Cum să urmăriți activitatea paravanului de protecție cu jurnalul paravanului de protecție Windows

În procesul de filtrare a traficului pe Internet, toate firewall-urile au un anumit tip de caracteristică de înregistrare care documentează modul în care firewall-ul a gestionat diferite tipuri de trafic. Aceste jurnale pot oferi informații valoroase, cum ar fi adrese IP sursă și destinație, numere de porturi și protocoale. De asemenea, puteți utiliza fișierul jurnal Windows Firewall pentru a monitoriza conexiunile TCP și UDP și pachetele care sunt blocate de firewall.

De ce și când este utilă înregistrarea în firewall

1. Pentru a verifica dacă regulile de firewall nou adăugate funcționează corect sau pentru a le depana dacă nu funcționează conform așteptărilor.
2. Pentru a determina dacă Windows Firewall este cauza eșecurilor aplicației — Cu caracteristica de înregistrare Firewall puteți verifica deschiderile de porturi dezactivate, deschiderile de porturi dinamice, analizați pachetele abandonate cu semnale push și urgent și analizați pachetele abandonate pe calea de trimitere.
3. Pentru a ajuta și a identifica activitățile rău intenționate — Cu caracteristica de înregistrare Firewall puteți verifica dacă are loc sau nu vreo activitate rău intenționată în rețeaua dvs., deși trebuie să vă amintiți că nu oferă informațiile necesare pentru a identifica sursa activității.
4. Dacă observați încercări nereușite repetate de a accesa firewall-ul și/sau alte sisteme de profil înalt de la o adresă IP (sau un grup de adrese IP), atunci este posibil să doriți să scrieți o regulă pentru a elimina toate conexiunile din acel spațiu IP (asigurându-vă că Adresa IP nu este falsificată).
5. Conexiunile de ieșire care provin de la servere interne, cum ar fi serverele Web, ar putea fi un indiciu că cineva vă folosește sistemul pentru a lansa atacuri împotriva computerelor situate în alte rețele.

Cum se generează fișierul jurnal

În mod implicit, fișierul jurnal este dezactivat, ceea ce înseamnă că nu este scrisă nicio informație în fișierul jurnal. Pentru a crea un fișier jurnal, apăsați „Tasta Win + R” pentru a deschide caseta Run. Tastați „wf.msc” și apăsați Enter. Apare ecranul „Paravan de protecție Windows cu securitate avansată”. În partea dreaptă a ecranului, faceți clic pe „Proprietăți”.

Apare o nouă casetă de dialog. Acum faceți clic pe fila „Profil privat” și selectați „Personalizați” în „Secțiunea de înregistrare”.

Se deschide o nouă fereastră și din acel ecran alegeți dimensiunea maximă a jurnalului, locația și dacă să înregistrați numai pachetele abandonate, conexiunea reușită sau ambele. Un pachet scăpat este un pachet pe care Paravanul de protecție Windows l-a blocat. O conexiune reușită se referă atât la conexiunile de intrare, cât și la orice conexiune pe care ați făcut-o prin Internet, dar nu înseamnă întotdeauna că un intrus s-a conectat cu succes la computerul dvs.

În mod implicit, Windows Firewall scrie intrări de jurnal în %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log și stochează doar ultimii 4 MB de date. În majoritatea mediilor de producție, acest jurnal va scrie în mod constant pe hard disk, iar dacă modificați limita de dimensiune a fișierului jurnal (pentru a înregistra activitatea pe o perioadă lungă de timp), atunci poate cauza un impact asupra performanței. Din acest motiv, ar trebui să activați înregistrarea numai când depanați în mod activ o problemă și apoi să dezactivați imediat înregistrarea când ați terminat.

Apoi, faceți clic pe fila „Profil public” și repetați aceiași pași pe care i-ați făcut pentru fila „Profil privat”. Acum ați activat jurnalul atât pentru conexiunile de rețea private, cât și pentru cele publice. Fișierul jurnal va fi creat într-un format de jurnal extins W3C (.log) pe care îl puteți examina cu un editor de text la alegere sau îl puteți importa într-o foaie de calcul. Un singur fișier jurnal poate conține mii de intrări de text, așa că, dacă le citiți prin Notepad, dezactivați împachetarea cuvintelor pentru a păstra formatarea coloanei. Dacă vizualizați fișierul jurnal într-o foaie de calcul, atunci toate câmpurile vor fi afișate logic în coloane pentru o analiză mai ușoară.

