COMODO Internet Security

[Drunke]

Allora non ci capisco più niente

La mia configurazione è la seguente;

Linea ADSL: Alice Casa Internet 7 Mega
Modem/Router: Alice Gate 2 Voip Plus Wi-Fi con 4 porte Ethernet
I famosi 2 PC collegati, ma non sempre accesi entrambi

Come viene definita una connessione così? Come devo configurare Comodo installato su entrambi i PC?

Vi sono molto grato per l'aiuto

Sperando in una soluzione....

[Romagnolo1973]

Quote:

Originariamente inviato da Drunke

Allora non ci capisco più niente

La mia configurazione è la seguente;

Linea ADSL: Alice Casa Internet 7 Mega
Modem/Router: Alice Gate 2 Voip Plus Wi-Fi con 4 porte Ethernet
I famosi 2 PC collegati, ma non sempre accesi entrambi

Come viene definita una connessione così? Come devo configurare Comodo installato su entrambi i PC?

Vi sono molto grato per l'aiuto

Sperando in una soluzione....

beh comunque ora i curiosoni no si fanno vedere ed è già buono
svchost e system sono comunque stumenti legittimi di windows che possono anche andare fuori, ma a volte curiosoni pure loro cerchiamo se ci si riesce d limitarli, ma la tua situazione ora è comunque tranquilla, prima non lo era tanto con quelle infezioni sul pc
sul pc dove hai cis o su entrambi se CIS è sui 2 la LAN che ti viene segnalata da CIS in zone network è del tipo Local Area network [tuo ip fisso del pc/255.255.255.0] con nome LAn#1 e basta?
prova il Altro - impostazioni-generale a togliere la spunta a Rileva nuove reti private poi riaccendi e metti la spunta a rileva nuove reti e riavvi ancora, dovrebbe darti un messaggio che trova la rete e lì non segnare nulla nella finstra, NON mettere che vuoi che altri pc siano visti dalla rete
Questa finestrella putroppo non è disponibile se non facendo così e a volte manco ricompae, se la mettessero tra le opzioni da settare sarebbe meglio, non vorrei che hai spuntato la rete in modo da vedere altri pc e magari poi vede l'alto collegato al router.
se sì proviamo a fare finta che i 2 pc non debbano dialogare tra loro in alcun modo e quindi cancella SVHOST e system e li metti in fondo e blocchi, lasci anche le regole 135-139-445-500 tra le globali e disattivi il netbios

insomma ripartiamo da una situazione standard iniziale, fai un po di giri internet normali e poi vedi il log quante intrusioni ha, vediamo di ripartire da capo ma on calma e senza preoccupazioni visto che il problema degli strani ip è stato risolto al 100%

[Drunke]

Quote:

Originariamente inviato da Romagnolo1973

beh comunque ora i curiosoni no si fanno vedere ed è già buono
svchost e system sono comunque stumenti legittimi di windows che possono anche andare fuori, ma a volte curiosoni pure loro cerchiamo se ci si riesce d limitarli, ma la tua situazione ora è comunque tranquilla, prima non lo era tanto con quelle infezioni sul pc
sul pc dove hai cis o su entrambi se CIS è sui 2 la LAN che ti viene segnalata da CIS in zone network è del tipo Local Area network [tuo ip fisso del pc/255.255.255.0] con nome LAn#1 e basta?
prova il Altro - impostazioni-generale a togliere la spunta a Rileva nuove reti private poi riaccendi e metti la spunta a rileva nuove reti e riavvi ancora, dovrebbe darti un messaggio che trova la rete e lì non segnare nulla nella finstra, NON mettere che vuoi che altri pc siano visti dalla rete
Questa finestrella putroppo non è disponibile se non facendo così e a volte manco ricompae, se la mettessero tra le opzioni da settare sarebbe meglio, non vorrei che hai spuntato la rete in modo da vedere altri pc e magari poi vede l'alto collegato al router.
se sì proviamo a fare finta che i 2 pc non debbano dialogare tra loro in alcun modo e quindi cancella SVHOST e system e li metti in fondo e blocchi, lasci anche le regole 135-139-445-500 tra le globali e disattivi il netbios

insomma ripartiamo da una situazione standard iniziale, fai un po di giri internet normali e poi vedi il log quante intrusioni ha, vediamo di ripartire da capo ma on calma e senza preoccupazioni visto che il problema degli strani ip è stato risolto al 100%

Eccoti lo screen



Mazza com'è venuto grande

[Roby_P]

