Приветствую! Добро пожаловать на девятый урок курса . Encès мы рассмотрели основные механизмы контроля доступа пользователей к различным ресурсам. Теперь перед нами другая задача — необходимо анализировать поведение пользователей в сети, а также настроить получение данных, которые смогут помочь при расследовании различных инцидентов безопасности. Поэтому в данном уроке мы рассмотрим механизм логирования и отчетности. Для этого нам пригодится FortiAnalyzer, который мы развернули в начале курса. Необходимая теория, а также видео урок доступны под катом.
В FotiGate логи делятся на три типа: логи трафика, логи событий и логи безопасности. Они же в свою очередь делятся на подтипы.
Логи трафика записывают информацию о потоке трафика, такие как запросы и ответы, если они имеются. Этот тип содержит подтипы Forward, Local и Sniffer.
Подтип Forward содержит информацию о трафике, который FortiGate либо принял, либо отклонил в соответствии с политиками межсетевого экранирования.
Подтип Local содержит информацию о трафике непосредственно с IP адреса FortiGate и с IP адресов, с которых осуществляется администрирование. Например — подключения к веб интерфейсу FortiGate.
Подтип Sniffer содержит логи трафика, который был получен с помощью зеркалирования трафика.
Логи событий содержат в себе системные или административные события, такие как — добавление или изменение параметров, установление и разрыв VPN туннелей, события динамической маршрутизации и так далее. Все подтипы представлены на рисунке ниже.
И третий тип представляет собой логи безопасности. В данные логи записываются события, связанные с вирусными атаками, посещениями запрещенных ресурсов, использованием запрещенных приложений и так далее. Полный перечень также представлен на рисунке ниже.
Хранить логи можно в разных местах — как на самом FortiGate, так и за его пределами. Хранение логов на FortiGate считается локальным логированием. В зависимости от самого устройства хранить логи можно либо во флеш-памяти устройства, либо на жестком диске. Как правило, модели от middle имеют жесткий диск. Модели с жестким диском отличить довольно просто — в окончании имеется единица. Например — FortiGate 100E идет без жесткого диска, а FortiGate 101E — с жестким диском.
У младших и старых моделей обычно жесткого диска нет. В таком случае для записи логов используется флеш-память. Однако стоит учитывать, что постоянная запись логов во флеш-память может сократить ее эффективность и срок службы. Поэтому, запись логов во флеш-память по умолчанию отключена. Включать ее рекомендуется только для логирования событий во время решения конкретных проблем.
При интенсивной записи логов, неважно, на жесткий диск или во флеш-память — производительность устройства будет снижаться.
Довольно распространено хранение логов на удаленных серверах. FortiGate может хранить логи на Syslog серверах, на FortiAnalyzer или FortiManager. Также для хранения логов можно использовать облачный сервис FortiCloud.
Syslog представляет собой сервер для центрального хранения логов с сетевых устройств.
FortiCloud — это служба управления безопасностью и хранения логов, основанная на подписке. С ее помощью можно удаленно хранить логи и строить соответствующие отчеты. Если у вас довольно маленькая сеть, удачным решением может быть как раз использование данного облачного сервиса, а не покупка дополнительного оборудования. Существует бесплатная версия FortiCloud, которая подразумевает недельное хранение логов. После приобретения подписки логи можно хранить в течение года.
FortiAnalyzer и FortiManager являются внешними устройствами хранения логов. Благодаря тому, что они все имеют одинаковую операционную систему — FortiOS — интеграция FortiGate с данными устройствами не представляет никаких сложностей.
Но следует отметить отличия между устройствами FortiAnalyzer и FortiManager. Основной целью FortiManager является централизованное управление несколькими устройствами FortiGate — поэтому объем памяти для хранения логов на FortiManager существенно меньше, чем на FortiAnalyzer (если, конечно, сравнивать модели из одного ценового сегмента).
Основной целью FortiAnalyzer как раз является сбор и анализ логов. Поэтому именно работу с ним мы далее и рассмотрим на практике.
Вся теория, а также практическая часть представлены в данном видео уроке:
В следующем уроке мы рассмотрим основные моменты, связанные с администрированием устройства FortiGate. Чтобы не пропустить его, следите за обновлениями на следующих каналах:
Font: www.habr.com