โฮมเพจ » ทำอย่างไร » วิธีการติดตามกิจกรรมไฟร์วอลล์ด้วย Windows Firewall Log

    วิธีการติดตามกิจกรรมไฟร์วอลล์ด้วย Windows Firewall Log

    ในกระบวนการกรองทราฟฟิกของอินเทอร์เน็ตไฟร์วอลล์ทั้งหมดมีคุณสมบัติการบันทึกบางชนิดที่บันทึกว่าไฟร์วอลล์จัดการทราฟฟิกชนิดต่าง ๆ ได้อย่างไร บันทึกเหล่านี้สามารถให้ข้อมูลที่มีค่าเช่นที่อยู่ IP ต้นทางและปลายทางหมายเลขพอร์ตและโปรโตคอล คุณยังสามารถใช้ไฟล์บันทึกของ Windows Firewall เพื่อตรวจสอบการเชื่อมต่อ TCP และ UDP และแพ็คเก็ตที่ถูกบล็อกโดยไฟร์วอลล์.

    ทำไมและเมื่อการบันทึกไฟร์วอลล์มีประโยชน์

    1. หากต้องการตรวจสอบว่ากฎไฟร์วอลล์ที่เพิ่มใหม่ทำงานอย่างถูกต้องหรือตรวจแก้จุดบกพร่องหากไม่ทำงานตามที่คาดไว้.
    2. ในการตรวจสอบว่าไฟร์วอลล์ Windows เป็นสาเหตุของความล้มเหลวของแอปพลิเคชันหรือไม่ - ด้วยคุณสมบัติการบันทึกไฟร์วอลล์คุณสามารถตรวจสอบการเปิดพอร์ตที่ปิดใช้งานการเปิดพอร์ตแบบไดนามิกวิเคราะห์แพ็กเก็ตที่ถูกทิ้งด้วยการพุชและสถานะเร่งด่วน.
    3. เพื่อช่วยและระบุกิจกรรมที่เป็นอันตราย - ด้วยคุณสมบัติการบันทึกไฟร์วอลล์คุณสามารถตรวจสอบว่ามีกิจกรรมที่เป็นอันตรายเกิดขึ้นภายในเครือข่ายของคุณหรือไม่แม้ว่าคุณจะต้องจำไว้ว่ามันไม่ได้ให้ข้อมูลที่จำเป็นในการติดตามแหล่งที่มาของกิจกรรม.
    4. หากคุณสังเกตเห็นความพยายามในการเข้าถึงไฟร์วอลล์และ / หรือระบบโปรไฟล์สูงอื่น ๆ จากที่อยู่ IP (หรือกลุ่มของที่อยู่ IP) คุณอาจต้องการเขียนกฎเพื่อยกเลิกการเชื่อมต่อทั้งหมดจากพื้นที่ IP นั้น (เพื่อให้แน่ใจว่า ที่อยู่ IP ไม่ได้ถูกปลอมแปลง).
    5. การเชื่อมต่อขาออกที่มาจากเซิร์ฟเวอร์ภายในเช่นเว็บเซิร์ฟเวอร์อาจเป็นตัวบ่งชี้ว่ามีบางคนกำลังใช้ระบบของคุณเพื่อเปิดการโจมตีจากคอมพิวเตอร์ที่อยู่บนเครือข่ายอื่น.

    วิธีสร้างไฟล์บันทึก

    ตามค่าเริ่มต้นไฟล์บันทึกจะถูกปิดใช้งานซึ่งหมายความว่าไม่มีการบันทึกข้อมูลลงในไฟล์บันทึก ในการสร้างไฟล์บันทึกให้กด“ Win key + R” เพื่อเปิดกล่อง Run พิมพ์“ wf.msc” แล้วกด Enter หน้าจอ“ ไฟร์วอลล์ Windows พร้อมการรักษาความปลอดภัยขั้นสูง” ปรากฏขึ้น ที่ด้านขวาของหน้าจอคลิก“ คุณสมบัติ”

    กล่องโต้ตอบใหม่จะปรากฏขึ้น ตอนนี้คลิกแท็บ "โปรไฟล์ส่วนตัว" และเลือก "ปรับแต่ง" ใน "ส่วนการบันทึก"

    หน้าต่างใหม่จะเปิดขึ้นและจากหน้าจอนั้นให้เลือกขนาดบันทึกสูงสุดตำแหน่งและว่าจะบันทึกเฉพาะแพ็กเก็ตที่หลุดการเชื่อมต่อที่สำเร็จหรือทั้งสองอย่าง แพ็กเก็ตที่ถูกดร็อปคือแพ็คเก็ตที่ Windows Firewall บล็อกไว้ การเชื่อมต่อที่สำเร็จหมายถึงการเชื่อมต่อขาเข้าและการเชื่อมต่อใด ๆ ที่คุณทำผ่านอินเทอร์เน็ต แต่ไม่ได้หมายความว่าผู้บุกรุกเชื่อมต่อกับคอมพิวเตอร์ของคุณได้สำเร็จ.

