Как да следите активността на защитната стена с журнала на защитната стена на Windows
В процеса на филтриране на интернет трафика, всички защитни стени имат някаква функция за регистриране, която документира как защитната стена обработва различни видове трафик. Тези журнали могат да предоставят ценна информация като IP адреси на източници и дестинации, номера на портове и протоколи. Можете също да използвате регистрационния файл на защитната стена на Windows, за да наблюдавате TCP и UDP връзки и пакети, които са блокирани от защитната стена.
Защо и когато регистрацията на защитната стена е полезна - За да проверите дали новите правила за защитната стена работят правилно или ги отстранявате, ако не работят според очакванията.
- За да определите дали защитната стена на Windows е причината за неуспешни приложения - С функцията за регистриране на защитната стена можете да проверите за отключени отворени портове, динамични отвори на портове, да анализирате изпуснатите пакети с флагчета за push и urgent и да анализирате пакетите по пътя.
- За да помогнете и идентифицирате злонамерена дейност - С функцията за регистриране на защитната стена можете да проверите дали в мрежата ви се извършва злонамерена активност или не, въпреки че трябва да помните, че тя не предоставя необходимата информация за проследяване на източника на дейността.
- Ако забележите повтарящи се неуспешни опити за достъп до защитната стена и / или други високопрофилни системи от един IP адрес (или група IP адреси), тогава може да искате да напишете правило, за да премахнете всички връзки от това IP пространство (като се уверите, че IP адресът не се фалшифицира).
- Изходящите връзки, идващи от вътрешни сървъри, като например уеб сървъри, може да са индикация, че някой използва системата ви за стартиране на атаки срещу компютри, разположени в други мрежи.
Как да генерираме регистрационния файл
По подразбиране лог файлът е деактивиран, което означава, че в дневника не се записва информация. За да създадете регистрационен файл, натиснете “Win + R”, за да отворите полето Run. Въведете “wf.msc” и натиснете Enter. Появява се екранът “Защитна стена на Windows с разширена защита”. В дясната част на екрана кликнете върху „Свойства“.
Появява се нов диалогов прозорец. Сега кликнете върху раздела „Private Profile“ и изберете „Customize“ в секцията „Logging“.
Отваря се нов прозорец и от този екран избирате максималния размер на лога, местоположението и дали да регистрирате само изпуснати пакети, успешна връзка или и двете. Изпуснат пакет е пакет, който е блокиран от защитната стена на Windows. Успешното свързване се отнася както за входящите връзки, така и за връзките, които сте направили по интернет, но не винаги означава, че нарушителят е свързан успешно с компютъра ви.
По подразбиране защитната стена на Windows записва записи в дневника % SystemRoot% \ System32 \ логове \ Firewall \ Pfirewall.log
и съхранява само последните 4 MB данни. В повечето производствени среди този дневник постоянно ще записва на вашия твърд диск и ако промените ограничението на размера на лог файла (за да регистрирате дейността си за дълъг период от време), то може да доведе до въздействие върху производителността. Поради тази причина трябва да активирате самото регистриране, когато активно отстранявате проблема и след това незабавно да забраните регистрирането, когато сте готови.
След това кликнете върху раздела „Публичен профил“ и повторете стъпките, които сте направили за раздела „Личен профил“. Вече сте включили дневника за частни и обществени мрежови връзки. Регистрационният файл ще бъде създаден в разширен W3C формат (.log), който можете да разглеждате с текстов редактор по ваш избор или да ги импортирате в електронна таблица. Единият регистрационен файл може да съдържа хиляди текстови записи, така че ако ги четете през Notepad, деактивирайте пренасянето на думи, за да запазите форматирането на колоните. Ако разглеждате регистрационния файл в електронна таблица, всички полета ще бъдат логически показани в колони за по-лесен анализ.
На главния екран “Защитна стена на Windows с разширена защита” превъртете надолу, докато видите връзката “Наблюдение”. В прозореца с подробни данни в „Настройки за регистриране“ кликнете върху пътя на файла до „Име на файла“. Дневникът се отваря в Notepad.
Интерпретиране на журнала на защитната стена на Windows
Регистърът на защитната стена на Windows съдържа две секции. Заглавната част предоставя статична, описателна информация за версията на дневника и наличните полета. Тялото на журнала е компилираните данни, които се въвеждат в резултат на трафик, който се опитва да пресече защитната стена. Това е динамичен списък и в долната част на дневника продължават да се появяват нови записи. Полетата се записват отляво надясно по страницата. (-) се използва, когато за полето няма достъп.
Съгласно документацията на Microsoft Technet заглавието на дневника съдържа:
Версия - Показва коя версия на защитната стена на Windows е инсталирана.
Софтуер - Показва името на софтуера, създаващ дневника.
Time (Време) - Показва, че цялата информация за времевата маркировка в регистъра е в местно време.
Полета - показва списък с полета, които са налични за записите в регистъра на сигурността, ако има налични данни.
Докато тялото на регистрационния файл съдържа:
date - Полето за дата идентифицира датата във формат YYYY-MM-DD.
time - Местното време се показва в регистрационния файл, използвайки формата HH: MM: SS. Часовете се посочват в 24-часов формат.
action - Когато защитната стена обработва трафика, се записват определени действия. Регистрираните действия са DROP за отпадане на връзка, OPEN за отваряне на връзка, CLOSE за затваряне на връзка, OPEN-INBOUND за входяща сесия, отворена към локалния компютър, и INFO-EVENTS-LOST за събития, обработени от защитната стена на Windows, но не са записани в регистъра на сигурността.
протокол - използваният протокол, като TCP, UDP или ICMP.
src-ip - Показва IP адреса на източника (IP адреса на компютъра, който се опитва да установи комуникация).
dst-ip - Показва IP адреса на целта за опит за свързване.
src-port - номерът на порта на изпращащия компютър, от който е направена опит за свързване.
dst-port - портът, към който изпращащият компютър се опитва да осъществи връзка.
size - Показва размера на пакета в байтове.
tcpflags - Информация за контролните флагове на TCP в заглавките на TCP.
tcpsyn - Показва поредния номер на TCP в пакета.
tcpack - Показва номера на TCP потвърждението в пакета.
tcpwin - Показва размера на прозореца на TCP в байтове в пакета.
icmptype - Информация за ICMP съобщенията.
icmpcode - Информация за ICMP съобщенията.
info - Показва запис, който зависи от вида на действието, което е станало.
path - Показва посоката на комуникацията. Наличните опции са SEND, RECEIVE, FORWARD и UNKNOWN.
Както забелязвате, записът в дневника е наистина голям и може да има до 17 части информация, свързана с всяко събитие. Въпреки това, само първите осем части от информацията са важни за общия анализ. С детайлите в ръката си сега можете да анализирате информацията за злонамерени действия или грешки в приложенията за отстраняване на грешки.
Ако подозирате някаква злонамерена активност, отворете регистрационния файл в Notepad и филтрирайте всички записи в дневника с DROP в полето за действие и отбележете дали IP адресът на местоназначението завършва с номер, различен от 255. Ако намерите много такива записи, вземете бележка за IP адресите на пакетите. След като приключите с отстраняването на проблема, можете да забраните регистрирането на защитната стена.
Отстраняването на проблеми в мрежата може да бъде доста обезсърчаващо в някои моменти и препоръчителна добра практика при отстраняване на неизправности в защитната стена на Windows, за да се активират собствените журнали. Въпреки че файлът на журнала на защитната стена на Windows не е полезен за анализиране на цялостната сигурност на вашата мрежа, той все още остава добра практика, ако искате да наблюдавате какво се случва зад кулисите..