Mājas lapa » » Kā izsekot ugunsmūra darbību ar Windows ugunsmūra žurnālu

    Kā izsekot ugunsmūra darbību ar Windows ugunsmūra žurnālu

    Interneta satiksmes filtrēšanas procesā visiem ugunsmūriem ir kāda veida mežizstrādes funkcija, kas dokumentē, kā ugunsmūris apstrādāja dažādus satiksmes veidus. Šie žurnāli var sniegt vērtīgu informāciju, piemēram, avota un galamērķa IP adreses, portu numurus un protokolus. Varat arī izmantot Windows ugunsmūra žurnāla failu, lai uzraudzītu TCP un UDP savienojumus un paketes, ko bloķējis ugunsmūris.

    Kāpēc un kad ugunsmūra reģistrēšana ir noderīga

    1. Lai pārbaudītu, vai jauni pievienotie ugunsmūra noteikumi darbojas pareizi, vai atkļūdot tos, ja tie nedarbojas kā paredzēts.
    2. Lai noteiktu, vai Windows ugunsmūris ir lietojumprogrammu kļūmju cēlonis - izmantojot ugunsmūra reģistrēšanas funkciju, varat pārbaudīt, vai nav atvērtas ostas, dinamiskas portu atveres, analizētas kritušās paketes ar stumšanas un steidzamiem karodziņiem un analizē atceltās paketes nosūtīšanas ceļā.
    3. Lai palīdzētu un identificētu ļaunprātīgu darbību - izmantojot ugunsmūra reģistrēšanas funkciju, varat pārbaudīt, vai jūsu tīklā notiek ļaunprātīga darbība, lai gan jums ir jāatceras, ka tā nesniedz informāciju, kas nepieciešama, lai izsekotu darbības avotu.
    4. Ja pamanāt atkārtotus neveiksmīgus mēģinājumus piekļūt jūsu ugunsmūrim un / vai citām augsta profila sistēmām no vienas IP adreses (vai IP adrešu grupas), tad jūs varētu vēlēties rakstīt noteikumu, lai atceltu visus savienojumus no šīs IP vietas (pārliecinoties, ka IP adrese netiek maldināta.
    5. Izejošie savienojumi, kas nāk no iekšējiem serveriem, piemēram, tīmekļa serveriem, var norādīt, ka kāds izmanto jūsu sistēmu, lai uzsāktu uzbrukumus datoriem, kas atrodas citos tīklos.

    Kā izveidot žurnāla failu

    Pēc noklusējuma žurnāla fails ir atspējots, tas nozīmē, ka žurnāla failā netiek ierakstīta nekāda informācija. Lai izveidotu žurnāla failu, nospiediet “Win ​​key + R”, lai atvērtu Run lodziņu. Ierakstiet “wf.msc” un nospiediet Enter. Parādās ekrāns “Windows ugunsmūris ar papildu drošību”. Ekrāna labajā pusē noklikšķiniet uz “Properties”.

    Parādās jauns dialoglodziņš. Tagad noklikšķiniet uz cilnes “Privāts profils” un “Logging Section” atlasiet “Customize”.

    Tiek atvērts jauns logs, un no šī ekrāna izvēlieties maksimālo loga lielumu, atrašanās vietu un to, vai pieteikties tikai kritušās paketes, veiksmīgs savienojums vai abi. Izslēgta pakete ir pakete, ko bloķējusi Windows ugunsmūris. Veiksmīgs savienojums attiecas gan uz ienākošajiem savienojumiem, gan uz jebkuru savienojumu, ko esat izveidojis internetā, taču tas ne vienmēr nozīmē, ka iebrucējs ir veiksmīgi izveidojis savienojumu ar jūsu datoru.

    Pēc noklusējuma Windows ugunsmūris ieraksta žurnāla ierakstus % SystemRoot% System32 Logfiles Firewall Pfirewall.log un saglabā tikai pēdējos 4 MB datus. Lielākajā daļā ražošanas vides šis žurnāls nepārtraukti rakstīs jūsu cietajā diskā, un, ja maināt loga faila lieluma ierobežojumu (lai reģistrētu darbību ilgākā laika posmā), tas var izraisīt efektivitātes ietekmi. Šā iemesla dēļ jāaktivizē reģistrēšana tikai tad, ja aktīvi tiek novērsta problēma, un pēc tam tūlīt, kad esat pabeidzis, nekavējoties izslēdziet reģistrēšanu.

    Pēc tam noklikšķiniet uz cilnes “Publiskais profils” un atkārtojiet tās pašas darbības, kas tika veiktas cilnē “Privāts profils”. Tagad esat ieslēdzis žurnālu gan privātiem, gan publiskiem tīkla savienojumiem. Žurnāla fails tiks izveidots W3C paplašinātā žurnāla formātā (.log), kuru var pārbaudīt ar izvēlēto teksta redaktoru vai importēt tos izklājlapā. Vienā žurnāla failā var būt tūkstošiem teksta ierakstu, tādēļ, ja jūs lasāt tos, izmantojot Notepad, tad atspējojiet vārdu iesaiņošanu, lai saglabātu kolonnas formatējumu. Ja skatāt žurnāla failu izklājlapā, tad visi lauki tiks logiski parādīti kolonnās, lai atvieglotu analīzi.

