O Tempo Agora

Arquivo do blog

Pesquisador:

Google+ Badge

quinta-feira, 1 de janeiro de 2009

TUTORIAL: FIREWALL DO WINDOWS XP

FIREWALL DO WINDOWS XP
Explorando recursos de monitoramento e auditoria

Por Luís Fernando da Silva Bittencourt
Um recurso de auditoria nativo do próprio Windows XP, pouco explorado e quase não divulgado é a possibilidade da criação de um registro de log de todas as atividades de entrada e saída das requisições dos protocolos TCP/IP que ocorrem no sistema. Por definição, tal recurso não é ativo por ocasião da instalação do Windows XP. O “pfirewall.log”, como é denominado o arquivo gerado, armazena informações excelentes, tais como: data e hora das requisições, IP de origem, IP de destino, tipo de pacote (UDP ou TCP), tamanho do pacote, portas utilizadas, entre outras informações, sendo mais completo que a utilização do comando NETSTAT. Enquanto este necessita que o usuário o ative quando precisar ver o que está acontecendo no seu sistema o PFIREWALL mantém registrado tudo o que ocorreu, possibilitando que no final das atividades o usuário possa verificar toda movimentação dos pacotes que trafegaram no sistema monitorado, guardando tais registros pelo tempo que achar necessário.
Para configurar tal recurso é necessário que o usuário abra o painel de controle e clique sobre o ícone “Windows Firewall”

Ao abrir a janela do Firewall, selecione a aba “Advanced”, figura 2.

Em seguida vá até a parte onde está escrito “Security Logging”, ou equivalente em português. Repare que está perguntando se você deseja criar um registro de log, sendo necessário para tal clicar sobre o botão “settings”, conforme figura 3.

Na janela “Log Settings”, figura 4, você pode manter a sugestão de local para a criação do respectivo registro de log ou selecionar um local de mais fácil acesso. Eu, por exemplo, costumo manter o local indicado e depois faço um atalho do mesmo na área de trabalho.

Finalmente clique em “OK” para concluir a operação. Depois disso, sempre que quiser ou precisar basta abrir o arquivo criado com o bloco de notas do Windows para verificar os registros constantes. Repare, conforme figura 4, que logo abaixo do campo que contém o caminho selecionado e o nome do arquivo, existe um campo destinado para o tamanho máximo que tal registro deve ter, indo até 32400kb. Tal recurso é importante que todo o investigador de crimes cibernéticos tenha configurado em sua máquina destinada a este tipo de investigação, haja vista que nunca se sabe quando vai precisar destes registros. Também pode ser de boa prática juntar aos autos do processo investigativo cópia do mesmo como embasamento das linhas de trabalho seguidas no curso de suas atividades.
Até a próxima!

Um comentário:

Blog do Emerson disse...

Excelente Tutorial Bittencourt!!

Parabéns!!

Emerson Wendt