Як відстежувати активність брандмауера за допомогою журналу брандмауера Windows

У процесі фільтрації інтернет-трафіку всі брандмауери мають певну функцію реєстрації, яка документує, як брандмауер обробляє різні типи трафіку. Ці журнали можуть надавати цінну інформацію, наприклад, IP-адреси джерела та призначення, номери портів і протоколи. Ви також можете використовувати файл журналу брандмауера Windows для відстеження з'єднань TCP і UDP і пакетів, які блокуються брандмауером.

Чому і коли журнал брандмауера є корисним

1. Щоб перевірити, чи додано знову додані правила брандмауера, чи їх налагодження, якщо вони не працюють, як очікувалося.
2. Щоб визначити, чи є брандмауер Windows причиною збоїв у роботі програми - за допомогою функції реєстрації брандмауера ви можете перевірити відключення портів, динамічні відкриття портів, проаналізувати знижені пакети за допомогою поштових і термінових прапорів і проаналізувати знижені пакети.
3. Щоб допомогти та виявити зловмисну ​​діяльність - за допомогою функції реєстрації брандмауера ви можете перевірити, чи відбувається будь-яка шкідлива діяльність у вашій мережі чи ні, хоча ви повинні пам'ятати, що вона не надає інформацію, необхідну для відстеження джерела діяльності.
4. Якщо ви помітили кілька невдалих спроб доступу до брандмауера та / або інших систем високого профілю з однієї IP-адреси (або групи IP-адрес), ви можете написати правило, щоб вилучити всі з'єднання з цього простору IP (переконавшись, що IP-адреса не підробляється).
5. Вихідні з'єднання, що надходять із внутрішніх серверів, таких як веб-сервери, можуть свідчити про те, що хтось використовує вашу систему для запуску атак на комп'ютери, розташовані в інших мережах.

Як створити файл журналу

За замовчуванням файл журналу вимкнено, що означає, що в файл журналу не записується жодна інформація. Щоб створити файл журналу, натисніть клавішу "Win + R", щоб відкрити вікно Виконати. Введіть “wf.msc” і натисніть Enter. З'явиться екран «Брандмауер Windows з розширеною безпекою». У правій частині екрана натисніть "Властивості".

З'явиться нове діалогове вікно. Тепер натисніть вкладку "Private Profile" і виберіть "Customize" у розділі "Logging Section".

Відкриється нове вікно, з якого на екрані вибирається максимальний розмір журналу, місце розташування, а також, чи потрібно реєструвати лише випали пакети, успішне з'єднання або те й інше. Знищений пакет - це пакет, який заблокований брандмауером Windows. Успішне підключення стосується як вхідних, так і будь-яких з'єднань, здійснених через Інтернет, але не завжди означає, що зловмисник успішно підключився до вашого комп'ютера.

За замовчуванням брандмауер Windows записує записи журналу % SystemRoot% System32 LogFiles Брандмауер Pfirewall.log і зберігає лише останні 4 Мб даних. У більшості виробничих середовищ цей журнал буде постійно записуватися на жорсткий диск, і якщо ви зміните обмеження розміру файлу журналу (для реєстрації діяльності протягом тривалого періоду часу), це може призвести до впливу на продуктивність. Тому слід увімкнути реєстрацію лише тоді, коли активно вирішувати проблему, а потім негайно вимикати журнал, коли ви закінчите.

Далі натисніть вкладку "Public Profile" і повторіть ті самі кроки, що й для вкладки "Private Profile". Тепер увімкнено журнал для приватних і загальнодоступних мережевих з'єднань. Файл журналу буде створений у розширеному форматі журналу W3C (.log), який можна вивчити за допомогою текстового редактора за вашим вибором або імпортувати їх у електронну таблицю. Один файл журналу може містити тисячі текстових записів, тому, якщо ви читаєте їх через Блокнот, вимкніть перенесення слів, щоб зберегти форматування стовпців. Якщо ви переглядаєте файл журналу в електронній таблиці, всі поля будуть логічно відображатися в стовпцях для спрощення аналізу.

На головному екрані "Брандмауер Windows з розширеною безпекою" прокрутіть вниз, поки не з'явиться посилання "Моніторинг". В області відомостей у розділі "Налаштування журналу" натисніть шлях до файла "Ім'я файлу". Журнал відкривається в "Блокноті"..

Інтерпретація журналу брандмауера Windows

Журнал безпеки брандмауера Windows містить два розділи. Заголовок надає статичну, описову інформацію про версію журналу і доступні поля. Корпус журналу - це скомпільовані дані, які вводяться в результаті трафіку, який намагається перетнути брандмауер. Це динамічний список, і нові записи продовжують відображатися внизу журналу. Поля записуються зліва направо по сторінці. Значок (-) використовується, коли для поля немає запису.

Згідно з документацією Microsoft Technet, заголовок файлу журналу містить:

Версія - відображає версію журналу безпеки брандмауера Windows.
Програмне забезпечення - відображає назву програмного забезпечення, що створює журнал.
Час - вказує, що всі дані часової мітки в журналі відображаються в місцевому часі.
Поля - Відображає список полів, доступних для записів журналу безпеки, якщо доступні дані.

Хоча в тілі файлу журналу містяться:

date - поле дати визначає дату у форматі YYYY-MM-DD.
time - Локальний час відображається у файлі журналу, використовуючи формат HH: MM: SS. На годинник використовується 24-годинний формат.
action - Коли брандмауер обробляє трафік, записуються певні дії. Записані дії є DROP для скидання з'єднання, OPEN для відкриття з'єднання, CLOSE для закриття з'єднання, OPEN-INBOUND для вхідного сеансу, відкритого для локального комп'ютера, і INFO-EVENTS-LOST для подій, оброблених брандмауером Windows, але не були записані в журнал безпеки.
protocol - використовуваний протокол, наприклад TCP, UDP або ICMP.
src-ip - відображає IP-адресу джерела (IP-адреса комп'ютера, який намагається встановити зв'язок).
dst-ip - відображає IP-адресу призначення спроби з'єднання.
src-port - номер порту комп'ютера-відправника, з якого було здійснено підключення.
dst-port - порт, до якого відправляючий комп'ютер намагався встановити з'єднання.
size - відображає розмір пакета в байтах.
tcpflags - Інформація про прапори управління TCP в заголовках TCP.
tcpsyn - Відображає порядковий номер TCP у пакеті.
tcpack - відображає номер підтвердження TCP у пакеті.
tcpwin - відображає розмір вікна TCP у байтах в пакеті.
icmptype - Інформація про повідомлення ICMP.
icmpcode - Інформація про повідомлення ICMP.
info - відображає запис, що залежить від типу дії, що сталася.
path - відображає напрямок зв'язку. Доступні опції: SEND, RECEIVE, FORWARD і UNKNOWN.

Як ви помітили, запис журналу дійсно великий і може містити до 17 частин інформації, пов'язаних з кожною подією. Однак для загального аналізу важливі лише перші вісім відомостей. Завдяки деталям у вашій руці тепер ви можете проаналізувати інформацію про зловмисну ​​активність або відладку збоїв додатків.

Якщо ви підозрюєте будь-яку зловмисну ​​активність, відкрийте файл журналу в "Блокноті" та відфільтруйте всі записи журналу за допомогою DROP у полі дії та занотуйте, чи закінчується адреса IP адресату іншим числом, ніж 255. Примітка IP-адрес призначення пакетів. Після того як ви вирішите проблему, можна вимкнути реєстрацію брандмауера.

Усунення несправностей у мережі може бути досить складним часом, а також рекомендованою практикою при усуненні несправностей брандмауера Windows, щоб увімкнути власні журнали. Хоча файл журналу брандмауера Windows не є корисним для аналізу загальної безпеки вашої мережі, він залишається гарною практикою, якщо ви хочете контролювати, що відбувається за лаштунками.