Por que e quando o log de firewall é útil
- Para verificar se as regras de firewall adicionadas recentemente funcionam corretamente ou depurá-las, caso não funcionem conforme o esperado.
- Para determinar se o Firewall do Windows é a causa de falhas nos aplicativos - Com o recurso de log do Firewall você pode verificar aberturas de porta desabilitadas, aberturas dinâmicas de portas, analisar pacotes ignorados com sinalizadores push e urgentes e analisar pacotes descartados no caminho de envio.
- Para ajudar e identificar atividades maliciosas - Com o recurso de registro em log do Firewall, você pode verificar se alguma atividade mal-intencionada está ocorrendo em sua rede ou não, embora deva lembrar que ela não fornece as informações necessárias para rastrear a origem da atividade.
- Se você perceber repetidas tentativas malsucedidas de acessar seu firewall e / ou outros sistemas de alto perfil de um endereço IP (ou grupo de endereços IP), talvez queira escrever uma regra para descartar todas as conexões desse espaço IP (certificando-se de que O endereço IP não está sendo falsificado).
- As conexões de saída provenientes de servidores internos, como servidores da Web, podem ser uma indicação de que alguém está usando seu sistema para lançar ataques contra computadores localizados em outras redes.
Como gerar o arquivo de log
Por padrão, o arquivo de log é desativado, o que significa que nenhuma informação é gravada no arquivo de log. Para criar um arquivo de log, pressione "Win key + R" para abrir a caixa Executar. Digite “wf.msc” e pressione Enter. A tela “Firewall do Windows com Segurança Avançada” é exibida. No lado direito da tela, clique em "Propriedades".
Uma nova janela é aberta e, a partir dessa tela, escolha o tamanho máximo do log, a localização e se você deve registrar somente os pacotes eliminados, a conexão bem-sucedida ou ambos. Um pacote descartado é um pacote que o Firewall do Windows bloqueou. Uma conexão bem-sucedida se refere a conexões de entrada e a qualquer conexão feita pela Internet, mas isso nem sempre significa que um intruso tenha se conectado ao seu computador.
%SystemRoot%System32LogFilesFirewallPfirewall.log
e armazena apenas os últimos 4 MB de dados. Na maioria dos ambientes de produção, esse log gravará constantemente em seu disco rígido e, se você alterar o limite de tamanho do arquivo de log (para registrar a atividade durante um longo período de tempo), isso poderá causar um impacto no desempenho. Por esse motivo, você deve ativar o registro somente ao solucionar um problema ativamente e, em seguida, desabilitar imediatamente o registro quando terminar.
Em seguida, clique na guia "Perfil público" e repita as mesmas etapas que você fez para a guia "Perfil privado". Agora você ativou o registro para conexões de rede públicas e privadas. O arquivo de log será criado em um formato de registro estendido do W3C (.log) que você pode examinar com um editor de texto de sua escolha ou importá-los para uma planilha. Um único arquivo de log pode conter milhares de entradas de texto, portanto, se você as estiver lendo no Bloco de Notas, desative a quebra de palavras para preservar a formatação da coluna. Se você estiver visualizando o arquivo de log em uma planilha, todos os campos serão exibidos logicamente nas colunas para facilitar a análise.
Na tela principal "Firewall do Windows com Segurança Avançada", role para baixo até ver o link "Monitoramento". No painel Detalhes, em "Configurações de registro", clique no caminho do arquivo ao lado de "Nome do arquivo". O registro é aberto no Bloco de Notas.
Interpretando o log do Firewall do Windows
O log de segurança do Firewall do Windows contém duas seções. O cabeçalho fornece informações descritivas estáticas sobre a versão do log e os campos disponíveis. O corpo do log são os dados compilados que são inseridos como resultado do tráfego que tenta atravessar o firewall. É uma lista dinâmica e novas entradas continuam aparecendo na parte inferior do log. Os campos são escritos da esquerda para a direita na página. O (-) é usado quando não há entrada disponível para o campo.
Versão - Exibe qual versão do log de segurança do Firewall do Windows está instalada. Software - Exibe o nome do software que cria o log. Hora - Indica que todas as informações de registro de data e hora no registro estão no horário local. Campos - Exibe uma lista de campos que estão disponíveis para entradas de log de segurança, se os dados estiverem disponíveis.
Enquanto o corpo do arquivo de log contém:
date - O campo date identifica a data no formato AAAA-MM-DD. time - A hora local é exibida no arquivo de log usando o formato HH: MM: SS. As horas são referenciadas no formato de 24 horas. ação - Como o firewall processa o tráfego, determinadas ações são registradas.As ações registradas são DROP para descartar uma conexão, OPEN para abrir uma conexão, CLOSE para fechar uma conexão, OPEN-INBOUND para uma sessão de entrada aberta no computador local e INFO-EVENTS-LOST para eventos processados pelo Firewall do Windows, mas não foram registrados no log de segurança. protocolo - O protocolo usado como TCP, UDP ou ICMP. src-ip - Exibe o endereço IP de origem (o endereço IP do computador que tenta estabelecer a comunicação). dst-ip - Exibe o endereço IP de destino de uma tentativa de conexão. src-port - O número da porta no computador de envio do qual a conexão foi tentada. dst-port - A porta na qual o computador remetente estava tentando fazer uma conexão. tamanho - Exibe o tamanho do pacote em bytes. tcpflags - Informações sobre sinalizadores de controle TCP nos cabeçalhos TCP. tcpsyn - Exibe o número de seqüência do TCP no pacote. tcpack - Exibe o número de confirmação do TCP no pacote. tcpwin - Exibe o tamanho da janela TCP, em bytes, no pacote. icmptype - Informações sobre as mensagens ICMP. icmpcode - Informação sobre as mensagens ICMP. info - Exibe uma entrada que depende do tipo de ação que ocorreu. caminho - Exibe a direção da comunicação. As opções disponíveis são SEND, RECEIVE, FORWARD e UNKNOWN.
Como você percebe, a entrada de log é realmente grande e pode ter até 17 informações associadas a cada evento. No entanto, apenas as oito primeiras informações são importantes para a análise geral. Com os detalhes em sua mão, agora você pode analisar as informações de atividades mal-intencionadas ou depurar falhas de aplicativos.
Se você suspeitar de qualquer atividade maliciosa, abra o arquivo de log no Bloco de Notas e filtre todas as entradas de log com DROP no campo de ação e observe se o endereço IP de destino termina com um número diferente de 255. Se você encontrar muitas dessas entradas, uma nota dos endereços IP de destino dos pacotes. Quando terminar de solucionar o problema, você poderá desabilitar o registro do firewall.
A solução de problemas de rede pode ser bastante difícil às vezes e uma boa prática recomendada ao solucionar problemas do Firewall do Windows é habilitar os logs nativos. Embora o arquivo de log do Firewall do Windows não seja útil para analisar a segurança geral de sua rede, ainda é uma boa prática se você quiser monitorar o que está acontecendo nos bastidores.