Что фиксирует журнал безопасности брандмауэра
Перейти к содержимому

Что фиксирует журнал безопасности брандмауэра

  • автор:

Настройка параметров брандмауэра.

Выберите кнопку Параметры в верхней части окна (рис.2).

В результате откроется окно Дополнительные параметры (рис. 3) с четырьмя закладками (параметры сетевого подключения, параметры по умолчанию, ведение журнала безопасности, протокол ICMP).

Выберите закладку Службы (рис. 4).

Примечание: На закладке службы Вы можете в явном виде указать службы Интернета, прохождение трафика, которых разрешено. Например, чтобы обеспечить прохождение web страниц из Интернета на компьютер, необходимо включить службу «Веб-сервер HTTP».

Отметьте все службы.

Выберите закладку Ведение журнала безопасности (рис. 5).

Примечание: Для брандмауэра подключение к Интернету предусмотрен журнал безопасности для записи событий, связанных с его работой. Журнал безопасности ICF поддерживает следующие возможности.

Запись пропущенных пакетов. Этот параметр задает запись в журнал сведений обо всех потерянных пакетах, исходящих из сети (компьютера) или из Интернета. Если установить флажок Записывать пропущенные пакеты, будут собираться сведения о каждом пакете, который пытается пройти через ICF, но был обнаружен и отвергнут брандмауэром.

Запись успешных подключений. Этот параметр задает запись в журнал сведений обо всех успешных подключениях, инициированных из сети (компьютера) или из Интернета.

Отметьте пункты Записывать пропущенные пакеты и Записывать успешные подключения. Обратите внимание на местоположение журнала безопасности.

Примечание: Журнал безопасности брандмауэра состоит из двух разделов. В заголовке журнала содержатся сведения о версии журнала и полях, в которые можно записывать данные. Содержимое заголовка имеет вид статического списка. Содержимое журнала безопасности представляет собой откомпилированные данные, которые вводятся при обнаружении трафика, пытающегося пройти через брандмауэр. Поля журнала заполняются слева на право, как они расположены на странице. Для того чтобы в журнал вводились данные, необходимо выбрать хотя бы один параметр ведения журнала или оба параметра.

Теперь Ваш брандмауэр настроен и готов к защите Вашего компьютера от внешних угроз.

Задание для самостоятельной работы:

Настройте брандмауэр для работы с Веб — сервером (HTTP), FTP-сервером и зафиксируйте соответствующее окно для отчета.

Включите журнал безопасности.

После выполнения задания 1 и 2 подключитесь и просмотрите какой либо ресурс на внутреннем FTP-сервере.

Как отслеживать активность брандмауэра в журнале брандмауэра Windows

По умолчанию файл журнала отключен, что означает, что в файл журнала не записывается никакая информация. Чтобы создать файл журнала, нажмите «Win key + R», чтобы открыть окно «Выполнить». Введите «wf.msc» и нажмите «Ввод». Появится экран «Брандмауэр Windows с повышенной безопасностью». В правой части экрана нажмите «Свойства».

и хранит только последние 4 МБ данных. В большинстве производственных средах этот журнал будет постоянно записывать на ваш жесткий диск, и если вы измените ограничение на размер файла журнала (чтобы регистрировать активность в течение длительного периода времени), это может привести к снижению производительности. По этой причине вы должны активировать ведение журнала только при активном устранении неполадок и затем немедленно отключить ведение журнала, когда вы закончите.

Затем перейдите на вкладку «Открытый профиль» и повторите те же действия, что и на вкладке «Частный профиль». Теперь вы включили журнал как для частных, так и для общедоступных сетевых подключений. Файл журнала будет создан в формате расширенного журнала W3C (.log), который вы можете проверить с помощью текстового редактора по вашему выбору или импортировать его в электронную таблицу. Один файл журнала может содержать тысячи текстовых записей, поэтому, если вы читаете их через Блокнот, отключите перенос слов, чтобы сохранить форматирование столбцов. Если вы просматриваете файл журнала в электронной таблице, все поля будут логически отображаться в столбцах для более легкого анализа.

