14Sep
Στη διαδικασία φιλτραρίσματος της κυκλοφορίας στο Διαδίκτυο, όλα τα τείχη προστασίας έχουν κάποιο χαρακτηριστικό γνώρισμα που καταγράφει τον τρόπο με τον οποίο το τείχος προστασίας χειρίστηκε διάφορα είδη κίνησης.Αυτά τα αρχεία καταγραφής μπορούν να παρέχουν πολύτιμες πληροφορίες, όπως διευθύνσεις IP προέλευσης και προορισμού, αριθμούς θυρών και πρωτόκολλα.Μπορείτε επίσης να χρησιμοποιήσετε το αρχείο καταγραφής τείχους προστασίας των Windows για να παρακολουθείτε τις συνδέσεις TCP και UDP και τα πακέτα που αποκλείονται από το τείχος προστασίας.
Γιατί και πότε η καταγραφή τείχους προστασίας είναι χρήσιμη - Για να επαληθεύσετε εάν οι πρόσφατα προστιθέμενοι κανόνες τείχους προστασίας λειτουργούν σωστά ή για να εντοπίσουν σφάλματα αν δεν λειτουργούν όπως αναμένεται.
- Για να προσδιορίσετε αν το τείχος προστασίας των Windows είναι η αιτία αποτυχιών εφαρμογής - Με τη λειτουργία καταγραφής τείχους προστασίας μπορείτε να ελέγξετε τα ανοίγματα θύρας, τα δυναμικά ανοίγματα θύρας, να αναλύσετε πακέτα που έχουν αποσυρθεί με πινακίδες ώθησης και επείγουσας ανάγκης και να αναλύσετε πακέτα που έχουν πέσει στη διαδρομή αποστολής.
- Για να βοηθήσετε και να εντοπίσετε κακόβουλη δραστηριότητα - Με τη λειτουργία καταγραφής τείχους προστασίας μπορείτε να ελέγξετε αν υπάρχει κακόβουλη δραστηριότητα στο δίκτυό σας ή όχι, αν και πρέπει να θυμάστε ότι δεν παρέχει τις πληροφορίες που απαιτούνται για την καταγραφή της πηγής της δραστηριότητας.
- Αν παρατηρήσετε επαναλαμβανόμενες ανεπιτυχείς προσπάθειες πρόσβασης στο τείχος προστασίας σας ή / και σε άλλα συστήματα υψηλού προφίλ από μια διεύθυνση IP( ή μια ομάδα διευθύνσεων IP), τότε ίσως θελήσετε να γράψετε έναν κανόνα για να αποθέσετε όλες τις συνδέσεις από αυτό το διάστημα IPη διεύθυνση IP δεν παραβιάζεται).
- Οι εξερχόμενες συνδέσεις που προέρχονται από εσωτερικούς διακομιστές, όπως διακομιστές Web, θα μπορούσαν να είναι ένδειξη ότι κάποιος χρησιμοποιεί το σύστημά σας για να ξεκινήσει επιθέσεις σε υπολογιστές που βρίσκονται σε άλλα δίκτυα.
Τρόπος δημιουργίας του αρχείου καταγραφής
Από προεπιλογή, το αρχείο καταγραφής είναι απενεργοποιημένο, πράγμα που σημαίνει ότι δεν καταχωρίζονται πληροφορίες στο αρχείο καταγραφής.Για να δημιουργήσετε ένα αρχείο καταγραφής, πατήστε "Win key + R" για να ανοίξετε το πλαίσιο Run.Πληκτρολογήστε "wf.msc" και πατήστε Enter.Εμφανίζεται η οθόνη "Τείχος προστασίας των Windows με προχωρημένη ασφάλεια".Στη δεξιά πλευρά της οθόνης, κάντε κλικ στην επιλογή "Ιδιότητες".
Εμφανίζεται ένα νέο παράθυρο διαλόγου.Τώρα κάντε κλικ στην καρτέλα "Προσωπικό προφίλ" και επιλέξτε "Προσαρμογή" στην ενότητα "Καταγραφή".
Ανοίγει ένα νέο παράθυρο και από αυτήν την οθόνη επιλέξτε το μέγιστο μέγεθος καταγραφής, τη θέση και το αν θα καταγραφούν μόνο πακέτα που έχουν αποτύχει, επιτυχής σύνδεση ή και τα δύο.Ένα μειωμένο πακέτο είναι ένα πακέτο που έχει αποκλείσει το Τείχος προστασίας των Windows.Μια επιτυχής σύνδεση αναφέρεται τόσο στις εισερχόμενες συνδέσεις όσο και σε οποιαδήποτε σύνδεση που έχετε κάνει μέσω του Διαδικτύου, αλλά δεν σημαίνει πάντοτε ότι ένας εισβολέας έχει συνδεθεί με επιτυχία στον υπολογιστή σας.
