Test: Comodo Firewall

[petterg]

siDDIs: comodo sjekker ikke bare hvilket program som kommuniserer med omverden, men også hvilket program som initierte dette. Altså om et virus starter i.e. for å gjøre et eller annet kommer comodo til å spørre om du vil tillate dette, selv om du før har sagt den skal godtta i.e.

 

 

Det er to grunner til at jeg sluttet med Comodo:

1: Den sperrer for SIP trafikk selv om brannmuren slås helt av. Programmet måtte faktisk avinstalleres for at IP-telefonene skulle virke!

 

2: excel 2000 (alle office etter 2000 har så mye jalla at jeg nekter å bruke dem) blir hindret i å overskrive eksisterende fil, og den eksisterende filen slettes! Eksempel: man starter i et blankt excelark. Larger "test.xls". Man jobber videre i dokumentet og trykker save -> man får melding om access denied -> trykker OK -> filen test.xls blir slettet fra disken. Man trykker save igjen og alt går fint.

Ved å sette brannmuren til "allow all trafic" kan man lagre i excel på vanlig måte....

[Dummst]

Det handler vel ikke bare om trojanere, men også det at de fleste som gir ut programmer og spill tydeligvis ser det som en folkerett å få bruke nettlinja di til å "ringe hjem og prate om Gud-vet-hva".

[abejan]

Etter min mening er personlige brannmurer noe herk som lager mye mer trøbbel enn det løser. De roper ulv altfor ofte og skaper ofte problemer på helt usannsynlige steder i diverse programmer. De fleste normale brukere har ikke peiling på hva de svarer ja eller nei på uansett, og ender ofte opp med å svare ja hele tiden. Dvs. falsk trygghet.

 

Personlige brannmurer er noe "fjortiseksperter" klamrer seg til i mangel av bedre vitende.

 

Skal du være sikker:

- Skru på firewall og trafikklogging i routeren. Da beskytter du alle maskinene dine på en gang.

- Bruk en ikke altfor masete viruskontroll, som kke slutter å virke når abonnementet går ut.

- Bruk UAC i Vista Ja, den roper ulv den også, men de fleste vanlige brukere (dvs de som er mest utsatt for virus etc) gjør ikke systemendringer så ofte uansett.

- Kjør som vanlig bruker, ikke admin.

- Bruk firewallen i Windows. Ok, den er ikke så veldig bra, men den lesser hellet ikke brukeren ned med spørsmål.

- Dersom du skal sjekke ut tvilsomme nettsteder evt. programvare med tvilsom opprinnelse, sett opp en virtuell maskin i f.eks Virtual PC, VirtualBox eller VMWare og test ut der. Microsoft har gratis nedlastbare Windows-evalueringer som varer i 30 dager.

[Rizzla]

Jeg har brukt Commodo nå i ca ett år, og liker vedig godt den gode kontrollen den gir. Mange programmer ønsker tilgang til skjermen, tastaturet direkte men fungere likevel helt normalt om jeg blokkerer dette i Commodo. Jeg bruker som regel å teste med å blokkere for å se om programmet fungerer uten tilgang til for eksempel skjermen direkte. Gjør den det (som samtlige program har gjort til nå) gjør jeg valget permanent neste gang jeg kjører det.

Jeg liker veldig godt den gode kontrollen den gir, men den kan være utrolig masete. Spessielt om program til stadighet skal skrive nye oppføringer til registeret vil dette virke masete. Det finnes likevel muligheter for å unngå dette ved å velge trust this application, men selv da kan brannmuren fortsette og mase. Likevel, programmet kommer jeg til å bruke fremover også, nettopp på grunn av kontrollen det gir. Jeg prøver mange ganger programmer som pirat vare, og da er dette spessielt nyttig siden mange pirat varer som ligger ute inneholder mal-ware eller virus.

[Dummst]

Personlige brannmurer er noe "fjortiseksperter" klamrer seg til i mangel av bedre vitende.

