Kako slediti dejavnosti požarnega zidu z dnevnikom požarnega zidu Windows
V procesu filtriranja internetnega prometa imajo vsi požarni zidovi neke vrste funkcijo beleženja, ki dokumentira, kako požarni zid ravna z različnimi vrstami prometa. Ti dnevniki lahko zagotovijo dragocene informacije, kot so naslov IP za vir in cilj, številke vrat in protokoli. Za spremljanje povezav TCP in UDP ter paketov, ki jih blokira požarni zid, lahko uporabite tudi datoteko dnevnika požarnega zidu Windows.
Zakaj in ko je požarni zid zapisljiv - Če želite preveriti, ali nova pravila o požarnem zidu delujejo pravilno ali jih odpravite, če ne delujejo po pričakovanjih.
- Če želite ugotoviti, ali je požarni zid Windows vzrok za napake v aplikaciji - s funkcijo zapisovanja požarnega zidu lahko preverite, ali so odprta vrata, dinamična odprtja vrat, analizirajte padla paketa s potisnimi in nujnimi zastavami ter analizirajte padla paketa na poti pošiljanja.
- Za pomoč in prepoznavanje zlonamernih dejavnosti - s funkcijo za zapisovanje požarnega zidu lahko preverite, ali se v vašem omrežju pojavlja zlonamerna dejavnost ali ne, čeprav se morate zavedati, da ne vsebuje informacij, potrebnih za iskanje vira dejavnosti.
- Če opazite ponavljajoče se neuspešne poskuse dostopa do požarnega zidu in / ali drugih visoko profilnih sistemov z enega naslova IP (ali skupine naslovov IP), potem boste morda želeli napisati pravilo, ki bo izločilo vse povezave iz tega prostora IP (pazite, da Naslov IP se ne ponaredi).
- Odhodne povezave, ki prihajajo iz notranjih strežnikov, kot so spletni strežniki, so lahko znak, da nekdo uporablja vaš sistem za zagon napadov na računalnike v drugih omrežjih.
Kako ustvariti datoteko dnevnika
Po privzetku je datoteka dnevnika onemogočena, kar pomeni, da v datoteko dnevnika ni zapisanih podatkov. Če želite ustvariti datoteko dnevnika, pritisnite tipko »Win + R«, da odprete polje »Zaženi«. Vnesite »wf.msc« in pritisnite Enter. Prikaže se zaslon »Požarni zid Windows z napredno varnostjo«. Na desni strani zaslona kliknite »Lastnosti«.
Prikaže se novo pogovorno okno. Sedaj kliknite zavihek »Zasebni profil« in v razdelku »Zapisovanje« izberite »Prilagodi«.
Odpre se novo okno in iz tega zaslona izberete največjo velikost dnevnika, lokacijo in ali želite prijaviti samo padle pakete, uspešno povezavo ali oboje. Padec paketa je paket, ki ga je požarni zid Windows blokiral. Uspešna povezava se nanaša tako na dohodne povezave kot tudi na vse povezave, ki ste jih vzpostavili prek interneta, vendar ne pomeni vedno, da se je vsiljivec uspešno povezal z vašim računalnikom..
Požarni zid programa Windows po privzetku zapisuje vnose v dnevnik % SystemRoot% System32 Logfiles Požarni zid Pfirewall.log
in shrani samo zadnjih 4 MB podatkov. V večini produkcijskih okolij bo ta dnevnik nenehno zapisoval na vaš trdi disk in če spremenite omejitev velikosti datoteke dnevnika (za beleženje aktivnosti v daljšem časovnem obdobju), lahko to povzroči učinek na zmogljivost. Zato morate omogočiti beleženje samo, če aktivno odpravljate težave in nato takoj, ko končate, onemogočite beleženje.
Nato kliknite zavihek »Javni profil« in ponovite iste korake, kot ste jih naredili za zavihek »Zasebni profil«. Zdaj ste vklopili dnevnik za zasebne in javne omrežne povezave. Datoteka dnevnika bo ustvarjena v razširjenem dnevniku W3C (.log), ki ga lahko pregledate z urejevalnikom besedila po svoji izbiri ali pa jih uvozite v preglednico. Ena datoteka dnevnika lahko vsebuje na tisoče besedilnih vnosov, tako da če jih berete s pomočjo beležnice, onemogočite prelivanje besed, da ohranite oblikovanje stolpca. Če pregledujete datoteko dnevnika v preglednici, bodo vsa polja logično prikazana v stolpcih za lažjo analizo.
