Вітаю! Сардэчна запрашаем на дзявяты ўрок курса . На мы разгледзелі асноўныя механізмы кантролю доступу карыстальнікаў да розных рэсурсаў. Цяпер перад намі іншая задача - неабходна аналізаваць паводзіны карыстальнікаў у сетцы, а таксама наладзіць атрыманне дадзеных, якія змогуць дапамагчы пры расследаванні розных інцыдэнтаў бяспекі. Таму ў дадзеным уроку мы разгледзім механізм лагіравання і справаздачнасці. Для гэтага нам спатрэбіцца FortiAnalyzer, які мы разгарнулі ў пачатку курса. Неабходная тэорыя, а таксама відэа ўрок даступныя пад катом.
У FotiGate логі дзеляцца на тры тыпы: логі трафіку, логі падзей і логі бяспекі. Яны ж у сваю чаргу дзеляцца на падтыпы.
Логі трафіку запісваюць інфармацыю аб патоку трафіку, такія як запыты і адказы, калі яны маюцца. Гэты тып утрымоўвае падтыпы Forward, Local і Sniffer.
Падтып Forward змяшчае інфармацыю аб трафіку, які FortiGate або прыняў, або адхіліў у адпаведнасці з палітыкамі міжсеткавага экранавання.
Падтып Local змяшчае інфармацыю аб трафіку непасрэдна з IP адрасу FortiGate і з IP адрасоў, з якіх ажыццяўляецца адміністраванне. Напрыклад – падлучэнні да вэб інтэрфейсу FortiGate.
Падтып Sniffer змяшчае логі трафіку, які быў атрыманы з дапамогай люстравання трафіку.
Логі падзей утрымоўваюць у сабе сістэмныя ці адміністрацыйныя падзеі, такія як - даданне ці змена параметраў, усталяванне і разрыў VPN тунэляў, падзеі дынамічнай маршрутызацыі і гэтак далей. Усе падтыпы прадстаўлены на малюнку ніжэй.
І трэці тып уяўляе сабой логі бяспекі. У дадзеныя логі запісваюцца падзеі, злучаныя з віруснымі нападамі, наведваннямі забароненых рэсурсаў, выкарыстаннем забароненых прыкладанняў і гэтак далей. Поўны пералік таксама прадстаўлены на малюнку ніжэй.
Захоўваць логі можна ў розных месцах як на самім FortiGate, так і за яго межамі. Захоўванне логаў на FortiGate лічыцца лакальным лагіраваннем. У залежнасці ад самай прылады захоўваць логі можна альбо ва флэш-памяці прылады, альбо на цвёрдай кружэлцы. Як правіла, мадэлі ад middle маюць цвёрдую кружэлку. Мадэлі з цвёрдай кружэлкай адрозніць даволі проста у канчатку маецца адзінка. Напрыклад – FortiGate 100E ідзе без цвёрдай кружэлкі, а FortiGate 101E – з цвёрдай кружэлкай.
У малодшых і старых мадэляў звычайна цвёрдай кружэлкі няма. У такім разе для запісу логаў выкарыстоўваецца флэш-памяць. Аднак варта ўлічваць, што пастаянны запіс логаў у флэш-памяць можа скараціць яе эфектыўнасць і тэрмін службы. Таму, запіс логаў у флэш-памяць па змаўчанні адключаны. Уключаць яе рэкамендуецца толькі для лагіравання падзей падчас вырашэння канкрэтных праблем.
Пры інтэнсіўным запісе логаў, усё роўна, на цвёрдую кружэлку або ва флэш-памяць — прадукцыйнасць прылады будзе змяншацца.
Даволі распаўсюджана захоўванне логаў на выдаленых серверах. FortiGate можа захоўваць логі на Syslog серверах, на FortiAnalyzer ці FortiManager. Таксама для захоўвання логаў можна выкарыстоўваць хмарны сэрвіс FortiCloud.
Syslog уяўляе сабой сервер для цэнтральнага захоўвання логаў з сеткавых прылад.
FortiCloud - гэта служба кіравання бяспекай і захоўвання логаў, заснаваная на падпісцы. З яе дапамогай можна выдалена захоўваць логі і будаваць адпаведныя справаздачы. Калі ў вас даволі маленькая сетка, удалым рашэннем можа быць як раз выкарыстанне дадзенага хмарнага сэрвісу, а не купля дадатковага абсталявання. Існуе бясплатная версія FortiCloud, якая мае на ўвазе тыднёвае захоўванне логаў. Пасля набыцця падпіскі логі можна захоўваць цягам года.
FortiAnalyzer і FortiManager з'яўляюцца вонкавымі прыладамі захоўвання логаў. Дзякуючы таму, што яны ўсё маюць аднолькавую аперацыйную сістэму – FortiOS – інтэграцыя FortiGate з дадзенымі прыладамі не ўяўляе ніякіх складанасцяў.
Але варта адзначыць адрозненні паміж прыладамі FortiAnalyzer і FortiManager. Асноўнай мэтай FortiManager з'яўляецца цэнтралізаванае кіраванне некалькімі прыладамі FortiGate – таму аб'ём памяці для захоўвання логаў на FortiManager істотна менш, чым на FortiAnalyzer (калі, вядома, параўноўваць мадэлі з аднаго коштавага сегмента).
Асноўнай мэтай FortiAnalyzer як раз з'яўляецца збор і аналіз логаў. Таму менавіта працу з ім мы далей і разгледзім на практыку.
Уся тэорыя, а таксама практычная частка прадстаўлены ў дадзеным відэа ўроку:
У наступным уроку мы разгледзім асноўныя моманты, злучаныя з адміністраваннем прылады FortiGate. Каб не прапусціць яго, сачыце за абнаўленнямі на наступных каналах:
Крыніца: habr.com