Så här spårar du brandväggsaktivitet med Windows-brandväggen
I processen att filtrera Internet-trafik har alla brandväggar någon typ av loggfunktion som dokumenterar hur brandväggen hanterade olika typer av trafik. Dessa loggar kan ge värdefull information som käll- och destinations-IP-adresser, portnummer och protokoll. Du kan också använda loggfilen för Windows-brandväggen för att övervaka TCP- och UDP-anslutningar och paket som blockeras av brandväggen.
Varför och när brandväggsloggning är användbar - För att verifiera om nyinstallerade brandväggsregler fungerar korrekt eller att felsöka dem om de inte fungerar som förväntat.
- För att avgöra om Windows-brandväggen är orsaken till programfel - Med funktionen för brandväggsloggning kan du söka efter funktionshindrade portöppningar, dynamiska portöppningar, analysera tappade paket med push och brådskande flaggor och analysera tappade paket på sändningsvägen.
- Att hjälpa till och identifiera skadlig aktivitet - Med funktionen för brandväggsloggning kan du kontrollera om skadlig aktivitet inträffar inom ditt nätverk eller inte, även om du måste komma ihåg det ger inte informationen som behövs för att spåra källan till aktiviteten.
- Om du märker upprepade misslyckade försök att komma åt din brandvägg och / eller andra högprofilsystem från en IP-adress (eller en grupp IP-adresser), kanske du vill skriva en regel för att släppa alla anslutningar från det IP-området (se till att IP-adressen är inte spoofed).
- Utgående kontakter som kommer från interna servrar som webbservrar kan vara en indikation på att någon använder ditt system för att starta attacker mot datorer som finns på andra nätverk.
Så här skapar du loggfilen
Som standard är loggfilen inaktiverad, vilket innebär att ingen information skrivs till loggfilen. För att skapa en loggfil tryck "Win key + R" för att öppna rutan Kör. Skriv "wf.msc" och tryck på Enter. Skärmen "Windows Firewall och Advanced Security" visas. På höger sida av skärmen klickar du på "Egenskaper".
En ny dialogruta visas. Klicka nu på fliken "Privat profil" och välj "Anpassa" i "Registreringsavsnittet".
Ett nytt fönster öppnas och från den skärmen väljer du din maximala loggstorlek, plats och om du bara loggar in förlorade paket, lyckad anslutning eller båda. Ett tappat paket är ett paket som Windows Firewall har blockerat. En lyckad anslutning avser både inkommande anslutningar och alla anslutningar du har gjort via Internet, men det betyder inte alltid att en inkräktare har anslutit sig till din dator.
Som standard skriver Windows Firewall loggposter till % Systemroot% \ System32 \ LogFiles \ Firewall \ pfirewall.log
och lagrar endast de senaste 4 MB data. I de flesta produktionsmiljöer skrivs den här loggen ständigt till hårddisken och om du ändrar storleksgränsen för loggfilen (för att logga aktivitet över en längre tid) kan det få en prestationspåverkan. Av den anledningen bör du bara aktivera loggning när du aktivt felsöker ett problem och avaktivera sedan omedelbart loggning när du är klar.
Klicka sedan på fliken "Offentlig profil" och upprepa samma steg som du gjorde för fliken "Privat profil". Du har nu aktiverat loggen för både privata och offentliga nätverksanslutningar. Loggfilen skapas i ett W3C-utvidgat loggformat (.log) som du kan undersöka med en textredigerare efter eget val eller importera dem till ett kalkylblad. En enda loggfil kan innehålla tusentals textposter, så om du läser dem genom anteckningsblocket, avaktivera du sedan ordförpackning för att behålla kolonnformatering. Om du tittar på loggfilen i ett kalkylblad visas alla fält logiskt i kolumner för enklare analys.
