14Sep
У процесу филтрирања Интернет саобраћаја, сви заштитни зидови имају неку врсту функције евиденције која документује како је заштитни зид поступао са различитим врстама саобраћаја.Ови дневници могу пружити вриједне информације као што су изворне и одредишне ИП адресе, бројеви портова и протоколи.Такође можете да користите датотеку дневника Виндовс Фиревалл за праћење ТЦП и УДП веза и пакета који блокира заштитни зид.
Зашто и када је пријављивање заштитног зида корисно - Да бисте потврдили да ли нова додата правила заштитног зида функционишу исправно или да их отклањају ако не функционишу како је очекивано.
- Да бисте утврдили да ли Виндовс заштитни зид узрокује грешке у апликацијама - помоћу функције за пријављивање на заштитни зид можете проверити отворе за откључане портове, динамичне отворе портова, анализирати испустене пакете са пусх и ургентним заставама и анализирати испустене пакете на путању слања.
- Да бисте помогли и идентификовали злонамерне активности - Помоћу функције за пријављивање на заштитни зид можете провјерити да ли се у вашој мрежи јавља било каква злонамерна активност, иако морате запамтити да не пружа информације потребне за проналажење извора активности.
- Ако приметите поновљене неуспеле покушаје приступа вашем заштитном зиду и / или другим системима високог профила са једне ИП адресе( или групе ИП адреса), онда бисте можда требали написати правило да испустите све везе из тог ИП простора( уверите се даИП адреса се не превара).
- Одлазне везе које долазе из интерних сервера као што су Веб сервери могу бити индикација да неко користи ваш систем да покрене нападе на рачунаре који се налазе на другим мрежама.
Како генерирати датотеку дневника
По подразумеваној вредности, датотека дневника је онемогућена, што значи да у датотеку дневника нису записане информације.Да бисте креирали датотеку дневника притисните "Вин кључ + Р" да бисте отворили поље Покретање.Унесите "вф.мсц" и притисните Ентер.Појавиће се екран "Виндовс заштитни зид са напредном безбедношћу".На десној страни екрана кликните на "Пропертиес".
Појавиће се нови оквир за дијалог.Сада кликните на картицу "Приватни профил" и одаберите "Прилагоди" у одељку "Логовање".
Отвара се нови прозор, а са тог екрана одаберите максималну величину дневника, локацију и да ли желите да пријавите само испустене пакете, успјешну везу или обоје.Спуштени пакет је пакет који је Виндовс Фиревалл блокирао.Успјешна веза односи се на долазне везе као и на било коју везу коју сте направили преко Интернета, али не значи увек да је уљез успјешно повезан са вашим рачуналом.
Подразумевано, Виндовс заштитни зид запишиње ставке дневника у% СистемРоот% \ Систем32 \ ЛогФилес \ Фиревалл \ Пфиревалл.лог и чува само последње 4 МБ података.У већини производних окружења, овај дневник ће се константно уписивати на тврди диск, а ако промените ограничење величине датотеке дневника( за логовање активности у дужем временском периоду) онда може изазвати учинак на перформансе.Из тог разлога, требало би да омогућите евиденцију само када активно решавате проблем, а затим одмах онемогућите евиденцију када завршите.
Затим кликните на картицу "Јавни профил" и поновите исте кораке које сте урадили за картицу "Приватни профил".Сада сте укључили дневник за приватне и јавне мрежне везе.Датотека дневника ће бити креирана у В3Ц формату проширеног дневника( .лог) који можете прегледати помоћу уређивача текста по вашем избору или их увести у табелу.Једна датотека дневника може садржати хиљаде текстуалних уноса, тако да ако их читате кроз Нотепад, онемогућите обележавање речи да бисте сачували обликовање ступаца.Ако прегледате датотеку евиденције у табелама, сва поља ће бити логично приказана у колонама за лакшу анализу.
На главном екрану "Виндовс заштитни зид са напредним сигурносним системом", померите се док не видите линк "Мониторинг".У окну Детаљи, у одељку "Подешавања логовања", кликните на путању датотеке поред "Филе Наме". Лог се отвара у Бележници.
Тумачење дневника Виндовс Фиревалл
Дневник безбедности Виндовс Фиревалл-а садржи два дела.Заглавље даје статичне, описне информације о верзији дневника и доступна поља.Тело дневника представља састављене податке који се уносе као резултат саобраћаја који покушава да пређе заштитни зид.То је динамичка листа, а нови уноси се појављују на дну дневника.Поља су написана с лијева на десно преко странице.(-) се користи када није доступно поље за поље.
Према документацији Мицрософт Тецхнет заглавље датотеке дневника садржи:
верзија - приказује се која је верзија дневника безбедности Виндовс Фиревалл инсталирана.
Софтваре - Приказује име софтвера који креира дневник.
Тиме - Означава да су све информације о временским жиговима у дневнику у локалном времену.
Фиелдс - Приказује листу поља која су доступна за ставке сигурносног дневника, ако су подаци доступни.
Док тело дневника садржи:
датум - Поље датума идентификује датум у формату ИИИИ-ММ-ДД.
тиме - Локално време се приказује у лог фајлу помоћу формата ХХ: ММ: СС.Сати се реферишу у 24-часовном формату.Дејање
- Како се обрађује заштитни зид, одређене акције се снимају.Пријављени поступци су ДРОП за испуштање везе, ОТВОРЕН за отварање везе, ЦЛОСЕ за затварање везе, ОПЕН-ИНБОУНД за улазну сесију отворену на локални рачунар, и ИНФО-ЕВЕНТС-ЛОСТ за догађаје обрађене од стране Виндовс заштитног зида, алинису забележени у дневнику сигурности.
протокол - протокол који се користи као што су ТЦП, УДП или ИЦМП.
срц-ип - Приказује изворну ИП адресу( ИП адреса рачунара која покушава успоставити комуникацију).
дст-ип - Приказује одредишну ИП адресу покушаја повезивања.
срц-порт - Број порта на рачунару за слање са којег се покушала веза.
дст-порт - порт на који је слање рачунара покушало да направи везу.Величина
- Приказује величину пакета у бајтовима.
тцпфлагс - Информације о ТЦП контролним заставама у ТЦП заглављима.
тцпсин - Приказује ТЦП секвенцијални број у пакету.
тцпацк - Приказује број потврде ТЦП у пакету.
тцпвин - Приказује величину ТЦП прозора, у бајтовима, у пакету.
ицмптипе - Информације о ИЦМП порукама.
ицмпцоде - Информације о ИЦМП порукама.
инфо - Приказује унос који зависи од врсте извршене акције.Пут
- Приказује смер комуникације.Доступне опције су СЕНД, РЕЦЕИВЕ, ФОРВАРД и УНКНОВН.
Као што сте примијетили, унос дневника је заиста велики и може имати до 17 информација везаних за сваки догађај.Међутим, само за првих осам информација су важне за општу анализу.Са детаљима у вашој руци сада можете анализирати информације о злонамерним активностима или неуспелим исправкама апликација.
Ако сумњате у било коју злонамерну активност, онда отворите датотеку евиденције у Нотепад и филтрирајте све ставке дневника помоћу ДРОП-а у пољу акције и запишите да ли се ИП адреса одредишта завршава са другим бројем који није 255. Ако пронађете многе такве уносе, ондаузмите у обзир одредишне ИП адресе пакета.Када завршите са решавањем проблема, можете да онемогућите евиденцију заштитног зида.
Проблеми са решавањем проблема са мрежом могу бити прилично застрашујући и препоручена добра пракса када се за решавање проблема са Виндовс заштитним зидом ради омогућавања матичних евиденција.Иако датотека дневника Виндовс Фиревалл-а није корисна за анализу укупне сигурности ваше мреже, и даље остаје добра пракса ако желите да пратите шта се дешава иза сцене.