14Sep
Bij het filteren van internetverkeer hebben alle firewalls een soort logfunctie die documenteert hoe de firewall verschillende typen verkeer heeft afgehandeld. Deze logboeken kunnen waardevolle informatie bieden, zoals bron- en doel-IP-adressen, poortnummers en protocollen. U kunt ook het logbestand van Windows Firewall gebruiken om TCP- en UDP-verbindingen en -pakketten te controleren die worden geblokkeerd door de firewall.
Waarom en wanneer logboekregistratie van firewalls nuttig is - Controleren of nieuw toegevoegde firewallregels correct werken of om fouten te debuggen als ze niet werken zoals verwacht.
- Vaststellen of Windows Firewall de oorzaak is van een probleem met de toepassing - Met de logfunctie van Firewall kunt u controleren op uitgeschakelde poortopeningen, dynamische poortopeningen, afgebroken pakketten met push- en urgentievlaggen analyseren en laten vallen pakketten op het verzendpad analyseren.
- Om schadelijke activiteiten te helpen en te identificeren - Met de logfunctie van Firewall kunt u controleren of er kwaadaardige activiteiten plaatsvinden binnen uw netwerk of niet, hoewel u zich moet herinneren dat het niet de informatie bevat die nodig is om de bron van de activiteit op te sporen.
- Als u herhaalde, niet-succesvolle pogingen ziet om toegang te krijgen tot uw firewall en / of andere high profile-systemen vanaf één IP-adres( of een groep van IP-adressen), dan wilt u mogelijk een regel schrijven om alle verbindingen van die IP-ruimte te verwijderen( ervoor zorgen dathet IP-adres wordt niet gespoofed).
- Uitgaande verbindingen die afkomstig zijn van interne servers zoals webservers kunnen een aanwijzing zijn dat iemand uw systeem gebruikt om aanvallen uit te voeren op computers op andere netwerken.
Genereren van het logbestand
Standaard is het logbestand uitgeschakeld, wat betekent dat er geen informatie naar het logbestand is geschreven. Om een logbestand aan te maken, drukt u op "Win-toets + R" om het vak Uitvoeren te openen. Typ "wf.msc" en druk op Enter. Het scherm "Windows Firewall met geavanceerde beveiliging" verschijnt. Klik aan de rechterkant van het scherm op 'Eigenschappen'.
Een nieuw dialoogvenster verschijnt. Klik nu op het tabblad "Persoonlijk profiel" en selecteer "Aanpassen" in de "Logging Section".
Een nieuw venster opent en van daaruit kiest u uw maximale loggrootte, locatie en of u alleen gedropte pakketten, een geslaagde verbinding of beide wilt loggen. Een verwijderd pakket is een pakket dat Windows Firewall heeft geblokkeerd. Een succesvolle verbinding verwijst zowel naar inkomende verbindingen als naar verbindingen die u via internet hebt gemaakt, maar dit betekent niet altijd dat een indringer met succes verbinding heeft gemaakt met uw computer.
Standaard schrijft Windows Firewall logboekvermeldingen naar% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log en slaat alleen de laatste 4 MB aan gegevens op. In de meeste productieomgevingen zal dit logboek constant naar uw vaste schijf schrijven en als u de maximale grootte van het logbestand wijzigt( om activiteiten over een lange periode te loggen), kan dit een prestatie-impact veroorzaken. Om deze reden moet u logboekregistratie alleen inschakelen als u actief een probleem probeert op te lossen en logboekregistratie onmiddellijk uitschakelen als u klaar bent.
Klik vervolgens op het tabblad "Openbaar profiel" en herhaal dezelfde stappen als voor het tabblad "Privé-profiel".U hebt nu het logboek ingeschakeld voor zowel privé- als openbare netwerkverbindingen. Het logbestand wordt gemaakt in een uitgebreid W3C-logbestand( .log) dat u kunt bekijken met een teksteditor van uw keuze of importeert in een spreadsheet. Een enkel logbestand kan duizenden tekstinvoer bevatten, dus als u ze via Kladblok leest, schakel dan het wikkelen van woorden uit om de kolomopmaak te behouden. Als u het logbestand in een spreadsheet bekijkt, worden alle velden logisch weergegeven in kolommen voor eenvoudiger analyse.
Blader op het hoofdscherm "Windows Firewall met geavanceerde beveiliging" totdat u de link "Monitoring" ziet. Klik in het detailvenster onder "Logboekinstellingen" op het bestandspad naast "Bestandsnaam". Het logboek wordt geopend in Kladblok.
