Windowsブロックネットワークトラフィックの取得

• Windowsブロックネットワークトラフィックの取得

Windows ブロックネットワークトラフィックの取得

• Windows ブロックネットワークトラフィックの取得
  • テストプロジェクトの構築
  • 監査によるブロックイベントの取得
    • プロバイダー情報の取得
    • ブロックイベントの構築
  • ネットワークイベント(NET_EVENT)の監視
  • ネットワーク接続(NetConnection)の監視
  • Application Layer Enforcement(ALE)の紹介
  • コーディング
  • 結論
  • 付録
    • WFPアーキテクチャ
    • データフロー
    • 参考リンク

• ブロックされたトラフィックを特定する必要があります。ブロックされたトラフィックには、送信方向と受信方向が含まれます。
• ブロックの2つの形式：接続(connection)ベースとパケット(packet)ベースです。パケットの破棄は頻繁に発生し、破棄理由を審査する必要があります。接続ベースのブロックは、実際に注目すべきブロックシナリオにより適しています。
• 多くの正常に処理されたパケットもドロップされるため、ドロップとブロックの動作を区別する必要があります。主にブロックの状況に注目します。

テストプロジェクトの構築

WFPは主にusermodeで動作し、一部はkernelmodeで動作します。その能力はドライバーの形で体現されます。テスト環境を構築する方法は比較的複雑です。推奨される方法は、テストマシンとして別の物理マシンを使用し、開発マシンでコンパイル後にリモートデバッグする方法です。 条件の制約により、ローカルでのデバッグも可能です。

• Microsoft WFP Sample プロジェクト
  • こちらに注目：Windows-driver-samples\network\trans\WFPSampler
• WFPSampler プロジェクトガイド

コンパイルの問題：

• 不足する api-ms-win-net-isolation-l1-1-0
• wfpcalloutsclassreg-not-found

その他の問題：

• ドライバーが実行できない
• 署名の方法
• 展開用テストマシンの準備

監査によるブロックイベントの取得

• Auditing ドキュメント
• auditpol ドキュメント

デフォルトでは、WFPの監査は無効になっています。

• グループポリシーオブジェクトエディタMMC管理単位、ローカルセキュリティポリシーMMC管理単位、またはauditpol.exeコマンドを使用して、カテゴリ別に監査を有効化できます。
• auditpol.exeコマンドを使用して、サブカテゴリ別に監査を有効化できます。
• 設定にはGUIDを使用する必要があります。そうでない場合、異なる言語のシステムでローカライズの問題が発生します。
• 監査は循環ログを使用し、128KBでリソース消費を心配する必要はありません。

カテゴリhttps://docs.microsoft.com/en-us/windows/win32/secauthz/auditing-constants

Object Access サブカテゴリと対応GUID https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gpac/77878370-0712-47cd-997d-b07053429f6d

Policy Change サブカテゴリと対応GUID：

# auditpolマニュアル参照：https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/auditpol
# このセクションは主に'Object Access'カテゴリに注目します
# クエリ可能なフィールドを取得
# -v はGUIDを表示し、-r はcsvレポートを表示します
auditpol /list /category /v
auditpol /list /subcategory:* /v
# 特定のサブカテゴリの監査設定を取得
auditpol /get /category:'Object Access' /r | ConvertFrom-Csv| Get-Member
# GUIDを照会
auditpol /get /category:'Object Access' /r | ConvertFrom-Csv| Format-Table Subcategory,'Subcategory GUID','Inclusion Setting'
# Subcategoryを探す
auditpol /list /subcategory:"Object Access","Policy Change" -v
# バックアップ
auditpol /backup /file:d:\audit.bak
# 復元
auditpol /restore /file:d:\audit.bak
# Policyを変更
# **Policy Change**    | {6997984D-797A-11D9-BED3-505054503030}
auditpol /set /category:"{6997984D-797A-11D9-BED3-505054503030}" /success:disable /failure:disable
# Filtering Platform Policy Change | {0CCE9233-69AE-11D9-BED3-505054503030}
auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

# **Object Access**    | {6997984A-797A-11D9-BED3-505054503030}
auditpol /get /category:"{6997984A-797A-11D9-BED3-505054503030}"
auditpol /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /success:disable /failure:disable
# Filtering Platform Packet Drop | {0CCE9225-69AE-11D9-BED3-505054503030}
auditpol /set /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable
# Filtering Platform Connection  | {0CCE9226-69AE-11D9-BED3-505054503030}
auditpol /set /subcategory:"{0CCE9226-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable

