Slik sporer du brannmuraktivitet med Windows-brannmurloggen
I prosessen med å filtrere Internett-trafikk har alle brannmurer noen form for loggfunksjon som dokumenterer hvordan brannmuren håndterer ulike typer trafikk. Disse loggene kan gi verdifull informasjon som kilde- og destinasjons-IP-adresser, portnumre og protokoller. Du kan også bruke loggfilen for Windows-brannmur til å overvåke TCP- og UDP-tilkoblinger og pakker som er blokkert av brannmuren.
Hvorfor og når brannmurlogging er nyttig - For å verifisere om nylig lagt til brannmurregler fungerer riktig eller for å feilsøke dem hvis de ikke fungerer som forventet.
- For å avgjøre om Windows-brannmur er årsaken til programfeil - Ved hjelp av brannmurloggingsfunksjonen kan du sjekke om deaktiverte portåpninger, dynamiske portåpninger, analyserer falt pakker med push og presserende flagg og analyser falt pakker på sendebanen.
- For å hjelpe og identifisere skadelig aktivitet - Ved hjelp av funksjonen for brannmurlogging kan du sjekke om skadelig aktivitet forekommer i nettverket ditt eller ikke, selv om du må huske det ikke gir informasjonen som trengs for å spore opp kilden til aktiviteten.
- Hvis du oppdager gjentatte mislykkede forsøk på å få tilgang til brannmuren og / eller andre høyprofilerte systemer fra en IP-adresse (eller gruppe av IP-adresser), vil du kanskje skrive en regel for å slette alle tilkoblinger fra det IP-området (sørg for at IP-adressen blir ikke spoofed).
- Utgående forbindelser som kommer fra interne servere som webservere kan være en indikasjon på at noen bruker systemet ditt til å starte angrep mot datamaskiner som ligger på andre nettverk.
Slik genererer du loggfilen
Som standard er loggfilen deaktivert, noe som betyr at ingen informasjon er skrevet til loggfilen. For å opprette en loggfil trykk "Win key + R" for å åpne Run-boksen. Skriv "wf.msc" og trykk Enter. Skjermbildet "Windows Brannmur med avansert sikkerhet" vises. På høyre side av skjermen klikker du på "Egenskaper".
En ny dialogboks vises. Klikk nå på "Privat profil" -fanen og velg "Tilpass" i "Logging Section".
Et nytt vindu åpnes og fra det skjermbildet velger du maksimal loggstørrelse, plassering, og om du bare logger på pakkene, vellykket tilkobling eller begge deler. En tapt pakke er en pakke som Windows-brannmur har blokkert. En vellykket forbindelse refererer både til innkommende tilkoblinger og til enhver forbindelse du har gjort over Internett, men det betyr ikke alltid at en inntrenger har koblet seg til datamaskinen din.
Som standard skriver Windows-brannmur innloggingsoppføringer til % Systemroot% \ System32 \ LogFiles \ brannmur \ Pfirewall.log
og lagrer bare de siste 4 MB dataene. I de fleste produksjonsmiljøer vil denne loggen kontinuerlig skrive til harddisken din, og hvis du endrer størrelsesgrensen for loggfilen (for å logge aktivitet over en lengre periode), kan det føre til en ytelsespåvirkning. Av denne grunn bør du bare aktivere logging når du aktivt feilsøker et problem og deretter deaktivere logging umiddelbart når du er ferdig.
Deretter klikker du kategorien "Offentlig profil" og gjentar de samme trinnene du gjorde for "Privat profil" -fanen. Du har nå slått på loggen for både private og offentlige nettverkstilkoblinger. Logfilen blir opprettet i et W3C utvidet loggformat (.log) som du kan undersøke med et tekstredigeringsprogram du ønsker, eller importerer dem til et regneark. En enkelt loggfil kan inneholde tusenvis av tekstoppføringer, så hvis du leser dem gjennom Notisblokk, må du deaktivere ordinnpakning for å bevare kolonnformatering. Hvis du ser loggfilen i et regneark, vises alle felter logisk i kolonner for enklere analyse.