    โดยค่าเริ่มต้น Windows Firewall จะเขียนรายการบันทึก % SystemRoot% \ System32 \ LogFiles \ Firewall \ pfirewall.log และเก็บข้อมูลเพียง 4 MB สุดท้าย ในสภาพแวดล้อมการใช้งานจริงส่วนใหญ่บันทึกนี้จะเขียนลงในฮาร์ดดิสก์ของคุณอย่างต่อเนื่องและหากคุณเปลี่ยนขนาด จำกัด ของไฟล์บันทึก (เพื่อบันทึกกิจกรรมในระยะเวลานาน) อาจส่งผลกระทบต่อประสิทธิภาพการทำงาน ด้วยเหตุผลนี้คุณควรเปิดใช้งานการบันทึกเมื่อแก้ไขปัญหาอย่างแข็งขันและจากนั้นปิดใช้งานการบันทึกทันทีเมื่อดำเนินการเสร็จ.

    จากนั้นคลิกแท็บ "โปรไฟล์สาธารณะ" และทำซ้ำขั้นตอนเดียวกันกับที่คุณทำกับแท็บ "โปรไฟล์ส่วนตัว" ตอนนี้คุณได้เปิดบันทึกสำหรับการเชื่อมต่อเครือข่ายส่วนตัวและสาธารณะ ไฟล์บันทึกจะถูกสร้างในรูปแบบไฟล์บันทึกเพิ่มเติมของ W3C (.log) ที่คุณสามารถตรวจสอบด้วยโปรแกรมแก้ไขข้อความที่คุณเลือกหรือนำเข้าไฟล์เหล่านั้นลงในสเปรดชีต ไฟล์บันทึกเดียวสามารถมีรายการข้อความหลายพันรายการดังนั้นหากคุณอ่านผ่าน Notepad ให้ปิดการใช้งานการตัดคำเพื่อคงรูปแบบคอลัมน์ไว้ หากคุณกำลังดูไฟล์บันทึกในสเปรดชีตจากนั้นทุกฟิลด์จะแสดงเหตุผลในคอลัมน์เพื่อการวิเคราะห์ที่ง่ายขึ้น.

    บนหน้าจอหลัก“ Windows Firewall พร้อมความปลอดภัยขั้นสูง” ให้เลื่อนลงจนกว่าคุณจะเห็นลิงก์“ การตรวจสอบ” ในบานหน้าต่างรายละเอียดภายใต้“ การตั้งค่าการบันทึก” ให้คลิกเส้นทางไฟล์ถัดจาก“ ชื่อไฟล์” บันทึกจะเปิดขึ้นในแผ่นจดบันทึก.

    การตีความบันทึก Windows Firewall

    บันทึกความปลอดภัยของ Windows Firewall มีสองส่วน ส่วนหัวให้ข้อมูลแบบคงที่และเป็นคำอธิบายเกี่ยวกับรุ่นของบันทึกและฟิลด์ที่มีอยู่ เนื้อความของบันทึกเป็นข้อมูลที่รวบรวมซึ่งถูกป้อนอันเป็นผลมาจากทราฟฟิกที่พยายามข้ามไฟร์วอลล์ เป็นรายการแบบไดนามิกและรายการใหม่จะปรากฏที่ด้านล่างของบันทึก ฟิลด์ถูกเขียนจากซ้ายไปขวาข้ามหน้า ใช้ (-) เมื่อไม่มีรายการสำหรับฟิลด์.

    ตามเอกสารของ Microsoft Technet ส่วนหัวของไฟล์บันทึกประกอบด้วย:

    เวอร์ชั่น - แสดงบันทึกการรักษาความปลอดภัยของ Windows Firewall เวอร์ชันที่ติดตั้ง.
    ซอฟต์แวร์ - แสดงชื่อของซอฟต์แวร์ที่สร้างบันทึก.
    เวลา - ระบุว่าข้อมูลการประทับเวลาทั้งหมดในบันทึกอยู่ในเวลาท้องถิ่น.
    เขตข้อมูล - แสดงรายการเขตข้อมูลที่มีอยู่สำหรับรายการบันทึกความปลอดภัยหากมีข้อมูล.

