Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows
V procesu filtrování internetového provozu mají všechny brány firewall nějaký typ záznamu, který dokumentuje, jak firewall zvládl různé typy provozu. Tyto protokoly mohou poskytovat cenné informace, jako jsou zdrojové a cílové adresy IP, čísla portů a protokoly. Protokol TCP a UDP a pakety blokované firewallem můžete také použít protokolový soubor Windows Firewall.
Proč a kdy je protokolování brány firewall užitečné - Chcete-li ověřit, zda nově přidaná pravidla brány firewall fungují správně, nebo je ladit, pokud nefungují podle očekávání.
- Určení, zda je brána firewall systému Windows příčinou selhání aplikace. Pomocí funkce protokolování brány firewall můžete zkontrolovat, zda jsou zakázané otvory portů, dynamické otevření portů, analyzovat vynechané pakety pomocí příznaků push a urgentní a analyzovat vynechané pakety na cestě odesílání.
- Pomáhání a identifikace škodlivé aktivity - Funktem protokolování brány firewall můžete zkontrolovat, zda v síti dochází k nějaké škodlivé aktivitě nebo nikoliv, i když si musíte pamatovat, že neposkytuje informace potřebné pro zjištění zdroje aktivity.
- Pokud zaznamenáte opakované neúspěšné pokusy o přístup k bráně firewall a / nebo jiným vysokorychlostním systémům z jedné adresy IP (nebo skupiny adres IP), pak byste mohli napsat pravidlo pro odstranění všech připojení z daného prostoru IP (ujistěte se, že IP adresa není falešná).
- Odchozí připojení pocházející z interních serverů, jako jsou webové servery, mohou znamenat, že někdo používá váš systém k útokům na počítače umístěné v jiných sítích.
Jak generovat soubor protokolu
Ve výchozím nastavení je soubor protokolu zakázán, což znamená, že do souboru protokolu nejsou zapsány žádné informace. Chcete-li vytvořit soubor protokolu, stiskněte "Win key + R" a otevřete pole Run. Zadejte "wf.msc" a stiskněte klávesu Enter. Zobrazí se obrazovka "Brána Windows Firewall s rozšířeným zabezpečením". V pravé části obrazovky klikněte na položku Vlastnosti.
Zobrazí se nové dialogové okno. Nyní klikněte na kartu "Soukromý profil" a v sekci "Protokolování" vyberte "Přizpůsobit".
Otevře se nové okno a z této obrazovky zvolte maximální velikost protokolu, umístění a zda chcete zaznamenat pouze vynechané pakety, úspěšné připojení nebo obojí. Vynechaný paket je paket, který bránila brána firewall systému Windows. Úspěšné připojení se týká jak příchozích připojení, tak jakýchkoli připojení, která jste provedli přes internet, ale ne vždy to znamená, že se útočník úspěšně připojil k počítači.
Ve výchozím nastavení zapíše brána Windows Firewall záznamy protokolu Systém% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
a ukládá pouze poslední 4 MB dat. Ve většině výrobních prostředích bude tento protokol neustále zapisovat na pevný disk a pokud změníte velikost souboru protokolu (k zaznamenání aktivity po dlouhou dobu), může to mít vliv na výkon. Z tohoto důvodu byste měli zapnout protokolování pouze při aktivním řešení potíží a okamžitě zakázat protokolování po dokončení.
Pak klikněte na kartu "Veřejný profil" a zopakujte stejné kroky, jaké jste učinili pro kartu "Soukromý profil". Nyní jste zapnul protokol pro soukromé i veřejné připojení k síti. Soubor protokolu bude vytvořen ve formátu protokolu rozšířeného protokolu W3C (.log), který můžete provést pomocí textového editoru dle vlastního výběru nebo importovat do tabulky. Jeden soubor protokolu může obsahovat tisíce textových položek, takže pokud je čtete pomocí programu Poznámkový blok, pak zakázat obtékání slov, aby se zachovalo formátování sloupců. Pokud zobrazujete soubor protokolu v tabulce, všechna pole budou logicky zobrazena ve sloupcích pro snadnější analýzu.