 

Hvilket av punktene på lista di gir deg kontroll over hvilke prosesser som får lov til å bruke linja di?

 

Windows Firewall?

Endret 1. november 2008 av Dummst

[Wubbable]

Bruker ESET Smartsecurity jeg

Sikkert ikke verdens beste brannmur, men fungerer perfekt til mitt behov. (Som er å blokkere et par programmer fra internettilgang) (Og nei, hostsfilen fungerer ikke, programmene sjekker den)

[tacomodo]

Personlige brannmurer er noe "fjortiseksperter" klamrer seg til i mangel av bedre vitende.

 

Hvilket av punktene på lista di gir deg kontroll over hvilke prosesser som får lov til å bruke linja di?

 

Windows Firewall?

Start -> run -> services.msc

[Dummst]

Start -> run -> services.msc

 

Greit nok om du vil styre hvilke services som starter og ikke, men hvilke prosesser som kjører på maskina di, og hvorvidt de har tilgang på linja di, har det ellers lite å gjøre med. De færreste programmer kjører som service, og jeg har enda til gode å se et spill som gjør det.

 

Beklager halv-trolling, men tok meg en smule nær av at du kalte "personlig brannmur" for "fjortisekspertise", og samtidig anbefalte Windows Firewall i ett og samme innlegg. En anelse forunderlig, imo.

[siDDis]

siDDIs: comodo sjekker ikke bare hvilket program som kommuniserer med omverden, men også hvilket program som initierte dette. Altså om et virus starter i.e. for å gjøre et eller annet kommer comodo til å spørre om du vil tillate dette, selv om du før har sagt den skal godtta i.e.

 

Akkurat, så om firefox eller internett explorer er godkjent så kan viruset bruke dei to for å kommunisere med resten av verda. Brannmur trengs ikkje så lenge ein ikkje ønsker logging av nettverkstrafikk. For beskyttelse så er det bare markedsføring som har betydning. Microsft bruker ikkje firewall til deiras produksjonsservere som kjørere www.microsoft.com

[Gjest medlem-82119]

Bruker comodo på både xp og vista, og er kjempefornøyd.

Enkle menyer, med gode forklaringer.

Liker spesielt at man har nærmest ubegrensede valgmuligheter til å sette den opp slik man selv vil.

Når det gjelder varslingen, kan man selv bestemme hvor mye man vil ha av det:

Ligger under firewall/advanced/firewall behavior settings/alert settings

Skal jeg klage på noe, er det at jeg synes defence+ burde vært en fast del under firewall isteden for et separat valg, siden det er så viktig og man tidvis må lete mellom firewall og defence+ hvis man er usikker på noe.

Beste brannmuren JEG har vært borti, ihvertfall....

Når det gjelder office har jeg aldri opplevd det problemet, men antar man kan whiteliste det programmet/filtypen under defence+ settingene.

[maximus]

Om du er allereie infisert av ein trojansk hest eller virus så har du meir å bekymre deg over enn å sperre for uttrafikk. Det er f.eks ingen problem med å bruke firefox eller explorer til å ta seg av trafikken ut! Så lenge det ikkje er heilt sperra då.

 

 

Mere å bekymre meg for? Det er jo nettop det som er poenget. Når du har sperret ut trafikken til trojaneren så har du forhindret oppgaven dens.

Endret 3. november 2008 av maximus

[maximus]

Akkurat, så om firefox eller internett explorer er godkjent så kan viruset bruke dei to for å kommunisere med resten av verda. Brannmur trengs ikkje så lenge ein ikkje ønsker logging av nettverkstrafikk. For beskyttelse så er det bare markedsføring som har betydning. Microsft bruker ikkje firewall til deiras produksjonsservere som kjørere www.microsoft.com

 

Det er jo nettop dette Comodo detekterer. Det vil si at den stopper virus som prøver å gå ut via prosesser som allerede har tillatelse "Leak detection".

[siDDis]

Akkurat det har eg liten tro på, prøv å terminalen og skriv explorer http://www.vg.no, fungerer dette så vil det fungere for eit virus også.

[sinnaelgen]

i kveld da jeg skulle bruke pcen min med Comondo installert,

etter en normal oppstart og innlogging ( xp pro sp3) kom det en advarsel om et aller annet aktivex som ikke fungerte så låste omtrent alt seg.

 

det eneste som fungert var å bevege musen.

jeg kunne riktignok starte opp i sikkerhets modus men da blir bildet feil ( 800 x600 mot 1280 x 1024) og mye annet som ikke fungerer.

 

alle andre valg fungerte ikke.

jeg har ikke peiling på hvor problemet ligger hen.

 

da jeg fjernet Comondo ( i sikkerhets ) og etter en omstart , valgte å aktivere Windows sin brannmur middeltidlig .

 

da klarte jeg å komme hit til hardware.no.

 

er det noen som har peiling på hvordan jeg kan få comondo til å godta aktivex feil?

 

 

på bakgrunnen er det kommet et valg om å gjenopprette aktive desktop som ikke ser ut til å virke.

Endret 3. november 2008 av elg-elg123

[maximus]

Akkurat det har eg liten tro på, prøv å terminalen og skriv explorer http://www.vg.no, fungerer dette så vil det fungere for eit virus også.

 

Nei. Fordi comodo sjekker hva slags prosess som prøver å starte Explorer. Det du beskriver her er kjente prosesser for comodo.

[Uluen]

Nok en grundig brannmur test på hw.no, /rolleyes

[arnizzz]

Jeg er enig med siDDIs. HTTP/S = universal firewall bypass protocol

 

Om du har trojaner, så har den mest sannsynligvis admin-rettigheter og da er det ikke lange veien til å "eie" comodo og alt annet på maskinen din.

 

Personlige brannmur er etter min mening anti-produktivt. Dedikert brannmur box, i tillegg til en enkel personlig brannmur som sperrer for innkommende "anrop" er min løsning på hjemmenettverket. Helt standard, og ikke noe MAS. Med logging og f.eks bruk av IDS på hovedbrannmuren så vil man være temmlig sikker på at man vet hva som foregår på nettverket i tillegg til at man opplever minimalt med masing i hverdagen.

Endret 4. november 2008 av arnizzz

[tommyb]

Jeg er enig med siDDIs. HTTP/S = universal firewall bypass protocol

 

Som allerede sagt her, ... Nei.

 

Informasjonen i dette innlegget er basert på min tolkning av hvordan defence+ virker og bør tas mer som en indikasjon på teknologien bak enn en faktabasert forklaring

 

-

 

Comodo med Defence+ tillater ikke en windowsprosess å manipulere nettleseren i skjul uansett port, lokasjon eller hvilken prosess det er. Dette er langt mer paranoid enn den tradisjonelle "tillat port 80-trafikk"-brannmuren.

 

Defence+ som er en HIPS, overvåker alle prosesser, minne, til og med tastatur. Har fått beskjeder av typen "(navn på microsoft-program) forsøker å lese input-data fra tastaturet, ønsker du å tillate dette?" Den kan finne på å spørre "Explorer.exe forsøker å få iexplore.exe til å gå til en webside. Ønsker du å tillate dette?" eller "svchost.dll forsøker å få tilgang til minneområdet til firefox.exe. Ønsker du å tillate dette?"

 

Defence+ fungerer slik at dersom en service eller program forsøker å påvirke en annen service eller program på en rekke måter vil Defence+ klikke fullstendig og gi deg en hel haug med advarsler. Du klarer ikke få infisert noen "tiltrodde prosesser" fordi ingen prosesser er tiltrodde. Dette er antakligvis den mest paranoide (og dermed effektive - og plagsomme) beskyttelsen jeg har sett i noe sikkerhetsprogram. Et program, være seg hentet ned med windows update eller av en trojaner, vil ikke klare å bli installert før du har klikka OK en dusin ganger.

