أهمية ودور سجلات جدار الحماية

جدار الحماية يراقب حركة المرور الداخلة والخارجة من البيئة التي تم تطويره لحمايتها. بعض جدران الحماية تقدم أيضًا رؤية لمصدر ونوع حركة المرور القادمة إلى هذه البيئة. يتم تكوين جدار الحماية باستخدام قواعد. لكي يكون ناجحًا، يجب تعزيز مجموعة القواعد لجدار الحماية بميزة تسجيل فعالة.

تسجل ميزة التسجيل كيفية إدارة جدار الحماية لأنواع حركة المرور. توفر السجلات للمنظمات معلومات حول، على سبيل المثال، عناوين IP المصدر والوجهة، البروتوكولات، وأرقام المنافذ، ويمكن استخدامها من قبل SIEM للمساعدة في التحقيق في الهجوم.

تسجيل جدار الحماية

جدار الحماية، في أبسط أشكاله، يُنشأ لوقف الاتصالات من الشبكات المشبوهة. يقوم بفحص عنوان المصدر، عنوان الوجهة، ورقم منفذ الوجهة لجميع الاتصالات، ويقرر ما إذا كانت الشبكة يمكن الوثوق بها.

لأغراض التبسيط، يمكننا تجميع المعلومات حول عنوان المصدر، ورقم المنفذ المصدر، وعنوان الوجهة ورقم المنفذ. يمكننا اعتبار هذه المعلومات كصفة تعريفية لأي محاولة اتصال، كما تتعقبها جدار الحماية.

تتشابه هذه الخاصية مع مجموعة من القواعد التي تحدد أي الاتصالات مسموح بها وأيها يجب رفضه. إذا كانت هذه الخاصية التعريفية تحتوي على معلومات تتطابق مع اتصال مسموح به، فإن عنوان المصدر يمكنه إنشاء اتصال مع عنوان الوجهة على المنفذ المسموح به. وبالتالي، يُسمح بحركة المرور بالدخول إلى الشبكة.

لذا، يعتمد نجاح أي جدار حماية عادةً على القواعد المستخدمة في تكوينه.

يعمل جدار الحماية على مراقبة حركة المرور الداخلة والخارجة من البيئة التي تم إنشاؤه لحمايتها، ويوفر رؤية حول نوع ومصدر حركة المرور التي تدخل هذه البيئة. وعادةً ما يخدم غرضين رئيسيين:

• حماية البيئة من التهديدات من المصادر الداخلية والخارجية (الإنترنت)
• تعمل كمصدر للتحقيقات للمهنيين الأمنيين الذين يحتاجون إلى تتبع كيفية اختراق جدار الحماية.

لكي يكون جدار الحماية أكثر فعالية، يجب تعزيز مجموعة قواعده بميزة تسجيل ناجحة.

تسجل ميزة التسجيل كيفية تعامل جدار الحماية مع أنواع حركة المرور. تقدم هذه السجلات رؤى حول، على سبيل المثال، عناوين IP المصدر والوجهة، والبروتوكولات، وأرقام المنافذ.

متى ولماذا يكون تسجيل الدخول لجدار الحماية مفيدًا

• للتحقق مما إذا كانت قواعد جدار الحماية الجديدة تعمل بشكل جيد أو لتصحيح الأخطاء إذا لم تعمل بشكل صحيح.
• لاكتشاف ما إذا كانت هناك أي أنشطة ضارة تحدث داخل شبكتك. ومع ذلك، فإنها لا تقدم المعلومات التي تحتاجها لعزل مصدر النشاط.
• إذا كنت تحدد محاولات متكررة غير ناجحة للوصول إلى جدار الحماية الخاص بك من عنوان IP واحد (أو من مجموعة من عناوين IP)، فقد ترغب في إنشاء قاعدة لوقف جميع الاتصالات من هذا العنوان.
• يمكن أن تشير الاتصالات الصادرة المشتقة من الخوادم الداخلية، على سبيل المثال، خوادم الويب، إلى أن شخصًا ما يستخدم نظامك كنقطة انطلاق. قد يقومون بشن هجمات على أجهزة كمبيوتر في شبكات أخرى من نظامك.

سجلات جدار الحماية في لينوكس

تحتوي نواة لينكس على إطار عمل لتصفية الحزم يسمى netfilter. يتيح لك هذا الإطار السماح أو منع أو تعديل حركة المرور التي تدخل وتخرج من النظام. أداة iptables تعزز هذه الوظيفة من خلال جدار ناري يمكن تكوينه باستخدام قواعد. كما تعتمد برامج إضافية، مثل fail2ban، على iptables لحظر المهاجمين.

