Connect with us

Wie man

So verfolgen Sie die Firewall-Aktivität mit dem Windows-Firewall-Protokoll

So verfolgen Sie die Firewall-Aktivität mit dem Windows-Firewall-Protokoll

Beim Filtern des Internetverkehrs verfügen alle Firewalls über eine Art Protokollierungsfunktion, die dokumentiert, wie die Firewall verschiedene Arten von Datenverkehr verarbeitet hat. Diese Protokolle können wertvolle Informationen wie Quell- und Ziel-IP-Adressen, Portnummern und Protokolle liefern. Sie können die Protokolldatei der Windows-Firewall auch verwenden, um TCP- und UDP-Verbindungen und Pakete zu überwachen, die von der Firewall blockiert werden.

Warum und wann Firewall-Logging nützlich ist

  1. Um zu überprüfen, ob neu hinzugefügte Firewall-Regeln ordnungsgemäß funktionieren, oder um sie zu debuggen, wenn sie nicht wie erwartet funktionieren.
  2. So ermitteln Sie, ob die Windows-Firewall die Ursache für Anwendungsfehler ist – Mit der Firewall-Protokollierungsfunktion können Sie nach deaktivierten Portöffnungen und dynamischen Portöffnungen suchen, verworfene Pakete mit Push- und Dringend-Flags analysieren und verworfene Pakete auf dem Sendepfad analysieren.
  3. Zur Unterstützung und Identifizierung bösartiger Aktivitäten — Mit der Firewall-Protokollierungsfunktion können Sie überprüfen, ob böswillige Aktivitäten in Ihrem Netzwerk auftreten oder nicht, obwohl Sie daran denken müssen, dass sie nicht die erforderlichen Informationen liefert, um die Quelle der Aktivität aufzuspüren.
  4. Wenn Sie wiederholt erfolglose Versuche bemerken, von einer IP-Adresse (oder einer Gruppe von IP-Adressen) auf Ihre Firewall und/oder andere hochkarätige Systeme zuzugreifen, sollten Sie eine Regel schreiben, um alle Verbindungen von diesem IP-Bereich zu trennen (stellen Sie sicher, dass die IP-Adresse wird nicht gefälscht).
  5. Ausgehende Verbindungen von internen Servern wie Webservern können ein Hinweis darauf sein, dass jemand Ihr System verwendet, um Angriffe auf Computer in anderen Netzwerken zu starten.

So generieren Sie die Protokolldatei

Standardmäßig ist die Protokolldatei deaktiviert, dh es werden keine Informationen in die Protokolldatei geschrieben. Um eine Protokolldatei zu erstellen, drücken Sie „Win key + R“, um das Run-Feld zu öffnen. Geben Sie „wf.msc“ ein und drücken Sie die Eingabetaste. Der Bildschirm „Windows-Firewall mit erweiterter Sicherheit“ wird angezeigt. Klicken Sie auf der rechten Seite des Bildschirms auf «Eigenschaften».

Ein neues Dialogfeld wird angezeigt. Klicken Sie nun auf die Registerkarte „Privates Profil“ und wählen Sie im Abschnitt „Logging“ die Option „Anpassen“.

Ein neues Fenster wird geöffnet und wählen Sie in diesem Bildschirm Ihre maximale Protokollgröße, Ihren Speicherort und ob Sie nur verworfene Pakete, eine erfolgreiche Verbindung oder beides protokollieren möchten. Ein verworfenes Paket ist ein Paket, das von der Windows-Firewall blockiert wurde. Eine erfolgreiche Verbindung bezieht sich sowohl auf eingehende Verbindungen als auch auf alle Verbindungen, die Sie über das Internet hergestellt haben, aber es bedeutet nicht immer, dass sich ein Eindringling erfolgreich mit Ihrem Computer verbunden hat.

Standardmäßig schreibt die Windows-Firewall Protokolleinträge in %SystemRoot%System32LogFilesFirewallPfirewall.log und speichert nur die letzten 4 MB an Daten. In den meisten Produktionsumgebungen wird dieses Protokoll ständig auf Ihre Festplatte geschrieben, und wenn Sie die Größenbeschränkung der Protokolldatei ändern (um Aktivitäten über einen längeren Zeitraum zu protokollieren), kann dies zu Leistungseinbußen führen. Aus diesem Grund sollten Sie die Protokollierung nur aktivieren, wenn Sie ein Problem aktiv beheben, und die Protokollierung dann sofort deaktivieren, wenn Sie fertig sind.

Klicken Sie anschließend auf die Registerkarte „Öffentliches Profil“ und wiederholen Sie die gleichen Schritte wie für die Registerkarte „Privates Profil“. Sie haben jetzt das Protokoll sowohl für private als auch für öffentliche Netzwerkverbindungen aktiviert. Die Protokolldatei wird in einem erweiterten W3C-Protokollformat (.log) erstellt, das Sie mit einem Texteditor Ihrer Wahl untersuchen oder in eine Tabelle importieren können. Eine einzelne Protokolldatei kann Tausende von Texteinträgen enthalten. Wenn Sie sie also über Notepad lesen, deaktivieren Sie den Zeilenumbruch, um die Spaltenformatierung beizubehalten. Wenn Sie die Protokolldatei in einer Tabelle anzeigen, werden alle Felder zur einfacheren Analyse logisch in Spalten angezeigt.

