If-Koubou

Kako pratiti aktivnost vatrozida pomoću dnevnika vatrozida za Windows

Kako pratiti aktivnost vatrozida pomoću dnevnika vatrozida za Windows (Kako da)

U procesu filtriranja internetskog prometa, svi vatrozidi imaju neku vrstu značajke zapisivanja koja dokumentira kako je vatrozid radio na različitim vrstama prometa. Ovi zapisi mogu pružiti vrijedne informacije kao što su izvorna i odredišna IP adresa, brojevi porta i protokoli. Također možete koristiti datoteku zapisnika vatrozida za Windows kako biste pratili TCP i UDP veze i pakete koji su blokirali vatrozid.

Zašto i kada je logiranje vatrozida korisno
  1. Da biste provjerili funkcioniraju li nedavno dodani pravila vatrozida ili ispravili pogrešku ako ne rade prema očekivanjima.
  2. Da biste utvrdili je li vatrozid za Windows uzrok kvarova aplikacije - Značajkom prijavljivanja vatrozidom možete provjeriti otvore zabranjenih ulaza, otvore dinamičkih ulaza, analizirati ispuštene pakete s push i hitnim zastavama te analizirati ispuštene pakete na putu slanja.
  3. Kako bi pomogli i identificirali zlonamjerne aktivnosti - Pomoću značajke prijavljivanja vatrozidom možete provjeriti postoji li zlonamjerna aktivnost unutar vaše mreže, iako morate zapamtiti da ne pruža informacije potrebne za praćenje izvora aktivnosti.
  4. Ako primijetite opetovano neuspješne pokušaje pristupa vatrozidu i / ili drugim visokoučinkovitim sustavima s jedne IP adrese (ili grupe IP adresa), možda biste htjeli napisati pravilo kako biste ispustili sve veze iz tog IP prostora (pobrinite se da IP adresa nije varalica).
  5. Odlazne veze koje dolaze iz internih poslužitelja kao što su web poslužitelji mogu biti znak da netko koristi vaš sustav za pokretanje napada na računala koja se nalaze na drugim mrežama.

Kako generirati datoteku dnevnika

Prema zadanim postavkama, zapisnička je datoteka onemogućena, što znači da u zapisničkoj datoteci nema podataka. Za izradu zapisničke datoteke pritisnite "Win key + R" da biste otvorili okvir Run. Upišite "wf.msc" i pritisnite Enter. Pojavit će se prozor "Vatrozid za Windows s naprednom sigurnošću". Na desnoj strani zaslona kliknite "Svojstva".

Pojavit će se novi dijaloški okvir. Sada kliknite karticu "Privatni profil" i odaberite "Prilagodi" u odjeljku "Zapisnik".

Otvara se novi prozor i na tom zaslonu odaberite maksimalnu veličinu zapisnika, lokaciju i hoćete li prijavljivati ​​samo ispuštene pakete, uspješnu vezu ili oboje. Spakirani paket je paket koji je blokiran za Windows Firewall. Uspješna veza odnosi se i na dolazne veze, kao i na bilo koju vezu koju ste napravili preko Interneta, ali to ne znači uvijek da je uljez uspješno povezan s vašim računalom.

Prema zadanim postavkama, Vatrozid za Windows zapisuje unose zapisnika % SystemRoot% \ System32 \ logfiles \ Firewall \ pfirewall.log i pohranjuje samo zadnje 4 MB podataka. U većini proizvodnih okruženja ovaj zapis će stalno pisati na tvrdi disk i ako promijenite veličinu zapisničke datoteke (za prijavu aktivnosti tijekom dugog vremenskog razdoblja), to može uzrokovati utjecaj na performanse. Iz tog razloga biste trebali omogućiti prijavu samo ako aktivno riješite problem i odmah odmah onemogućite bilježenje kad završite.

Zatim kliknite karticu "Javni profil" i ponovite iste korake koje ste učinili za karticu "Privatni profil". Sada ste uključili zapisnik za privatne i javne mrežne veze. Datoteka će se stvoriti u W3C formatu proširenog dnevnika (.log) koju možete pregledati pomoću uređivača teksta po vlastitom izboru ili ih uvesti u proračunsku tablicu. Jedna log datoteka može sadržavati tisuće tekstualnih unosa, pa ako ih čitate putem Notepada, tada onemogućite zamotavanje riječi kako biste sačuvali formatiranje stupaca. Ako pregledavate dnevničku datoteku u proračunskoj tablici, sva polja će se logički prikazati u stupcima radi jednostavnije analize.

Na glavnom zaslonu "Vatrozid za Windows s naprednom sigurnošću" pomaknite se prema dolje dok ne vidite vezu "Nadgledanje". U oknu Pojedinosti u odjeljku "Postavke bilježenja" kliknite put datoteke pored "Naziv datoteke". Zapis se otvara u Notepad.

Tumačenje dnevnika vatrozida za Windows

Zapisnik sigurnosti vatrozida za Windows sadrži dva odjeljka. Zaglavlje sadrži statične, opisne informacije o verziji zapisnika i dostupnim poljima. Tijelo zapisnika je prikupljeni podatak koji se unosi kao rezultat prometa koji pokušava prijeći vatrozid. To je dinamičan popis i novi unosi se i dalje pojavljuju na dnu zapisnika. Polja su pisana s lijeva na desno preko stranice. (-) se koristi kada nema dostupnog polja za polje.

Prema dokumentaciji Microsoft Technet zaglavlja log datoteke sadrži:

Verzija - prikazuje verziju sigurnosnog zapisnika vatrozida za Windows.
Softver - Prikazuje naziv softvera koji stvara zapisnik.
Vrijeme - Označava da su sve informacije o vremenu u dnevniku lokalno vrijeme.
Polja - Prikazuje popis polja koja su dostupna za unose sigurnosnih zapisnika, ako su dostupni podaci.

Dok tijelo log datoteke sadrži:

datum - Polje za datum identificira datum u obliku GGGG-MM-DD.
vrijeme - Lokalno vrijeme se prikazuje u zapisničkoj datoteci pomoću formata HH: MM: SS. Sate se navode u 24-satnom obliku.
akcija - Kako vatrozid obrađuje promet, zabilježene su određene radnje. Zabilježene radnje su DROP za ispuštanje veze, OTVORENO za otvaranje veze, ZATVORENO za zatvaranje veze, OPEN-INBOUND za ulaznu sesiju otvorenu na lokalno računalo i INFO-EVENTS-LOST za događaje koje je obradio Vatrozid za Windows nisu zabilježeni u sigurnosnom zapisniku.
protokol - protokol koji se koristi kao što su TCP, UDP ili ICMP.
src-ip - Prikazuje izvornu IP adresu (IP adresu računala koja pokušava uspostaviti komunikaciju).
dst-ip - Prikazuje odredišnu IP adresu pokušaja veze.
src-port - Broj porta na računalu s kojeg se pokušalo povezati.
dst-port - Luka kojoj je računalo slanjem pokušalo uspostaviti vezu.
veličina - prikazuje veličinu paketa u bajtovima.
tcpflags - Informacije o TCP kontrolnim zastavama u TCP zaglavljima.
tcpsyn - Prikazuje broj TCP sekvence u paketu.
tcpack - Prikazuje broj potvrde TCP-a u paketu.
tcpwin - Prikazuje veličinu TCP prozora, u bajtovima, u paketu.
icmptype - Informacije o ICMP porukama.
icmpcode - Informacije o ICMP porukama.
info - prikazuje unos koji ovisi o vrsti akcije koja se dogodila.
put - Prikazuje smjer komunikacije. Dostupne opcije su SEND, RECEIVE, FORWARD i UNKNOWN.

Kao što primjećujete, unos zapisnika doista je velik i može imati najviše 17 informacija povezanih sa svakim događajem. Međutim, samo su prvih osam informacija važne za opću analizu. S pojedinostima u ruci sada možete analizirati informacije za zlonamjerne aktivnosti ili uklanjanje pogrešaka aplikacija.

Ako sumnjate na bilo kakvu zlonamjernu aktivnost, otvorite datoteku zapisnika u Notepad i filtririte sve unose zapisa s DROP u polje radnje i zabilježite da li odredišna IP adresa završava s brojem koji nije 255. Ako pronađete mnoge takve unose, bilješka odredišnih IP adresa paketa. Kada dovršite rješavanje problema, možete onemogućiti bilježenje vatrozida.

Rješavanje problema s mrežom može biti prilično zastrašujuće i preporučena dobra praksa kada je rješenje problema s vatrozidom sustava Windows omogućiti prirodne zapise. Iako datoteka zapisnika vatrozida za Windows nije korisna za analizu ukupne sigurnosti vaše mreže, i dalje je dobra praksa ako želite pratiti što se događa iza scene.