Kaip stebėti užkardos veiklą su „Windows“ užkardos žurnalu
Filtruojant interneto srautą, visos užkardos turi tam tikrą registravimo funkciją, kuri dokumentuoja, kaip ugniasienė tvarkė įvairius srautus. Šie žurnalai gali suteikti vertingos informacijos, pavyzdžiui, šaltinio ir paskirties IP adresus, prievadų numerius ir protokolus. Taip pat galite naudoti „Windows“ užkardos žurnalo failą stebėti TCP ir UDP ryšius ir paketus, užblokuotus užkardoje.
Kodėl ir kai ugniasienės registravimas yra naudingas - Jei norite patikrinti, ar naujai pridėtos užkardos taisyklės veikia tinkamai, arba juos pašalinti, jei jos neveikia taip, kaip tikėtasi.
- Jei norite nustatyti, ar „Windows“ užkarda yra taikymo nesėkmių priežastis - naudodami „Firewall“ registravimo funkciją galite patikrinti, ar yra neįgalių prievadų atidarymo, dinaminių prievadų atidarymo, analizuotų sumažintų paketų su stumiamaisiais ir skubiais vėliavomis ir analizuoti atsisakytus paketus siuntimo kelyje.
- Norėdami padėti ir identifikuoti kenkėjišką veiklą - naudodami „Firewall“ registravimo funkciją galite patikrinti, ar jūsų tinkle yra kenkėjiškų veiksmų, nors turite prisiminti, kad ji nepateikia informacijos, reikalingos veiklos šaltiniui sekti.
- Jei pastebėsite pakartotinius nesėkmingus bandymus pasiekti ugniasienę ir (arba) kitas aukšto profilio sistemas iš vieno IP adreso (arba IP adresų grupės), tada galbūt norėsite parašyti taisyklę, kad visi IP ryšiai būtų išjungti (įsitikinkite, kad IP adresas nėra sugadintas).
- Iš vidinių serverių, pvz., Žiniatinklio serverių, gaunami siunčiantys ryšiai gali rodyti, kad kas nors naudoja jūsų sistemą paleisti išpuolius prieš kitus tinklus esančius kompiuterius.
Kaip generuoti žurnalo failą
Pagal numatytuosius nustatymus žurnalo failas yra išjungtas. Norėdami sukurti žurnalo failą, paspauskite „Win key + R“, kad atidarytumėte „Run“ langelį. Įveskite „wf.msc“ ir paspauskite „Enter“. Pasirodys langas „Windows ugniasienė su išplėstiniu saugumu“. Dešinėje ekrano pusėje spustelėkite „Ypatybės“.
Pasirodo naujas dialogo langas. Dabar spustelėkite skirtuką „Privatus profilis“ ir „Registravimo skyriuje“ pasirinkite „Tinkinti“.
Atsidaro naujas langas, o iš šio ekrano pasirinkite maksimalų žurnalo dydį, vietą ir, ar registruoti tik sumažėjusius paketus, sėkmingą ryšį arba abu. Išjungtas paketas yra paketas, kurį užblokavo „Windows“ užkarda. Sėkmingas ryšys susijęs tiek su gaunamais ryšiais, tiek su bet kuriuo ryšiu, kurį sukūrėte per internetą, tačiau ne visada reiškia, kad įsibrovėlis sėkmingai prisijungė prie jūsų kompiuterio.
Pagal numatytuosius nustatymus „Windows“ užkarda įrašo žurnalo įrašus % SystemRoot% System32 logotipai Firewall Pfirewall.log
ir saugo tik paskutinius 4 MB duomenų. Daugumoje gamybos aplinkų šis žurnalas nuolat rašys jūsų standųjį diską, o jei pakeisite žurnalo failo dydį (norėdami užregistruoti veiklą per ilgą laiką), tai gali sukelti rezultatų poveikį. Dėl šios priežasties turėtumėte įjungti registravimą tik aktyviai šalinant problemą ir tada, kai baigsite, tuoj pat išjunkite registravimą.
Toliau spustelėkite skirtuką „Viešasis profilis“ ir pakartokite tuos pačius veiksmus, kuriuos atlikote skirtuke „Privatus profilis“. Dabar įjungėte žurnalą tiek privačiam, tiek viešajam tinklo ryšiui. Žurnalo failas bus sukurtas W3C išplėstiniame žurnalo formate (.log), kurį galite patikrinti su pasirinktu teksto redaktoriumi arba importuoti juos į skaičiuoklę. Viename žurnalo faile gali būti tūkstančiai teksto įrašų, todėl, jei skaitote juos per „Notepad“, išjunkite žodžių įvyniojimą, kad išsaugotumėte stulpelio formatą. Jei peržiūrite žurnalo failą skaičiuoklėje, visi laukai bus logiškai rodomi stulpeliuose, kad būtų lengviau analizuoti.
