Le PF de Comodo est Sortie de la Crapthèque

[Mido1]

Zebulois(e),

 

Ai essayé Comodo Pro 3.0.14.276 il y a quelques semaines, selon Matousec la version 2 était excellente avec une 3ième position, la version 3 devrait-être supérieur.

 

La version 3, vient avec un HIPS. PF et HIPS +-6000Ko en ressource!, configurable de tout bord tout coté, plusieurs modes d'utilisations sont disponibles; du learning mode ... jusqu'au mode paranoïaque, interface plutôt volumineuse?!

 

Comodo - Pare-feu (Firewall) - Sortie de la Crapthèque :

http://assiste.forum.free.fr/viewtopic.php?t=15598

 

Aux experts de l'essayer et de commenter.

Modifié le 1 janvier 2008 par Mido1

[Sacles]

Bonsoir,

 

Je reproduis un texte que j'ai écrit dans un autre sujet sur les pare-feux qui font tout sauf le café du matin:

 

Attention aux mélanges des genres entre les pare-feux et les HIPS. Les fonctions à la base ne sont quand même pas identiques.

 

Le problème c'est que les logiciels de sécurité ont tendance à étendre leurs sphères d'activités en empiétant sur d'autres.

 

Question par exemple: Est-ce qu'un pare-feu dont le rôle est de filtrer les entrées/sorties entre un ordinateur et internet doit aussi servir d'HIPS? Est-ce bien le rôle d'un pare-feu de bloquer ces leaktests?

 

J'aurais tendance à répondre NON!

 

A force de vouloir tout faire, on transforme les logiciels en usine à gaz qui deviennent de moins en moins contrôlables par l'utilisateur.

 

Un pare-feu bidirectionnel n'est déjà pas simple à gérer par l'utilisateur lambda si en plus on le dote des fonctions d'un HIPS, bonjour les dégâts ou ... l'inefficacité.

 

-----------

 

Ma réaction pour le pare-feu Comodo lui-même:

 

http://forum.zebulon.fr/index.php?s=&s...t&p=1152344

 

-----------

 

Quant à la sortie de la crapathèque: http://assiste.com.free.fr/p/craptheque/co...l_firewall.html

 

Mais c'est la société qui est en cause, pas le pare-feu lui-même.

 

Salut.

Modifié le 31 décembre 2007 par Sacles

[Sacles]

Re,

 

Ai essayé Comodo Pro 3.0.14.276 il y a quelques semaines, selon Matousec le version 2 étant excellente avec une 3ième position, la version 3 devrait-être supérieur.

Pour rappel, les tests chez Matousec sont bien des leaktests (tests d'évasion) ils ne testent pas le contrôle des flux entrants.

 

Salut.

Modifié le 31 décembre 2007 par Sacles

[Mido1]

Sacles,

 

Ai constaté il y a quelque temps, une remarque semblable, d'un internaute avisé, qui déplorait la tendance selon laquelle, les concepteurs de logiciels d'AV commençaient à ajouter des AS à leurs moutures. Qu'il serait mieux de laissé chacun à sa spécialité?

 

En tout cas, ça semble "AV & AS" réussir à Kaspersky et Nod32 et même que KIS "PF-AV-AS" se classe très bien dans le test de Matousec. Ce qui démontre un potentiel d'intégration fonctionnel.

 

À l'évidence, l'intégration en un package des AV, AS, HIPS et PF, semble être la tendance évolutive normale, sinon incontournable.

 

Peut-être que d'ici quelques versions, ces assemblages intégrés de protections, deviendront incontournable de par l'accroissement de leurs efficacités et ce en tenant compte d'une meilleure compatibilité inter-relationnelle entre leurs modules (versus concepteurs différents) et peut-être un peu moins, au total, de ressource CPU exigé pour l'ensemble.

 

Quoiqu'il en soit, si pour un AV et AS aucune configuration n'est nécessaire, les HIPS et PF auront probablement toujours besoin d'ajustement pour un système donné.

 

Si par définition un parefeux a pour fonction de contrôler les entrées/sorties.

Alors, dans la mesure ou ce PF est safe en entrée "pas contourné ou processus altéré...", me semble que pour bien s'acquitter de sa tâche du coté sortie, que d'avoir un minimum de control sur l'inter-relation entre les processus/applications, devient un complément naturel et bien avisé aux fonctions d'un PF, afin de contrôler quel port sera utilisé en sortie certes, mais aussi quel processus/application y aura un droit d'accès.

Modifié le 31 décembre 2007 par Mido1

[Sacles]

Bonjour,

 

À l'évidence, l'intégration en un package des AV, AS, HIPS et PF, semble être la tendance évolutive normale, sinon incontournable.

Il faudra voir si cette combinaison conviendra à l'utilisateur lambda. Comment va-t-il configurer le HIPS intégré dans son super-outil-qui-fait-tout?

 

Une de mes connaissances croyait qu'un pare-feu protégeait son ordinateur de la foudre... alors si un super-outil-qui-fait-tout lui demande un jour si Generic host Process for Win 32 Services peut aller se bavarder dans le cyberespace, je vois sa tête d'ici.

