sv.phhsnews.com


sv.phhsnews.com / Hur man spårar brandväggsaktivitet med Windows-brandväggsloggen

Hur man spårar brandväggsaktivitet med Windows-brandväggsloggen


I processen att filtrera Internettrafik har alla brandväggar någon typ av loggfunktion som dokumenterar hur brandväggen hanterar olika typer av trafik. Dessa loggar kan ge värdefull information som käll- och destinations-IP-adresser, portnummer och protokoll. Du kan också använda loggfilen för Windows-brandväggen för att övervaka TCP- och UDP-anslutningar och paket som blockeras av brandväggen.

Varför och när brandväggsloggning är användbar

  1. För att verifiera om nyinstallerade brandväggsregler fungerar korrekt eller att felsöka dem Om de inte fungerar som förväntat.
  2. För att avgöra om Windows-brandväggen är orsaken till programfel. Med funktionen för brandväggsloggning kan du söka efter funktionshindrade portöppningar, dynamiska portöppningar, analysera tappade paket med tryck och snabbflaggor och analysera tappade paket på sändningsvägen.
  3. För att hjälpa till och identifiera skadlig aktivitet - Med funktionen för brandväggen kan du kontrollera om skadlig aktivitet uppstår inom ditt nätverk eller inte, även om du måste komma ihåg det ger inte den information som behövs för att spåra ner aktiviteten.
  4. Om du märker upprepade misslyckade försök att komma åt din brandvägg och / eller andra högprofilssystem från en IP-adress (eller en grupp IP-adresser), kanske du vill ha att skriva en regel för att släppa alla anslutningar från det IP-området (se till att IP-adressen inte spoofs).
  5. Utgående kontakter som kommer från interna servrar som webbservrar kan vara en indikation på att någon använder ditt system för att starta attacker mot datorer som finns på andra nätverk.

Så här skapar du loggfilen

Som standard är loggfilen inaktiverad, vilket innebär att ingen information skrivs till loggfilen. För att skapa en loggfil tryck "Win key + R" för att öppna rutan Kör. Skriv "wf.msc" och tryck på Enter. Skärmen "Windows Firewall med avancerad säkerhet" visas. På höger sida av skärmen klickar du på "Egenskaper".

En ny dialogruta visas. Nu klickar du på fliken "Privat profil" och väljer "Anpassa" i "Registreringsavsnittet".

Ett nytt fönster öppnas och från den skärmen väljer du din maximala loggstorlek, plats och om du bara loggar in förlorade paket, framgångsrik anslutning eller både. Ett tappat paket är ett paket som Windows Firewall har blockerat. En lyckad anslutning avser både inkommande anslutningar och alla anslutningar du har gjort via Internet, men det betyder inte alltid att en inkräktare har anslutit sig till din dator.

Som standard skriver Windows-brandväggen in loggposter till% SystemRoot% System32 LogFiles Firewall Pfirewall.logoch lagrar endast de senaste 4 MB data. I de flesta produktionsmiljöer skrivs den här loggen ständigt till hårddisken och om du ändrar storleksgränsen för loggfilen (för att logga aktivitet över en längre tid) kan det få en prestationspåverkan. Av den anledningen bör du bara aktivera loggning när du aktivt felsöker ett problem och sedan omedelbart inaktivera loggningen när du är klar.

Klicka sedan på fliken "Offentlig profil" och upprepa samma steg som du gjorde för fliken "Privat profil" . Du har nu aktiverat loggen för både privata och offentliga nätverksanslutningar. Loggfilen skapas i ett W3C-utvidgat loggformat (.log) som du kan undersöka med en textredigerare efter eget val eller importera dem till ett kalkylblad. En enda loggfil kan innehålla tusentals textposter, så om du läser dem genom anteckningsblocket, avaktivera du sedan ordförpackning för att behålla kolonnformatering. Om du tittar på loggfilen i ett kalkylblad kommer alla fält att visas logiskt i kolumner för enklare analys.

På huvudskärmen "Windows Firewall och Advanced Security", bläddra ned tills du ser länken "Övervakning". I fönstret Detaljer, under "Logga in inställningar", klicka på filvägen bredvid "Filnamn". Loggen öppnas i Anteckningar.

Tolkning av Windows-brandväggen

Windows Firewall-säkerhetsloggen innehåller två avsnitt. Rubriken ger statisk, beskrivande information om versionen av loggen och fälten tillgängliga. Loggens kropp är den sammanställda data som anges som en följd av trafik som försöker korsa brandväggen. Det är en dynamisk lista, och nya poster visas fortfarande längst ner i loggen. Fälten skrivs från vänster till höger på sidan. (-) används när det inte finns någon post tillgänglig för fältet.

