14Sep
V procese filtrovania internetového prenosu majú všetky brány firewall nejaký typ funkcie zaznamenávania, ktorá dokumentuje, ako brána firewall zaobchádzala s rôznymi typmi návštevnosti. Tieto protokoly dokážu poskytnúť cenné informácie, ako sú zdrojové a cieľové adresy IP, čísla portov a protokoly. Môžete použiť aj protokolový súbor Windows Firewall na monitorovanie pripojení TCP a UDP a paketov blokovaných firewallom.
Prečo a kedy je protokolovanie brány firewall užitočné - Ak chcete overiť, či nové pravidlá firewallu fungujú správne, alebo ich ladiť, ak nefungujú podľa očakávania.
- Ak chcete zistiť, či je brána Windows Firewall príčinou zlyhania aplikácie - Pomocou funkcie Firewall logging môžete skontrolovať, či sú vypnuté porty otvorené, dynamické otvory portu, analyzovať dropped pakety s push a naliehavými vlajkami a analyzovať dropped pakety na cestu odoslania.
- Pomoc a identifikácia škodlivých aktivít - S funkciou Firewall logging môžete skontrolovať, či sa v rámci vašej siete vyskytuje nejaká škodlivá aktivita, hoci si musíte pamätať, že neposkytuje informácie potrebné na sledovanie zdroja aktivity.
- Ak zistíte opakované neúspešné pokusy o prístup k bráne firewall a / alebo iným vysokokapacitným systémom z jednej adresy IP( alebo skupiny IP adries), potom by ste mohli napísať pravidlo, aby ste odstránili všetky pripojenia z daného priestoru IP( uistite sa, žeIP adresa nie je falošná).
- Odchádzajúce pripojenia pochádzajúce z interných serverov, ako sú webové servery, môžu byť znakom toho, že niekto používa váš systém na spustenie útokov proti počítačom umiestneným v iných sieťach.
Ako generovať súbor denníka
Súbor protokolu je predvolene zakázaný, čo znamená, že do súboru denníka nie sú zapísané žiadne informácie. Ak chcete vytvoriť súbor denníka, stlačte "Win key + R" a otvorte pole Run. Zadajte príkaz "wf.msc" a stlačte kláves Enter. Zobrazí sa obrazovka "Brána Windows Firewall s rozšíreným zabezpečením".Na pravej strane obrazovky kliknite na položku Vlastnosti.
Zobrazí sa nové dialógové okno. Teraz kliknite na záložku "Súkromný profil" a zvoľte "Prispôsobiť" v sekcii "Zaznamenávanie".
Otvorí sa nové okno a z tejto obrazovky zvoľte maximálnu veľkosť, umiestnenie a či sa majú zaznamenať iba upustené pakety, úspešné pripojenie alebo oboje. Zneškodený paket je paket, ktorý bráni bránu firewall systému Windows.Úspešné pripojenie sa vzťahuje na prichádzajúce pripojenia, ako aj akékoľvek pripojenie, ktoré ste vykonali cez internet, ale nie vždy to znamená, že narušiteľ úspešne pripojil váš počítač.
Brána firewall systému Windows štandardne zapisuje položky denníka do priečinka% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log a uloží iba posledné 4 MB dát. Vo väčšine výrobných prostredí bude tento den neustále zapisovať na váš pevný disk a ak zmeníte limit veľkosti súboru denníka( na zaznamenávanie aktivity po dlhú dobu), môže to spôsobiť vplyv na výkon. Z tohto dôvodu by ste mali zapnúť protokolovanie iba vtedy, keď ste aktívne riešili problém a potom ihneď vypnete protokolovanie po dokončení.
Ďalej kliknite na kartu "Verejný profil" a zopakujte rovnaké kroky, aké ste vykonali pre kartu "Súkromný profil".Teraz ste zapli protokol pre súkromné aj verejné sieťové pripojenia. Súbor denníka sa vytvorí vo formáte rozšíreného logu W3C( .log), ktorý môžete preskúmať pomocou textového editora podľa vlastného výberu alebo ho importovať do tabuľky. Jeden súbor denníka môže obsahovať tisíce textových položiek, takže ak ich čítate cez Poznámkový blok, potom zakážte obalovanie slov, aby ste uchovali formátovanie stĺpcov. Ak si prezeráte súbor denníka v tabuľke, všetky polia sa logicky zobrazia v stĺpcoch pre ľahšiu analýzu.
