Startpagina » hoe » Hoe Firewall-activiteit te volgen met het Windows Firewall-logboek

    Hoe Firewall-activiteit te volgen met het Windows Firewall-logboek

    Tijdens het filteren van internetverkeer hebben alle firewalls een soort logfunctie waarmee wordt gedocumenteerd hoe de firewall verschillende typen verkeer heeft afgehandeld. Deze logboeken kunnen waardevolle informatie bieden, zoals bron- en doel-IP-adressen, poortnummers en protocollen. U kunt ook het logbestand van Windows Firewall gebruiken om TCP- en UDP-verbindingen en -pakketten te controleren die worden geblokkeerd door de firewall.

    Waarom en wanneer logboekregistratie van firewalls nuttig is

    1. Controleren of nieuw toegevoegde firewallregels correct werken of om fouten te debuggen als ze niet werken zoals verwacht.
    2. Bepalen of Windows Firewall de oorzaak is van een probleem met de toepassing - Met de logfunctie van Firewall kunt u controleren op uitgeschakelde poortopeningen, dynamische poortopeningen, afgebroken pakketten met push- en urgentievlaggen analyseren en verwijderde pakketten op het verzendpad analyseren.
    3. Om kwaadwillende activiteit te helpen en te identificeren - Met de logfunctie van Firewall kunt u controleren of er schadelijke activiteiten binnen uw netwerk plaatsvinden, hoewel u zich moet herinneren dat het niet de informatie bevat die nodig is om de bron van de activiteit op te sporen..
    4. Als u herhaalde, niet-succesvolle pogingen ziet om toegang te krijgen tot uw firewall en / of andere high profile-systemen vanaf één IP-adres (of een groep van IP-adressen), dan wilt u mogelijk een regel schrijven om alle verbindingen van die IP-ruimte te verwijderen (zorg ervoor dat de IP-adres wordt niet vervalst).
    5. Uitgaande verbindingen van interne servers zoals webservers kunnen erop wijzen dat iemand uw systeem gebruikt om aanvallen uit te voeren op computers op andere netwerken.

    Hoe het logbestand te genereren

    Standaard is het logbestand uitgeschakeld, wat betekent dat er geen informatie naar het logbestand is geschreven. Om een ​​logbestand aan te maken, drukt u op "Win-toets + R" om het vak Uitvoeren te openen. Typ "wf.msc" en druk op Enter. Het scherm "Windows Firewall met geavanceerde beveiliging" verschijnt. Klik aan de rechterkant van het scherm op 'Eigenschappen'.

    Een nieuw dialoogvenster verschijnt. Klik nu op het tabblad "Privé-profiel" en selecteer "Aanpassen" in het gedeelte "Logboekregistratie".

    Er wordt een nieuw venster geopend en op dat scherm kiest u uw maximale loggrootte, locatie en of u alleen gedropte pakketten, een succesvolle verbinding of beide logt. Een verwijderd pakket is een pakket dat Windows Firewall heeft geblokkeerd. Een succesvolle verbinding verwijst zowel naar inkomende verbindingen als naar verbindingen die u via internet hebt gemaakt, maar dit betekent niet altijd dat een indringer met succes verbinding heeft gemaakt met uw computer.

    Standaard schrijft Windows Firewall logboekvermeldingen naar % SystemRoot% \ System32 \ LogFiles \ Firewall \ pfirewall.log en slaat alleen de laatste 4 MB aan gegevens op. In de meeste productieomgevingen zal dit logboek constant naar uw vaste schijf schrijven en als u de maximale grootte van het logbestand wijzigt (om activiteiten over een lange periode te loggen), kan dit een prestatie-impact veroorzaken. Om deze reden moet u logboekregistratie alleen inschakelen als u actief een probleem probeert op te lossen en logboekregistratie onmiddellijk uitschakelen als u klaar bent.

    Klik vervolgens op het tabblad "Openbaar profiel" en herhaal dezelfde stappen als voor het tabblad "Privé-profiel". U hebt nu het logboek ingeschakeld voor zowel privé- als openbare netwerkverbindingen. Het logbestand wordt gemaakt in een uitgebreid W3C-logbestand (.log) dat u kunt bekijken met een teksteditor van uw keuze of importeert in een spreadsheet. Een enkel logbestand kan duizenden tekstinvoer bevatten, dus als u ze via Kladblok leest, schakel dan het wikkelen van woorden uit om de kolomopmaak te behouden. Als u het logbestand in een spreadsheet bekijkt, worden alle velden logisch weergegeven in kolommen om de analyse te vergemakkelijken.

