cs.phhsnews.com


cs.phhsnews.com / Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows

Jak sledovat aktivitu brány firewall pomocí protokolu brány firewall systému Windows


V průběhu filtrování internetového provozu mají všechny firewally určitý typ funkce protokolování, která dokumentuje, jak firewall zpracovává různé typy provozu. Tyto protokoly mohou poskytovat cenné informace, jako jsou zdrojové a cílové adresy IP, čísla portů a protokoly. Protokol TCP a UDP a pakety zablokované firewallem můžete také použít soubor protokolu brány firewall systému Windows

Proč a kdy je protokolování brány firewall užitečné

  1. Chcete-li ověřit, zda nově přidaná pravidla brány firewall fungují správně nebo zda je chcete ladit pokud nefungují podle očekávání
  2. Chcete-li zjistit, zda je brána firewall systému Windows příčinou selhání aplikace - pomocí funkce protokolování brány firewall můžete zkontrolovat, zda jsou zakázané otvory portů, dynamické otvory portů, analyzovat vynechané pakety pomocí příznaků naléhavých a naléhavých a analyzovat
  3. Chcete-li pomoci a identifikovat škodlivou aktivitu - pomocí funkce protokolování brány firewall můžete zkontrolovat, zda v síti dochází k nějaké škodlivé aktivitě, ačkoli musíte mít na paměti, že neposkytuje informace potřebné ke sledování
  4. Pokud zaznamenáte opakované neúspěšné pokusy o přístup k bráně firewall a / nebo jiným vysokorychlostním systémům z jedné adresy IP (nebo skupiny IP adres), pak byste chtěli (9)> Odchozí připojení pocházející z interních serverů, jako jsou webové servery, by mohlo znamenat, že někdo používá váš systém spustit útoky proti počítačům umístěným v jiných sítích
  5. Jak generovat soubor protokolu

Ve výchozím nastavení je soubor protokolu zakázán, což znamená, že do souboru protokolu nejsou zapsány žádné informace. Chcete-li vytvořit soubor protokolu, stiskněte "Win key + R" pro otevření pole Run. Zadejte "wf.msc" a stiskněte klávesu Enter. Objeví se obrazovka "Brána firewall systému Windows s pokročilým zabezpečením". Na pravé straně obrazovky klikněte na položku Vlastnosti.

Zobrazí se nové dialogové okno. Nyní klikněte na záložku "Soukromý profil" a v sekci "Protokolování" vyberte "Přizpůsobit".

Otevře se nové okno a z této obrazovky zvolte maximální velikost, umístění a zda se mají protokolovat pouze vynechané pakety, oba. Zneškodený paket je paket zablokovaný v bráně Windows Firewall. Úspěšné připojení se týká jak příchozích připojení, tak jakýchkoli připojení, která jste provedli prostřednictvím Internetu, ale ne vždy to znamená, že se útočník úspěšně připojil k počítači.

Ve výchozím nastavení zapíše brána Windows Firewall položky protokolu do

% SystemRoot% System32 LogFiles Firewall Pfirewall.loga ukládá pouze poslední 4 MB dat. Ve většině výrobních prostředích bude tento protokol neustále zapisovat na pevný disk a pokud změníte limit velikosti souboru protokolu (k zaznamenání aktivity po dlouhou dobu), může to mít vliv na výkon. Z tohoto důvodu byste měli povolit protokolování pouze v případě, že jste aktivně vyřešili problém a poté okamžitě zakažte protokolování po dokončení.Dále klikněte na kartu "Veřejný profil" a zopakujte stejné kroky, jaké jste učinili pro kartu "Soukromý profil" . Nyní jste zapnuli protokol pro soukromé i veřejné připojení k síti. Soubor protokolu bude vytvořen ve formátu rozšířeného protokolu W3C (.log), který můžete provést pomocí textového editoru dle vlastního výběru nebo importovat do tabulkového procesoru. Jeden soubor protokolu může obsahovat tisíce textových položek, takže pokud je čtete pomocí programu Poznámkový blok, pak zakázat obtékání slov, aby se zachovalo formátování sloupců. Pokud prohlížíte soubor protokolu v tabulce, pak budou všechna pole logicky zobrazena ve sloupcích pro snadnější analýzu.

Na hlavní obrazovce "Brána firewall systému Windows s pokročilým zabezpečením" přejděte dolů, dokud se nezobrazí odkaz "Monitorování". V podokně Podrobnosti v části "Nastavení protokolování" klepněte na cestu k souboru vedle položky "Název souboru". Záznam se otevře v programu Poznámkový blok.

