Γεια σας! Καλώς ορίσατε στο ένατο μάθημα του μαθήματος. . επί Εξετάσαμε τους βασικούς μηχανισμούς για τον έλεγχο της πρόσβασης των χρηστών σε διάφορους πόρους. Τώρα έχουμε μια άλλη εργασία - πρέπει να αναλύσουμε τη συμπεριφορά των χρηστών στο δίκτυο, καθώς και να ρυθμίσουμε την παραλαβή δεδομένων που μπορούν να βοηθήσουν στη διερεύνηση διαφόρων περιστατικών ασφαλείας. Επομένως, σε αυτό το μάθημα θα εξετάσουμε τον μηχανισμό καταγραφής και αναφοράς. Για αυτό, θα χρειαστούμε το FortiAnalyzer, το οποίο αναπτύξαμε στην αρχή του μαθήματος. Η απαραίτητη θεωρία, καθώς και ένα μάθημα βίντεο, είναι διαθέσιμα στην ενότητα.
Στο FotiGate, τα αρχεία καταγραφής χωρίζονται σε τρεις τύπους: αρχεία καταγραφής κυκλοφορίας, αρχεία καταγραφής συμβάντων και αρχεία καταγραφής ασφαλείας. Αυτά με τη σειρά τους χωρίζονται σε υποτύπους.
Τα αρχεία καταγραφής κίνησης καταγράφουν πληροφορίες σχετικά με τη ροή κίνησης, όπως αιτήματα και απαντήσεις, εάν υπάρχουν. Αυτός ο τύπος περιέχει τους υποτύπους Forward, Local και Sniffer.
Ο υποτύπος Forward περιέχει πληροφορίες σχετικά με την κίνηση που το FortiGate είτε αποδέχτηκε είτε απέρριψε σύμφωνα με τις πολιτικές του τείχους προστασίας.
Ο υποτύπος Τοπικό περιέχει πληροφορίες σχετικά με την κίνηση απευθείας από τη διεύθυνση IP του FortiGate και από τις διευθύνσεις IP από τις οποίες εκτελείται η διαχείριση. Για παράδειγμα, συνδέσεις με τη διεπαφή ιστού του FortiGate.
Ο υποτύπος Sniffer περιέχει αρχεία καταγραφής επισκεψιμότητας που ελήφθησαν χρησιμοποιώντας κατοπτρισμό επισκεψιμότητας.
Τα αρχεία καταγραφής συμβάντων περιέχουν συμβάντα συστήματος ή διαχείρισης, όπως προσθήκη ή αλλαγή παραμέτρων, δημιουργία και διακοπή σηράγγων VPN, συμβάντα δυναμικής δρομολόγησης κ.λπ. Όλοι οι υποτύποι εμφανίζονται στο παρακάτω σχήμα.
Και ο τρίτος τύπος είναι τα αρχεία καταγραφής ασφαλείας. Αυτά τα αρχεία καταγραφής καταγράφουν συμβάντα που σχετίζονται με επιθέσεις ιών, επισκέψεις σε απαγορευμένους πόρους, χρήση απαγορευμένων εφαρμογών κ.ο.κ. Η πλήρης λίστα παρουσιάζεται επίσης στο παρακάτω σχήμα.
Τα αρχεία καταγραφής μπορούν να αποθηκευτούν σε διαφορετικά μέρη - τόσο στο ίδιο το FortiGate όσο και εκτός αυτού. Η αποθήκευση αρχείων καταγραφής στο FortiGate θεωρείται τοπική καταγραφή. Ανάλογα με την ίδια τη συσκευή, τα αρχεία καταγραφής μπορούν να αποθηκευτούν είτε στη μνήμη flash της συσκευής είτε στον σκληρό δίσκο. Κατά κανόνα, τα μεσαία μοντέλα διαθέτουν σκληρό δίσκο. Τα μοντέλα με σκληρό δίσκο είναι αρκετά εύκολο να διακριθούν - έχουν έναν στο τέλος. Για παράδειγμα, το FortiGate 100E διατίθεται χωρίς σκληρό δίσκο και το FortiGate 101E - με σκληρό δίσκο.
