If-Koubou

Cara Melacak Aktivitas Firewall dengan Log Windows Firewall

Cara Melacak Aktivitas Firewall dengan Log Windows Firewall (Bagaimana caranya)

Dalam proses penyaringan lalu lintas Internet, semua firewall memiliki beberapa jenis fitur logging yang mendokumentasikan bagaimana firewall menangani berbagai jenis lalu lintas. Log ini dapat memberikan informasi berharga seperti alamat IP sumber dan tujuan, nomor port, dan protokol. Anda juga dapat menggunakan file log Windows Firewall untuk memantau koneksi TCP dan UDP serta paket yang diblokir oleh firewall.

Mengapa dan Kapan Pencatatan Firewall Bermanfaat
  1. Untuk memverifikasi apakah aturan firewall yang baru ditambahkan berfungsi dengan benar atau untuk melakukan debug pada mereka jika mereka tidak berfungsi seperti yang diharapkan.
  2. Untuk menentukan apakah Windows Firewall merupakan penyebab kegagalan aplikasi - Dengan fitur pencatatan Firewall, Anda dapat memeriksa bukaan port yang dinonaktifkan, bukaan port dinamis, menganalisis paket yang dijatuhkan dengan push dan flag mendesak dan menganalisis paket yang jatuh pada jalur pengiriman.
  3. Untuk membantu dan mengidentifikasi aktivitas berbahaya - Dengan fitur pencatatan Firewall, Anda dapat memeriksa apakah ada aktivitas jahat yang terjadi di dalam jaringan Anda atau tidak, meskipun Anda harus mengingatnya tidak menyediakan informasi yang diperlukan untuk melacak sumber aktivitas.
  4. Jika Anda melihat berulang kali upaya yang gagal untuk mengakses firewall dan / atau sistem profil tinggi lainnya dari satu alamat IP (atau kelompok alamat IP), maka Anda mungkin ingin menulis aturan untuk menghentikan semua koneksi dari ruang IP tersebut (memastikan bahwa Alamat IP tidak dipalsukan).
  5. Koneksi keluar yang berasal dari server internal seperti server Web dapat menjadi indikasi bahwa seseorang menggunakan sistem Anda untuk meluncurkan serangan terhadap komputer yang berada di jaringan lain.

Cara Menghasilkan File Log

Secara default, file log dinonaktifkan, yang berarti tidak ada informasi yang ditulis ke file log. Untuk membuat file log, tekan "Win key + R" untuk membuka kotak Run. Ketik "wf.msc" dan tekan Enter. Layar "Windows Firewall with Advanced Security" muncul. Di sisi kanan layar, klik "Properties."

Kotak dialog baru muncul. Sekarang klik tab "Profil Pribadi" dan pilih "Customize" di "Logging Section."

Jendela baru terbuka dan dari layar itu pilih ukuran log maksimum Anda, lokasi, dan apakah Anda hanya akan mencatat paket yang terjatuh, koneksi yang berhasil atau keduanya. Paket yang jatuh adalah paket yang diblokir oleh Windows Firewall. Koneksi yang sukses merujuk baik ke koneksi yang masuk maupun koneksi yang telah Anda buat melalui Internet, tetapi itu tidak selalu berarti bahwa penyusup telah berhasil terhubung ke komputer Anda.

Secara default, Windows Firewall menulis entri log ke % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log dan hanya menyimpan data 4 MB terakhir. Di sebagian besar lingkungan produksi, log ini akan terus-menerus menulis ke hard disk Anda, dan jika Anda mengubah batas ukuran file log (untuk mencatat aktivitas dalam jangka waktu yang lama) maka dapat menyebabkan dampak kinerja. Untuk alasan ini, Anda harus mengaktifkan logging hanya ketika aktif mengatasi masalah dan kemudian menonaktifkan penebangan segera setelah Anda selesai.

Selanjutnya, klik tab "Profil Publik" dan ulangi langkah yang sama yang Anda lakukan untuk tab "Profil Pribadi". Anda sekarang telah mengaktifkan log untuk koneksi jaringan pribadi dan publik. File log akan dibuat dalam format log W3C extended (.log) yang dapat Anda periksa dengan editor teks pilihan Anda atau mengimpornya ke dalam spreadsheet. Satu file log dapat berisi ribuan entri teks, jadi jika Anda membacanya melalui Notepad, kemudian nonaktifkan pembungkusan kata untuk mempertahankan format kolom. Jika Anda melihat file log dalam spreadsheet, maka semua bidang akan ditampilkan secara logis dalam kolom untuk analisis yang lebih mudah.