Interpretace protokolu brány firewall systému Windows

Záznam zabezpečení brány firewall systému Windows obsahuje dvě části. Záhlaví poskytuje statické popisné informace o verzi protokolu a dostupné pole. Těleso protokolu je zkompilovaná data, která je zadána jako výsledek provozu, který se pokouší překročit bránu firewall. Jedná se o dynamický seznam a nové záznamy se stále zobrazují ve spodní části protokolu. Políčka jsou napsána zleva doprava po stránce. (<)

Podle dokumentace Microsoft Techet záhlaví souboru protokolu obsahuje:

Verze - Zobrazuje, která verze protokolu zabezpečení brány firewall systému Windows je nainstalována.

Software - Zobrazuje název softwaru, který vytváří protokol
Čas - Označuje, že všechny informace o časových značkách v protokolu jsou v místním čase.
Pole - Zobrazí seznam polí dostupných pro protokol zabezpečení pokud data jsou k dispozici
Zatímco tělo souboru protokolu obsahuje:

datum - pole Datum určuje datum ve formátu YYYY-MM-DD.

čas - Místní čas je zobrazen v soubor protokolu pomocí formátu HH: MM: SS. Hodiny jsou uváděny ve 24hodinovém formátu.
akce - protože brána firewall zpracovává provoz, zaznamenávají se určité akce. Přihlášená akce jsou DROP pro zrušení připojení, OTEVŘENO pro otevření připojení, ZAVŘÍT pro uzavření spojení, OPEN-INBOUND pro příchozí relaci otevřené pro místní počítač a INFO-UDÁLOSTI-LOST pro události zpracované bránou Windows Firewall, ale nebyly zaznamenány do protokolu zabezpečení
protokol - použitý protokol jako TCP, UDP nebo ICMP
src-ip - zobrazí zdrojovou adresu IP (adresa IP počítače se pokouší o komunikaci).
dst-ip - Zobrazí cílovou adresu IP pokusu o připojení
src-port - Číslo portu na odesílajícím počítači, ze kterého bylo spojení provedeno. odesílající počítač se pokoušel o připojení
velikost - Zobrazuje velikost paketu v bajtech
tcpflags - informace o příznaky TCP kontroly v hlavičkách TCP
tcpsyn - Zobrazuje pořadové číslo TCP v paketu
tcpack - Zobrazí číslo potvrzení TCP v paketu
tcpwin - Zobrazí TCP w
icmptype - informace o ICMP zprávách
icmpcode - informace o ICMP zprávách
info - Zobrazuje záznam, který závisí na typu akce, která se vyskytla.
cesta - Zobrazuje směr komunikace. Dostupné možnosti jsou SEND, RECEIVE, FORWARD a UNKNOWN.
Jak si všimnete, záznam je skutečně velký a může obsahovat až 17 informací spojených s každou událostí. Pro obecnou analýzu jsou však důležité pouze prvé osm informací. S podrobnostmi v ruce můžete nyní analyzovat informace o chybných aktivitách nebo selhání aplikací při ladění.
Pokud máte podezření na jakoukoli škodlivou aktivitu, otevřete soubor protokolu v programu Poznámkový blok a filtrujte všechny položky protokolu pomocí DROP v poli akce a poznamenejte si, zda cílová adresa IP končí jiným číslem než 255. Pokud najdete mnoho takových položek, pak si všimněte cílové adresy IP paketů. Jakmile dokončíte řešení problému, můžete vypnout protokolování firewallu.

Řešení potíží se sítí může být občas obtížné a doporučenou správnou praxí při odstraňování potíží se systémem Windows Firewall je povolit přirozené protokoly. Ačkoli soubor protokolu brány firewall systému Windows není užitečný pro analýzu celkové bezpečnosti vaší sítě, stále zůstává dobrým postupem, pokud chcete sledovat, co se děje za scénou.


Jak nastavit server domácího média, který můžete získat z libovolného zařízení

Jak nastavit server domácího média, který můžete získat z libovolného zařízení

Místní mediální servery zmizely. Společnost Microsoft již nevytváří systém Windows Home Server a postupně ukončí program Windows Media Center. Existují však ještě skvělé řešení, pokud chcete spustit domácí server médií a streamovat do všech vašich zařízení. Jistě, stačí připojit počítač k televizoru, ale poskytují pohodlné rozhraní ve všech vašich zařízeních.

(how-to)

Odstraňování 100% využití disku v systému Windows 10

Odstraňování 100% využití disku v systému Windows 10

Nedávno jsem psal o odstraňování problémů s Windows 10 mrazem a v tomto příspěvku budu mluvit o řešení problému jiného poměrně běžného problému, kterým je používání disku, který ukazuje 100% po celou dobu. Všiml jsem si, že tato podmínka platí zejména na přenosných počítačích.Během několika sekund nebo dokonce p

(How-to)