 

Dette gir en ekstra dimensjon av sikkerhet fordi Comodo beskytter datamaskinen fullstendig i hjel. Å ha Defence+ slått på er av samme grunn en major annoyance sammenliknet med f.eks. de nye sikkerhetsmekanismene som Vista har fått så mye kjeft for.

 

Dersom du allerede har kjørt KEYGEN.EXE på maskina di og denne begynner å manipulere windowsapplikasjoner og/eller registryinnstillinger vil Defence+ få fullstendig panikkanfall og du vil få tilbakemelding om hva trojaneren forsøker å gjøre, og om du vil tillate dette. Dermed må du nesten tillate trojaneren å manipulere Comodo brannmur eller en bakenforliggende service før Comodo kan bli pwned. Dette er den største forskjellen på en HIPS-aktivert brannmur og en tradisjonell portkontroll-løsning. Den legger seg opp i selv operativsystemets interne tjenester.

 

Det første jeg gjør når jeg installerer Comodo er å slå av Defence+. Og dermed gjøre meg selv mer sårbar for trojanere. Ellers synes jeg ikke Comodo er mulig å leve med.

 

Dette kan jeg gjøre med relativt god samvittighet fordi:

- Dette er et ekstra nivå med sikkerhet som likevel ikke følger med det som jeg regner som alternative produkter (sist jeg sjekka).

- De fleste som får en trojaner installert vet uansett at de er i ferd med å installere NOE. De vet bare ikke at det er en trojaner. De vil få opp advarsler men anta at de vet hva de er i ferd med å slippe inn. Derav navnet.

 

 

Comodo Firewall m/ Defence+ er naturligvis ikke umulig å "bli kvitt" sett fra en spywareprogrammerende persons synspunkt, men jeg kan ikke skjønne annet enn at det må være mye vanskeligere å angripe innenfra enn f.eks. gratisversjonen av zonealarm.

 

Det er bare det at en betydelig andel av brukerene slår likevel av Defence+.

Endret 4. november 2008 av tommyb

[siDDis]

Sorry, men alt det der høyres ut som reklame, du måtte ha klikka tusen gonger "ok" for i det heile tatt kunne ha brukt pcen. Det er vanvittig mange applikasjoner, services, bibloteker som bruker internet explorer. Beskytter den mot endringer i minnet?

 

Eller kva med virus som slår til ved maskinoppstart? Ved å f.eks lage eit virtuelt nettverkskort for så å infinsere på protokoll nivå?

Håndterer den også f.eks for dhcp poisoning? F.eks om ein kompis kobler seg til på nettverket ditt så kan han logge all nettrafikk du sender ut og inn.

[petterg]

Sorry, men alt det der høyres ut som reklame, du måtte ha klikka tusen gonger "ok" for i det heile tatt kunne ha brukt pcen.

 

Jepp - det er akkurat det som er det værste med å installere full comodo - man trykker OK i evigheter før man får gjort noe som helst nyttig.

For å bøte på dette kan den settes i learning mode, som i praksis er "tillat og husk alle prosesser som prøver å kjøre nå". Ved å ha på dette i et par dager på en pc du vet er frisk, blir comodo ganske medgjørlig.

F-secure har tenkt noe lignende i en beta som har vært tilgjengelig for partnere en stund. Den er ikke noe i nærheten av like grundig, og gjør også pc'n treig.

 

Comodo er et meget sikkert produkt, men går altså litt langt i å spørre hva som skal tillates, så brukere lett tilater for mye. Og som nevnt sperrer den for et par ting uansett hvordan man konfigurerer den.

 

Som mange har nevnt er router med innebygget og påslått brannmur en god løsning hjemme. På bærbare PC'r som stadig er innom usikre soner og mobile nett og dersom man bruker vpn til nett man ikke kan stole helt på, er software brannmur eneste alternativet.