Cara Melacak Aktivitas Firewall dengan Log Firewall Windows
Dalam proses penyaringan lalu lintas Internet, semua firewall memiliki beberapa jenis fitur pencatatan yang mendokumentasikan bagaimana firewall menangani berbagai jenis lalu lintas. Log ini dapat memberikan informasi berharga seperti alamat IP sumber dan tujuan, nomor port, dan protokol. Anda juga dapat menggunakan file log Windows Firewall untuk memantau koneksi dan paket TCP dan UDP yang diblokir oleh firewall.
Mengapa dan Kapan Pencatatan Firewall Bermanfaat - Untuk memverifikasi apakah aturan firewall yang baru ditambahkan berfungsi dengan baik atau men-debug mereka jika tidak berfungsi seperti yang diharapkan.
- Untuk menentukan apakah Windows Firewall adalah penyebab kegagalan aplikasi - Dengan fitur Firewall logging, Anda dapat memeriksa bukaan port yang dinonaktifkan, bukaan port dinamis, menganalisis paket yang jatuh dengan bendera yang mendesak dan mendesak, serta menganalisis paket yang jatuh di jalur pengiriman..
- Untuk membantu dan mengidentifikasi aktivitas berbahaya - Dengan fitur Firewall logging, Anda dapat memeriksa apakah ada aktivitas jahat dalam jaringan Anda atau tidak, meskipun Anda harus ingat itu tidak memberikan informasi yang diperlukan untuk melacak sumber aktivitas..
- Jika Anda melihat upaya berulang yang gagal untuk mengakses firewall dan / atau sistem profil tinggi lainnya dari satu alamat IP (atau grup alamat IP), maka Anda mungkin ingin menulis aturan untuk menjatuhkan semua koneksi dari ruang IP tersebut (memastikan bahwa Alamat IP tidak dipalsukan).
- Koneksi keluar yang datang dari server internal seperti server Web bisa menjadi indikasi bahwa seseorang menggunakan sistem Anda untuk meluncurkan serangan terhadap komputer yang terletak di jaringan lain.
Cara Menghasilkan File Log
Secara default, file log dinonaktifkan, yang berarti tidak ada informasi yang ditulis ke file log. Untuk membuat file log tekan "Win key + R" untuk membuka kotak Run. Ketik "wf.msc" dan tekan Enter. Layar "Windows Firewall dengan Keamanan Tingkat Lanjut" muncul. Di sisi kanan layar, klik "Properties."
Kotak dialog baru muncul. Sekarang klik tab "Profil Pribadi" dan pilih "Kustomisasi" di "Bagian Pencatatan."
Jendela baru terbuka dan dari layar itu pilih ukuran log maksimum Anda, lokasi, dan apakah akan mencatat hanya paket yang terjatuh, koneksi yang berhasil atau keduanya. Paket yang dijatuhkan adalah paket yang diblokir oleh Windows Firewall. Koneksi yang berhasil mengacu pada koneksi yang masuk maupun koneksi yang Anda buat melalui Internet, tetapi itu tidak selalu berarti bahwa penyusup telah berhasil terhubung ke komputer Anda.
Secara default, Windows Firewall menulis entri log % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
dan hanya menyimpan 4 MB data terakhir. Di sebagian besar lingkungan produksi, log ini akan terus-menerus menulis ke hard disk Anda, dan jika Anda mengubah batas ukuran file log (untuk mencatat aktivitas dalam jangka waktu yang lama) maka hal itu dapat menyebabkan dampak kinerja. Karena alasan ini, Anda harus mengaktifkan pencatatan hanya ketika secara aktif memecahkan masalah dan kemudian segera menonaktifkan pencatatan ketika Anda selesai.
Selanjutnya, klik tab "Public Profile" dan ulangi langkah yang sama yang Anda lakukan untuk tab "Private Profile". Anda sekarang telah mengaktifkan log untuk koneksi jaringan pribadi dan publik. File log akan dibuat dalam format log diperluas W3C (.log) yang dapat Anda periksa dengan editor teks pilihan Anda atau mengimpornya ke dalam spreadsheet. File log tunggal dapat berisi ribuan entri teks, jadi jika Anda membacanya melalui Notepad maka nonaktifkan pembungkus kata untuk mempertahankan pemformatan kolom. Jika Anda melihat file log dalam spreadsheet maka semua bidang akan ditampilkan secara logis dalam kolom untuk analisis yang lebih mudah.