På hovedskjermbildet "Windows-brannmur med avansert sikkerhet", rull ned til du ser koblingen "Overvåking". I detaljruten, under "Logg innstillinger", klikker du på filbanen ved siden av "Filnavn". Loggen åpnes i Notisblokk.
Tolkning av Windows-brannmurloggen
Sikkerhetsloggen for Windows-brannmuren inneholder to seksjoner. Overskriften gir statisk, beskrivende informasjon om versjonen av loggen og feltene som er tilgjengelige. Kroppen til loggen er kompilerte data som er angitt som følge av trafikk som prøver å krysse brannmuren. Det er en dynamisk liste, og nye oppføringer vises fortsatt nederst i loggen. Feltene er skrevet fra venstre til høyre over siden. (-) brukes når det ikke er noen oppføring tilgjengelig for feltet.
I følge Microsoft Technet-dokumentasjonen inneholder overskriften til loggfilen:
Versjon - Viser hvilken versjon av sikkerhetsloggen for Windows-brannmur som er installert.
Programvare - Viser navnet på programvaren som lager loggen.
Tid - Indikerer at all tidsstempelinformasjon i loggen er i lokal tid.
Felt - Viser en liste over felt som er tilgjengelige for sikkerhetsloggoppføringer, hvis data er tilgjengelig.
Mens kroppens loggfil inneholder:
dato - Datafeltet identifiserer datoen i formatet ÅÅÅÅ-MM-DD.
tid - Lokal tid vises i loggfilen ved hjelp av formatet HH: MM: SS. Timene refereres i 24-timers format.
handling - Når brannmuren behandler trafikk, registreres visse handlinger. De loggede handlingene er DROP for å slippe en tilkobling, ÅPEN for å åpne en tilkobling, LUKK for å lukke en tilkobling, ÅPEN-INBOUND for en innkommende økt som er åpnet for den lokale datamaskinen, og INFO-EVENTS-LOST for hendelser behandlet av Windows-brannmuren, men ble ikke registrert i sikkerhetsloggen.
protokoll - protokollen brukes som TCP, UDP eller ICMP.
src-ip - Viser kildens IP-adresse (IP-adressen til datamaskinen som forsøker å etablere kommunikasjon).
dst-ip - Viser destinasjons-IP-adressen til et tilkoblingsforsøk.
src-port - portnummeret på sendingsdatamaskinen der forbindelsen ble forsøkt.
dst-port - Porten som sendte datamaskinen forsøkte å koble til.
størrelse - Viser pakkestørrelse i byte.
tcpflags - Informasjon om TCP kontroll flagg i TCP headers.
tcpsyn - Viser TCP-sekvensnummeret i pakken.
tcpack - Viser TCP-bekreftelsesnummeret i pakken.
tcpwin - Viser TCP-vinduets størrelse, i byte, i pakken.
icmptype - Informasjon om ICMP-meldingene.
icmpcode - Informasjon om ICMP-meldingene.
info - Viser en oppføring som avhenger av hvilken type handling som skjedde.
bane - Viser retningen til kommunikasjonen. Alternativene som er tilgjengelige, er SEND, MOTTAG, FORWARD og IKKE kjent.
Som du legger merke til, er logginngangen virkelig stor og kan ha opptil 17 stykker informasjon knyttet til hver hendelse. Imidlertid er bare de første åtte delene av informasjon viktig for generell analyse. Med detaljene i hånden din kan du nå analysere informasjonen for skadelig aktivitet eller feilsøke programfeil.
Hvis du mistenker noen ondsinnet aktivitet, åpner du loggfilen i Notisblokk og filtrerer alle loggoppføringene med DROP i handlingsfeltet og merker om destinasjons-IP-adressen slutter med et annet tall enn 255. Hvis du finner mange slike oppføringer, så ta et notat av pakkens mål-IP-adresser. Når du er ferdig med å feilsøke problemet, kan du deaktivere brannmurloggen.
Feilsøking av nettverksproblemer kan være ganske skremmende til tider og en anbefalt god praksis når feilsøking av Windows-brannmur er å aktivere de innfødte loggene. Selv om loggfilen for Windows-brannmur ikke er nyttig for å analysere den generelle sikkerheten til nettverket, er det fortsatt en god praksis hvis du vil overvåke hva som skjer bak kulissene.