If-Koubou

Kā sekot ugunsmūra aktivitātei ar Windows ugunsmūra žurnālu

Kā sekot ugunsmūra aktivitātei ar Windows ugunsmūra žurnālu (Kā)

Interneta datplūsmas filtrēšanas procesā visiem ugunsmūriem ir kāda veida mežizstrādes funkcija, kas dokumentē to, kā ugunsmūris apstrādā dažāda veida datplūsmu. Šie žurnāli var sniegt vērtīgu informāciju, piemēram, avota un galamērķa IP adreses, portu numurus un protokolus. Varat arī izmantot Windows ugunsmūra žurnāla failu, lai uzraudzītu TCP un UDP savienojumus un paketes, ko ugunsmūris ir bloķējis.

Kāpēc un kad ugunsmūra mežizstrāde ir noderīga
  1. Lai pārbaudītu, vai jaunizveidotie ugunsmūra noteikumi darbojas pareizi vai tos atkļūdo, ja tie nedarbojas pareizi.
  2. Lai noteiktu, vai Windows ugunsmūris ir pieteikšanās kļūmju cēlonis. Ar ugunsmūra mežizstrādes funkciju jūs varat pārbaudīt, vai nav atļautas portu atvērtas, dinamiskas ostas atveres, analizēt nokopētos paketus ar stingriem un neatliekamiem karodziņiem un analizēt kritušos paketes sūtīšanas ceļā.
  3. Lai palīdzētu un identificētu ļaunprātīgas darbības. Ar ugunsmūra mežizstrādes funkciju jūs varat pārbaudīt, vai jūsu tīklā ir kāda ļaunprātīga darbība, taču jums jāatceras, ka tā nesniedz informāciju, kas nepieciešama darbības avota izsekošanai.
  4. Ja pamanāt atkārtotus neveiksmīgos mēģinājumus piekļūt ugunsmūrii un / vai citām augsta profila sistēmām no vienas IP adreses (vai IP adrešu grupas), iespējams, vēlēsities uzrakstīt noteikumu, lai likvidētu visus savienojumus no šīs IP telpas (pārliecinieties, vai IP adrese nav spoofed).
  5. No iekšējiem serveriem, piemēram, Web serveri, izejošie savienojumi var būt norāde, ka kāds izmanto jūsu sistēmu, lai uzsāktu uzbrukumus datoriem, kas atrodas citos tīklos.

Kā ģenerēt žurnāla failu

Pēc noklusējuma žurnāla fails ir atspējots, kas nozīmē, ka žurnāla failam netiek rakstīta informācija. Lai izveidotu žurnāla failu, nospiediet taustiņu "Win key + R", lai atvērtu lodziņu Run. Ierakstiet "wf.msc" un nospiediet taustiņu Enter. Parādās ekrāns "Windows ugunsmūris ar uzlabotu drošību". Ekrāna labajā pusē noklikšķiniet uz "Rekvizīti".

Parādās jauns dialoglodziņš. Tagad noklikšķiniet uz cilnes "Privātais profils" un izvēlnē "Pieteikšanās sadaļa" atlasiet "Pielāgot".

Atveras jauns logs, un no šī ekrāna izvēlieties maksimālo log izmēru, atrašanās vietu un to, vai reģistrēt tikai nokritušos paketes, veiksmīgu savienojumu vai abus. Nokritušais pakete ir pakete, ko Windows ugunsmūris ir bloķējis. Veiksmīgs savienojums attiecas gan uz ienākošajiem savienojumiem, gan uz visiem jūsu izveidotajiem savienojumiem, izmantojot internetu, taču tas ne vienmēr nozīmē, ka iebrucējs ir veiksmīgi izveidojis savienojumu ar datoru.

Pēc noklusējuma Windows ugunsmūris ieraksta žurnāla ierakstus % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log un saglabā tikai pēdējos 4 MB datu. Lielākajā daļā ražošanas vides šis logs pastāvīgi tiks rakstīts uz jūsu cietā diska, un, mainot log faila izmēru ierobežojumu (lai aktivizētu darbību ilgā laika periodā), tas var izraisīt veiktspēju. Šī iemesla dēļ jums vajadzētu ļaut reģistrēt tikai tad, ja ir aktīvi novērst problēmu, un pēc tam nekavējoties atspējot reģistrēšanu, kad esat pabeidzis.

Pēc tam noklikšķiniet uz cilnes "Publiskais profils" un atkārtojiet tās pašas darbības, kas tika veiktas cilnes "Privāts profils". Tagad jūs esat ieslēdzis žurnālu gan privātiem, gan publiskiem tīkla savienojumiem. Žurnāla fails tiks izveidots W3C paplašinātā žurnāla formātā (.log), kuru varat pārbaudīt ar izvēlētu teksta redaktoru vai importēt to izklājlapā. Viens žurnāla fails var saturēt tūkstošus teksta ierakstus, tādēļ, ja jūs lasāt tos ar Notepad, atspējojiet vārdu aploksni, lai saglabātu kolonnas formatējumu. Ja skatāties žurnāla failu izklājlapā, visi logi loģiski tiek parādīti slejās, lai atvieglotu analīzi.

