Úvodná » ako » Ako sledovať aktivitu brány firewall pomocou denníka brány firewall systému Windows

    Ako sledovať aktivitu brány firewall pomocou denníka brány firewall systému Windows

    V procese filtrovania internetového prenosu majú všetky brány firewall nejaký typ funkcie zaznamenávania, ktorá dokumentuje, ako brána firewall zaobchádzala s rôznymi typmi návštevnosti. Tieto protokoly dokážu poskytnúť cenné informácie, ako sú zdrojové a cieľové adresy IP, čísla portov a protokoly. Môžete použiť aj protokolový súbor Windows Firewall na monitorovanie pripojení TCP a UDP a paketov blokovaných firewallom.

    Prečo a kedy je protokolovanie firewall užitočné

    1. Ak chcete overiť, či novo pridané pravidlá brány firewall fungujú správne, alebo ich ladiť, ak nefungujú podľa očakávania.
    2. Ak chcete zistiť, či je brána Windows Firewall príčinou zlyhania aplikácie - S funkciou Firewall logging môžete skontrolovať, či sú zakázané otvory portov, otvorené porty, analyzovať dropped pakety s push a naliehavými príznakmi a analyzovať dropped pakety na ceste odoslania.
    3. Ak chcete pomôcť a identifikovať škodlivú aktivitu - Pomocou funkcie Firewall logging môžete skontrolovať, či sa v rámci vašej siete vyskytuje nejaká škodlivá aktivita, hoci si musíte pamätať, že neposkytuje informácie potrebné na sledovanie zdroja aktivity.
    4. Ak zistíte opakované neúspešné pokusy o prístup k bráne firewall a / alebo iným vysokokapacitným systémom z jednej adresy IP (alebo skupiny adries IP), možno by ste chceli napísať pravidlo, aby ste odstránili všetky pripojenia z daného priestoru IP (uistite sa, že IP adresa nie je spoofed).
    5. Odchádzajúce pripojenia pochádzajúce z interných serverov, ako sú webové servery, môžu byť indikáciou, že niekto používa váš systém na spustenie útokov proti počítačom umiestneným v iných sieťach.

    Ako generovať súbor denníka

    Predvolene je súbor protokolu zakázaný, čo znamená, že do súboru denníka nie sú zapísané žiadne informácie. Ak chcete vytvoriť súbor denníka, stlačte "Win key + R" a otvorte pole Run. Zadajte príkaz "wf.msc" a stlačte kláves Enter. Zobrazí sa obrazovka "Brána Windows Firewall s rozšíreným zabezpečením". Na pravej strane obrazovky kliknite na položku Vlastnosti.

    Zobrazí sa nové dialógové okno. Teraz kliknite na kartu "Súkromný profil" a v sekcii "Zaznamenávanie" vyberte položku "Prispôsobiť".

    Otvorí sa nové okno a z tejto obrazovky vyberte maximálnu veľkosť denníka, umiestnenie a či sa majú zaznamenať iba dropped pakety, úspešné pripojenie alebo oboje. Zlyhaný paket je paket, ktorý bráni bránu Windows Firewall. Úspešné pripojenie sa vzťahuje na prichádzajúce pripojenia, ako aj na akékoľvek pripojenie, ktoré ste vykonali cez internet, ale nie vždy to znamená, že narušiteľ úspešne pripojil váš počítač.

    Brána firewall systému Windows štandardne zapisuje položky denníka do priečinka % SystemRoot% \ System32 \ LogFiles \ Firewall \ pfirewall.log a ukladá iba posledné 4 MB dát. Vo väčšine výrobných prostredí bude tento den neustále zapisovať na váš pevný disk a ak zmeníte limit veľkosti súboru denníka (na zaznamenávanie aktivity po dlhú dobu), môže to spôsobiť vplyv na výkon. Z tohto dôvodu by ste mali zapnúť protokolovanie iba v prípade aktívneho riešenia problému a potom okamžite zakázať protokolovanie po dokončení.

    Potom kliknite na kartu "Verejný profil" a zopakujte rovnaké kroky, aké ste vykonali pre kartu "Súkromný profil". Teraz ste zapli protokol pre súkromné ​​aj verejné sieťové pripojenia. Súbor denníka sa vytvorí vo formáte rozšíreného logu W3C (.log), ktorý môžete preskúmať s textovým editorom podľa vlastného výberu alebo importovať do tabuľkového procesora. Jeden súbor denníka môže obsahovať tisíce textových položiek, takže ak ich čítate cez Poznámkový blok, potom zakážte obalovanie slov, aby ste uchovali formátovanie stĺpcov. Ak si prezeráte súbor denníka v tabuľke, všetky polia sa logicky zobrazia v stĺpcoch, aby ste ich ľahšie analyzovali.

