2443 23.12.2009

Твитнуть

Плюсануть

Начнём знакомство с Comodo Firewall с его установки.

При запуске установочного файла появляется окно предупреждение о необходимости удалить другие программы аналогичного назначения во избежание конфликтных ситуаций

Если у Вас уже установлен какой либо firewall, удалите его, если нет, то смело продолжайте.
Теперь нажимаем в окне предупреждении на кнопку «ДА». Дальнейшая установка стандартна для большинства Windows программ. Нужно только нажимать «Далее». В конце программа предложит варианты настройки: автоматический или пользовательский

Оставляем автоматический. Для окончания установки останется всего лишь перезагрузить компьютер.

После перезагрузки Вам сразу же начнут задавать вопросы об активности программ, которые могут использовать выход в сеть.

Тут уж необходимо понимать, какой из программ Вы разрешаете или запрещаете активность. При нажатии кнопки «Разрешить» или «Запретить» фаервол однократно пропустит или не пропустит программу в интернет. В случае повторения попытки программы выйти в интернет окно о её активности будет выдано снова. Если Вы уверены в программе, пытающейся получить доступ в интернет, то можете поставить галочку «Запомнить мой ответ для этого приложения» и нажать «Разрешить». Comodo Firewall впредь будет понимать, что этому приложению вы доверяете, и разрешит ему беспрепятственно работать. Таким же образом устанавливается запрет для программы: галочку «Запомнить мой ответ для этого приложения» и нажать «Запретить». Comodo будет всегда блокировать эту программу.

Во время тестирования первые вопросы были заданы относительно alg.exe и svchost.exe.

Это системные программы и доступ им нужно разрешить. Про пользовательские программы вопросы будут задаваться по мере их запуска. Если программа предназначена для работы в интернете или через интернет, то её нужно разрешить. Если понятно, что программа проявляет излишнее усердие в заботе о пользователе и хочет что-то скачать из интернета или передать через интернет, то её доступ нужно запретить. Таким образом, Вы, заинтересованный в своём безопасном пребывании в глобальной сети, через некоторое время создадите правила поведения для всех программ, установленных на компьютере.

Совершив ошибочный запрет или разрешив активность программы, всегда можно воспользоваться настройками Comodo Firewall и исправить ситуацию. Посмотрев в правый нижний угол экрана, где располагаются часы, Вы увидите иконку со щитом. Это и есть Comodo. Щёлкнув на иконке правой кнопкой, выбирайте открыть. Сразу откроется главное окно программы

В главном окне наглядно показаны базовые параметры функционирования firewall.
Вверху окна осуществляется выбор между панелями «Сводка», «Защита», «Активность».

Слева выстроились значки для переключения между окнами этой панели:

Задачи – В этом окне Вы можете быстро разрешить или запретить доступ программы к сети, а также выбрать другие опции, возможности которых хорошо описаны под названием каждой из возможностей. Без необходимости лучше ничего не трогать.

Монитор приложений – предназначен для просмотра и редактирования списка приложений, которым пользователь доверяет. Окно представлено в виде таблице, в которой указывается:

• имя программы (Приложение),
• IP-адрес, на который происходит соединение (Получатель),
• номер порта, на котором осуществляется взаимодействие (Порт),
• протокол, в рамках которого осуществляется приём и передача информации (Протокол),
• Ну и графа (Разрешение), в которой показывается, разрешён или запрещён доступ приложению.

Обратите внимание на быстрые варианты действия:

• Включить/отключить – можно какие-то из правил временно выключить, например, в тестовых целях.
• Добавить – полностью настраиваемая возможность создать новое правило.
• Правка – Редактирование правила, на котором установлен курсор.
• Удалить – безвозвратное удаление правила из списка.

Дважды щёлкнув левой кнопкой мышки на имени программы или нажав «Правка», Вы попадёте в окно тонкой настройки (редактирования) правила

В этом окне указывается полный путь к программе на диске, путь к программе, которая является родительской по отношению к настраиваемой. Тут ничего не нужно изменять.

