COMODO Internet Security

[mayleen]

Ho un router con firewall hardware integrato :

è normale che il log di Comodo dove sono registrati gli attacchi e le connessione bloccate risulti costantemente vuoto ?...

Per intenderci questa finestra è sempre vuota :



A questo punto tanto vale toglierlo se non filtra nulla, giusto ?

[ste_jon]

Quote:

Originariamente inviato da @Sirio@

Ecco, il problema dovrebbe essere proprio il blocco delle porte 137,138.
Prova togliendo le rergole per il blocco delle porte 135-139 nel Global Rules.
Mi fai sapere? Ciao.

certo! ormai proverò martedì, x ora sono a casa...

[jv_guano]

Quote:

Originariamente inviato da @Sirio@

Hai fatto qualche prova? Negare o accettare... poi guarda se hai problemi con la tua rete, controlla il log.

io continuo a cliccare "cancel"...

il "problema" che appunto cerco di capire è perchè vengono fatte queste richieste al mio pc..solo per il fatto di stare sulla stessa LAN?

in altre parole, non ho processi, condivisioni o altre robe attive col mulo pc...eppure il mio mulo pc desidera comunicare con il mio pc...perchè??
è questo che non mi spiego!

[sestier]

Quote:

Originariamente inviato da Romagnolo1973

Hummm vediamo di chiarirti la mia opinione, no ho detto di creare regole, le regole servono per bloccare o aprire, qui si parla di stealth che è diverso, non devi fare confusione tra porte STEALTH e porte Chiuse, la chiusa non fa passare il servizio ma da una risposta close all'interrogatore che quindi sa che esiste un pc e che ha una porta chiusa, la stealth è una porta che se interrogata non da messaggi quindi chi lo chiede non sa se è aperta o chiusa, i servizi P2P richiedono che alcune porte se interrogate risultino visibili (chiuse o aperte non importa, infatti se tu sei sul mulo in Out allora la porta per forza è aperta da te che la usi e si chiude quando termini il programma) vai in Firewall-Common-Stealth Ports Wizard, lì troverai 3 opzioni come spiegate da Sirio, scegli la seconda se fai p2p oppure la terza se a te il p2p non interessa, le 2 regole sono differenti perchè se scegli la terza Comodo non da visibilita alcuna della porta e il mulo avra ID Basso se si collega. Poi vanno fatte regole apposite per fare in modo che il p2p funzioni e le trovi in pagina 1. Poi non sono un esperto e magari ho detto una cavolata e il prof CIABA se legge sviene, ma io intendo così la cosa

Ciao Romagnolo1973,
forse sono stato io a non spiegarmi in maniera chiara.

Conosco la differenza tra porte aperte-chiuse/visibili e non visibili,ma il punto riguarda quegli utenti che falliscono i fw-test in quanto alcune porte di servizio del range 135-139 risultano "non stealthed".
In particolare,mi riferivo a quanto da te dichiarato in un precedente post, che copio/incollo parzialmente:

se non siete ancora stealth provate nelle global rules a posizionare in alto o tra i primi posti la regola Block & Log Ip in from ip any to ip any where protocol is any (o la Block ICMP...echo Requiest se avete una rete) e soprattutto disattivare l'opzione di Comodo "Do Protocol analysis" e inserito l'opzione Alert me to incoming connections- stealth my ports on a per-case basis, direi che così si passa stealth


A tal riguardo osservavo che la regola che hai menzionato è pleonastica in quanto già di default nelle "global rules" in modalità "block all incoming connections..." e che se usata anche nella modalità per i programmi P2P,ossia "alert me to incoming connections...",ne impedisce il funzionamento.

Ciao.

[ForeverYoung]

Quote:

Originariamente inviato da mayleen

Ho un router con firewall hardware integrato :

è normale che il log di Comodo dove sono registrati gli attacchi e le connessione bloccate risulti costantemente vuoto ?...

Per intenderci questa finestra è sempre vuota :



A questo punto tanto vale toglierlo se non filtra nulla, giusto ?

Non è che per caso...hai anche tu in -firewall behavior settings - l'alert settings- in -low- vero? Nel caso, basta spostrlo su -medium- e vedi tutti i tentativi di connesione bloccati

Saluti
FY

[Cacio]

Quote:

Originariamente inviato da ForeverYoung

Non è che per caso...hai anche tu in -firewall behavior settings - l'alert settings- in -low- vero? Nel caso, basta spostrlo su -medium- e vedi tutti i tentativi di connesione bloccati

Saluti
FY

Stesso problema che avevo io.


Non riuscivo a capire perchè così pochi tentativi di intrusione...è bastato aumentare verso l'alto l'altert setting che sono fioccate intrusioni su intrusioni...

[ForeverYoung]

Quote:

Originariamente inviato da Cacio

Stesso problema che avevo io.

L'abbiamo avuto in tanti, a quanto pare

Saluti
FY

[@Sirio@]

Quote:

Originariamente inviato da mayleen

Ho un router con firewall hardware integrato :

è normale che il log di Comodo dove sono registrati gli attacchi e le connessione bloccate risulti costantemente vuoto ?...

Per intenderci questa finestra è sempre vuota :



A questo punto tanto vale toglierlo se non filtra nulla, giusto ?

Come non filtra ...lo fa in maniera discreta.
Se vuoi vedere qualche evento devi bloccare qualche applicazione/porta.
Bisogna poi ricordarsi di mettere il flag sulla casella log as a firewall events if this rule is fired.. senza la spunta sarà difficile trovare eventi nel log.
Poi se durante l'nstallazione hai permesso a CFP3 di crearsi le regole per le applicazioni "safe" è normale che hai pochi o non hai eventi nel log.
Ciao.

Quote:

Originariamente inviato da ForeverYoung

Non è che per caso...hai anche tu in -firewall behavior settings - l'alert settings- in -low- vero? Nel caso, basta spostrlo su -medium- e vedi tutti i tentativi di connesione bloccati

Saluti
FY

Quote:

Originariamente inviato da @Sirio@

Chiarimento..
L' Alert Frequency Level non va ad incidere sulla quantità di eventi bloccati dal firewall, ma sui dettagli che ci appariranno nei pop-up del FW (Protocolli, indirizzi,e porte).
Spero di averti chiarito, ciao.

ForeverYoung mi avevi detto che ero stato chiaro.

[@Sirio@]

Quote:

Originariamente inviato da ste_jon

certo! ormai proverò martedì, x ora sono a casa...

Thanks.

[@Sirio@]

Quote:

Originariamente inviato da jv_guano

io continuo a cliccare "cancel"...

Che equivale a negare, infatti dopo aver cliccato cancel se vai nel log trovi l'evento bloccato.

Quote:

il "problema" che appunto cerco di capire è perchè vengono fatte queste richieste al mio pc..solo per il fatto di stare sulla stessa LAN?

..ti sei risposto da solo penso propprio di si

Quote:

in altre parole, non ho processi, condivisioni o altre robe attive col mulo pc...eppure il mio mulo pc desidera comunicare con il mio pc...perchè??
è questo che non mi spiego!

e allora bloccala definitivamente.

[@Sirio@]

Quote:

Originariamente inviato da sestier

Ciao Romagnolo1973,
forse sono stato io a non spiegarmi in maniera chiara.

Conosco la differenza tra porte aperte-chiuse/visibili e non visibili,ma il punto riguarda quegli utenti che falliscono i fw-test in quanto alcune porte di servizio del range 135-139 risultano "non stealthed".
In particolare,mi riferivo a quanto da te dichiarato in un precedente post, che copio/incollo parzialmente:

se non siete ancora stealth provate nelle global rules a posizionare in alto o tra i primi posti la regola Block & Log Ip in from ip any to ip any where protocol is any (o la Block ICMP...echo Requiest se avete una rete) e soprattutto disattivare l'opzione di Comodo "Do Protocol analysis" e inserito l'opzione Alert me to incoming connections- stealth my ports on a per-case basis, direi che così si passa stealth


A tal riguardo osservavo che la regola che hai menzionato è pleonastica in quanto già di default nelle "global rules" in modalità "block all incoming connections..." e che se usata anche nella modalità per i programmi P2P,ossia "alert me to incoming connections...",ne impedisce il funzionamento.

Ciao.

Ciao sestier,
ma come siamo attenti ...hai ragione.

[@Sirio@]

Quote:

Originariamente inviato da Cacio

Stesso problema che avevo io.


Non riuscivo a capire perchè così pochi tentativi di intrusione...è bastato aumentare verso l'alto l'altert setting che sono fioccate intrusioni su intrusioni...

...noo non ci credo, forse... aumentando l'alert ti sono aumentate le richieste popup e tu hai negato queste richieste, vero?

[@Sirio@]

Quote:

Originariamente inviato da Aleeee

ciao,a me comodo su windows vista non blocca intrusioni,come faccio a fargli bloccare qualcosa?
è meglio tenere il firewall di vista o questo?
grazie

Sicuramente questo, su Vista è il migliore in circolazione.
Le intrusioni vengono bloccate, forse non ne hai avute.
Ciao Aleeee.

[ForeverYoung]

Quote:

Originariamente inviato da @Sirio@

...noo non ci credo, forse... aumentando l'alert ti sono aumentate le richieste popup e tu hai negato queste richieste, vero?

Sirio...aumentando il livello da "low" a "medium" si notano i tentativi di intrusione,
è logico che il FW fa il suo lavoro comunque, ma se non fai così, non vedi nulla
in "view firewall events", questo almeno è il mio pensiero da niubbo

Saluti
FY

[ForeverYoung]

Quote:

Originariamente inviato da Cacio

Stesso problema che avevo io.


Non riuscivo a capire perchè così pochi tentativi di intrusione...è bastato aumentare verso l'alto l'altert setting che sono fioccate intrusioni su intrusioni...

I tentativi di intrusione li avevi anche prima, solo che non li vedevi.

Saluti
FY

[@Sirio@]

Quote:

Originariamente inviato da ForeverYoung

Sirio...aumentando il livello da "low" a "medium" si notano i tentativi di intrusione,
è logico che il FW fa il suo lavoro comunque, ma se non fai così, non vedi nulla
in "view firewall events", questo almeno è il mio pensiero da niubbo

Saluti
FY

Perchè avendo l'alert su low quando compare un popup e noi per esempio l'accettiamo CFP creerà la regola nell' application monitor ma se noi andiamo a vedere questa regola sarà generale cioè su source IP ANY destination IP ANY source port ANY destinastion port ANY quindi quella data applicazione avrà accesso libero e non appariranno altre richieste (a meno che non cambi qualcosa) mentre se noi portiamo l'Alert su Very High avremo le regola creata con i permessi solo relativi a quella richiesta cioè IP, porte ecc. specificate, e se quella data applicazione dovesse richiedere un'altra connessione con IP o porta diversa apparirà un nuovo popup con i dettagli diversi. Quindi aumentano le richieste che a seconda di come noi rispondiamo genereranno un evento e sarà loggato. Spero di essermi spiegato.

[jv_guano]

Quote:

Originariamente inviato da @Sirio@

Che equivale a negare, infatti dopo aver cliccato cancel se vai nel log trovi l'evento bloccato.

devo smentire..come mayleen, ho la finestra miseramente vuota!

Quote:

..ti sei risposto da solo penso propprio di si

cercherò di tranquillizarmi che allora è normale i pc sulla stessa LAN si mandino informazioni in modo autonomo...

grazie mille dell'aiuto sirio!

[Romagnolo1973]

Quote:

Originariamente inviato da sestier

Ciao Romagnolo1973,
forse sono stato io a non spiegarmi in maniera chiara.

Conosco la differenza tra porte aperte-chiuse/visibili e non visibili,ma il punto riguarda quegli utenti che falliscono i fw-test in quanto alcune porte di servizio del range 135-139 risultano "non stealthed".
In particolare,mi riferivo a quanto da te dichiarato in un precedente post, che copio/incollo parzialmente:

se non siete ancora stealth provate nelle global rules a posizionare in alto o tra i primi posti la regola Block & Log Ip in from ip any to ip any where protocol is any (o la Block ICMP...echo Requiest se avete una rete) e soprattutto disattivare l'opzione di Comodo "Do Protocol analysis" e inserito l'opzione Alert me to incoming connections- stealth my ports on a per-case basis, direi che così si passa stealth


A tal riguardo osservavo che la regola che hai menzionato è pleonastica in quanto già di default nelle "global rules" in modalità "block all incoming connections..." e che se usata anche nella modalità per i programmi P2P,ossia "alert me to incoming connections...",ne impedisce il funzionamento.

Ciao.

Cavolo Sestier hai ragione sì non ti avevo inteso, io avendo il WiFi sono sempre stato in rete nella mia vita quindi sempre con la Block ICMP ...Echo request messa in alto, la Block any è infatti un doppione

[29Leonardo]

Quote:

Originariamente inviato da Aleeee

ecco:

che ne pensate?

Dico che non è normale...credo..

A me blocca tipo 300 tentativi di intromissione al giorno solo per quanto riguarda le regole delle porte elencate in 1*pagina. ( 135-139 - 445-500).


PS
Curiosità ma il processo svchost si puo bloccare? o serve a qualcosa in particolare?

[Romagnolo1973]

Quote:

Originariamente inviato da Aleeee

ecco:

che ne pensate?

Guarda che sei in train sia nel firewall che nel D+ io così ci sono stato solo 2 giorni tanti mesi fa, penso che in Training non proteggi nulla, da quanto tempo stai così ?, il tuo FW sta imparando, non sta proteggendo al momento o forse ha imparato ad accettare cose che doveva invece segnalare, portati su di un livello , vai in Custom con il FW e in Clean PC con il D+, fatti una navigatina in rete e dimmi se blocca intrusioni. Se sì allora il FW funziona. A questo punto direi che devi fare una bella controllata con uno o meglio 2 antispy, cancellare quello che hai in Network Security Policy-Application Rules che non conosci, idem per il defence+ vai in advanced-computer security policy, nel dubbio rimuovi tutto e fallo ricominciare a imparare ma non stare in internet per alcune ore, quando decidi di stare sulla net allora alza il livello e vedrai fioccare le intrusioni
Per aumentare il livello clicca sul Train e su training che hai sullo screen che hai postato e aumenta il livello, guarda anche la pagina 2 che è Allert Setting e flegga tutto