nl.phhsnews.com


nl.phhsnews.com / Firewallactiviteit volgen met de Windows Firewall-logboek

Firewallactiviteit volgen met de Windows Firewall-logboek


Tijdens het filteren van internetverkeer hebben alle firewalls een soort logfunctie waarmee wordt gedocumenteerd hoe de firewall verschillende typen verkeer heeft afgehandeld. Deze logboeken kunnen waardevolle informatie bieden, zoals bron- en doel-IP-adressen, poortnummers en protocollen. U kunt ook het logbestand van Windows Firewall gebruiken om TCP- en UDP-verbindingen en -pakketten te controleren die worden geblokkeerd door de firewall.

Waarom en wanneer logboekregistratie van firewalls nuttig is

  1. Controleren of nieuw toegevoegde firewallregels correct werken of om fouten te debuggen als ze niet werken zoals verwacht.
  2. Bepalen of Windows Firewall de oorzaak is van een probleem met de toepassing - Met de logfunctie van de firewall kunt u controleren op uitgeschakelde poortopeningen, dynamische poortopeningen, afgebroken pakketten met push- en urgentvlaggen analyseren en analyseren dropte pakketten op het verzendpad.
  3. Om kwaadwillige activiteit te helpen en te identificeren - Met de logfunctie van Firewall kunt u controleren of er kwaadaardige activiteit plaatsvindt binnen uw netwerk of niet, hoewel u zich moet herinneren dat het niet de informatie bevat die u nodig hebt om bij te houden naar beneden de bron van de activiteit.
  4. Als u herhaalde, niet-succesvolle pogingen ziet om toegang te krijgen tot uw firewall en / of andere high profile-systemen vanaf één IP-adres (of een groep IP-adressen), dan wilt u misschien om een ​​regel te schrijven om alle verbindingen uit die IP-ruimte te verwijderen (ervoor zorgen dat het IP-adres niet wordt vervalst). Uitgaande verbindingen van interne servers zoals webservers kunnen een aanwijzing zijn dat iemand uw systeem gebruikt om start aanvallen op computers op andere netwerken.
  5. Genereren van het logbestand

Standaard is het logbestand uitgeschakeld, wat betekent dat er geen informatie naar het logbestand is geschreven. Om een ​​logbestand aan te maken, drukt u op "Win-toets + R" om het vak Uitvoeren te openen. Typ "wf.msc" en druk op Enter. Het scherm "Windows Firewall met geavanceerde beveiliging" verschijnt. Klik aan de rechterkant van het scherm op 'Eigenschappen'.

Er verschijnt een nieuw dialoogvenster. Klik nu op het tabblad "Privé Profiel" en selecteer "Aanpassen" in de "Logging Section".

Een nieuw venster opent en van daaruit kiest u uw maximale loggrootte, locatie en of u alleen gedropte pakketten, succesvolle verbindingen of beide. Een verwijderd pakket is een pakket dat Windows Firewall heeft geblokkeerd. Een succesvolle verbinding verwijst zowel naar inkomende verbindingen als naar verbindingen die u via internet hebt gemaakt, maar dit betekent niet altijd dat een indringer verbinding heeft gemaakt met uw computer.

Windows Firewall schrijft standaard logboekvermeldingen naar

% SystemRoot% System32 LogFiles Firewall Pfirewall.logen slaat alleen de laatste 4 MB aan gegevens op. In de meeste productieomgevingen zal dit logboek constant naar uw harde schijf schrijven en als u de maximale grootte van het logbestand wijzigt (om activiteiten over een lange periode te loggen), kan dit een prestatie-impact veroorzaken. Daarom moet u logboekregistratie alleen inschakelen als u actief een probleem probeert op te lossen en logboekregistratie onmiddellijk uitschakelen wanneer u klaar bent.Klik vervolgens op het tabblad "Openbaar profiel" en herhaal dezelfde stappen als voor het tabblad "Privé profiel" . U hebt nu het logboek ingeschakeld voor zowel privé- als openbare netwerkverbindingen. Het logbestand wordt gemaakt in een uitgebreid W3C-logbestand (.log) dat u kunt bekijken met een teksteditor van uw keuze of importeert in een spreadsheet. Een enkel logbestand kan duizenden tekstinvoer bevatten, dus als u ze via Kladblok leest, schakel dan het wikkelen van woorden uit om de kolomopmaak te behouden. Als u het logbestand in een spreadsheet bekijkt, worden alle velden logisch weergegeven in kolommen om de analyse te vergemakkelijken.

Scroll op het hoofdscherm 'Windows Firewall met geavanceerde beveiliging' totdat u de link 'Monitoring' ziet. Klik in het detailvenster onder "Logboekinstellingen" op het bestandspad naast "Bestandsnaam". Het logboek wordt geopend in Kladblok.

Het logbestand van Windows Firewall interpreteren

Het beveiligingslogboek van Windows Firewall bevat twee secties. De kop biedt statische, beschrijvende informatie over de versie van het log en de beschikbare velden. De hoofdtekst van het logbestand zijn de gecompileerde gegevens die worden ingevoerd als gevolg van verkeer dat de firewall probeert te passeren. Het is een dynamische lijst en er verschijnen nieuwe vermeldingen onderaan in het logboek. De velden worden van links naar rechts op de pagina geschreven. De (-) wordt gebruikt als er geen invoer beschikbaar is voor het veld.

