Как отслеживать активность брандмауэра с помощью журнала брандмауэра Windows

В процессе фильтрации интернет-трафика все брандмауэры имеют функцию регистрации определенного типа, которая документирует, как брандмауэр обрабатывает различные типы трафика. Эти журналы могут предоставить ценную информацию, такую ​​как IP-адреса источника и назначения, номера портов и протоколы. Вы также можете использовать файл журнала брандмауэра Windows для мониторинга соединений TCP и UDP и пакетов, которые заблокированы брандмауэром.

Почему и когда полезно вести брандмауэр

1. Чтобы проверить, правильно ли работают новые добавленные правила брандмауэра, или отладить их, если они не работают должным образом.
2. Чтобы определить, является ли брандмауэр Windows причиной сбоев приложения - с помощью функции ведения журнала брандмауэра вы можете проверить наличие отключенных открытий портов, динамических открытий портов, анализировать отброшенные пакеты с помощью push-уведомлений и флагов срочности и анализировать отброшенные пакеты на пути отправки..
3. Чтобы помочь и идентифицировать вредоносные действия - с помощью функции ведения журнала брандмауэра вы можете проверить, происходит ли какое-либо вредоносное действие в вашей сети или нет, хотя вы должны помнить, что оно не предоставляет информацию, необходимую для отслеживания источника действия.
4. Если вы заметили неоднократные неудачные попытки доступа к вашему брандмауэру и / или другим системам с высоким профилем с одного IP-адреса (или группы IP-адресов), то вы можете написать правило для удаления всех соединений из этого IP-пространства (убедившись, что IP-адрес не был подделан).
5. Исходящие соединения, исходящие с внутренних серверов, таких как веб-серверы, могут указывать на то, что кто-то использует вашу систему для запуска атак на компьютеры, расположенные в других сетях..

Как создать файл журнала

По умолчанию файл журнала отключен, что означает, что информация не записывается в файл журнала. Чтобы создать файл журнала, нажмите «Win key + R», чтобы открыть окно «Выполнить». Введите «wf.msc» и нажмите Enter. Появится экран «Брандмауэр Windows в режиме повышенной безопасности». В правой части экрана нажмите «Свойства».

Появится новое диалоговое окно. Теперь перейдите на вкладку «Частный профиль» и выберите «Настройка» в разделе «Ведение журнала».

Откроется новое окно, и на этом экране выберите максимальный размер журнала, местоположение, а также, регистрировать ли только отброшенные пакеты, успешное подключение или оба. Отброшенный пакет - это пакет, заблокированный брандмауэром Windows. Успешное соединение относится как к входящим, так и к любому соединению, которое вы установили через Интернет, но это не всегда означает, что злоумышленник успешно подключился к вашему компьютеру..

По умолчанию брандмауэр Windows записывает записи журнала в % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log и хранит только последние 4 МБ данных. В большинстве производственных сред этот журнал будет постоянно записывать на жесткий диск, и если вы измените ограничение размера файла журнала (чтобы регистрировать активность в течение длительного периода времени), это может привести к снижению производительности. По этой причине вы должны включить ведение журнала только при активном устранении неполадок, а затем сразу же отключить ведение журнала, когда вы закончите.

Затем нажмите вкладку «Общий профиль» и повторите те же действия, которые вы делали для вкладки «Частный профиль». Теперь вы включили журнал для частных и общедоступных сетевых подключений. Файл журнала будет создан в расширенном формате журнала W3C (.log), который вы можете просмотреть в текстовом редакторе по своему выбору или импортировать в электронную таблицу. Один файл журнала может содержать тысячи текстовых записей, поэтому, если вы читаете их через Блокнот, отключите перенос слов, чтобы сохранить форматирование столбцов. Если вы просматриваете файл журнала в электронной таблице, все поля будут логически отображаться в столбцах для облегчения анализа..

На главном экране «Брандмауэр Windows в режиме повышенной безопасности» прокручивайте вниз, пока не увидите ссылку «Мониторинг». В области сведений в разделе «Параметры ведения журнала» щелкните путь к файлу рядом с «Имя файла». Журнал откроется в блокноте..

Интерпретация журнала брандмауэра Windows

Журнал безопасности брандмауэра Windows содержит два раздела. Заголовок содержит статическую описательную информацию о версии журнала и доступных полях. Тело журнала - это скомпилированные данные, которые вводятся в результате трафика, который пытается пересечь брандмауэр. Это динамический список, и новые записи продолжают появляться в нижней части журнала. Поля написаны слева направо по всей странице. (-) используется, когда для поля нет записи.

Согласно документации Microsoft Technet, заголовок файла журнала содержит:

Версия - показывает, какая версия журнала безопасности брандмауэра Windows установлена..
Software - отображает название программного обеспечения, создающего журнал.
Время - указывает, что вся информация о метках времени в журнале указана по местному времени..
Поля - отображает список полей, доступных для записей журнала безопасности, если данные доступны.

В то время как тело файла журнала содержит:

дата - поле даты идентифицирует дату в формате ГГГГ-ММ-ДД.
время - местное время отображается в файле журнала в формате ЧЧ: ММ: СС. Часы указаны в 24-часовом формате..
действие - поскольку брандмауэр обрабатывает трафик, определенные действия записываются. Записанными действиями являются DROP для сброса соединения, OPEN для открытия соединения, CLOSE для закрытия соединения, OPEN-INBOUND для входящего сеанса, открытого на локальном компьютере, и INFO-EVENTS-LOST для событий, обрабатываемых брандмауэром Windows, но не были зарегистрированы в журнале безопасности.
протокол - используемый протокол, такой как TCP, UDP или ICMP.
src-ip - отображает IP-адрес источника (IP-адрес компьютера, пытающегося установить связь).
dst-ip - отображает IP-адрес назначения попытки подключения.
src-port - номер порта отправляющего компьютера, с которого была предпринята попытка подключения.
dst-port - порт, к которому отправляющий компьютер пытался установить соединение.
размер - отображает размер пакета в байтах.
tcpflags - информация о контрольных флагах TCP в заголовках TCP.
tcpsyn - отображает порядковый номер TCP в пакете.
tcpack - отображает номер подтверждения TCP в пакете.
tcpwin - отображает размер окна TCP, в байтах, в пакете.
icmptype - информация о сообщениях ICMP.
icmpcode - информация о сообщениях ICMP.
info - отображает запись, которая зависит от типа совершенного действия.
путь - отображает направление связи. Доступны следующие варианты: ОТПРАВИТЬ, ПОЛУЧИТЬ, ВПЕРЕД и НЕИЗВЕСТНО.

Как вы заметили, запись в журнале действительно велика и может содержать до 17 элементов информации, связанных с каждым событием. Однако только первые восемь частей информации важны для общего анализа. Теперь, имея в руках подробности, вы можете анализировать информацию на предмет вредоносной активности или отладки приложений..

Если вы подозреваете какую-либо вредоносную активность, откройте файл журнала в Блокноте и отфильтруйте все записи журнала с помощью DROP в поле действия и отметьте, заканчивается ли IP-адрес назначения числом, отличным от 255. Если вы найдете много таких записей, то выполните примечание IP-адресов назначения пакетов. После устранения неполадки вы можете отключить ведение журнала брандмауэра..

Устранение неполадок с сетевыми проблемами может порой быть довольно устрашающим, и при устранении неполадок брандмауэра Windows рекомендуется использовать собственные журналы. Хотя файл журнала брандмауэра Windows бесполезен для анализа общей безопасности вашей сети, он все равно остается хорошей практикой, если вы хотите отслеживать происходящее за кулисами..