14Sep
W procesie filtrowania ruchu internetowego wszystkie zapory mają pewien typ funkcji rejestrowania, która dokumentuje sposób, w jaki zapora obsługuje różne rodzaje ruchu. Te dzienniki mogą dostarczyć cennych informacji, takich jak źródłowe i docelowe adresy IP, numery portów i protokoły. Można również użyć pliku dziennika Zapory systemu Windows do monitorowania połączeń TCP i UDP oraz pakietów blokowanych przez zaporę.
Dlaczego i kiedy logowanie do zapory jest przydatne - Aby sprawdzić, czy nowo dodane reguły zapory działają poprawnie, lub je usunąć, jeśli nie działają zgodnie z oczekiwaniami.
- Aby określić, czy Zapora systemu Windows jest przyczyną awarii aplikacji - Za pomocą funkcji rejestrowania Zapory można sprawdzić wyłączone otwory portów, dynamiczne otwory portów, analizować porzucone pakiety za pomocą flag wypychanych i pilnych oraz analizować porzucone pakiety na ścieżce wysyłania.
- Aby ułatwić i zidentyfikować szkodliwą aktywność - Za pomocą funkcji rejestrowania Zapory można sprawdzić, czy w sieci nie ma żadnych złośliwych działań, chociaż trzeba pamiętać, że nie dostarcza ona informacji potrzebnych do wyśledzenia źródła działania.
- Jeśli zauważysz wielokrotne, nieudane próby uzyskania dostępu do zapory i / lub innych systemów o wysokim profilu z jednego adresu IP( lub grupy adresów IP), możesz napisać regułę, aby usunąć wszystkie połączenia z tej przestrzeni IP( upewniając się, żeadres IP nie jest fałszowany).
- Połączenia wychodzące z serwerów wewnętrznych, takich jak serwery WWW, mogą wskazywać, że ktoś używa twojego systemu do ataków na komputery znajdujące się w innych sieciach.
Jak wygenerować plik dziennika
Domyślnie plik dziennika jest wyłączony, co oznacza, że do pliku dziennika nie są zapisywane żadne informacje. Aby utworzyć plik dziennika, naciśnij "Win key + R", aby otworzyć pole Run. Wpisz "wf.msc" i naciśnij Enter. Pojawi się ekran "Zapora systemu Windows z zaawansowanymi zabezpieczeniami".Po prawej stronie ekranu kliknij "Właściwości".
Pojawi się nowe okno dialogowe. Teraz kliknij zakładkę "Profil prywatny" i wybierz "Dostosuj" w "Sekcji rejestrowania".
Otworzy się nowe okno iz tego ekranu wybierz maksymalny rozmiar dziennika, lokalizację i czy logować tylko upuszczone pakiety, udane połączenie lub oba. Zrzucony pakiet to pakiet, który został zablokowany Zaporą systemu Windows. Udane połączenie odnosi się zarówno do połączeń przychodzących, jak i wszystkich połączeń, które nawiązywałeś przez Internet, ale nie zawsze oznacza to, że intruz został pomyślnie podłączony do twojego komputera.
Domyślnie zapora systemu Windows zapisuje wpisy dziennika w pliku% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log i przechowuje tylko ostatnie 4 MB danych. W większości środowisk produkcyjnych ten dziennik będzie stale zapisywać na dysku twardym, a jeśli zmienisz limit rozmiaru pliku dziennika( w celu rejestrowania aktywności przez dłuższy czas), może to wpłynąć na wydajność.Z tego powodu należy włączyć rejestrowanie tylko wtedy, gdy aktywnie rozwiązuje problem, a następnie natychmiast wyłącza rejestrowanie po zakończeniu.
Następnie kliknij zakładkę "Profil publiczny" i powtórz te same kroki, co dla zakładki "Profil prywatny".Włączono teraz dziennik dla prywatnych i publicznych połączeń sieciowych. Plik dziennika zostanie utworzony w rozszerzonym formacie dziennika W3C( .log), który można sprawdzić za pomocą dowolnego edytora tekstowego lub zaimportować do arkusza kalkulacyjnego. Pojedynczy plik dziennika może zawierać tysiące wpisów tekstowych, więc jeśli czytasz je przez Notatnik, wyłącz zawijanie słów, aby zachować formatowanie kolumn. Jeśli przeglądasz plik dziennika w arkuszu kalkulacyjnym, wszystkie pola będą logicznie wyświetlane w kolumnach dla łatwiejszej analizy.