Volgens de Microsoft Technet-documentatie bevat de header van het logbestand het volgende:

Versie - Geeft aan welke versie van het beveiligingslogboek van Windows Firewall is geïnstalleerd.

Software - Geeft de naam weer van de software die het logboek maakt.
Tijd: geeft aan dat alle tijdstempelinformatie in het logboek in lokale tijd is.
Velden - Geeft een lijst met velden weer die beschikbaar zijn voor beveiligingslogboek invoeren, als gegevens beschikbaar zijn.
Terwijl de hoofdtekst van het logbestand het volgende bevat:

datum - het datumveld geeft de datum aan in de notatie JJJJ-MM-DD.

tijd - de lokale tijd wordt weergegeven in het logbestand met het formaat UU: MM: SS. Er wordt naar de uren verwezen in 24-uurs formaat.
actie - Terwijl de firewall verkeer verwerkt, worden bepaalde acties vastgelegd. De geregistreerde acties zijn DROP voor het verbreken van een verbinding, OPEN voor het openen van een verbinding, CLOSE voor het sluiten van een verbinding, OPEN-INBOUND voor een inkomende sessie geopend voor de lokale computer en INFO-EVENTS-LOST voor gebeurtenissen verwerkt door de Windows Firewall, maar werden niet opgenomen in het beveiligingslog.
protocol - Het gebruikte protocol zoals TCP, UDP of ICMP.
src-ip - Geeft het bron-IP-adres weer (het IP-adres van de computer die probeert communicatie tot stand te brengen).
dst-ip - Geeft het bestemmings-IP-adres van een verbindingspoging.
src-port - Het poortnummer op de verzendende computer waarvan de verbinding is geprobeerd.
dst-port - De poort waarnaar de poort wordt verzonden verzendende computer probeerde een verbinding tot stand te brengen.
grootte - geeft de pakketgrootte weer in bytes.
tcpflags - Informatie over TCP-besturingsvlaggen in TCP-headers.
tcpsyn - Geeft het TCP-volgnummer in het pakket weer.
tcpack - Geeft het TCP-bevestigingsnummer in het pakket weer.
tcpwin - Toont de TCP w indow-afmeting, in bytes, in het pakket.
icmptype - Informatie over de ICMP-berichten.
icmpcode - Informatie over de ICMP-berichten.
info - Geeft een invoer weer die afhangt van het type actie dat plaatsvond.
pad - Geeft de richting van de communicatie weer. De beschikbare opties zijn VERZENDEN, ONTVANGEN, VOORUITZENDEN en ONBEKEND.
Zoals u opmerkt, is de logboekvermelding inderdaad groot en kunnen er maximaal 17 stukjes informatie aan elke gebeurtenis zijn gekoppeld. Alleen de eerste acht stukjes informatie zijn echter belangrijk voor algemene analyse. Met de details in uw hand kunt u nu de informatie analyseren voor kwaadwillende activiteiten of foutmeldingen bij de foutopsporing.

Als u vermoedt dat er enige schadelijke activiteit is, opent u het logbestand in Kladblok en filtert u alle logboekvermeldingen met DROP in het actieveld en merk op of het IP-adres van de bestemming eindigt met een ander nummer dan 255. Als u veel van dergelijke vermeldingen vindt, noteert u dan de IP-adressen van de pakketten van bestemming. Zodra u het probleem hebt verholpen, kunt u de logboekregistratie van de firewall uitschakelen.

Problemen met netwerkproblemen oplossen kan soms nogal beangstigend zijn en aanbevolen procedures voor het oplossen van problemen met Windows Firewall zijn om de native logboeken in te schakelen. Hoewel het logbestand van Windows Firewall niet nuttig is voor het analyseren van de algemene beveiliging van uw netwerk, blijft het nog steeds een goede gewoonte als u wilt controleren wat er achter de schermen gebeurt.


De traditionele

De traditionele "lijstweergave" in de instellingen van de LG G5 weergeven

Een paar jaar geleden begon een trend bij Android-fabrikanten waarbij ze dachten dat het een goed idee zou zijn om de instellingen te gebruiken menu-een over het algemeen eenvoudige plaats op de meeste telefoons-en pagineren. Dus in plaats van een degelijke lijst met dingen te hebben waar je snel doorheen kunt scrollen totdat je vindt wat je zoekt, zit je vast met het bladeren door een reeks tabbladen en en dan scrol je er doorheen.

(how-to)

Apps van uw Apple Watch verwijderen

Apps van uw Apple Watch verwijderen

Als u veel apps op uw Apple Watch hebt geïnstalleerd, wordt het startscherm misschien een beetje vol. Vraagt ​​u zich af hoe u zelden gebruikte apps van uw horloge kunt verwijderen? Er zijn twee manieren om het te doen. Een manier om apps te verwijderen is rechtstreeks op het startscherm van je horloge.

(how-to)