Windows - Windows XP tűzfal naplóállományának értelmezése

A Windows XP-ben megjelent tűzfal szoftver láthatatlanul teszi a dolgát: csak a belső hálózat felől kiküldött kérésekre adott válaszokat engedi be, minden mást elutasít (alapértelmezésben). De akkor így honnan tudjuk meg, hogy támadják a gépünket? Onnan, hogy minden egyes mozzanatról készül bejegyzés egy naplófájlba csak tudni kell értelmezni. Az alábbiakban ehhez próbálunk segítséget nyújtani.
Hol található a naplóállomány? Milyen egyéb beállítások befolyásolják a naplózást?
A napló helye alapértelmezésben a %systemroor%\pfirewall.log nevű szöveges fájlban (W3C Extended Log File formátum) található, de természetesen ez szabadon változtatható. Módosításához nyissuk meg a Vezérlőpult > (Hálózati és internetes kapcsolatok) > Hálózati kapcsolatok (Control Panel > (Network and Internet Connections) > Network Connections) mappát. Válasszuk ki a módosítandó kapcsolatot és kattintsunk rá a jobboldali egérgombbal, a megjelenő menüben pedig a "Tulajdonságok" ("Properties") sorra. Most a kapcsolat beállításait tartalmazó ablakban vagyunk. Lépjünk a "Speciális" ("Advanced") oldalra. Ha be van kapcsolva a tűzfal, akkor aktív az alul található "Beállítások" ("Settings") gomb. Kattintsunk rá és a következő ablaknak lépjünk a "Biztonsági naplózás" ("Security Logging") oldalára. Kétféle esemény naplózását írhatjuk elő: az eldobott csomagokét és a sikeres kapcsolatokét. Ezt a "Naplózási beállítások" ("Logging Options") jelölőnégyzetekkel szabályozhatjuk. Az alatta lévő mezőben található a naplófájl neve és elérési útvonala. Tartalmát csak a "Tallózás" ("Browse") gomb segítségével szerkeszthetjük. Megadható a naplófájl mérete is, ami maximálisan 32767 kilóbájt lehet. Ha ennél több esemény gyűlt össze, akkor mindig a legrégebbi bejegyzések törlődnek és néhány bájtos ingadozásokkal maximális méreten marad a fájl.
Tallózzunk el a Windows Intézővel (Windows Exlorer) a naplófájlhoz és nyissuk meg. Amennyiben nem változtattunk semmit a Windows alapbeállításain a "Jegyzettömb" ("Notepad") program fog indul el, betöltve a fájlunkat.
A naplófájl felépítése
Felépítését tekintve fejlécre és törzsre bontható. A fejlécben kettős kereszttel (#) kezdődően általános információkat kapunk (verziószám, szoftvernév, időformátum):
#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info
Számunkra az utolsó sor érdekes. Itt találhatók az alábbi bejegyzések oszlopainak megnevezései. Cikkünk témáját pont az adja, hogy sok információ jelenik meg a naplófájlban, ezek nagy része - ha nem az összes - rejtve marad a felhasználó elől. Pedig ha tanulmányozzuk, sok érdekes dolgot megtudhatunk, például az esetleges betörési kísérleteket, ki "pingelte" a gépünket, melyik címekről érkezett a legtöbb elutasított kérés, stb. Rendszerfeltöréseknél hasznosak lehetnek ezek az információk. Persze mindehhez tudni kell a különböző adatok jelentését. Nézzük mik ezek oszlopfejléc szerint:
  • date
Az esemény bekövetkeztének dátuma, ÉÉÉÉ-HH-NN formában. A dátumformátum ugyanaz az angol és a magyar nyelvű XP esetében is. Például: 2002-05-14
  • time
Az esemény bekövetkeztének ideje, ÓÓ-PP-MM formában. Például: 23:00:55.
  • action
A tűzfal által végrehajtott művelet: OPEN (sikeres kapcsolat létrehozása), CLOSE (sikeres kapcsolat lezárása), DROP (visszautasított kérés), INFO-EVENTS-LOST (történt valamilyen esemény, de nem került naplózásra).
  • protocol
Megadja, hogy az adott kommunikáció milyen protokollal történt. Lehetséges típusok: TCP, UDP, ICMP
  • src-ip
A kommunikációt kezdeményező gép IP címe. Ez jelenti a távoli gépet, amelyik kapcsolatot kezdeményezett (vagy próbált kezdeményezni) a tűzfallal védett géppel.
  • dst-ip
A kommunikáció céljának IP címe. Leggyakrabban maga a tűzfalas gép, de ha az általa védett hálózatba irányult a kérés, akkor egy másik belső cím.
  • src-port
TCP és UDP protokollok használatakor ezen a portcímen keresztül kísérelt meg a forrásgép (scr-ip) kapcsolatot kiépíteni. A szám 1-65535-ig terjedhet.
  • dst-port
Ugyanaz, mint az előbb csak a célszámítógép portját adja meg.
  • size
Csomagméret bájtban.
  • tcpflags
Az IP csomagok, TCP fejlécében küldött vezérlőjelek (flag). A következő típusok jelenhetnek meg: A = Ack (nyugtamező), F = Fin (nem továbbít több adatot a küldő), P = Psh (Push függvény), R = Rst (kapcsolat alaphelyzetbe állítása), S = Syn (sorszámok szinkronizálása), U = Urg (sürgős mutatómező jelzője). Az információ hálózati szakemberek számára, diagnosztikai céllal került a naplófájlba. A különböző flag-ek részletes leírása az RFC 793-as szabványban található.
  • tcpsyn
TCP csomag sorszáma. Az előbbi Syn flag jelzi a szám szinkronizálásának kérését a küldő és fogadó között.
  • tcpack
Megadja a TCP csomag úgynevezett nyugatszámát.
  • tcpwin
Megadja a TCP csomag ablakméretét.
  • icmptype
Az ICMP csomag típusát jelző szám.
  • icmpcode
Az ICMP üzenet kódmezőjét képviselő szám.
  • info
Bekövetkezett esemény típusától függ ezen mező tartalma. Például az INFO-EVENTS-LOST bekövetkezése óta megtörtént, de nem naplózott események száma.
Megjegyzés:
A W3C Extended Log File formátum naplófájl elemző szoftverekkel feldolgozható és könnyen áttekinthető grafikus formátumban megjeleníthető.