Από προεπιλογή, το τείχος προστασίας των Windows γράφει καταχωρήσεις αρχείου καταγραφής στο% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log και αποθηκεύει μόνο τα τελευταία 4 MB δεδομένων.Στα περισσότερα περιβάλλοντα παραγωγής, αυτό το αρχείο καταγραφής θα γράφει συνεχώς στον σκληρό σας δίσκο και εάν αλλάξετε το όριο μεγέθους του αρχείου καταγραφής( για να καταγράψετε δραστηριότητα για μεγάλο χρονικό διάστημα) τότε μπορεί να προκαλέσει επιπτώσεις στην απόδοση.Για το λόγο αυτό, θα πρέπει να ενεργοποιήσετε την καταγραφή μόνο όταν αντιμετωπίζετε ενεργά προβλήματα και, στη συνέχεια, απενεργοποιείτε αμέσως την καταγραφή όταν τελειώσετε.
Στη συνέχεια, κάντε κλικ στην καρτέλα "Δημόσιο προφίλ" και επαναλάβετε τα ίδια βήματα που κάνατε για την καρτέλα "Προσωπικό προφίλ".Τώρα έχετε ενεργοποιήσει το αρχείο καταγραφής τόσο για ιδιωτικές όσο και για δημόσιες συνδέσεις δικτύου.Το αρχείο καταγραφής θα δημιουργηθεί σε μια εκτεταμένη μορφή αρχείου καταγραφής W3C( .log) που μπορείτε να εξετάσετε με ένα πρόγραμμα επεξεργασίας κειμένου της επιλογής σας ή να τα εισαγάγετε σε ένα υπολογιστικό φύλλο.Ένα μοναδικό αρχείο καταγραφής μπορεί να περιέχει χιλιάδες καταχωρήσεις κειμένου, οπότε αν τις διαβάζετε μέσω του Σημειωματάριου, απενεργοποιήστε την αναδίπλωση λέξεων για να διατηρήσετε τη μορφοποίηση της στήλης.Αν βλέπετε το αρχείο καταγραφής σε ένα υπολογιστικό φύλλο, τότε όλα τα πεδία θα εμφανίζονται λογικά σε στήλες για ευκολότερη ανάλυση.
Στην κύρια οθόνη "Τείχος προστασίας των Windows με προηγμένη ασφάλεια", μετακινηθείτε προς τα κάτω μέχρι να δείτε τον σύνδεσμο "Παρακολούθηση".Στο παράθυρο "Λεπτομέρειες", στην ενότητα "Ρυθμίσεις καταγραφής", κάντε κλικ στη διαδρομή αρχείου δίπλα στο "Όνομα αρχείου". Το αρχείο καταγραφής ανοίγει στο Σημειωματάριο.
Ερμηνεία του αρχείου καταγραφής τείχους προστασίας των Windows
Το αρχείο καταγραφής ασφαλείας τείχους προστασίας των Windows περιέχει δύο ενότητες.Η κεφαλίδα παρέχει στατικές, περιγραφικές πληροφορίες σχετικά με την έκδοση του αρχείου καταγραφής και τα διαθέσιμα πεδία.Το σώμα του αρχείου καταγραφής είναι τα συγκεντρωμένα δεδομένα που εισάγονται ως αποτέλεσμα της κίνησης που προσπαθεί να διασχίσει το τείχος προστασίας.Πρόκειται για μια δυναμική λίστα και νέες καταχωρήσεις συνεχίζουν να εμφανίζονται στο κάτω μέρος του αρχείου καταγραφής.Τα πεδία γράφονται από αριστερά προς τα δεξιά σε ολόκληρη τη σελίδα.Το( -) χρησιμοποιείται όταν δεν υπάρχει διαθέσιμη καταχώρηση για το πεδίο.
Σύμφωνα με την τεκμηρίωση της Microsoft Techet, η κεφαλίδα του αρχείου καταγραφής περιέχει:
Version - Εμφανίζει ποια έκδοση του αρχείου ασφαλείας του τείχους προστασίας των Windows είναι εγκατεστημένη.
Λογισμικό - Εμφανίζει το όνομα του λογισμικού που δημιουργεί το αρχείο καταγραφής.
Time - Υποδεικνύει ότι όλες οι πληροφορίες χρονικού σημείου στο αρχείο καταγραφής είναι σε τοπική ώρα.Πεδία
- Εμφανίζει μια λίστα με τα πεδία που είναι διαθέσιμα για τις καταχωρήσεις καταγραφής ασφαλείας, εάν υπάρχουν διαθέσιμα δεδομένα.
