معرفی ساختار لاگ برداری فایروال ویندوز و جزئیات Log فایروال

اغلب firewall روش هایی برای log کردن اتفاقات در شبکه دارند و به این وسیله ترافیک شبکه رو مستند می کنن.امروز می خوایم با این log برداری آشنا بشیم.این log ها اطلاعات با ارزشی مثل IP مبدا و مقصد،شماره پورت ها و پروتکل های استفاده شده و... در اختیار ما میگذارن.شما می تونین از این log ها برای مانیتور کردن کانکشن های TCP و UDP و حتی packet های بلاک شده توسط firewall استفاده کنید.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

سوال: چرا و چه وقت Firewall Logging می تواند مفید باشد؟

موارد زیر میتونه دلایل استفاده از Firewall loging باشه:

  1. برای بررسی کردن درستی Rule هایی که اضافه شده و همینطور برای debug کردن Rule هایی که دچار مشکل شده اند.
  2. برای بررسی این موضوع که آیا Firewall باعث اختلال در نرم افزاری شده است؟ (با استفاده از ویژگی logging میتونین port های بسته شده و packet های drop شده رو بررسی کنید)
  3. کمک کردن برای شناسایی activity های مخرب(البته اطلاعات کمی در مورد منبع این فعالیت ها به ما میده)
  4. اگر شما متوجه بشید که درون شبکه،یک IP و یا گروهی از IP ها در تلاش اند که به firewall و یا قسمت های مهم دیگر دسترسی پیدا کنن،قطعا به سمت نوشتن Rule ای برای drop کردن تمام کانکشن های IP مورد نظر میرید(البته اگه IP مدنظر spoof نشده باشه!)
  5. connection های بیرونی ای که از سرور های داخلی مانند Web server ناشی میشن،میتونن نشونه ی این باشن که کسی در حال اسفاده از سیستم شما برای حمله به کامپیوتر های موجود در شبکه های دیگه است

چگونه این Log File را ایجاد کنیم؟

به طور پیش فرض این قابلیت غیرفعال است یعنی هیچ اطلاعاتی درون log file نوشته نمیشه. برای ایجاد بعد از فشار دادن ترکیبی کلیدwin+r عبارت wf.msc رو درون Run تایپ کنید.صفحه Windows Firewall with Advanced Security مقابل شماست. در سمت راست بر روی properties کلیک کنید

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در صفحه جدید بر روی Private Profile کلیک کنید و Customize را از قسمت Logging انتخاب کنید.

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در صفحه ی جدید، ماکزیمم size لاگ فایل،مکان ذخیره سازی و نوع لاگ برداری را انتخاب کنید

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

به طور پیش فرض Windows Firewall جزئیات log file رو در این مسیر می نویسه: SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log%
و نکته قابل توجه اینه که فقط 4MB دیتای آخر رو ذخیره می کنه.در بیشتر ابزار های فایروال، دیتا بر روی هارددیسک ذخیره میشه و اگه میزان size مورد استفاده زیاد بشه بر روی performance سیستم اثر میذاره که معمولا به خاطر ذخیره سازی در مدت زمان طولانی این مشکل پیش میاد.

بنابراین موقعی که واقعا نیازی به log برداری پیدا کردین از این ویژگی استفاده کنید و زمانی هم که کارتون انجام شد اون رو disable کنید. مراحل قبل رو برای تب public profile هم تکرار کنین.خروجی فایل با فرمت log. کانکشن های public و private شما را log می کند.
در صفحه اصلی Windows Firewall with Advanced Security اگر در قسمت Monitoring اسکرول کنید در قسمت Logging Settings می تونید فایل مورد نظرتون رو ببینید.

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

تفسیر Windows Firewall Log

این log از دو قسمت تشکیل شده است.یک قسمت،قسمت header می باشد که field های موجود در آن نوشته شده--قسمت body هم نتیجه ترافیک عبوری از firewall را به صورت کامپایل شده نشان می دهد.این لیست داینامیک می باشد و در انتهای لیست سطر های جدید در حال اضافه شدن هستند علامت "-" هم نشان دهنده آن است که جزئیاتی برای field موردنظر وجود ندارد.

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در ادامه قصد داریم با جزئیات log file در Firewall بیشتر آشنا بشیم

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت دوم)

مطابق Microsoft Technet documentation ، بررسی header و body رو انجام میدیم:

header از بخش های زیر تشکیل شده:

  • version -- نشان دهنده ورژن نصب شده ی Windows Firewall security log بر روی سیستم
  • software-- نشان دهنده نام نرم افزار ایجاد کننده log file
  • time -- نشان دهنده اطلاعات زمانی بر اساس local time
  • fields -- نمایش دهنده field های موجود

body نیز از بخش های زیر تشکیل شده است:

  • date
  • time
  • action -- به دلیل اینکه firewall ترافیک را پردازش می کند و پردازش های اخیر را record می کند،وضعیت آنها نیز باید مشخص باشد: DROP-OPEN-CLOSE-OPEN INBOUND و INFO EVENTS LOST  - DROP for dropping a connection -OPEN for opening a connection -CLOSE for closing a connection -OPEN-INBOUND : برای یک inbound session که در سیستم باز شده است INFO EVENTS LOST : برای event های پردازش شده توسط firewall که در log file ثبت نشده اند
  • protocol -- پروتکل مورد استفاده مانند TCP,UDP,ICMP
  • src-ip -- نشان دهنده IP مبدا (سیستمی که تلاش برای برقراری ارتباط می کند)
  • dst-ip -- نشان دهنده IP مقصد
  • src-port -- شماره پورت کامپیوتر فرستنده
  • dst-port -- شماره پورت کامپیوتری که کامپیوتر فرستنده سعی در ارتباط با آن دارد
  • size -- نشان دهنده اندازه packet به بایت
  • tcpflags -- اطلاعات راجع به flag های کنترلی TCP در TCP header
  • tcpsyn -- نشان دهنده TCP sequence number در packet
  • tcpack -- نشان دهنده TCP acknowledgement numberدر packet
  • tcpwin -- نشان دهنده TCP window sizeدر packet
  • icmptype -- اطلاعات راجع به ICMP messages
  • icmpcode -- اطلاعات راجع به ICMP messages
  • info -- نشان دهنده جزئیات وابسته به نوع action ای که اتفاق افتاده است
  • path -- نشان دهنده مسیر ارتباط (SEND, RECEIVE, FORWARD,UNKNOWN)

همانطور که دیدید اطلاعات نشان داده شده بسیار زاد است و ممکن است به 17 ستون نیز برسد،اما معمولا 8 ستون اول برای تحلیل و بررسی مهم است و بیشتر به کار می آید. با این جزئیات شما می توانید به راحتی اکتیویتی های مخرب را شناسایی کرده و یا به رفع ایراد از مشکلات application مورد نظر خود بپردازید . این ویژگی در troubleshooting شبکه به کارتان خواهد آمد امیدوارم از این آموزش لذت برده باشید.  موفق باشید.


علی سفیدموی
علی سفیدموی

فارغ التحصیل رشته مهندسی سخت افزار دانشگاه شاهد هستم. به حوزه شبکه علاقه مند می باشم و دوره MCSE را در مجتمع فنی تهران شعبه ابن سینا گذرانده ام. به یادگیری و کار تیمی علاقه مند می باشم. در زمینه هایی از قبیل high availability و load balancing سرور های لینوکسی در شرکت ویراتک شریف دارای تجربه می باشم. علاقه مند به انجام پروژه در زمینه شبکه های کامپیوتری هستم. در حوزه برنامه نویسی و توسعه اپلیکیشن های تحت وب فعالیت داشته و دارم. به عنوان کاربر نویسنده نیز چندین مطلب تخصصی در حوزه فناوری اطلاعات در

نظرات