COMODO Internet Security

[econos]

Quote:

Originariamente inviato da manidiburro

sto cercando di aggiungere delle regole per il p2p.. ho seguito le 5 regole scritte nella guida!!
uso torrent, in particolare azureus vuze..
il problema è questo: faccio partire azureus.exe e seleziono "tratta come: torrent(nome che ho dato alle regole della guida)".. e azureus si apre..
poi dopo qualche secondo si apre comodo e mi dice: azureus.exe chiede di acconsentire o meno a "TCP in uscita da IP qualsiasi a IP xxx (mi è uscita la stessa frase con vari IP) dove la porta di origine è qualsiasi e la porta di destinazione è l'80".. se faccio "tratta come" non mi fa più scegliere "torrent" e se clicco su "certifica come fidato" azureus parte ma nelle impostazioni di comodo azureus.exe non risulta più avere le mie regole "torrent" ma semplicemente "fidato"..

ps:quando ho fatto partire azureus per la prima volta, dove ho selezionato "tratta come: torrent", la porta che mi esce è quella che devo selezionare nelle regole come porta di torrent vero?

scusate se sono stato un po confusionario nello spiegarvi il mio problema

Una cosa simile è successa a me con eMule. Se ho capito bene succede perché nelle regole abbiamo messo di bloccare e mostrare tutte le richieste che non corrispondono. A me quando è capitata una richiesta simile, l'ho bloccata. Comunque per sapere se azureus è ancora impostato con le regole che hai chiamato "torrent" vai su "Policy sicurezza network" e controlla: dovresti vedere le regole che hai messo più quella con cui hai bloccato l'ultima richiesta... Forse non sono stato abbastanza chiaro però

[manidiburro]

ho istallato oggi comodo e mi ha bloccato 700 processi tutti uguali, così:

06/08/09 14:21:48 Windows Operating System Bloccato 76.178.78.56 37474 192.168.1.101 55555 UDP

ho sicuramente sbagliato a settare qualcosa vero?

[manidiburro]

Quote:

Originariamente inviato da econos

Una cosa simile è successa a me con eMule. Se ho capito bene succede perché nelle regole abbiamo messo di bloccare e mostrare tutte le richieste che non corrispondono. A me quando è capitata una richiesta simile, l'ho bloccata. Comunque per sapere se azureus è ancora impostato con le regole che hai chiamato "torrent" vai su "Policy sicurezza network" e controlla: dovresti vedere le regole che hai messo più quella con cui hai bloccato l'ultima richiesta... Forse non sono stato abbastanza chiaro però

si ma se la blocco non mi parte azureus!!

[Roby_P]

Quote:

Originariamente inviato da econos

Aggiornamenti: ho nuovamente disattivato il firewall di windows e sono ricominciati i messaggini di avast.
Ora però posso essere più preciso avendo fatto come hai detto tu e cioè controllando contemporaneamente le connessioni attive su Comodo.
Quello che viene fuori è che le voci che ti dicevo prima cioè System32 e SVCHOST, riportano una nuova voce:
TCP IN provenienti dallo stesso indirizzo IP segnalatomi da avast! E stavolta risultano Byte ricevuti. Non so se sono stato chiaro
A questo punto che faccio? Forse mi conviene chiudere le porte "incriminate" con i programmi indicati a pag 1?

Allora vediamo se ho capito bene....
Hai controllato le connessioni attive e ti sei accorto che sono svchost.exe e System a scambiare dati con quell'IP che ti segnala Avast, giusto??
Hai per caso l'IP che lo controlliamo?
Sicuro si tratti proprio delle applicazioni di sistema svchost.exe e System? (nella finastra Connessioni attive fai tasto dx su svchost.exe e seleziona Mostra intero percorso)
Comincio a pensare che avevi ragione tu ....... si tratta di un clamoroso falso positivo
Mi sa che Avast segnala come DCOM Exploit la normale attività del SO.
Se così fosse ti basterà disabilitare qualche servizio inutile (per esempio usando WWDC) per far sparire gli avvisi di Avast

Quote:

Originariamente inviato da econos

Edit: Ho controllato in "Policy sicurezza network" e ho visto che alle voci System e SVCHOST ho dato regole fidate: Consenti IP in Uscita da IP qualsiasi a IP qualsiasi... e Consenti IP in Entrata da IP qualsiasi a IP qualsiasi... Credo che sia questo il problema! Che impostazioni dovrei mettere?
Nel frattempo ho rimosso le voci System e SVCHOST da "Policy sicurezza network", e appena mi sono arrivati gli avvisi relativi di Comodo, ho bloccato.

Se non hai una LAN puoi bloccare completamente System, svchost.exe invece no o non ti funzionerà più internet
Per svchost.exe la soluzione migliore è disabilitare i servizi inutili del SO (trovi come fare spiegato nelle FAQ)

[Roby_P]

Quote:

Originariamente inviato da manidiburro

il problema della porta l'ho risolto.. ma ho editato il mio messaggio perchè è più incasinato del previsto e mi son venuti altri dubbi!!

OK ora vado a vedere cosa hai scritto, poi ti dico

[Roby_P]

Quote:

Originariamente inviato da manidiburro

sto cercando di aggiungere delle regole per il p2p.. ho seguito le 5 regole scritte nella guida!!
uso torrent, in particolare azureus vuze..
il problema è questo: faccio partire azureus.exe e seleziono "tratta come: torrent(nome che ho dato alle regole della guida)".. e azureus si apre..
poi dopo qualche secondo si apre comodo e mi dice: azureus.exe chiede di acconsentire o meno a "TCP in uscita da IP qualsiasi a IP xxx (mi è uscita la stessa frase con vari IP) dove la porta di origine è qualsiasi e la porta di destinazione è l'80".. se faccio "tratta come" non mi fa più scegliere "torrent" e se clicco su "certifica come fidato" azureus parte ma nelle impostazioni di comodo azureus.exe non risulta più avere le mie regole "torrent" ma semplicemente "fidato"..

Quando lanci una nuova applicazione ti arrivano pop up sia dal Firewall che dal D+, fai attenzione a non confondelri

La quarta regola è su Chiedi, quindi è normale che Comodo ti chieda cosa fare

Ora cerchiamo di rimettere tutto a posto
Vai in Policy Sicurezza Network, cerca azureus.exe, tasto dx sulla voce e scegli Modifica, poi selezioni la voce Usa Policy predefinita e dal menù a tendina scegli torrent, poi clicchi su Applica e poi su OK.
Quando avvierai di nuovo azureus, ti compariranno di nuovo i pop up per le richieste sulla porta 80 (come previsto dalla quarta regola). Ora non so di preciso come funziona azureus, però ad occhio e croce direi che se ti colleghi sempre agli stessi server, rispondi acconsenti e spunta la voce Ricorda la mia risposta, altrimenti non spuntare Ricorda la mia risposta.

Quote:

Originariamente inviato da manidiburro

ps:quando ho fatto partire azureus per la prima volta, dove ho selezionato "tratta come: torrent", la porta che mi esce è quella che devo selezionare nelle regole come porta di torrent vero?

scusate se sono stato un po confusionario nello spiegarvi il mio problema

Non quella non è la porta si azureus, la devi andare a cercare nelle impostazioni del programma

[Roby_P]

Quote:

Originariamente inviato da manidiburro

ho istallato oggi comodo e mi ha bloccato 700 processi tutti uguali, così:

06/08/09 14:21:48 Windows Operating System Bloccato 76.178.78.56 37474 192.168.1.101 55555 UDP

ho sicuramente sbagliato a settare qualcosa vero?

No non ti preoccupare, se usi programmi p2p è normale

[econos]

Quote:

Originariamente inviato da Roby_P

Allora vediamo se ho capito bene....
Hai controllato le connessioni attive e ti sei accorto che sono svchost.exe e System a scambiare dati con quell'IP che ti segnala Avast, giusto??
Hai per caso l'IP che lo controlliamo?
Sicuro si tratti proprio delle applicazioni di sistema svchost.exe e System? (nella finastra Connessioni attive fai tasto dx su svchost.exe e seleziona Mostra intero percorso)
Comincio a pensare che avevi ragione tu ....... si tratta di un clamoroso falso positivo
Mi sa che Avast segnala come DCOM Exploit la normale attività del SO.
Se così fosse ti basterà disabilitare qualche servizio inutile (per esempio usando WWDC) per far sparire gli avvisi di Avast



Se non hai una LAN puoi bloccare completamente System, svchost.exe invece no o non ti funzionerà più internet
Per svchost.exe la soluzione migliore è disabilitare i servizi inutili del SO (trovi come fare spiegato nelle FAQ)

Allora, da quando ho rimosso i permessi che avevo dato in Policy Sicurezza Network, mi arrivano molte segnalazioni di Comodo come queste che blocco puntualmente. E devo dire che non ho più visto un solo messaggio di avast di quel tipo. A questo punto devo settare bene System e SVCHOST.
Non ho una rete lan, quindi dici che dovrei disattivare System? Per quanto riguarda SVCHOST ora vedo di cercare nelle FAQ e poi ti so dire di più Attualmente la situazione di System e SVCHOST è questa:

[manidiburro]

Quote:

Originariamente inviato da Roby_P

No non ti preoccupare, se usi programmi p2p è normale

mmm.. il tasto "consenti" non risolve nulla.. e se invece selezionassi "client ftp"?!!
per quanto riguarda le 700 intrusioni bloccate ho capito.. non sono niente di preoccupante, è tutto normale.. in pratica, smentiscimi se ho capito male, dovrei preoccuparmi solo se comodo firewall o il defense + mi aprono il pop-up chiedendomi di acconsentire a cose "nocive" / sconosciute giusto?!

[Roby_P]

Quote:

Originariamente inviato da econos

Allora, da quando ho rimosso i permessi che avevo dato in Policy Sicurezza Network, mi arrivano molte segnalazioni di Comodo come queste che blocco puntualmente. E devo dire che non ho più visto un solo messaggio di avast di quel tipo. A questo punto devo settare bene System e SVCHOST.
Non ho una rete lan, quindi dici che dovrei disattivare System? Per quanto riguarda SVCHOST ora vedo di cercare nelle FAQ e poi ti so dire di più Attualmente la situazione di System e SVCHOST è questa:

Grazie dell'aiuto
Ci hai aiutato a risolvere un mistero, quello di Avast ed i DCOM Exploit

System lo puoi bloccare (tasto dx sulla voce, Modifica, scegli Usa Policy Predefinite e poi selezioni Applicazione bloccata).
Per scvhost.exe invece puoi scegliere se disabilitare i servizi manualmente o se usare uno dei due programmini che trovi nelle FAQ

Ciao ciao

[Roby_P]

Quote:

Originariamente inviato da manidiburro

mmm.. il tasto "consenti" non risolve nulla.. e se invece selezionassi "client ftp"?!!

Il punto è che le regole sono fatte così
Se non ti piacciono perchè ricevi troppe domande da Comodo, ti tocca aspettare qualcuno più esperto di me o che conosca bene azureus, perchè io non so proprio come modificarle per risolverti il problema

Quote:

Originariamente inviato da manidiburro

per quanto riguarda le 700 intrusioni bloccate ho capito.. non sono niente di preoccupante, è tutto normale.. in pratica, smentiscimi se ho capito male, dovrei preoccuparmi solo se comodo firewall o il defense + mi aprono il pop-up chiedendomi di acconsentire a cose "nocive" / sconosciute giusto?!

Sì esatto

[econos]

Quote:

Originariamente inviato da Roby_P

Grazie dell'aiuto
Ci hai aiutato a risolvere un mistero, quello di Avast ed i DCOM Exploit

System lo puoi bloccare (tasto dx sulla voce, Modifica, scegli Usa Policy Predefinite e poi selezioni Applicazione bloccata).
Per scvhost.exe invece puoi scegliere se disabilitare i servizi manualmente o se usare uno dei due programmini che trovi nelle FAQ

Ciao ciao

Sono arrivato ad alcune conclusioni: Windows firewall blocca di default il traffico sulle porte 135, 139...; Comodo da questo punto di vista deve essere configurato bene e con attenzione.
Avast monitora il traffico di rete e segnala i tentativi di attacco che blocca;
Avira o non fa questo tipo di lavoro oppure non lo segnala. Comunque, per quanto possa contare la mia opinione, se avete le porte incriminate aperte e usate avira, chiudetele!
Grazie Roby
P.S.
Ho definitivamente bloccato System e ho installato NVT Windows Securer per chiudere i servizi che possono diventare pericolosi. Vi aggiornerò appena faccio.

[econos]

Ho usato NVT Windows Securer e devo dire che è molto più semplice di quanto credessi
Tra l'altro ho usato la versione portable e non ho avuto bisogno di installare.
Comunque, per non andare sull'ot: ho disabilitato DCOM, DcomLaunch, Remote Access Service che erano indicati dal programma come pericolosi. Forse comunque dovrei anche configurare bene SVCHOST su Comodo, ma ho solo una vaga idea di quel che fare... Ma per adesso mi sento più sicuro.

[Roby_P]

Quote:

Originariamente inviato da econos

Sono arrivato ad alcune conclusioni: Windows firewall blocca di default il traffico sulle porte 135, 139...; Comodo da questo punto di vista deve essere configurato bene e con attenzione.

Il firewall di Windows blocca solo il traffico in entrata e non quello in uscita.
Comodo è un prodotto potentissimo se usato bene
Nel tuo caso il problema erano due regole permissive per System e svchost.exe.
Infatti come le hai cancellate sono ricomparsi i pop up di Comodo, che tu hai giustamente bloccato ed Avast non ha avuto modo di intervenire, perchè c'ha pensato Comodo a bloccare tutto

Quote:

Originariamente inviato da econos

Avast monitora il traffico di rete e segnala i tentativi di attacco che blocca;

Secondo me oltre a monitorare il traffico di rete (ma solo su alcune porte ), avvisa anche dell'utilizzo del servizio DCOM, del tipo "Attento che hai il servizio DCOM attivo e qualcuno lo sta usando", perchè nel tuo caso l'utilizzo era leggitimo
Cmq ha ragione Avast, segalo subito questo servizio

Quote:

Originariamente inviato da econos

Avira o non fa questo tipo di lavoro oppure non lo segnala. Comunque, per quanto possa contare la mia opinione, se avete le porte incriminate aperte e usate avira, chiudetele!

Sì esatto, Avira non lo fa
Io personalmente preferisco risolvere il problema alla fonte disabilitando i servizi, piuttosto che chiudere le porte

Quote:

Originariamente inviato da econos

Grazie Roby
P.S.
Ho definitivamente bloccato System e ho installato NVT Windows Securer per chiudere i servizi che possono diventare pericolosi. Vi aggiornerò appena faccio.

Attendiamo buone nuove

[Roby_P]

Quote:

Originariamente inviato da econos

Ho usato NVT Windows Securer e devo dire che è molto più semplice di quanto credessi
Tra l'altro ho usato la versione portable e non ho avuto bisogno di installare.
Comunque, per non andare sull'ot: ho disabilitato DCOM, DcomLaunch, Remote Access Service che erano indicati dal programma come pericolosi. Forse comunque dovrei anche configurare bene SVCHOST su Comodo, ma ho solo una vaga idea di quel che fare... Ma per adesso mi sento più sicuro.

Disabilita anche NetBIOS

[manidiburro]

ho capito qual'era il mio problema!!
bloccando la richiesta di connettersi a internet di azureus, da torrent scarico comunque normalmente!!
solo che azureus è un client che ha un'opzione chiamata "hd network".. quando lo apro tenta di connettersi ad internet per aprire questa pagina dove sono contenuti dei filmati in hd che azureus ti consiglia di scaricare..
quindi richiedeva TCP alla porta 80..

potrebbe essere una soluzione al problema la seguente modifica alla regola 4??! :
regola4
chiedi-->blocca
TCP
in uscita
escludi porte di origine 1025-65535 (per non andare in conflitto con la regola precedente)
escludi porte di destinazione 1025-65535 (per non andare in conflitto con la regola precedente)

sicuramente facendo così perderò in protezione (essendo totalmente inesperto non ho presente a cosa serviva esattamente la regola 4..) però il programma così mi scarica e hd network non si apre..

[econos]

Quote:

Originariamente inviato da Roby_P

Disabilita anche NetBIOS

L'avevo già disabilitato un po' di tempo fa

[econos]

Visto che mi arrivavano continue richieste dalla porta 135, ho provato a settare una regola per SVCHOST.
Però non so se va bene. Le impostazioni che ho dato sono queste:
Azione: Blocca (registra evento...)
Protocollo: TCP
Direzione: in Entrata
Indirizzo di origine, Indirizzo di destinazione e Porta di origine: qualsiasi
Porta di destinazione: 135
Se in questi giorni ho capito un pochino di come funziona Comodo, questa regola dovrebbe andare per bloccare i tentativi sulla porta 135.

[Roby_P]

Puoi anche fare una regola di blocco per svchost.exe, basta che la metti sotto alla regola per il gruppo Windows Updater Applications

[manidiburro]

3 domandine per voi:
1)CIS si aggiorna in automatico o devo farlo io da: altro-cerca aggiornamenti?
2)in defense+ policy di sicurezza del computer mi da tutte le applicazioni gestite come "policy personalizzata".. vuol dire che il d+ di comodo agirà in futuro in base a quello che gli ho detto di fare le prime volte che mi sono usciti i popup di quelle applicazioni?
3)se so che un'applicazione è sicura (tipo un .exe che è un gioco istallato sul pc) posso tranquillamente settare "considera l'applicazione sicura" al posto di fare "continua"?