Pozdravy! Vítejte u deváté lekce kurzu . Na Podívali jsme se na základní mechanismy řízení přístupu uživatelů k různým zdrojům. Nyní máme další úkol – musíme analyzovat chování uživatelů v síti a také nakonfigurovat příjem dat, která mohou pomoci při vyšetřování různých bezpečnostních incidentů. Proto se v této lekci podíváme na mechanismus protokolování a hlášení. K tomu budeme potřebovat FortiAnalyzer, který jsme nasadili na začátku kurzu. Potřebná teorie a také videolekce jsou k dispozici pod střihem.
Ve FotiGate jsou protokoly rozděleny do tří typů: protokoly provozu, protokoly událostí a protokoly zabezpečení. Ty jsou zase rozděleny do podtypů.
Protokoly provozu zaznamenávají informace o toku provozu, jako jsou požadavky a odpovědi, pokud existují. Tento typ obsahuje podtypy Forward, Local a Sniffer.
Podtyp Forward obsahuje informace o provozu, který FortiGate buď přijal nebo odmítl na základě zásad firewallu.
Podtyp Local obsahuje informace o provozu přímo z IP adresy FortiGate az IP adres, ze kterých se provádí administrace. Například připojení k webovému rozhraní FortiGate.
Podtyp Sniffer obsahuje protokoly provozu, které byly získány pomocí zrcadlení provozu.
Protokoly událostí obsahují systémové nebo administrativní události, jako je přidávání nebo změna parametrů, vytváření a rušení tunelů VPN, události dynamického směrování a tak dále. Všechny podtypy jsou uvedeny na obrázku níže.
A třetím typem jsou bezpečnostní logy. Tyto protokoly zaznamenávají události související s virovými útoky, návštěvami zakázaných zdrojů, používáním zakázaných aplikací a tak dále. Úplný seznam je také uveden na obrázku níže.
Logy můžete ukládat na různá místa – jak na samotném FortiGate, tak mimo něj. Ukládání logů na FortiGate je považováno za lokální logování. V závislosti na samotném zařízení mohou být protokoly uloženy buď ve flash paměti zařízení, nebo na pevném disku. Modely ze středu mají zpravidla pevný disk. Modely s pevným diskem se dají celkem snadno rozlišit – na konci je jednotka. Například FortiGate 100E je dodáván bez pevného disku a FortiGate 101E je dodáván s pevným diskem.
Mladší a starší modely většinou nemají pevný disk. V tomto případě se k záznamu protokolů používá flash paměť. Je však třeba zvážit, že neustálé zapisování logů do flash paměti může snížit její účinnost a životnost. Proto je zápis protokolů do paměti flash ve výchozím nastavení zakázán. Doporučuje se povolit pouze pro protokolování událostí při řešení konkrétních problémů.
Při intenzivním nahrávání logů nezáleží na pevném disku nebo flash paměti, výkon zařízení se sníží.
Je zcela běžné ukládat protokoly na vzdálených serverech. FortiGate může ukládat protokoly na serverech Syslog, FortiAnalyzer nebo FortiManager. K ukládání protokolů můžete také využít cloudovou službu FortiCloud.
Syslog je server pro centrální ukládání protokolů ze síťových zařízení.
FortiCloud je služba pro správu zabezpečení a ukládání protokolů založená na předplatném. S jeho pomocí můžete vzdáleně ukládat protokoly a vytvářet příslušné sestavy. Pokud máte poměrně malou síť, dobrým řešením může být použití této cloudové služby, nikoli nákup dalšího vybavení. K dispozici je bezplatná verze FortiCloud, která zahrnuje týdenní ukládání protokolů. Po zakoupení předplatného lze protokoly uchovávat po dobu jednoho roku.
FortiAnalyzer a FortiManager jsou externí zařízení pro ukládání protokolů. Vzhledem k tomu, že všechny mají stejný operační systém - FortiOS - integrace FortiGate s těmito zařízeními nepředstavuje žádné potíže.
Mezi zařízeními FortiAnalyzer a FortiManager je však třeba si povšimnout rozdílů. Hlavním účelem FortiManageru je centralizovaná správa více zařízení FortiGate - proto je množství paměti pro ukládání logů na FortiManageru výrazně menší než na FortiAnalyzer (pokud samozřejmě srovnáváme modely ze stejného cenového segmentu).
Hlavním účelem FortiAnalyzeru je právě shromažďovat a analyzovat protokoly. Proto práci s ním v praxi dále zvážíme.
Celá teorie, stejně jako praktická část, je představena v této video lekci:
V další lekci probereme základy správy jednotky FortiGate. Abyste to nezmeškali, sledujte aktualizace na následujících kanálech:
Zdroj: www.habr.com