Prečo a kedy je protokolovanie firewall užitočné
- Ak chcete overiť, či novo pridané pravidlá brány firewall fungujú správne, alebo ich ladiť, ak nefungujú podľa očakávania.
- Ak chcete zistiť, či je brána firewall systému Windows príčinou zlyhania aplikácie - Pomocou funkcie Firewall logging môžete skontrolovať, či sú vypnuté porty otvorené, dynamické otvory portu, analyzovať dropped pakety s push a naliehavé vlajky a analyzovať dropped pakety na cestu odoslať.
- Ak chcete pomôcť a identifikovať škodlivú aktivitu - S funkciou Firewall logging môžete skontrolovať, či sa v rámci vašej siete vyskytuje nejaká škodlivá aktivita, hoci si musíte pamätať, že neposkytuje informácie potrebné na sledovanie zdroja aktivity.
- Ak zistíte opakované neúspešné pokusy o prístup k bráne firewall a / alebo iným vysokokapacitným systémom z jednej adresy IP (alebo skupiny adries IP), možno by ste chceli napísať pravidlo, aby ste odstránili všetky pripojenia z daného priestoru IP (uistite sa, že IP adresa nie je falošná).
- Odchádzajúce pripojenia pochádzajúce z interných serverov, ako sú webové servery, môžu byť indikáciou, že niekto používa váš systém na spustenie útokov proti počítačom umiestneným v iných sieťach.
Ako generovať súbor denníka
Štandardne je súbor denníka zakázaný, čo znamená, že do súboru denníka nie sú zapísané žiadne informácie. Ak chcete vytvoriť súbor denníka, stlačte "Win key + R" a otvorte pole Run. Zadajte príkaz "wf.msc" a stlačte kláves Enter. Zobrazí sa obrazovka "Brána Windows Firewall s rozšíreným zabezpečením". Na pravej strane obrazovky kliknite na položku Vlastnosti.
%SystemRoot%System32LogFilesFirewallPfirewall.log
a ukladá iba posledné 4 MB dát. Vo väčšine výrobných prostredí bude tento den neustále zapisovať na váš pevný disk a ak zmeníte limit veľkosti súboru denníka (na zaznamenávanie aktivity po dlhú dobu), môže to spôsobiť vplyv na výkon. Z tohto dôvodu by ste mali zapnúť protokolovanie iba vtedy, keď ste aktívne riešili problém a potom ihneď vypnite protokolovanie po dokončení.
Ďalej kliknite na kartu "Verejný profil" a zopakujte rovnaké kroky, ako ste urobili pre kartu "Súkromný profil". Teraz ste zapli protokol pre súkromné aj verejné sieťové pripojenia. Súbor denníka sa vytvorí vo formáte rozšíreného denníka W3C (.log), ktorý môžete preskúmať s textovým editorom podľa vlastného výberu alebo importovať do tabuľkového procesora. Jeden súbor denníka môže obsahovať tisíce textových položiek, takže ak ich čítate cez Poznámkový blok, potom zakážte obalovanie slov, aby ste uchovali formátovanie stĺpcov. Ak si prezeráte súbor denníka v tabuľke, všetky polia sa logicky zobrazia v stĺpcoch pre ľahšiu analýzu.
Na hlavnej obrazovke brány Windows Firewall s rozšíreným zabezpečením prejdite nadol, kým sa nezobrazí odkaz "Monitorovanie". V podokne Podrobnosti v časti "Nastavenia denníka" kliknite na cestu k súboru vedľa položky "Názov súboru". Denník sa otvorí v programe Poznámkový blok.
Interpretácia denníka brány Windows Firewall
Záloha zabezpečenia brány firewall systému Windows obsahuje dve sekcie. Záhlavie poskytuje statické, opisné informácie o verzii denníka a dostupné polia. Telo denníka je kompilované dáta, ktoré sa zadajú ako výsledok návštevnosti, ktorá sa pokúša prekročiť bránu firewall. Ide o dynamický zoznam a nové záznamy sa stále zobrazujú v dolnej časti denníka. Polia sú napísané zľava doprava po celej stránke. (-) sa používa, keď pre pole nie je k dispozícii žiadny záznam.