На главном экране «Брандмауэр Windows с повышенной безопасностью» прокрутите страницу вниз до тех пор, пока не увидите ссылку «Мониторинг». В области «Подробности» в разделе «Параметры ведения журнала» щелкните путь к файлу рядом с «Имя файла». Журнал открывается в «Блокноте».

Интерпретация журнала брандмауэра Windows

Журнал безопасности брандмауэра Windows содержит два раздела. Заголовок содержит статическую, описательную информацию о версии журнала и доступных полях. Тело журнала — это скомпилированные данные, которые вводятся в результате трафика, который пытается пересечь брандмауэр. Это динамический список, и новые записи сохраняются в нижней части журнала. Поля записываются слева направо по всей странице. (-) используется, когда для поля нет записи.

Версия — показывает, какая версия журнала безопасности брандмауэра Windows установлена. Программное обеспечение — отображает имя программного обеспечения, создающего журнал. Время — указывает, что вся информация о временной отметке в журнале находится в местном времени. Поля. Отображает список полей, доступных для записей журнала безопасности, если данные доступны.

В то время как тело файла журнала содержит:

date — поле даты определяет дату в формате YYYY-MM-DD. time — местное время отображается в файле журнала с использованием формата HH: MM: SS. Часы указаны в 24-часовом формате. Действие. Когда брандмауэр обрабатывает трафик, регистрируются определенные действия.Зарегистрированными действиями являются DROP для отключения соединения, OPEN для открытия соединения, CLOSE для закрытия соединения, OPEN-INBOUND для входящего сеанса, открытого на локальном компьютере, и INFO-EVENTS-LOST для событий, обрабатываемых брандмауэром Windows, но не были записаны в журнале безопасности. protocol — протокол, используемый как TCP, UDP или ICMP. src-ip — отображает исходный IP-адрес (IP-адрес компьютера, пытающегося установить связь). dst-ip — отображает IP-адрес получателя попытки подключения. src-port — номер порта на отправляющем компьютере, с которого было выполнено соединение. dst-port — порт, на который отправляющий компьютер пытается установить соединение. size — отображает размер пакета в байтах. tcpflags — Информация о флажках управления TCP в заголовках TCP. tcpsyn — отображает номер последовательности TCP в пакете. tcpack — отображает номер подтверждения TCP в пакете. tcpwin — отображает размер окна TCP в байтах в пакете. icmptype — Информация о сообщениях ICMP. icmpcode — Информация о сообщениях ICMP. info — Отображает запись, которая зависит от типа действия, которое произошло. path — Отображает направление связи. Доступны следующие варианты: SEND, RECEIVE, FORWARD и UNKNOWN.

Как вы заметили, запись в журнале действительно большая и может содержать до 17 единиц информации, связанных с каждым событием. Однако для общего анализа важны только первые восемь частей информации. Теперь с деталями в вашей руке вы можете анализировать информацию о вредоносных действиях или отладочных ошибках приложений.

Если вы подозреваете какую-либо вредоносную активность, откройте файл журнала в Блокноте и отфильтруйте все записи журнала с помощью DROP в поле действия и обратите внимание, заканчивается ли целевой IP-адрес с номером, отличным от 255. Если вы найдете много таких записей, примечание о целевых IP-адресах пакетов. По завершении устранения неполадки вы можете отключить ведение журнала брандмауэра.

Устранение неполадок в сети может быть довольно сложным время от времени и рекомендуется рекомендуемая практика, когда устранение неполадок брандмауэра Windows — это включение собственных журналов. Хотя файл журнала брандмауэра Windows не полезен для анализа общей безопасности вашей сети, он по-прежнему остается хорошей практикой, если вы хотите следить за тем, что происходит за кулисами.

Что фиксирует журнал безопасности брандмауэра

Журнал безопасности брандмауэра.

Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) ведет свой журнал безопасности. Журнал безопасности ICF поддерживает следующие возможности:

  • Записывать пропущенные пакеты. Этот параметр создает записи в журнале, содержащие сведения о всех потерянных пакетах, исходящих из локальной сети или из Интернета.
  • Записывать успешные подключения. Этот параметр создает записи в журнале, содержащие сведения о всех успешных подключениях, инициированных из локальной сети или из Интернета.

Если установить флажок Записывать пропущенные пакеты, будут собираться сведения о каждом пакете, который пытался пройти через ICF, но был обнаружен и отвергнут брандмауэром. Анализируя эти записи, можно выявить все попытки несанкционированного доступа в локальную сеть из Интернета. Так же можно отследить какие службы компьютеров локальной сети пытаются передать данные в Интернет. Последнее может быть вызвано наличием вируса типа «троянский конь» на компьютере в вашей сети. По IP-адресу, сохраненному в журнале, легко определить, какой именно компьютер пытается отправить несанкционированный пакет.

Если установить флажок Записывать успешные подключения, будут собираться сведения о всех успешных подключениях, проходящих через брандмауэр. Например, если пользователь, работающий в сети, успешно войдет на какой-либо веб-узел с помощью обозревателя Internet Explorer, об этом будет записано в журнал.

Журнал безопасности создается в формате Extended Log File Format (расширенный формат файла журнала) и состоит из двух разделов:

  • В заголовке содержатся сведения о версии журнала и полях, в которые можно записывать данные. Содержимое заголовка имеет вид статического списка.
  • Тело журнала безопасности представляет собой динамический список; новые данные записываются в конец журнала.

По умолчанию ведение журнала безопасности ICF отключено.

В следующих таблицах описываются сведения, хранящиеся в журнале безопасности.

Заголовок Журнала

Номер установленной версии журнала безопасности брандмауэра подключения к Интернету

Имя журнала безопасности

Брандмауэр подключения к Интернету Microsoft (ICF)

Задает использование местного времени при записи в журнал отметок времени

Статический список полей, доступных для записей журнала безопасности при наличии данных

date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, and info

Тело журнала

Год, месяц и день регистрации события. Дата представляется в следующем формате:

Время регистрации события с точностью до секунды. Время записывается в следующем формате:

Операция, зарегистрированная брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Для действия INFO-EVENTS-LOST указывается число событий, которые имели место, но не были занесены в журнал.

OPEN, CLOSE, DROP, INFO-EVENTS-LOST

Протокол, использовавшийся для передачи данных. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов

Исходный IP-адрес (адрес компьютера, пытавшегося установить связь). Записывается в следующем формате:

IP-адрес назначения (адрес пункта назначения, с которым исходный компьютер пытался установить связь). Записывается в следующем формате:

Номер исходного порта на компьютере-отправителе. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр src-port, для них в этом поле записывается (дефис)

Порт компьютера назначения. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр dst-port, для них в этом поле записывается (дефис)

Размер пакета в байтах

Флаги управления TCP, содержащиеся в заголовке TCP пакета IP:

A ck Acknowledgment field significant (Включение поля подтверждения)

F in No more data from sender (Конец массива данных отправителя)

P sh Push Function (Функция принудительной доставки)

R st Reset the connection (Сброс подключения)

S yn Synchronize sequence numbers (Синхронизация порядковых номеров)

U rg Urgent Pointer field significant (Включение поля указателя срочных данных)

Флаги записываются прописными буквами. Содержимое полей флагов TCP предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP. Дополнительные сведения о протоколе TCP можно найти в спецификации RFC 793

Порядковый номер TCP в пакете. Содержимое поля tcpsyn предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

Номер подтверждения TCP в пакете. Содержимое поля tcpack предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

Размер окна TCP в байтах, указанный в пакете. Содержимое поля tcpwin предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

Число, представляющее значение поля Type (Тип) в сообщении ICMP

Число, представляющее значение поля Code (Код) в сообщении ICMP

Сведения, зависящие от типа действия. Например, для действия INFO-EVENTS-LOST записывается число событий, которые произошли с момента последней регистрации события этого типа, но не были занесены в журнал

В поля, для которых сведения отсутствуют, записывается символ (-).

Как отслеживать активность брандмауэра с помощью журнала брандмауэра Windows

В процессе фильтрации интернет-трафика все брандмауэры имеют функцию регистрации определенного типа, которая документирует, как брандмауэр обрабатывает различные типы трафика. Эти журналы могут предоставить ценную информацию, такую ​​как IP-адреса источника и назначения, номера портов и протоколы. Вы также можете использовать файл журнала брандмауэра Windows для мониторинга соединений TCP и UDP и пакетов, которые заблокированы брандмауэром.

Почему и когда ведение журнала брандмауэра полезно

  1. Чтобы проверить, правильно ли работают новые добавленные правила брандмауэра, или отладить их, если они не работают должным образом.
  2. Чтобы определить, является ли брандмауэр Windows причиной сбоев приложения — с помощью функции ведения журнала брандмауэра вы можете проверить наличие отключенных открытий портов, динамических открытий портов, анализировать отброшенные пакеты с помощью push-уведомлений и флагов срочности и анализировать отброшенные пакеты на пути отправки.
  3. Чтобы помочь и идентифицировать вредоносные действия — с помощью функции ведения журнала брандмауэра вы можете проверить, происходит ли какое-либо вредоносное действие в вашей сети или нет, хотя вы должны помнить, что оно не предоставляет информацию, необходимую для отслеживания источника действия.
  4. Если вы заметили неоднократные неудачные попытки получить доступ к вашему брандмауэру и / или другим системам с высоким профилем с одного IP-адреса (или группы IP-адресов), то вы можете написать правило для удаления всех соединений из этого IP-пространства (убедившись, что IP-адрес не был подделан).
  5. Исходящие соединения, исходящие с внутренних серверов, таких как веб-серверы, могут указывать на то, что кто-то использует вашу систему для запуска атак на компьютеры, расположенные в других сетях.

Как создать файл журнала

По умолчанию файл журнала отключен, что означает, что информация не записывается в файл журнала. Чтобы создать файл журнала, нажмите «Win key + R», чтобы открыть окно «Выполнить». Введите «wf.msc» и нажмите Enter. Появится экран «Брандмауэр Windows в режиме повышенной безопасности». В правой части экрана нажмите «Свойства».

Появится новое диалоговое окно. Теперь перейдите на вкладку «Личный профиль» и выберите «Настройка» в разделе «Ведение журнала».

Откроется новое окно, и на этом экране выберите максимальный размер журнала, местоположение, а также, регистрировать ли только отброшенные пакеты, успешное подключение или оба. Отброшенный пакет — это пакет, заблокированный брандмауэром Windows. Успешное соединение относится как к входящим, так и к любым соединениям, которые вы установили через Интернет, но это не всегда означает, что злоумышленник успешно подключился к вашему компьютеру.

По умолчанию брандмауэр Windows записывает записи журнала в %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log и сохраняет только последние 4 МБ данных. В большинстве производственных сред этот журнал будет постоянно записывать на ваш жесткий диск, и если вы измените ограничение размера файла журнала (чтобы регистрировать активность в течение длительного периода времени), это может привести к снижению производительности. По этой причине вы должны включать ведение журнала только при активном устранении неполадок, а затем сразу же отключать ведение журнала, когда вы закончите.

Затем нажмите вкладку «Общий профиль» и повторите те же действия, которые вы делали для вкладки «Частный профиль». Теперь вы включили журнал для частных и общедоступных сетевых подключений. Файл журнала будет создан в расширенном формате журнала W3C (.log), который вы можете просмотреть в текстовом редакторе по своему выбору или импортировать в электронную таблицу. Один файл журнала может содержать тысячи текстовых записей, поэтому, если вы читаете их через Блокнот, отключите перенос слов, чтобы сохранить форматирование столбцов. Если вы просматриваете файл журнала в электронной таблице, все поля будут логически отображаться в столбцах для упрощения анализа.