Na głównym ekranie "Zapora systemu Windows z zaawansowanymi zabezpieczeniami" przewiń w dół, aż zobaczysz link "Monitorowanie".W okienku Szczegóły w obszarze "Ustawienia rejestrowania" kliknij ścieżkę pliku obok "Nazwa pliku". Dziennik zostanie otwarty w Notatniku.
Interpretowanie dziennika Zapory systemu Windows
Dziennik zabezpieczeń Zapory systemu Windows zawiera dwie sekcje. Nagłówek zawiera statyczną, opisową informację o wersji dziennika i dostępnych polach. Treść dziennika to skompilowane dane wprowadzone w wyniku ruchu, który próbuje przejść przez zaporę ogniową.Jest to lista dynamiczna, a nowe wpisy pojawiają się na dole dziennika. Pola są pisane od lewej do prawej strony.(-) jest używany, gdy nie ma dostępu do pola.
Według dokumentacji Microsoft Technet nagłówek pliku dziennika zawiera:
Version - Wyświetla, która wersja protokołu bezpieczeństwa Zapory systemu Windows jest zainstalowana. Oprogramowanie
- wyświetla nazwę oprogramowania tworzącego dziennik.
Czas - wskazuje, że wszystkie informacje o znaczniku czasu w dzienniku są w czasie lokalnym.
Fields - Wyświetla listę pól, które są dostępne dla wpisów w dzienniku bezpieczeństwa, jeśli dane są dostępne.
Podczas gdy treść pliku dziennika zawiera:
data - pole daty wskazuje datę w formacie RRRR-MM-DD.
czas - czas lokalny jest wyświetlany w pliku dziennika w formacie GG: MM: SS.Godziny podane są w formacie 24-godzinnym. Czynność
- Gdy zapora przetwarza ruch, rejestrowane są określone działania. Rejestrowane akcje to DROP dla upuszczenia połączenia, OPEN dla otwarcia połączenia, ZAMKNIJ dla zamknięcia połączenia, OPEN-INBOUND dla sesji przychodzącej otwartej na komputerze lokalnym i INFO-EVENTS-LOST dla zdarzeń przetworzonych przez Zaporę systemu Windows, alenie zostały zapisane w dzienniku zabezpieczeń.
protocol - Protokół używany, taki jak TCP, UDP lub ICMP.
src-ip - Wyświetla źródłowy adres IP( adres IP komputera próbującego nawiązać komunikację).
dst-ip - Wyświetla docelowy adres IP próby połączenia.
src-port - Numer portu na komputerze wysyłającym, z którego próbowano nawiązać połączenie.
dst-port - port, do którego komputer wysyłający próbował nawiązać połączenie.
size - Wyświetla rozmiar pakietu w bajtach.
tcpflags - Informacje o flagach kontrolnych TCP w nagłówkach TCP.
tcpsyn - Wyświetla numer sekwencji TCP w pakiecie.
tcpack - Wyświetla numer potwierdzenia TCP w pakiecie.
tcpwin - Wyświetla rozmiar okna TCP w bajtach w pakiecie.
icmptype - Informacje o komunikatach ICMP.
icmpcode - Informacje o komunikatach ICMP.
info - Wyświetla wpis, który zależy od rodzaju akcji, która miała miejsce.
ścieżka - Wyświetla kierunek komunikacji. Dostępne opcje to WYŚLIJ, ODBIERZ, PRZEWIJANIE I NIEZNANY.
Jak zauważyłeś, wpis w dzienniku jest rzeczywiście duży i może zawierać do 17 informacji powiązanych z każdym wydarzeniem. Jednak tylko osiem pierwszych informacji jest ważnych dla ogólnej analizy. Dzięki szczegółom w dłoni możesz teraz analizować informacje o złośliwej aktywności lub awariach aplikacji.
Jeśli podejrzewasz jakąś złośliwą aktywność, otwórz plik dziennika w Notatniku i odfiltruj wszystkie wpisy dziennika za pomocą DROP w polu akcji i zanotuj, czy docelowy adres IP kończy się numerem innym niż 255. Jeśli znajdziesz wiele takich wpisów, tozanotuj docelowe adresy IP pakietów. Po zakończeniu rozwiązywania problemu można wyłączyć rejestrowanie zapory.
Rozwiązywanie problemów z siecią może być dość trudne, a zalecaną dobrą praktyką podczas rozwiązywania problemów z Zaporą systemu Windows jest włączenie dzienników macierzystych. Chociaż plik dziennika Zapory systemu Windows nie jest przydatny do analizy ogólnego bezpieczeństwa sieci, nadal dobrym pomysłem jest monitorowanie tego, co dzieje się za kulisami.