Logi w Windows Firewall

Namierzyć atak

Dla wielu użytkowników, działający w tle Windows Firewall, który chroni komputer przed atakami z zewnątrz, to marne źródło informacji. Przede wszystkim dlatego, że instalowany razem z Service Packiem 2 program nie pozwala na wgląd w raport, który jasno wskazałby nam, jak często skanowane są porty naszego komputera, kto próbuje łączyć się z naszym pecetem oraz czy ktoś nie dokonał już ataku typu pingflood. Czy aby na pewno?

Datę i rodzaj ataku pozwalają nam stwierdzić tzw. logi. Jest to chronologiczny zapis zawierający informacje o zdarzeniach i działaniach dotyczących systemu komputerowego. Informacjami zapisywanymi w logach, które są szczególnie istotne dla analiz związanych z bezpieczeństwem, mogą być:

• względny lub bezwzględny czas zdarzenia (np. data i godzina),
• rodzaj zdarzenia, identyfikator (często wykorzystywany do rozdzielania informacji na kilka strumieni danych),
• nazwa użytkownika, programu,
• dane o pobieranych plikach,
• adres IP,
• port,
• protokół.

Z niniejszego tekstu dowiemy się, jak włączyć mechanizm sporządzania logów w Windows Firewall oraz jak odczytać sporządzony raport. Poznamy również dwa programy, które ułatwią nam analizę logów.

Konfiguracja Windows Firewalla

Jeśli korzystamy z Windowsa XP z zainstalowanym dodatkiem Service Pack 2, upewnijmy się, że zapora ogniowa jest aktywna. W tym celu klikamy na Start, Panel sterowania i Zapora systemu Windows. Jeśli wybrana jest opcja Włącz (zalecane), możemy kontynuować działania. W przeciwnym wypadku włączamy firewalla, uprzednio upewniając się, że w tle nie działa już inne oprogramowanie tego typu.

W oknie Zapora systemu Windows przechodzimy do zakładki Zawansowane. Następnie w bloku Rejestrowanie zabezpieczeń klikamy na Ustawienia.

W otwartym oknie zaznaczamy Rejestruj porzucone pakiety i Rejestruj udane połączenia. Wskazujemy także ścieżkę dostępu do pliku, w którym mają być zapisywane logi firewalla i jeśli zależy nam na jak największej ilości informacji, zwiększamy maksymalny rozmiar, jaki plik może osiągnąć. Gdy zakończymy konfigurację klikamy na Ok.

Od tej pory logi zapisywane będą w wybranym przez nas pliku… Teraz poruszymy kwestię ich odczytu i analizy.

Odczyt i analiza logów

Jeśli uprzednio nie zmieniliśmy ścieżki dostępu ani nazwy pliku, otwieramy C:Windowspfirewall.log. Postępujemy analogicznie, jeśli plik zapisaliśmy w wybranym przez nas miejscu (i/lub pod inną nazwą).

Logi Windows Firewalla nie należą do najdokładniejszych (jak sobie z tym poradzić, o tym w dalszej części artykułu). Zapora z systemu Microsoftu niestety nie określa rodzaju działania (w tym typu ataku z jakim mieliśmy do czynienia). W pliku znajdziemy za to:

• datę i czas połączenia,
• rodzaj akcji (otwarcie/zamknięcie/porzucenie),
• nazwę protokołu (do którego odnosi się akcja),
• numer IP hosta, z którym się łączyliśmy i który łączył się z nami,
• port zewnętrzny,
• port wewnętrzny (odnosi się do naszego komputera – może to być potencjalna furtka, przez którą dokonany był atak).