Pe ecranul principal „Paravan de protecție Windows cu securitate avansată”, derulați în jos până când vedeți linkul „Monitorizare”. În panoul Detalii, sub „Setări de înregistrare”, faceți clic pe calea fișierului de lângă „Nume fișier”. Jurnalul se deschide în Notepad.

Interpretarea jurnalului Windows Firewall

Jurnalul de securitate Windows Firewall conține două secțiuni. Antetul oferă informații statice, descriptive despre versiunea jurnalului și câmpurile disponibile. Corpul jurnalului este datele compilate care sunt introduse ca urmare a traficului care încearcă să traverseze firewall-ul. Este o listă dinamică, iar intrările noi continuă să apară în partea de jos a jurnalului. Câmpurile sunt scrise de la stânga la dreapta pe pagină. (-) este folosit atunci când nu există nicio intrare disponibilă pentru câmp.

Conform documentației Microsoft Technet, antetul fișierului jurnal conține:

Versiune — Afișează ce versiune a jurnalului de securitate Windows Firewall este instalată.
Software — Afișează numele software-ului care creează jurnalul.
Ora — Indică faptul că toate informațiile de marcare temporală din jurnal sunt la ora locală.
Câmpuri — Afișează o listă de câmpuri care sunt disponibile pentru intrările din jurnalul de securitate, dacă sunt disponibile date.

În timp ce corpul fișierului jurnal conține:

data — Câmpul pentru dată identifică data în formatul AAAA-LL-ZZ.
time — Ora locală este afișată în fișierul jurnal folosind formatul HH:MM:SS. Orele sunt menționate în format de 24 de ore.
acțiune — Pe măsură ce firewall-ul procesează traficul, anumite acțiuni sunt înregistrate. Acțiunile înregistrate sunt DROP pentru întreruperea unei conexiuni, OPEN pentru deschiderea unei conexiuni, CLOSE pentru închiderea unei conexiuni, OPEN-INBOUND pentru o sesiune de intrare deschisă pe computerul local și INFO-EVENTS-LOST pentru evenimentele procesate de paravanul de protecție Windows, dar nu au fost înregistrate în jurnalul de securitate.
protocol — Protocolul utilizat, cum ar fi TCP, UDP sau ICMP.
src-ip — Afișează adresa IP sursă (adresa IP a computerului care încearcă să stabilească comunicarea).
dst-ip — Afișează adresa IP de destinație a unei încercări de conectare.
src-port — Numărul portului de pe computerul expeditor de la care s-a încercat conexiunea.
dst-port — Portul la care computerul expeditor încerca să facă o conexiune.
dimensiune — Afișează dimensiunea pachetului în octeți.
tcpflags — Informații despre steagurile de control TCP din anteturile TCP.
tcpsyn — Afișează numărul de secvență TCP din pachet.
tcpack — Afișează numărul de confirmare TCP din pachet.
tcpwin — Afișează dimensiunea ferestrei TCP, în octeți, în pachet.
icmptype — Informații despre mesajele ICMP.
icmpcode — Informații despre mesajele ICMP.
info — Afișează o intrare care depinde de tipul de acțiune care a avut loc.
cale — Afișează direcția comunicării. Opțiunile disponibile sunt SEND, RECEIVE, FORWARD și UNKNOWN.

După cum observați, intrarea în jurnal este într-adevăr mare și poate avea până la 17 informații asociate fiecărui eveniment. Cu toate acestea, doar primele opt informații sunt importante pentru analiza generală. Cu detaliile în mână, acum puteți analiza informațiile pentru activități rău intenționate sau depanați erori ale aplicației.

Dacă bănuiți orice activitate rău intenționată, deschideți fișierul jurnal în Notepad și filtrați toate intrările de jurnal cu DROP în câmpul de acțiune și observați dacă adresa IP de destinație se termină cu un număr diferit de 255. Dacă găsiți multe astfel de intrări, atunci luați o notă a adreselor IP de destinație ale pachetelor. După ce ați terminat de depanat problema, puteți dezactiva înregistrarea firewall-ului.

Depanarea problemelor de rețea poate fi uneori destul de descurajantă și o practică bună recomandată atunci când depanați Windows Firewall este activarea jurnalelor native. Deși fișierul jurnal Windows Firewall nu este util pentru analiza securității generale a rețelei dvs., rămâne totuși o practică bună dacă doriți să monitorizați ceea ce se întâmplă în culise.