Quote:

Originariamente inviato da Chill-Out

Stacca il cavo dalla scheda di rete, ed allega uno screenshot delle connessioni

Drunke, segui il consiglio di Chill-Out ed allega lo screenshot che gli diamo un'occhiata

Sto diventando curiosa ..... io ne ho 3 di pc collegati sempre al router, più due portatili e a volte pure i cellulari () e non ho mai avuto richieste sulla porta 5357 o protocollo 41

[Chill-Out]

Quote:

Originariamente inviato da Roby_P

Drunke, segui il consiglio di Chill-Out ed allega lo screenshot che gli diamo un'occhiata

Sto diventando curiosa ..... io ne ho 3 di pc collegati sempre al router, più due portatili e a volte pure i cellulari () e non ho mai avuto richieste sulla porta 5357 o protocollo 41

Il proto 41 è destinato all'instradamento dei pacchetti IPv6 ci deve essere qualcosa che non va a livello di configurazione di rete.

[Drunke]

Infatti anche per me è molto strano, comunque ho fatto come dice Chill, devo postarlo subito oppure aspetto un po? Grazie mille

Edit: I 2 PC usano Windows 7 rispettivamente 32/64 Bit non so se serva...

[Roby_P]

Quote:

Originariamente inviato da Chill-Out

Il proto 41 è destinato all'instradamento dei pacchetti IPv6 ci deve essere qualcosa che non va a livello di configurazione di rete.

Parli di me?
Io non ho una LAN, solo pc che usano lo stesso router

[Drunke]

Ecco lo screen attuale, non ci capisco più nulla




Edit: Il router prima era configurato per la connessione automatica, io invece l'ho tolta è l'ho messa manuale, o anche ripristinato i server DSN, non penso centri qualcosa....

[maxx1973]

Ciao a tutti, come promesso
posto alcuni screen delle nuove regole che ho fatto:









Penso di essere migliorato un po

Ho sempre i log su presunte intrusioni sulle porte lan bloccate, a farci caso anche a me si verificano con gli altri pc spenti. Esclusivamente sulle porta 137 e 138, da 192.168.1.255 che non so a cosa faccia riferimento perchè nessun pc virtuale o fisico ha quell'indirizzo assegnato:


02/15/10 08:04:45 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:04:48 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:04:50 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:04:52 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:04:54 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:04:56 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:04:58 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:05:00 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:05:02 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:05:07 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:05:09 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:05:11 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:05:13 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 08:05:15 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:05:17 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:05:19 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 08:05:21 Windows Operating System Bloccato 192.168.1.1 137 192.168.1.255 137 UDP
02/15/10 18:53:39 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 19:05:32 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
02/15/10 19:17:40 Windows Operating System Bloccato 192.168.1.1 138 192.168.1.255 138 UDP
Fine del Report

Potrebbe essere un IP di servizio usato da telecom o qualcosa del genere?
Guardando il router (Alice gate plus voip) gli indirizzi disponibili del dhcp sono
IP Iniziale 192.168.1.2 IP Finale 192.168.1.254
Essendo un router telecom non posso diattivare il dhcp....me lo devo tenere così..

EDIT: potrebbe essere il decoder di Alice Home TV che usa quell'indirizzo?
EDIT2: non è il decoder di alice perchè l'ho staccato ma le richieste da quell'indirizzo sulle porte 137 / 138 continuano

Per svchost consigliate di fare una qualche regola?

Grazie ancora a tutti

[Drunke]

Clamoroso!! Almeno spero
In poche parole, ristabilendo la connessione automatica il LOG adesso risulta pulitissimo


Va bene così oppure devo fare delle regole per System e svchost?


Questo?

[Xaolao]

Quote:

Originariamente inviato da Drunke

Clamoroso!! Almeno spero
In poche parole, ristabilendo la connessione automatica il LOG adesso risulta pulitissimo

te lo stavo per suggerire!

quelli non so se sono attacchi, perché mi è venuto in mente quando il prob a me si è risolto. Alla mia rete si è aggiunto un PC con Linux e allora ho impostato la conn auto perché così gli era più pratico connettersi.

hai fatto 192.168.1.1 e hai impostato "connessione bridged +routed" attiva?

