14Sep

So verfolgen Sie die Firewall-Aktivität mit dem Windows-Firewall-Protokoll

Bei der Filterung des Internetverkehrs haben alle Firewalls eine Art Protokollierungsfunktion, die dokumentiert, wie die Firewall verschiedene Arten von Datenverkehr gehandhabt hat. Diese Protokolle können wertvolle Informationen wie Quell- und Ziel-IP-Adressen, Portnummern und Protokolle bereitstellen. Sie können auch die Windows-Firewall-Protokolldatei verwenden, um TCP- und UDP-Verbindungen und Pakete zu überwachen, die von der Firewall blockiert werden.

Warum und wann die Firewall-Protokollierung nützlich ist
  1. Um zu überprüfen, ob neu hinzugefügte Firewall-Regeln ordnungsgemäß funktionieren oder um sie zu debuggen, wenn sie nicht wie erwartet funktionieren.
  2. So ermitteln Sie, ob die Windows-Firewall die Ursache für Anwendungsfehler ist - Mit der Protokollierungsfunktion der Firewall können Sie nach deaktivierten Portöffnungen, dynamischen Portöffnungen, analysierten verlorenen Paketen mit Push- und Dringlichkeitsflags und analysierten verlorenen Paketen auf dem Sendepfad suchen.
  3. Zur Erkennung und Identifizierung böswilliger Aktivitäten - Mit der Firewall-Protokollierungsfunktion können Sie prüfen, ob in Ihrem Netzwerk bösartige Aktivitäten auftreten oder nicht, obwohl Sie sich daran erinnern müssen, dass sie nicht die Informationen zum Auffinden der Quelle der Aktivität enthält.
  4. Wenn Sie wiederholt erfolglose Versuche bemerken, von einer IP-Adresse( oder einer Gruppe von IP-Adressen) aus auf Ihre Firewall und / oder andere High-Profile-Systeme zuzugreifen, sollten Sie eine Regel schreiben, um alle Verbindungen aus diesem IP-Bereich zu löschendie IP-Adresse wird nicht gefälscht).
  5. Ausgehende Verbindungen von internen Servern, z. B. Webservern, können darauf hindeuten, dass jemand Ihr System zum Starten von Angriffen auf Computer in anderen Netzwerken verwendet.

So generieren Sie die Protokolldatei

Standardmäßig ist die Protokolldatei deaktiviert, dh es werden keine Informationen in die Protokolldatei geschrieben. Um eine Logdatei zu erstellen, drücken Sie "Win key + R", um das Run-Feld zu öffnen. Geben Sie "wf.msc" ein und drücken Sie die Eingabetaste. Der Bildschirm "Windows-Firewall mit erweiterter Sicherheit" wird angezeigt. Klicken Sie auf der rechten Seite des Bildschirms auf "Eigenschaften".

Ein neues Dialogfeld wird angezeigt. Klicken Sie nun auf die Registerkarte "Privates Profil" und wählen Sie "Anpassen" im Abschnitt "Logging".

Ein neues Fenster öffnet sich und wählen Sie Ihre maximale Protokollgröße, Speicherort und ob nur verworfene Pakete, erfolgreiche Verbindung oder beides protokolliert werden. Ein abgeworfenes Paket ist ein Paket, das von der Windows-Firewall blockiert wurde. Eine erfolgreiche Verbindung bezieht sich sowohl auf eingehende Verbindungen als auch auf Verbindungen, die Sie über das Internet hergestellt haben. Dies bedeutet jedoch nicht immer, dass ein Eindringling erfolgreich eine Verbindung mit Ihrem Computer hergestellt hat.

Standardmäßig schreibt die Windows-Firewall Protokolleinträge in% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log und speichert nur die letzten 4 MB an Daten. In den meisten Produktionsumgebungen wird dieses Protokoll ständig auf Ihre Festplatte geschrieben. Wenn Sie die Größenbeschränkung der Protokolldatei ändern( um Aktivitäten über einen längeren Zeitraum zu protokollieren), kann dies zu Leistungseinbußen führen. Aus diesem Grund sollten Sie die Protokollierung nur aktivieren, wenn Sie aktiv ein Problem beheben und die Protokollierung sofort deaktivieren, wenn Sie fertig sind.

Als Nächstes klicken Sie auf die Registerkarte "Öffentliches Profil" und wiederholen Sie die gleichen Schritte, die Sie für die Registerkarte "Privates Profil" durchgeführt haben. Sie haben jetzt das Protokoll für private und öffentliche Netzwerkverbindungen aktiviert. Die Protokolldatei wird in einem erweiterten W3C-Protokollformat( .log) erstellt, das Sie mit einem Texteditor Ihrer Wahl untersuchen oder in eine Tabelle importieren können. Eine einzelne Protokolldatei kann Tausende von Texteinträgen enthalten. Wenn Sie sie also über den Editor lesen, deaktivieren Sie den Zeilenumbruch, um die Spaltenformatierung beizubehalten. Wenn Sie die Protokolldatei in einer Tabelle anzeigen, werden alle Felder zur einfacheren Analyse in Spalten angezeigt.

