Startseite » wie man » So überwachen Sie die Firewall-Aktivität mit dem Windows-Firewall-Protokoll

    So überwachen Sie die Firewall-Aktivität mit dem Windows-Firewall-Protokoll

    Beim Filtern des Internetverkehrs haben alle Firewalls eine Art Protokollierungsfunktion, die dokumentiert, wie die Firewall verschiedene Arten von Datenverkehr handhabt. Diese Protokolle können wertvolle Informationen wie Quell- und Ziel-IP-Adressen, Portnummern und Protokolle enthalten. Sie können die Windows-Firewall-Protokolldatei auch verwenden, um TCP- und UDP-Verbindungen und Pakete zu überwachen, die von der Firewall blockiert werden.

    Warum und wann Firewall-Protokollierung sinnvoll ist

    1. Um zu überprüfen, ob neu hinzugefügte Firewall-Regeln ordnungsgemäß funktionieren, oder um sie zu debuggen, wenn sie nicht wie erwartet funktionieren.
    2. So ermitteln Sie, ob die Windows-Firewall die Ursache für Anwendungsfehler ist - Mit der Firewall-Protokollierungsfunktion können Sie auf deaktivierte Portöffnungen und dynamische Portöffnungen prüfen, verworfene Pakete mit Push- und Dringlichkeitsflags analysieren und verworfene Pakete auf dem Sendepfad analysieren.
    3. So können Sie bösartige Aktivitäten unterstützen und erkennen: Mit der Firewall-Protokollierungsfunktion können Sie prüfen, ob bösartige Aktivitäten in Ihrem Netzwerk auftreten oder nicht. Sie müssen jedoch beachten, dass nicht die Informationen bereitgestellt werden, die zum Auffinden der Quelle der Aktivität erforderlich sind.
    4. Wenn Sie bemerken, dass wiederholte Versuche fehlgeschlagen sind, von einer IP-Adresse (oder einer Gruppe von IP-Adressen) auf Ihre Firewall und / oder andere hochkarätige Systeme zuzugreifen, möchten Sie möglicherweise eine Regel schreiben, um alle Verbindungen aus diesem IP-Bereich zu löschen IP-Adresse wird nicht gefälscht).
    5. Ausgehende Verbindungen von internen Servern wie Webservern können darauf hindeuten, dass jemand Ihr System zum Starten von Angriffen auf Computer in anderen Netzwerken verwendet.

    So erstellen Sie die Protokolldatei

    Die Protokolldatei ist standardmäßig deaktiviert, dh es werden keine Informationen in die Protokolldatei geschrieben. Um eine Protokolldatei zu erstellen, drücken Sie "Win-Taste + R", um das Feld "Ausführen" zu öffnen. Geben Sie "wf.msc" ein und drücken Sie die Eingabetaste. Der Bildschirm „Windows-Firewall mit erweiterter Sicherheit“ wird angezeigt. Klicken Sie auf der rechten Seite des Bildschirms auf "Eigenschaften".

    Ein neues Dialogfeld wird angezeigt. Klicken Sie nun auf die Registerkarte "Privates Profil" und wählen Sie "Anpassen" im Abschnitt "Protokollierung".

    Ein neues Fenster wird geöffnet. Dort können Sie die maximale Protokollgröße und den Speicherort auswählen und festlegen, ob nur verworfene Pakete, eine erfolgreiche Verbindung oder beides protokolliert werden soll. Ein verworfenes Paket ist ein Paket, das von der Windows-Firewall blockiert wurde. Eine erfolgreiche Verbindung bezieht sich sowohl auf eingehende Verbindungen als auch auf jede Verbindung, die Sie über das Internet hergestellt haben. Dies bedeutet jedoch nicht immer, dass ein Eindringling erfolgreich eine Verbindung zu Ihrem Computer hergestellt hat.

    Standardmäßig schreibt die Windows-Firewall Protokolleinträge in % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log und speichert nur die letzten 4 MB Daten. In den meisten Produktionsumgebungen schreibt dieses Protokoll ständig auf Ihrer Festplatte. Wenn Sie die Größenbeschränkung der Protokolldatei ändern (um Protokollaktivitäten über einen längeren Zeitraum zu protokollieren), kann dies Auswirkungen auf die Leistung haben. Aus diesem Grund sollten Sie die Protokollierung nur aktivieren, wenn Sie ein Problem aktiv beheben, und die Protokollierung sofort deaktivieren, wenn Sie fertig sind.

    Klicken Sie anschließend auf die Registerkarte "Public Profile" und wiederholen Sie die gleichen Schritte wie für die Registerkarte "Private Profile". Sie haben jetzt das Protokoll für private und öffentliche Netzwerkverbindungen aktiviert. Die Protokolldatei wird in einem erweiterten W3C-Protokollformat (.log) erstellt, das Sie mit einem Texteditor Ihrer Wahl untersuchen oder in eine Tabelle importieren können. Eine einzelne Protokolldatei kann Tausende von Texteinträgen enthalten. Wenn Sie sie über den Editor lesen, deaktivieren Sie die Zeilenumbrüche, um die Formatierung der Spalten beizubehalten. Wenn Sie die Protokolldatei in einer Kalkulationstabelle anzeigen, werden alle Felder zur leichteren Analyse in Spalten angezeigt.

