phhsnews.com


phhsnews.com / Comment suivre l'activité du pare-feu avec le pare-feu Windows

Comment suivre l'activité du pare-feu avec le pare-feu Windows


Dans le processus de filtrage du trafic Internet, tous les pare-feu disposent d'un type de fonction de journalisation. Ces journaux peuvent fournir des informations précieuses telles que les adresses IP source et de destination, les numéros de port et les protocoles. Vous pouvez également utiliser le fichier journal du pare-feu Windows pour surveiller les connexions TCP et UDP et les paquets bloqués par le pare-feu

Pourquoi et quand la journalisation du pare-feu est utile

  1. Pour vérifier si les nouvelles règles de pare-feu fonctionnent correctement
  2. Pour déterminer si le pare-feu Windows est la cause des échecs d'application - Avec la fonction de journalisation du pare-feu, vous pouvez vérifier les ouvertures de ports désactivées, les ouvertures de ports dynamiques, analyser les paquets perdus avec les indicateurs push et urgent et analyser
  3. Pour aider et identifier les activités malveillantes - Avec la fonctionnalité de journalisation du pare-feu, vous pouvez vérifier si une activité malveillante se produit sur votre réseau ou non, mais vous devez vous rappeler que cela ne fournit pas les informations nécessaires pour suivre
  4. Si vous notez des tentatives infructueuses répétées pour accéder à votre pare-feu et / ou à d'autres systèmes de haut niveau à partir d'une adresse IP (ou d'un groupe d'adresses IP), alors vous voudrez peut-être écrire une règle pour supprimer toutes les connexions de cet espace IP (en s'assurant que l'adresse IP n'est pas falsifiée).
  5. Les connexions sortantes provenant de serveurs internes tels que les serveurs Web peuvent indiquer que quelqu'un utilise votre système pour lancer des attaques contre des ordinateurs situés sur d'autres réseaux

Comment générer le fichier journal

Par défaut, le fichier journal est désactivé, ce qui signifie qu'aucune information n'est écrite dans le fichier journal. Pour créer un fichier journal, appuyez sur "Win key + R" pour ouvrir la boîte Exécuter. Tapez "wf.msc" et appuyez sur Entrée. L'écran "Pare-feu Windows avec sécurité avancée" apparaît. Dans la partie droite de l'écran, cliquez sur "Propriétés".

Une nouvelle boîte de dialogue apparaît. Maintenant, cliquez sur l'onglet "Profil privé" et sélectionnez "Personnaliser" dans la section "Journalisation".

Une nouvelle fenêtre s'ouvre et à partir de cet écran, choisissez la taille maximale du journal, l'emplacement et l'enregistrement des paquets perdus, tous les deux. Un paquet abandonné est un paquet que le pare-feu Windows a bloqué. Une connexion réussie fait à la fois référence aux connexions entrantes et à toute connexion établie sur Internet, mais cela ne signifie pas toujours qu'un intrus s'est connecté avec succès à votre ordinateur.

% SystemRoot% System32 LogFiles Firewall Pfirewall.loget ne stocke que les 4 Mo de données. Dans la plupart des environnements de production, ce journal écrit en permanence sur votre disque dur et si vous modifiez la taille limite du fichier journal (pour journaliser l'activité sur une longue période), cela peut avoir un impact sur les performances. Pour cette raison, vous devez activer la journalisation uniquement lorsque vous résolvez activement un problème, puis désactivez immédiatement la journalisation lorsque vous avez terminé.Ensuite, cliquez sur l'onglet "Profil public" et répétez les mêmes étapes que pour l'onglet "Profil privé". . Vous avez maintenant activé le journal pour les connexions réseau privées et publiques. Le fichier journal sera créé dans un format de journal étendu W3C (.log) que vous pouvez examiner avec un éditeur de texte de votre choix ou les importer dans une feuille de calcul. Un seul fichier journal peut contenir des milliers d'entrées de texte. Par conséquent, si vous les lisez dans le Bloc-notes, désactivez le retour à la ligne pour conserver le formatage de la colonne. Si vous affichez le fichier journal dans une feuille de calcul, tous les champs seront affichés dans des colonnes pour faciliter l'analyse.

Sur l'écran principal "Pare-feu Windows avec sécurité avancée", faites défiler jusqu'à voir le lien "Surveillance". Dans le volet Détails, sous "Paramètres de journalisation", cliquez sur le chemin d'accès du fichier en regard de "Nom du fichier". Le journal s'ouvre dans le Bloc-notes.