# ログを読み込む
$Events = Get-WinEvent -LogName 'Security'
foreach ($event in $Events) {
    ForEach ($line in $($event.Message -split "`r`n")) {
        Write-host $event.RecordId ':' $Line
        break
    }
}

イベントの説明：

注目のイベントの詳細説明：

• Audit Filtering Platform Packet Drop

  • この種類のイベントは発生量が非常に多く、5157イベントに注目することをお勧めします。同じ情報を記録しますが、5157は接続ベースで記録され、パケットベースではありません。

  • Failure events volume typically is very high for this subcategory and typically used for troubleshooting. If you need to monitor blocked connections, it is better to use “5157(F): The Windows Filtering Platform has blocked a connection,” because it contains almost the same information and generates per-connection, not per-packet.

  • 5152

  • 5153

• Audit Filtering Platform Connection
  • 失敗イベントのみに注目することをお勧めします。ブロックされた接続など、必要に応じて許可された接続に注目します。
  • 5031
    • If you don’t have any firewall rules (Allow or Deny) in Windows Firewall for specific applications, you will get this event from Windows Filtering Platform layer, because by default this layer is denying any incoming connections.
  • 5150
  • 5151
  • 5155
  • 5157
  • 5159

プロバイダー情報の取得

# security関連のプロバイダー情報を取得
Get-WinEvent -ListProvider "*Security*"  | Select-Object providername,id
# Microsoft-Windows-Security-Auditing                             54849625-5478-4994-a5ba-3e3b0328c30d
# プロバイダーが提供するtask情報を取得
Get-WinEvent -ListProvider "Microsoft-Windows-Security-Auditing"  | Select-Object -ExpandProperty tasks
# SE_ADT_OBJECTACCESS_FIREWALLCONNECTION       12810 Filtering Platform Connection          00000000-0000-0000-0000-000000000000

ブロックイベントの構築

ブロックイベントを構築する際は、ローカルの他のソフトウェアの動作に影響を与えることに非常に注意してください！ 必要に応じて、.\WFPSampler.exe -cleanを使用してフィルターをすぐにクリアできます。

手順：

1. Filtering Platform Connectionの監査スイッチをオンにします。auditpol /set /subcategory:"{0CCE9226-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

2. Event Viewerを開き、Custom Viewを作成し、フィルターを作成します。ここでは5155、5157、5159の3つのイベントに注目します。

3. フィルターを構築します。WFPSampler.exeを使用してフィルターを構築し、ローカルの80ポートへのリスニングをブロックします。.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_LISTEN_V4 -iplp 80

4. サードパーティ製（IIS以外）のHTTPサーバーを使用します。ここではnginxを使用し、デフォルトで80ポートをリスンします。ダブルクリックで起動すると5155イベントが発生します。

5. フィルターを元に戻します。.\WFPSampler.exe -clean

6. 監査スイッチを元に戻します。auditpol /set /category:"{0CCE9226-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable

# 5155 blocked an application or service from listening on a port for incoming connections
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_LISTEN_V4
# 5157 blocked a connection
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_CONNECT_V4
# 5159, blocked a bind to a local port
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4

# Other
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4_DISCARD
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_CONNECT_V4_DISCARD

# To find a specific Windows Filtering Platform filter by ID, run the following command:
netsh wfp show filters
# To find a specific Windows Filtering Platform layer ID, you need to execute the following command:
netsh wfp show state

ネットワークイベント(NET_EVENT)の監視

• ネットワークイベントは列挙検索とサブスクリプションをサポートしています。
• 列挙方式はカスタムフィルター条件をサポートし、特定期間のネットワークイベントを取得できます。
• サブスクリプション方式はコールバック関数を注入でき、リアルタイムでフィードバックします。

