Како пратити активност Фиревалл-а помоћу Виндовс Фиревалл Лог-а
У процесу филтрирања Интернет саобраћаја, сви заштитни зидови имају неку врсту функције за бележење која документује како је фиревалл руковао различитим врстама саобраћаја. Ови дневници могу пружити вриједне информације као што су ИП адреса извора и одредишта, бројеви портова и протоколи. Такође можете да користите датотеку дневника Виндовс заштитног зида да бисте пратили ТЦП и УДП везе и пакете које је блокирао заштитни зид.
Зашто и када је Фиревалл логовање корисно - Да бисте проверили да ли ново додата правила за заштитни зид раде исправно или да их отклоните ако не функционишу како треба.
- Да бисте утврдили да ли је Виндовс заштитни зид узрок неуспеха апликације - Помоћу функције за регистрацију заштитног зида можете да проверите да ли су отворени портови, динамички отвори портова, анализирате испуштене пакете са пусх и хитним заставама и анализирате испуштене пакете на путањи слања.
- Да бисте помогли и идентификовали злонамерне активности - Помоћу функције за записивање Фиревалл-а можете да проверите да ли се нека злонамерна активност дешава у вашој мрежи или не, иако морате запамтити да она не пружа информације потребне за проналажење извора активности.
- Ако приметите поновљене неуспешне покушаје приступа ватрозиду и / или другим системима високог профила са једне ИП адресе (или групе ИП адреса), можда ћете желети да напишете правило да испустите све везе из тог ИП простора (пазећи да ИП адреса није лажирана.
- Одлазне везе које долазе са интерних сервера, као што су Веб сервери, могу бити показатељ да неко користи ваш систем за покретање напада на рачунаре који се налазе на другим мрежама.
Како генерисати дневник
Подразумевано је да је датотека дневника онемогућена, што значи да у датотеку дневника нису записане информације. Да бисте креирали датотеку дневника притисните “Вин кеи + Р” да бисте отворили оквир Рун. Откуцајте “вф.мсц” и притисните Ентер. Појављује се екран “Виндовс Фиревалл витх Адванцед Сецурити”. На десној страни екрана кликните на „Својства“.
Појавиће се нови дијалог. Сада кликните на картицу “Привате Профиле” и изаберите “Цустомизе” у “Сецтион Логгинг” секцији.
Отвара се нови прозор и са тог екрана бирајте максималну величину дневника, локацију и да ли ћете пријавити само испуштене пакете, успјешну везу или обоје. Пао је пакет који је блокиран од стране Виндовс заштитног зида. Успешна веза се односи како на долазне везе тако и на све везе које сте успоставили преко Интернета, али то не значи увек да је уљез успешно повезао рачунар.
Подразумевано, Виндовс заштитни зид пише ставке дневника % СистемРоот% Систем32 ЛогФилес Фиревалл Пфиревалл.лог
и чува само последња 4 МБ података. У већини продукцијских окружења, овај дневник ће стално писати на ваш хард диск, а ако промените ограничење величине датотеке дневника (да бисте пријавили активност током дужег временског периода), то може изазвати утицај на перформансе. Из тог разлога, требало би да омогућите логовање само када активно решавате проблем и онда одмах онемогућите записивање када завршите.
Затим кликните на картицу „Публиц Профиле“ и поновите исте кораке које сте направили за картицу „Привате Профиле“. Сада сте укључили дневник за приватне и јавне мрежне везе. Датотека дневника ће бити креирана у В3Ц формату проширеног дневника (.лог) који можете прегледати са уређивачем текста по вашем избору или увести у табелу. Једна датотека дневника може да садржи хиљаде уноса текста, тако да ако их читате кроз Нотепад, онда онемогућите преламање речи да бисте сачували форматирање колона. Ако прегледавате датотеку дневника у табели, сва поља ће бити логично приказана у колонама ради лакше анализе.
На главном екрану „Виндовс заштитни зид са напредном безбедношћу“, померите се надоле док не видите везу „Надгледање“. У окну са детаљима, у одељку „Подешавања евиденције“ кликните на путању датотеке поред „Име датотеке“. Дневник се отвара у програму „Бележница“..
Тумачење дневника Виндовс заштитног зида
Безбедносни дневник Виндовс заштитног зида садржи два одељка. Заглавље садржи статичне, описне информације о верзији дневника и поља која су доступна. Тијело дневника су компајлирани подаци који се уносе као резултат промета који покушава прећи ватрозид. То је динамичка листа, а нови уноси се појављују на дну дневника. Поља се пишу с лева на десно преко странице. (-) се користи када нема поља за поље.
Према Мицрософт Тецхнет документацији, заглавље дневника садржи:
Верзија - приказује која је верзија сигурносног дневника за Виндовс заштитни зид инсталирана.
Софтвер - Приказује назив софтвера који креира дневник.
Време - Означава да су све информације о временским печатима у дневнику у локалном времену.
Фиелдс (Поља) - приказује листу поља која су доступна за уносе сигурносног дневника, ако су подаци доступни.
Док тело дневника садржи:
дате - поље датума означава датум у формату ИИИИ-ММ-ДД.
тиме - Локално време се приказује у датотеци дневника користећи формат ХХ: ММ: СС. Сати се наводе у 24-сатном формату.
ацтион - Како фиревалл обрађује саобраћај, одређене акције се снимају. Логиране акције су ДРОП за испуштање везе, ОПЕН за отварање везе, ЦЛОСЕ за затварање везе, ОПЕН-ИНБОУНД за улазну сесију отворену за локални рачунар и ИНФО-ЕВЕНТС-ЛОСТ за догађаје које обрађује Виндовс заштитни зид, али нису забележени у безбедносном дневнику.
протокол - протокол који се користи као ТЦП, УДП или ИЦМП.
срц-ип - Приказује ИП адресу извора (ИП адреса рачунара који покушава да успостави комуникацију).
дст-ип - Приказује одредишну ИП адресу покушаја повезивања.
срц-порт - број порта на рачунару који шаље податке од којег је покушана веза.
дст-порт - порт на који је рачунар за слање покушавао успоставити везу.
сизе - Приказује величину пакета у бајтовима.
тцпфлагс - Информације о ТЦП контролним заставама у ТЦП заглављима.
тцпсин - Приказује ТЦП редни број у пакету.
тцпацк - Приказује број ТЦП потврде у пакету.
тцпвин - Приказује величину ТЦП прозора, у бајтовима, у пакету.
ицмптипе - Информације о ИЦМП порукама.
ицмпцоде - Информације о ИЦМП порукама.
инфо - Приказује унос који зависи од типа акције која се догодила.
патх - Приказује правац комуникације. Доступне опције су СЕНД, РЕЦЕИВЕ, ФОРВАРД и УНКНОВН.
Као што приметите, унос дневника је заиста велик и може имати до 17 информација повезаних са сваким догађајем. Међутим, само су првих осам информација важне за општу анализу. Са детаљима у руци сада можете анализирати информације о злонамјерним активностима или отклањању грешака у апликацијама.
Ако сумњате на било какву злонамерну активност, отворите датотеку дневника у Нотепаду и филтрирајте све уносе дневника са ДРОП-ом у поље акције и запишите да ли се ИП адреса одредишта завршава бројем који није 255. Ако нађете много таквих уноса, онда узмите белешка одредишних ИП адреса пакета. Када завршите са решавањем проблема, можете да онемогућите евиденцију заштитног зида.
Рјешавање проблема са мрежом може бити прилично застрашујуће у неким случајевима и препоручена добра пракса при отклањању проблема са Виндовс заштитним зидом је омогућавање природних дневника. Иако датотека евиденције Виндовс заштитног зида није корисна за анализу свеукупне безбедности ваше мреже, она и даље остаје добра пракса ако желите да пратите шта се дешава иза сцене.