Interpretatie van het Windows Firewall-logboek
Het beveiligingslogboek van Windows Firewall bevat twee secties. De kop biedt statische, beschrijvende informatie over de versie van het log en de beschikbare velden. De hoofdtekst van het logboek zijn de gecompileerde gegevens die worden ingevoerd als gevolg van verkeer dat de firewall probeert te passeren. Het is een dynamische lijst en er verschijnen nieuwe vermeldingen onderaan in het logboek. De velden worden van links naar rechts op de pagina geschreven. De( -) wordt gebruikt als er geen invoer beschikbaar is voor het veld.
Volgens de Microsoft Technet-documentatie bevat de header van het logbestand:
-versie - Geeft aan welke versie van het beveiligingslogboek van Windows Firewall is geïnstalleerd.
-software - Geeft de naam weer van de software die het logboek maakt.
-tijd - geeft aan dat alle tijdstempelinformatie in het logboek in lokale tijd is.
-velden - Geeft een lijst met velden weer die beschikbaar zijn voor beveiligingslogboekvermeldingen, als er gegevens beschikbaar zijn.
Terwijl de body van het logbestand het volgende bevat:
date - Het datumveld identificeert de datum in de notatie YYYY-MM-DD.
-tijd - De lokale tijd wordt weergegeven in het logboekbestand met het formaat UU: MM: SS.De uren worden weergegeven in 24-uurs formaat.
actie - Terwijl de firewall verkeer verwerkt, worden bepaalde acties vastgelegd. De geregistreerde acties zijn DROP voor het verbreken van een verbinding, OPEN voor het openen van een verbinding, SLUITEN voor het sluiten van een verbinding, OPEN-INBOUND voor een inkomende sessie geopend voor de lokale computer, en INFO-EVENTS-LOST voor gebeurtenissen verwerkt door de Windows Firewall, maarwerden niet opgenomen in het beveiligingslogboek.
-protocol - Het gebruikte protocol zoals TCP, UDP of ICMP.
src-ip - Geeft het bron-IP-adres weer( het IP-adres van de computer die probeert communicatie tot stand te brengen).
dst-ip - Geeft het bestemmings-IP-adres van een verbindingspoging weer. ASC51-poort - Het poortnummer op de verzendende computer van waaruit de verbinding werd geprobeerd.
dst-port - De poort waarnaar de verzendende computer verbinding probeerde te maken.
-formaat - geeft de pakketgrootte in bytes weer.
tcpflags - Informatie over TCP-besturingsvlaggen in TCP-headers.
tcpsyn - Geeft het TCP-volgnummer in het pakket weer.
tcpack - Geeft het TCP-bevestigingsnummer in het pakket weer.
tcpwin - Geeft de TCP-venstergrootte in bytes in het pakket weer.
icmptype - Informatie over de ICMP-berichten.
icmpcode - Informatie over de ICMP-berichten.
info - Geeft een invoer weer die afhangt van het type actie dat plaatsvond.
-pad - Geeft de richting van de communicatie weer. De beschikbare opties zijn VERSTUREN, ONTVANGEN, VOORUITGAAN en ONBEKEND.
Zoals u opmerkt, is de logboekvermelding inderdaad groot en kunnen er maximaal 17 stukjes informatie aan elke gebeurtenis zijn gekoppeld. Alleen de eerste acht stukjes informatie zijn echter belangrijk voor algemene analyse. Met de details in uw hand kunt u nu de informatie analyseren voor kwaadwillende activiteiten of foutmeldingen bij de installatie van fouten.
Als u vermoedt dat er enige schadelijke activiteit is, opent u het logbestand in Kladblok en filtert u alle logboekitems met DROP in het actieveld en noteert u of het IP-adres van de bestemming eindigt met een ander nummer dan 255. Als u veel van dergelijke vermeldingen vindt, dannoteer de bestemmings-IP-adressen van de pakketten. Als u klaar bent met het oplossen van het probleem, kunt u de logboekregistratie van de firewall uitschakelen.
Problemen met netwerkproblemen oplossen kan soms nogal beangstigend zijn en aanbevolen procedures voor het oplossen van problemen met Windows Firewall zijn om de native logboeken in te schakelen. Hoewel het logbestand van Windows Firewall niet nuttig is voor het analyseren van de algemene beveiliging van uw netwerk, blijft het een goede gewoonte als u wilt controleren wat er achter de schermen gebeurt.