Na hlavnej obrazovke brány Windows Firewall s pokročilým zabezpečením prejdite nadol, kým sa nezobrazí odkaz "Monitorovanie".V podokne Podrobnosti v časti "Nastavenia denníka" kliknite na cestu k súboru vedľa položky "Názov súboru". Denník sa otvorí v programe Poznámkový blok.
Interpretácia protokolu brány firewall systému Windows
Záznam zabezpečenia brány firewall systému Windows obsahuje dve sekcie. Záhlavie poskytuje statické, opisné informácie o verzii denníka a dostupné polia. Telo denníka je kompilované dáta, ktoré sa zadajú ako výsledok návštevnosti, ktorá sa pokúša prekročiť bránu firewall. Ide o dynamický zoznam a nové záznamy sa stále zobrazujú v dolnej časti denníka. Polia sú napísané zľava doprava po celej stránke.(-) sa používa, keď pre pole nie je k dispozícii žiadny záznam.
Podľa dokumentácie spoločnosti Microsoft Technet hlavička súboru denníka obsahuje:
Version - Zobrazuje verziu protokolu zabezpečenia brány firewall systému Windows.
Software - Zobrazuje názov softvéru, ktorý vytvorí protokol.
Čas - Označuje, že všetky informácie o časovej pečiatke v denníku sú v miestnom čase. Polia
- Zobrazuje zoznam polí, ktoré sú k dispozícii pre záznamy denníka zabezpečenia, ak sú k dispozícii údaje.
Zatiaľ čo telo súboru denníka obsahuje:
dátum - Pole dátum označuje dátum vo formáte YYYY-MM-DD.Čas
- miestny čas sa zobrazí v súbore denníka vo formáte HH: MM: SS.Hodiny sú uvedené v 24-hodinovom formáte. Akcia
- Keď firewall spracováva prevádzku, zaznamenávajú sa určité činnosti. Prihlásené akcie sú DROP pre zrušenie spojenia, OPEN na otvorenie spojenia, ZATVORENIE pre zatvorenie spojenia, OPEN-INBOUND pre prichádzajúcu reláciu otvorenú pre lokálny počítač a INFO-UDALOSTI-LOST pre udalosti spracované bránou Windows Firewall, aleneboli zaznamenané v denníku zabezpečenia. Protokol
- Použitý protokol ako TCP, UDP alebo ICMP.
src-ip - Zobrazí zdrojovú adresu IP( adresa IP počítača, ktorý sa pokúša o vytvorenie komunikácie).
dst-ip - Zobrazí cieľovú adresu IP pokusu o pripojenie.
src-port - číslo portu na odosielacom počítači, z ktorého bolo pripojenie pokúsené.
dst-port - port, ku ktorému sa odosielajúci počítač pokúšal vytvoriť spojenie. Veľkosť
- Zobrazuje veľkosť paketu v bajtoch.
tcpflags - Informácie o príznakoch ovládania TCP v hlavičkách TCP.
tcpsyn - Zobrazí poradové číslo TCP v pakte.
tcpack - Zobrazí číslo potvrdenia TCP v pakte.
tcpwin - Zobrazuje veľkosť paketu TCP v bajtoch v paketu.
icmptype - Informácie o ICMP správach.
icmpcode - Informácie o ICMP správach.
info - Zobrazí záznam, ktorý závisí od typu akcie, ku ktorej došlo. Cesta
- Zobrazuje smer komunikácie. Dostupné možnosti sú ODOSLANIŤ, PRIJATÉ, ĎALEJ a NEZNÁME.
Ako si všimnete, zápis do denníka je skutočne veľký a môže obsahovať až 17 kusov informácií spojených s každou udalosťou. Pre všeobecnú analýzu sú však dôležité iba prvé osem informácií.Pomocou podrobností vo vašej ruke môžete teraz analyzovať informácie o škodlivých aktivitách alebo zlyhaní aplikácií ladenia.
Ak máte podozrenie na akúkoľvek škodlivú aktivitu, otvorte súbor denníka v programe Poznámkový blok a filtrovať všetky položky denníka pomocou DROP v akčnom poli a uvedomte si, či cieľová adresa IP končí iným číslom než 255. Ak nájdete mnoho takýchto záznamov, potompoznačte cieľové adresy IP paketov. Po dokončení riešenia problému môžete zakázať protokolovanie firewallu.
Riešenie problémov so sieťou môže byť niekedy dosť skľučujúce a doporučená dobrá prax pri riešení problémov so systémom Windows Firewall je povoliť natívne protokoly. Hoci protokolový súbor Windows Firewall nie je užitočný na analýzu celkovej bezpečnosti vašej siete, stále zostáva dobrým postupom, ak chcete sledovať, čo sa deje za scénami.