كيف تعمل أداة iptables؟

iptables هي واجهة سطر أوامر لخصائص تصفية الحزم في netfilter. ومع ذلك، لن نميز بين iptables و netfilter لأغراض هذه المقالة. للحفاظ على الوضوح، سنشير إلى المفهوم بالكامل باسم iptables.

تتمثل وظيفة تصفية الحزم التي تقدمها iptables في هيكلها كجداول وأهداف وسلاسل. ببساطة، تتيح لك الجدول معالجة الحزم بطريقة معينة. جدول التصفية هو الجدول الافتراضي.
السلاسل متصلة بهذه الجداول. يمكنك مراقبة حركة المرور في نقاط مختلفة، باستخدام هذه السلاسل. يمكنك رؤية حركة المرور، كما تصل إلى واجهة الشبكة أو قبل أن يتم تمريرها إلى عملية. يمكنك أيضًا إضافة قواعد إلى السلاسل بحيث تتطابق مع حزم معينة، على سبيل المثال، حزم TCP التي تذهب إلى المنفذ 70، وربطها بهدف. سيحدد الهدف ما إذا كان يجب السماح للحزمة أو حظرها.

عندما تدخل حزمة أو تخرج (وفقًا للسلسلة)، يقوم iptables بمقارنتها بالقواعد في هذه السلاسل واحدة تلو الأخرى. عندما يتعرف على تطابق، يقوم بعزل الهدف وينفذ الإجراء المطلوب. إذا لم يتعرف على تطابق مع أي من القواعد، فإنه ينفذ الإجراء المحدد بواسطة السياسة الافتراضية للسلسلة. تعمل السياسة الافتراضية أيضًا كهدف. بشكل افتراضي، جميع السلاسل لديها سياسة تسمح بمرور الحزم.

العمل مع سجلات جدار الحماية iptables وتفسيرها

لإنشاء سجلات لجدار الحماية، يجب أن تكون نواة النظام مفعلة لتسجيل جدار الحماية. بشكل افتراضي، يتم تسجيل الحزم المتطابقة كـkern.warn(الأولوية 4) الرسائل. يمكنك تغيير أولوية السجل مع الـ--log-levelخيار لـ-j LOG.

تُكشف غالبية حقول رأس حزمة IP عندما تتطابق الحزمة مع قاعدة تحتوي على هدف LOG. بشكل افتراضي، تُكتب رسائل سجل جدار الحماية في /var/log/messages.

سجلات جدار حماية ويندوز

يحتوي نظام تشغيل مايكروسوفت ويندوز على جدار حماية مدمج. لا يقوم جدار الحماية بتسجيل أي حركة مرور بشكل افتراضي. ومع ذلك، يمكنك اختيار تكوين جدار الحماية لتسجيل الاتصالات المسموح بها والحركة التي تم رفضها. إذا قمت بتفويض تسجيل جدار حماية ويندوز، فإنه ينشئ ملفات "pfirewall.log" في هيكله الدليلي. يمكنك رؤية ملفات سجل جدار حماية ويندوز عبر برنامج المفكرة.

كيفية تفعيل سجلات جدار الحماية في ويندوز 10

اذهب إلى جدار الحماية في ويندوز مع الأمان المتقدم. انقر بزر الفأرة الأيمن على جدار الحماية في ويندوز مع الأمان المتقدم ثم انقر على الخصائص.

يجب أن يظهر مربع خصائص جدار الحماية في ويندوز مع الأمان المتقدم.

يمكنك الانتقال بين ملفات تعريف جدار الحماية: النطاق، الخاص، والعام. بشكل عام، يجب عليك تكوين ملف تعريف النطاق أو الخاص. دعنا نرى كيفية إنشاء تسجيل لجدار الحماية في ملف تعريف خاص لجدار الحماية في ويندوز. الخطوات أدناه ستعمل لكل من الملف الشخصي العام أو النطاق.

انقر فوق الملف الشخصي الخاص > التسجيل > تخصيص

اذهب إلى "تسجيل الحزم المفقودة" وقم بتغيير الحالة إلى نعم.

بشكل عام، نقوم بتفعيل تسجيل "حزم البيانات المفقودة" فقط. لن نقوم بتسجيل الاتصالات الناجحة حيث أن الاتصالات الناجحة عادةً لا تكون مفيدة جداً عند حل المشكلات.

انسخ المسار الافتراضي لملف السجل. ( %systemroot%\system32\LogFiles\Firewall\pfirewall.log ) ثم اضغط على "موافق".

افتح مستكشف الملفات وانتقل إلى المكان الذي يتم فيه الاحتفاظ بسجل جدار الحماية في ويندوز. ( %systemroot%\system32\LogFiles\Firewall\) . سترى، في مجلد جدار الحماية، ملف pfirewall.log.