Interprétation du journal du pare-feu Windows

Le journal de sécurité du pare-feu Windows contient deux sections. L'en-tête fournit des informations statiques et descriptives sur la version du journal et les champs disponibles. Le corps du journal correspond aux données compilées qui sont entrées à la suite du trafic qui tente de traverser le pare-feu. C'est une liste dynamique, et de nouvelles entrées apparaissent en bas du journal. Les champs sont écrits de gauche à droite sur la page. La valeur (-) est utilisée lorsqu'aucune entrée n'est disponible pour le champ

Selon la documentation Microsoft Technet, l'en-tête du fichier journal contient:

Version - Affiche la version du journal de sécurité du pare-feu Windows installée.

Logiciel - Affiche le nom du logiciel créant le journal
Heure - Indique que toutes les informations d'horodatage du journal sont en heure locale
Champs - Affiche une liste des champs disponibles pour le journal de sécurité entrées, si les données sont disponibles
Alors que le corps du fichier journal contient:

date - Le champ de date identifie la date au format AAAA-MM-JJ.

heure - L'heure locale est affichée dans le fichier journal en utilisant le format HH: MM: SS. Les heures sont référencées au format 24 heures.
action - Lorsque le pare-feu traite le trafic, certaines actions sont enregistrées. Les actions journalisées sont DROP pour supprimer une connexion, OUVRIR pour ouvrir une connexion, FERMER pour fermer une connexion, OPEN-INBOUND pour une session entrante ouverte sur l'ordinateur local et INFO-EVENTS-LOST pour les événements traités par le pare-feu Windows, mais n'ont pas été enregistrés dans le journal de sécurité Protocole
- Protocole utilisé tel que TCP, UDP ou ICMP dst-ip - Affiche l'adresse IP de destination d'une tentative de connexion
src-port - Le numéro de port sur l'ordinateur émetteur à partir duquel la connexion a été tentée
dst-port - Le port auquel
size - Affiche la taille du paquet en octets
tcpflags - Informations sur les drapeaux de contrôle TCP dans les en-têtes TCP
tcpsyn - Affiche le numéro de séquence TCP dans le paquet.
tcpack - Affiche le numéro d'accusé de réception TCP dans le paquet.
tcpwin - Affiche le protocole TCP w
icmptype - Informations sur les messages ICMP
icmpcode - Informations sur les messages ICMP
info - Affiche une entrée qui dépend du type d'action qui s'est produite.
path - Affiche la direction de la communication. Les options disponibles sont SEND, RECEIVE, FORWARD et UNKNOWN.
Comme vous le constatez, l'entrée de journal est en effet grande et peut contenir jusqu'à 17 informations associées à chaque événement. Cependant, seules les huit premières informations sont importantes pour l'analyse générale. Avec les détails dans votre main maintenant, vous pouvez analyser les informations pour l'activité malveillante ou les échecs d'application de débogage
Si vous suspectez une activité malveillante, ouvrez le fichier journal dans le Bloc-notes et filtrez toutes les entrées du journal avec DROP dans le champ action et notez si l'adresse IP de destination se termine par un nombre autre que 255. Si vous trouvez beaucoup de telles entrées, prenez note des adresses IP de destination des paquets. Une fois le problème résolu, vous pouvez désactiver la journalisation du pare-feu.

La résolution des problèmes réseau peut parfois s'avérer décourageante et une bonne pratique recommandée pour le dépannage du pare-feu Windows consiste à activer les journaux natifs. Bien que le fichier journal du pare-feu Windows ne soit pas utile pour analyser la sécurité globale de votre réseau, il est toujours recommandé de surveiller ce qui se passe dans les coulisses.


Comment les films sortent-ils avant qu'ils ne sortent sur DVD et Blu-Ray?

Comment les films sortent-ils avant qu'ils ne sortent sur DVD et Blu-Ray?

À Un moment donné, une grande sélection de films récents apparaissent sur les sites torrent, dont beaucoup n'ont pas même été publié encore. Pour tous ceux qui ont téléchargé, diffusé ou torrent ces sélections à venir, vous avez peut-être remarqué un thème commun: ils étaient bloqués sur la qualité du DVD.

(how-to)

Comment rechercher des onglets spécifiques dans Safari sur iOS 10

Comment rechercher des onglets spécifiques dans Safari sur iOS 10

Avec iOS 10, Apple vous permet enfin d'avoir un nombre illimité d'onglets ouverts dans Safari (la limite dans iOS 9 était de 36 onglets) . Avec autant d'onglets, vous avez besoin d'astuces supplémentaires comme la possibilité de fermer tous les onglets à la fois. Et maintenant, Safari vous permet également de rechercher des onglets spécifiques par titre.

(how-to)