    Op het hoofdscherm 'Windows Firewall met geavanceerde beveiliging' scrolt u omlaag totdat u de link 'Monitoring' ziet. Klik in het detailvenster onder "Logboekinstellingen" op het bestandspad naast "Bestandsnaam". Het logboek wordt geopend in Kladblok.

    Interpretatie van het Windows Firewall-logboek

    Het beveiligingslogboek van Windows Firewall bevat twee secties. De kop biedt statische, beschrijvende informatie over de versie van het log en de beschikbare velden. De hoofdtekst van het logbestand zijn de gecompileerde gegevens die zijn ingevoerd als gevolg van verkeer dat de firewall probeert te passeren. Het is een dynamische lijst en er verschijnen nieuwe vermeldingen onder aan het logboek. De velden worden van links naar rechts op de pagina geschreven. De (-) wordt gebruikt als er geen invoer beschikbaar is voor het veld.

    Volgens de Microsoft Technet-documentatie bevat de header van het logbestand het volgende:

    Versie - Geeft aan welke versie van het beveiligingslogboek van Windows Firewall is geïnstalleerd.
    Software - Geeft de naam weer van de software die het logboek maakt.
    Tijd - geeft aan dat alle tijdstempelinformatie in het log in lokale tijd is.
    Velden - Geeft een lijst met velden weer die beschikbaar zijn voor beveiligingslogboekvermeldingen, als er gegevens beschikbaar zijn.

    Terwijl de hoofdtekst van het logbestand het volgende bevat:

    datum - Het datumveld identificeert de datum in de notatie JJJJ-MM-DD.
    tijd - De lokale tijd wordt in het logbestand weergegeven met het formaat UU: MM: SS. De uren worden weergegeven in 24-uurs formaat.
    actie - Terwijl de firewall verkeer verwerkt, worden bepaalde acties vastgelegd. De geregistreerde acties zijn DROP voor het verbreken van een verbinding, OPEN voor het openen van een verbinding, CLOSE voor het sluiten van een verbinding, OPEN-INBOUND voor een inkomende sessie geopend voor de lokale computer en INFO-EVENTS-LOST voor gebeurtenissen verwerkt door de Windows Firewall, maar werden niet opgenomen in het beveiligingslogboek.
    protocol - Het gebruikte protocol zoals TCP, UDP of ICMP.
    src-ip - Toont het bron-IP-adres (het IP-adres van de computer die probeert communicatie tot stand te brengen).
    dst-ip - Geeft het IP-adres van de bestemming van een poging tot verbinding weer.
    src-port - Het poortnummer op de verzendende computer waarvan de verbinding is geprobeerd.
    dst-port - De poort waarnaar de verzendende computer verbinding probeerde te maken.
    size - Geeft de pakketgrootte weer in bytes.
    tcpflags - Informatie over TCP-besturingsvlaggen in TCP-headers.
    tcpsyn - Geeft het TCP-volgnummer in het pakket weer.
    tcpack - Geeft het TCP-bevestigingsnummer in het pakket weer.
    tcpwin - Geeft de TCP-venstergrootte in bytes in het pakket weer.
    icmptype - Informatie over de ICMP-berichten.
    icmpcode - Informatie over de ICMP-berichten.
    info - Geeft een item weer dat afhangt van het type actie dat plaatsvond.
    pad - Geeft de richting van de communicatie weer. De beschikbare opties zijn VERSTUREN, ONTVANGEN, VOORUITGAAN en ONBEKEND.

    Zoals u opmerkt, is de logboekinvoer inderdaad groot en kan deze maximaal 17 stukjes informatie bevatten die bij elke gebeurtenis horen. Alleen de eerste acht stukjes informatie zijn echter belangrijk voor algemene analyse. Met de details in uw hand kunt u nu de informatie analyseren voor kwaadwillige activiteiten of foutmeldingen bij de installatie van fouten.

    Als u vermoedt dat er enige schadelijke activiteit is, opent u het logbestand in Kladblok en filtert u alle logboekitems met DROP in het actieveld en noteert u of het bestemmings-IP-adres eindigt met een ander nummer dan 255. Als u veel van dergelijke vermeldingen vindt, neemt u dan een notitie van de bestemmings-IP-adressen van de pakketten. Als u klaar bent met het oplossen van het probleem, kunt u de logboekregistratie van de firewall uitschakelen.

    Problemen met netwerkproblemen oplossen kan soms nogal beangstigend zijn en een aanbevolen methode bij het oplossen van problemen met Windows Firewall is om de native logboeken in te schakelen. Hoewel het logbestand van Windows Firewall niet nuttig is voor het analyseren van de algemene beveiliging van uw netwerk, blijft het nog steeds een goede gewoonte als u wilt controleren wat er achter de schermen gebeurt.