Πώς να παρακολουθείτε τη δραστηριότητα τείχους προστασίας με το αρχείο καταγραφής τείχους προστασίας των Windows
Κατά τη διαδικασία φιλτραρίσματος της ροής στο Διαδίκτυο, όλα τα τείχη προστασίας έχουν κάποια λειτουργία καταγραφής που καταγράφει πώς το τείχος προστασίας χειρίστηκε διάφορα είδη κυκλοφορίας. Αυτά τα αρχεία καταγραφής μπορούν να παρέχουν πολύτιμες πληροφορίες, όπως διευθύνσεις IP προέλευσης και προορισμού, αριθμούς θυρών και πρωτόκολλα. Μπορείτε επίσης να χρησιμοποιήσετε το αρχείο καταγραφής τείχους προστασίας των Windows για την παρακολούθηση των συνδέσεων TCP και UDP και των πακέτων που αποκλείονται από το τείχος προστασίας.
Γιατί και πότε η καταγραφή τείχους προστασίας είναι χρήσιμη - Για να επαληθεύσετε εάν οι πρόσφατα προστιθέμενοι κανόνες τείχους προστασίας λειτουργούν σωστά ή για να εντοπίσουν σφάλματα αν δεν λειτουργούν όπως αναμένεται.
- Για να προσδιορίσετε εάν το τείχος προστασίας των Windows είναι η αιτία των βλαβών της εφαρμογής - Με τη δυνατότητα καταγραφής του τείχους προστασίας μπορείτε να ελέγξετε τα ανοίγματα θύρας, τα δυναμικά ανοίγματα θύρας, να αναλύσετε πακέτα που έχουν αποσυρθεί με πινακίδες ώθησης και επείγουσας ανάγκης και να αναλύσετε πακέτα.
- Για να βοηθήσετε και να εντοπίσετε κακόβουλη δραστηριότητα - Με τη λειτουργία καταγραφής τείχους προστασίας μπορείτε να ελέγξετε αν υπάρχει κακόβουλη δραστηριότητα στο δίκτυό σας ή όχι, παρόλο που πρέπει να θυμάστε ότι δεν παρέχει τις πληροφορίες που απαιτούνται για τον εντοπισμό της πηγής της δραστηριότητας.
- Αν παρατηρήσετε επαναλαμβανόμενες ανεπιτυχείς προσπάθειες πρόσβασης στο τείχος προστασίας σας ή / και σε άλλα συστήματα υψηλού προφίλ από μια διεύθυνση IP (ή μια ομάδα διευθύνσεων IP), τότε ίσως θελήσετε να γράψετε έναν κανόνα για να αποθέσετε όλες τις συνδέσεις από αυτό το διάστημα IP Η διεύθυνση IP δεν είναι πλαστογραφημένη).
- Οι εξερχόμενες συνδέσεις που προέρχονται από εσωτερικούς διακομιστές, όπως οι διακομιστές Web, μπορεί να είναι ένδειξη ότι κάποιος χρησιμοποιεί το σύστημά σας για να εκκινήσει επιθέσεις σε υπολογιστές που βρίσκονται σε άλλα δίκτυα.
Πώς να δημιουργήσετε το αρχείο καταγραφής
Από προεπιλογή, το αρχείο καταγραφής είναι απενεργοποιημένο, πράγμα που σημαίνει ότι δεν καταχωρούνται πληροφορίες στο αρχείο καταγραφής. Για να δημιουργήσετε ένα αρχείο καταγραφής, πατήστε "Win key + R" για να ανοίξετε το πλαίσιο Run. Πληκτρολογήστε "wf.msc" και πατήστε Enter. Εμφανίζεται η οθόνη "Τείχος προστασίας των Windows με προχωρημένη ασφάλεια". Στη δεξιά πλευρά της οθόνης, κάντε κλικ στην επιλογή "Ιδιότητες".
Εμφανίζεται ένα νέο παράθυρο διαλόγου. Τώρα κάντε κλικ στην καρτέλα "Ιδιωτικό προφίλ" και επιλέξτε "Προσαρμογή" στην ενότητα "Καταγραφή".
Ανοίγει ένα νέο παράθυρο και από αυτήν την οθόνη επιλέξτε το μέγιστο μέγεθος καταγραφής, τη θέση και εάν θέλετε να καταγράψετε μόνο πακέτα που έπεσαν, επιτυχή σύνδεση ή και τα δύο. Ένα μειωμένο πακέτο είναι ένα πακέτο που έχει αποκλείσει το Τείχος προστασίας των Windows. Μια επιτυχημένη σύνδεση αναφέρεται τόσο στις εισερχόμενες συνδέσεις όσο και σε οποιαδήποτε σύνδεση έχετε κάνει μέσω του Διαδικτύου, αλλά δεν σημαίνει πάντοτε ότι ένας εισβολέας έχει συνδεθεί με επιτυχία στον υπολογιστή σας.
