If-Koubou

Как да проследявате активността на защитната стена с регистрационния файл на защитната стена на Windows

Как да проследявате активността на защитната стена с регистрационния файл на защитната стена на Windows (Как да)

В процеса на филтриране на интернет трафика, всички защитни стени имат някаква функция за регистриране, която документира как защитната стена обработва различни типове трафик. Тези регистрационни файлове могат да предоставят ценна информация като IP адресите на източника и дестинацията, номерата на портовете и протоколите. Можете също да използвате журналния файл на защитната стена на Windows, за да наблюдавате TCP и UDP връзките и пакетите, блокирани от защитната стена.

Защо и когато Записът в защитната стена е полезен
  1. За да проверите дали новите правила за защитна стена са добавени правилно или да ги отстраните, ако не работят както се очаква.
  2. За да определите дали защитната стена на Windows е причина за неуспехите на приложенията - С функцията за затваряне на защитната стена можете да проверявате за отваряне на отвори на портове, динамични отвори на портове, да анализирате изпуснати пакети с натискане и спешни флагове и да анализирате изтеглените пакети по маршрута на изпращане.
  3. За да помогнете и да идентифицирате злонамерена дейност - С функцията за затваряне на защитната стена можете да проверите дали в мрежата ви има злонамерена дейност или не, въпреки че трябва да помните, че тя не предоставя информацията, необходима за проследяване на източника на активността.
  4. Ако забележите повтарящи се неуспешни опити за достъп до вашата защитна стена и / или други високопрофилни системи от един IP адрес (или група от IP адреси), тогава може да искате да напишете правило, за да изпуснете всички връзки от това IP пространство (като се уверите, че IP адресът не се фалшифицира).
  5. Изходящите връзки, идващи от вътрешни сървъри, като уеб сървъри, може да са индикация, че някой използва вашата система за стартиране на атаки срещу компютри, намиращи се в други мрежи.

Как да генерирате дневника

По подразбиране регистрационният файл е деактивиран, което означава, че към дневника не е записана информация. За да създадете лог файл натиснете "Win клавиш + R", за да отворите полето Run. Напишете "wf.msc" и натиснете Enter. Появява се екранът "Защитна стена на Windows с разширена защита". От дясната страна на екрана кликнете върху "Свойства".

Появява се нов диалогов прозорец. Сега кликнете върху раздела "Личен профил" и изберете "Персонализиране" в раздела "Записване".

Отваря се нов прозорец и от този екран изберете максималния размер на журнала, местоположението му и дали да се регистрират само отпадащи пакети, успешна връзка или и двете. Изпуснатият пакет е пакет, който защитната стена на Windows е блокирала. Успешната връзка се отнася както до входящите връзки, така и до всяка връзка, която сте направили по интернет, но не винаги означава, че нарушител успешно е свързан към вашия компютър.

По подразбиране защитната стена на Windows записва записите в дневника до % SystemRoot% \ System32 \ логове \ Firewall \ Pfirewall.log и съхранява само последните 4 MB данни. В повечето производствени среди този дневник непрекъснато записва на твърдия ви диск и ако промените ограничението за размера на журналния файл (за да регистрирате активността за дълъг период от време), това може да доведе до въздействие върху производителността. Поради тази причина трябва да активирате регистрацията само когато активно отстранявате проблем и след това незабавно да деактивирате регистрацията, когато сте готови.

След това кликнете върху раздела "Обществен профил" и повторете същите стъпки, които сте направили за раздела "Частен профил". Сега сте включили журнала както за частни, така и за обществени мрежови връзки. Днешният файл ще бъде създаден в разширен формат на журнала W3C (.log), който можете да прегледате с текстов редактор по ваш избор или да ги импортирате в електронна таблица. Единият лог файл може да съдържа хиляди записи на текст, така че ако ги четете в Notepad, деактивирайте обвиването на думите, за да запазите форматирането на колоните. Ако преглеждате регистрационния файл в електронна таблица, всички полета ще се показват логически в колони за по-лесен анализ.

