Palomuuritoiminnan seuranta Windowsin palomuurilokin avulla
Internet-liikenteen suodatusprosessissa kaikilla palomuureilla on jonkinlainen kirjautumisominaisuus, joka dokumentoi, miten palomuuri käsitteli erilaisia liikennemuotoja. Nämä lokit voivat tarjota arvokasta tietoa, kuten lähde- ja kohde-IP-osoitteet, porttinumerot ja protokollat. Voit myös seurata Windowsin palomuurin lokitiedostoa valvomaan palomuurin estämiä TCP- ja UDP-yhteyksiä ja paketteja.
Miksi ja kun palomuurin kirjaus on hyödyllistä - Jos haluat tarkistaa, tulevatko uudet palomuurin säännöt toimivat oikein, tai virheenkorjataan niitä, jos ne eivät toimi odotetusti.
- Voit selvittää, onko Windowsin palomuuri syynä sovellusten epäonnistumiseen - Palomuurin kirjautumisominaisuuden avulla voit tarkistaa, onko porttien aukkoja, dynaamisia portin aukkoja, analysoitu pudotettuja paketteja, joissa on push- ja kiireelliset liput, ja analysoi pudotetut paketit lähetysreitillä.
- Haitallisen toiminnan auttaminen ja tunnistaminen - Palomuurin kirjautumisominaisuuden avulla voit tarkistaa, onko verkossa tapahtunut haitallista toimintaa, vaikka sinun on muistettava, että se ei anna tietoja, joita tarvitaan toiminnan lähteiden jäljittämiseen.
- Jos huomaat toistuvia epäonnistuneita yrityksiä päästä palomuuriin ja / tai muihin korkean profiilin järjestelmiin yhdestä IP-osoitteesta (tai IP-osoitteiden ryhmästä), sinun kannattaa ehkä kirjoittaa sääntö, joka poistaa kaikki yhteydet kyseiseltä IP-tilalta (varmista, että IP-osoitetta ei ole huijattu.
- Sisäisistä palvelimista, kuten Web-palvelimista tulevat lähtevät yhteydet voivat olla merkki siitä, että joku käyttää järjestelmääsi käynnistämään hyökkäyksiä tietokoneissa oleviin tietokoneisiin.
Lokitiedoston luominen
Oletusarvon mukaan lokitiedosto on poistettu käytöstä, joten lokitiedostoon ei kirjoiteta tietoja. Voit luoda lokitiedoston painamalla "Win-näppäintä + R" avataksesi Suorita-ruudun. Kirjoita “wf.msc” ja paina Enter. Näyttöön tulee "Windowsin palomuuri ja kehittynyt suojaus" -näyttö. Napsauta näytön oikeassa reunassa Ominaisuudet.
Näyttöön tulee uusi valintaikkuna. Napsauta nyt "Private Profile" -välilehteä ja valitse "Customize" kohdassa "Logging Section".
Uusi ikkuna avautuu, ja tästä näytöstä voit valita maksimilokin koon, sijainnin ja kirjatakö vain pudotetut paketit, onnistunut yhteys tai molemmat. Pudotettu paketti on paketti, jonka Windowsin palomuuri on estänyt. Onnistunut yhteys tarkoittaa sekä saapuvia yhteyksiä että Internet-yhteyksiä, mutta se ei aina tarkoita, että tunkeilija on onnistuneesti yhteydessä tietokoneeseen.
Oletusarvon mukaan Windowsin palomuuri kirjoittaa lokimerkinnät % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
ja tallentaa vain viimeiset 4 Mt dataa. Useimmissa tuotantoympäristöissä tämä loki kirjoittaa jatkuvasti kiintolevyllesi, ja jos muutat lokitiedoston kokorajoitusta (kirjauduttaaksesi aktiviteetin pitkään aikaan), se voi aiheuttaa suorituskykyvaikutuksia. Tästä syystä sinun pitäisi ottaa kirjaus käyttöön vain, jos ongelman vianmääritys on aktiivista, ja estä lokitiedosto välittömästi, kun olet valmis.
Napsauta sitten "Julkinen profiili" -välilehteä ja toista samat vaiheet kuin "Yksityinen profiili" -välilehdellä. Olet nyt ottanut lokin käyttöön sekä yksityisille että julkisille verkkoyhteyksille. Lokitiedosto luodaan W3C-laajennetussa lokitiedostossa (.log), jota voit tutkia valitsemallasi tekstieditorilla tai tuoda ne laskentataulukkoon. Yksittäinen lokitiedosto voi sisältää tuhansia tekstinsyöttöjä, joten jos luet niitä Notepadin kautta, poista sanakääre käytöstä, jotta sarakkeen muotoilu säilyy. Jos tarkastelet lokitiedostoa laskentataulukossa, kaikki kentät näkyvät loogisesti sarakkeissa helpommaksi analysoimiseksi.
Selaa "Windowsin palomuuri Advanced Security" -näytössä alaspäin, kunnes näet "Seuranta" -linkin. Napsauta Tiedot-ruudussa ”Logging Settings” -kohdassa ”File Name” -kohdan vieressä olevaa tiedoston polkua..
Windowsin palomuurin lokin tulkinta
Windowsin palomuurin suojausloki sisältää kaksi osaa. Otsikko sisältää staattisen, kuvaavan tiedon lokin versiosta ja käytettävissä olevista kentistä. Lokin runko on koottu tieto, joka syötetään palomuurin ylittävän liikenteen seurauksena. Se on dynaaminen lista, ja uudet merkinnät näkyvät lokin alaosassa. Kentät kirjoitetaan sivulta vasemmalta oikealle. (-) -toimintoa käytetään, kun kenttää ei ole saatavilla.
Microsoft Technetin dokumentaation mukaan lokitiedoston otsikko sisältää:
Versio - Näyttää Windowsin palomuurin suojauslokin version.
Software - Näyttää lokin muodostavan ohjelmiston nimen.
Aika - Ilmaisee, että kaikki lokissa olevat aikaleiman tiedot ovat paikallista aikaa.
Kentät - Näyttää luettelon kentistä, jotka ovat käytettävissä suojauslokin merkinnöissä, jos tiedot ovat käytettävissä.
Kun lokitiedoston runko sisältää:
date - Päivämäärä-kenttä tunnistaa päivämäärän muodossa YYYY-MM-DD.
aika - Paikallinen aika näkyy lokitiedostossa muodossa HH: MM: SS. Tunnit viitataan 24 tunnin muodossa.
- Kun palomuuri käsittelee liikennettä, tietyt toiminnot tallennetaan. Kirjautuneet toiminnot ovat DROP yhteyden katkaisemiseksi, OPEN yhteyden avaamiseksi, CLOSE yhteyden sulkemiseksi, OPEN-INBOUND paikalliselle tietokoneelle avatulle istunnolle ja INFO-TAPAHTUMAT-LOST Windows-palomuurin käsittelemille tapahtumille, mutta ei ole tallennettu suojauslokiin.
protokolla - Käytettävä protokolla, kuten TCP, UDP tai ICMP.
src-ip - Näyttää lähde-IP-osoitteen (viestin muodostavan tietokoneen IP-osoite).
dst-ip - Näyttää yhteysyrityksen IP-osoitteen.
src-port - sen lähettävän tietokoneen portin numero, josta yhteys yritettiin.
dst-port - portti, johon lähettävä tietokone yritti muodostaa yhteyden.
size - Näyttää paketin koon tavuina.
tcpflags - TCP-otsikoissa olevat tiedot TCP-ohjauslippuista.
tcpsyn - Näyttää TCP-sarjanumeron paketissa.
tcpack - Näyttää TCP-kuittausnumeron paketissa.
tcpwin - Näyttää TCP-ikkunan koon tavuina paketissa.
icmptype - Tietoa ICMP-viestistä.
icmpcode - Tietoja ICMP-viestistä.
info - Näyttää merkinnän, joka riippuu tapahtuman tyypistä.
polku - Näyttää viestinnän suunnan. Käytettävissä olevat vaihtoehdot ovat SEND, RECEIVE, FORWARD ja UNKNOWN.
Kun huomaat, lokimerkintä on todellakin suuri ja siihen voi liittyä enintään 17 kutakin tapahtumaa koskevia tietoja. Kuitenkin vain ensimmäiset kahdeksan tietoa ovat tärkeitä yleisen analyysin kannalta. Kädessäsi olevat yksityiskohdat voit nyt analysoida tietoja haittaohjelmista tai virheenkorjauksista.
Jos epäilet mitään haitallista toimintaa, avaa lokitiedosto Notepadissa ja suodata kaikki lokimerkinnät DROP-toiminnolla kenttään ja huomaa, onko kohde-IP-osoite päättynyt muuhun kuin 255. Jos löydät monia tällaisia merkintöjä, ota sitten merkintä pakettien IP-osoitteista. Kun olet lopettanut ongelman vianmäärityksen, voit poistaa palomuurin kirjautumisen käytöstä.
Verkko-ongelmien vianmääritys voi olla ajoittain melko pelottavaa ja suositeltava hyvä käytäntö, kun Windowsin palomuurin vianmääritys on sallia alkuperäiset lokit. Vaikka Windowsin palomuurin lokitiedosto ei ole hyödyllinen verkon yleisen turvallisuuden analysoimiseksi, se on edelleen hyvä käytäntö, jos haluat seurata kulissien takana tapahtuvaa tapahtumista.