Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows
V průběhu filtrování internetového provozu mají všechny firewally určitý typ funkce protokolování, která dokumentuje, jak firewall zpracovává různé typy provozu. Tyto protokoly mohou poskytovat cenné informace, jako jsou zdrojové a cílové adresy IP, čísla portů a protokoly. Protokol TCP a UDP a pakety zablokované firewallem můžete také použít soubor protokolu brány firewall systému Windows
Proč a kdy je protokolování brány firewall užitečné
- Chcete-li ověřit, zda nově přidaná pravidla brány firewall fungují správně nebo zda je chcete ladit pokud nefungují podle očekávání
- Chcete-li zjistit, zda je brána firewall systému Windows příčinou selhání aplikace - pomocí funkce protokolování brány firewall můžete zkontrolovat, zda jsou zakázané otvory portů, dynamické otvory portů, analyzovat vynechané pakety pomocí příznaků naléhavých a naléhavých a analyzovat
- Chcete-li pomoci a identifikovat škodlivou aktivitu - pomocí funkce protokolování brány firewall můžete zkontrolovat, zda v síti dochází k nějaké škodlivé aktivitě, ačkoli musíte mít na paměti, že neposkytuje informace potřebné ke sledování
- Pokud zaznamenáte opakované neúspěšné pokusy o přístup k bráně firewall a / nebo jiným vysokorychlostním systémům z jedné adresy IP (nebo skupiny IP adres), pak byste chtěli (9)> Odchozí připojení pocházející z interních serverů, jako jsou webové servery, by mohlo znamenat, že někdo používá váš systém spustit útoky proti počítačům umístěným v jiných sítích
- Jak generovat soubor protokolu
Ve výchozím nastavení je soubor protokolu zakázán, což znamená, že do souboru protokolu nejsou zapsány žádné informace. Chcete-li vytvořit soubor protokolu, stiskněte "Win key + R" pro otevření pole Run. Zadejte "wf.msc" a stiskněte klávesu Enter. Objeví se obrazovka "Brána firewall systému Windows s pokročilým zabezpečením". Na pravé straně obrazovky klikněte na položku Vlastnosti.
Zobrazí se nové dialogové okno. Nyní klikněte na záložku "Soukromý profil" a v sekci "Protokolování" vyberte "Přizpůsobit".
Otevře se nové okno a z této obrazovky zvolte maximální velikost, umístění a zda se mají protokolovat pouze vynechané pakety, oba. Zneškodený paket je paket zablokovaný v bráně Windows Firewall. Úspěšné připojení se týká jak příchozích připojení, tak jakýchkoli připojení, která jste provedli prostřednictvím Internetu, ale ne vždy to znamená, že se útočník úspěšně připojil k počítači.
Ve výchozím nastavení zapíše brána Windows Firewall položky protokolu do
% SystemRoot% System32 LogFiles Firewall Pfirewall.loga ukládá pouze poslední 4 MB dat. Ve většině výrobních prostředích bude tento protokol neustále zapisovat na pevný disk a pokud změníte limit velikosti souboru protokolu (k zaznamenání aktivity po dlouhou dobu), může to mít vliv na výkon. Z tohoto důvodu byste měli povolit protokolování pouze v případě, že jste aktivně vyřešili problém a poté okamžitě zakažte protokolování po dokončení.Dále klikněte na kartu "Veřejný profil" a zopakujte stejné kroky, jaké jste učinili pro kartu "Soukromý profil" . Nyní jste zapnuli protokol pro soukromé i veřejné připojení k síti. Soubor protokolu bude vytvořen ve formátu rozšířeného protokolu W3C (.log), který můžete provést pomocí textového editoru dle vlastního výběru nebo importovat do tabulkového procesoru. Jeden soubor protokolu může obsahovat tisíce textových položek, takže pokud je čtete pomocí programu Poznámkový blok, pak zakázat obtékání slov, aby se zachovalo formátování sloupců. Pokud prohlížíte soubor protokolu v tabulce, pak budou všechna pole logicky zobrazena ve sloupcích pro snadnější analýzu.
Na hlavní obrazovce "Brána firewall systému Windows s pokročilým zabezpečením" přejděte dolů, dokud se nezobrazí odkaz "Monitorování". V podokně Podrobnosti v části "Nastavení protokolování" klepněte na cestu k souboru vedle položky "Název souboru". Záznam se otevře v programu Poznámkový blok.