انسخ ملف pfirewall.log إلى سطح المكتب. سيمكنك ذلك من فتح الملف دون تلقي تحذيرات من جدار الحماية.

تفسير سجلات جدار الحماية لنظام ويندوز

سجل جدار حماية ويندوز الخاص بك سيبدو شيئًا مثل ما يلي:

إليك تحليل للجوانب الرئيسية للسجل أعلاه:

1. وقت وتاريخ الاتصال.
2. ماذا حدث للاتصال. "السماح" تعني أن جدار الحماية سمح بالاتصال، بينما "الإسقاط" تعني أنه منع الاتصال.
3. نوع الاتصال، TCP أو UDP.
4. عنوان IP لمصدر الاتصال (جهاز الكمبيوتر الخاص بك)، وعنوان IP للوجهة (المستلم المرغوب، مثل صفحة ويب)، والمنفذ المستخدم على جهاز الكمبيوتر الخاص بك. يمكنك استخدام هذه المعلومات لتحديد أي منافذ تحتاج إلى فتحها لتعمل البرمجيات. يجب عليك أيضًا الانتباه إلى أي اتصالات مشبوهة، حيث قد تشير إلى وجود برمجيات خبيثة.
5. يخبرك ما إذا كان هذا الاتصال هو استلام الكمبيوتر لحزمة بيانات أو إرسال واحدة.

كيفية تحليل سجلات جدار الحماية

يمكن أن يكون تسجيل الدخول في جدران الحماية، خاصة للأحداث المسموح بها، مفيدًا في اكتشاف التهديدات الأمنية المحتملة للشبكة. عادةً ما تضع المؤسسة حماية صارمة على الأصول التي لا ينبغي أن تكون متاحة بحرية. قد تشمل هذه الأصول الشبكات الداخلية للشركات ومحطات العمل الخاصة بالموظفين. عادةً، لا يُسمح بأي اتصال مباشر غير مُعالج إلى هذه الأنظمة.

ماذا تبحث عنه عند إجراء تحليل سجلات جدار الحماية

بمجرد أن تجمع سجلات جدار الحماية وتبدأ في عملية تحليل السجلات، يمكنك أن تقرر ما الذي تبحث عنه في السجل. يجب أن تمتنع عن البحث فقط عن الأحداث "الضارة". سجلات جدار الحماية الخاصة بك لا تساعدك فقط في عزل الاختراقات والحوادث، بل يمكن أن تساعدك أيضًا في تحديد العمليات الطبيعية لجدار الحماية.

إحدى الطرق لمعرفة ما إذا كان السلوك الذي تم تسجيله مريبًا هي رؤية ما هي العمليات الطبيعية ثم ملاحظة الاستثناءات.

بعض الأحداث يجب أن تثير الشك دائمًا وتستدعي مزيدًا من التحقيق. وهي كالتالي:

• تمت الموافقة على المصادقة
• انخفضت حركة المرور
• إيقاف/تشغيل/إعادة تشغيل جدار الحماية
• تعديلات على إعدادات جدار الحماية
• تم منح الوصول الإداري
• فشل التحقق من الهوية
• انتهت جلسة المسؤول

تحليل السجلات والتنبيه باستخدام Exabeam

إدارة السجلات وأنظمة SIEM من الجيل التالي

إدارة السجلات تمثل تحديًا، وتزداد هذه التحديات مع النمو السريع للأجهزة الشبكية، والخدمات الصغيرة، وخدمات السحابة، ونقاط النهاية، والزيادة الكبيرة في كميات البيانات وحجم الحركة.

يمكن أن تساعدك حلول إدارة معلومات وأحداث الأمان من الجيل التالي (SIEM) في إدارة الأحداث المتعلقة بالأمان وتساعدك على التعرف على الأحداث ذات الصلة بحادث أمني.

ميزات أنظمة إدارة معلومات الأمان من الجيل التالي:

• بحيرة بيانات الأمان، التي يمكنها الاحتفاظ بكميات غير محدودة من سجلات البيانات التاريخية.
• تقنية تحليل سلوك المستخدمين والكيانات لتحسين اكتشاف التهديدات من خلال تحليل السلوك.
• قدرات الاستجابة التلقائية للحوادث، التي توفر تكامل الخدمات عبر كتيبات العمل للتحقيق التلقائي، والاحتواء، والتخفيف من الحوادث.
• ميزات استكشاف البيانات المتقدمة، التي يمكن أن تساعد المحللين الأمنيين في نشاطهم المتعلق بالبحث عن التهديدات، من خلال فحص السجلات.