A tűzfal tevékenységének követése a Windows tűzfalnaplójával

Az internetes forgalom szűrésének folyamatában minden tűzfal rendelkezik bizonyos típusú naplózási funkcióval, amely dokumentálja, hogy a tűzfal hogyan kezelt különböző típusú forgalmat. Ezek a naplók értékes információkat, például forrás- és cél IP-címeket, portszámokat és protokollokat biztosíthatnak. A Windows tűzfal naplófájlját használhatja a tűzfal által blokkolt TCP és UDP kapcsolatok és csomagok felügyeletére is.

Miért és amikor a tűzfal naplózása hasznos

1. Annak ellenőrzésére, hogy az újonnan hozzáadott tűzfalszabályok megfelelően működnek-e, vagy hibakeresést végeznek, ha nem működnek az elvárt módon.
2. Annak megállapítása, hogy a Windows tűzfal okozza-e az alkalmazáshibákat - A tűzfal naplózási szolgáltatásával ellenőrizheti a letiltott portnyílásokat, a dinamikus portnyílásokat, elemezheti a letiltott csomagokat a sürgős és gyors jelzőkkel, és elemezheti az elhagyott csomagokat a küldési útvonalon.
3. A rosszindulatú tevékenységek megkönnyítése és azonosítása - A Tűzfal naplózási szolgáltatásával ellenőrizheti, hogy a hálózaton belül bármilyen rosszindulatú tevékenység történik-e, bár emlékeznie kell arra, hogy nem adja meg a tevékenység forrásának nyomon követéséhez szükséges információkat..
4. Ha ismételt sikertelen kísérleteket próbál elérni a tűzfalhoz és / vagy más nagy profilú rendszerekhez az egyik IP-címről (vagy IP-címek csoportjától), akkor érdemes egy szabályt írni, hogy leállítsa az összes kapcsolatot az IP-területről (ügyeljen arra, hogy a Az IP-cím nincs hamisítva.
5. A belső kiszolgálókból, például a webkiszolgálókból érkező kimenő kapcsolatok azt jelezhetik, hogy valaki a rendszert használja más hálózatokban lévő számítógépek elleni támadások indítására.

A naplófájl létrehozása

Alapértelmezés szerint a naplófájl le van tiltva, ami azt jelenti, hogy a naplófájlba semmilyen információt nem ír. A naplófájl létrehozásához nyomja meg a „Win gomb + R” gombot a Futtatás mező megnyitásához. Írja be a „wf.msc” parancsot, és nyomja meg az Enter billentyűt. Megjelenik a „Windows tűzfal speciális biztonsággal” képernyő. A képernyő jobb oldalán kattintson a „Tulajdonságok” gombra.

Megjelenik egy új párbeszédablak. Most kattintson a „Privát profil” fülre, és válassza a „Testreszabás” pontot a „Naplózási rész” alatt.

Megnyílik egy új ablak, és ebből a képernyőn válassza ki a maximális naplóméretet, helyet és azt, hogy csak naplózott csomagok, sikeres kapcsolat vagy mindkettő. A leesett csomag olyan csomag, amelyet a Windows tűzfal blokkolt. A sikeres kapcsolat mind a bejövő kapcsolatokra, mind az interneten keresztül létrejött kapcsolatokra utal, de nem mindig jelenti azt, hogy a behatoló sikeresen csatlakozott a számítógépéhez.

Alapértelmezés szerint a Windows tűzfal naplóbejegyzéseket ír % SystemRoot% \ System32 \ LogFiles \ Firewall \ pfirewall.log és csak az utolsó 4 MB adatot tárolja. A legtöbb termelési környezetben ez a napló folyamatosan ír a merevlemezre, és ha megváltoztatja a naplófájl mérethatárát (a tevékenység hosszú időn belüli naplózására), akkor ez teljesítményhatást okozhat. Ezért csak akkor kell engedélyeznie a naplózást, ha egy probléma megoldása aktív, és azonnal befejezheti a naplózást.

Ezután kattintson a „Nyilvános profil” fülre, és ismételje meg ugyanazt a lépést, amit a „Privát profil” lapon tett. Most bekapcsolta a naplót mind a magán, mind a nyilvános hálózati kapcsolatokhoz. A naplófájl egy W3C kiterjesztett naplóformátumban (.log) kerül létrehozásra, amelyet meg lehet vizsgálni egy tetszőleges szövegszerkesztővel, vagy importálhatja őket egy táblázatba. Egyetlen naplófájl tartalmazhat több ezer szövegbevitelt, így ha a Jegyzettömbön keresztül olvasod őket, akkor tiltsa le a szócsomagolást az oszlopformázás megőrzése érdekében. Ha a naplófájlt táblázatkezelőben látja, akkor minden mező logikailag megjelenik az oszlopokban az egyszerűbb elemzés érdekében.

