Página principal » cómo » Cómo realizar un seguimiento de la actividad del firewall con el registro del firewall de Windows

    Cómo realizar un seguimiento de la actividad del firewall con el registro del firewall de Windows

    En el proceso de filtrar el tráfico de Internet, todos los firewalls tienen algún tipo de función de registro que documenta cómo el firewall manejó varios tipos de tráfico. Estos registros pueden proporcionar información valiosa como direcciones IP de origen y destino, números de puertos y protocolos. También puede usar el archivo de registro del Firewall de Windows para monitorear las conexiones TCP y UDP y los paquetes bloqueados por el firewall.

    Por qué y cuándo el registro de firewall es útil

    1. Para verificar si las reglas de firewall recién agregadas funcionan correctamente o para depurarlas si no funcionan como se espera.
    2. Para determinar si el Firewall de Windows es la causa de los fallos de la aplicación: con la función de registro del Firewall puede verificar las aperturas de puertos deshabilitados, las aperturas de puertos dinámicos, analizar paquetes perdidos con indicadores de inserción y urgencia y analizar paquetes perdidos en la ruta de envío.
    3. Para ayudar e identificar actividades maliciosas: con la función de registro de Firewall puede verificar si hay alguna actividad maliciosa dentro de su red o no, aunque debe recordar que no proporciona la información necesaria para rastrear el origen de la actividad..
    4. Si observa repetidos intentos fallidos de acceso a su firewall y / u otros sistemas de alto perfil desde una dirección IP (o grupo de direcciones IP), es posible que desee escribir una regla para eliminar todas las conexiones de ese espacio IP (asegurándose de que La dirección IP no está siendo falsificada).
    5. Las conexiones salientes provenientes de servidores internos como los servidores web pueden ser una indicación de que alguien está usando su sistema para lanzar ataques contra computadoras ubicadas en otras redes.

    Cómo generar el archivo de registro

    De forma predeterminada, el archivo de registro está deshabilitado, lo que significa que no se escribe información en el archivo de registro. Para crear un archivo de registro, presione "Win key + R" para abrir el cuadro Ejecutar. Escribe "wf.msc" y presiona Enter. Aparece la pantalla "Firewall de Windows con seguridad avanzada". En el lado derecho de la pantalla, haga clic en "Propiedades".

    Aparece un nuevo cuadro de diálogo. Ahora haga clic en la pestaña "Perfil privado" y seleccione "Personalizar" en la "Sección de registro".

    Se abrirá una nueva ventana y, desde esa pantalla, elija el tamaño máximo de registro, la ubicación y si desea registrar solo los paquetes descartados, la conexión exitosa o ambos. Un paquete caído es un paquete que el Firewall de Windows ha bloqueado. Una conexión exitosa se refiere tanto a las conexiones entrantes como a cualquier conexión que haya realizado a través de Internet, pero no siempre significa que un intruso se haya conectado correctamente a su computadora.

    De forma predeterminada, el Firewall de Windows escribe entradas de registro en % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log y almacena solo los últimos 4 MB de datos. En la mayoría de los entornos de producción, este registro se escribirá constantemente en su disco duro, y si cambia el límite de tamaño del archivo de registro (para registrar la actividad durante un largo período de tiempo), puede causar un impacto en el rendimiento. Por este motivo, debe habilitar el registro solo cuando resuelva activamente un problema y luego deshabilitar inmediatamente el registro cuando termine.

    A continuación, haga clic en la pestaña "Perfil público" y repita los mismos pasos que siguió para la pestaña "Perfil privado". Ahora ha activado el registro para las conexiones de red privada y pública. El archivo de registro se creará en un formato de registro extendido W3C (.log) que puede examinar con un editor de texto de su elección o importarlos a una hoja de cálculo. Un solo archivo de registro puede contener miles de entradas de texto, por lo que si las está leyendo en el Bloc de notas, desactive el ajuste de palabras para conservar el formato de la columna. Si está viendo el archivo de registro en una hoja de cálculo, todos los campos se mostrarán lógicamente en columnas para facilitar el análisis.

    En la pantalla principal de "Firewall de Windows con seguridad avanzada", desplácese hacia abajo hasta que vea el enlace "Monitoreo". En el panel de Detalles, en "Configuración de registro", haga clic en la ruta del archivo junto a "Nombre del archivo". El registro se abre en el Bloc de notas.

    Interpretación del registro de Firewall de Windows

    El registro de seguridad del Firewall de Windows contiene dos secciones. El encabezado proporciona información estática y descriptiva sobre la versión del registro y los campos disponibles. El cuerpo del registro son los datos compilados que se ingresan como resultado del tráfico que intenta cruzar el firewall. Es una lista dinámica, y las nuevas entradas siguen apareciendo en la parte inferior del registro. Los campos se escriben de izquierda a derecha en la página. El (-) se usa cuando no hay ninguna entrada disponible para el campo.

    Según la documentación de Microsoft Technet, el encabezado del archivo de registro contiene:

    Versión: muestra qué versión del registro de seguridad del Firewall de Windows está instalada.
    Software: muestra el nombre del software que crea el registro..
    Hora: indica que toda la información de marca de hora en el registro está en hora local.
    Campos: muestra una lista de los campos que están disponibles para las entradas del registro de seguridad, si hay datos disponibles.

    Mientras que el cuerpo del archivo de registro contiene:

    fecha: el campo de fecha identifica la fecha en el formato AAAA-MM-DD.
    hora: la hora local se muestra en el archivo de registro con el formato HH: MM: SS. Las horas están referenciadas en formato de 24 horas..
    Acción: a medida que el firewall procesa el tráfico, se registran ciertas acciones. Las acciones registradas son DROP para interrumpir una conexión, ABRIR para abrir una conexión, CERRAR para cerrar una conexión, ABRIR ENTRADA para una sesión entrante abierta en la computadora local e INFO-EVENTOS PERDIDOS para eventos procesados ​​por el Firewall de Windows, pero no se registraron en el registro de seguridad.
    protocolo: el protocolo utilizado, como TCP, UDP o ICMP.
    src-ip: muestra la dirección IP de origen (la dirección IP de la computadora que intenta establecer comunicación).
    dst-ip: muestra la dirección IP de destino de un intento de conexión.
    src-port: el número de puerto en el equipo de envío desde el que se intentó la conexión.
    dst-port: el puerto al que la computadora emisora ​​intentaba establecer una conexión.
    tamaño: muestra el tamaño del paquete en bytes.
    tcpflags - Información sobre banderas de control TCP en encabezados TCP.
    tcpsyn - Muestra el número de secuencia TCP en el paquete.
    tcpack: muestra el número de confirmación TCP en el paquete.
    tcpwin - Muestra el tamaño de la ventana TCP, en bytes, en el paquete.
    icmptype - Información sobre los mensajes ICMP.
    icmpcode - Información sobre los mensajes ICMP.
    Información: muestra una entrada que depende del tipo de acción que ocurrió.
    ruta - Muestra la dirección de la comunicación. Las opciones disponibles son ENVIAR, RECIBIR, AVANZAR y DESCONOCIDO.

    Como puede observar, la entrada del registro es realmente grande y puede tener hasta 17 datos de información asociados con cada evento. Sin embargo, solo los primeros ocho datos son importantes para el análisis general. Con los detalles en su mano, ahora puede analizar la información en busca de actividad maliciosa o depurar fallas de aplicaciones.

    Si sospecha de alguna actividad maliciosa, abra el archivo de registro en el Bloc de notas y filtre todas las entradas del registro con DROP en el campo de acción y observe si la dirección IP de destino finaliza con un número distinto de 255. Si encuentra muchas entradas de este tipo, tome una nota de las direcciones IP de destino de los paquetes. Una vez que haya terminado de solucionar el problema, puede desactivar el registro de firewall.

    La resolución de problemas de la red a veces puede ser bastante desalentadora y una buena práctica recomendada para solucionar el problema del Firewall de Windows es habilitar los registros nativos. Aunque el archivo de registro del Firewall de Windows no es útil para analizar la seguridad general de su red, sigue siendo una buena práctica si desea monitorear lo que está sucediendo detrás de la escena..

    Cómo rastrear si su correo electrónico enviado ha sido abierto en Gmail
    Cómo rastrear el dispositivo perdido con el Administrador de dispositivos Android
    Cómo rastrear, deshabilitar y borrar un iPhone, iPad o Mac perdido
    Siguiente articulo
    Cómo rastrear vuelos y encontrar hoteles usando el eco de Amazon
    Artículo anterior
    Cómo rastrear cambios en Excel