Namierzyć atak. Logi w Windows Firewall

[paweltoja]

Znalazłem w Necie fajny art, o to on:

"Dla wielu użytkowników, działający w tle Windows Firewall, który chroni komputer przed atakami z zewnątrz, to marne źródło informacji. Przede wszystkim dlatego, że instalowany razem z Service Packiem 2 program nie pozwala na wgląd w raport, który jasno wskazałby nam, jak często skanowane są porty naszego komputera, kto próbuje łączyć się z naszym pecetem oraz czy ktoś nie dokonał już ataku typu pingflood. Czy aby na pewno?

Datę i rodzaj ataku pozwalają nam stwierdzić tzw. logi. Jest to chronologiczny zapis zawierający informacje o zdarzeniach i działaniach dotyczących systemu komputerowego. Informacjami zapisywanymi w logach, które są szczególnie istotne dla analiz związanych z bezpieczeństwem, mogą być:

* względny lub bezwzględny czas zdarzenia (np. data i godzina),
* rodzaj zdarzenia, identyfikator (często wykorzystywany do rozdzielania informacji na kilka strumieni danych),
* nazwa użytkownika, programu,
* dane o pobieranych plikach,
* adres IP,
* port,
* protokół.

Z niniejszego tekstu dowiemy się, jak włączyć mechanizm sporządzania logów w Windows Firewall oraz jak odczytać sporządzony raport. Poznamy również dwa programy, które ułatwią nam analizę logów.
Konfiguracja Windows Firewalla

Jeśli korzystamy z Windowsa XP z zainstalowanym dodatkiem Service Pack 2, upewnijmy się, że zapora ogniowa jest aktywna. W tym celu klikamy na Start, Panel sterowania i Zapora systemu Windows. Jeśli wybrana jest opcja Włącz (zalecane), możemy kontynuować działania. W przeciwnym wypadku włączamy firewalla, uprzednio upewniając się, że w tle nie działa już inne oprogramowanie tego typu.


W oknie Zapora systemu Windows przechodzimy do zakładki Zawansowane. Następnie w bloku Rejestrowanie zabezpieczeń klikamy na Ustawienia.

W otwartym oknie zaznaczamy Rejestruj porzucone pakiety i Rejestruj udane połączenia. Wskazujemy także ścieżkę dostępu do pliku, w którym mają być zapisywane logi firewalla i jeśli zależy nam na jak największej ilości informacji, zwiększamy maksymalny rozmiar, jaki plik może osiągnąć. Gdy zakończymy konfigurację klikamy na Ok.



Od tej pory logi zapisywane będą w wybranym przez nas pliku… Teraz poruszymy kwestię ich odczytu i analizy.
Odczyt i analiza logów

Jeśli uprzednio nie zmieniliśmy ścieżki dostępu ani nazwy pliku, otwieramy C:\Windows\pfirewall.log. Postępujemy analogicznie, jeśli plik zapisaliśmy w wybranym przez nas miejscu (i/lub pod inną nazwą).

Logi Windows Firewalla nie należą do najdokładniejszych (jak sobie z tym poradzić, o tym w dalszej części artykułu). Zapora z systemu Microsoftu niestety nie określa rodzaju działania (w tym typu ataku z jakim mieliśmy do czynienia). W pliku znajdziemy za to:

* datę i czas połączenia,
* rodzaj akcji (otwarcie/zamknięcie/porzucenie),
* nazwę protokołu (do którego odnosi się akcja),
* numer IP hosta, z którym się łączyliśmy i który łączył się z nami,
* port zewnętrzny,
* port wewnętrzny (odnosi się do naszego komputera – może to być potencjalna furtka, przez którą dokonany był atak).



ICFMeister – pomocnik w analizie logów


Podczas instalacji zalecamy zaznaczenie opcji Install Service Component oraz podanie swojego loginu i hasła, które wykorzystujemy do zalogowania się w systemie. Dzięki temu program będzie uruchamiał się jako usługa, co w praktyce oznacza, że będzie aktywny zaraz po uruchomieniu systemu (a więc przed zalogowaniem się użytkownika).



Po uruchomieniu aplikacji, wita nas Windows Firewall (ICF) Log Wizzard – jeśli nie zmieniliśmy ścieżki dostępu do pliku z logami, pozostawiamy domyślne ustawienia (klikamy dwukrotnie na Dalej i na Zakończ. Wstępną konfigurację mamy już za sobą.

W głównym oknie programu widzimy tabelkę zawierającą nieco więcej informacji. Podane są także w przystępniejszej formie.
Jak określić kierunek ruchu i czy mieliśmy do czynienia z atakiem?

Aby określić kierunek ruchu w określonym przypadku, badamy kolumny Src-IP (Source IP – IP źródłowe) i Dst-IP (Destination IP – IP docelowe). Jeśli w pierwszej kolumnie znajduje się numer IP naszego komputera, mamy styczność z połączeniem wychodzącym. Jeśli nasze IP odnajdujemy w drugiej kolumnie, to do nas kierowany był pakiet (jest to połączenie przychodzące).



Jeśli w kolumnie TCP Flags znajduje się wpis „Ack”, mogliśmy paść ofiarą ataku (niestety, program nie podaje jakiego rodzaju było to zdarzenia). Jednak bez obaw – wszystkie wrogo nastawione działania (szczególnie te najczęściej występujące) powinny zostać powstrzymane przez Windows Firewall.
W jaki sposób poznać prawdopodobny rodzaj ataku?

Proponujemy posłużyć się programem FireLogXP. Po zainstalowaniu i uruchomieniu tej aplikacji zostaniemy poproszeni o wskazanie pliku, w którym znajdują się logi Windows Firewalla.

Otwarte okno podzielone jest na dwie części. W górnej znajdują się wpisy z pliku z logami, poniżej z kolei (w kolumnie Destination Port) znajdują się typy zarejestrowanych działań (oraz możliwe typy ataków, np. atak konia trojańskiego).



Mamy nadzieję, że niniejszy tekst pomoże Wam w analizie zagrożeń, na jakie narażony jest komputer. Nie zapominajmy jednak, że Windows Firewall to niejedyna (i nie najskuteczniejsza) zapora ogniowa - istnieje wiele innych aplikacji tego typu, które posiadają wbudowane menedżery logów. Jednak z racji powszechności oprogramowania Microsoftu, to Windows Firewall jest najczęściej stosowany. Warto więc potrafić odczytać to, co owa aplikacja ma nam do powiedzenia...