    Galvenajā “Windows ugunsmūrī ar papildu drošību” ritiniet uz leju, līdz redzat saiti “Pārraudzība”. Detalizētajā rūtī sadaļā “Logging Settings” noklikšķiniet uz faila ceļa blakus “File Name”. Logs tiek atvērts Notepad.

    Windows ugunsmūra žurnāla interpretēšana

    Windows ugunsmūra drošības žurnālā ir divas sadaļas. Galvene sniedz statisku, aprakstošu informāciju par žurnāla versiju un pieejamiem laukiem. Žurnāla saturs ir apkopotie dati, kas tiek ievadīti satiksmes rezultātā, kas mēģina šķērsot ugunsmūri. Tas ir dinamisks saraksts, un žurnāla apakšā parādās jauni ieraksti. Lauki tiek rakstīti no kreisās uz labo pusi. (-) tiek izmantots, ja laukam nav pieejams ieraksts.

    Saskaņā ar Microsoft Technet dokumentāciju žurnāla faila galvenē ir:

    Versija - parāda, kura Windows ugunsmūra drošības žurnāla versija ir instalēta.
    Programmatūra - parāda loga izveidošanas programmatūras nosaukumu.
    Laiks - norāda, ka visa žurnālā pieejamā laika zīmoga informācija ir vietējā laikā.
    Lauki - parāda to lauku sarakstu, kas ir pieejami drošības žurnāla ierakstiem, ja dati ir pieejami.

    Kamēr žurnāla faila satur:

    datums - datuma lauks norāda datumu formātā YYYY-MM-DD.
    laiks - lokālais laiks log failā tiek parādīts, izmantojot formātu HH: MM: SS. Stundas ir atsauces 24 stundu formātā.
    darbība - tā kā ugunsmūris apstrādā datplūsmu, tiek ierakstītas noteiktas darbības. Reģistrētās darbības ir DROP savienojuma atcelšanai, OPEN savienojuma atvēršanai, CLOSE savienojuma aizvēršanai, OPEN-INBOUND vietējai datoram atvērtai sesijai un INFO-EVENTS-LOST notikumiem, kurus apstrādā Windows ugunsmūris, bet nav reģistrēti drošības žurnālā.
    protokols - izmantotais protokols, piemēram, TCP, UDP vai ICMP.
    src-ip - parāda avota IP adresi (tā datora IP adrese, kas mēģina izveidot komunikāciju).
    dst-ip - parāda savienojuma mēģinājuma galamērķa IP adresi.
    src-port - porta numurs sūtītājā datorā, no kura mēģināts savienojums.
    dst-port - osta, uz kuru sūtīšanas dators mēģināja izveidot savienojumu.
    size - parāda pakešu lielumu baitos.
    tcpflags - informācija par TCP kontroles karodziņiem TCP galvenēs.
    tcpsyn - parāda TCP secības numuru paketē.
    tcpack - parāda TCP apstiprinājuma numuru paketē.
    tcpwin - parāda TCP loga lielumu baitos paketē.
    icmptype - informācija par ICMP ziņām.
    icmpcode - informācija par ICMP ziņām.
    info - parāda ierakstu, kas ir atkarīgs no darbības veida.
    ceļš - parāda komunikācijas virzienu. Pieejamās iespējas ir SEND, RECEIVE, FORWARD un UNKNOWN.

    Kā pamanāt, žurnāla ieraksts patiešām ir liels, un tajā var būt līdz 17 informāciju, kas saistīta ar katru notikumu. Tomēr tikai pirmie astoņi informācijas elementi ir svarīgi vispārējai analīzei. Ar detaļām rokā tagad varat analizēt informāciju par ļaunprātīgu darbību vai atkļūdošanas lietojumprogrammu kļūmēm.

    Ja jums ir aizdomas par kādu ļaunprātīgu darbību, atveriet žurnāla failu Notepad un filtrējiet visus žurnāla ierakstus ar DROP darbības laukā un atzīmējiet, vai galamērķa IP adrese beidzas ar numuru, kas nav 255. Ja atrodat daudz šādu ierakstu, tad veiciet piezīme par pakešu galamērķa IP adresēm. Kad problēma ir novērsta, varat atspējot ugunsmūra reģistrēšanu.

    Tīkla problēmu traucējummeklēšana reizēm var būt diezgan biedējoša, un ieteicamā laba prakse, kad Windows ugunsmūra traucējummeklēšana ir vietējo žurnālu iespējošana. Lai gan Windows ugunsmūra žurnāla fails nav noderīgs, lai analizētu jūsu tīkla vispārējo drošību, tas joprojām ir laba prakse, ja vēlaties uzraudzīt to, kas notiek aiz ainas.