На главном экране «Брандмауэр Windows в режиме повышенной безопасности» прокручивайте вниз, пока не увидите ссылку «Мониторинг». В области сведений в разделе «Параметры ведения журнала» щелкните путь к файлу рядом с «Имя файла». Журнал откроется в блокноте.

Интерпретация журнала брандмауэра Windows

Журнал безопасности брандмауэра Windows содержит два раздела. Заголовок содержит статическую описательную информацию о версии журнала и доступных полях. Тело журнала — это скомпилированные данные, которые вводятся в результате трафика, который пытается пересечь брандмауэр. Это динамический список, и новые записи продолжают появляться внизу журнала. Поля написаны слева направо по всей странице. (-) используется, когда для поля нет доступной записи.

Согласно документации Microsoft Technet, заголовок файла журнала содержит:

Версия — показывает, какая версия журнала безопасности брандмауэра Windows установлена.
Программное обеспечение — отображает название программного обеспечения, создающего журнал.
Время — указывает, что вся информация о метках времени в журнале указана по местному времени.
Поля — отображает список полей, доступных для записей журнала безопасности, если данные доступны.

В то время как тело файла журнала содержит:

дата — поле даты идентифицирует дату в формате ГГГГ-ММ-ДД.
время — местное время отображается в файле журнала в формате ЧЧ: ММ: СС. Часы указаны в 24-часовом формате.
действие — поскольку брандмауэр обрабатывает трафик, определенные действия записываются. Записанными действиями являются DROP для сброса соединения, OPEN для открытия соединения, CLOSE для закрытия соединения, OPEN-INBOUND для входящего сеанса, открытого на локальном компьютере, и INFO-EVENTS-LOST для событий, обрабатываемых брандмауэром Windows, но не были зарегистрированы в журнале безопасности.
протокол — используемый протокол, такой как TCP, UDP или ICMP.
src-ip — отображает IP-адрес источника (IP-адрес компьютера, пытающегося установить связь).
dst-ip — отображает IP-адрес назначения для попытки подключения.
src-port — номер порта отправляющего компьютера, с которого была предпринята попытка подключения.
dst-port — порт, к которому отправляющий компьютер пытался установить соединение.
размер — отображает размер пакета в байтах.
tcpflags — информация о контрольных флагах TCP в заголовках TCP.
tcpsyn — отображает порядковый номер TCP в пакете.
tcpack — отображает номер подтверждения TCP в пакете.
tcpwin — отображает размер окна TCP в байтах в пакете.
icmptype — информация о сообщениях ICMP.
icmpcode — Информация о сообщениях ICMP.
info — отображает запись, которая зависит от типа совершенного действия.
путь — отображает направление связи. Доступны следующие варианты: ОТПРАВИТЬ, ПОЛУЧИТЬ, ВПЕРЕД и НЕИЗВЕСТНО.

Как вы заметили, запись в журнале действительно велика и может содержать до 17 элементов информации, связанных с каждым событием. Однако только первые восемь частей информации важны для общего анализа. Теперь вы можете анализировать информацию на предмет вредоносной активности или отладки приложений.

Если вы подозреваете какую-либо вредоносную активность, откройте файл журнала в Блокноте и отфильтруйте все записи журнала с помощью DROP в поле действия и обратите внимание, заканчивается ли IP-адрес назначения числом, отличным от 255. Если вы найдете много таких записей, то выполните примечание IP-адресов назначения пакетов. После устранения неполадки вы можете отключить ведение журнала брандмауэра.

Устранение неполадок с сетевыми проблемами может порой быть довольно сложным, и при устранении неполадок брандмауэра Windows рекомендуется использовать собственные журналы. Хотя файл журнала брандмауэра Windows бесполезен для анализа общей безопасности вашей сети, он все равно остается хорошей практикой, если вы хотите отслеживать происходящее за кулисами.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *