PDA

Visualizza versione completa : Dubbio NOD32 + COMODO INTERNET SECURITY


Alfabeto
22-04-2009, 13.15.09
Ho installato da poco COMODO INTERNET SECURITY 3.8.65951.477 (solo il firewall) e ora lo sto configurando però qualcosa non mi torna...

Sto cercando di bloccare l'accesso a pro.getright.com (IP 64.184.186.212) a Getright.

Ho impostato il livello del firewall su CUSTOM POLICY MODE e settato su VERY HIGH l'alert settings.
Ho inoltre controllato che nella NETWORK SECURITY POLICY non ci siano regole associate a getright....
In questo modo, corregetemi se sbaglio, ho modo di controllare e di impostare a piacere le regole per l'applicativo in questione.

Fatto questo apro Getright e CIS mi chiede l'autorizzzione per il DNS, e io la concedo. Controllo ed effettivamente è stata aggiunta la regola corretta.
Ora se provo a vedere tramite Getright se sono disponibili aggiornamenti, CIS non si accorge di nulla e quindi non blocca nulla. Non solo, ma se provo con il Getright browser ad accedere ad un qualunque sito (www.adobe.com ad esempio) CIS mi lascia passare senza nessun problema, nononstante l'unica regola impostata sia quella per il solo DNS (53:UDP)

Usando TCPView ho notato che Getright passa attraverso il NOD (ekern.exe:30606), cui ovviamente è consentito il traffico http, ed è quest'ultimo che accede a 64.184.186.212:http.

Fatta questa premessa, mi chiedo: CIS dove interviene? A livello di singola applicazione, e quindi si tratta di un bug o di una mia errata configurazione, o a livello di rete per cui CIS vede solo che ekern.exe tenta di collegarsi esternamente e non sa nulla di più sull'applicazione che sta a monte?

Spero di essere stato chiaro, anche se un po' prolisso....

Come sempre un grazie a tutti! :)

Lionsquid
22-04-2009, 14.14.31
non uso comodo da troppo tempo per ricordarmi come fare le relogle personalizzate...

però, prima di complicarmi la vita proverei a bloccare inserendo il blocco nel file HOSTS

io uso online armor e appena intercetta una chiamata al DNS(porta 53) mi specifica chi chiama e atraverso quale applicativo e quindi applico la regola cliccando semplicemente su OK o BLOCK

Alfabeto
22-04-2009, 14.56.07
non uso comodo da troppo tempo per ricordarmi come fare le relogle personalizzate...

però, prima di complicarmi la vita proverei a bloccare inserendo il blocco nel file HOSTS



Avevo pensato di dare una ritoccatina al file HOSTS, ma poi non riesco ad accedere a quell'host in nessun modo. Nel caso di Getright se volessi accedere via browser al sito pro.getright.com, per controllare eventuali aggiornamenti, non potrei farlo se non editando nuovamente HOSTS.
Sarebbe tutto un metti e togli.... poco funzionale e :wall:

Mi pare impossibile che Comodo non preveda una cosa del genere....

boyashi
22-04-2009, 15.07.06
Sono gli svantaggi dei software commericiali. Ti vorrei consigliare di passare a qualche altro download manager gratuito e perfino migliore di Getright. Sicuramente eviterai di dover fare l'acrobata.

Alfabeto
22-04-2009, 16.24.43
Sono gli svantaggi dei software commericiali. Ti vorrei consigliare di passare a qualche altro download manager gratuito e perfino migliore di Getright. Sicuramente eviterai di dover fare l'acrobata.
Sono d'accordo e in effetti Getright lo uso solo raramente e solo per determinati download... Per le cose di tutti i giorni uso di solito Orbit Downloader.

La questione comunque resta e, in definitiva, ha poca importanza che il tutto sia nato da un download manager. In buona sostanza sto cercando di impedire ad una applicazione di collegarsi ad un determinato IP, cosa che un firewall deve fare senza problemi....

[EDIT]
Comincio a pensare che CIS non si accorga nemmeno di tutto quello che sta sopra al NOD.... L'ho tenuto d'occhio e oltre il 95% del traffico è sempre associato a ekern.exe

Alfabeto
24-04-2009, 15.40.24
Vi aggiorno sulla situazione.

Ho sottoposto la questione nel forum di COMODO. (per gli interessati ecco il link (http://forums.comodo.com/italiano_italian/nod32_40_comodo_firewall_38-t38265.0.html))

Dunque la cosa è in effetti più importante di quanto possa sembrare, infatti la funzione "WEB ACCESS PROTECTION" di NOD32 intercetta le connessioni di tipo http e ftp (queste porte le ho testate di persona, ma potrebbe succedere anche per altri servizi), scavalcando completamente il firewall che non si accorge assolutamente di nulla e quindi non è in grado di fare il suo dovere.

