IL LOG DEL FIREWALL DI WINDOWS

log-windows-firewall

Sin dai tempi di Windows XP Service Pack 2. il sistema operativo Microsoft offre un firewall software. ossia un componente che tiene sotto controllo le connessioni in ingresso e in uscita sulle porte di rete. Il firewall software è stato denominato firewall di Windows.

log-windows-firewallQuesto modulo svolge un ruolo essenziale nel prevenire intrusioni via Internet, ma le sue funzioni permettono anche di  implementare regole personalizzate per evitare la connessione a servizi e host specifici, oppure per consentire il collegamento da parte di utenti e macchine autorizzate. L’implementazione di Microsoft si è dimostrata piuttosto robusta, tanto che alcune security suite anche commerciali hanno deciso di non sostituirsi alle sue funzioni, ma piuttosto di integrarle con regole avanzate e altri strumenti. La sua interfaccia, però, non è molto informativa: è un componente pensato per Lavorare sullo sfondo, senza interagire con L’utente.

Questo, in generale. è un comportamento desiderabile (i firewall che mostrano un popup ogni volta che viene instaurata una nuova connessione diventano presto insopportabili). ma quando se ne modificano le impostazioni e si vuole verificare che tutto funzioni, oppure se si sospetta che sia in corso un attacco informatico, è utile poter analizzare in maniera molto più dettagliata il suo funzionamento.

Uno degli strumenti migliori per studiare l’attività di un firewall è il suo log, un semplice file di testo che racchiude un enorme numero di informazioni utili, tra cui l’elenco dettagliato di tutte le connessioni tentate e il comportamento tenuto dal software. Normalmente, però, la generazione del file di Log è disabilitata, anche perché questo file può diventare molto grande e difficile da interpretare. Scopriamo come attivarlo e utilizzarlo.

Richiamate la finestra di esecuzione, per esempio con la scorciatoia da tastiera Windows+R, e digitate il comando wfmsc; si aprirà la finestra di configurazione Windows Firewall con sicurezza avanzata, che mostra molti comandi e informazioni avanzate in più rispetto alla tradizionale interfaccia di Windows Firewall  accessibile tramite La sezione Sistema e sicurezza del Pannello di controllo. Per attivare il log fate clic sul collegamento Proprietà nel pannello Azioni, collocato lungo il margine destro della finestra: selezionate la scheda Profilo privato e fate clic sul pulsante Personalizzo.

Nella sezione Registrazione Nella finestra di dialogo successiva verificate ed eventualmente modificate il percorso del file. e poi selezionate l’opzione Sì nelle caselle a discesa Registro pacchetti ignorati e Registro connessioni riuscite. I pacchetti ignorati sono quelli bloccati dal firewall, mentre le connessioni riuscite mostrano i pacchetti che il firewall ha lasciato transitare.  firewall-windows-profilo-privato

Se volete concentrare l’attenzione soltanto su una delle due tipologie di informazioni, attivate unicamente l’opzione relativa. Confermate con un clic su OK e passate alla scheda Profilo pubblico; anche qui fate clic su Personalizzo nella sezione Registrazione e ripetete la stessa procedura di configurazione. Tornate poi alla finestra principale del firewall di Windows e  selezionate la voce Monitoraggio nell’elenco di sinistra. Nella sezione Impostazioni registrazione c’è un collegamento che permette di accedere al file di log senza doverne raggiungere la posizione usando Esplora file: basta fare clic per aprire il log nel Blocco note. Il contenuto di questo file  può essere piuttosto criptico a un primo sguardo: a una sezione di intestazione, che indica tra l’altro i campi presenti nelle righe successive e La versione del protocollo, segue un lungo elenco di righe, ciascuna delle quali corrisponde a una connessione tentata. Dopo la data e l’ora dell’evento, si trova una parola chiave che indica se la connessione è stata accettata (ALLOW) o rifiutata (DROP). il protocollo utilizzato, l’indirizzo remoto molte altre informazioni.

L’ultimo campo segnala se si trattava di una connessione in uscita (SENO), oppure in ingresso (RECEIVE) . Per maggiori informazioni, su come consultare il log del firewall di Windows si può consultare la guida fornita da Microsoft all’indirizzo https://technet.microsoft.com/en-us/library/cc758040%28v=ws.10%29.ospx.