Ekrānā galvenajā logā "Windows ugunsmūris ar uzlaboto drošību" ritiniet uz leju, līdz tiek parādīta saite "Uzraudzība". Informācijas rūtī sadaļā "Pierakstīšanās iestatījumi" noklikšķiniet uz faila ceļa blakus "Faila nosaukums". Grāmatzīme tiek atvērta Notepad.

Tulkošana Windows ugunsmūra žurnālā

Windows ugunsmūra drošības žurnāls satur divas sadaļas. Galvenē ir statiska, aprakstoša informācija par žurnāla versiju un pieejamajiem laukiem. Žurnāla pamatteksts ir apkopoti dati, kas ievadīti satiksmes rezultātā, kas mēģina šķērso ugunsmūri. Tas ir dinamisks saraksts, un jaunie ieraksti joprojām tiek parādīti žurnāla apakšdaļā. Lauki ir rakstīti no lapas uz otru pa labi. (-) tiek izmantots, ja laukam nav ierakstu.

Saskaņā ar Microsoft Technet dokumentāciju log faila galvene satur:

Versija - parāda, kura Windows ugunsmūra drošības žurnāla versija ir instalēta.
Programmatūra - parāda programmatūras, kas izveido žurnālu, nosaukumu.
Laiks - Norāda, ka visa žurnāla laika zīmes informācija ir vietējā laikā.
Lauki - tiek parādīts to lauku saraksts, kas ir pieejami drošības žurnāla ierakstiem, ja dati ir pieejami.

Lai gan žurnāla faila pamatteksts satur:

datums - datuma lauks norāda datumu formātā YYYY-MM-DD.
laiks - vietējais laiks tiek parādīts log failā, izmantojot formātu HH: MM: SS. Darba stundas ir norādītas 24 stundu formātā.
darbība - Tā kā ugunsmūris apstrādā datplūsmu, tiek reģistrētas noteiktas darbības. Pieteiktie pasākumi ir DROP savienojuma noklusēšanai, ATVĒRTI savienojuma atvēršanai, CLOSE savienojuma aizvēršanai, OPEN-INBOUND vietējai datoram atvērtā sesijā un INFO-EVENTS-LOST notikumiem, ko apstrādā Windows ugunsmūris, bet netika ierakstīti drošības žurnālā.
protokols - izmanto protokolu, piemēram, TCP, UDP vai ICMP.
src-ip - parāda avota IP adresi (datora IP adresi, kas mēģina izveidot komunikāciju).
dst-ip - parāda savienojuma mēģinājuma galamērķa IP adresi.
src-port - porta numurs sūtītājā datorā, no kura tika mēģināts izveidot savienojumu.
dst-port - osta, uz kuru sūtītājs mēģināja izveidot savienojumu.
lielums - parāda paketes izmēru baitos.
tcpflags - Informācija par TCP kontrolkariņām TCP galvenēs.
tcpsyn - parāda TCP sērijas numuru paketē.
tcpack - parāda TCP apstiprinājuma numuru paketē.
tcpwin - parāda TCP loga lielumu, baitos, paketē.
icmptype - informācija par ICMP ziņojumiem.
icmpcode - Informācija par ICMP ziņojumiem.
info - parāda ierakstu, kas ir atkarīgs no notikušā darbības veida.
ceļš - parāda komunikācijas virzienu. Pieejamās opcijas ir SEND, RECEIVE, FORWARD un UNKNOWN.

Kā jūs pamanījāt, žurnāla ieraksts patiešām ir liels un katrā notikumā var būt līdz 17 informācijas vienībām. Tomēr vispārējai analīzei ir svarīgi tikai pirmie astoņi informācijas elementi. Tagad ar informāciju, kas atrodas jūsu rokā, jūs varat analizēt informāciju par ļaunprātīgu darbību vai atkļūdošanas lietojumprogrammu kļūmēm.

Ja jums ir aizdomas par jebkādu ļaunprātīgu darbību, tad atveriet žurnāla failu Piezīmju tabulā un filtru visus žurnāla ierakstus, izmantojot darbību DROP, un atzīmējiet, vai galamērķa IP adrese beidzas ar numuru, kas nav 255. Ja atrodat daudzus šādus ierakstus, tad ņemiet vērā piezīme par paketes galamērķa IP adresēm. Kad esat pabeidzis problēmas novēršanu, varat atspējot ugunsmūra mežizstrādi.

Tīkla problēmu novēršana dažkārt var būt diezgan bīstama, un ieteicama laba prakse, kad Windows ugunsmūris tiek novērsts, lai iespējotu vietējos žurnālus. Kaut arī Windows ugunsmūra žurnāla fails nav noderīgs, lai analizētu kopējo tīkla drošību, joprojām ir laba prakse, ja vēlaties kontrolēt to, kas notiek aiz skata.