14Sep

A tűzfal-tevékenység követése a Windows tűzfal naplójával

Az internetes forgalom szűrése során minden tűzfalnak van valamilyen naplózási funkciója, amely dokumentálja, hogy a tűzfal különböző típusú forgalmat kezel. Ezek a naplók értékes információkat szolgáltathatnak, mint a forrás és cél IP címek, portszámok és protokollok. A Windows tűzfal naplófájlját a tűzfal által blokkolt TCP és UDP kapcsolatok és csomagok felügyeletére is használhatja.

Miért és amikor a tűzfal naplózása hasznos
  1. Annak ellenőrzésére, hogy az újonnan hozzáadott tűzfalszabályok megfelelően működnek-e, vagy hibakeresésük van-e, ha nem működnek megfelelően.
  2. Annak megállapítása, hogy a Windows tűzfal az alkalmazáshibák oka - A tűzfal naplózási funkciójával ellenőrizheti a letiltott portok nyílásait, a dinamikus portnyitásokat, elemezheti az elhagyott csomagokat nyomógombokkal és sürgős zászlókkal, és elemezheti az elhagyott csomagokat a küldési útvonalon.
  3. A rosszindulatú tevékenység segítése és azonosítása - A Tűzfal naplózási funkciójával ellenőrizheti, hogy a hálózatán belül valamilyen rosszindulatú tevékenység fordul elő, de nem szabad elfelejtenie, hogy a rendszer nem biztosítja a tevékenység forrása nyomon követéséhez szükséges információkat.
  4. Ha ismételt sikertelen próbálkozásokat észlel a tűzfal és / vagy egyéb nagyszerű rendszerek IP-címekből( vagy IP-címek csoportjából) történő eléréséhez, írjon egy szabályt, hogy lehessen minden kapcsolatot az adott IP-területről( ügyeljen arra, hogyaz IP-címet nem hamisítják).
  5. A belső szerverekről érkező kimenő kapcsolatok, például a webkiszolgálók, azt jelezhetik, hogy valaki a hálózaton található számítógépekkel szemben támadást indít a rendszeren.

A naplófájl generálása

Alapértelmezés szerint a naplófájl le van tiltva, ami azt jelenti, hogy a naplófájlba semmilyen információt nem írnak. Naplófájl létrehozásához nyomja meg a "Win key + R" billentyűt a Run( Futtatás) mező megnyitásához.Írja be a "wf.msc" parancsot, és nyomja meg az Enter billentyűt. Megjelenik a "Windows tűzfal fejlett biztonságú" képernyő.A képernyő jobb oldalán kattintson a "Tulajdonságok" gombra.

Megjelenik egy új párbeszédpanel. Most kattintson a "Privát profil" fülre, és válassza ki a "Testreszabás" lehetőséget a "Naplózási szakaszban".

Megnyílik egy új ablak, és a képernyőn válaszd ki a maximális naplóméretet, helyet, és csak a lecsomagolt csomagokat, a sikeres kapcsolatot vagy mindkettőt. Az eldobott csomag olyan csomag, amelyet a Windows tűzfal letiltott. A sikeres kapcsolat mind a bejövő kapcsolatokra, mind az interneten keresztül létrejött kapcsolatokra vonatkozik, de nem mindig jelenti azt, hogy egy behatoló sikeresen kapcsolódott a számítógéphez.

Alapértelmezés szerint a Windows tűzfal a naplóbejegyzéseket a% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log fájlba írja és csak az utolsó 4 MB adat tárolására szolgál. A legtöbb termelési környezetben ez a napló folyamatosan ír le a merevlemezre, és ha módosítja a naplófájl méretkorlátját( hosszú időtartamra történő naplózáshoz), akkor ez teljesítményhatást okozhat. Emiatt engedélyezni kell a naplózást csak akkor, ha aktívan megoldja a problémát, majd azonnal letiltja a naplózást, amikor elkészült.

A továbbiakban kattintson a "Nyilvános profil" fülre, és ismételje meg a "Privát profil" fülhöz hasonló lépéseket. Most bekapcsolta a naplót mind a privát, mind a nyilvános hálózathoz. A naplófájl egy W3C kiterjesztett napló formátumban( .log) jön létre, amelyet meg lehet vizsgálni egy tetszőleges szövegszerkesztővel, vagy importálhatja őket egy táblázatba. Egyetlen naplófájl több ezer szövegbevitelt tartalmazhat, tehát ha a Jegyzettömbön keresztül olvasod őket, akkor letiltja a szócsomagolás használatát az oszlopformázás megőrzéséhez. Ha a naplófájlt egy táblázatban látja, akkor minden mező logikusan jelenik meg az oszlopokban az egyszerű elemzés érdekében.