Από προεπιλογή, το Τείχος προστασίας των Windows (Windows Firewall) γράφει καταχωρήσεις καταγραφής σε % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
και αποθηκεύει μόνο τα τελευταία 4 MB δεδομένων. Στα περισσότερα περιβάλλοντα παραγωγής, αυτό το αρχείο καταγραφής θα γράφει συνεχώς στον σκληρό σας δίσκο και αν αλλάξετε το όριο μεγέθους του αρχείου καταγραφής (για να καταγράψετε δραστηριότητα για μεγάλο χρονικό διάστημα) τότε μπορεί να προκαλέσει επιπτώσεις στην απόδοση. Για το λόγο αυτό, θα πρέπει να ενεργοποιήσετε την καταγραφή μόνο όταν αντιμετωπίζετε ενεργά προβλήματα και, στη συνέχεια, απενεργοποιείτε αμέσως την καταγραφή όταν τελειώσετε.
Στη συνέχεια, κάντε κλικ στην καρτέλα "Δημόσιο προφίλ" και επαναλάβετε τα ίδια βήματα που κάνατε για την καρτέλα "Προσωπικό προφίλ". Τώρα έχετε ενεργοποιήσει το αρχείο καταγραφής τόσο για ιδιωτικές όσο και για δημόσιες συνδέσεις δικτύου. Το αρχείο καταγραφής θα δημιουργηθεί σε μια εκτεταμένη μορφή αρχείου καταγραφής W3C (.log) που μπορείτε να εξετάσετε με ένα πρόγραμμα επεξεργασίας κειμένου της επιλογής σας ή να τα εισαγάγετε σε ένα υπολογιστικό φύλλο. Ένα ενιαίο αρχείο καταγραφής μπορεί να περιέχει χιλιάδες καταχωρίσεις κειμένου, οπότε αν τις διαβάζετε μέσα από το Σημειωματάριο (Notepad), απενεργοποιήστε την αναδίπλωση λέξεων για να διατηρήσετε τη μορφοποίηση της στήλης. Αν βλέπετε το αρχείο καταγραφής σε ένα υπολογιστικό φύλλο, τότε όλα τα πεδία θα εμφανίζονται λογικά σε στήλες για ευκολότερη ανάλυση.
Στην κύρια οθόνη "Τείχος προστασίας των Windows με προηγμένη ασφάλεια", μετακινηθείτε προς τα κάτω μέχρι να δείτε τον σύνδεσμο "Παρακολούθηση". Στο παράθυρο "Λεπτομέρειες", στην ενότητα "Ρυθμίσεις καταγραφής", κάντε κλικ στην διαδρομή αρχείου δίπλα στο "Όνομα αρχείου". Το αρχείο καταγραφής ανοίγει στο Σημειωματάριο.
Ερμηνεία του αρχείου καταγραφής τείχους προστασίας των Windows
Το αρχείο καταγραφής ασφαλείας του τείχους προστασίας των Windows περιέχει δύο ενότητες. Η κεφαλίδα παρέχει στατικές, περιγραφικές πληροφορίες σχετικά με την έκδοση του αρχείου καταγραφής και τα διαθέσιμα πεδία. Το σώμα του αρχείου καταγραφής είναι τα συγκεντρωμένα δεδομένα που εισάγονται ως αποτέλεσμα της κίνησης που προσπαθεί να διασχίσει το τείχος προστασίας. Πρόκειται για μια δυναμική λίστα και νέες καταχωρήσεις συνεχίζουν να εμφανίζονται στο κάτω μέρος του αρχείου καταγραφής. Τα πεδία γράφονται από αριστερά προς τα δεξιά σε ολόκληρη τη σελίδα. Το (-) χρησιμοποιείται όταν δεν υπάρχει διαθέσιμη καταχώρηση για το πεδίο.
Σύμφωνα με την τεκμηρίωση της Microsoft Technet, η κεφαλίδα του αρχείου καταγραφής περιέχει:
Έκδοση - Εμφανίζει την έκδοση του αρχείου ασφαλείας του Τείχους προστασίας των Windows που είναι εγκατεστημένη.
Λογισμικό - Εμφανίζει το όνομα του λογισμικού που δημιουργεί το αρχείο καταγραφής.
Ώρα - Υποδεικνύει ότι όλες οι πληροφορίες χρονικού σημείου στο αρχείο καταγραφής είναι σε τοπική ώρα.
Πεδία - Εμφανίζει μια λίστα με τα πεδία που είναι διαθέσιμα για τις καταχωρήσεις καταγραφής ασφαλείας, εάν υπάρχουν διαθέσιμα δεδομένα.
Ενώ το σώμα του αρχείου καταγραφής περιέχει:
Ημερομηνία - Το πεδίο ημερομηνίας προσδιορίζει την ημερομηνία στη μορφή ΕΕΕΕ-ΜΜ-ΔΔ.