А посмотрев по вкладочкам внизу можно:
- назначить действие программы на активность приложения, указать протокол и направление активности программы (принимает ли программа информацию (Входящее), отправляет (Исходящее) или и принимает и отправляет),
- указать один или несколько IP-адресов с которыми взаимодействует приложение. Один или несколько портов, которые открывает приложение, осуществляя своё взаимодействие.

Монитор компонентов – предназначен для отслеживания целостности важных файлов – иногда вирусы пытаются изменить файлы и Comodo может этому препятствовать.

Сетевой монитор – Внимание! Здесь важен порядок следования правил! Comodo Firewall просматривает правила сверху вниз. На этой закладке осуществляется тонкая настройка параметров фильтрации фаерволом передачи данных по IP адресам и портам. Здесь можно принудительно закрыть потенциально опасные порты. Вот как это сделать:
Нажмите кнопку «Добавить» и в появившемся окне

выберите действие «блокировать» и укажите на закладке «Порт Источника» «один порт», а также пропишите номер порта, например, 137. Нажмите кнопку «ОК». Новое правило появится в списке.
Стрелками «Вверх» или «Вниз» зададим местоположение правила в списке. Чтобы не ошибиться, пока можно просто поместить правило в середину.

На закладке «Дополнительно» окна «Защита» можно дополнительно настроить firewall. Эти возможности нужно осваивать постепенно, по мере работы с программой вы поймёте, когда появится необходимость в дополнительных настройках.

Перейдя на панель «Активность» мы увидим две закладки: «Соединения» и «Журнал»
В «Соединениях» отображается список программ, которые в данный момент активны. Здесь можно посмотреть, нет ли среди программ, которым вы доверяете, чего-то подозрительного. А также объём переданных/полученных данных.

В «Журнале» ведётся хронологическая запись важных событий. К нему можно всегда обратиться при анализе действий какой-то из программ.

Ну и конечно же не забывайте делать обновление компонентов программы. Нажимая в самом верху кнопку «Обновление» Вы запустите мастер загрузки новых компонентов. Эта простая процедура не позволит новым появляющимся вредоносным программам осуществить деструктивные действия на вашем компьютере. По умолчанию в настройках задана автоматическая проверка обновлений.

Простая в использовании и настройке программа фаервол Comodo защитит ваше пребывание в интернете и поможет научиться разбираться в процессах, происходящих во время обмена информацией через сеть.

Твитнуть

Плюсануть

Please enable JavaScript to view the оптимально, с минимумом всплывающих окон-оповещений, быстро и самостоятельно настроить . Авторский вариант расширенных настроек программы во многом совпадает с рекомендованным в русской части International COMODO Forums (ветка "CIS/CFP для новичков в файрволах"). Данные форумы можно посетить, щелкнув во вкладке "Разное" пункт "Посетить форум поддержки". Единственное, Вы попадете на главную англоязычную страницу, поэтому, чтобы не искать, вот прямая ссылка на форум "По-русски / Russian". Полезной информации по теме много - желающие, разумеется, могут "покопаться". А я, для удобства по-пунктам, приступлю к тому, что обещал.

Настраиваем Comodo Firewall

1. В начале предлагаю сменить дефолтное серо-невеселое "лицо" Comodo Firewall на что-то поинтереснее. Для этого во все той же вкладке "Разное" жмем "Настройки" > "Внешний вид" > "Тема" меняем серенькую тему COMODO Default Normal на, скажем,. COMODO Blue Normal и, "принарядившись", двигаемся дальше.

Итог предыдущих статей: примерный вариант настройки и использования Comodo Internet Security 8

Внимание! Статья адресована пользователям, которые имеют опыт применения комплекса Comodo Internet Security и прочитали предыдущие статьи о нем . «Новичкам» же рекомендуется предварительно изучить этот продукт. Для ознакомления и относительно эффективного использования предлагается следующий порядок настройки:

1. отключить компьютер от интернета и/или локальной сети;
2. установить CIS;
3. открыть «Главное окно» > «Задачи» > «Расширенные задачи» > «Расширенная настройка»;
4. на вкладке «Общая настройка» > «Конфигурация» сделать двойной клик по строке «Proactive Security»;
5. на вкладке «Защита+» > «Sandbox» > «Auto-Sandbox» отключить опцию «Использовать Auto-Sandbox»;
6. на вкладке «HIPS» > «Защищенные объекты» > «Защищенные файлы» через контекстное меню добавить любой файл;
7. через контекстное меню заменить добавленную строку на?:\*
8. нажать «Ok» для закрытия окна настройки;
9. открыть «Главное окно» > «Задачи» > «Задачи фаервола» > «Скрыть порты»;
10. выбрать вариант «Блокировать входящие соединения»;
11. выполнить перезагрузку;
12. подключить компьютер к сети.

Предварительные замечания

Данный порядок настройки приводится сокращенном виде. Цель статьи - дать читателям ориентир в многообразии возможностей конфигурирования Comodo Internet Security. Предполагается, что читатели знакомы с предыдущими статьями и понимают причины тех или иных рекомендаций. Здесь даются только самые общие детали настройки. О дополнительных мерах, например, против обхода фаервола (через межпроцессный доступ к памяти, DNS-запросы и BITS), по защите от шифровальщиков или от клавиатурных шпионов рассказано в статье об использовании проактивной защиты; о доступе к локальной сети - в статье о фаерволе и т.д.

Подчеркну, что данная конфигурация является не «максимальной», а более-менее сбалансированной в отношении защиты и удобства использования. Неопознанные программы в ней автоматически виртуализируются без оповещений. Оповещения HIPS возможны, но возникать они будут весьма редко.

Предлагаемый вариант предназначен для личного применения опытным пользователем, но не составляет труда адаптировать его для «новичков» или пользователей с ограниченными правами. Можно, например, отключить все оповещения, или заменить автоматическую виртуализацию неопознанных программ их блокировкой, или перевести фаервол в «Безопасный режим» и т.д.

Если следование данной инструкции приведет к каким-либо проблемам, прошу читателей сообщить в комментариях. Приветствуются сообщения, подкрепленные файлами экспорта конфигурации, списка файлов и каждого журнала CIS за весь период, а также видеозаписью и/или предоставлением удаленного доступа для диагностики.

Установка и настройка

Установка

Желательно устанавливать CIS на систему, гарантированно не содержащую вредоносных программ. Напомню , что необходимо выполнить обновление системы и сделать ее резервную копию. Имеет смысл предварительно отключить «Брандмауэр Windows» через «Панель управления».

Если система чиста от вредоносных программ, желательно «ознакомить» CIS с файлами на ней. Чтобы избежать конфликтов, можно на это время отключить компоненты защиты: антивирус, Auto-Sandbox, HIPS, фаервол и Viruscope. Сначала выполним «Репутационное сканирование» («Главное окно» > «Задачи» > «Общие задачи» > «Сканирование») и после его проведения сделаем все найденные файлы доверенными. Затем произведем запуск различных установленных программ и их компонентов. Выполним перезагрузку. В окне расширенной настройки на вкладке «Репутация файлов» > «Список файлов» отметим все файлы и через контекстое меню зададим им рейтинг доверенных.

Основная настройка

После установки откроем вкладку «Общая настройка» > «Конфигурация» в окне расширенной настройки и включим конфигурацию «Proactive Security». На предложение перезагрузки ответим «Отложить».

Если ранее производилась настройка CIS, импортируем из каталога программы исходную конфигурацию «Proactive Security» под другим именем и активируем ее.

Если появится оповещение о выборе статуса сети - выберем вариант «Общественное место.

На вкладке «Контент-фильтр» > «Правила» убедимся, что правило «Заблокированные сайты» расположено внизу, и изменим его: добавим категории «MVPS Hosts list» и «Symantec WebSecurity» и зададим вид ограничений не «Блокировать», а «Спросить».

Расширения контекстного меню

Чтобы копировать блокируемые антивирусом файлы, добавим соответствующий пункт контекстного меню. Все необходимые для этого материалы с инструкцией даны в архиве .

Использование

При обнаружении неопознанной программы не делаем никаких послаблений в защите, не убедившись в ее безопасности. Проще всего проверить программу на через контекстное меню. Отмечу, что отсутствие срабатываний антивирусов абсолютной гарантией безопасности не является. Но можно более-менее уверенно судить о безопасности файла, если он известен давно и ведущие антивирусы не признают его вредоносным.

В качестве дополнительной проверки можно запустить неизвестную программу в виртуальной среде, а затем отправить на VirusTotal содержимое каталога VTRoot. Можно и самостоятельно исследовать поведение программы в виртуальной среде, включив Viruscope с опцией «Применять действие Viruscope только к приложениям в Sandbox » и открыв отчет об активности . Также Viruscope иногда автоматически квалифицирует поведение программ как вредоносное.

Для установки новой безопасной программы вызываем, удерживая нажатой клавишу Shift , на ее инсталляторе контекстное меню и выбираем пункт «Запустить как установщик». Если в ходе установки возникнет оповещение HIPS, отключим в нем опцию «Запомнить выбор» и выберем политику «Установка или обновление». После установки программы производим первый ее пробный запуск через пункт контекстного меню «Запустить как установщик без повышения прав» и закрываем программу. Затем на вкладке «Репутация файлов» > «Список файлов» переводим неопознанные файлы этой программы в доверенные. Также в доверенные добавляем каталог с новой программой.

Для обновления установленной программы запускаем ее пунктом контекстного меню «Запустить как установщик», производим процедуру обновления и аналогично переводим новые файлы из неопознанных в доверенные.

Возможна ситуация, когда программа запускается изолированно даже после занесения в доверенные. Как правило, это происходит, когда размер программы превышает 40 МБ. Решение - добавить путь к такой программе в группу «AllowedProgs».

Если какую-либо программу необходимо временно запустить без ограничений, вызываем на ней, удерживая Shift , контекстное меню и выбираем пункт «Запустить как установщик без повышения прав». Важно помнить, что такая программа и ее дочерние процессы смогут беспрепятственно запустить любой неопознанный файл.

Когда какой-либо неопознанный файл впервые изолируется посредством Auto-Sandbox, появляется всплывающее уведомление. Напоминаю, что опасно нажимать в нем кнопку «Больше не изолировать».

Если какие-либо данные следует тщательно защитить от повреждения, например, вирусами-шифровальщиками, - добавим в конце имени содержащего их каталога слово «WriteProtected». Содержимое каталогов наподобие « C:\Docs\Мои проекты - WriteProtected » будет запрещено менять любым программам, кроме проводника. Когда понадобится изменить данные - либо временно переименуем каталог, либо переместим данные в другой каталог, а по окончании работы вернем под защиту.

Следует время от времени смотреть журнал событий, особенно фаервола и проактивной защиты («Защиты+»). Там может обнаружиться, что некой программе требуются дополнительные разрешения, например, для проведения обновления. Тогда понадобится соответствующим образом корректировать конфигурацию.

Когда какая-либо программа блокируется антивирусом, прежде всего отправляем ее на VirusTotal через контекстное меню. В случае полной уверенности в безопасности добавляем эту программу в доверенные. Если, несмотря на сомнения, программу необходимо использовать, копируем ее в каталог исключений. Для этого вызываем на ней, удерживая Shift , контекстное меню, выбираем пункт «Скопировать зараженный файл...» и сохраняем в каталог C:\Exclusions . Из этого каталога программа будет запускаться как обычная неопознанная, в виртуальной среде.

В случае опасений, что запускаемая программа заблокирует интерфейс ОС и не позволит очистить песочницу, можно ограничить время ее выполнения. Удобный способ это сделать - пункт контекстного меню «Запустить в песочнице Comodo как ограниченное», предложенный в статье о виртуальной среде .