A legfontosabb "Windows tűzfal a speciális biztonsággal" képernyőn görgessen lefelé, amíg meg nem jelenik a "Monitoring" link. A Részletekablakban a "Naplóbeállítások" alatt kattintson a "Fájlnév" melletti fájl elérési útjára. A napló megjelenik a Jegyzettömbben.

A Windows Tűzfal napló

értelmezése

A Windows tűzfal biztonsági naplója két szakaszból áll. A fejléc statikus, leíró jellegű információkat tartalmaz a napló változatáról és a rendelkezésre álló mezőkről. A napló teste a fordított adatforgalom eredményeként létrejött adat, amely megpróbálja átlépni a tűzfalat. Ez egy dinamikus lista, és az új bejegyzések továbbra is megjelennek a napló alján. A mezők balról jobbra íródnak az oldalon. A( -) akkor használatos, ha a mezőre nincs bejegyzés.

A Microsoft Technet dokumentáció szerint a naplófájl fejlécében megtalálható:

verzió - Megjeleníti a Windows tűzfal biztonsági naplójának verzióját.
szoftver - Megjeleníti a napló létrehozó szoftver nevét.
Time - Azt jelzi, hogy a napló összes időbélyege a helyi időben van.
mezők - A biztonsági naplóbejegyzésekhez rendelkezésre álló mezők listáját jeleníti meg, ha adatok állnak rendelkezésre.

Míg a naplófájl testje tartalmazza:

dátum - A dátummező a dátumot YYYY-MM-DD formátumban azonosítja.
idő - A helyi idő a HH: MM: SS formátumban a naplófájlban jelenik meg. Az órák 24 órás formátumúak.
művelet - Ahogy a tűzfal feldolgozza a forgalmat, bizonyos műveleteket rögzítenek. A naplózott műveletek DROP a kapcsolat leállításához, NYITOTT a kapcsolat megnyitásához, Zárás a kapcsolat bezárásához, OPEN-INBOUND a helyi számítógépen megnyitott bejövő munkamenethez és INFO-EVENTS-LOST a Windows tűzfal által feldolgozott eseményekhez.nem rögzítették a biztonsági naplóban.
protokoll - Az alkalmazott protokoll, például TCP, UDP vagy ICMP.
src-ip - Megjeleníti a forrás IP-címét( a kommunikáció megpróbálásához szükséges számítógép IP-címe).
dst-ip - Megjeleníti a kapcsolódási kísérlet cél-IP-címét.
src-port - A küldő számítógép portszámát, ahonnan a kapcsolatot megkísérelték.
dst-port - A port, amelyhez a küldő számítógép megpróbált kapcsolatot létesíteni.
méret - A csomagméretet bájtban jeleníti meg.
tcpflags - Információ a TCP vezérlő zászlókról a TCP fejlécekben.
tcpsyn - Megjeleníti a TCP sorozatszámot a csomagban.
tcpack - Megjeleníti a TCP visszaigazoló számot a csomagban.
tcpwin - Megjeleníti a TCP ablakméretet, bájtban, a csomagban.
icmptype - Információ az ICMP üzenetekről.
icmpcode - Információ az ICMP üzenetekről.
info - Megjelenít egy bejegyzést, amely a végrehajtott művelet típusától függ.
elérési út - Megjeleníti a kommunikáció irányát. A rendelkezésre álló lehetőségek a SEND, RECEIVE, FORWARD és az UNKNOWN.

Amint észreveszi, a napló bejegyzés valóban nagy, és legfeljebb 17 darab információt tartalmazhat minden egyes eseményhez. Azonban csak az első nyolc információ fontos az általános elemzéshez. A kezedben lévő részletek segítségével elemezheti a rosszindulatú tevékenységekre vonatkozó információkat, illetve hibakeresési alkalmazáshibákat.

Ha bármilyen rosszindulatú tevékenységet gyanítasz, akkor nyissa meg a naplófájlt a Jegyzettömbben, és szűrje az összes naplóbejegyzést a DROP-val a cselekvési mezőben, és jegyezze fel, hogy a cél-IP-cím 255-nél több számmal végződik-e. Ha sok ilyen bejegyzést talál, akkorvegye figyelembe a csomagok cél-IP-címét. Miután befejezte a probléma megoldását, letilthatja a tűzfal naplózását.

A hálózati problémák megoldása időről időre nagyon ijesztő lehet, és ajánlott a helyes gyakorlat, amikor a Windows tűzfal hibaelhárítása lehetővé teszi a natív naplózást. Bár a Windows tűzfal naplófájlja nem hasznos a hálózat általános biztonságának elemzéséhez, még mindig jó gyakorlat, ha meg szeretné figyelni, hogy mi történik a jelenetek mögött.