Pada layar utama "Windows Firewall dengan Keamanan Tingkat Lanjut", gulir ke bawah hingga Anda melihat tautan "Pemantauan". Di panel Detail, di bawah "Pengaturan Logging", klik path file di sebelah "Nama File." Log terbuka di Notepad.
Menafsirkan log Windows Firewall
Log keamanan Windows Firewall berisi dua bagian. Header menyediakan informasi statis dan deskriptif tentang versi log, dan bidang yang tersedia. Badan log adalah data yang dikompilasi yang dimasukkan sebagai hasil dari lalu lintas yang mencoba untuk menyeberangi firewall. Ini adalah daftar yang dinamis, dan entri baru terus muncul di bagian bawah log. Kolom ditulis dari kiri ke kanan melintasi halaman. (-) digunakan ketika tidak ada entri yang tersedia untuk bidang tersebut.
Menurut dokumentasi Microsoft Technet, header file log berisi:
Versi - Menampilkan versi log keamanan Windows Firewall yang diinstal.
Perangkat Lunak - Menampilkan nama perangkat lunak yang membuat log.
Waktu - Menunjukkan bahwa semua informasi cap waktu dalam log adalah waktu setempat.
Bidang - Menampilkan daftar bidang yang tersedia untuk entri log keamanan, jika data tersedia.
Sementara isi file log berisi:
date - Field tanggal mengidentifikasi tanggal dalam format YYYY-MM-DD.
waktu - Waktu lokal ditampilkan dalam file log menggunakan format HH: MM: SS. Jam direferensikan dalam format 24 jam.
aksi - Saat firewall memproses lalu lintas, tindakan tertentu dicatat. Tindakan yang dicatat adalah DROP untuk menjatuhkan koneksi, OPEN untuk membuka koneksi, TUTUP untuk menutup koneksi, OPEN-INBOUND untuk sesi masuk yang dibuka ke komputer lokal, dan INFO-ACARA-KEHILANGAN untuk acara yang diproses oleh Windows Firewall, tetapi tidak dicatat dalam log keamanan.
protokol - Protokol yang digunakan seperti TCP, UDP, atau ICMP.
src-ip - Menampilkan alamat IP sumber (alamat IP komputer yang mencoba membuat komunikasi).
dst-ip - Menampilkan alamat IP tujuan dari upaya koneksi.
src-port - Nomor port di komputer pengirim tempat koneksi dicoba.
dst-port - Port tempat komputer pengirim mencoba membuat koneksi.
size - Menampilkan ukuran paket dalam byte.
tcpflags - Informasi tentang flag kontrol TCP di header TCP.
tcpsyn - Menampilkan nomor urut TCP dalam paket.
tcpack - Menampilkan nomor pengakuan TCP dalam paket.
tcpwin - Menampilkan ukuran jendela TCP, dalam byte, dalam paket.
icmptype - Informasi tentang pesan ICMP.
icmpcode - Informasi tentang pesan ICMP.
info - Menampilkan entri yang tergantung pada jenis tindakan yang terjadi.
jalur - Menampilkan arah komunikasi. Opsi yang tersedia adalah KIRIM, MENERIMA, MAJU, dan TIDAK DIKETAHUI.
Seperti yang Anda perhatikan, entri log memang besar dan mungkin memiliki hingga 17 informasi yang terkait dengan setiap peristiwa. Namun, hanya delapan informasi pertama yang penting untuk analisis umum. Dengan detail di tangan Anda sekarang, Anda dapat menganalisis informasi untuk aktivitas berbahaya atau kegagalan debug aplikasi.
Jika Anda mencurigai adanya aktivitas jahat, kemudian buka file log di Notepad dan filter semua entri log dengan DROP di bidang tindakan dan catat apakah alamat IP tujuan berakhir dengan angka selain 255. Jika Anda menemukan banyak entri seperti itu, maka ambil catatan alamat IP tujuan paket. Setelah Anda menyelesaikan pemecahan masalah, Anda dapat menonaktifkan pencatatan firewall.
Memecahkan masalah jaringan kadang-kadang bisa sangat menakutkan dan praktik yang disarankan saat pemecahan masalah Windows Firewall adalah mengaktifkan log asli. Meskipun file log Windows Firewall tidak berguna untuk menganalisis keseluruhan keamanan jaringan Anda, tetap saja praktik yang baik jika Anda ingin memantau apa yang terjadi di balik layar.