Ver los LOG del Firewall de Windows en tiempo REAL

FIREWALL de Windows el gran desconocido, viene a ser lo mismo que Avilés en Asturias 😉

Vamos a comprobar en tiempo REAL lo que esta maquinando nuestro FIREWALL de Windows y además vamos a usar una herramienta de LINUX muy muy MOLONA.Os aconsejo quedaros hasta el final del post y probarlo.

Si comprobasteis los eventos, os habréis dado cuenta que no vemos nada, para activar los LOG debemos hacer lo que nos muestra la imagen:

–

Podéis por ejemplo bloquear todos los accesos de salida para que no salga el internet explorer como hicimos en el post anterior e intentar navegar con la finalidad de crear un log. A posterior vamos a ver el log del descarte, por supuesto no es en tiempo real, simplemente abrimos el fichero:

.

Probarlo.

Podemos ver el log en tiempo REAL, pero necesitamos unas herramientas, geniales, de ellas utilizaremos el comando tail. Este comando esta en más paquetes de aplicaciones, como en las unxutils.

Descarga de aquí: http://www.cygwin.com/

Maravilloso es como tener un LINUX en nuestro windows .ohhhhhhhhhhhhhhhhh!!!.

Solo necesitamos el .exe, dejo una captura de la instalación, solo vamos a seleccionar los paquetes que necesitamos para el comando tail, lo pongo en la búsqueda (search) y ahora selecciono las utils.

Pinchando sobre la palabra Skip nos marca lo que queremos instalar, en este podemos instalar xtail, pero tail ya está en la instalación básica.

Cuando tengamos nuestra selección le damos a siguiente.

Su consola en C:\cygwin\bin\mintty.exe

Ahora para montar nuestro directorio de windows donde están los log del firewall actualizándose en tiempo real hacemos:

Una pasada ehhhh !!!!

Como veis usamos para ver los logs la línea tail -f /cygdrive/loquesea , yo no lo hacía así, movía el fichero del log del firewall dentro del directorio de instalación del cygwin, no podía salir del directorio desde el Shell o la consola que veis más arriba.

Gracias al blog de FLU –PROYECT y a sus integrantes que nos deleitan con grandes post pude averiguar como se podía hacer sin cambiar la ubicación del fichero, llegue a su blog por casualidad.

Así que agradecimientos a http://www.flu-project.com/ en este caso no sé el nombre del autor del post. Podéis hacerles alguna visita, tienen cosas muy que muy interesantes.

El último drop de la captura anterior es un intento de actualización del flash, tenemos permitida la navegación por el puerto 80 al iexplorer en una regla del firewall, pero no a otras aplicaciones a traves de ese puerto, de ahí la importancia de bloquear por programa y no por puerto, evitando malware que quiera aprovecharse del puerto 80 que siempre tenemos abierto en nuestros equipos.

Si sale un Reject significa que deniega el paso de ese paquete, manda un ICMP como destino inalcanzable mientras que Drop deniega el paso del paquete y no manda respuesta de la denegación, es lo mejor para no dar pistas.

Con tail pues como en Linux, vemos el número de secuencia, el puerto, el tipo de paquete, el tamaño de la ventana, protocolo, los flags TCP, las últimas líneas son para el tipo de icmp, etc.

COÑO !! tengo habilitado IPv6 además fe80 mmmmmmmmmmm que agujero de seguridaddddd !!, lo que da uno cuenta.

Para el que le gustará esta pequeña maravilla de aplicación, perdón de conjunto de herramientas Linux, que se puede usar en windows, tiene más información sobre Cygwin en:

http://www.vicente-navarro.com/blog/2007/07/06/instalar-un-cygwin-portable-en-una-memoria-usb/

http://www.juanluperez.com/index.php/2011/02/instalacion-y-configuracion-de-cygwinx-1-7-7-portable-en-volumen-cifrado-truecrypt/

Probar el comando dd 😉

Por finalizar el post:

«»Windows 7 and Windows Server 2008 R2 introduce the new netsh wfp context that enables you to capture diagnostic trace sessions»» Lo dejamos ahí por si alguien lo necesita y quiere investigar la línea, pero normalmente se usa por si tienes problemas como por ejemplo al implementar ipsec con aplicaciones propias a la hora de pasar por el antivirus, aunque es usado más para desarrollo e investigación, en resumen para que Microsoft te aporte la solución.

Ya sabemos un poco más del firewall de Windows.