Come tenere traccia delle attività del firewall con il registro di Windows Firewall
Durante il processo di filtraggio del traffico Internet, tutti i firewall dispongono di un tipo di funzionalità di registrazione che documenta il modo in cui il firewall ha gestito vari tipi di traffico. Questi registri possono fornire informazioni preziose come indirizzi IP di origine e di destinazione, numeri di porta e protocolli. È inoltre possibile utilizzare il file di registro di Windows Firewall per monitorare le connessioni TCP e UDP e i pacchetti bloccati dal firewall.
Perché e quando la registrazione del firewall è utile - Per verificare se le regole del firewall appena aggiunte funzionano correttamente o per eseguirne il debug se non funzionano come previsto.
- Per determinare se Windows Firewall è la causa degli errori dell'applicazione - Con la funzionalità di registrazione del firewall è possibile verificare le aperture delle porte disabilitate, le aperture delle porte dinamiche, analizzare i pacchetti rilasciati con push e flag urgenti e analizzare i pacchetti scartati sul percorso di invio.
- Per aiutare e identificare attività dannose: con la funzionalità di registrazione del firewall è possibile verificare se nella propria rete si verificano attività dannose o meno, sebbene sia necessario ricordare che non fornisce le informazioni necessarie per rintracciare la fonte dell'attività.
- Se si notano ripetuti tentativi non riusciti di accedere al firewall e / o ad altri sistemi di alto profilo da un indirizzo IP (o un gruppo di indirizzi IP), è possibile scrivere una regola per eliminare tutte le connessioni da tale spazio IP (assicurandosi che il L'indirizzo IP non viene falsificato).
- Le connessioni in uscita provenienti da server interni come i server Web potrebbero indicare che qualcuno sta usando il tuo sistema per lanciare attacchi contro computer situati su altre reti.
Come generare il file di registro
Per impostazione predefinita, il file di registro è disabilitato, il che significa che nessuna informazione viene scritta nel file di registro. Per creare un file di registro premere "Tasto Win + R" per aprire la casella Esegui. Digita "wf.msc" e premi Invio. Viene visualizzata la schermata "Windows Firewall con sicurezza avanzata". Sul lato destro dello schermo, fai clic su "Proprietà".
Viene visualizzata una nuova finestra di dialogo. Ora fai clic sulla scheda "Profilo privato" e seleziona "Personalizza" nella sezione "Registrazione".
Una nuova finestra si apre e da quella schermata selezionare la dimensione massima del registro, la posizione e se registrare solo pacchetti rilasciati, connessione riuscita o entrambi. Un pacchetto eliminato è un pacchetto bloccato da Windows Firewall. Una connessione riuscita si riferisce sia alle connessioni in entrata sia a qualsiasi connessione effettuata su Internet, ma non sempre significa che un intruso si è connesso con successo al tuo computer.
Per impostazione predefinita, Windows Firewall scrive le voci del registro su % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
e memorizza solo gli ultimi 4 MB di dati. Nella maggior parte degli ambienti di produzione, questo registro scriverà costantemente sul disco rigido e, se si modifica il limite di dimensioni del file di registro (per registrare l'attività per un lungo periodo di tempo), si potrebbe verificare un impatto sulle prestazioni. Per questo motivo, è necessario abilitare la registrazione solo quando si risolve attivamente un problema e quindi disabilitare immediatamente la registrazione al termine.
Successivamente, fai clic sulla scheda "Profilo pubblico" e ripeti gli stessi passaggi che hai fatto per la scheda "Profilo privato". Ora hai attivato il registro per le connessioni di rete sia private che pubbliche. Il file di registro verrà creato in un formato di registro esteso W3C (.log) che è possibile esaminare con un editor di testo a scelta o importarlo in un foglio di calcolo. Un singolo file di registro può contenere migliaia di voci di testo, quindi se le stai leggendo tramite Blocco note, disabilita il ritorno a capo delle parole per preservare la formattazione della colonna. Se si sta visualizzando il file di registro in un foglio di calcolo, tutti i campi verranno logicamente visualizzati in colonne per facilitare l'analisi.
Nella schermata principale di "Windows Firewall con sicurezza avanzata", scorrere verso il basso fino a visualizzare il link "Monitoraggio". Nel riquadro Dettagli, in "Impostazioni di registrazione", fai clic sul percorso del file accanto a "Nome file". Il registro si apre in Blocco note.
Interpretazione del registro di Windows Firewall
Il registro di sicurezza di Windows Firewall contiene due sezioni. L'intestazione fornisce informazioni statiche e descrittive sulla versione del registro e i campi disponibili. Il corpo del registro sono i dati compilati inseriti come risultato del traffico che tenta di attraversare il firewall. È un elenco dinamico e le nuove voci continuano a essere visualizzate nella parte inferiore del registro. I campi sono scritti da sinistra a destra in tutta la pagina. Il segno (-) viene utilizzato quando non è disponibile alcuna voce per il campo.
Secondo la documentazione di Microsoft Technet, l'intestazione del file di registro contiene:
Versione: visualizza la versione del registro di sicurezza di Windows Firewall installata.
Software: visualizza il nome del software che crea il registro.
Ora: indica che tutte le informazioni relative al timestamp nel registro sono in ora locale.
Campi: visualizza un elenco di campi disponibili per le voci del registro di sicurezza, se i dati sono disponibili.
Mentre il corpo del file di registro contiene:
data - Il campo data identifica la data nel formato AAAA-MM-GG.
time - L'ora locale viene visualizzata nel file di registro utilizzando il formato HH: MM: SS. Le ore sono referenziate nel formato 24 ore.
azione - Mentre il firewall elabora il traffico, vengono registrate determinate azioni. Le azioni registrate sono DROP per il rilascio di una connessione, OPEN per l'apertura di una connessione, CLOSE per la chiusura di una connessione, OPEN-INBOUND per una sessione in entrata aperta al computer locale e INFO-EVENTS-LOST per gli eventi elaborati da Windows Firewall, ma non sono stati registrati nel registro di sicurezza.
protocollo - Il protocollo utilizzato come TCP, UDP o ICMP.
src-ip - Visualizza l'indirizzo IP di origine (l'indirizzo IP del computer che tenta di stabilire una comunicazione).
dst-ip - Visualizza l'indirizzo IP di destinazione di un tentativo di connessione.
src-port - Il numero di porta sul computer mittente da cui è stata tentata la connessione.
dst-port: la porta a cui il computer mittente stava tentando di stabilire una connessione.
dimensione: visualizza la dimensione del pacchetto in byte.
tcpflags - Informazioni sui flag di controllo TCP nelle intestazioni TCP.
tcpsyn - Visualizza il numero di sequenza TCP nel pacchetto.
tcpack - Visualizza il numero di riconoscimento TCP nel pacchetto.
tcpwin - Visualizza la dimensione della finestra TCP, in byte, nel pacchetto.
icmptype: informazioni sui messaggi ICMP.
icmpcode - Informazioni sui messaggi ICMP.
info - Visualizza una voce che dipende dal tipo di azione che si è verificata.
percorso: visualizza la direzione della comunicazione. Le opzioni disponibili sono SEND, RECEIVE, FORWARD e UNKNOWN.
Come si nota, la voce del registro è davvero grande e può contenere fino a 17 informazioni associate a ciascun evento. Tuttavia, solo le prime otto informazioni sono importanti per l'analisi generale. Con i dettagli nella tua mano ora puoi analizzare le informazioni per attività dannose o debuggare i guasti delle applicazioni.
Se si sospetta un'attività dannosa, aprire il file di registro in Blocco note e filtrare tutte le voci del registro con DROP nel campo azione e annotare se l'indirizzo IP di destinazione termina con un numero diverso da 255. Se si trovano molte di tali voci, prendere una nota degli indirizzi IP di destinazione dei pacchetti. Una volta terminata la risoluzione del problema, è possibile disabilitare la registrazione del firewall.
La risoluzione dei problemi di rete può essere piuttosto scoraggiante a volte e una buona pratica consigliata durante la risoluzione dei problemi di Windows Firewall consiste nell'abilitare i log nativi. Sebbene il file di registro di Windows Firewall non sia utile per analizzare la sicurezza generale della rete, rimane comunque una buona pratica se si desidera monitorare ciò che accade dietro le quinte.