14Sep
No processo de filtragem do tráfego da Internet, todos os firewalls possuem algum tipo de recurso de registro que documenta como o firewall manipulou vários tipos de tráfego. Esses logs podem fornecer informações valiosas, como endereços IP de origem e destino, números de portas e protocolos. Você também pode usar o arquivo de log do Firewall do Windows para monitorar conexões TCP e UDP e pacotes bloqueados pelo firewall.
Por que e quando o log de firewall é útil - Para verificar se as regras de firewall recém-adicionadas funcionam corretamente ou para depurá-las se elas não funcionarem conforme o esperado.
- Para determinar se o Firewall do Windows é a causa das falhas do aplicativo - Com o recurso de log de firewall, você pode verificar as aberturas de portas desativadas, as aberturas de portas dinâmicas, analisar pacotes descartados com sinalizadores urgentes e urgentes e analisar pacotes descartados no caminho de envio.
- Para ajudar e identificar atividades mal-intencionadas - Com o recurso de log de firewall, você pode verificar se alguma atividade mal-intencionada está ocorrendo na sua rede ou não, embora você precise lembrar que não fornece as informações necessárias para rastrear a origem da atividade.
- Se você notar repetidas tentativas mal sucedidas de acessar seu firewall e / ou outros sistemas de alto perfil de um endereço IP( ou grupo de endereços IP), então você pode querer escrever uma regra para soltar todas as conexões desse espaço de IP( certificando-se de queo endereço IP não está sendo falsificado).
- As conexões de saída provenientes de servidores internos, como servidores da Web, podem ser uma indicação de que alguém esteja usando seu sistema para iniciar ataques contra computadores localizados em outras redes.
Como gerar o arquivo de registro
Por padrão, o arquivo de log está desativado, o que significa que nenhuma informação é gravada no arquivo de log. Para criar um arquivo de log, pressione "Win key + R" para abrir a caixa Executar. Digite "wf.msc" e pressione Enter. Aparece a tela "Firewall do Windows com Segurança Avançada".No lado direito da tela, clique em "Propriedades".
Aparece uma nova caixa de diálogo. Agora, clique no separador "Perfil privado" e selecione "Personalizar" na seção "Registro".
Uma nova janela é aberta e, a partir dessa tela, escolha o tamanho máximo do log, a localização e se deseja registrar apenas pacotes descartados, conexão bem-sucedida ou ambos. Um pacote suspenso é um pacote que o Firewall do Windows bloqueou. Uma conexão bem-sucedida refere-se tanto a conexões recebidas como a qualquer conexão que você fez através da Internet, mas isso nem sempre significa que um intruso tenha conectado com sucesso ao seu computador.
Por padrão, o Firewall do Windows grava entradas de log para% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log e armazena somente os últimos 4 MB de dados. Na maioria dos ambientes de produção, esse registro constantemente irá gravar no seu disco rígido e, se você alterar o limite de tamanho do arquivo de log( para registrar atividade durante um longo período de tempo), isso pode causar um impacto no desempenho. Por esse motivo, você deve habilitar o log somente quando solucionar um problema ativamente e, em seguida, desativar imediatamente o registro quando terminar.
Em seguida, clique na guia "Perfil público" e repita as mesmas etapas que você fez para a guia "Perfil privado".Você ativou o log para conexões de rede privadas e públicas. O arquivo de log será criado em um formato de log estendido W3C( .log) que você pode examinar com um editor de texto de sua escolha ou importá-los para uma planilha. Um arquivo de log único pode conter milhares de entradas de texto, portanto, se você estiver lendo-os através do Bloco de notas, desative o enrolamento de palavras para preservar a formatação da coluna. Se você estiver visualizando o arquivo de log em uma planilha, todos os campos serão exibidos logicamente em colunas para análise mais fácil.
Na tela principal "Firewall do Windows com segurança avançada", role para baixo até ver o link "Monitoramento".No painel Detalhes, em "Configurações de registro", clique no caminho do arquivo ao lado de "Nome do arquivo". O log abre no bloco de notas.
Interpretando o log do Firewall do Windows
O log de segurança do Firewall do Windows contém duas seções. O cabeçalho fornece informações estáticas e descritivas sobre a versão do log e os campos disponíveis. O corpo do log é o dado compilado que é inserido como resultado do tráfego que tenta atravessar o firewall.É uma lista dinâmica e novas entradas continuam aparecendo na parte inferior do log. Os campos são escritos da esquerda para a direita na página. O( -) é usado quando não há entrada disponível para o campo.
De acordo com a documentação da Microsoft Technet, o cabeçalho do arquivo de log contém: Versão
- Exibe qual versão do log de segurança do Firewall do Windows está instalada. Software
- Exibe o nome do software criando o log.
Time - Indica que todas as informações do timestamp no log estão na hora local. Campos
- Exibe uma lista de campos disponíveis para entradas de log de segurança, se houver dados disponíveis.
Enquanto o corpo do arquivo de log contém: data
- O campo data identifica a data no formato AAAA-MM-DD.Tempo
- A hora local é exibida no arquivo de log usando o formato HH: MM: SS.As horas são referenciadas no formato de 24 horas. Ação
- À medida que o firewall processa o tráfego, determinadas ações são gravadas. As ações registradas são DROP para soltar uma conexão, OPEN para abrir uma conexão, FECHAR para fechar uma conexão, OPEN-INBOUND para uma sessão de entrada aberta para o computador local e INFO-EVENTS-LOST para eventos processados pelo Firewall do Windows, masnão foram gravados no registro de segurança. Protocolo
- O protocolo utilizado como TCP, UDP ou ICMP.
src-ip - Exibe o endereço IP da origem( o endereço IP do computador que tenta estabelecer a comunicação).
dst-ip - Exibe o endereço IP de destino de uma tentativa de conexão.
src-port - O número da porta no computador remetente do qual a conexão foi tentada.
dst-port - A porta à qual o computador emissor estava tentando fazer uma conexão. Tamanho
- Exibe o tamanho do pacote em bytes.
tcpflags - Informações sobre sinalizadores de controle TCP em cabeçalhos TCP.
tcpsyn - Exibe o número de seqüência TCP no pacote.
tcpack - Exibe o número de confirmação TCP no pacote.
tcpwin - Exibe o tamanho da janela TCP, em bytes, no pacote.
icmptype - Informações sobre as mensagens ICMP.
icmpcode - Informações sobre as mensagens ICMP.
info - Exibe uma entrada que depende do tipo de ação que ocorreu. Caminho
- Exibe a direção da comunicação. As opções disponíveis são SEND, RECEIVE, FORWARD e UNKNOWN.
Como você observa, a entrada do registro é realmente grande e pode ter até 17 informações associadas a cada evento. No entanto, apenas as primeiras oito informações são importantes para análise geral. Com os detalhes em sua mão agora você pode analisar as informações para atividades mal-intencionadas ou falhar falhas na aplicação.
Se você suspeitar de qualquer atividade mal-intencionada, abra o arquivo de log no Bloco de notas e filtre todas as entradas de log com DROP no campo de ação e observe se o endereço IP de destino termina com um número diferente de 255. Se você encontrar muitas dessas entradas, entãoanote os endereços IP de destino dos pacotes. Depois de terminar a solução de problemas, você pode desativar o log de firewall.
A resolução de problemas de rede pode ser bastante assustadora às vezes e uma boa prática recomendada ao solucionar o Firewall do Windows é habilitar os logs nativos. Embora o arquivo de log do Firewall do Windows não seja útil para analisar a segurança geral da sua rede, ele continua sendo uma boa prática se você quiser monitorar o que está acontecendo nos bastidores.