サポートされているイベントタイプ：

typedef enum FWPM_NET_EVENT_TYPE_ {
  FWPM_NET_EVENT_TYPE_IKEEXT_MM_FAILURE = 0,
  FWPM_NET_EVENT_TYPE_IKEEXT_QM_FAILURE,
  FWPM_NET_EVENT_TYPE_IKEEXT_EM_FAILURE,
  FWPM_NET_EVENT_TYPE_CLASSIFY_DROP,
  FWPM_NET_EVENT_TYPE_IPSEC_KERNEL_DROP,
  FWPM_NET_EVENT_TYPE_IPSEC_DOSP_DROP,
  FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW,
  FWPM_NET_EVENT_TYPE_CAPABILITY_DROP,
  FWPM_NET_EVENT_TYPE_CAPABILITY_ALLOW,
  FWPM_NET_EVENT_TYPE_CLASSIFY_DROP_MAC,
  FWPM_NET_EVENT_TYPE_LPM_PACKET_ARRIVAL,
  FWPM_NET_EVENT_TYPE_MAX
} FWPM_NET_EVENT_TYPE;

サポートされているフィルター条件(FWPM_NET_EVENT_ENUM_TEMPLATE)：

ドライバー以外の呼び出し方式では、通常のドロップイベントしか取得できません。

ネットワーク接続(NetConnection)の監視

ネットワークイベントの監視と比較して、ネットワーク接続の監視にはより高い権限が必要です。 callback方式

呼び出し元は、接続オブジェクトのコンテナに対してFWPM_ACTRL_ENUMアクセスと、接続オブジェクトに対してFWPM_ACTRL_READアクセスが必要です。詳細は、Access Controlを参照してください。

ネットワーク接続の監視にまだ成功していません。

同様の問題を見つけました。Receiving in/out traffic stats using WFP user-mode API。私の調査で遭遇した現象と同じく、サブスクリプション関数は何も受信せず、イベントが得られず、エラーもありません。監査をオンにしたり、特権を上げても成功しませんでした。カーネルモード以外ではドロップイベントの報告しか得られないと指摘している人もいます。これはブロックイベントを取得する必要性を満たせません。

セキュリティディスクリプタの追加例： https://docs.microsoft.com/en-us/windows/win32/fwp/reserving-ports

Application Layer Enforcement(ALE)の紹介

• ALEは一連のカーネルモードフィルターを含み、ステートフルフィルタリングをサポートします。
• ALE層のフィルターは、接続の作成、ポート割り当て、ソケット管理、原始ソケット作成、プロミスキャスモード受信の許可をサポートします。
• ALE層のフィルターは接続(connection)ベースまたはソケット(socket)ベースで分類されますが、他の層のフィルターはパケット(packet)ベースでのみ分類できます。
• ALEフィルターの参照 ale-layers
  • その他のフィルターの参照 filtering-layer-identifiers

コーディング

ほとんどのWFP関数はユーザーモードでもカーネルモードでも呼び出せます。ただし、ユーザーモード関数はWin32エラーコードを表すDWORD値を返し、カーネルモード関数はNTステータスコードを表すNTSTATUS値を返します。したがって、関数名とセマンティクスはユーザーモードとカーネルモードで同じですが、関数シグネチャは異なります。これにより、関数プロトタイプの個別のユーザーモードとカーネルモード固有のヘッダーが必要になります。ユーザーモードのヘッダーファイル名は「u」で終わり、カーネルモードのヘッダーファイル名は「k」で終わります。

結論

要件はイベントの発生を知ることだけで、イベントを即座に処理する必要はありません。また、ドライバーを開発するとさらに大きなリスクが伴うため、イベント監査を使用してログ生成イベントを監視し、ブロックイベントを取得することを決定しました。 NotifyChangeEventLogを使用してログレコードイベントを監視するスレッドを新しく作成します。

付録

WFPアーキテクチャ

WFP(Windows Filter Platform)

データフロー

データフロー：

1. パケットがネットワークスタックに入ります。
2. ネットワークスタックはシャムを見つけ、呼び出します。
3. シャムは特定のレイヤーで分類プロセスを呼び出します。
4. 分類中にフィルターが一致し、結果として得られるアクションが実行されます。（フィルターアービトレーションを参照してください。）
5. 分類プロセス中にコールアウトフィルターが一致した場合、対応するコールアウトが呼び出されます。
6. シャムは最終的なフィルタリング決定に従って動作します（例：パケットをドロップ）。

参考リンク

• フィルターの種類
• 各フィルターレイヤーで使用可能なフィルター条件
• error code
• WFP error code

• ←前へ
• 次へ→