P.S. comunque non penso che così le connessioni terminino in realtà; tu vedi il log pulito perché IMHO riescono ad andare a buon fine e noi non ce ne accorgiamo


EDIT: non so che è ekrn.exe, ma se è il proc di agg dell'antivirus penso basti "Solo in Uscita"

[Xaolao]

Quote:

Originariamente inviato da maxx1973

Ciao a tutti, come promesso
posto alcuni screen delle nuove regole che ho fatto:


Penso di essere migliorato un po

Ho sempre i log su presunte intrusioni sulle porte lan bloccate, a farci caso anche a me si verificano con gli altri pc spenti. Esclusivamente sulle porta 137 e 138, da 192.168.1.255 che non so a cosa faccia riferimento perchè nessun pc virtuale o fisico ha quell'indirizzo assegnato:


Potrebbe essere un IP di servizio usato da telecom o qualcosa del genere?
Guardando il router (Alice gate plus voip) gli indirizzi disponibili del dhcp sono
IP Iniziale 192.168.1.2 IP Finale 192.168.1.254
Essendo un router telecomnon posso diattivare il dhcp....me lo devo tenere così..

EDIT: potrebbe essere il decoder di Alice Home TV che usa quell'indirizzo?
EDIT2: non è il decoder di alice perchè l'ho staccato ma le richieste da quell'indirizzo sulle porte 137 / 138 continuano

per risolvere al di sopra delle regole di blocco per le porte 135ecc. prova a imporre una regola consenti da 192.168.1.1 a 192.168.1.255 range porte 137-138 (sia per or che dest). Sirio ci ha spiegato che lo puoi fare tranquillamente, sono com interne alla rete

192.168.1.255 penso stia a significare che la comunicazione è diretta a tutta la rete LAN

[Roby_P]

Quote:

Originariamente inviato da Drunke

Clamoroso!! Almeno spero
In poche parole, ristabilendo la connessione automatica il LOG adesso risulta pulitissimo

Va bene così oppure devo fare delle regole per System e svchost?
.....

Questo?
....

Secondo me le regole ora vanno bene
Come ti ha spiegato Romagnolo per svchost.exe si può fare di meglio, ma richiede un pò ti tempo....

Invece Blocca datagrammi di IP frammentati credo proprio che non vada spuntato soprattutto se hai un router, ora questa storia non me la ricordo bene, ne avevamo parlato tempo fa sul forum di Comodo mentre LORO facevano la traduzione di Comodo.
Aspetta Romagnolo per questa cosa, magari lui se la ricorda meglio

[Romagnolo1973]

Quote:

Originariamente inviato da Roby_P

Secondo me le regole ora vanno bene
Come ti ha spiegato Romagnolo per svchost.exe si può fare di meglio, ma richiede un pò ti tempo....

Invece Blocca datagrammi di IP frammentati credo proprio che non vada spuntato soprattutto se hai un router, ora questa storia non me la ricordo bene, ne avevamo parlato tempo fa sul forum di Comodo mentre LORO facevano la traduzione di Comodo.
Aspetta Romagnolo per questa cosa, magari lui se la ricorda meglio

no va bene così i dati frammentati vanno bloccati di norma e anche avendo un router è l'opzione di default e va benissimo, mi sembra di ricordare che ne avevamo discusso in sede di traduzione per non lasciare dubbi agli utenti nel leggere il testo perchè quello inglese lasciava qualche dubbio in più sull'uso della opzione

[Drunke]

Vi posso solo dire ché, facendo in questo modo penso di aver risolto il problema, le intrusioni da come si può vedere sono a 0, come nel tuo caso cara Roby
Vorrei solo sapere se per System è Svchost ci devono essere particolari regole oppure va bene "Applicazione Bloccata"

Grazie a tutti per l'aiuto è la pazienza dimostratami

[Romagnolo1973]

Quote:

Originariamente inviato da Drunke

Vi posso solo dire ché, facendo in questo modo penso di aver risolto il problema, le intrusioni da come si può vedere sono a 0, come nel tuo caso cara Roby
Vorrei solo sapere se per System è Svchost ci devono essere particolari regole oppure va bene "Applicazione Bloccata"

Grazie a tutti per l'aiuto è la pazienza dimostratami

non volendo condividere lasciali bloccati e in fondo dopo l'update di Win

Ma quindi hai risolto rifacendo il processo di individuazione reti? che non ho capito

[Drunke]

Quote:

Originariamente inviato da Romagnolo1973

non volendo condividere lasciali bloccati e in fondo dopo l'update di Win

Ma quindi hai risolto rifacendo il processo di individuazione reti? che non ho capito