A fő „Windows tűzfal a fejlett biztonsággal” képernyőn görgessen lefelé, amíg meg nem jelenik a „Monitoring” link. A Részletek ablakban a „Naplózás beállításai” alatt kattintson a „Fájlnév” melletti fájl elérési útra. A napló a Jegyzettömbben jelenik meg.

A Windows tűzfal naplójának értelmezése

A Windows tűzfal biztonsági naplója két részből áll. A fejléc statikus, leíró információkat tartalmaz a napló verziójáról és a rendelkezésre álló mezőkről. A napló teste az a fordított adat, amelyet a tűzfalon áthaladó forgalom eredményeként ad meg. Ez egy dinamikus lista, és az új bejegyzések a napló alján jelennek meg. A mezőket balról jobbra írják az oldalon. A (-) értéket akkor használjuk, ha a mező számára nincs bejegyzés.

A Microsoft Technet dokumentációja szerint a naplófájl fejlécje tartalmazza:

Verzió - A Windows tűzfal biztonsági naplójának telepített verziójának megjelenítése.
Szoftver - Megjeleníti a naplót létrehozó szoftver nevét.
Idő - Azt jelzi, hogy a napló összes időbélyegadata helyi idő szerint történik.
Mezők - Megjeleníti a biztonsági naplóbejegyzésekhez rendelkezésre álló mezők listáját, ha rendelkezésre állnak adatok.

Míg a naplófájl tartalma:

date - A dátum mező a YYYY-MM-DD formátumot jelöli.
time - A helyi idő megjelenik a naplófájlban a HH: MM: SS formátumban. Az órák 24 órás formátumban hivatkoznak.
művelet - Mivel a tűzfal feldolgozza a forgalmat, bizonyos műveleteket rögzítenek. A naplózott műveletek a DROP, a kapcsolat megszakításához OPEN, a kapcsolat megnyitásához, a CLOSE a kapcsolat bezárásához, a helyi számítógépre megnyitott bejövő munkamenethez OPEN-INBOUND és a Windows tűzfal feldolgozott eseményeihez tartozó INFO-ESEMÉNYEK nem kerültek rögzítésre a biztonsági naplóban.
protokoll - A használt protokoll, például a TCP, az UDP vagy az ICMP.
src-ip - A forrás IP-címét jeleníti meg (a kommunikációt létrehozó számítógép IP-címe).
dst-ip - Megjeleníti a csatlakozási kísérlet cél IP-címét.
src-port - A küldő számítógép portszáma, amelyről a kapcsolatot próbálták meg.
dst-port - A port, amelyhez a küldő számítógép kapcsolatot próbált létrehozni.
size - A csomag méretét bájtokban jeleníti meg.
tcpflags - Információ a TCP-vezérlők zászlóiról a TCP-fejlécekben.
tcpsyn - A csomag TCP-sorszámát jeleníti meg.
tcpack - A TCP nyugtázási számát jeleníti meg a csomagban.
tcpwin - A csomag TCP ablakméretét bájtban jeleníti meg.
icmptype - Információ az ICMP üzenetekről.
icmpcode - Információ az ICMP üzenetekről.
info - Megjelenít egy olyan bejegyzést, amely a végrehajtott művelet típusától függ.
elérési út - A kommunikáció irányát jeleníti meg. A rendelkezésre álló lehetőségek: SEND, RECEIVE, FORWARD és UNKNOWN.

Amint észrevette, a naplóbejegyzés valóban nagy, és akár 17 darab információval is rendelkezik, amelyek az egyes eseményekhez kapcsolódnak. Az általános elemzéshez azonban csak az első nyolc információ fontos. A kezünkben lévő adatokkal most elemezheti a rosszindulatú tevékenységek vagy hibakeresési hibák hibáit.

Ha bármilyen rosszindulatú tevékenységet gyanít, nyissa meg a naplófájlt a Jegyzettömbben, és szűrje ki az összes naplóbejegyzést a DROP-vel az akciómezőben, és vegye figyelembe, hogy a cél IP-cím 255-ös számmal fejeződik-e be. a csomagok IP címének jegyzete. Miután befejezte a probléma elhárítását, letilthatja a tűzfal naplózását.

A hálózati problémák hibaelhárítása időnként meglehetősen ijesztő lehet, és ajánlott jó gyakorlat, ha a Windows tűzfal hibaelhárítása lehetővé teszi a natív naplók engedélyezését. Bár a Windows tűzfal naplófájlja nem hasznos a hálózat általános biztonságának elemzéséhez, még mindig jó gyakorlat marad, ha szeretné figyelemmel kísérni, mi történik a színfalak mögött.