Pada layar "Windows Firewall with Advanced Security" utama, gulir ke bawah hingga Anda melihat tautan "Pemantauan". Di panel Detail, di bawah "Pengaturan Logging", klik jalur file di samping "Nama File." Log terbuka di Notepad.

Menafsirkan log Windows Firewall

Log keamanan Windows Firewall berisi dua bagian. Header memberikan informasi statis dan deskriptif tentang versi log, dan bidang yang tersedia. Tubuh log adalah data yang dikompilasi yang dimasukkan sebagai hasil dari lalu lintas yang mencoba untuk menyeberangi firewall. Ini adalah daftar dinamis, dan entri baru terus muncul di bagian bawah log. Kolom ditulis dari kiri ke kanan di seluruh halaman. The (-) digunakan ketika tidak ada entri yang tersedia untuk lapangan.

Menurut dokumentasi Microsoft Technet, header dari file log berisi:

Versi - Menampilkan versi log keamanan Windows Firewall yang diinstal.
Perangkat Lunak - Menampilkan nama perangkat lunak yang membuat log.
Waktu - Menunjukkan bahwa semua informasi timestamp di log berada dalam waktu lokal.
Fields - Menampilkan daftar bidang yang tersedia untuk entri log keamanan, jika data tersedia.

Sementara isi file log berisi:

date - Bidang tanggal mengidentifikasi tanggal dalam format YYYY-MM-DD.
waktu - Waktu setempat ditampilkan dalam file log menggunakan format HH: MM: SS. Jam dirujuk dalam format 24 jam.
tindakan - Ketika firewall memproses lalu lintas, tindakan tertentu dicatat. Tindakan yang dicatat adalah DROP untuk menjatuhkan koneksi, BUKA untuk membuka koneksi, TUTUP untuk menutup koneksi, OPEN-INBOUND untuk sesi masuk yang dibuka ke komputer lokal, dan INFO-ACARA-HILANG untuk acara yang diproses oleh Windows Firewall, tetapi tidak dicatat dalam log keamanan.
protokol - Protokol yang digunakan seperti TCP, UDP, atau ICMP.
src-ip - Menampilkan alamat IP sumber (alamat IP komputer yang mencoba menjalin komunikasi).
dst-ip - Menampilkan alamat IP tujuan dari upaya koneksi.
src-port - Nomor port pada komputer pengirim tempat koneksi dicoba.
dst-port - Port tempat komputer pengirim mencoba membuat sambungan.
size - Menampilkan ukuran paket dalam byte.
tcpflags - Informasi tentang flag kontrol TCP di header TCP.
tcpsyn - Menampilkan nomor urutan TCP dalam paket.
tcpack - Menampilkan nomor pengakuan TCP dalam paket.
tcpwin - Menampilkan ukuran jendela TCP, dalam byte, di dalam paket.
icmptype - Informasi tentang pesan ICMP.
icmpcode - Informasi tentang pesan ICMP.
info - Menampilkan entri yang bergantung pada jenis tindakan yang terjadi.
path - Menampilkan arah komunikasi. Opsi yang tersedia adalah SEND, RECEIVE, FORWARD, dan UNKNOWN.

Seperti yang Anda perhatikan, entri log memang besar dan mungkin memiliki hingga 17 buah informasi yang terkait dengan setiap peristiwa. Namun, hanya delapan bagian informasi pertama yang penting untuk analisis umum. Dengan rincian di tangan Anda sekarang, Anda dapat menganalisis informasi untuk aktivitas berbahaya atau kegagalan aplikasi debug.

Jika Anda mencurigai adanya aktivitas berbahaya, buka file log di Notepad dan filter semua entri log dengan DROP di bidang tindakan dan catat apakah alamat IP tujuan diakhiri dengan angka selain 255. Jika Anda menemukan banyak entri seperti itu, maka ambil catatan alamat IP tujuan dari paket. Setelah Anda selesai memecahkan masalah, Anda dapat menonaktifkan pencatatan log firewall.

Memecahkan masalah jaringan terkadang cukup sulit dan praktik baik yang disarankan saat mengatasi masalah Windows Firewall adalah mengaktifkan log asli. Meskipun file log Windows Firewall tidak berguna untuk menganalisis keamanan jaringan Anda secara keseluruhan, itu masih tetap merupakan praktik yang baik jika Anda ingin memantau apa yang terjadi di balik layar.