 

Que font les utilisateurs lambda devant toutes les questions de leur super-outil-qui-fait-tout et dont ils sont tellement fiers?

• Ils autorisent tout (inutile d'acheter un tel outil);
  
• Ils interdisent tout (bonjour les dégâts);
  
• Ils donnent les autorisations au petit bonheur la (mal)chance (problèmes en vue aussi).
  

Je ne suis pas certain que la sécurité sort renforcée de cette situation. Pire, ils croient que leur super-outil-qui-fait-tout les protège aussi de tout, ils croient leur machine blindée, font n'importe quoi et quelques jours après c'est l'infection.

 

Ce n'est pas un hasard si les outils de Microsoft - dont certains se moquent à tort selon moi - sont simples: ils doivent s'adresser justement à ces utilisateurs "de base". Mieux vaut un outil simple bien paramétré qu'un au super-top qui devient une passoire parce qu'il est mal configuré.

 

Note: si l'utilisateur a interdit Generic Host Process ... à aller bavarder sur le net, il reviendra peut-être dans le forum pour se plaindre que les "son" Microsoft Update ne fonctionne plus.

 

Salut et meilleurs voeux à tous.

Modifié le 1 janvier 2008 par Sacles

[Xerta]

Salut:

 

Je pense qu'en complément des classiques protections Firewalls et Antivirus, sous Windows XP en priorité n°1, il faut installer DropMyRights ou StripMyRights et en priorité n°2 l'installation d'un HIPS peut aussi avoir son utilité.

 

Il n'est pas si compliqué que cela de détecter une menace potentielle en utilisant un HIPS car c'est la fonction de contrôle "Application exécutant une autre Application" du système de contrôle d'application, qu'on appelle aujourd'hui HIPS, qui est principalement concernée par la détection des malwares à l'accès. Voir par exemple les tests de Malekal avec SSM et avec de vrais malwares:

 

http://forum.malekal.com/ftopic3285.php

 

On y distingue:

 

- un Setup se trouvant dans C:\Windows\Temp qui veut exécuter une application se trouvant dans C:\Windows\System32 ;

 

"C:\Program Files\Internet Explorer\iexplore.exe" qui veut exécuter un fichier intitulé C:\xx123225;

 

C:\Windows\explorer.exe qui veut exécuter C:\Documents and Settings puis se dernier qui veut exécuter des fichiers se trouvant en son sein. le dossier "C:\Documents and Settings" peut être utilisé par le navigateur Internet pour y placer des fichiers préalablement à leur exécution, voir par exemple Avast! vVS Antivir de malekal.

 

http://forum.malekal.com/ftopic3528.php

 

Quant au fait qu'un firewall fasse aussi un HIPS ce n'est pas un problème. C'est un élargissement normal des fonctions pour un firewall et ça peut éviter des "doublons" de fonctions qu'il peut y avoir en installant deux programmes différents. Par exemple un Firewall ancien comme Sygate 5.6 donnait une alerte lorsqu'une application se connectant à Internet était modifiée, SSM donne aussi une alerte en cas de modification d'une application.

[Sacles]

Re,

 

Quant au fait qu'un firewall fasse aussi un HIPS ce n'est pas un problème.

Pas un problème? Si pour une toute grosse majorité d'utilisateurs, un HIPS n'est pas abordable.

 

Salut.

Modifié le 1 janvier 2008 par Sacles

[Mido1]

sacles,

 

L'emphase avec laquelle vous élaborez sur la complexité d'un HIPS ou d'un parefeux, laisse à supposer que vous avez éprouvé nombre de difficultés à l'apprentissage de ces outils de protection, peut-être était ce du à un coté autodidacte/perfectionniste qui ne pouvait faire autrement que d'approfondir ces sujets et qui sait quels efforts sont nécessaires pour assimiler complètement leurs fonctionnements.

 

Quoiqu'il en soit, dans le meilleur des cas, il n'est certainement pas nécessaire d'aller jusqu'à recompiler chaque portion de syntaxe et de logique d'un tel outil pour l'utiliser convenablement.

 

 

Le parefeux à l'installation, par défaut "configuration du concepteur" devrait assurer un minimum de protection! Certainement davantage qu'aucun parefeux d'installer. Après ça, si l'utilisateur est intrigué ou nécessiteux d'approfondir sur son +- nouvel outil, Google et les forums subviendront à ses besoins.

 

Pour le HIPS, le setup de Comodo à l'installation le positionne en "Clean pc mode".

L'utilisateur non-initié aux HIPS et coutumes, aura tôt fait de réaliser par l'abondance de

requêtes et après un minimum recherche soit dans le help du logiciel, sur le forum anglais/français de Comodo, ou dans quelques forums aux membres avisés, que le mode learning permettra à Comodo d'enregistrer "sans requête d'autorisation" les comportements des processus et applications qui Å“uvres sur son PC, ayant été averti au préalable que le learning mode aurait avantage à être utiliser sur un système sain...

