Sådan sporer Firewall-aktivitet med Windows Firewall Log
I processen med at filtrere internettrafik har alle firewalls en form for logfunktion, der dokumenterer, hvordan firewall håndterer forskellige typer trafik. Disse logfiler kan give værdifuld information som kilde- og destinations-IP-adresser, portnumre og protokoller. Du kan også bruge logfilen til Windows Firewall til at overvåge TCP- og UDP-forbindelser og pakker, der er blokeret af firewallen.
Hvorfor og når Firewall Logging er nyttigt - For at kontrollere, om nyligt tilføjede firewallregler virker korrekt eller at debugere dem, hvis de ikke virker som forventet.
- At fastslå, om Windows Firewall er årsagen til applikationsfejl. Med funktionen Firewall logging kan du tjekke for deaktiverede portåbninger, dynamiske portåbninger, analysere tabte pakker med push og presserende flag og analysere tabte pakker på sendebanen.
- At hjælpe og identificere ondsindet aktivitet - Med funktionen Firewall logging kan du kontrollere, om der opstår skadelig aktivitet i dit netværk eller ej, selv om du skal huske, at den ikke indeholder de oplysninger, der er nødvendige for at spore kilden til aktiviteten.
- Hvis du bemærker gentagne mislykkede forsøg på at få adgang til din firewall og / eller andre højprofilsystemer fra en IP-adresse (eller gruppe af IP-adresser), kan du måske skrive en regel for at droppe alle forbindelser fra det pågældende IP-rum (sørg for, at IP-adressen bliver ikke spoofed).
- Udgående forbindelser, der kommer fra interne servere som f.eks. Webservere, kan være en indikation på, at nogen bruger dit system til at starte angreb mod computere på andre netværk.
Sådan genereres logfilen
Som standard er logfilen deaktiveret, hvilket betyder, at der ikke er skrevet nogen information til logfilen. For at oprette en logfil skal du trykke på "Win key + R" for at åbne feltet Kør. Skriv "wf.msc" og tryk på Enter. Skærmen "Windows Firewall og Advanced Security" vises. Klik på "Egenskaber" på højre side af skærmen.
Der vises en ny dialogboks. Klik nu på fanen "Privat profil" og vælg "Tilpas" i "Logging Section".
Et nyt vindue åbnes, og fra den skærm vælger du din maksimale logstørrelse, placering, og om du kun logger på tabte pakker, en vellykket forbindelse eller begge dele. En tabt pakke er en pakke, som Windows Firewall har blokeret. En vellykket forbindelse henviser både til indgående forbindelser og til enhver forbindelse, du har lavet via internettet, men det betyder ikke altid, at en ubudende har forbindelse til din computer.
Som standard skriver Windows Firewall logposter til % SystemRoot% \ System32 \ LogFiles \ Firewall \ pfirewall.log
og gemmer kun de sidste 4 MB data. I de fleste produktionsmiljøer vil denne log konstant skrive til din harddisk, og hvis du ændrer størrelsesgrænsen for logfilen (for at logge aktivitet over en længere periode), kan det medføre en præstationspåvirkning. Af denne grund bør du kun aktivere logføring, når du aktivt fejler et problem og derefter straks deaktivere logføring, når du er færdig.
Klik derefter på fanen "Offentlig profil" og gentag de samme trin, du gjorde for fanen "Privat profil". Du har nu slået loggen til både private og offentlige netværksforbindelser. Logfilen oprettes i et W3C udvidet logformat (.log), som du kan undersøge med et tekstredigeringsprogram efter eget valg eller importere dem til et regneark. En enkelt logfil kan indeholde tusindvis af tekstindtastninger, så hvis du læser dem gennem Notesblok, skal du deaktivere ordindpakning for at bevare kolonneformatering. Hvis du ser logfilen i et regneark, vises alle felterne logisk i kolonner for nemmere analyse.
På hovedskærmen "Windows Firewall med avanceret sikkerhed" skal du rulle ned, indtil du ser linket "Overvågning". Klik på filstien ved siden af "Filnavn" i vinduet Detaljer under "Logindstillinger". Logfilen åbnes i Notesblok.
