14Sep
En el proceso de filtrado del tráfico de Internet, todos los firewalls tienen algún tipo de función de registro que documenta cómo el firewall manejó varios tipos de tráfico. Estos registros pueden proporcionar información valiosa, como direcciones IP de origen y destino, números de puerto y protocolos. También puede usar el archivo de registro de Firewall de Windows para supervisar las conexiones TCP y UDP y los paquetes bloqueados por el firewall.
Por qué y cuándo es útil el registro de cortafuegos - Verificar si las nuevas reglas de cortafuegos funcionan correctamente o depurarlas si no funcionan como se espera.
- Para determinar si Windows Firewall es la causa de las fallas de la aplicación: con la función de inicio de sesión de Firewall puede verificar las aperturas de puertos deshabilitados, las aperturas de puertos dinámicos, analizar los paquetes descartados con indicadores push y urgente y analizar los paquetes descartados en la ruta de envío.
- Para ayudar e identificar actividad maliciosa: con la función de inicio de sesión de Firewall puede verificar si hay actividad maliciosa dentro de su red o no, aunque debe recordar que no proporciona la información necesaria para rastrear el origen de la actividad.
- Si observa repetidos intentos infructuosos de acceder a su firewall y / u otros sistemas de alto perfil desde una dirección IP( o grupo de direcciones IP), entonces puede escribir una regla para eliminar todas las conexiones de ese espacio IP( asegurándose de quela dirección IP no está siendo falsificada).
- Las conexiones salientes provenientes de servidores internos, como servidores web, podrían indicar que alguien está usando su sistema para lanzar ataques contra computadoras ubicadas en otras redes.
Cómo generar el archivo de registro
De forma predeterminada, el archivo de registro está deshabilitado, lo que significa que no se escribe información en el archivo de registro. Para crear un archivo de registro, presione "Win clave + R" para abrir el cuadro Ejecutar. Escriba "wf.msc" y presione Entrar. Aparece la pantalla "Windows Firewall con seguridad avanzada".En el lado derecho de la pantalla, haga clic en "Propiedades".
Aparece un nuevo cuadro de diálogo. Ahora haga clic en la pestaña "Perfil privado" y seleccione "Personalizar" en la "Sección de registro".
Se abre una nueva ventana y desde esa pantalla elige el tamaño máximo de registro, la ubicación y si registrar solo los paquetes caídos, la conexión correcta o ambas cosas. Un paquete descartado es un paquete que Windows Firewall ha bloqueado. Una conexión exitosa se refiere tanto a conexiones entrantes como a cualquier conexión que haya hecho a través de Internet, pero no siempre significa que un intruso se haya conectado exitosamente a su computadora.
De forma predeterminada, Firewall de Windows escribe entradas de registro en% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log y almacena solo los últimos 4 MB de datos. En la mayoría de los entornos de producción, este registro escribirá constantemente en su disco duro, y si cambia el límite de tamaño del archivo de registro( para registrar la actividad durante un período prolongado), puede causar un impacto en el rendimiento. Por esta razón, debe habilitar el inicio de sesión solo cuando esté resolviendo un problema activamente y luego deshabilite el inicio de sesión inmediatamente cuando haya terminado.
A continuación, haga clic en la pestaña "Perfil público" y repita los mismos pasos que realizó para la pestaña "Perfil privado".Ahora ha activado el registro para las conexiones de red pública y privada. El archivo de registro se creará en un formato de registro extendido W3C( .log) que puede examinar con un editor de texto de su elección o importarlos en una hoja de cálculo. Un único archivo de registro puede contener miles de entradas de texto, por lo que si las está leyendo a través del Bloc de notas, deshabilite el ajuste de palabras para conservar el formato de la columna. Si está viendo el archivo de registro en una hoja de cálculo, todos los campos se mostrarán lógicamente en columnas para un análisis más fácil.