 

Les nouveaux utilisateurs de ces outils, qui sont aujourd'hui incontournable, découvriront par le fait même l'implication des différents processus de Windows, ce qui n'aura pour effet qu'une meilleur compréhension de leurs S.E.

 

 

Comodo Pro 3 n'en reste pas moins de l'avis général, un excellent outils de protection.

Et puisqu'il semble être réhabilité par la communauté informatique, il était important de l'ajouter à la liste trop courte de ces outils efficace à la sécurité d'un PC.

 

Forum Comodo : http://forums.comodo.com/index.php

Modifié le 1 janvier 2008 par Mido1

[Sacles]

Re,

 

L'emphase avec laquelle vous élaborez sur la complexité d'un HIPS ou d'un parefeux, laisse à supposer que vous avez éprouvé nombre de difficultés à l'apprentissage de ces outils de protection, peut-être était ce du à un coté autodidacte/perfectionniste qui ne pouvait faire autrement que d'approfondir ces sujets et qui sait quels efforts sont nécessaires pour assimiler complètement leurs fonctionnements.

Absolument pas.

 

Mes remarques proviennent de contacts (nombreux) avec les utilisateurs de base.

 

Les nouveaux utilisateurs de ces outils, qui sont aujourd'hui incontournable, découvriront par le fait même l'implication des différents processus de Windows, ce qui n'aura pour effet qu'une meilleur compréhension de leurs S.E.

Cela ne correspond en aucune façon à mon expérience "sur le terrain" d'une toute grosse majorité d'utilisateurs d'un PC.

 

Salut.

Modifié le 1 janvier 2008 par Sacles

[Xerta]

Les modes du Firewal Comodo 3.0.14.276:

 

le Firewall ( (Firewall Security Level) comporte cinq "modes" utilisables, à savoir du plus bas au plus élevé en terme de sécurité:

 

1) Disabled (désactivé)

 

2) Training mode (mode apprentissage ne comportant aucune alerte)

 

3) Train with safe mode (mode comportant un minimum d'alertes)

 

4) Custom Policy mode (mode à utiliser en principe après la période d'apprentissage)

 

5) Block All Mode (bloque toute connexion Internet)

 

Le système de contrôle d'applications (HIPS) "Defense + Security Level" a également cinq "modes" utilisables, du plus bas au plus élevé:

 

1) Disabled (désactivé)

 

2) Training mode (mode apprentissage ne comportant aucune alerte où le programme mémorise les règles d'applications exécutées dans le P.C.)

 

3) Clean PC mode (mode apprentissage pouvant comporter des alertes)

 

4) Train with safe mode (Contrôle d'applications utilisable après la période d'apprentissage limitant les alertes)

 

5) Paranoid Mode (Contrôle d'applications utilisable au maximum de ses possibilités après la période d'apprentissage).

 

Avec le clic droit sur l'icône de Comodo on accède aux réglages principaux du Firewall et du HIPS. On peut passer d'un mode à un autre d'un clic de la souris à tout moment aussi bien pour le firewall que pour le HIPS. Le programme d'installation installe par défaut si on ne change rien, le HIPS en "Clean PC mode". et le Firewall en "Train with safe mode".

 

Le HIPS étant particulièrement performant (Si par exemple on exécute Spybot avec pour la première fois le Firewall Comodo présent et son HIPS en mode paranoïd la vaccination risque d'être vraiment longue et problématique, j'en ai fait l'expérience), si on est certain que le P.C. ne comporte aucun malware il vaut mieux au début exécuter toutes les applications du P.C. on faisant tout ce qu'il est possible de faire en "Training mode", il n'y aura aucune alerte, on peut en faire autant mais ce n'est pas nécessaire, pour le firewall.

 

Passé la période d'apprentissage, il sera toujours possible avec les leak tests de voir le genre d'alertes générées par le programme. Pour l'exécution des leak tests, tests de sécurité ou tests d'intrusions de vrais malwares, le HIPS de Comodo doit être en "Paranoid Mode" et le firewall en "Custom Policy mode". Ce sont aussi les modes à utiliser la plupart du temps après la période d'apprentissage.

 

Quand on exécute volontairement dans le P.C. des fichiers téléchargés dont on est certain qu'il ne comporte pas de malwares (genre dernières versions de Firefox ou du K-Lite Codec Pack téléchargés sur les sites officiels) on peut, pour éviter de multiples alertes lors de leur exécution, désactiver le HIPS ou quitter Comodo après avoir interrompu la connexion Internet pour ne laisser en protection active que l'antivirus et l'anti-spyware temps réel éventuellement présents. Bien entendu il ne faut pas désactiver le HIPS si sont exécutés dans le P.C. des fichiers d'origine douteuse.

 

Le Firewall fonctionne normalement avec ses paramétrages par défaut sélectionnables avec les modes, mais j'ai repéré sur ce site un tuto sur ses règles avancées pour ceux que cela pourraient intéresser:

 

http://infomars.fr/forum/index.php?showtop...amp;#entry16162