    Scrollen Sie im Hauptbildschirm "Windows-Firewall mit erweiterter Sicherheit" nach unten, bis Sie den Link "Überwachung" sehen. Klicken Sie im Detailbereich unter "Protokolleinstellungen" auf den Dateipfad neben "Dateiname". Das Protokoll wird im Editor geöffnet.

    Interpretieren des Windows-Firewall-Protokolls

    Das Sicherheitsprotokoll der Windows-Firewall enthält zwei Abschnitte. Der Header enthält statische, beschreibende Informationen zur Version des Protokolls und zu den verfügbaren Feldern. Der Hauptteil des Protokolls sind die kompilierten Daten, die als Ergebnis des Datenverkehrs eingegeben werden, der versucht, die Firewall zu passieren. Es ist eine dynamische Liste, und am unteren Rand des Protokolls werden neue Einträge angezeigt. Die Felder werden von links nach rechts über die Seite geschrieben. Das (-) wird verwendet, wenn für das Feld kein Eintrag verfügbar ist.

    Gemäß der Microsoft Technet-Dokumentation enthält der Header der Protokolldatei:

    Version - Zeigt an, welche Version des Windows Firewall-Sicherheitsprotokolls installiert ist.
    Software - Zeigt den Namen der Software an, die das Protokoll erstellt.
    Zeit - Gibt an, dass alle Zeitstempelinformationen im Protokoll in Ortszeit sind.
    Felder - Zeigt eine Liste der Felder an, die für Sicherheitsprotokolleinträge verfügbar sind, sofern Daten verfügbar sind.

    Während der Hauptteil der Protokolldatei Folgendes enthält:

    Datum - Das Datumsfeld gibt das Datum im Format JJJJ-MM-TT an.
    Zeit - Die Ortszeit wird in der Protokolldatei im Format HH: MM: SS angezeigt. Die Stunden werden im 24-Stunden-Format referenziert.
    Aktion - Da die Firewall den Datenverkehr verarbeitet, werden bestimmte Aktionen aufgezeichnet. Die protokollierten Aktionen sind DROP zum Trennen einer Verbindung, OPEN zum Öffnen einer Verbindung, CLOSE zum Schließen einer Verbindung, OPEN-INBOUND für eine auf dem lokalen Computer geöffnete eingehende Sitzung und INFO-EVENTS-LOST für Ereignisse, die von der Windows-Firewall verarbeitet werden, jedoch wurden nicht im Sicherheitsprotokoll aufgezeichnet.
    Protokoll - Das verwendete Protokoll wie TCP, UDP oder ICMP.
    src-ip - Zeigt die Quell-IP-Adresse (die IP-Adresse des Computers an, der versucht, die Kommunikation herzustellen).
    dst-ip - Zeigt die Ziel-IP-Adresse eines Verbindungsversuchs an.
    src-port - Die Portnummer auf dem sendenden Computer, von dem aus die Verbindung hergestellt wurde.
    dst-port - Der Port, zu dem der sendende Computer versucht hat, eine Verbindung herzustellen.
    size - Zeigt die Paketgröße in Byte an.
    tcpflags - Informationen zu TCP-Steuerungsflags in TCP-Headern.
    tcpsyn - Zeigt die TCP-Sequenznummer im Paket an.
    tcpack - Zeigt die TCP-Bestätigungsnummer im Paket an.
    tcpwin - Zeigt die TCP-Fenstergröße in Bytes im Paket an.
    icmptype - Informationen zu den ICMP-Nachrichten.
    icmpcode - Informationen zu den ICMP-Meldungen.
    info - Zeigt einen Eintrag an, der von der Art der durchgeführten Aktion abhängig ist.
    Pfad - Zeigt die Richtung der Kommunikation an. Die verfügbaren Optionen sind SENDEN, EMPFANGEN, VORWÄRTS und UNBEKANNT.

    Wie Sie feststellen, ist der Protokolleintrag in der Tat groß und kann bis zu 17 Informationen enthalten, die jedem Ereignis zugeordnet sind. Für die allgemeine Analyse sind jedoch nur die ersten acht Informationen wichtig. Mit den Details in Ihrer Hand können Sie die Informationen jetzt auf schädliche Aktivitäten oder Fehler bei der Fehlersuche von Anwendungen analysieren.

    Wenn Sie eine schädliche Aktivität vermuten, öffnen Sie die Protokolldatei in Notepad und filtern alle Protokolleinträge mit DROP im Aktionsfeld. Beachten Sie, ob die Ziel-IP-Adresse mit einer anderen Zahl als 255 endet. Wenn Sie viele solcher Einträge finden, dann nehmen Sie eine Notiz der Ziel-IP-Adressen der Pakete. Wenn Sie die Problembehandlung abgeschlossen haben, können Sie die Firewall-Protokollierung deaktivieren.

    Die Problembehandlung bei Netzwerkproblemen kann manchmal sehr schwierig sein. Es wird empfohlen, bei der Problembehandlung der Windows-Firewall die systemeigenen Protokolle zu aktivieren. Obwohl die Windows-Firewall-Protokolldatei nicht für die Analyse der Gesamtsicherheit Ihres Netzwerks nützlich ist, empfiehlt es sich immer noch, wenn Sie überwachen möchten, was hinter den Kulissen passiert.