Kako pratiti aktivnost vatrozida pomoću dnevnika vatrozida za Windows
U procesu filtriranja internetskog prometa, svi vatrozidi imaju neku vrstu značajke zapisivanja koja dokumentira kako vatrozid upravlja raznim vrstama prometa. Ovi zapisi mogu pružiti vrijedne informacije kao što su izvorne i odredišne IP adrese, brojevi portova i protokoli. Za praćenje TCP i UDP veza i paketa koje blokira vatrozid možete koristiti i datoteku dnevnika vatrozida za Windows.
Zašto i kada je Firewall Logging korisno - Da biste provjerili rade li novo dodana pravila vatrozida ispravno ili ih ispravite ako ne rade kako je očekivano.
- Da biste utvrdili je li Vatrozid za Windows uzrok neuspjeha aplikacije - Pomoću značajke zapisivanja vatrozida možete provjeriti jesu li onemogućeni otvori portova, dinamički otvori portova, analizirati ispuštene pakete s push i hitnim zastavama te analizirati ispuštene pakete na putu.
- Pomoći i identificirati zlonamjerne aktivnosti - S značajkom zapisivanja vatrozida možete provjeriti pojavljuje li se bilo koja zlonamjerna aktivnost u vašoj mreži ili ne, iako morate zapamtiti da ona ne pruža informacije potrebne za pronalaženje izvora aktivnosti.
- Ako primijetite ponovljene neuspješne pokušaje pristupa vatrozidu i / ili drugim sustavima visokog profila s jedne IP adrese (ili grupe IP adresa), možda ćete htjeti napisati pravilo da biste ispustili sve veze s tog IP prostora (pazeći da IP adresa nije lažirana.
- Odlazne veze koje dolaze iz internih poslužitelja, kao što su web-poslužitelji, mogu biti pokazatelj da netko koristi vaš sustav za pokretanje napada na računala koja se nalaze na drugim mrežama.
Kako generirati datoteku zapisnika
Prema zadanim je postavkama datoteka dnevnika onemogućena, što znači da se u zapisničku datoteku ne upisuju informacije. Da biste stvorili zapisničku datoteku, pritisnite “Win key + R” da biste otvorili okvir Run. Upišite “wf.msc” i pritisnite Enter. Pojavljuje se zaslon "Windows Firewall s naprednom sigurnošću". Na desnoj strani zaslona kliknite "Svojstva".
Pojavit će se novi dijaloški okvir. Sada kliknite na karticu "Privatni profil" i odaberite "Prilagodi" u odjeljku "Zapisivanje".
Otvara se novi prozor i na tom zaslonu odabirete maksimalnu veličinu dnevnika, lokaciju i želite li prijaviti samo ispuštene pakete, uspješnu vezu ili oboje. Izostavljeni paket je paket koji je vatrozid za Windows blokirao. Uspješna veza odnosi se na dolazne veze kao i na sve veze koje ste ostvarili putem Interneta, ali to ne znači uvijek da je uljez uspješno povezan s vašim računalom.
Prema zadanim postavkama, Vatrozid za Windows piše unose u dnevnik % SystemRoot% \ System32 \ logfiles \ Firewall \ pfirewall.log
i pohranjuje samo posljednjih 4 MB podataka. U većini produkcijskih okruženja ovaj će dnevnik neprestano pisati na vaš tvrdi disk, a ako promijenite ograničenje veličine datoteke dnevnika (za prijavu aktivnosti tijekom dužeg vremenskog razdoblja), to može uzrokovati utjecaj na izvedbu. Iz tog razloga trebali biste omogućiti bilježenje samo kada aktivno rješavate problem i odmah onemogućavate zapisivanje kada završite.
Zatim kliknite karticu "Javni profil" i ponovite iste korake koje ste učinili za karticu "Privatni profil". Sada ste uključili dnevnik za privatne i javne mrežne veze. Datoteka dnevnika će se stvoriti u W3C formatu proširenog dnevnika (.log) koji možete pregledati s uređivačem teksta po vlastitom izboru ili uvesti u proračunsku tablicu. Jedna datoteka dnevnika može sadržavati tisuće unosa teksta, pa ako ih čitate kroz Notepad, onemogućite omatanje riječi da biste sačuvali oblikovanje stupaca. Ako pregledavate datoteku dnevnika u proračunskoj tablici, sva će polja biti logično prikazana u stupcima radi lakše analize.
