14Sep
Internet-liikenteen suodatusprosessissa kaikilla palomuureilla on jonkinlainen kirjautumisominaisuus, joka dokumentoi miten palomuuri käsittelee erilaisia liikennemuotoja. Nämä lokit voivat tarjota arvokkaita tietoja, kuten lähde- ja kohde-IP-osoitteet, porttien numerot ja protokollat. Voit myös käyttää Windowsin palomuurin lokitiedostoa seuraamaan TCP- ja UDP-yhteyksiä sekä palomuurin estämiä paketteja.
Miksi ja milloin palomuurin kirjaaminen on hyödyllistä - Voit tarkistaa, ovatko tuoreet palomuurisäännöt toimineet oikein vai onko virheenkorjaus, jos ne eivät toimi odotetulla tavalla.
- Määritä, onko Windowsin palomuuri syynä sovellusvirheisiin. - Palomuurin kirjautumisominaisuuden avulla voit tarkistaa käytöstä poistettujen porttien aukot, dynaamiset porttinäkymät, analysoida pudotettujen pakettien push- ja kiireellisiä lippuja sekä analysoida pudotettuja paketteja lähetyspolulle.
- Haitallisen toiminnan helpottaminen ja tunnistaminen - Palomuurin kirjautumisominaisuuden avulla voit tarkistaa, onko verkossa tapahtunut haittaohjelmia tai ei, mutta sinun on muistettava, että se ei anna tietoja, jotka tarvitaan toiminnan lähteen etsimiseen.
- Jos havaitset toistuvia epäonnistuneita yrityksiä päästä palomuuriin ja / tai muihin korkean profiilin järjestelmiin yhdestä IP-osoitteesta( tai IP-osoitteiden ryhmästä), voit halutessasi kirjoittaa säännön pudottamalla kaikki yhteydet kyseisestä IP-tilasta( varmista, ettäIP-osoitetta ei ole väärennetty).
- Lähtevät yhteydet, jotka tulevat sisäisistä palvelimista, kuten Web-palvelimista, voivat olla merkki siitä, että joku käyttää järjestelmääsi käynnistää hyökkäyksiä muihin verkkoihin sijoitetuissa tietokoneissa.
Lokitiedoston luominen
Oletuksena lokitiedosto on poistettu käytöstä, mikä tarkoittaa, että lokitiedostoon ei ole kirjoitettu mitään tietoja. Luo lokitiedosto avaamalla Run-ruutu painamalla "Win-näppäin + R".Kirjoita "wf.msc" ja paina Enter. Näyttöön tulee "Windowsin palomuuri, jossa on lisäasetukset" -näyttö.Napsauta näytön oikealla puolella "Ominaisuudet".
Uusi valintaikkuna avautuu. Napsauta "Yksityinen profiili" -välilehteä ja valitse "Mukauta" kirjautumisjaksoon.
Uusi ikkuna avautuu ja näytöstä pääsee valitsemaan maksimikoko, sijainti ja kirjautumalla vain poistetut paketit, onnistunut yhteys tai molemmat. Pudotettu paketti on paketti, jonka Windowsin palomuuri on estänyt. Menestyksellinen yhteys viittaa sekä tuleviin yhteyksiin että mihin tahansa Internetin kautta tehtyyn yhteyteen, mutta se ei aina tarkoita sitä, että tunkeilija on onnistuneesti liitetty tietokoneeseen.
Oletusarvoisesti Windowsin palomuuri kirjoittaa lokitiedot% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log -ohjelmaan ja tallentaa vain viimeiset 4 Mt dataa. Useimmissa tuotantoympäristöissä tämä loki kirjoittaa jatkuvasti kiintolevylle, ja jos muutat lokitiedoston kokorajoitusta( jos haluat kirjautua tapahtumaan pitkäksi ajaksi), se voi aiheuttaa suorituskyvyn. Tästä syystä sinun on sallittava kirjautumisen vain silloin, kun ongelman vianmääritys on aktiivinen, ja poista heti kirjautumisen heti, kun olet valmis.
Napsauta sitten julkisen profiilin välilehteä ja toista samoja vaiheita, joita teit "Yksityinen profiili" -välilehdellä.Olet nyt ottanut käyttöön sekä yksityisten että julkisten verkkoyhteyksien lokit. Lokitiedosto luodaan W3C-laajennetussa log-muodossa( .log), jota voit tarkastella haluamasi tekstieditorilla tai tuoda ne laskentataulukkoon. Yksittäinen lokitiedosto voi sisältää tuhansia tekstimerkintöjä, joten jos luet niitä Notepadin kautta, poista sitten sanaakääminen sarakkeen muotoilun säilyttämiseksi. Jos tarkastelet lokitiedostoa laskentataulukossa, kaikki kentät näytetään loogisesti sarakkeissa, jotta analyysi olisi helpompaa.