Fortolkning af Windows Firewall loggen
Windows Firewall-sikkerhedsloggen indeholder to sektioner. Overskriften indeholder statiske, beskrivende informationer om versionen af logfilen og de tilgængelige felter. Logens krop er de kompilerede data, der indtastes som følge af trafik, der forsøger at krydse firewall. Det er en dynamisk liste, og nye poster vises stadig nederst i logfilen. Feltene er skrevet fra venstre til højre på tværs af siden. (-) bruges, når der ikke er nogen adgang til feltet.
Ifølge Microsoft Technet-dokumentationen indeholder overskriften til logfilen:
Version - Viser hvilken version af Windows Firewall-sikkerhedslogfilen der er installeret.
Software - Viser navnet på den software, der opretter logfilen.
Tid - Angiver, at alle tidsstempeloplysninger i loggen er i lokal tid.
Felter - Viser en liste over felter, der er tilgængelige for sikkerhedslogbogsposter, hvis data er tilgængelige.
Mens logfilens krop indeholder:
dato - Datofeltet identificerer datoen i formatet ÅÅÅÅ-MM-DD.
tid - Den lokale tid vises i logfilen ved hjælp af formatet HH: MM: SS. Timerne refereres i 24-timers format.
handling - Som firewall behandler trafik registreres visse handlinger. De loggede handlinger er DROP for at droppe en forbindelse, ÅBN for at åbne en forbindelse, LUKK for at lukke en forbindelse, ÅBEN-INBOUND for en indgående session åbnet til den lokale computer og INFO-EVENTS-LOST for begivenheder behandlet af Windows Firewall, men blev ikke optaget i sikkerhedsloggen.
protokol - Den anvendte protokol som TCP, UDP eller ICMP.
src-ip - Viser kildens IP-adresse (IP-adressen på computeren, der forsøger at etablere kommunikation).
dst-ip - Viser destinationens IP-adresse for et forbindelsesforsøg.
src-port - Portnummeret på afsendelsescomputeren, hvorfra forbindelsen blev forsøgt.
dst-port - Den port, som afsendelsescomputeren forsøgte at oprette forbindelse til.
størrelse - Viser pakkestørrelse i byte.
tcpflags - Oplysninger om TCP kontrol flag i TCP headers.
tcpsyn - Viser TCP-sekvensnummeret i pakken.
tcpack - Viser TCP-bekræftelsesnummeret i pakken.
tcpwin - Viser TCP-vinduets størrelse, i bytes, i pakken.
icmptype - Oplysninger om ICMP-meddelelserne.
icmpcode - Oplysninger om ICMP-meddelelserne.
info - Viser en post, der afhænger af den type handling, der opstod.
sti - Viser retningen for kommunikationen. De tilgængelige muligheder er SEND, MODTAG, FORWARD og UNKNOWN.
Som du bemærker, er logindgangen virkelig stor og kan have op til 17 stykker information, der er forbundet med hver begivenhed. Imidlertid er kun de første otte stykker information vigtige for generel analyse. Med detaljerne i din hånd kan du nu analysere oplysningerne for ondsindet aktivitet eller fejlfinding af applikationsfejl.
Hvis du har mistanke om enhver ondsindet aktivitet, skal du åbne logfilen i Notesblok og filtrere alle logposterne med DROP i handlingsfeltet og bemærk, om destinationens IP-adresse slutter med et andet tal end 255. Hvis du finder mange sådanne indgange, skal du tage en notat af pakkens destinations IP-adresser. Når du er færdig med at fejlfinding problemet, kan du deaktivere firewall loggen.
Fejlfinding af netværksproblemer kan være ret skræmmende til tider og en anbefalet god praksis, når fejlfinding af Windows Firewall er at aktivere de indbyggede logfiler. Selvom logfilen til Windows Firewall ikke er nyttig til at analysere det samlede sikkerhed i dit netværk, er det stadig en god praksis, hvis du vil overvåge, hvad der sker bag kulisserne.