På huvudskärmen "Windows Firewall med avancerad säkerhet" rullar du ned tills du ser länken "Övervakning". I fönstret Detaljer, under "Logga in inställningar", klicka på filvägen bredvid "Filnamn". Loggen öppnas i Anteckningsblock.
Tolkning av Windows-brandväggen
Windows Firewall-säkerhetsloggen innehåller två avsnitt. Rubriken ger statisk, beskrivande information om versionen av loggen och fälten tillgängliga. Loggens kropp är den sammanställda data som anges som en följd av trafik som försöker korsa brandväggen. Det är en dynamisk lista, och nya poster visas fortfarande längst ner i loggen. Fälten skrivs från vänster till höger över sidan. (-) används när det inte finns någon post tillgänglig för fältet.
Enligt Microsoft Technet-dokumentationen innehåller loggfilens huvud:
Version - Visar vilken version av säkerhetsloggen för Windows-brandväggen som är installerad.
Programvara - Visar namnet på programvaran som skapar loggen.
Tid - Indikerar att all tidstämpelinformation i loggen är lokal tid.
Fält - Visar en lista med fält som är tillgängliga för säkerhetsloggposter, om data finns tillgänglig.
Medan loggfilens kropp innehåller:
datum - Datumfältet identifierar datumet i formatet ÅÅÅÅ-MM-DD.
tid - Den lokala tiden visas i loggfilen med formatet HH: MM: SS. Tiderna refereras i 24-timmarsformat.
åtgärd - Eftersom brandväggen behandlar trafik, registreras vissa åtgärder. De loggade åtgärderna är DROP för att släppa en anslutning, OPEN för att öppna en anslutning, CLOSE för att stänga en anslutning, OPEN-INBOUND för en inkommande session öppnad för den lokala datorn och INFO-EVENTS-LOST för händelser som behandlas av Windows Firewall, men registrerades inte i säkerhetsloggen.
protokoll - protokollet används som TCP, UDP eller ICMP.
src-ip - Visar källans IP-adress (IP-adressen på datorn som försöker upprätta kommunikation).
dst-ip - Visar destinationens IP-adress för ett anslutningsförsök.
src-port - portnumret på den sändande datorn från vilken anslutningen försökt.
dst-port - Den port som den sändande datorn försökte ansluta till.
storlek - Visar paketstorlek i byte.
tcpflags - Information om TCP kontroll flaggor i TCP headers.
tcpsyn - Visar TCP-sekvensnumret i paketet.
tcpack - Visar TCP-kvittensnummer i paketet.
tcpwin - Visar TCP-fönsterstorleken, i byte, i paketet.
icmptype - Information om ICMP-meddelandena.
icmpcode - Information om ICMP-meddelandena.
info - Visar en post som beror på vilken typ av åtgärd som inträffade.
bana - Visar kommunikationsriktningen. De tillgängliga alternativen är SEND, RECEIVE, FORWARD och UNKNOWN.
Som du märker är loggposten verkligen stor och kan ha upp till 17 bitar av information i samband med varje händelse. Dock är endast de första åtta informationsstyckena viktiga för allmän analys. Med detaljerna i din hand kan du analysera informationen för skadlig aktivitet eller felsöka programfel.
Om du misstänker någon skadlig aktivitet öppnar du loggfilen i Anteckningsblock och filtrerar alla loggposter med DROP i åtgärdsfältet och noterar om destinationsadressens IP-adress slutar med ett annat tal än 255. Om du hittar många sådana poster, ta sedan en anteckning av paketets mål-IP-adresser. När du har slutfört felsökning av problemet kan du inaktivera brandväggen.
Felsökning av nätverksproblem kan vara ganska skrämmande ibland och en rekommenderad bra praxis när felsökning av Windows-brandväggen är att aktivera de inbyggda loggarna. Även om loggfilen för Windows-brandväggen inte är användbar för att analysera den övergripande säkerheten i ditt nätverk, är det fortfarande en bra metod om du vill övervaka vad som händer bakom kulisserna.