14Sep
Dalam proses penyaringan lalu lintas Internet, semua firewall memiliki beberapa jenis fitur logging yang mendokumentasikan bagaimana firewall menangani berbagai jenis lalu lintas. Log ini dapat memberikan informasi berharga seperti alamat IP sumber dan tujuan, nomor port, dan protokol. Anda juga dapat menggunakan file log Windows Firewall untuk memantau koneksi TCP dan UDP dan paket yang diblokir oleh firewall.
Mengapa dan Saat Firewall Logging Berguna - Untuk memverifikasi apakah aturan firewall yang baru ditambahkan bekerja dengan benar atau men-debugnya jika tidak berfungsi seperti yang diharapkan.
- Untuk mengetahui apakah Windows Firewall adalah penyebab kegagalan aplikasi - Dengan fitur logging Firewall, Anda dapat memeriksa bukaan port yang dinonaktifkan, bukaan port dinamis, menganalisis paket yang terjatuh dengan dorong dan bendera mendesak dan menganalisis paket yang terjatuh di jalur kirim.
- Untuk membantu dan mengidentifikasi aktivitas berbahaya - Dengan fitur logging Firewall, Anda dapat memeriksa apakah ada aktivitas berbahaya yang terjadi dalam jaringan Anda atau tidak, walaupun Anda harus mengingatnya, hal itu tidak memberikan informasi yang dibutuhkan untuk melacak sumber aktivitas.
- Jika Anda melihat upaya gagal yang gagal untuk mengakses firewall dan / atau sistem profil tinggi lainnya dari satu alamat IP( atau grup alamat IP), Anda mungkin ingin menulis sebuah aturan untuk menjatuhkan semua koneksi dari ruang IP tersebut( memastikan bahwaalamat IP tidak di-spoof).
- Sambungan keluar dari server internal seperti server Web bisa menjadi indikasi bahwa seseorang menggunakan sistem Anda untuk meluncurkan serangan terhadap komputer yang berada di jaringan lain.
Cara Menghasilkan File Log
Secara default, file log dinonaktifkan, yang berarti tidak ada informasi yang tertulis pada file log. Untuk membuat file log tekan "Win key + R" untuk membuka kotak Run. Ketik "wf.msc" dan tekan Enter. Layar "Windows Firewall with Advanced Security" muncul. Di sisi kanan layar, klik "Properties."
Sebuah kotak dialog baru muncul. Sekarang klik tab "Profil Pribadi" dan pilih "Sesuaikan" di bagian "Logging."
Jendela baru terbuka dan dari layar itu pilih ukuran log, lokasi, dan apakah Anda hanya mencatat paket terjatuh, koneksi yang berhasil atau keduanya. Paket yang dijatuhkan adalah paket yang telah diblokir Windows Firewall. Sambungan yang sukses mengacu pada koneksi masuk maupun koneksi yang Anda buat melalui Internet, namun tidak selalu berarti bahwa penyusup telah berhasil terhubung ke komputer Anda.
Secara default, Windows Firewall menulis entri log ke% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log dan menyimpan hanya 4 MB data terakhir. Di sebagian besar lingkungan produksi, log ini akan terus-menerus menulis ke hard disk Anda, dan jika Anda mengubah batas ukuran file log( untuk mencatat aktivitas dalam jangka waktu lama), maka hal itu dapat menyebabkan dampak kinerja. Untuk alasan ini, Anda harus mengaktifkan logging hanya saat masalah pemecahan masalah secara aktif dan kemudian segera menonaktifkan logging saat Anda selesai.
Selanjutnya, klik tab "Public Profile" dan ulangi langkah yang sama dengan tab "Private Profile".Anda sekarang telah menyalakan log untuk koneksi jaringan pribadi dan publik. File log akan dibuat dalam format log diperpanjang W3C( .log) yang dapat Anda periksa dengan editor teks pilihan Anda atau mengimpornya ke dalam spreadsheet. File log tunggal bisa berisi ribuan entri teks, jadi jika Anda membacanya melalui Notepad maka nonaktifkan pembungkus kata untuk melestarikan format kolom. Jika Anda melihat file log dalam spreadsheet, maka semua kolom akan ditampilkan secara logis di kolom untuk analisis lebih mudah.
Pada layar utama "Windows Firewall with Advanced Security", gulir ke bawah sampai Anda melihat tautan "Monitoring".Di panel Details, di bawah "Logging Settings", klik path file di sebelah "File Name." Log dibuka di Notepad.
Menafsirkan log Firewall Windows
Log keamanan Windows Firewall berisi dua bagian. Header menyediakan informasi deskriptif statis tentang versi log, dan kolom yang tersedia. Badan log adalah data yang dikompilasi yang dimasukkan sebagai hasil lalu lintas yang mencoba untuk melewati firewall. Ini adalah daftar dinamis, dan entri baru terus muncul di bagian bawah log. Ladang ditulis dari kiri ke kanan di seberang halaman.(-) digunakan bila tidak ada entri yang tersedia untuk lapangan.
Menurut dokumentasi Microsoft Technet, header dari file log berisi: Versi
- Menampilkan versi log keamanan Windows Firewall yang diinstal. Perangkat Lunak
- Menampilkan nama perangkat lunak yang membuat log. Waktu
- Menunjukkan bahwa semua informasi timestamp di log ada di waktu setempat. Medan
- Menampilkan daftar bidang yang tersedia untuk entri log keamanan, jika data tersedia.
Sementara bodi file log berisi: tanggal
- Bidang tanggal mengidentifikasi tanggal dalam format YYYY-MM-DD.Waktu
- Waktu setempat ditampilkan di file log dengan format HH: MM: SS.Jam direferensikan dalam format 24-jam. Tindakan
- Saat firewall memproses lalu lintas, tindakan tertentu dicatat. Tindakan yang dicatat adalah DROP untuk menjatuhkan koneksi, TERBUKA untuk membuka koneksi, CLOSE untuk menutup koneksi, OPEN-INBOUND untuk sesi masuk dibuka ke komputer lokal, dan INFO-EVENTS-LOST untuk kejadian yang diproses oleh Windows Firewall, namuntidak tercatat di log keamanan. Protokol
- Protokol yang digunakan seperti TCP, UDP, atau ICMP.
src-ip - Menampilkan alamat IP sumber( alamat IP komputer yang mencoba menjalin komunikasi).
dst-ip - Menampilkan alamat IP tujuan dari upaya koneksi.
src-port - Nomor port pada komputer pengirim yang digunakan untuk koneksi.
dst-port - Port tempat komputer pengirim mencoba membuat koneksi. Ukuran
- Menampilkan ukuran paket dalam satuan byte.
tcpflags - Informasi tentang flag kontrol TCP pada header TCP.
tcpsyn - Menampilkan nomor urutan TCP dalam paket.
tcpack - Menampilkan nomor acknowledgment TCP dalam paket.
tcpwin - Menampilkan ukuran jendela TCP, dalam satuan byte, dalam paket.
icmptype - Informasi tentang pesan ICMP.
icmpcode - Informasi tentang pesan ICMP.Info
- Menampilkan entri yang bergantung pada jenis tindakan yang terjadi. Jalur
- Menampilkan arah komunikasi. Pilihan yang tersedia adalah SEND, RECEIVE, FORWARD, dan UNKNOWN.
Seperti yang Anda sadari, entri log memang besar dan mungkin memiliki hingga 17 informasi yang terkait dengan setiap acara. Namun, hanya delapan informasi pertama yang penting untuk analisis umum. Dengan rincian di tangan Anda sekarang Anda dapat menganalisis informasi untuk aktivitas berbahaya atau debug kegagalan aplikasi.
Jika Anda mencurigai adanya aktivitas berbahaya, buka file log di Notepad dan saring semua entri log dengan DROP di kolom tindakan dan perhatikan apakah alamat IP tujuan diakhiri dengan angka selain 255. Jika Anda menemukan banyak entri seperti itu, makaperhatikan alamat IP tujuan dari paket. Setelah selesai mengatasi masalah, Anda dapat menonaktifkan logging firewall.
Mengatasi masalah jaringan dapat menjadi sangat menakutkan di kali dan praktik yang direkomendasikan baik saat memecahkan masalah Windows Firewall adalah mengaktifkan log asli. Meskipun file log Windows Firewall tidak berguna untuk menganalisis keseluruhan keamanan jaringan Anda, namun tetap merupakan praktik yang baik jika Anda ingin memantau apa yang terjadi di balik layar.