Na glavnem zaslonu »Požarni zid Windows z napredno varnostjo« se pomaknite navzdol, dokler ne vidite povezave »Nadzor«. V podoknu s podrobnostmi v razdelku »Nastavitve beleženja« kliknite pot do datoteke »Ime datoteke«. Dnevnik se odpre v beležnici.
Razlaga dnevnika požarnega zidu Windows
Varnostni dnevnik požarnega zidu Windows vsebuje dva odseka. Glava vsebuje statične, opisne informacije o različici dnevnika in razpoložljiva polja. V telesu dnevnika so zbrani podatki, ki so vneseni zaradi prometa, ki poskuša prečkati požarni zid. To je dinamični seznam in na dnu dnevnika se pojavljajo novi vnosi. Polja so napisana z leve na desno po strani. Uporabi se (-), kadar za polje ni na voljo nobenega vnosa.
V skladu z dokumentacijo podjetja Microsoft Technet je glava datoteke dnevnika vsebovala:
Različica - prikaže, katera različica varnostnega dnevnika požarnega zidu Windows je nameščena.
Programska oprema - prikazuje ime programske opreme, ki ustvarja dnevnik.
Čas - označuje, da so vsi podatki časovnih žigov v dnevniku v lokalnem času.
Polja - Prikaže seznam polj, ki so na voljo za vnose varnostnega dnevnika, če so podatki na voljo.
Medtem ko telo dnevnika vsebuje:
date - datumsko polje označuje datum v obliki LLLL-MM-DD.
time - Lokalni čas se prikaže v datoteki dnevnika z obliko HH: MM: SS. Ure so navedene v 24-urni obliki.
action - Ko požarni zid obdeluje promet, se določena dejanja zabeležijo. Zabeležena dejanja so DROP za spuščanje povezave, OPEN za odpiranje povezave, CLOSE za zapiranje povezave, OPEN-INBOUND za vhodno sejo, odprto za lokalni računalnik, in INFO-EVENTS-LOST za dogodke, ki jih obdeluje požarni zid Windows, vendar niso bili zabeleženi v varnostnem dnevniku.
protocol - Uporabljeni protokol, kot so TCP, UDP ali ICMP.
src-ip - prikaže izvorni naslov IP (naslov IP računalnika, ki poskuša vzpostaviti komunikacijo).
dst-ip - prikaže ciljni naslov IP za poskus povezave.
src-port - Številka vrat na računalniku, ki pošilja podatke, s katerega je bila vzpostavljena povezava.
dst-port - vrata, na katera je pošiljateljski računalnik skušal vzpostaviti povezavo.
size - Prikaz velikosti paketa v bajtih.
tcpflags - Informacije o kontrolnih zastavicah TCP v glavah TCP.
tcpsyn - Prikaže zaporedno številko TCP v paketu.
tcpack - Prikaže številko potrditve TCP v paketu.
tcpwin - v paketu prikaže velikost okna TCP v bajtih.
icmptype - Informacije o sporočilih ICMP.
icmpcode - Informacije o sporočilih ICMP.
info - Prikaže vnos, ki je odvisen od vrste dejanja, ki se je zgodilo.
path - Prikaz smeri komunikacije. Na voljo so možnosti SEND, RECEIVE, FORWARD in UNKNOWN.
Kot opazite, je vnos dnevnika res velik in ima lahko do 17 informacij, povezanih z vsakim dogodkom. Za splošno analizo pa so pomembne samo prve osem informacij. Z detajli v roki lahko zdaj analizirate informacije za zlonamerne dejavnosti ali napake pri razhroščevanju.
Če sumite na zlonamerno dejavnost, odprite datoteko dnevnika v Beležnici in filtrirajte vse vnose v dnevnik z DROP v polje za dejanje in zapišite, ali se naslov IP naslova konča s številko, ki ni 255. Če najdete veliko takih vnosov, vzemite beležka naslovov IP naslovov paketov. Ko odpravite težavo, lahko onemogočite beleženje požarnega zidu.
Odpravljanje težav z omrežjem je lahko včasih precej zastrašujoče in priporočena dobra praksa pri odpravljanju težav s požarnim zidom programa Windows je omogočanje domačih dnevnikov. Čeprav datoteka dnevnika požarnega zidu Windows ni uporabna za analizo splošne varnosti vašega omrežja, je še vedno dobra praksa, če želite spremljati dogajanje v ozadju.