14Sep
Dans le processus de filtrage du trafic Internet, tous les pare-feu disposent d'un type de fonction de journalisation qui documente la manière dont le pare-feu a traité différents types de trafic. Ces journaux peuvent fournir des informations précieuses telles que les adresses IP source et de destination, les numéros de port et les protocoles. Vous pouvez également utiliser le fichier journal du pare-feu Windows pour surveiller les connexions TCP et UDP et les paquets bloqués par le pare-feu.
Pourquoi et quand la journalisation du pare-feu est-elle utile - Pour vérifier si les nouvelles règles de pare-feu fonctionnent correctement ou pour les déboguer si elles ne fonctionnent pas comme prévu.
- Pour déterminer si le pare-feu Windows est la cause des échecs d'application - Avec la fonctionnalité de journalisation du pare-feu, vous pouvez vérifier les ouvertures de ports désactivées, les ouvertures de ports dynamiques, analyser les paquets perdus avec les indicateurs push et urgent et analyser les paquets perdus.
- Pour aider et identifier l'activité malveillante - Avec la fonctionnalité de journalisation du pare-feu, vous pouvez vérifier si une activité malveillante se produit sur votre réseau ou non, mais vous devez vous rappeler qu'elle ne fournit pas les informations nécessaires pour retrouver la source de l'activité.
- Si vous remarquez des tentatives infructueuses répétées pour accéder à votre pare-feu et / ou à d'autres systèmes de haut niveau à partir d'une adresse IP( ou d'un groupe d'adresses IP), vous pouvez écrire une règle pour supprimer toutes les connexions.l'adresse IP n'est pas usurpée).
- Les connexions sortantes provenant de serveurs internes tels que les serveurs Web peuvent indiquer que quelqu'un utilise votre système pour lancer des attaques contre des ordinateurs situés sur d'autres réseaux.
Comment générer le fichier journal
Par défaut, le fichier journal est désactivé, ce qui signifie qu'aucune information n'est écrite dans le fichier journal. Pour créer un fichier journal, appuyez sur "Win key + R" pour ouvrir la boîte Exécuter. Tapez "wf.msc" et appuyez sur Entrée. L'écran "Pare-feu Windows avec sécurité avancée" apparaît. Sur le côté droit de l'écran, cliquez sur "Propriétés".
Une nouvelle boîte de dialogue apparaît. Cliquez sur l'onglet "Profil privé" et sélectionnez "Personnaliser" dans la section "Journalisation".
Une nouvelle fenêtre s'ouvre et, à partir de cet écran, détermine la taille maximale du journal, son emplacement et s'il ne doit enregistrer que les paquets perdus. Un paquet abandonné est un paquet que le pare-feu Windows a bloqué.Une connexion réussie fait à la fois référence aux connexions entrantes et à toute connexion établie sur Internet, mais cela ne signifie pas toujours qu'un intrus s'est connecté avec succès à votre ordinateur.
Par défaut, le Pare-feu Windows écrit les entrées de journal dans% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log et ne stocke que les 4 Mo de données. Dans la plupart des environnements de production, ce journal écrit en permanence sur votre disque dur et si vous modifiez la taille limite du fichier journal( pour journaliser l'activité sur une longue période), cela peut avoir un impact sur les performances. Pour cette raison, vous devez activer la journalisation uniquement lors de la résolution active d'un problème, puis désactiver immédiatement la journalisation lorsque vous avez terminé.
Ensuite, cliquez sur l'onglet "Profil public" et répétez les mêmes étapes que pour l'onglet "Profil privé".Vous avez maintenant activé le journal pour les connexions réseau privées et publiques. Le fichier journal sera créé dans un format de journal étendu W3C( .log) que vous pouvez examiner avec un éditeur de texte de votre choix ou les importer dans une feuille de calcul. Un seul fichier journal peut contenir des milliers d'entrées de texte. Par conséquent, si vous les lisez dans le Bloc-notes, désactivez le retour à la ligne pour conserver le formatage de la colonne. Si vous affichez le fichier journal dans une feuille de calcul, tous les champs seront affichés dans des colonnes pour faciliter l'analyse.
Sur l'écran principal "Pare-feu Windows avec sécurité avancée", faites défiler vers le bas jusqu'à ce que vous voyiez le lien "Surveillance".Dans le volet Détails, sous "Paramètres de journalisation", cliquez sur le chemin d'accès du fichier en regard de "Nom de fichier". Le journal s'ouvre dans le Bloc-notes.
Interprétation du journal du pare-feu Windows
Le journal de sécurité du pare-feu Windows contient deux sections. L'en-tête fournit des informations statiques et descriptives sur la version du journal et les champs disponibles. Le corps du journal correspond aux données compilées qui sont entrées à la suite du trafic qui tente de traverser le pare-feu. C'est une liste dynamique, et de nouvelles entrées apparaissent en bas du journal. Les champs sont écrits de gauche à droite sur la page. Le( -) est utilisé lorsqu'il n'y a pas d'entrée disponible pour le champ.
Selon la documentation Microsoft Technet, l'en-tête du fichier journal contient:
Version - Affiche la version du journal de sécurité du pare-feu Windows installée.
Software - Affiche le nom du logiciel qui crée le journal.
Time - Indique que toutes les informations d'horodatage dans le journal sont en heure locale.
Fields - Affiche une liste des champs disponibles pour les entrées du journal de sécurité, si des données sont disponibles.
Alors que le corps du fichier journal contient:
date - Le champ de date identifie la date au format AAAA-MM-JJ.
time - L'heure locale est affichée dans le fichier journal au format HH: MM: SS.Les heures sont référencées au format 24 heures. Action
- Lorsque le pare-feu traite le trafic, certaines actions sont enregistrées. Les actions consignées sont DROP pour supprimer une connexion, OUVRIR pour ouvrir une connexion, FERMER pour fermer une connexion, OPEN-INBOUND pour une session entrante ouverte sur l'ordinateur local et INFO-EVENTS-LOST pour les événements traités par le pare-feu Windows, maisn'ont pas été enregistrés dans le journal de sécurité.
protocol - Protocole utilisé tel que TCP, UDP ou ICMP.
src-ip - Affiche l'adresse IP source( l'adresse IP de l'ordinateur essayant d'établir la communication).
dst-ip - Affiche l'adresse IP de destination d'une tentative de connexion.
src-port - Numéro de port sur l'ordinateur émetteur à partir duquel la connexion a été tentée.
dst-port - Port sur lequel l'ordinateur expéditeur tentait de se connecter.
size - Affiche la taille du paquet en octets.
tcpflags - Informations sur les indicateurs de contrôle TCP dans les en-têtes TCP.
tcpsyn - Affiche le numéro de séquence TCP dans le paquet.
tcpack - Affiche le numéro d'accusé de réception TCP dans le paquet.
tcpwin - Affiche la taille de la fenêtre TCP, en octets, dans le paquet.
icmptype - Informations sur les messages ICMP.
icmpcode - Informations sur les messages ICMP.
info - Affiche une entrée qui dépend du type d'action qui s'est produit.
path - Affiche la direction de la communication. Les options disponibles sont SEND, RECEIVE, FORWARD et UNKNOWN.
Comme vous le constatez, l'entrée de journal est en effet grande et peut contenir jusqu'à 17 informations associées à chaque événement. Cependant, seules les huit premières informations sont importantes pour l'analyse générale. Avec les détails dans votre main maintenant, vous pouvez analyser les informations pour l'activité malveillante ou les échecs d'application de débogage.
Si vous suspectez une activité malveillante, ouvrez le fichier journal dans le Bloc-notes et filtrez toutes les entrées du journal avec DROP dans le champ action et notez si l'adresse IP de destination se termine par un autre numéro que 255. Si vous trouvez plusieurs entrées, Prenez note des adresses IP de destination des paquets. Une fois le problème résolu, vous pouvez désactiver la consignation du pare-feu.
Dépannage des problèmes de réseau peut être assez décourageant parfois et une bonne pratique recommandée lors du dépannage du pare-feu Windows est d'activer les journaux natifs. Bien que le fichier journal du Pare-feu Windows ne soit pas utile pour analyser la sécurité globale de votre réseau, il est toujours recommandé de surveiller ce qui se passe dans les coulisses.