На основния екран "Защитна стена на Windows с разширена защита" превъртете надолу, докато не видите връзката "Мониторинг". В екрана "Данни" в "Настройки за регистриране" кликнете върху пътя до файла до "Име на файла". Отчетът се отваря в Notepad.

Интерпретиране на журнала на защитната стена на Windows

Записите за защита на защитната стена на Windows съдържат две секции. В заглавката се предоставя статична, описателна информация за версията на дневника и наличните полета. Тялото на дневника е компилираните данни, въведени в резултат на трафик, който се опитва да премине защитната стена. Това е динамичен списък и нови записи продължават да се появяват в долната част на дневника. Полетата са написани отляво надясно в страницата. (-) се използва, когато няма поле за поле.

Според документацията на Microsoft Techet, заглавката на дневника съдържа:

Версия - Показва коя версия на регистрационния файл за защита на защитната стена на Windows е инсталирана.
Софтуер - Показва името на софтуера, създаващ дневника.
Време - Показва, че цялата информация за времето за дата в дневника е в местно време.
Полета - Показва списък с полетата, които са налице за записи в регистрационните файлове за сигурност, ако има налични данни.

Докато тялото на дневника съдържа:

дата - полето за дата идентифицира датата във формат YYYY-MM-DD.
време - Местното време се показва в журналния файл, използвайки формата HH: MM: SS. Часовете се посочват в 24-часов формат.
действие - Тъй като защитната стена обработва трафика, се записват определени действия. Записаните действия са DROP за отпадане на връзка, ОТВОРЕНО за отваряне на връзка, ЗАТВОРЕНО за затваряне на връзка, ОТВОРЕНО ВЪВЕДЕНИЕ за входяща сесия, отворена за локалния компютър и INFO-EVENTS-LOST за събития, обработени от защитната стена на Windows, но не са били записани в дневника за защита.
протокол - Протоколът, използван като TCP, UDP или ICMP.
src-ip - Показва IP адреса на източника (IP адреса на компютъра, опитващ се да осъществи комуникация).
dst-ip - Показва целевия IP адрес на опит за свързване.
src-port - номерът на порт на изпращащия компютър, от който е опитна връзката.
dst-port - Портът, към който изпращащият компютър се опитва да осъществи връзка.
размер - Показва размера на пакета в байтове.
tcpflags - Информация за TCP контролните флагове в TCP заглавията.
tcpsyn - Показва номера на TCP последователността в пакета.
tcpack - Показва номера за потвърждаване на TCP в пакета.
tcpwin - Показва размера на TCP прозореца, в байтове, в пакета.
icmptype - Информация за ICMP съобщенията.
icmpcode - Информация за ICMP съобщенията.
info - Показва запис, който зависи от вида на извършеното действие.
път - Показва посоката на комуникацията. Наличните опции са ИЗПРАЩАНЕ, ПОЛУЧАВАНЕ, ПРЕКРАТЯВАНЕ и НЕОБХОДИМО.

Както забележите, регистрационният запис е наистина голям и може да съдържа до 17 броя информация, свързана с всяко събитие. Обаче само първите осем части от информацията са важни за общия анализ. С детайлите в ръката си можете да анализирате информацията за злонамерени действия или грешки при отстраняване на грешки.

Ако подозирате, че е налице злонамерена дейност, отворете регистрационния файл в Notepad и филтрирайте всички записи в дневника с DROP в полето за действие и отбележете дали целевият IP адрес завършва с номер, различен от 255. Ако намерите много такива записи, бележка за целевите IP адреси на пакетите. След като приключите с отстраняването на проблема, можете да деактивирате регистрацията на защитната стена.

Отстраняването на проблеми с мрежата може да бъде доста обезсърчително понякога и препоръчителна добра практика при отстраняването на неизправности в защитната стена на Windows е да активирате родния регистрационен файл. Въпреки че журналът на защитната стена на Windows не е полезен за анализиране на общата сигурност на вашата мрежа, тя все още остава добра практика, ако искате да наблюдавате какво се случва зад кулисите.