Verzia - Zobrazuje, ktorá verzia denníka zabezpečenia brány firewall systému Windows je nainštalovaná. Softvér - Zobrazuje názov softvéru, ktorý vytvorí denník. Čas - Označuje, že všetky informácie o časovej pečiatke v denníku sú v miestnom čase. Pole - Zobrazuje zoznam polí, ktoré sú k dispozícii pre záznamy denníka zabezpečenia, ak sú k dispozícii údaje.
Zatiaľ čo telo súboru denníka obsahuje:
dátum - políčko dátum označuje dátum vo formáte YYYY-MM-DD. čas - miestny čas sa zobrazí v súbore denníka vo formáte HH: MM: SS. Hodiny sú uvedené v 24-hodinovom formáte. akcia brány firewall spracováva niektoré akcie.Prihlásené akcie sú DROP pre zrušenie spojenia, OPEN na otvorenie spojenia, ZATVORENIE pre zatvorenie spojenia, OPEN-INBOUND pre prichádzajúcu reláciu otvorenú pre lokálny počítač a INFO-UDALOSTI-LOST pre udalosti spracované bránou Windows Firewall, ale neboli zaznamenané v denníku zabezpečenia. protokol - použitý protokol, ako TCP, UDP alebo ICMP. src-ip - Zobrazí zdrojovú adresu IP (adresa IP počítača, ktorý sa pokúša o vytvorenie komunikácie). dst-ip - Zobrazí cieľovú adresu IP pokusu o pripojenie. src-port - číslo portu na odosielajúcom počítači, z ktorého bolo pripojenie vykonané. dst-port - port, ku ktorému sa odosielajúci počítač pokúšal vytvoriť spojenie. veľkosť - Zobrazuje veľkosť paketu v bajtoch. tcpflags - informácie o príznakoch kontroly TCP v hlavičkách TCP. tcpsyn - Zobrazí poradové číslo TCP v pakte. tcpack - Zobrazí číslo potvrdenia TCP v pakte. tcpwin - Zobrazuje veľkosť paketu TCP v paketoch v bajtoch. icmptype - Informácie o ICMP správach. icmpcode - Informácie o ICMP správach. info - Zobrazí záznam, ktorý závisí od typu akcie, ku ktorej došlo. cesta - Zobrazuje smer komunikácie. Dostupné možnosti sú ODOSLANIŤ, PRIJATÉ, ĎALEJ a NEZNÁME.
Ako si všimnete, zápis do denníka je skutočne veľký a môže obsahovať až 17 kusov informácií spojených s každou udalosťou. Pre všeobecnú analýzu sú však dôležité iba prvé osem informácií. Pomocou podrobností vo vašej ruke môžete teraz analyzovať informácie o škodlivých aktivitách alebo zlyhaní aplikácií ladenia.
Ak máte podozrenie na akúkoľvek škodlivú aktivitu, otvorte súbor denníka v programe Poznámkový blok a filtrujte všetky položky denníka pomocou DROP v akčnom poli a uvedomte si, či cieľová adresa IP končí iným číslom než 255. Ak nájdete mnoho takýchto záznamov, poznámka o cieľových adresách IP paketov. Po dokončení riešenia problému môžete zakázať protokolovanie firewallu.
Problémy s riešením problémov so sieťou môžu byť občas veľmi skľučujúce a odporúčaná dobrá prax pri odstraňovaní problémov so systémom Windows Firewall je povoliť natívne denníky. Hoci protokolový súbor Windows Firewall nie je užitočný na analýzu celkovej bezpečnosti vašej siete, stále zostáva dobrým postupom, ak chcete sledovať, čo sa deje za scénami.