Na hlavní obrazovce "Brána firewall systému Windows s pokročilým zabezpečením" přejděte dolů, dokud se nezobrazí odkaz "Monitorování". V podokně Podrobnosti v části Nastavení protokolování klikněte na cestu k souboru vedle položky Název souboru. Záznam se otevře v programu Poznámkový blok.
Interpretace protokolu brány firewall systému Windows
Záznam zabezpečení brány firewall systému Windows obsahuje dvě části. Záhlaví obsahuje statické popisné informace o verzi protokolu a dostupné pole. Těleso protokolu je zkompilovaná data, která je zadána jako výsledek provozu, který se pokouší překročit bránu firewall. Jedná se o dynamický seznam a nové záznamy se stále zobrazují ve spodní části protokolu. Políčka jsou napsána zleva doprava po stránce. (-) se použije, pokud pro pole není k dispozici žádný záznam.
Podle dokumentace společnosti Microsoft Technet záhlaví souboru protokolu obsahuje:
Verze - Zobrazuje, která verze protokolu zabezpečení brány firewall systému Windows je nainstalována.
Software - Zobrazuje název softwaru, který vytváří protokol.
Čas - Označuje, že všechny informace o časovém razítku v protokolu jsou v místním čase.
Pole - Zobrazuje seznam polí dostupných pro záznamy protokolu zabezpečení, pokud jsou k dispozici data.
Zatímco tělo souboru protokolu obsahuje:
datum - pole Datum označuje datum ve formátu YYYY-MM-DD.
čas - Místní čas se zobrazí v souboru protokolu pomocí formátu HH: MM: SS. Hodiny jsou uváděny v 24hodinovém formátu.
akce - Jak brána firewall zpracovává provoz, zaznamenávají se určité akce. Přihlášené akce jsou DROP pro zrušení připojení, OTEVŘENO pro otevření připojení, ZAVŘÍT pro uzavření spojení, OPEN-INBOUND pro příchozí spojení otevřené do místního počítače a INFO-UDÁLOSTI-LOST pro události zpracované bránou Windows Firewall, ale nebyly zaznamenány do protokolu zabezpečení.
protokol - Protokol, jako jsou protokoly TCP, UDP nebo ICMP.
src-ip - Zobrazuje zdrojovou adresu IP (adresa IP počítače, která se pokouší o komunikaci).
dst-ip - Zobrazí cílovou adresu IP pokusu o připojení.
src-port - Číslo portu na odesílajícím počítači, ze kterého bylo připojení provedeno.
dst-port - port, ke kterému se odesílající počítač pokoušel připojit.
velikost - Zobrazuje velikost paketu v bajtech.
tcpflags - informace o příkazech TCP control v hlavičkách TCP.
tcpsyn - Zobrazí sekvenční číslo TCP v paketu.
tcpack - Zobrazí číslo potvrzení TCP v paketu.
tcpwin - Zobrazuje velikost paketu TCP v bajtech v paketu.
icmptype - informace o ICMP zprávách.
icmpcode - Informace o ICMP zprávách.
info - Zobrazí záznam, který závisí na typu akce, která se objevila.
cesta - Zobrazuje směr komunikace. Dostupné možnosti jsou SEND, RECEIVE, FORWARD a UNKNOWN.
Jak zjistíte, záznam protokolu je skutečně velký a může obsahovat až 17 kusů informací spojených s každou událostí. Pro obecnou analýzu jsou však důležité pouze prvé osm informací. S podrobnostmi v ruce můžete nyní analyzovat informace o škodlivých aktivitách nebo selhání aplikací při ladění.
Pokud máte podezření na jakoukoli škodlivou aktivitu, otevřete soubor protokolu v programu Poznámkový blok a filtrujte všechny položky protokolu pomocí příkazu DROP v poli akce a zkontrolujte, zda cílová adresa IP končí jiným číslem než 255. Pokud najdete mnoho takových položek, poznámka cílové adresy IP paketů. Jakmile dokončíte řešení tohoto problému, můžete zakázat protokolování firewallu.
Řešení problémů se sítí může být občas obtížné a doporučenou správnou praxí při odstraňování potíží se systémem Windows Firewall je povolit přirozené protokoly. Ačkoli protokolový soubor Windows Firewall není užitečný pro analýzu celkové bezpečnosti vaší sítě, stále zůstává dobrým příkladem, pokud chcete sledovat, co se děje za scénami.