дефолту из 17 правил (в инете писали, если не попутал). Левого/вредного/не нужного в этой политики много.
В общем минималист.(
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей
