Ostatni wpis dotyczący Comodo Internet Security, a opisujący konfigurację modułu antywirusowego dodałem trzy tygodnie temu… oj kiepsko u mnie z samodyscypliną i muszę najwyraźniej coś z tym zrobić. Dziś postanowiłem natomiast wreszcie tu ruszyć i napisać nieco o tym, jak ustawić bodajże najważniejszą część pakietu, która kiedyś była flagowym produktem ze stajni Comodo. Zabieramy się więc za ustawienia zapory sieciowej dostępnej w pakiecie.
Wykrywanie nowych sieci
Przede wszystkim zacząć trzeba od tego, że domyślna konfiguracja programu zezwala mu na automatyczne wykrywanie nowych sieci, do jakich podłączony jest nasz komputer. Opcja jak najbardziej przydatna, bowiem w chwilę po podłączeniu możemy sprecyzować najważniejszą rzecz, jaką jest dostępność dla innych komputerów z tej nowej sieci. Okienko dialogowe wygląda dokładnie tak, jak na załączonym screenie i powinniście mieć z nim do czynienia po raz pierwszy po zainstalowaniu pakietu i ponownym uruchomieniu komputera:
Tak naprawdę nie ma tu wiele do zrobienia – może wpisać nazwę sieci np. Neostrada, Hamachi itp. aby w dalszej konfiguracji móc połapać się, jakie ustawienia dotyczą danego połączenia. Jeżeli łączymy się np. w LANie, w którym mamy zamiar przesyłać pliki lub też udostępniać połączenie, powinniśmy zaznaczyć pierwszą opcję, mówiącą o pełnej dostępności dla komputerów z sieci. W przeciwnym wypadku nie ma sensu tego robić.
Ustawienia dotyczące informacji oraz alertów
Kolejna sprawa to już rzecz naprawdę kluczowa, ponieważ od niej zależy jak często program będzie zabierał nam chwilkę za zapytanie, jak potraktować dany program. Uruchamiamy panel kontrolny Comodo z zasobnika systemowego, przechodzimy na zakładkę Firewall, a następnie po prawej stronie wybieramy ustawienia zaawansowane. Z czterech dostępnych opcji wybieramy ostatnią, dotyczącą zachowań zapory sieciowej na wszelkie akcje dotyczące połączeń. W nowym okienku mamy dostępne dwie zakładki, które ustawiamy w następujący sposób:
Pierwsza zakładka dotyczy stopnia automatyzacji oraz kontroli oferowanej przez pakiet. Dostępne opcje to:
- Wyłączony
Chyba nie muszę nikomu tłumaczyć, o co w tym chodzi, nieprawdaż? Po prostu przy takim ustawieniu zapora nie jest aktywna i nie filtruje ruchu sieciowego. - Tryb uczenia
Przy takim ustawieniu Comodo uczy się i próbuje automatycznie dostosować zezwolenia do potrzeb i rodzaju programu. Według mnie nie jest to zbyt przydatne, ponieważ zawsze coś może zostać źle sklasyfikowane. - Tryb bezpieczny
W tym wypadku zapora nadal uczy się tego, co dzieje się na naszym komputerze, jednak wszelkie zabezpieczenia są podniesione o poprzeczkę wyżej, zaś przy próbie połączenia z siecią nieznanej mu aplikacji, pakiet wyświetli stosowny komunikat. - Tryb własnych zasad
Ustawienie takie powoduje, że każda aplikacja będzie wymagała utworzenia reguły zaś przy próbie połączenia zostanie wyświetlony stosowny komunikat. Moim zdaniem ustawienie najlepsze, właśnie ze względu na pełną kontrolę nad tym, co w ogóle robią nasze aplikacje w kwestii połączeń sieciowych. - Tryb blokowania
W sumie to nie wiem kiedy naprawdę warto z tego korzystać – wszelkie połączenia są zablokowane, zaś reguły utworzone wcześniej nie są brane w ogóle pod uwagę. Pakiet po prostu całkowicie blokuje jakikolwiek ruch sieciowy w naszym komputerze.
Druga zakładka definiuje przy jakich zdarzeniach program ma wyświetlać stosowne do sytuacji alerty. Jak dla mnie najlepszym wyborem jest pełne informowanie – co prawda może nieco zawracać głowę, ale podobnie jak tryb własnych zasad, pozwala na uzyskanie wszelkich informacji. Jeżeli nasz komputer nie udostępnia połączenia sieciowego innym (a tak jest w większości wypadków), odznaczamy również odpowiednie pole. Resztę zostawiamy na domyślnych ustawieniach.
Ochrona przed atakami sieciowymi
Teraz sprawa już ochrony nie profilaktycznej, a aktywnej podejmowanej w razie wystąpienia ataku sieciowego skierowanego na nasz komputer. Tym razem w zaawansowanych ustawieniach firewalla wybieramy opcję dotyczącą ustawienia wykrywań ataków. Opcje tam dostępne nie są zbyt skomplikowane – ochrona głównie dotyczy ataku typu DoS, czyli po prostu zasypania naszego komputera różnymi połączeniami. Monitorować możemy trzy najważniejsze protokoły TCP, UDP oraz ICMP, zaś dodatkowym zabezpieczeniem jest ochrona pamięci podręcznej DNS (zapobiega to np. podstawianiu spreparowanej wersji witryny banku czy serwisu aukcyjnego w celu uzyskania naszego loginu i hasła). Jeżeli chcemy, możemy również zmienić czas blokowania hosta, który dokonał próby takiego ataku – domyślny czas wynosi 5 minut, moim zdaniem jest to wartość wystarczająca.
W drugiej zakładce mamy dostęp do kilku bardziej zaawansowanych funkcji. Pierwsza opcja jest niezbędna i zawsze pozostawiamy ją włączoną. Druga sprawdza, czy otrzymywane przez nas pakiety są zgodne z protokołami z których korzystają. Dwa ostatnie ustawienia pozwalają na bardzo dokładną analizę i weryfikację całego ruchu sieciowego, lecz mogą negatywnie odbić się na wydajności programu jak i naszego łącza internetowego. Używałem ich przez jakiś czas i nie mogę jednak potwierdzić tych ostrzeżeń, wszystko działało tak jak powinno, czyli naprawdę bardzo szybko.
Ukrywanie portów
Na końcu powinniśmy ukryć porty naszego komputera przed nieautoryzowanym dostępem z zewnątrz. Co prawda można je oczywiście zamknąć, ale wtedy dajemy znam intruzowi, że taki komputer istnieje i jest włączony. Jeżeli nasz komputer w danej sieci nie powinien być w ogóle widoczny, czyli gdy nie korzystamy z internetu w domu, lub nie mamy sieci lokalnej, warto ukryć porty przed ciekawskimi. Wracamy do podstawowych ustawień zapory a następnie wybieramy opcje kreatora ukrywania portów. Wybieramy ostatnią pozycję i potwierdzamy. Od tego momentu wszystkie nieznane połączenia przychodzące będą odrzucane, zaś porty będą niewidoczne jeżeli to nie my będziemy wykonywać jakieś operacje.
Podobne wpisy:
Mam kilka pytań odnośnie pakietu CIS.
Mianowicie:
1. Przy włączeniu mojego komunikatora (Miranda) pakiet wciąż pyta się, czy dać mu dostęp, mimo, iż za 1 razem zaznaczyłem „zapamiętaj moją decyzję”. Nie powiem, jest to trochę irytujące, tak samo z innymi programami. Idzie jakoś to naprawić?
2. W jaki sposób mogę szybko sprawdzić, czy podejrzany plik chcący mieć dostęp do sieci jest wirusem lub też nie?
3. CIS wykrywa trojana w plikach sterowników mojej drukarki, czy to możliwe? http://img4.imageshack.us/img4/3203/przechwytywanielo.jpg
4. Czy to haker? http://img64.imageshack.us/img64/8594/firewallr.jpg
AD1. Ustaw aplikację jako zaufaną zamiast dawać na zezwolenie, wtedy zostanie utworzona reguła na stałe.
AD2. Tego się nie da sprawdzić szybko :) Mając informacje co to za plik, możesz sprawdzić np. w google czy coś o nim wiadomo. Oczywiście sporo takich danych można analizować na rozum – np. pobrałeś coś i plik zawarty w danych tymczasowych przeglądarki chce połączenia z internetem… potencjalnie niebezpieczny.
AD3. Fałszywy alarm, lub aplikacja ma luki / specjalne możliwości. Backdoor czyli tzw. tylna furtka, daje możliwości ingerencji z zewnątrz za jej pośrednictwem. Sądzę, że może to odpowiadać za np. zbieranie statystycznych danych przez HP.
AD4. Nie, adresy są różne, operacje również – wiele komputerów w ciągu dnia może nas pingować lub próbować skanować nam porty, CIS to blokuje i raportuje. Atak szedłby z jednego IP, lub w wypadku DoS’a z bardzo wielu w bardzo krótkim czasie.