Per il firewall risulta essere ekern.exe, il motore di NOD, ad effettuare le connessioni all'esterno, e ovviamente a questo applicativo, riconosciuto come sicuro, è garantita ampia libertà altrimenti sarebbe impossibile accedere a Internet.

Al momento l'unica soluzione percorribile è la disabilitazione di questa funzione sul NOD, rinunciando così ad un controllo tempestivo e più efficace del traffico da parte dell'Antivirus. Fatto ciò il traffico viene correttamente intercettato da COMODO e tutto si svolge regolarmente.

Segnalo la cosa perchè penso sia abbastanza rilevante e potenzialmente pericolosa e lascio ai moderatori facoltà di mettere in guardia altri utenti che utilizzano questi 2 programmi, nel modo che più ritengono opportuno.

Come potete vedere al link che ho postato, ho inoltre chiesto espressamente al moderatore del forum di COMODO se sia opportuno segnalare questo strano comportamento agli sviluppatori del firewall perchè possano trovare una efficace soluzione.

Sergio Neddi
24-04-2009, 21.39.09
Come al solito, gli antivirus moderni hanno funzioni di filtraggio analoghe a quelle dei firewall e quindi è facile che vadano in conflitto con essi.
L'unica è utilizzare una suite unica che fa tutto, almeno non dovrebbe andare in conflitto con se stessa.
Che palle!

leofelix
24-04-2009, 22.21.24
Alfabeto,
lascia che io mi complimenti con te vuoi per la tua competenza e preparazione vuoi per la padronanza linguistica e anche per il modo garbato con cui hai prima steso il "global moderator" della Comodo, che non sembrava arrendersi nemmeno di fronte alla evidenza, vuoi perché tutto questo ha messo in evidenza un problema serio del Comodo FW.
Infatti nei termini posti è evidente che anche una applicazione indesiderata potrebbe scavalcare il Comodo FW, cito dalle parole del "Global moderator"

"Ricordiamoci che questo NOD4 con la funzione "Web Access Protection" è uscito successivamente al CIS, e quindi ai suoi sviluppatori è stato possibile studiare un modo per interporsi o scavalcare CIS"

La web access protection è presente anche nel NOD 3.0 che è stato rilasciato prima del CIS.
Moltissimi antivirus hanno la medesima funzione, anche l'Avast home che è gratuito offre da tempo una protezione web che non andava d'accordo con quella fornita con lo ZoneAlarm per esempio.
Anche il Kaspersky Antivirus offre il controllo delle porte HTTP/HTTPS.
Credo che la Comodo dovrà lavorare seriamente su quanto da te fatto presente.

Nel frattempo io sono passato a OnLine Armor 3.5 free in una delle mie macchine e trovo il prodotto decisamente superiore anche se necessita di maggiori risorse HW e che uso in combinazione con AVIRA Premium

Ancora un sincero grazie

Alfabeto
25-04-2009, 17.26.38
Grazie leofelix!
In effetti è stata dura, ma alla fine sono riuscito a convincere il moderatore dell'esistenza di un problema abbastanza serio!
Appena mi sarà possibile segnalerò quanto emerso a COMODO e alla ESET in modo che entrambe queste software house prendano i necessari provvedimenti, se lo ritengono opportuno. Gli utenti, una volta informati, trarranno le loro conclusioni circa la serietà di queste società, sulla base delle azioni che vorranno intraprendere.

Per il problema da cui siamo partiti, bloccare a Getright uno specifico IP, ho trovato una soluzione, efficace, anche se un po' macchinosa, per mantenere attiva la protezione dell'antivirus e permettere al firewall di agire correttamente.

Ecco come fare:

1. Impostare nel NOD la funzione di Protocol Filtering su Ports and application marked as Internet browsers or email clients

2. Aggiungere, se non già presente, l'eseguibile da non filtrare, nel mio caso getright.exe, tra i Browser da monitorare. (La voce Web browsers nel setup di NOD)

3. Escludere il controllo dell'AV cliccando 2 volte sul quadratino accanto all'applicazione appena inserita. Comparirà una crocetta rossa, all'interno del quadratino, per segnalare che il NOD non controllerà il traffico di quell'applicazione.

Ora il firewall funziona e riconosce il traffico TCP perfettamente.
Questa soluzione, che in effeti è solo un blando rimedio, non diminuisce la pericolosità di tutta questa faccenda. Infatti è stato possibile intervenire solo perchè ero a conoscenza dell'applicativo su cui intervenire e quindi ho potuto rimediare. In caso di software indesiderati installati a mia insaputa non avrei potuto fare nulla.

Oltre a questo credo che la maggior parte degli utenti non si preocupi minimamente di personalizzare l'antivirus e/o il firewall, ma si accontenti delle impostazioni predefinite perchè non ne vede la necessità o non ha le competenze per farlo. Nonostante questo sia NOD che COMODO si propongono come programmi di largo consumo, mettendo potenzialmente a rischio numerosi utenti.