No, ho risolto riabilitando la connessione automatica del router, prima l'avevo manuale, non so dirti altro, sicuramente è colpa del router di Telecom, fatto sta che adesso le intrusioni sono 0 spaccato

[@Sirio@]

Quote:

Originariamente inviato da Drunke

Ora o provato con le regole di sirio nel forum di comodo segnalatomi alcuni post fa, eccole

Codice:

Regola 1

Action = Allow
Protocol = UDP
Direction = Out
Description =
Source Address = (Zone) LAN #1
Destination Address = (Zone) LAN #1
Source port = 137
Destination port = 137

Regola 2

Action = Allow
Protocol = UDP
Direction = Out
Description =
Source Address = (Zone) LAN #1
Destination Address = (Zone) LAN #1
Source port = 138
Destination port = 138

Regola 3

Action = Block (flag su Log as a firewall event if this rule is fired)
Protocol = IP
Direction = In/Out
Description = Blocca e registra le richieste che non corrispondono
Source Address = Any
Destination Address = Any
IP Details = Any


Invece, per svchost.exe fai queste:

Regola 1

Action = Ask (flag su Log as a firewall event if this rule is fired)
Protocol = IP
Direction = Out
Description = Domanda e registra tutte le richieste in uscita
Source Address = Any
Destination Address = Any
IP Details = Any

Regola 2

Action = Block (flag su Log as a firewall event if this rule is fired)
Protocol = IP
Direction = In
Description = Blocca e registra tutte le richieste in entrata
Source Address = Any
Destination Address = Any
IP Details = Any

Le lascio che dici? Oppure faccio come dici tu?

Ecco un post delle regole

@ Drunke

Queste regole non sono generali, erano in risposta ad un utente che non ricordo. Putroppo System/svchost vanno settati in base alle proprie esigenze, cmq queste a seguire sono per tutti quelli che si collegano ad un router e non devono condividere con gli altri pc connessi al router.

CIS ancora non supporta l'IPv6 quindi per sicurezza va disabilitato: (per Win 7) Pannello di controllo -> Centro connessioni di rete e condivisioni -> sulla lista a sinistra della finestra clicca su Modifica impostazioni scheda -> doppio clic su la connessione che ti interessa -> Click su Proprietà (1) -> togliere la spunta sul Protocollo IPv6 (2) -> OK.




Hai detto che non condividi tra i due pc, vero?

Riporta allo stato originale le Regole Globali (dovresti trovare lo screen in prima pag.).

Se fosse così queste sono le regole per System (nelle Regole Applicazioni):


Regola 1

Action = Allow
Protocol = UDP
Direction = Out
Description =
Source Address = (Zone) LAN #1
Destination Address = (Zone) LAN #1
Source port = 137
Destination port = 137


Regola 2

Action = Allow
Protocol = UDP
Direction = Out
Description =
Source Address = (Zone) LAN #1
Destination Address = (Zone) LAN #1
Source port = 138
Destination port = 138


Regola 3

Action = Allow
Protocol = IP
Direction = Out
Description =
Source Address = Any
Destination Address = 224.0.0.22
IP Details = IGMP


Regola 4

Action = Block (flag su Log as a firewall event if this rule is fired)
Protocol = IP
Direction = In/Out
Description = Blocca e registra le richieste che non corrispondono
Source Address = Any
Destination Address = Any
IP Details = Any



Per svchost.exe fai questa e la metti sotto la regola Applicazioni Aggiornamento Windows

Regola 1

Action = Block (flag su Log as a firewall event if this rule is fired)
Protocol = IP
Direction = In/Out
Description = Blocca e registra le richieste che non corrispondono
Source Address = Any
Destination Address = Any
IP Details = Any


@ Roby

Non è una LAN vera e propria perchè non ci sono altri PC però è come se lo fosse (non chiedermi di spiegarti meglio perché non saprei farlo ).



@ maxx1973

Vanno bene anche per te basta che le metti sotto a quelle per la LAN (in realtà le regole 1 e 2 per System le hai già inglobate in quelle che dovresti avere per la LAN).



Susate se mi dimentico di qualcuno ma ora ho poco tempo, casomai ricordatemi

Ciao a tutti

[Drunke]

Ciao Sirio, io o così

[@Sirio@]

Quote:

Originariamente inviato da Drunke

Ciao Sirio, io o così

Devi cancellare quelle che hai aggiunto per le porte 135-139 445 e 500, perché le ho messe nelle regole per System (inglobate nella regola 4) nelle Regole Applicazioni.