Scrollen Sie im Hauptbildschirm „Windows-Firewall mit erweiterter Sicherheit“ nach unten, bis Sie den Link „Überwachung“ sehen. Klicken Sie im Detailbereich unter „Protokollierungseinstellungen“ auf den Dateipfad neben „Dateiname“. Das Protokoll wird im Editor geöffnet.

Interpretieren des Windows-Firewall-Protokolls

Das Sicherheitsprotokoll der Windows-Firewall enthält zwei Abschnitte. Der Header enthält statische, beschreibende Informationen über die Version des Protokolls und die verfügbaren Felder. Der Hauptteil des Protokolls sind die zusammengestellten Daten, die als Ergebnis des Datenverkehrs eingegeben werden, der versucht, die Firewall zu passieren. Es handelt sich um eine dynamische Liste, und am unteren Rand des Protokolls werden ständig neue Einträge angezeigt. Die Felder werden von links nach rechts über die Seite geschrieben. Das (-) wird verwendet, wenn für das Feld kein Eintrag verfügbar ist.

Laut Microsoft Technet-Dokumentation der Header der Log-Datei enthält:

Version – Zeigt an, welche Version des Sicherheitsprotokolls der Windows-Firewall installiert ist.
Software – Zeigt den Namen der Software an, die das Protokoll erstellt.
Zeit – Zeigt an, dass alle Zeitstempelinformationen im Protokoll in der Ortszeit angegeben sind.
Felder – Zeigt eine Liste von Feldern an, die für Sicherheitsprotokolleinträge verfügbar sind, sofern Daten verfügbar sind.

Während der Hauptteil der Protokolldatei Folgendes enthält:

date — Das Datumsfeld identifiziert das Datum im Format JJJJ-MM-TT.
time — Die Ortszeit wird in der Protokolldatei im Format HH:MM:SS angezeigt. Die Stunden werden im 24-Stunden-Format angegeben.
action – Während die Firewall den Datenverkehr verarbeitet, werden bestimmte Aktionen aufgezeichnet. Die protokollierten Aktionen sind DROP zum Trennen einer Verbindung, OPEN zum Öffnen einer Verbindung, CLOSE zum Schließen einer Verbindung, OPEN-INBOUND für eine eingehende Sitzung, die auf dem lokalen Computer geöffnet wird, und INFO-EVENTS-LOST für Ereignisse, die von der Windows-Firewall verarbeitet werden, aber wurden nicht im Sicherheitsprotokoll aufgezeichnet.
Protokoll — Das verwendete Protokoll wie TCP, UDP oder ICMP.
src-ip — Zeigt die Quell-IP-Adresse an (die IP-Adresse des Computers, der versucht, eine Kommunikation aufzubauen).
dst-ip — Zeigt die Ziel-IP-Adresse eines Verbindungsversuchs an.
src-port — Die Portnummer auf dem sendenden Computer, von dem aus die Verbindung versucht wurde.
dst-port — Der Port, zu dem der sendende Computer versucht hat, eine Verbindung herzustellen.
size — Zeigt die Paketgröße in Bytes an.
tcpflags — Informationen zu TCP-Steuerungsflags in TCP-Headern.
tcpsyn — Zeigt die TCP-Sequenznummer im Paket an.
tcpack — Zeigt die TCP-Bestätigungsnummer im Paket an.
tcpwin — Zeigt die TCP-Fenstergröße in Bytes im Paket an.
icmptype — Informationen zu den ICMP-Nachrichten.
icmpcode — Informationen zu den ICMP-Nachrichten.
info — Zeigt einen Eintrag an, der von der Art der aufgetretenen Aktion abhängt.
path — Zeigt die Richtung der Kommunikation an. Die verfügbaren Optionen sind SENDEN, EMPFANGEN, WEITERLEITUNG und UNBEKANNT.

Wie Sie feststellen, ist der Protokolleintrag tatsächlich groß und kann bis zu 17 Informationen zu jedem Ereignis enthalten. Für die allgemeine Analyse sind jedoch nur die ersten acht Informationen wichtig. Mit den Details in der Hand können Sie jetzt die Informationen auf böswillige Aktivitäten analysieren oder Anwendungsfehler beheben.

Wenn Sie eine bösartige Aktivität vermuten, öffnen Sie die Protokolldatei im Notepad und filtern Sie alle Protokolleinträge mit DROP im Aktionsfeld und notieren Sie, ob die Ziel-IP-Adresse mit einer anderen Zahl als 255 endet. Wenn Sie viele solcher Einträge finden, dann nehmen Sie find eine Notiz der Ziel-IP-Adressen der Pakete. Nachdem Sie das Problem behoben haben, können Sie die Firewall-Protokollierung deaktivieren.

Die Behebung von Netzwerkproblemen kann manchmal ziemlich entmutigend sein, und eine empfohlene Vorgehensweise bei der Behebung der Windows-Firewall besteht darin, die nativen Protokolle zu aktivieren. Obwohl die Protokolldatei der Windows-Firewall für die Analyse der Gesamtsicherheit Ihres Netzwerks nicht hilfreich ist, ist sie dennoch eine bewährte Methode, wenn Sie überwachen möchten, was hinter den Kulissen passiert.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia