Comment suivre l'activité du pare-feu avec le journal du pare-feu Windows
Dans le processus de filtrage du trafic Internet, tous les pare-feu possèdent un type de fonctionnalité de journalisation qui décrit comment le pare-feu traite différents types de trafic. Ces journaux peuvent fournir des informations précieuses telles que les adresses IP source et de destination, les numéros de port et les protocoles. Vous pouvez également utiliser le fichier journal du pare-feu Windows pour surveiller les connexions TCP et UDP et les paquets bloqués par le pare-feu..
Pourquoi et quand la journalisation du pare-feu est utile - Pour vérifier si les règles de pare-feu récemment ajoutées fonctionnent correctement ou pour les déboguer si elles ne fonctionnent pas comme prévu.
- Pour déterminer si le pare-feu Windows est la cause d'échecs de l'application - Avec la fonction de journalisation du pare-feu, vous pouvez vérifier les ouvertures de ports désactivées et dynamiques, analyser les paquets perdus avec des indicateurs Push et urgents et analyser les paquets perdus sur le chemin d'envoi..
- Pour aider à identifier les activités malveillantes - Avec la fonctionnalité de journalisation du pare-feu, vous pouvez vérifier si une activité malveillante se produit ou non sur votre réseau, même si vous devez vous en rappeler, elle ne fournit pas les informations nécessaires pour localiser la source de l'activité..
- Si vous constatez plusieurs tentatives infructueuses d’accès à votre pare-feu et / ou à d’autres systèmes très performants à partir d’une adresse IP (ou d’un groupe d’adresses IP), vous pouvez écrire une règle pour supprimer toutes les connexions de cet espace IP (en vous assurant que le L'adresse IP n'est pas usurpée).
- Les connexions sortantes provenant de serveurs internes, tels que des serveurs Web, peuvent indiquer que quelqu'un utilise votre système pour lancer des attaques contre des ordinateurs situés sur d'autres réseaux..
Comment générer le fichier journal
Par défaut, le fichier journal est désactivé, ce qui signifie qu'aucune information n'est écrite dans le fichier journal. Pour créer un fichier journal, appuyez sur “Win key + R” pour ouvrir la boîte de dialogue Exécuter. Tapez «wf.msc» et appuyez sur Entrée. L'écran «Pare-feu Windows avec sécurité avancée» apparaît. Sur le côté droit de l'écran, cliquez sur «Propriétés».
Une nouvelle boîte de dialogue apparaît. Maintenant, cliquez sur l'onglet «Profil privé» et sélectionnez «Personnaliser» dans la «Section de journalisation».
Une nouvelle fenêtre s'ouvre et, à partir de cet écran, choisissez votre taille maximale de journal, votre emplacement et indiquez si vous souhaitez enregistrer uniquement les paquets rejetés, la connexion établie ou les deux. Un paquet déposé est un paquet que le pare-feu Windows a bloqué. Une connexion réussie fait référence à la fois aux connexions entrantes et à toutes les connexions que vous avez établies sur Internet, mais cela ne signifie pas toujours qu'un intrus s'est connecté avec succès à votre ordinateur..
Par défaut, le Pare-feu Windows écrit les entrées de journal dans % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
et stocke uniquement les 4 derniers Mo de données. Dans la plupart des environnements de production, ce journal écrit en permanence sur votre disque dur. Si vous modifiez la taille limite du fichier journal (pour enregistrer l'activité sur une longue période), cela peut avoir un impact négatif sur les performances. Pour cette raison, vous ne devez activer la journalisation que lorsque vous résolvez activement un problème, puis désactivez immédiatement la journalisation lorsque vous avez terminé..
Cliquez ensuite sur l'onglet «Profil public» et répétez les mêmes étapes que pour l'onglet «Profil privé». Vous avez maintenant activé le journal pour les connexions réseau privées et publiques. Le fichier journal sera créé dans un format de journal étendu du W3C (.log) que vous pourrez examiner avec un éditeur de texte de votre choix ou les importer dans un tableur. Un seul fichier journal peut contenir des milliers d'entrées de texte. Par conséquent, si vous les lisez dans le Bloc-notes, désactivez le retour à la ligne pour préserver le formatage des colonnes. Si vous affichez le fichier journal dans une feuille de calcul, tous les champs seront logiquement affichés en colonnes pour faciliter l'analyse..