Scrollen Sie auf dem Hauptbildschirm "Windows-Firewall mit erweiterter Sicherheit" nach unten, bis Sie den Link "Überwachung" sehen. Klicken Sie im Detailbereich unter "Protokollierungseinstellungen" auf den Dateipfad neben "Dateiname". Das Protokoll wird im Editor geöffnet.

Interpretieren des Windows Firewall-Protokolls

Das Windows-Firewall-Sicherheitsprotokoll enthält zwei Abschnitte. Der Header liefert statische, beschreibende Informationen über die Version des Protokolls und die verfügbaren Felder. Der Hauptteil des Protokolls sind die kompilierten Daten, die als Ergebnis von Datenverkehr eingegeben werden, der versucht, die Firewall zu überqueren. Es ist eine dynamische Liste und neue Einträge erscheinen am Ende des Protokolls. Die Felder werden von links nach rechts über die Seite geschrieben. Das Zeichen( -) wird verwendet, wenn für das Feld kein Eintrag verfügbar ist.

Gemäß der Microsoft Technet-Dokumentation enthält der Header der Protokolldatei Folgendes:

Version - Zeigt an, welche Version des Windows-Firewall-Sicherheitsprotokolls installiert ist.
Software - Zeigt den Namen der Software an, die das Protokoll erstellt.
Time( Zeit für
) - Zeigt an, dass alle Timestamp-Informationen im Protokoll in Ortszeit sind.
-Felder - Zeigt eine Liste der Felder an, die für Sicherheitsprotokolleinträge verfügbar sind, wenn Daten verfügbar sind.

Der Hauptteil der Protokolldatei enthält:

date - Das Datumsfeld gibt das Datum im Format YYYY-MM-DD an.
time - Die lokale Zeit wird in der Protokolldatei im Format HH: MM: SS angezeigt. Die Stunden werden im 24-Stunden-Format referenziert.
-Aktion - Während die Firewall den Datenverkehr verarbeitet, werden bestimmte Aktionen aufgezeichnet. Die protokollierten Aktionen sind DROP zum Trennen einer Verbindung, OPEN zum Öffnen einer Verbindung, CLOSE zum Schließen einer Verbindung, OPEN-INBOUND für eine eingehende Sitzung, die für den lokalen Computer geöffnet ist, und INFO-EVENTS-LOST für Ereignisse, die von der Windows-Firewall verarbeitet werdenwurden nicht im Sicherheitsprotokoll aufgezeichnet.
-Protokoll - Das verwendete Protokoll wie TCP, UDP oder ICMP.
src-ip - Zeigt die Quell-IP-Adresse an( die IP-Adresse des Computers, der versucht, eine Verbindung herzustellen).
dst-ip - Zeigt die Ziel-IP-Adresse eines Verbindungsversuchs an.
src-port - Die Portnummer auf dem sendenden Computer, von dem die Verbindung versucht wurde.
dst-port - Der Port, an den der sendende Computer eine Verbindung herstellen wollte.
size - Zeigt die Paketgröße in Bytes an.
tcpflags - Informationen zu TCP-Steuerflags in TCP-Headern.
tcpsyn - Zeigt die TCP-Sequenznummer im Paket an.
tcpack - Zeigt die TCP-Bestätigungsnummer im Paket an.
tcpwin - Zeigt die TCP-Fenstergröße in Byte im Paket an.
icmptype - Informationen zu den ICMP-Nachrichten.
icmpcode - Informationen zu den ICMP-Nachrichten.
info - Zeigt einen Eintrag an, der vom Typ der aufgetretenen Aktion abhängt.
path - Zeigt die Richtung der Kommunikation an. Die verfügbaren Optionen sind SEND, RECEIVE, FORWARD und UNKNOWN.

Wie Sie bemerken, ist der Protokolleintrag in der Tat groß und kann bis zu 17 Informationen enthalten, die jedem Ereignis zugeordnet sind. Für die allgemeine Analyse sind jedoch nur die ersten acht Informationen wichtig. Mit den Details in Ihrer Hand können Sie jetzt die Informationen für bösartige Aktivitäten analysieren oder Anwendungsfehler beheben.

Wenn Sie eine bösartige Aktivität vermuten, öffnen Sie die Protokolldatei im Editor und filtern Sie alle Protokolleinträge mit DROP im Aktionsfeld und notieren Sie, ob die Ziel-IP-Adresse mit einer anderen als 255 endet. Wenn Sie viele solcher Einträge finden, dannNotieren Sie sich die Ziel-IP-Adressen der Pakete. Sobald Sie mit der Problembehandlung fertig sind, können Sie die Firewall-Protokollierung deaktivieren.

Die Behebung von Netzwerkproblemen kann manchmal ziemlich entmutigend sein. Eine empfohlene Vorgehensweise bei der Fehlerbehebung der Windows-Firewall besteht darin, die systemeigenen Protokolle zu aktivieren. Obwohl die Windows-Firewall-Protokolldatei nicht für die Analyse der Gesamtsicherheit Ihres Netzwerks nützlich ist, ist sie dennoch eine gute Methode, wenn Sie überwachen möchten, was sich hinter den Kulissen abspielt.