Selaa alhaalla "Windowsin palomuuri, jossa on lisäasetukset", kunnes näet seuranta-linkin. Napsauta Tiedosto-osiossa Tiedostoasetukset-kohdan Tiedostonimi-kohdan vieressä olevaa tiedostoa. Loki avautuu Muistioon.
Windowsin palomuurilokin
tulkintaWindowsin palomuurin tietoturvapäiväkirja sisältää kaksi osiota. Otsikko antaa staattisia, kuvailevia tietoja lokin versiosta ja käytettävissä olevista kentistä.Lokin runko on kerätty tieto, joka syötetään tuloksena liikenteestä, joka yrittää ylittää palomuurin. Se on dynaaminen luettelo, ja uudet merkinnät näkyvät edelleen lokin alareunassa. Kentät kirjoitetaan sivun vasemmalta oikealle. Käytetään( -), kun kenttää ei ole saatavilla.
Microsoft Technet -dokumentaation mukaan lokitiedoston otsikko sisältää:
Versio - Näyttää, mikä Windowsin palomuurin tietoturvapäiväkirjan versio on asennettu.
Software - Näyttää login luomisen ohjelmiston nimen.
Time - Osoittaa, että lokin kaikki aikaleiman tiedot ovat paikallista aikaa.
-kentät - Näyttää luettelon kentistä, jotka ovat käytettävissä tietoturvapäivitysten yhteydessä, jos tietoja on saatavilla.
Vaikka lokitiedoston runko sisältää:
-päivämäärä - Päivämäärän kenttä ilmoittaa päivämäärän muodossa YYYY-MM-DD.
aika - Paikallinen aika näkyy lokitiedostossa käyttäen muotoa HH: MM: SS.Tuntia viitataan 24 tunnin muodossa.
-toiminta - Palomuuri käsittelee liikennettä, ja tietyt toiminnot tallennetaan. Kirjautuneet toiminnot ovat DROP yhteyden avaamiseksi, avattu yhteyden avaaminen, sulkeminen yhteyden sulkemiseksi, OPEN-INBOUND paikalliselle tietokoneelle avautuvasta saapuvasta istunnosta ja INFO-EVENTS-LOST Windows-palomuurin käsittelemistä tapahtumista.ei tallennettu tietoturvapäiväkirjaan.
-protokolla - Käytetty protokolla, kuten TCP, UDP tai ICMP.
src-ip - Näyttää lähteen IP-osoitteen( tiedonsiirron yrittävän tietokoneen IP-osoite).
dst-ip - Näyttää yhteysyrityksen kohde-IP-osoitteen.
src-portti - Portin numero lähettävässä tietokoneessa, josta yhteys yritettiin.
dst-portti - Portti, johon lähettävä tietokone yritti muodostaa yhteyden.
-koko - Näyttää paketin koon tavuina.
tcpflags - Tietoja TCP-ohjauslippuista TCP-otsakkeissa.
tcpsyn - Näyttää TCP-sekvenssinumeron pakettina.
tcpack - Näyttää TCP-kuittausnumeron pakettina.
tcpwin - Näyttää TCP-ikkunakokoa tavuina pakettina.
icmptype - Tietoja ICMP-viesteistä.
icmpcode - Tietoja ICMP-viesteistä.
info - Näyttää merkinnän, joka riippuu tapahtuneesta toiminnosta.
polku - Näyttää tiedonsiirron suunnan. Käytettävissä olevat vaihtoehdot ovat SEND, RECEIVE, FORWARD ja UNKNOWN.
Kuten huomaat, lokimerkintä on todella suuri ja sillä voi olla jopa 17 tietoa jokaisesta tapahtumasta. Kuitenkin vain kahdeksan ensimmäistä tietoa on tärkeä yleisen analyysin kannalta. Nyt käsillä olevien tietojen avulla voit analysoida tietoja haitallisista toimista tai virheenkorjausohjelmien vioista.
Jos epäilet haitallista toimintaa, avaa lokitiedosto Muistiossa ja suodata kaikki lokimerkinnät DROP-toiminnolla toimintakentässä ja huomaa, onko kohde-IP-osoite lopetettu muilla kuin 255. Jos löydät useita tällaisia merkintöjä,ota huomioon pakettien kohde-IP-osoitteet. Kun olet lopettanut ongelman vianmäärityksen, voit poistaa palomuurin kirjautumisen käytöstä.
Verkko-ongelmien vianmääritys voi olla varsin pelottava ajoittain ja suositeltava hyvien toimintatapojen käyttäminen, kun Windowsin palomuurin vianmääritys mahdollistaa alkuperäisten lokien ottamisen käyttöön. Vaikka Windowsin palomuurin lokitiedosto ei ole hyödyllinen verkon yleisen turvallisuuden analysoimiseksi, se on silti hyvä käytäntö, jos haluat seurata tapahtumien taustalla olevia tapahtumia.