# Форум на русском языке  > Решения по информационной безопасности  > Межсетевые экраны (firewall)  >  Как настроить Comodo?

## artstud

Здравствуйте!
Подскажите как правильно настроить Comodo.
Каждые пять секунд в Журнале отображает следующее:

Политика входящих нарушений (Доступ запрещен, IP=192.168.1.4 Порт 27017)
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.54 Порт nbname (137))
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.30 Порт nbdgram (13 :Cool: )

и еще ругается на svchost, которых 2 штуки
1й в c:\windows\system32 родитель `services.exe`
2й в c:\windows  родитель `неизвестно`

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

> 2й в c:\windows  родитель `неизвестно`


Вот это и подозрительно, попробуйте Правила выполнить, может найдут чего =)
Порт 27017 это видимо игровой сервер
137, 138 это нетбиос.

----------


## artstud

Поискал при помощи DrWeb и при помощи AVZ - никаких результатов.

На прошлой неделе находил таких гостей как: RemoteAdmin(30), PassView(27), PWS.Multi и Sentinel.

----------


## drongo

> Поискал при помощи DrWed и при помощи AVZ - никаких результатов.
> 
> На прошлой неделе находил таких гостей как: RemoteAdmin(30), PassView(27), PWS.Multi и Sentinel.


я не увидел вашей темы с логами :Huh:

----------


## Kinneas

Да уж, учитывая, что "второй" "svchost" находится, видимо в c:\windows, то без темы с логами действительно не обойтись..

----------


## artstud

А что делать с nbname(137) и nbdgram(13 :Cool: . Что это такое? А то я в этом ничего не понимаю.

----------


## Kinneas

Как сказать - что делать..  netbios name service и netbios datagram service и порты 137 и 138, упоминаемые Вами - часть механизма netbios over tcp/ip (если интересно что это - посмотрите хотя бы в Википедии). Отвечают эти порты за регистрацию и проверку сетевых имен, обнаружение сетевых устройств и тому подобное. Вообще говоря, если Вы пользуетесь локальной сетью только для выхода в Интернет, функционал отвечающий за эти порты неплохо было бы отключить.

----------


## artstud

Локальной сетью действительно пользуюсь только для выхода в интернет.
А как отключить этот самый функционал?

----------


## Kinneas

К примеру, прочитать здесь:
http://forum.kaspersky.com/index.php?showtopic=30184

----------


## artstud

Спасибо! Сейчас попробую сделать.

*Добавлено через 2 часа 22 минуты*

2 Kinneas
Сделал все как написано на форуме. Ситуация с фаерволом не изменилась. Также ругается  "Политика входящих нарушений".

----------


## XP user

> Сделал все как написано на форуме. Ситуация с фаерволом не изменилась. Также ругается  "Политика входящих нарушений".


@ *artstud*:

У вас проблемы не пройдут сами по себе, даже если у вас 10 файрволов. У вас какой-то левый svchost, чьи отец и мать - неизвестны (он НЕ ДОЛЖЕН находиться в c:\windows). Поэтому предлагаю вам выполнить правила и открыть тему в разделе Помогите.

Paul

----------


## Kinneas

Здравствуйте, Paul.

Я тоже собирался это сказать, но тема в разделе "Помогите" была уже открыта и хелперы даже уже запостили необходимые для лечения скрипты, так что я автоматически подумал, что о фальшивом svchost уже можно не беспокоиться.

----------


## XP user

> Здравствуйте, Paul.
> 
> Я тоже собирался это сказать, но тема в разделе "Помогите" была уже открыта и хелперы даже уже запостили необходимые для лечения скрипты, так что я автоматически подумал, что о фальшивом svchost уже можно не беспокоиться.


Да... только что увидел, что тема уже открыта, но дело до конца ещё не доделано, по моему...
@ artstud:
Если все звери убиты, то тогда покажите отчёт TCPView.
В статье, которую привёл Kinneas не указано, что надо ещё применть Windows Worms Doors Cleaner.
Открыть программку. Все параметры должны быть зелёными. Если нет, то тогда нажать Disable и перезагрузить компьютер.

Paul

----------


## Kinneas

На правах оффтопика: не совсем понятно, кстати говоря, почему до сих пор в той статье ничего не сказано про wwdc, стоило бы попросить модераторов исправить, ведь именно благодаря wwdc закрываются порты 445, 135 и 137-139, которые "штатными" средствами закрыть нельзя.

----------


## ALEX(XX)

> надо ещё применть Windows Worms Doors Cleaner.
> Открыть программку. Все параметры должны быть зелёными. Если нет, то тогда нажать Disable и перезагрузить компьютер.
> Paul


Странная прога.. Заорала, что у меня вирус, ибо svchost слишком большой и бушует не в меру

----------


## XP user

> Странная прога.. Заорала, что у меня вирус, ибо svchost слишком большой и бушует не в меру


Да, там какие-то параметры заданы для svchost. Если он больше определённого количество МБ использует, то тогда это требует внимание. Если вы точно знаете, что заражения нету, то тогда можно не обращать внимание. Перезагрузить комп тоже вариант. Программка очень хорошо закрывает все уязвимые порты (135, 445, 137-139, 5000, и отключает Службу сообщений).

P.S.1: Если ответить на вопрос темы: 'Как настроить Comodo?', то тогда ответ такой:

В раздел Network Monitor (Сетевой Монитор) должны быть 3 правила для пакетов *если у вас IP-адрес постоянным*:
1. Разрешать + Журнализировать *UDP Исх*, Источник (любой), Получатель: (DNS-адреса вашего провайдера) - порт источника (любой) - Порт Получателя *53*
2. Разрешать + Журнализировать *TCP Исх*, Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
3. Блокировать + Журнализировать *IP Вх/Исх*, Источник (любой), Получателя (любой), - порт источника (любой) - порт получателя (любой)

Таким образом, даже когда вы разрешите на уровне приложений что-то не то (или Троян щёлкает 'разрешить'), то тогда беды не будет - блокируется всё равно.

*Если IP-адрес меняется каждый раз*, то тогда получаются 4 правила:
1. Разрешать + Журнализировать *UDP Вх/Исх*, Источник (любой), Получатель: (желательно только DHCP-адреса вашего провайдера), - порт источника *68*, порт получателя *67*.
2. Разрешать + Журнализировать *UDP Исх*, Источник (любой), Получатель: (DNS-адреса вашего провайдера) - порт источника (любой) - порт получателя *53*
3. Разрешать + Журнализировать *TCP Исх*, Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
4. Блокировать + Журнализировать *IP Вх/Исх*, Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)

Далее, в разделе 'Защита' - 'Дополнительно' - 'Дополнительное Обнаружение и Отражение атак' ('Настройть' - 'Разное') надо отметить ВСЕ пункты, Нажать ОК, и перезагрузить компьютер.

P.S.2: Геймеры и другие, которым нужен 'высокий' Ping должны оставить правила по умолчанию для ICMP пакетов, иначе успеха не будет. Самое главное - не забудем, что блокирующее правило должно стоять ниже, чем разрешающее.

Paul

----------


## artstud

Здравствуйте! Это выводит в окошке TCPView:

System:4	TCP	 foto-08f50b72bf:microsoft-ds	foto-08f50b72bf:0	LISTENING
svchost.exe:740	 TCP	foto-08f50b72bf:epmap	foto-08f50b72bf:0	LISTENING
IEXPLORE.EXE:204	 UDP	foto-08f50b72bf:1088	* :Kiss: 
System:4	UDP	 foto-08f50b72bf:microsoft-ds	* :Kiss: 

В wwdc Enable Locator и Close Messenger - желтенькие. Остальное все зеленое.

----------


## XP user

> В wwdc Enable Locator и Close Messenger - желтенькие. Остальное все зеленое.


ОК. Параметр Messenger - Он видимо не может найти ключ. Это ничего страшного. Для полного закрытия порта 445 я вам сейчас напишу инструкции. Ждите немного.  :Smiley: 
*Update*:
Пуск - Выполнить:
- HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableDCOM" - поставить на N.
- HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableRemoteConnections" - поставить на N.
- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCO  M Protocols" - удалить параметр "ncacn_ip_tcp"
Перезагрузить комп.

Paul

----------


## artstud

1 - уже стоял N.
2 - такого нет. Создать?
3 - без параметров.

----------


## XP user

> 2 - такого нет. Создать?


Да. Можно создать. У меня в данном окне (HKEY_LOCAL_MACHINE\Software\Microsoft\OLE) ещё стоят:

  Название:            EnableRemoteConnect
  Тип:            REG_SZ
  Значение:            N

  Название:            EnableDCOM
  Тип:            REG_SZ
  Значение:            N

  Название:            EnableDCOMHTTP
  Тип:            REG_SZ
  Значение:            N

После изменений ПЕРЕЗАГРУЗИТЬ систему!

Paul

----------


## artstud

Сделал все как вы советовали. Спасибо огромное за помощь!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Karlson

а есть ли в Комомдо возможность закрыть паролем настройки от шаловливых ручек? 
что-то я не нашел.. очень даже допускаю, что плохо искал..  :Smiley:

----------


## XP user

> а есть ли в Комомдо возможность закрыть паролем настройки от шаловливых ручек? 
> что-то я не нашел.. очень даже допускаю, что плохо искал..


В 2 - нет. В 3 - да.

Paul

----------


## PavelP

> а есть ли в Комомдо возможность закрыть паролем настройки от шаловливых ручек?


Разное-Настройки-Родительский контроль- "Включить защиту паролем для настроек"

----------


## Solaris_Legion

А я в этом бесплатном Комодо по глупости под запрет поставил аудиоплеер Spider Player, он работает, но нельзя просто мышью перетащить музон в плейлист. Как отменить политику фаервола в отношении этого плеера?

----------


## Palm

У меня версия CIS_3.11.108364.552_XP_Vista_x32 (установлена только "фаервольная" часть). Я отключил его в автозагрузке и запускаю сам, но если я забываю это сделать, то он блокирует интернет в ограниченной учётке. То есть ни одна страница в браузере не загружается, это можно исправить?

----------