Ενώ το σώμα του αρχείου καταγραφής περιέχει:
ημερομηνία - Το πεδίο ημερομηνίας προσδιορίζει την ημερομηνία στη μορφή ΕΕΕΕ-ΜΜ-ΔΔ.
time - Η τοπική ώρα εμφανίζεται στο αρχείο καταγραφής χρησιμοποιώντας τη μορφή HH: MM: SS.Οι ώρες αναφέρονται σε μορφή 24 ωρών.Δράση
- Καθώς το τείχος προστασίας επεξεργάζεται την κυκλοφορία, καταγράφονται ορισμένες ενέργειες.Οι καταγεγραμμένες ενέργειες είναι DROP για την απόρριψη μιας σύνδεσης, ΑΝΟΙΓΜΑ για το άνοιγμα μιας σύνδεσης, ΚΛΕΙΣΙΜΟ για το κλείσιμο μιας σύνδεσης, OPEN-INBOUND για μια εισερχόμενη περίοδο λειτουργίας που ανοίγει στον τοπικό υπολογιστή και INFO-EVENTS-LOST για συμβάντα που επεξεργάζεται το Τείχος προστασίας των Windowsδεν καταγράφηκαν στο αρχείο καταγραφής ασφαλείας.Πρωτόκολλο
- Το πρωτόκολλο που χρησιμοποιείται, όπως TCP, UDP ή ICMP.
src-ip - Εμφανίζει τη διεύθυνση IP προέλευσης( τη διεύθυνση IP του υπολογιστή που επιχειρεί να πραγματοποιήσει επικοινωνία).
dst-ip - Εμφανίζει τη διεύθυνση IP προορισμού μιας προσπάθειας σύνδεσης.
src-port - Ο αριθμός θύρας στον υπολογιστή αποστολής από τον οποίο επιχειρήθηκε η σύνδεση.
dst-port - Η θύρα στην οποία ο αποστολέας προσπαθούσε να κάνει σύνδεση.Μέγεθος
- Εμφανίζει το μέγεθος του πακέτου σε byte.
tcpflags - Πληροφορίες σχετικά με τις σημαίες ελέγχου TCP στις κεφαλίδες TCP.
tcpsyn - Εμφανίζει τον αριθμό ακολουθίας TCP στο πακέτο.
tcpack - Εμφανίζει τον αριθμό επιβεβαίωσης TCP στο πακέτο.
tcpwin - Εμφανίζει το μέγεθος του παραθύρου TCP, σε bytes, στο πακέτο.
icmptype - Πληροφορίες για τα μηνύματα ICMP.
icmpcode - Πληροφορίες για τα μηνύματα ICMP.
info - Εμφανίζει μια καταχώρηση που εξαρτάται από τον τύπο της ενέργειας που συνέβη.Διαδρομή
- Εμφανίζει την κατεύθυνση της επικοινωνίας.Οι διαθέσιμες επιλογές είναι ΑΠΟΣΤΟΛΗ, ΠΑΡΑΛΑΒΗ, ΕΙΣΑΓΩΓΗ και ΑΓΝΩΣΤΟ.
Όπως παρατηρείτε, η καταχώρηση του ημερολογίου είναι πράγματι μεγάλη και μπορεί να έχει έως 17 τεμάχια πληροφοριών που σχετίζονται με κάθε εκδήλωση.Ωστόσο, μόνο οι πρώτες οκτώ πληροφορίες είναι σημαντικές για γενική ανάλυση.Με τις λεπτομέρειες στο χέρι σας μπορείτε τώρα να αναλύσετε τις πληροφορίες για κακόβουλη δραστηριότητα ή αποτυχίες εφαρμογών εντοπισμού σφαλμάτων.
Εάν υποψιάζεστε κάποια κακόβουλη δραστηριότητα, ανοίξτε το αρχείο καταγραφής στο Σημειωματάριο και φιλτράρετε όλες τις καταχωρήσεις καταγραφής με το DROP στο πεδίο δράσης και σημειώστε εάν η διεύθυνση IP προορισμού τελειώνει με έναν αριθμό διαφορετικό από 255. Εάν βρείτε πολλές τέτοιες καταχωρήσεις,σημειώστε τις διευθύνσεις IP προορισμού των πακέτων.Αφού ολοκληρώσετε την αντιμετώπιση του προβλήματος, μπορείτε να απενεργοποιήσετε την καταγραφή του τείχους προστασίας.
Η αντιμετώπιση προβλημάτων δικτύου μπορεί να είναι αρκετά αποθαρρυντική κατά περιόδους και μια συνιστώμενη καλή πρακτική κατά την αντιμετώπιση προβλημάτων του Τείχους προστασίας των Windows είναι να ενεργοποιήσετε τα εγγενή αρχεία καταγραφής.Παρόλο που το αρχείο καταγραφής τείχους προστασίας των Windows δεν είναι χρήσιμο για την ανάλυση της συνολικής ασφάλειας του δικτύου σας, εξακολουθεί να παραμένει μια καλή πρακτική αν θέλετε να παρακολουθείτε τι συμβαίνει πίσω από τις σκηνές.