Enligt Microsoft Technet-dokumentationen innehåller loggfilens huvud:

Version - Visar vilken version av säkerhetsloggen för Windows Firewall som är installerad.
Programvara - Visar namnet på programvaran som skapar loggen.
Tid - Indikerar att all tidstämpelinformation i loggen befinner sig i lokal tid.
Fält - Visar en lista med fält som är tillgängliga för säkerhetslogg poster, om data finns tillgängligt.

Medan loggfilens kropp innehåller:

datum - Datumfältet identifierar datumet i formatet ÅÅÅÅ-MM-DD.
Tid - Den lokala tiden visas i loggfilen med formatet HH: MM: SS. Timmarna refereras i 24-timmarsformat.
åtgärd - Eftersom brandväggen behandlar trafik spelas vissa åtgärder. De loggade åtgärderna är DROP för att släppa en anslutning, OPEN för att öppna en anslutning, CLOSE för att stänga en anslutning, OPEN-INBOUND för en inkommande session öppnad för den lokala datorn och INFO-EVENTS-LOST för händelser som behandlas av Windows Firewall, men
protokollet - Det protokoll som används som TCP, UDP eller ICMP.
src-ip - Visar källans IP-adress (datorns IP-adress försöker upprätta kommunikation).
dst-ip - Visar destinationens IP-adress för ett anslutningsförsök.
src-port - Portnumret på den sändande datorn från vilken anslutningen försökt.
dst-port - Porten till vilken
tcpflags - Information om TCP-kontrollflaggor i TCP-headers.
tcpsyn - Visar TCP-sekvensnumret i paketet.
Storlek - Visar paketstorlek i byte.
tcpack - Visar TCP-kvittensnumret i paketet.
tcpwin - Visar TCP w
icmpcode - Information om ICMP-meddelanden.
icmpcode - Information om ICMP-meddelanden.
info - Visar en post som beror på vilken typ av åtgärd som inträffade.
sökväg - Visar kommunikationsriktningen. De tillgängliga alternativen är SEND, RECEIVE, FORWARD och UNKNOWN.

Som du märker är loggposten verkligen stor och kan ha upp till 17 bitar av information som är associerade med varje händelse. Dock är endast de första åtta informationsstyckena viktiga för allmän analys. Med detaljerna i din hand kan du nu analysera informationen för skadlig aktivitet eller felsöka programfel.

Om du misstänker någon skadlig aktivitet öppnar du loggfilen i Anteckningar och filtrerar alla loggposter med DROP i åtgärdsfältet och notera om destinationsadressens IP-adress slutar med ett annat nummer än 255. Om du hittar många sådana poster, notera du sedan paketens mål-IP-adresser. När du har slutfört felsökning av problemet kan du inaktivera brandväggen.

Felsökning av nätverksproblem kan vara ganska skrämmande ibland och en rekommenderad bra praxis när felsökning av Windows-brandväggen är att aktivera de inbyggda loggarna. Även om loggfilen för Windows-brandväggen inte är användbar för att analysera den övergripande säkerheten i ditt nätverk, är det fortfarande en bra metod om du vill övervaka vad som händer bakom kulisserna.


Firefox är om att bli en nästan fullständig kopia av Chrome

Firefox är om att bli en nästan fullständig kopia av Chrome

Mozilla Firefox beror på några stora förändringar snart. I slutet av 2015 kommer Firefox att flytta till en mer Chrome-liknande process med flera processer. Och om ett år till ett och ett halvt år kommer Firefox att överge sitt nuvarande tilläggssystem för en till stor del kompatibel med Chrome-tillägg.

(how-to)

Så här lägger du till ytterligare sensorer och enheter i SmartThings Setup

Så här lägger du till ytterligare sensorer och enheter i SmartThings Setup

SmartThings Home Monitoring Kit levereras med en liten handfull sensorer och en utlösningsbrytare, men om du behöver mer än vad som finns i startkit, kan du enkelt lägga till ytterligare sensorer och enheter till din SmartThings-inställning. Startkitet ensam kan faktiskt vara en komplett inställning för några små lägenheter, eftersom de två öppna / stänga sensorerna kan sättas på ytterdörren och altandörren, och rörelsessensorn kan troligen täcka större delen av lägenheten om du har en öppen planlösning.

(how-to)