ώρα - Η τοπική ώρα εμφανίζεται στο αρχείο καταγραφής χρησιμοποιώντας τη μορφή HH: MM: SS. Οι ώρες αναφέρονται σε μορφή 24 ωρών.
ενέργεια - Καθώς το τείχος προστασίας επεξεργάζεται την κυκλοφορία, καταγράφονται κάποιες ενέργειες. Οι καταγεγραμμένες ενέργειες είναι DROP για την απόρριψη μιας σύνδεσης, ΑΝΟΙΓΜΑ για το άνοιγμα μιας σύνδεσης, ΚΛΕΙΣΙΜΟ για το κλείσιμο μιας σύνδεσης, ΑΝΟΙΓΜΑ-ΕΙΣΟΔΟΣ για μια εισερχόμενη περίοδο σύνδεσης που ανοίγεται στον τοπικό υπολογιστή και INFO-EVENTS-LOST για συμβάντα που επεξεργάζεται το Τείχος προστασίας των Windows δεν καταγράφηκαν στο αρχείο καταγραφής ασφαλείας.
πρωτόκολλο - Το πρωτόκολλο που χρησιμοποιείται, όπως TCP, UDP ή ICMP.
src-ip - Εμφανίζει τη διεύθυνση IP πηγής (τη διεύθυνση IP του υπολογιστή που επιχειρεί να πραγματοποιήσει επικοινωνία).
dst-ip - Εμφανίζει τη διεύθυνση IP προορισμού μιας προσπάθειας σύνδεσης.
src-port - Ο αριθμός θύρας στον υπολογιστή αποστολής από τον οποίο επιχειρήθηκε η σύνδεση.
dst-port - Η θύρα στην οποία ο αποστολέας προσπαθούσε να κάνει σύνδεση.
μέγεθος - Εμφανίζει το μέγεθος του πακέτου σε byte.
tcpflags - Πληροφορίες σχετικά με τις σημαίες ελέγχου TCP στις κεφαλίδες TCP.
tcpsyn - Εμφανίζει τον αριθμό ακολουθίας TCP στο πακέτο.
tcpack - Εμφανίζει τον αριθμό επιβεβαίωσης TCP στο πακέτο.
tcpwin - Εμφανίζει το μέγεθος του παραθύρου TCP, σε bytes, στο πακέτο.
icmptype - Πληροφορίες για τα μηνύματα ICMP.
icmpcode - Πληροφορίες σχετικά με τα μηνύματα ICMP.
info - Εμφανίζει μια καταχώρηση που εξαρτάται από τον τύπο της ενέργειας που συνέβη.
διαδρομή - Εμφανίζει την κατεύθυνση της επικοινωνίας. Οι διαθέσιμες επιλογές είναι SEND, RECEIVE, FORWARD και ΑΓΝΩΣΤΟ.
Όπως παρατηρείτε, η καταχώρηση του ημερολογίου είναι πράγματι μεγάλη και μπορεί να έχει μέχρι και 17 στοιχεία πληροφοριών που σχετίζονται με κάθε εκδήλωση. Ωστόσο, μόνο οι πρώτες οκτώ πληροφορίες είναι σημαντικές για γενική ανάλυση. Με τις λεπτομέρειες στο χέρι σας μπορείτε τώρα να αναλύσετε τις πληροφορίες για κακόβουλη δραστηριότητα ή αποτυχίες εφαρμογών σφαλμάτων.
Αν υποψιάζεστε ότι υπάρχει κακόβουλη δραστηριότητα, ανοίξτε το αρχείο καταγραφής στο Σημειωματάριο και φιλτράρετε όλες τις καταχωρήσεις καταγραφής με το DROP στο πεδίο δράσης και σημειώστε εάν η διεύθυνση IP προορισμού τελειώνει με έναν αριθμό διαφορετικό από 255. Εάν βρείτε πολλές τέτοιες καταχωρήσεις, μια σημείωση των διευθύνσεων IP προορισμού των πακέτων. Αφού ολοκληρώσετε την αντιμετώπιση του προβλήματος, μπορείτε να απενεργοποιήσετε την καταγραφή του τείχους προστασίας.
Η αντιμετώπιση προβλημάτων δικτύου μπορεί να είναι αρκετά αποθαρρυντική κατά περιόδους και μια συνιστώμενη καλή πρακτική κατά την αντιμετώπιση προβλημάτων του Τείχους προστασίας των Windows είναι να ενεργοποιήσετε τα εγγενή αρχεία καταγραφής. Παρόλο που το αρχείο καταγραφής τείχους προστασίας των Windows δεν είναι χρήσιμο για την ανάλυση της συνολικής ασφάλειας του δικτύου σας, εξακολουθεί να παραμένει μια καλή πρακτική εάν θέλετε να παρακολουθείτε τι συμβαίνει πίσω από τις σκηνές.