    ในขณะที่เนื้อหาของไฟล์บันทึกประกอบด้วย:

    date - ฟิลด์ date ระบุวันที่ในรูปแบบ YYYY-MM-DD.
    เวลา - เวลาท้องถิ่นแสดงในล็อกไฟล์โดยใช้รูปแบบ HH: MM: SS ชั่วโมงอ้างอิงในรูปแบบ 24 ชั่วโมง.
    การกระทำ - เนื่องจากไฟร์วอลล์ประมวลผลทราฟฟิกการดำเนินการบางอย่างจะถูกบันทึก การดำเนินการที่บันทึกไว้คือ DROP สำหรับการยกเลิกการเชื่อมต่อเปิดสำหรับการเชื่อมต่อปิดเพื่อปิดการเชื่อมต่อ OPEN-INBOUND สำหรับเซสชันขาเข้าที่เปิดเครื่องคอมพิวเตอร์และ INFO-EVENTS-LOST สำหรับเหตุการณ์ที่ดำเนินการโดย Windows Firewall แต่ ไม่ถูกบันทึกในบันทึกความปลอดภัย.
    โปรโตคอล - โปรโตคอลที่ใช้เช่น TCP, UDP หรือ ICMP.
    src-ip - แสดงที่อยู่ IP ต้นทาง (ที่อยู่ IP ของคอมพิวเตอร์ที่พยายามสร้างการสื่อสาร).
    dst-ip - แสดงที่อยู่ IP ปลายทางของการพยายามเชื่อมต่อ.
    src-port - หมายเลขพอร์ตบนคอมพิวเตอร์ที่ส่งซึ่งพยายามเชื่อมต่อ.
    dst-port - พอร์ตที่คอมพิวเตอร์ที่ส่งกำลังพยายามทำการเชื่อมต่อ.
    size - แสดงขนาดแพ็คเก็ตเป็นไบต์.
    tcpflags - ข้อมูลเกี่ยวกับแฟล็กควบคุม TCP ในส่วนหัวของ TCP.
    tcpsyn - แสดงหมายเลขลำดับ TCP ในแพ็คเก็ต.
    tcpack - แสดงหมายเลขตอบรับ TCP ในแพ็คเก็ต.
    tcpwin - แสดงขนาดหน้าต่าง TCP เป็นไบต์ในแพ็คเก็ต.
    icmptype - ข้อมูลเกี่ยวกับข้อความ ICMP.
    icmpcode - ข้อมูลเกี่ยวกับข้อความ ICMP.
    ข้อมูล - แสดงรายการที่ขึ้นอยู่กับประเภทของการกระทำที่เกิดขึ้น.
    เส้นทาง - แสดงทิศทางของการสื่อสาร ตัวเลือกที่ใช้ได้คือ SEND, RECEIVE, FORWARD และ UNKNOWN.

    ตามที่คุณสังเกตเห็นรายการบันทึกมีขนาดใหญ่มากและอาจมีข้อมูลมากถึง 17 ชิ้นที่เกี่ยวข้องกับแต่ละเหตุการณ์ อย่างไรก็ตามข้อมูลแปดชิ้นแรกเท่านั้นที่มีความสำคัญสำหรับการวิเคราะห์ทั่วไป ด้วยรายละเอียดในมือของคุณตอนนี้คุณสามารถวิเคราะห์ข้อมูลสำหรับกิจกรรมที่เป็นอันตรายหรือการดีบักแอปพลิเคชันล้มเหลว.

    หากคุณสงสัยว่ามีกิจกรรมที่เป็นอันตรายใด ๆ ให้เปิดล็อกไฟล์ใน Notepad และกรองรายการบันทึกทั้งหมดด้วย DROP ในฟิลด์แอ็คชันและสังเกตว่าที่อยู่ IP ปลายทางสิ้นสุดด้วยตัวเลขอื่นที่ไม่ใช่ 255 หากคุณพบรายการดังกล่าวจำนวนมาก บันทึกที่อยู่ IP ปลายทางของแพ็คเก็ต เมื่อคุณแก้ไขปัญหาเสร็จแล้วคุณสามารถปิดการใช้งานการบันทึกไฟร์วอลล์.

    การแก้ไขปัญหาเครือข่ายอาจเป็นเรื่องที่ค่อนข้างลำบากและแนวทางปฏิบัติที่แนะนำเมื่อทำการแก้ไขปัญหา Windows Firewall ก็คือการเปิดใช้งานบันทึกดั้งเดิม แม้ว่าไฟล์บันทึกของ Windows Firewall จะไม่เป็นประโยชน์สำหรับการวิเคราะห์ความปลอดภัยโดยรวมของเครือข่ายของคุณ แต่ก็ยังคงเป็นวิธีปฏิบัติที่ดีหากคุณต้องการตรวจสอบสิ่งที่เกิดขึ้นเบื้องหลัง.