Pagrindiniame „Windows užkardoje su išplėstiniu saugumu“ ekrane slinkite žemyn, kol pamatysite nuorodą „Stebėjimas“. Išsamios informacijos skydelyje „Registravimo nustatymai“ spustelėkite failo kelią šalia „Failo pavadinimas“. Žurnalas atidaromas „Notepad“.
„Windows“ užkardos žurnalo aiškinimas
„Windows“ užkardos saugumo žurnale yra du skyriai. Antraštėje pateikiama statinė, aprašomoji informacija apie žurnalo versiją ir laukus. Žurnalo kūnas yra sukaupti duomenys, kurie įvedami kaip srautas, bandantis kirsti užkardą. Tai yra dinamiškas sąrašas, o nauji įrašai rodomi žurnalo apačioje. Laukai rašomi iš kairės į dešinę per puslapį. (-) naudojamas, kai lauke nėra įrašo.
Pagal „Microsoft Technet“ dokumentą žurnalo failo antraštėje yra:
Versija - rodo, kuri Windows užkardos saugos žurnalo versija yra įdiegta.
Programinė įranga - rodo žurnalo kūrimo programinės įrangos pavadinimą.
Laikas - nurodo, kad visa žurnale esanti laiko žymos informacija yra vietos laiku.
„Fields“ (laukai) - rodomas laukų, kurie yra prieinami saugos žurnalo įrašams, sąrašas, jei yra duomenų.
Nors žurnalo failo korpuse yra:
date - datos lauke nurodoma data: YYYY-MM-DD.
laikas - vietinis laikas rodomas žurnalo faile naudojant formatą HH: MM: SS. Valandos nurodomos 24 valandų formatu.
veiksmas - kadangi ugniasienė apdoroja srautą, įrašomi tam tikri veiksmai. Užregistruoti veiksmai yra DROP, leidžiantys nutraukti ryšį, OPEN, kad atidarytumėte ryšį, CLOSE, kad uždarytumėte ryšį. nebuvo įrašyti į saugumo žurnalą.
protokolas - naudojamas protokolas, pvz., TCP, UDP arba ICMP.
src-ip - rodo šaltinio IP adresą (kompiuterio, bandančio užmegzti ryšį, IP adresas).
dst-ip - rodo ryšio bandymo paskirties IP adresą.
src-port - prievado numeris siunčiančiame kompiuteryje, iš kurio bandoma prisijungti.
dst-port - uostas, į kurį siuntimo kompiuteris bandė užmegzti ryšį.
dydis - rodo paketo dydį baitais.
tcpflags - TCP antraščių informacija apie TCP kontrolines vėliavas.
tcpsyn - rodo TCP sekos numerį pakete.
tcpack - rodo TCP patvirtinimo numerį pakete.
tcpwin - rodo TCP lango dydį baitais pakete.
icmptype - informacija apie ICMP pranešimus.
icmpcode - informacija apie ICMP pranešimus.
info - rodo įrašą, kuris priklauso nuo įvykio tipo.
kelias - rodo ryšio kryptį. Galimos parinktys yra SEND, RECEIVE, FORWARD ir UNKNOWN.
Pastebėję, žurnalo įrašas yra didelis ir gali turėti iki 17 informacijos, susijusios su kiekvienu įvykiu. Tačiau tik pirmosios aštuonios informacijos dalys yra svarbios bendrai analizei. Dabar jūs galite analizuoti informaciją apie kenkėjišką veiklą ar derinimo klaidas.
Jei įtariate bet kokią kenkėjišką veiklą, atidarykite žurnalo failą „Notepad“ ir filtruokite visus žurnalo įrašus su DROP veiksmo lauke ir pažymėkite, ar paskirties IP adresas baigiasi ne 255 numeriu. paketų paskirties IP adresų pastaba. Baigę trikčių šalinimą, galite išjungti užkardos registravimą.
Tinklo problemų trikčių šalinimas kartais gali būti gana bauginantis ir rekomenduojama gera praktika, kai Windows ugniasienės trikčių šalinimas leidžia įjungti vietinius žurnalus. Nors „Windows“ užkardos žurnalo failas nėra naudingas analizuojant bendrą tinklo saugumą, jis vis tiek išlieka gera praktika, jei norite stebėti, kas vyksta užkulisiuose.