    Na hlavnej obrazovke Windows Firewall s pokročilým zabezpečením prejdite nadol, kým sa nezobrazí odkaz "Monitorovanie". V podokne Podrobnosti v časti "Nastavenia denníka" kliknite na cestu k súboru vedľa položky "Názov súboru". Denník sa otvorí v programe Poznámkový blok.

    Interpretácia denníka brány firewall systému Windows

    Záloha zabezpečenia brány firewall systému Windows obsahuje dve sekcie. Záhlavie poskytuje statické, opisné informácie o verzii denníka a dostupné polia. Telo denníka je kompilované dáta, ktoré sa zadávajú ako výsledok návštevnosti, ktorá sa pokúša prekročiť bránu firewall. Ide o dynamický zoznam a nové záznamy sa stále zobrazujú v dolnej časti denníka. Polia sú napísané zľava doprava na stránke. (-) sa používa, ak pre pole nie je k dispozícii žiadny záznam.

    Podľa dokumentácie spoločnosti Microsoft Technet záhlavie súboru denníka obsahuje:

    Verzia - Zobrazuje, ktorá verzia denníka zabezpečenia brány firewall systému Windows je nainštalovaná.
    Softvér - Zobrazuje názov softvéru, ktorý vytvorí denník.
    Čas - Označuje, že všetky informácie o časovej pečiatke v denníku sú v miestnom čase.
    Pole - Zobrazuje zoznam polí, ktoré sú k dispozícii pre záznamy denníka zabezpečenia, ak sú k dispozícii údaje.

    Zatiaľ čo telo súboru denníka obsahuje:

    dátum - Dátumové pole označuje dátum vo formáte RRRR-MM-DD.
    čas - miestny čas sa zobrazí v súbore denníka vo formáte HH: MM: SS. Hodiny sú uvedené v 24-hodinovom formáte.
    Akcia brány firewall spracováva určitú činnosť. Zaznamenané akcie sú DROP pre zrušenie spojenia, OPEN na otvorenie spojenia, ZATVORENIE pre zatvorenie spojenia, OPEN-INBOUND pre prichádzajúcu reláciu otvorenú pre lokálny počítač a INFO-EVENTS-LOST pre udalosti spracované bránou Windows Firewall, ale neboli zaznamenané v denníku zabezpečenia.
    protokol - použitý protokol, ako TCP, UDP alebo ICMP.
    src-ip - Zobrazuje zdrojovú IP adresu (IP adresu počítača, ktorý sa pokúšal nadviazať komunikáciu).
    dst-ip - Zobrazí cieľovú adresu IP pokusu o pripojenie.
    src-port - číslo portu na odosielajúcom počítači, z ktorého sa pripojenie pokúšalo.
    dst-port - port, ku ktorému sa odosielajúci počítač pokúšal vytvoriť spojenie.
    Veľkosť - Zobrazuje veľkosť paketu v bajtoch.
    tcpflags - informácie o príznakoch ovládania TCP v hlavičkách TCP.
    tcpsyn - Zobrazuje poradové číslo TCP v pakte.
    tcpack - Zobrazí číslo potvrdenia TCP v pakte.
    tcpwin - Zobrazuje veľkosť paketu TCP v paketoch v bajtoch.
    icmptype - Informácie o ICMP správach.
    icmpcode - Informácie o ICMP správach.
    info - Zobrazí záznam, ktorý závisí od typu akcie, ku ktorej došlo.
    cesta - Zobrazuje smer komunikácie. Dostupné možnosti sú ODOSLANIE, PRIJÍMANIE, VYPLATENIE a NEZNÁME.

    Ako si všimnete, položka denníka je skutočne veľká a môže obsahovať až 17 kusov informácií spojených s každou udalosťou. Pre všeobecnú analýzu sú však dôležité iba prvé osem informácií. Pomocou podrobností vo vašej ruke môžete teraz analyzovať informácie o škodlivých aktivitách alebo zlyhaní aplikácií na ladenie.

    Ak máte podozrenie na akúkoľvek škodlivú aktivitu, otvorte súbor denníka v programe Poznámkový blok a filtrujte všetky položky denníka pomocou DROP v akčnom poli a uvedomte si, či cieľová adresa IP končí iným číslom než 255. Ak nájdete mnoho takýchto záznamov, poznámka o cieľových adresách IP paketov. Po dokončení riešenia problému môžete zakázať protokolovanie firewallu.

    Riešenie problémov so sieťami môže byť niekedy dosť skľučujúce a doporučená dobrá prax pri odstraňovaní problémov so systémom Windows Firewall je povoliť natívne protokoly. Hoci protokolový súbor Windows Firewall nie je užitočný na analýzu celkovej bezpečnosti vašej siete, stále zostáva dobrým postupom, ak chcete sledovať, čo sa deje za scénami.