En la pantalla principal "Firewall de Windows con seguridad avanzada", desplácese hacia abajo hasta que vea el enlace "Supervisión".En el panel Detalles, en "Configuración de registro", haga clic en la ruta de archivo junto a "Nombre de archivo". El registro se abre en el Bloc de notas.
Interpretación del registro de Windows Firewall
El registro de seguridad de Firewall de Windows contiene dos secciones. El encabezado proporciona información estática y descriptiva sobre la versión del registro y los campos disponibles. El cuerpo del registro es la información compilada que se ingresa como resultado del tráfico que intenta cruzar el firewall. Es una lista dinámica, y las nuevas entradas siguen apareciendo en la parte inferior del registro. Los campos se escriben de izquierda a derecha en la página. El( -) se usa cuando no hay ninguna entrada disponible para el campo.
Según la documentación de Microsoft Technet, el encabezado del archivo de registro contiene: Versión
: muestra qué versión del registro de seguridad de Firewall de Windows está instalado. Software
: muestra el nombre del software que crea el registro. Tiempo de
: indica que toda la información de marca de tiempo en el registro está en hora local. Campos
: muestra una lista de los campos que están disponibles para las entradas del registro de seguridad, si los datos están disponibles.
Mientras que el cuerpo del archivo de registro contiene:
date: el campo de fecha identifica la fecha en el formato AAAA-MM-DD.
time: la hora local se muestra en el archivo de registro con el formato HH: MM: SS.Las horas están referenciadas en formato de 24 horas. Acción de
: a medida que el cortafuegos procesa el tráfico, se registran ciertas acciones. Las acciones registradas son DROP para eliminar una conexión, ABRIR para abrir una conexión, CERRAR para cerrar una conexión, ABRIR-ENTRAR para una sesión entrante abierta en la computadora local, e INFO-EVENTOS-PERDIDOS para eventos procesados por el Firewall de Windows, perono fueron registrados en el registro de seguridad. Protocolo
: el protocolo utilizado, como TCP, UDP o ICMP.
src-ip: muestra la dirección IP de origen( la dirección IP de la computadora que intenta establecer la comunicación).
dst-ip: muestra la dirección IP de destino de un intento de conexión.
src-port: el número de puerto en la computadora de envío desde la que se intentó la conexión.
dst-port: el puerto al que la computadora emisora intentaba establecer una conexión. Tamaño
: muestra el tamaño del paquete en bytes.
tcpflags: información sobre los indicadores de control TCP en los encabezados TCP.
tcpsyn: muestra el número de secuencia TCP en el paquete.
tcpack: muestra el número de acuse de recibo TCP en el paquete.
tcpwin: muestra el tamaño de la ventana TCP, en bytes, en el paquete.
icmptype: información sobre los mensajes ICMP.
icmpcode - Información sobre los mensajes ICMP.
información: muestra una entrada que depende del tipo de acción que ocurrió.
path: muestra la dirección de la comunicación. Las opciones disponibles son ENVIAR, RECIBIR, AVANZAR y DESCONOCIDO.
Como nota, la entrada del registro es realmente grande y puede tener hasta 17 elementos de información asociados con cada evento. Sin embargo, solo las primeras ocho piezas de información son importantes para el análisis general. Con los detalles en su mano, ahora puede analizar la información en busca de actividad maliciosa o errores en la aplicación de depuración.
Si sospecha alguna actividad maliciosa, abra el archivo de registro en el Bloc de notas y filtre todas las entradas de registro con DROP en el campo de acción y observe si la dirección IP de destino finaliza con un número distinto de 255. Si encuentra muchas de esas entradas, entoncestome nota de las direcciones IP de destino de los paquetes. Una vez que haya terminado de solucionar el problema, puede desactivar el registro del firewall.
Solución de problemas de red puede ser bastante desalentador a veces y una buena práctica recomendada cuando se soluciona Windows Firewall es habilitar los registros nativos. Aunque el archivo de registro de Windows Firewall no es útil para analizar la seguridad general de su red, sigue siendo una buena práctica si desea monitorear lo que está sucediendo detrás de escena.