Grüße! Willkommen zur neunten Lektion des Kurses . Auf Wir haben die grundlegenden Mechanismen zur Steuerung des Benutzerzugriffs auf verschiedene Ressourcen untersucht. Jetzt haben wir eine weitere Aufgabe: Wir müssen das Verhalten der Benutzer im Netzwerk analysieren und auch den Empfang von Daten konfigurieren, die bei der Untersuchung verschiedener Sicherheitsvorfälle hilfreich sein können. Daher werden wir uns in dieser Lektion mit dem Protokollierungs- und Berichtsmechanismus befassen. Dazu benötigen wir FortiAnalyzer, den wir zu Beginn des Kurses bereitgestellt haben. Die nötige Theorie sowie eine Video-Lektion finden Sie unter dem Schnitt.
In FotiGate werden Protokolle in drei Typen unterteilt: Verkehrsprotokolle, Ereignisprotokolle und Sicherheitsprotokolle. Sie werden wiederum in Untertypen unterteilt.
Verkehrsprotokolle zeichnen Verkehrsflussinformationen wie etwaige Anfragen und Antworten auf. Dieser Typ enthält die Untertypen Forward, Local und Sniffer.
Der Untertyp „Weiterleiten“ enthält Informationen über Datenverkehr, den FortiGate basierend auf Firewall-Richtlinien entweder akzeptiert oder abgelehnt hat.
Der Untertyp „Lokal“ enthält Informationen über den Datenverkehr direkt von der FortiGate-IP-Adresse und von den IP-Adressen, von denen aus die Verwaltung erfolgt. Zum Beispiel Verbindungen zur FortiGate-Weboberfläche.
Der Untertyp „Sniffer“ enthält Protokolle des Datenverkehrs, der mithilfe der Datenverkehrsspiegelung ermittelt wurde.
Ereignisprotokolle enthalten System- oder Verwaltungsereignisse, wie das Hinzufügen oder Ändern von Parametern, das Einrichten und Unterbrechen von VPN-Tunneln, dynamische Routing-Ereignisse usw. Alle Untertypen sind in der folgenden Abbildung dargestellt.
Und der dritte Typ sind Sicherheitsprotokolle. In diesen Protokollen werden Ereignisse im Zusammenhang mit Virenangriffen, Besuchen verbotener Ressourcen, Verwendung verbotener Anwendungen usw. aufgezeichnet. Die vollständige Liste ist auch in der folgenden Abbildung dargestellt.
Sie können Protokolle an verschiedenen Orten speichern – sowohl auf dem FortiGate selbst als auch außerhalb. Das Speichern von Protokollen auf dem FortiGate gilt als lokale Protokollierung. Abhängig vom Gerät selbst können Protokolle entweder im Flash-Speicher des Geräts oder auf der Festplatte gespeichert werden. In der Regel verfügen Modelle ab Mittelklasse über eine Festplatte. Modelle mit Festplatte sind recht einfach zu unterscheiden – am Ende befindet sich eine Einheit. Beispielsweise wird FortiGate 100E ohne Festplatte und FortiGate 101E mit Festplatte geliefert.
Jüngere und ältere Modelle verfügen meist über keine Festplatte. In diesem Fall wird der Flash-Speicher zum Aufzeichnen von Protokollen verwendet. Es ist jedoch zu bedenken, dass das ständige Schreiben von Protokollen in den Flash-Speicher dessen Effizienz und Lebensdauer beeinträchtigen kann. Daher ist das Schreiben von Protokollen in den Flash-Speicher standardmäßig deaktiviert. Es wird empfohlen, es nur für die Protokollierung von Ereignissen bei der Lösung spezifischer Probleme zu aktivieren.
Bei intensiver Protokollaufzeichnung spielt es keine Rolle, ob die Festplatte oder der Flash-Speicher betroffen ist, die Leistung des Geräts nimmt ab.
Es ist durchaus üblich, Protokolle auf Remote-Servern zu speichern. FortiGate kann Protokolle auf Syslog-Servern, FortiAnalyzer oder FortiManager speichern. Sie können auch den Cloud-Dienst FortiCloud zum Speichern von Protokollen verwenden.
Syslog ist ein Server zum zentralen Speichern von Protokollen von Netzwerkgeräten.
FortiCloud ist ein abonnementbasierter Sicherheitsverwaltungs- und Protokollspeicherdienst. Mit seiner Hilfe können Sie Protokolle aus der Ferne speichern und entsprechende Berichte erstellen. Wenn Sie über ein relativ kleines Netzwerk verfügen, kann es eine gute Lösung sein, diesen Cloud-Dienst zu nutzen, anstatt zusätzliche Geräte zu kaufen. Es gibt eine kostenlose Version von FortiCloud, die wöchentliche Protokollspeicherung umfasst. Nach dem Kauf eines Abonnements können Protokolle ein Jahr lang gespeichert werden.
FortiAnalyzer und FortiManager sind externe Protokollspeichergeräte. Da sie alle über das gleiche Betriebssystem FortiOS verfügen, bereitet die Integration von FortiGate mit diesen Geräten keine Schwierigkeiten.
Es sind jedoch Unterschiede zwischen den FortiAnalyzer- und FortiManager-Geräten zu beachten. Der Hauptzweck von FortiManager ist die zentrale Verwaltung mehrerer FortiGate-Geräte – daher ist die Speichermenge zum Speichern von Protokollen bei FortiManager deutlich geringer als bei FortiAnalyzer (wenn wir natürlich Modelle aus dem gleichen Preissegment vergleichen).
Der Hauptzweck von FortiAnalyzer besteht genau darin, Protokolle zu sammeln und zu analysieren. Daher werden wir weiterhin darüber nachdenken, damit in der Praxis zu arbeiten.
Die gesamte Theorie sowie der praktische Teil wird in dieser Videolektion vorgestellt:
In der nächsten Lektion behandeln wir die Grundlagen der Verwaltung einer FortiGate-Einheit. Um es nicht zu verpassen, verfolgen Sie die Updates auf den folgenden Kanälen:
Source: habr.com