Na glavnom zaslonu "Vatrozid za Windows s naprednom sigurnošću" pomaknite se prema dolje dok ne vidite vezu "Nadzor". U oknu s detaljima, u odjeljku "Postavke bilježenja" kliknite put datoteke pored "Naziv datoteke". Dnevnik se otvara u Notepadu.
Tumačenje dnevnika vatrozida za Windows
Dnevnik sigurnosti vatrozida sustava Windows sadrži dva odjeljka. Zaglavlje sadrži statične, opisne informacije o verziji dnevnika i polja koja su dostupna. Tijelo dnevnika su kompilirani podaci koji se unose kao rezultat prometa koji pokušava preći vatrozid. To je dinamički popis, a novi se unosi pojavljuju na dnu dnevnika. Polja se pišu slijeva nadesno preko stranice. (-) se koristi kada nema dostupnog unosa za polje.
Prema dokumentaciji tvrtke Microsoft Technet zaglavlje datoteke dnevnika sadrži:
Verzija - prikazuje koja je verzija sigurnosnog zapisnika za Windows vatrozid instalirana.
Softver - prikazuje naziv softvera koji stvara zapisnik.
Vrijeme - Označava da su sve informacije vremenskih oznaka u zapisniku u lokalnom vremenu.
Polja - prikazuje popis polja koja su dostupna za unose sigurnosnog zapisnika, ako su podaci dostupni.
Dok tijelo datoteke dnevnika sadrži:
date - polje datuma označava datum u obliku YYYY-MM-DD.
time - Lokalno vrijeme se prikazuje u datoteci dnevnika koristeći format HH: MM: SS. Sati se navode u 24-satnom formatu.
action - Kako vatrozid obrađuje promet, određene su akcije zabilježene. Prijavljene akcije su DROP za ispuštanje veze, OPEN za otvaranje veze, CLOSE za zatvaranje veze, OPEN-INBOUND za ulaznu sesiju otvorenu za lokalno računalo, i INFO-EVENTS-LOST za događaje koje obrađuje Windows Firewall, ali nisu zabilježeni u sigurnosnom zapisniku.
protokol - protokol koji se koristi kao TCP, UDP ili ICMP.
src-ip - prikazuje izvornu IP adresu (IP adresu računala koje pokušava uspostaviti komunikaciju).
dst-ip - prikazuje odredišnu IP adresu pokušaja povezivanja.
src-port - broj porta na računalu za slanje s kojeg je pokušana veza.
dst-port - priključak na koji je računalo za slanje pokušavalo uspostaviti vezu.
size - Prikazuje veličinu paketa u bajtovima.
tcpflags - Informacije o TCP kontrolnim zastavama u TCP zaglavljima.
tcpsyn - Prikazuje TCP redni broj u paketu.
tcpack - Prikazuje broj TCP potvrde u paketu.
tcpwin - Prikazuje veličinu TCP prozora, u bajtovima, u paketu.
icmptype - Informacije o ICMP porukama.
icmpcode - Informacije o ICMP porukama.
info - Prikazuje unos koji ovisi o vrsti akcije koja se dogodila.
put - prikazuje smjer komunikacije. Dostupne opcije su SEND, RECEIVE, FORWARD i UNKNOWN.
Kao što ste primijetili, unos dnevnika je doista velik i može imati do 17 informacija povezanih sa svakim događajem. Međutim, samo su prvih osam informacija važne za opću analizu. Uz detalje u ruci sada možete analizirati informacije za zlonamjerne aktivnosti ili otklanjanje pogrešaka u aplikacijama.
Ako sumnjate na zlonamjernu aktivnost, otvorite datoteku dnevnika u programu Notepad i filtrirajte sve unose dnevnika s DROP-om u polje za radnju i zabilježite završava li IP adresa odredišta s brojem koji nije 255. bilješku o odredišnim IP adresama paketa. Nakon što riješite problem, možete onemogućiti zapisivanje u vatrozid.
Rješavanje problema s mrežom ponekad može biti zastrašujuće i preporučena dobra praksa pri rješavanju problema s Windows vatrozidom je omogućavanje izvornih zapisa. Iako datoteka dnevnika vatrozida za Windows nije korisna za analizu ukupne sigurnosti vaše mreže, ona i dalje ostaje dobra praksa ako želite pratiti što se događa iza kulisa.