Interpretace protokolu brány firewall systému Windows
Záznam zabezpečení brány firewall systému Windows obsahuje dvě části. Záhlaví poskytuje statické popisné informace o verzi protokolu a dostupné pole. Těleso protokolu je zkompilovaná data, která je zadána jako výsledek provozu, který se pokouší překročit bránu firewall. Jedná se o dynamický seznam a nové záznamy se stále zobrazují ve spodní části protokolu. Políčka jsou napsána zleva doprava po stránce. (<)
Podle dokumentace Microsoft Techet záhlaví souboru protokolu obsahuje:
Verze - Zobrazuje, která verze protokolu zabezpečení brány firewall systému Windows je nainstalována.
Software - Zobrazuje název softwaru, který vytváří protokol
Čas - Označuje, že všechny informace o časových značkách v protokolu jsou v místním čase.
Pole - Zobrazí seznam polí dostupných pro protokol zabezpečení pokud data jsou k dispozici
Zatímco tělo souboru protokolu obsahuje:
datum - pole Datum určuje datum ve formátu YYYY-MM-DD.
čas - Místní čas je zobrazen v soubor protokolu pomocí formátu HH: MM: SS. Hodiny jsou uváděny ve 24hodinovém formátu.
akce - protože brána firewall zpracovává provoz, zaznamenávají se určité akce. Přihlášená akce jsou DROP pro zrušení připojení, OTEVŘENO pro otevření připojení, ZAVŘÍT pro uzavření spojení, OPEN-INBOUND pro příchozí relaci otevřené pro místní počítač a INFO-UDÁLOSTI-LOST pro události zpracované bránou Windows Firewall, ale nebyly zaznamenány do protokolu zabezpečení
protokol - použitý protokol jako TCP, UDP nebo ICMP
src-ip - zobrazí zdrojovou adresu IP (adresa IP počítače se pokouší o komunikaci).
dst-ip - Zobrazí cílovou adresu IP pokusu o připojení
src-port - Číslo portu na odesílajícím počítači, ze kterého bylo spojení provedeno. odesílající počítač se pokoušel o připojení
velikost - Zobrazuje velikost paketu v bajtech
tcpflags - informace o příznaky TCP kontroly v hlavičkách TCP
tcpsyn - Zobrazuje pořadové číslo TCP v paketu
tcpack - Zobrazí číslo potvrzení TCP v paketu
tcpwin - Zobrazí TCP w
icmptype - informace o ICMP zprávách
icmpcode - informace o ICMP zprávách
info - Zobrazuje záznam, který závisí na typu akce, která se vyskytla.
cesta - Zobrazuje směr komunikace. Dostupné možnosti jsou SEND, RECEIVE, FORWARD a UNKNOWN.
Jak si všimnete, záznam je skutečně velký a může obsahovat až 17 informací spojených s každou událostí. Pro obecnou analýzu jsou však důležité pouze prvé osm informací. S podrobnostmi v ruce můžete nyní analyzovat informace o chybných aktivitách nebo selhání aplikací při ladění.
Pokud máte podezření na jakoukoli škodlivou aktivitu, otevřete soubor protokolu v programu Poznámkový blok a filtrujte všechny položky protokolu pomocí DROP v poli akce a poznamenejte si, zda cílová adresa IP končí jiným číslem než 255. Pokud najdete mnoho takových položek, pak si všimněte cílové adresy IP paketů. Jakmile dokončíte řešení problému, můžete vypnout protokolování firewallu.
Řešení potíží se sítí může být občas obtížné a doporučenou správnou praxí při odstraňování potíží se systémem Windows Firewall je povolit přirozené protokoly. Ačkoli soubor protokolu brány firewall systému Windows není užitečný pro analýzu celkové bezpečnosti vaší sítě, stále zůstává dobrým postupem, pokud chcete sledovat, co se děje za scénou.
Jak zakázat iCloud Photo Syncing v OS X Photos
Společnost Apple konečně vzala obálky z iPhoto nástupce: Fotografie. Dosud je to skvělé, ale nejsme si jisti, že všichni budou nadšeni integrací iCloud. Zde je návod, jak provést úpravy funkcí iCloud ve Photosu nebo je úplně vypnout. Fotografie se již dlouho objevují. Vývoj na platformě iPhoto, který byl od roku 2002 aplikací pro úpravu fotografií a knihovnu Apple, byl ukončen v roce 2014.
Jak převést dokument Dokumentů Google do formátu Microsoft Office
Dokumenty Google, Tabulky, Prezentace a další aplikace Google ve výchozím nastavení ukládají dokumenty ve vlastních formátech Google. Tyto dokumenty však můžete stáhnout na pevný disk jako soubory Microsoft Office, ať už chcete pouze jeden dokument nebo celou knihovnu Dokumentů Google. I když používáte Disk Google k synchronizaci souborů dokumentu s počítačem nebo Mac, Soubory .