Sur l’écran principal «Pare-feu Windows avec sécurité avancée», faites défiler la liste jusqu’au lien «Surveillance». Dans le volet d'informations, sous «Paramètres de journalisation», cliquez sur le chemin du fichier en regard de «Nom de fichier». Le journal s'ouvre dans le Bloc-notes..
Interprétation du journal du pare-feu Windows
Le journal de sécurité du Pare-feu Windows contient deux sections. L'en-tête fournit des informations descriptives statiques sur la version du journal et les champs disponibles. Le corps du journal est constitué des données compilées entrées à la suite d'un trafic tentant de traverser le pare-feu. Il s’agit d’une liste dynamique et de nouvelles entrées apparaissent en bas du journal. Les champs sont écrits de gauche à droite sur la page. Le (-) est utilisé quand il n'y a pas d'entrée disponible pour le champ.
Selon la documentation Microsoft Technet, l'en-tête du fichier journal contient:
Version - Affiche la version du journal de sécurité du pare-feu Windows installée.
Logiciel - Affiche le nom du logiciel créant le journal.
Heure - Indique que toutes les informations d'horodatage du journal sont à l'heure locale..
Champs - Affiche une liste des champs disponibles pour les entrées du journal de sécurité, si des données sont disponibles..
Alors que le corps du fichier journal contient:
date - Le champ de date identifie la date au format AAAA-MM-JJ.
heure - L'heure locale est affichée dans le fichier journal au format HH: MM: SS. Les heures sont référencées au format 24 heures.
action - Lorsque le pare-feu traite le trafic, certaines actions sont enregistrées. Les actions consignées sont DROP pour supprimer une connexion, OPEN pour ouvrir une connexion, CLOSE pour fermer une connexion, OPEN-INBOUND pour une session entrante ouverte sur l'ordinateur local et INFO-EVENTS-LOST pour des événements traités par le pare-feu Windows, mais n'étaient pas enregistrés dans le journal de sécurité.
protocol - Le protocole utilisé tel que TCP, UDP ou ICMP.
src-ip - Affiche l'adresse IP source (l'adresse IP de l'ordinateur essayant d'établir la communication).
dst-ip - Affiche l'adresse IP de destination d'une tentative de connexion.
src-port - Le numéro de port de l'ordinateur émetteur à partir duquel la connexion a été tentée..
dst-port - Le port sur lequel l'ordinateur émetteur essayait d'établir une connexion.
taille - Affiche la taille du paquet en octets.
tcpflags - Informations sur les indicateurs de contrôle TCP dans les en-têtes TCP.
tcpsyn - Affiche le numéro de séquence TCP dans le paquet.
tcpack - Affiche le numéro d'accusé de réception TCP dans le paquet.
tcpwin - Affiche la taille de la fenêtre TCP, en octets, dans le paquet.
icmptype - Informations sur les messages ICMP.
icmpcode - Informations sur les messages ICMP.
info - Affiche une entrée qui dépend du type d'action qui s'est produite.
chemin - Affiche le sens de la communication. Les options disponibles sont SEND, RECEIVE, FORWARD et UNKNOWN..
Comme vous le constatez, l’entrée du journal est grande et peut contenir jusqu’à 17 informations associées à chaque événement. Cependant, seules les huit premières informations sont importantes pour l'analyse générale. Maintenant que vous avez les détails en main, vous pouvez analyser les informations pour détecter les activités malveillantes ou résoudre les problèmes de débogage des applications..
Si vous soupçonnez une activité malveillante, ouvrez le fichier journal dans le Bloc-notes, filtrez toutes les entrées de journal avec DROP dans le champ Action et notez si l'adresse IP de destination se termine par un nombre autre que 255. Si vous en trouvez beaucoup, une note des adresses IP de destination des paquets. Une fois le problème résolu, vous pouvez désactiver la journalisation du pare-feu..
La résolution des problèmes de réseau peut parfois s'avérer assez ardue. Une des pratiques recommandées lors de la résolution du problème du pare-feu Windows consiste à activer les journaux natifs. Bien que le fichier journal du Pare-feu Windows ne soit pas utile pour analyser la sécurité globale de votre réseau, il reste néanmoins une bonne pratique si vous souhaitez surveiller ce qui se passe dans les coulisses..