Если необходимо выполнить сомнительную программу в реальной среде, делаем это через пункт расширенного контекстного меню «Запустить без ограничений Auto-Sandbox». Активность программы контролируем посредством оповещений HIPS. Чтобы избежать большого их количества, можно сразу выбрать в оповещении политику «Ограниченное приложение» или «Изолированное» (включив опцию «Запомнить выбор»). Внимание! Вредоносная программа может запустить доверенную, и HIPS уже не будет контролировать активность дочернего процесса, что может нанести ущерб. В качестве смягчающей меры можно временно включить Viruscope, чтобы более детально наблюдать активность не только сомнительной программы, но и ее дочерних процессов, а при необходимости произвести и откат изменений .

Обычно оповещения HIPS в данной конфигурации будут возникать лишь при использовании пункта меню «Запустить без ограничений Auto-Sandbox» или, реже, пунктов «Запустить как установщик» и «Запустить как установщик без повышения прав». Однако если HIPS оповестит об активности неопознанной программы в других случаях - это тревожный сигнал. Он может означать, что неопознанная программа запустилась раньше CIS или получила привилегии SYSTEM. Рекомендую в таком оповещении выбрать вариант «Заблокировать и завершить выполнение» (отключив в нем опцию «Запомнить выбор»), а затем проверить систему на предмет уязвимостей.

Благодарим его и предоставляем инструкцию, как настроить фаервол Comodo для максимальной защиты.

Введение

По данным настройкам хотелось бы отметить, что, несмотря на их "максимальность", работа за компьютером не доставляет особой параноидальностью - все довольно умеренно: раз создав правила для программы/приложения, запросов больше не поступает для сконфигурированных программ. Понятно, что данный режим больше подходит для опытных пользователей.

Второй момент - тестирование проводилось, как в паре с avast! Free Antivirus , так и без него. Результат, как было отмечено, был 100% в обоих случаях (несмотря на то, что на скриншотах есть антивирус avast!, и без него фаервол Comodo прошел все тесты на 100% на данных настройках).

Более того, при включенном avast! и использовании данных настроек для Comodo Firewall - антивирус просто не успевает вступить в работу, так как всю блокировку выполняет Comodo Firewall.

Кроме того, в тесте "PC Security Test 2011" Сomodo Firewall блокировал первый этап теста "Antivirus Proteсtion Test", закрывая возможность размещения вирусных файлов в системе, хотя по сути это работа антивируса (например, в связке Online Armor + avast! данную работу по прохождению первой части этого теста выполняет avast!).

В итоге, Comodo Firewall, так сказать, не дает поработать антивирусу, так как просто блокирует возможность проникновения вирусов в систему. Т.е. можно отметить, что реакция Comodo Firewall на угрозы очень быстрая (хотя понятно, что это синтетика). Однако PC Secutity Test на 100% (равно как и остальные пройденные тесты) у меня не проходил ещё ни один продукт от многих вендоров (такие как, Kaspersky Internet Security, Norton Internet Security, Emsisoft Internet Security, McAfee Internet Security, Bitdefender Internet Security, avast! Internet Security и т.д.). Считаю, что хоть это и синтетика, но все же очень показательно.

Система, используемая в тестировании настроек: Windows 7 PRO 64-bit SP1, процессор 1.65 ГГц Dual-core AMD, память 4ГБ (доступно 3,6 Гб).

С данными настройками в режиме Proactive Security Comodo Firewall проходит c результатом 100% такие синтетические тесты, как:

1) Anti-Test
2) PC Security Test 2011
3) PCFlank Leaktest
4) CLT
5) SSS
6) FireWallTest
7) Mini Security Test

Настройки Comodo Firewall 2013

1. Расширенные настройки -> Общие настройки -> Конфигурация

2. Расширенные настройки -> Настройки безопасности -> Защита+ -> HIPS -> Поведенческий анализ

Снимаем галочку с "Автоматически запускать в Sandbox обнаруженное неизвестное приложение и обрабатывать его как"

Нажмите, чтобы увеличить изображение

3. Расширенные настройки -> Настройки безопасности -> Фаервол -> Настройки Фаервола

Переводим фаервол в режим "Пользовательский набор правил", чтобы на любое сетевое событие в системе появлялся запрос для установки собственных правил вручную.

