Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows

Obsah:

Video: Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows

Video: Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows
Video: Understanding Microsoft’s Network Stack with Hyper-V 2024, Březen
Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows
Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows
Anonim
V procesu filtrování internetového provozu mají všechny brány firewall nějaký typ záznamu, který dokumentuje, jak firewall zvládl různé typy provozu. Tyto protokoly mohou poskytovat cenné informace, jako jsou zdrojové a cílové adresy IP, čísla portů a protokoly. Soubor protokolu brány firewall systému Windows můžete také použít k monitorování připojení a paketů TCP a UDP, které jsou zablokovány firewallem.
V procesu filtrování internetového provozu mají všechny brány firewall nějaký typ záznamu, který dokumentuje, jak firewall zvládl různé typy provozu. Tyto protokoly mohou poskytovat cenné informace, jako jsou zdrojové a cílové adresy IP, čísla portů a protokoly. Soubor protokolu brány firewall systému Windows můžete také použít k monitorování připojení a paketů TCP a UDP, které jsou zablokovány firewallem.

Proč a kdy je protokolování brány firewall užitečné

  1. Chcete-li ověřit, zda nově přidaná pravidla brány firewall fungují správně, nebo je ladit, pokud nefungují podle očekávání.
  2. Určení, zda je brána firewall systému Windows příčinou selhání aplikace. Pomocí funkce protokolování brány firewall můžete zkontrolovat, zda jsou zakázané otvory portů, otvory dynamického portu, analyzovat dropped pakety pomocí příznaků push a urgentní a analyzovat vynechané pakety na cestě odesílání.
  3. Pomáhání a identifikace škodlivých aktivit - Funktem protokolování brány firewall můžete zkontrolovat, zda se v síti vyskytuje nějaká škodlivá aktivita nebo nikoliv, ačkoli musíte pamatovat na to, že neposkytuje informace potřebné ke zjištění zdroje aktivity.
  4. Pokud zaznamenáte opakované neúspěšné pokusy o přístup k bráně firewall a / nebo jiným vysokorychlostním systémům z jedné adresy IP (nebo skupiny IP adres), pak možná budete chtít napsat pravidlo pro odstranění všech připojení z daného prostoru IP (ujistěte se, že IP adresa není falešná).
  5. Odchozí připojení pocházející z interních serverů, jako jsou webové servery, mohou znamenat, že někdo používá váš systém k útokům na počítače umístěné v jiných sítích.

Jak vytvořit soubor protokolu

Ve výchozím nastavení je soubor protokolu zakázán, což znamená, že do souboru protokolu nejsou zapsány žádné informace. Chcete-li vytvořit soubor protokolu, stiskněte "Win key + R" pro otevření pole Run. Zadejte "wf.msc" a stiskněte klávesu Enter. Objeví se obrazovka "Brána firewall systému Windows s pokročilým zabezpečením". V pravé části obrazovky klikněte na položku Vlastnosti.

Objeví se nové dialogové okno. Nyní klikněte na kartu "Soukromý profil" a v sekci "Protokolování" vyberte "Přizpůsobit".
Objeví se nové dialogové okno. Nyní klikněte na kartu "Soukromý profil" a v sekci "Protokolování" vyberte "Přizpůsobit".
Otevře se nové okno a z této obrazovky vyberte maximální velikost protokolu, umístění a zda chcete zaznamenat pouze vynechané pakety, úspěšné připojení nebo obojí. Zneškodený paket je paket zablokovaný v bráně Windows Firewall. Úspěšné připojení se týká jak příchozích připojení, tak jakéhokoli připojení, které jste provedli prostřednictvím Internetu, ale neznamená to, že se k počítači dostal úspěšně připojený útočník.
Otevře se nové okno a z této obrazovky vyberte maximální velikost protokolu, umístění a zda chcete zaznamenat pouze vynechané pakety, úspěšné připojení nebo obojí. Zneškodený paket je paket zablokovaný v bráně Windows Firewall. Úspěšné připojení se týká jak příchozích připojení, tak jakéhokoli připojení, které jste provedli prostřednictvím Internetu, ale neznamená to, že se k počítači dostal úspěšně připojený útočník.
Ve výchozím nastavení zapíše brána Windows Firewall záznamy protokolu
Ve výchozím nastavení zapíše brána Windows Firewall záznamy protokolu

%SystemRoot%System32LogFilesFirewallPfirewall.log

a ukládá pouze poslední 4 MB dat. Ve většině výrobních prostředích bude tento protokol neustále zapisovat na pevný disk a pokud změníte velikost souboru protokolu (k zaznamenání aktivity po dlouhou dobu), může to mít vliv na výkon. Z tohoto důvodu byste měli zapnout protokolování pouze při aktivním řešení problému a poté okamžitě zakázat protokolování po dokončení.

