Windows 방화벽 로깅 기능설정 알아보기




    서버 세팅하다보면 방화벽에서 차단이 되는경우가 종종 있으며, 방화벽 상태를 확인이 필요할때가 있습니다


    이러한 경우에 방화벽 로그를 활성화 하고 로그를 보면서 분석하다보면 보다 쉽게 확인이 가능합니다


    이번 포스팅에서는 이러한 부분을 좀더 쉽게 분석하는 방법을 알아보도록 하겠습니다.






     Windows 방화벽 로그 활성화 하기




    윈도우 초기 설정시 로그설정을 활성화 되어 있지 않아 설정해야 됩니다.




    Windows상에서 특정 IP를 허용 하려면 고급방화벽에서 설정하며, 윈도우 + R를 입력하여 [wf.msc] 를 입력합니다.





    고급 보안이 포함된 Windows 방화벽 창에서 좌측 [로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽] 클릭 후 우측 [속성]을 선택 합니다.





    속성창이 열리면 상단탭 에서 [개인 프로필] 을 선택 합니다





    개인 프로필에서 로깅 섹션안에 [사용자 지정] 을 선택합니다.





    손실된 패킷 로그에 기록 에서 [예] 로 변경하고 합니다.



    [개인 프로필 로깅 설정 사용자 지정 상세정보]


    이름 : 로그파일의 경로와 이름을 지정합니다 - [로그파일에 폴더가 쓰기 권한이 있는지 확인요망]


    크기 제한(KB) : 방화벽 로그의 최대 크기를 지정합니다


    손실된 패킷 로그에 기록 : 방화벽에 차단된 패킷 로그 설정 입니다


    성공적인 연결 로그에 기록 : 성공된 패킷 로그 설정 입니다









    2개의 속성 창에서 모두 [확인] 을 선택하고 설정을 완료 합니다






     Windows 방화벽 로그 분석하기






    고급 보안이 포함된 Windows 방화벽 창에서 좌측에서 [모니터링] 선택후 로깅 설정 에서 파일 이름 옆에 [파일 경로] 를 선택 하면 로그 파일을 보실수 있습니다.





    Windows 방화벽 로그에는 Header와 Body로 이루어져 있습니다




    Header 는 로그 버전 및 사용가능한 필드에 대한 정적 설명정보를 제공합니다.


    Version : 서버의 설치된 Windows 방화벽 로그의 버전을 표시합니다


    Software : 실행된 방화벽 이름을 표시합니다


    Time : 현재 시간을 표시합니다


    Fields : 로그에 입력되는 항목을 표시합니다




    Body 는 방화벽을 지나가는 트래픽들이 입력되며, 필드에 사용가능한 항목이 없는 경우 " - " 로 표시됩니다


    action

    1) 트래픽 동작을 기록 합니다

    2) DROP - 연결끊기, OPEN - 연결열기, CLOSE - 연결닫기

    3) OPEN-INBOUND - 들어오는 세션기록, INFO-EVENT-LOST - 방화벽에서 처리된 이벤트로그, 보안로그는 기록되지 않습니다


    protocol : TCP, UDP, ICMP 프로토콜을 사용됩니다


    src-ip : 출발지 IP 주소를 표시합니다


    dst-ip : 도착지 IP 주소를 표시합니다


    src-port : 출발지 IP 통신시도한 포트를 표시합니다


    dst-port : 도착지 IP 통신시도한 포트를 표시합니다


    size : 패킷크기를 표시합니다


    tcpflags : TCP 헤더의 TCP 제어 플래그에 대한 정보입니다. 


    tcpsyn : 패킷의 TCP 시퀀스 번호를 표시합니다. 


    tcpack : 패킷의 TCP 확인 번호를 표시합니다. 


    tcpwin : 패킷의 TCP 창 크기를 바이트 단위로 표시합니다. 


    icmptype : ICMP 메시지에 대한 정보입니다. 


    icmpcode : ICMP 메시지에 대한 정보입니다. 


    info : 발생한 작업 유형에 따라 항목을 표시합니다


    경로 : 통신 방향을 표시합니다. 사용 가능한 옵션은 SEND, RECEIVE, FORWARD 및 UNKNOWN입니다.






     Windows 방화벽 로그에 대한 고찰




    로그파일은 다음과 같은 부분을 알수 있습니다


    1) 응용 프로그램 오류에 대한 정보 분석

    - 네트워크 문제해결은 쉬운경우도 있지만 어려운 경우가 많이 있습니다 대부분의 방화벽 문제 해결은 기본로그 활성화하는 것입니다


    2) 해킹에 대한 분석 - 로그파일의 DROP을 사용하여 항목을 필터링하여 비정상적인 IP가 끝나는지 확인

    - Windows 방화벽 로그파일은 네트워크 전체 보안적으로 분석하는데 유용하지만은 않습니다 그러나 문제가 발생할때에는 모니터링하려는 경우가 좋은 방법인것이라고 생각됩니다




    네트워크 문제 해결은 때론 어려울 수 있으며 Windows 방화벽 문제 해결시 권장되는 모범 사례는 기본 로그를 활성화하는 것입니다. Windows 방화벽 로그 파일은 네트워크의 전체 보안을 분석하는 데 유용하지 않지만, 뒤에서 발생하는 상황을 모니터링하려는 경우 여전히 좋은 방법입니다.

    Posted by 서버이야기