В поле "Расширенные настройки" устанавливаем все галочки напротив:
- Включить фильтрацию IPv6-трафика
- Включить фильтрацию loopback-трафика (например, 127.x.x.x, ::1)
- Блокировать фрагментированный IP трафик
- Анализировать протокол
- Включить защиту от ARP-спуфинга

Нажмите, чтобы увеличить изображение

4. Расширенные настройки -> Настройки безопасности -> Фаервол -> Глобальные правила

Нажмите, чтобы увеличить изображение

5. Расширенные настройки -> Настройки безопасности -> Рейтинг файлов -> Настройки рейтинга файлов

Доверять приложениям, подписанным доверенными поставщиками
- Доверять приложениям, установленным с помощью доверенных инсталляторов

Нажмите, чтобы увеличить изображение

Нашли опечатку? Нажмите Ctrl + Enter

Предлагаем вашему вниманию вариант настройки Comodo Firewall 2013. На многих синтетических тестах он дает максимальный результат. Настройки актуальны при использовании антивируса avast! Free Antivirus.

Несмотря на «максимальность», работа с компьютером не вызывает особых сложностей. Один раз создав правила для программ, больше вы не получите от них запросов. Понятно, что этот режим больше подходит для продвинутых пользователей.

Тестирование проводилось и с avast! Free Antivirus, и без него. Результат в обоих случаях 100 %. Интересно, что при включенном avast! и одновременном использовании данных настроек антивирус не успевает начать работу, так как блокировку обеспечивает Comodo Firewall. В тесте «PC Security Test 2011» Comodo Firewall блокировал первый этап «Antivirus Proteсtion Test», не допуская возможность попадания вирусов в систему, хотя это функция антивируса. Таким образом, Comodo Firewall не дает антивирусу работать, так как блокирует возможность проникновения вирусных файлов. Реакция Comodo Firewall на угрозы достаточно быстрая.

Для тестирования настроек использовалась система — Windows 7 PRO 64-bit SP1, процессор 1.65 ГГц Dual-core AMD, память 4ГБ (доступно 3,6 Гб)

С предлагаемыми настройками в режиме Proactive Security Comodo Firewall с результатом 100 % проходит такие тесты, как:

1) Anti-Test

2) PCFlank Leaktest

3) PC Security Test 2011

4) SSS

5) CLT

6) Mini Security Test

7) FireWallTest

Настройки Comodo Firewall 2013

1. Расширенные настройки -> Общие настройки -> Конфигурация

Необходимо включить режим COMODO — Proactive Security.

2. Расширенные настройки -> Настройки безопасности -> Защита+ -> HIPS -> Поведенческий анализ

С пункта «Автоматически запускать в Sandbox обнаруженное неизвестное приложение и обрабатывать его как » нужно снять галочку.

Включаем режим COMODO — Proactive Security .

3. Расширенные настройки -> Настройки безопасности -> Фаервол -> Настройки Фаервола

Фаервол следует перевести в режим «». В этом случае на любое событие в системе будет появляться запрос, с помощью которого вы сможете установить собственные правила.

В поле «Расширенные настройки » ставим галочки напротив следующих пунктов:

— Включить фильтрацию loopback-трафика (например, 127.x.x.x, ::1)

— Анализировать протокол

— Включить фильтрацию IPv6-трафика

— Блокировать фрагментированный IP трафик

— Включить защиту от ARP-спуфинга

Фаервол переводим в режим Пользовательский набор правил

4. Расширенные настройки -> Настройки безопасности -> Фаервол -> Глобальные правила

Должны быть значения по умолчанию

5. Расширенные настройки -> Настройки безопасности -> Рейтинг файлов -> Настройки рейтинга файлов

Убираем галочки с параметров:

— Доверять приложениям, подписанным доверенными поставщиками.

— Доверять приложениям, установленным с помощью доверенных инсталляторов.