Dále klikněte na kartu "Veřejný profil" a opakujte stejné kroky, jaké jste učinili pro kartu "Soukromý profil". Nyní jste zapnuli protokol pro soukromé i veřejné připojení k síti. Soubor protokolu bude vytvořen ve formátu rozšířeného protokolu W3C (.log), který můžete provést pomocí textového editoru dle vlastního výběru nebo importovat do tabulkového procesoru. Jeden soubor protokolu může obsahovat tisíce textových položek, takže pokud je čtete pomocí programu Poznámkový blok, pak zakázat obtékání slov, aby se zachovalo formátování sloupců. Pokud zobrazujete soubor protokolu v tabulce, všechna pole budou logicky zobrazena ve sloupcích pro snadnější analýzu.

Na hlavní obrazovce "Brána firewall systému Windows s pokročilým zabezpečením" přejděte dolů, dokud se nezobrazí odkaz "Monitorování". V podokně Podrobnosti v části "Nastavení protokolování" klepněte na cestu k souboru vedle položky "Název souboru". Záznam se otevře v programu Poznámkový blok.

Image
Image

Interpretace protokolu brány firewall systému Windows

Záznam zabezpečení brány firewall systému Windows obsahuje dvě části. Záhlaví poskytuje statické popisné informace o verzi protokolu a dostupné pole. Těleso protokolu je zkompilovaná data, která je zadána jako výsledek provozu, který se pokouší překročit bránu firewall. Jedná se o dynamický seznam a nové záznamy se stále zobrazují ve spodní části protokolu. Políčka jsou napsána zleva doprava po stránce. (-) se použije, pokud pro pole není k dispozici žádný záznam.

Podle dokumentace společnosti Microsoft Technet záhlaví souboru protokolu obsahuje:
Podle dokumentace společnosti Microsoft Technet záhlaví souboru protokolu obsahuje:

Verze - Zobrazuje, která verze protokolu zabezpečení brány firewall systému Windows je nainstalována. Software - Zobrazuje název softwaru, který vytváří protokol. Čas - Označuje, že všechny informace o časové značce v protokolu jsou v místním čase. Pole - Zobrazuje seznam polí dostupných pro záznamy protokolu zabezpečení, pokud jsou k dispozici data.

Zatímco tělo souboru protokolu obsahuje:

datum - pole Datum určuje datum ve formátu YYYY-MM-DD. čas - Místní čas je zobrazen v souboru protokolu pomocí formátu HH: MM: SS. Hodiny jsou uváděny v 24hodinovém formátu. akce - Jak brána firewall zpracovává provoz, zaznamenávají se určité akce.Přihlášená akce jsou DROP pro zrušení připojení, OTEVŘENO pro otevření připojení, ZAVŘÍT pro uzavření spojení, OPEN-INBOUND pro příchozí relaci otevřené pro místní počítač a INFO-UDÁLOSTI-LOST pro události zpracované bránou Windows Firewall, ale nebyly zaznamenány do protokolu zabezpečení. protokol - Protokol, jako jsou protokoly TCP, UDP nebo ICMP. src-ip - Zobrazí zdrojovou adresu IP (adresa IP počítače, která se pokouší o komunikaci). dst-ip - Zobrazí cílovou adresu IP pokusu o připojení. src-port - Číslo portu na odesílajícím počítači, ze kterého bylo připojení provedeno. dst-port - port, ke kterému se odesílající počítač pokoušel připojit. velikost - Zobrazuje velikost paketu v bajtech. tcpflags - Informace o příkazech TCP control v hlavičkách TCP. tcpsyn - Zobrazuje pořadové číslo TCP v paketu. tcpack - Zobrazí číslo potvrzení TCP v paketu. tcpwin - Zobrazuje velikost paketu TCP v bajtech v paketu. icmptype - informace o ICMP zprávách. icmpcode - Informace o ICMP zprávách. info - Zobrazuje záznam, který závisí na typu akce, která se objevila. cesta - Zobrazuje směr komunikace. Dostupné možnosti jsou SEND, RECEIVE, FORWARD a NEZNÁME.

Jak zjistíte, záznam protokolu je skutečně velký a může obsahovat až 17 kusů informací spojených s každou událostí. Pro obecnou analýzu jsou však důležité pouze prvé osm informací. S podrobnostmi v ruce můžete nyní analyzovat informace o škodlivých aktivitách nebo selhání aplikace ladění.

Pokud máte podezření na jakoukoli škodlivou aktivitu, otevřete soubor protokolu v programu Poznámkový blok a filtrujte všechny položky protokolu pomocí příkazu DROP v poli akce a zkontrolujte, zda cílová adresa IP končí jiným číslem než 255. Pokud najdete mnoho takových položek, poznámka cílové adresy IP paketů. Jakmile dokončíte řešení problému, můžete zakázat protokolování firewallu.

Řešení potíží se sítí může být občas obtížné a doporučenou správnou praxí při odstraňování problémů se systémem Windows Firewall je povolit přirozené protokoly. Přestože soubor protokolu brány firewall systému Windows není užitečný pro analýzu celkové bezpečnosti vaší sítě, stále je dobré, pokud chcete sledovat, co se děje za zákulisí.

Doporučuje: