... \ ...
[D] - Modules de CMF
Comodo Memory Firewall comporte trois grands modules :
- Applications : ce module permet de gérer la liste des applications qui sont surveillées.
- Exclusions : ce module contient la liste des applications qui sont exclues de la surveillance.
- Logs : ce module liste toutes les attaques qui ont été enregistrées.
[1]
Applications Configuration des applications surveillées.
... a ... La sélection par défaut est [
All the other applications] (toutes les autres applications). Toutes les applications lancées seront contrôlées et ceci selon la norme standard
[Ask the user] c'est à dire qu'en cas d'attaque, il sera demandé à l'utilisateur quoi faire au cas par cas, permettre ou tuer (voir en bas de page).
- Si vous êtes d'accord avec la norme standard et n'avez aucune préférence particulière, laissez la chose en l'état et sautez directement au chapitre suivant.
- Vous pouvez changer la norme standard en sélectionnant [All the other applications] puis en cliquant sur [Edit]. La fenêtre qui s'ouvre permet de changer les paramètres (voir ci-dessous).
... b ...
Add Ajouter une règle (un paramétrage particulier) pour une application spécifique. Dans l'exemple ci-après, c'est le navigateur « Firefox » qui a été choisi. Cliquez sur
[Add], une fenêtre s'ouvre.
- [Select] permet de sélectionner une application par l'un ou l'autre de deux moyens : [Browse] pour effectuer une recherche manuelle dans l'arborescence des répertoires, [Running Processes] pour afficher une liste de toutes les applications qui fonctionnent sur le PC. Dans les deux cas il faut sélectionner l'application désirée d'un simple « click ».
- [Do nothing] Ne rien faire. Correspond en fait à l'introduction de l'application dans la liste des « exclusions ».
- [Ask the user] Demander à l'utilisateur ce qu'il y a lieu de faire. En cas d'attaque celui-ci devra décider s'il doit [Allow] autoriser ou [Kill] stopper le processus incriminé.
- [Perform the following action(s)] Exécuter diverses opérations ...
- [Terminate the application] Fermer l'application attaquée (solution par défaut quand aucune spécification particulière n'a été faite)
- [Restart the application] Relancer l'application après la fermeture. La sélection de cette option permet d'activer l'option suivante (juste ci-dessous)
- [Specify the following command-line options before restarting] Préciser des options de ligne de commande avant de redémarrer. Réservé à ceux qui ont des connaissances suffisantes en la matière.
- [Execute the following command-line] Exécuter des lignes de commande. Réservé à ceux qui ont des connaissances suffisantes.
- [Send an e-mail alert to the following recipient(s)] Envoyer un e-mail à un ou plusieurs destinataires (voir l'option [I am going to use e-mails alerts] du chapitre C-1).
Cochez cette case puis cliquez sur le bouton jaune [New] pour indiquer une ou plusieurs adresse(s) e-mail particulière(s). A l'inverse, la croix rouge [Delete] permet de supprimer une des adresses préalablement indiquées.
...
Dans l'exemple ci-dessus, Firefox est simplement interrompu puis relancé après l'attaque. Il faudra bien sûr que l'utilisateur veille à l'effacement de toutes les traces (cookies etc.) de sa visite sur le site infecté et à ne pas y revenir (voir les « outils » de Firefox).
... c ...
Remove Suppression d'une des applications de la liste des surveillés.
Sélectionnez l'application à supprimer puis cliquez sur
[Remove]. Une fenêtre s'affiche avec le message
[Are you sure you want to delete the specified entry?] (Etes-vous certain de vouloir supprimer cette entrée?). Le choix est en français.
... d ...
Edit Modification des paramètres d'une des applications.
Sélectionnez l'application puis cliquez sur
[Edit]. La fenêtre qui s'ouvre est la même que celle décrite pour la fonction
[ADD] ci-dessus.
[2]
Exclusions
Les applications spécifiées ici ne seront plus surveillées. En standard, il n'y en a pas et on se demande pourquoi il devrait y en avoir. Vous pouvez cependant insérer ici une application dont vous êtes absolument certain et qui n'a rien à voir avec Internet.
Le procédé est tout à fait comparable à celui de
[Applications] ci dessus, tout au moins pour ce qui est des techniques de sélection de l'application tant pour l'ajouter que pour la supprimer. Il n'y a aucun paramètre à préciser.
[3]
Logs Liste des attaques.
Tableau dont les colones sont :
- [Application Path-] indique le chemin d'accès de l'application ou du processus qui a provoqué l'évènement.
- [Action Taken-] indique quelle a été la réaction du pare-feu.
- [ Attack Type-] indique le type d'attaque.
- [Attack Address-] indique à quelle adresse de la mémoire à eu lieu l'attaque.
- [Memory Type-] indique le type de mémoire attaqué (stack, heap)
- [Date/Time -] indique la date et l'heure de l'attaque.
Pour enlever un ligne de la liste, sélectionnez-la puis faites un « click droit » puis cliquez sur
[Clear Log].
[
Ask the user] ...
Alerte ...
Le message d'alerte indique le chemin d'accès complet de l'application ainsi que le nom de l'éditeur et la version (s'ils sont connus).
Deux possibilités pour l'utilisateur :
[Allow] autoriser et
[Kill] tuer.
Si vous choisissez
[Allow] il y aura un « buffer overflow ». Si vous choisissez
[Kill] l'application sera fermée.
Avant de prendre votre décision, vous pouvez cocher une des options.
...
[Remenber my answer] Se rappeler la réponse donnée. Cochez cette case si vous désirez que la même action soit automatiquement exécutée en cas de nouvelle attaque sans nouvel affichage du message d'alerte. La règle correspondante est automatiquement créée.
...
[Add to exclusion list] Provoque l'insertion automatique de l'application dans la liste des exclusions. Cette option va de pair avec la décision d'autoriser [Allow].
... / ...