Como rastrear a atividade do firewall com o log do firewall do Windows

No processo de filtragem do tráfego da Internet, todos os firewalls possuem algum tipo de recurso de registro que documenta como o firewall lidou com vários tipos de tráfego. Esses registros podem fornecer informações valiosas, como endereços IP de origem e destino, números de porta e protocolos. Você também pode usar o arquivo de log do Firewall do Windows para monitorar conexões e pacotes TCP e UDP bloqueados pelo firewall.

Por que e quando o log de firewall é útil

1. Para verificar se as regras de firewall adicionadas recentemente funcionam corretamente ou para depurá-las se não funcionarem conforme o esperado.
2. Para determinar se o Firewall do Windows é a causa de falhas de aplicativos - Com o recurso de log do Firewall, você pode verificar aberturas de portas desabilitadas, aberturas dinâmicas de portas, analisar pacotes ignorados com sinalizadores push e urgentes e analisar pacotes descartados no caminho de envio.
3. Para ajudar e identificar atividades maliciosas - Com o recurso de registro em log do Firewall, você pode verificar se alguma atividade mal-intencionada está ocorrendo em sua rede ou não, embora deva lembrar que ela não fornece as informações necessárias para rastrear a origem da atividade..
4. Se você perceber repetidas tentativas malsucedidas de acessar seu firewall e / ou outros sistemas de alto perfil de um endereço IP (ou grupo de endereços IP), talvez queira gravar uma regra para descartar todas as conexões desse espaço IP (certificando-se de que O endereço IP não está sendo falsificado).
5. Conexões de saída provenientes de servidores internos, como servidores da Web, podem ser uma indicação de que alguém está usando seu sistema para iniciar ataques contra computadores localizados em outras redes.

Como gerar o arquivo de log

Por padrão, o arquivo de log é desativado, o que significa que nenhuma informação é gravada no arquivo de log. Para criar um arquivo de log, pressione "Win key + R" para abrir a caixa Executar. Digite “wf.msc” e pressione Enter. A tela “Firewall do Windows com Segurança Avançada” é exibida. No lado direito da tela, clique em "Propriedades".

Uma nova caixa de diálogo é exibida. Agora, clique na guia "Perfil privado" e selecione "Personalizar" na "Seção de registro".

Uma nova janela é aberta e, a partir dessa tela, escolha o tamanho máximo do log, a localização e se você deve registrar somente os pacotes eliminados, a conexão bem-sucedida ou ambos. Um pacote descartado é um pacote que o Firewall do Windows bloqueou. Uma conexão bem-sucedida se refere tanto a conexões de entrada quanto a qualquer conexão que você fez através da Internet, mas isso nem sempre significa que um intruso tenha se conectado com sucesso ao seu computador..

Por padrão, o Firewall do Windows grava entradas de log em % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log e armazena apenas os últimos 4 MB de dados. Na maioria dos ambientes de produção, esse log gravará constantemente em seu disco rígido e, se você alterar o limite de tamanho do arquivo de log (para registrar a atividade por um longo período de tempo), isso poderá causar um impacto no desempenho. Por esse motivo, você deve habilitar o registro somente ao solucionar problemas ativamente e, em seguida, desabilitar imediatamente o registro quando terminar.

Em seguida, clique na guia "Perfil público" e repita as mesmas etapas que você fez para a guia "Perfil privado". Agora você ativou o log para conexões de rede públicas e privadas. O arquivo de log será criado em um formato de registro estendido do W3C (.log) que você pode examinar com um editor de texto de sua escolha ou importá-los para uma planilha. Um único arquivo de log pode conter milhares de entradas de texto, portanto, se você as estiver lendo no Bloco de Notas, desative a quebra de palavras para preservar a formatação da coluna. Se você estiver visualizando o arquivo de log em uma planilha, todos os campos serão exibidos logicamente nas colunas para facilitar a análise.

Na tela principal "Firewall do Windows com Segurança Avançada", role para baixo até ver o link "Monitoramento". No painel Detalhes, em "Configurações de log", clique no caminho do arquivo ao lado de "Nome do arquivo". O log é aberto no Bloco de notas.

Interpretando o log do Firewall do Windows

O log de segurança do Firewall do Windows contém duas seções. O cabeçalho fornece informações descritivas estáticas sobre a versão do log e os campos disponíveis. O corpo do log são os dados compilados que são inseridos como resultado do tráfego que tenta atravessar o firewall. É uma lista dinâmica e novas entradas continuam aparecendo na parte inferior do log. Os campos são escritos da esquerda para a direita na página. O (-) é usado quando não há entrada disponível para o campo.

De acordo com a documentação do Microsoft Technet, o cabeçalho do arquivo de log contém:

Versão - Exibe qual versão do log de segurança do Firewall do Windows está instalada.
Software - Exibe o nome do software que cria o log.
Hora - Indica que todas as informações de registro de data e hora no log estão no horário local.
Campos - Exibe uma lista de campos que estão disponíveis para entradas de log de segurança, se os dados estiverem disponíveis.

Enquanto o corpo do arquivo de log contém:

date - O campo data identifica a data no formato AAAA-MM-DD.
time - A hora local é exibida no arquivo de log usando o formato HH: MM: SS. As horas são referenciadas no formato de 24 horas.
ação - Como o firewall processa o tráfego, determinadas ações são registradas. As ações registradas são DROP para descartar uma conexão, OPEN para abrir uma conexão, CLOSE para fechar uma conexão, OPEN-INBOUND para uma sessão de entrada aberta no computador local e INFO-EVENTS-LOST para eventos processados ​​pelo Firewall do Windows, mas não foram registrados no log de segurança.
protocolo - O protocolo usado como TCP, UDP ou ICMP.
src-ip - Exibe o endereço IP de origem (o endereço IP do computador que tenta estabelecer comunicação).
dst-ip - Exibe o endereço IP de destino de uma tentativa de conexão.
src-port - O número da porta no computador de envio do qual a conexão foi tentada.
dst-port - A porta na qual o computador remetente estava tentando fazer uma conexão.
tamanho - exibe o tamanho do pacote em bytes.
tcpflags - Informações sobre sinalizadores de controle TCP em cabeçalhos TCP.
tcpsyn - Exibe o número de sequência do TCP no pacote.
tcpack - Exibe o número de confirmação TCP no pacote.
tcpwin - Exibe o tamanho da janela TCP, em bytes, no pacote.
icmptype - Informações sobre as mensagens ICMP.
icmpcode - Informações sobre as mensagens ICMP.
info - exibe uma entrada que depende do tipo de ação que ocorreu.
caminho - Exibe a direção da comunicação. As opções disponíveis são SEND, RECEIVE, FORWARD e UNKNOWN.

Como você percebe, a entrada de log é realmente grande e pode ter até 17 informações associadas a cada evento. No entanto, apenas as oito primeiras informações são importantes para a análise geral. Com os detalhes em sua mão, agora você pode analisar as informações para atividades mal-intencionadas ou depurar falhas de aplicativos.

Se suspeitar de qualquer atividade maliciosa, abra o arquivo de log no Bloco de Notas e filtre todas as entradas de log com DROP no campo de ação e observe se o endereço IP de destino termina com um número diferente de 255. Se você encontrar muitas dessas entradas, uma nota dos endereços IP de destino dos pacotes. Quando terminar de solucionar o problema, você poderá desabilitar o log do firewall.

A resolução de problemas de rede pode ser bastante intimidante, por vezes, e uma boa prática recomendada ao solucionar problemas do Firewall do Windows é ativar os logs nativos. Embora o arquivo de log do Firewall do Windows não seja útil para analisar a segurança geral de sua rede, ainda é uma boa prática se você quiser monitorar o que está acontecendo nos bastidores..