Τα νεότερα και παλαιότερα μοντέλα συνήθως δεν διαθέτουν σκληρό δίσκο. Σε αυτήν την περίπτωση, η μνήμη flash χρησιμοποιείται για την καταγραφή αρχείων καταγραφής. Ωστόσο, αξίζει να λάβετε υπόψη ότι η συνεχής καταγραφή αρχείων καταγραφής στη μνήμη flash μπορεί να μειώσει την αποδοτικότητα και τη διάρκεια ζωής της. Επομένως, η καταγραφή αρχείων καταγραφής στη μνήμη flash είναι απενεργοποιημένη από προεπιλογή. Συνιστάται να την ενεργοποιήσετε μόνο για την καταγραφή συμβάντων κατά την επίλυση συγκεκριμένων προβλημάτων.
Με την εντατική καταγραφή αρχείων καταγραφής, ανεξάρτητα από το αν γίνεται σε σκληρό δίσκο ή σε μνήμη flash, η απόδοση της συσκευής θα μειωθεί.
Η αποθήκευση αρχείων καταγραφής σε απομακρυσμένους διακομιστές είναι αρκετά συνηθισμένη. Το FortiGate μπορεί να αποθηκεύσει αρχεία καταγραφής σε διακομιστές Syslog, στο FortiAnalyzer ή στο FortiManager. Μπορείτε επίσης να χρησιμοποιήσετε την υπηρεσία cloud FortiCloud για την αποθήκευση αρχείων καταγραφής.
Το Syslog είναι ένας διακομιστής για κεντρική αποθήκευση αρχείων καταγραφής από συσκευές δικτύου.
Το FortiCloud είναι μια υπηρεσία διαχείρισης ασφάλειας και αποθήκευσης αρχείων καταγραφής που βασίζεται σε συνδρομή και σας επιτρέπει να αποθηκεύετε αρχεία καταγραφής εξ αποστάσεως και να δημιουργείτε αναφορές. Εάν έχετε ένα αρκετά μικρό δίκτυο, η χρήση αυτής της υπηρεσίας cloud αντί της αγοράς πρόσθετου υλικού μπορεί να είναι μια καλή λύση. Υπάρχει μια δωρεάν έκδοση του FortiCloud που παρέχει εβδομαδιαία αποθήκευση αρχείων καταγραφής. Μετά την αγορά μιας συνδρομής, τα αρχεία καταγραφής μπορούν να αποθηκευτούν για ένα έτος.
Τα FortiAnalyzer και FortiManager είναι εξωτερικές συσκευές αποθήκευσης αρχείων καταγραφής. Δεδομένου ότι όλες έχουν το ίδιο λειτουργικό σύστημα – FortiOS – η ενσωμάτωση του FortiGate με αυτές τις συσκευές είναι απλή.
Αξίζει όμως να σημειωθούν οι διαφορές μεταξύ των συσκευών FortiAnalyzer και FortiManager. Ο κύριος σκοπός του FortiManager είναι η κεντρική διαχείριση πολλών συσκευών FortiGate - επομένως, η ποσότητα μνήμης για την αποθήκευση αρχείων καταγραφής στο FortiManager είναι σημαντικά μικρότερη από ό,τι στο FortiAnalyzer (αν, φυσικά, συγκρίνουμε μοντέλα από την ίδια κατηγορία τιμών).
Ο κύριος σκοπός του FortiAnalyzer είναι η συλλογή και ανάλυση αρχείων καταγραφής. Επομένως, θα εξετάσουμε το ενδεχόμενο να εργαστούμε με αυτό στην πράξη.
Όλη η θεωρία, καθώς και το πρακτικό μέρος, παρουσιάζονται σε αυτό το βίντεο-μάθημα:
Στο επόμενο μάθημα, θα καλύψουμε τα κύρια σημεία που σχετίζονται με τη διαχείριση της συσκευής FortiGate. Για να μην τη χάσετε, ακολουθήστε τις ενημερώσεις στα ακόλουθα κανάλια:
Πηγή: www.habr.com
