Χαιρετίσματα! Καλώς ήρθατε στο ένατο μάθημα του μαθήματος . επί Εξετάσαμε τους βασικούς μηχανισμούς για τον έλεγχο της πρόσβασης των χρηστών σε διάφορους πόρους. Τώρα έχουμε ένα άλλο καθήκον - πρέπει να αναλύσουμε τη συμπεριφορά των χρηστών στο δίκτυο και επίσης να διαμορφώσουμε τη λήψη δεδομένων που μπορούν να βοηθήσουν στη διερεύνηση διαφόρων περιστατικών ασφαλείας. Επομένως, σε αυτό το μάθημα θα εξετάσουμε τον μηχανισμό καταγραφής και αναφοράς. Για αυτό, θα χρειαστούμε το FortiAnalyzer, το οποίο αναπτύξαμε στην αρχή του μαθήματος. Η απαραίτητη θεωρία, καθώς και ένα μάθημα βίντεο, είναι διαθέσιμα κάτω από την περικοπή.
Στο FotiGate, τα αρχεία καταγραφής χωρίζονται σε τρεις τύπους: αρχεία καταγραφής κυκλοφορίας, αρχεία καταγραφής συμβάντων και αρχεία καταγραφής ασφαλείας. Αυτοί, με τη σειρά τους, χωρίζονται σε υποτύπους.
Τα αρχεία καταγραφής κυκλοφορίας καταγράφουν πληροφορίες ροής κυκλοφορίας, όπως αιτήματα και απαντήσεις, εάν υπάρχουν. Αυτός ο τύπος περιέχει τους υποτύπους Forward, Local και Sniffer.
Ο δευτερεύων τύπος Forward περιέχει πληροφορίες σχετικά με την κίνηση που το FortiGate είτε έχει αποδεχτεί είτε έχει απορρίψει βάσει των πολιτικών του τείχους προστασίας.
Ο υποτύπος Local περιέχει πληροφορίες σχετικά με την κίνηση απευθείας από τη διεύθυνση IP του FortiGate και από τις διευθύνσεις IP από τις οποίες πραγματοποιείται η διαχείριση. Για παράδειγμα, συνδέσεις με τη διεπαφή ιστού FortiGate.
Ο δευτερεύων τύπος Sniffer περιέχει αρχεία καταγραφής επισκεψιμότητας που ελήφθησαν με χρήση κατοπτρισμού κυκλοφορίας.
Τα αρχεία καταγραφής συμβάντων περιέχουν συμβάντα συστήματος ή διαχείρισης, όπως προσθήκη ή αλλαγή παραμέτρων, δημιουργία και διάρρηξη σηράγγων VPN, συμβάντα δυναμικής δρομολόγησης και ούτω καθεξής. Όλοι οι υποτύποι παρουσιάζονται στο παρακάτω σχήμα.
Και ο τρίτος τύπος είναι τα αρχεία καταγραφής ασφαλείας. Αυτά τα αρχεία καταγραφής καταγράφουν συμβάντα που σχετίζονται με επιθέσεις ιών, επισκέψεις σε απαγορευμένους πόρους, χρήση απαγορευμένων εφαρμογών και ούτω καθεξής. Η πλήρης λίστα παρουσιάζεται επίσης στο παρακάτω σχήμα.
Μπορείτε να αποθηκεύσετε αρχεία καταγραφής σε διαφορετικά σημεία - τόσο στο ίδιο το FortiGate όσο και έξω από αυτό. Η αποθήκευση αρχείων καταγραφής στο FortiGate θεωρείται τοπική καταγραφή. Ανάλογα με την ίδια τη συσκευή, τα αρχεία καταγραφής μπορούν να αποθηκευτούν είτε στη μνήμη flash της συσκευής είτε στον σκληρό δίσκο. Κατά κανόνα, τα μοντέλα από τη μέση έχουν σκληρό δίσκο. Τα μοντέλα με σκληρό δίσκο διακρίνονται αρκετά εύκολα - υπάρχει μια μονάδα στο τέλος. Για παράδειγμα, το FortiGate 100E διατίθεται χωρίς σκληρό δίσκο και το FortiGate 101E συνοδεύεται από σκληρό δίσκο.
Τα νεότερα και τα παλαιότερα μοντέλα συνήθως δεν διαθέτουν σκληρό δίσκο. Σε αυτήν την περίπτωση, η μνήμη flash χρησιμοποιείται για την εγγραφή αρχείων καταγραφής. Ωστόσο, αξίζει να ληφθεί υπόψη ότι η συνεχής εγγραφή αρχείων καταγραφής στη μνήμη flash μπορεί να μειώσει την απόδοση και τη διάρκεια ζωής της. Επομένως, η εγγραφή αρχείων καταγραφής στη μνήμη flash είναι απενεργοποιημένη από προεπιλογή. Συνιστάται να το ενεργοποιείτε μόνο για την καταγραφή συμβάντων κατά την επίλυση συγκεκριμένων προβλημάτων.
Κατά την εντατική εγγραφή αρχείων καταγραφής, δεν έχει σημασία ο σκληρός δίσκος ή η μνήμη flash, η απόδοση της συσκευής θα μειωθεί.
Είναι αρκετά συνηθισμένο να αποθηκεύονται αρχεία καταγραφής σε απομακρυσμένους διακομιστές. Το FortiGate μπορεί να αποθηκεύσει αρχεία καταγραφής σε διακομιστές Syslog, FortiAnalyzer ή FortiManager. Μπορείτε επίσης να χρησιμοποιήσετε την υπηρεσία cloud FortiCloud για την αποθήκευση αρχείων καταγραφής.
Το Syslog είναι ένας διακομιστής για την κεντρική αποθήκευση αρχείων καταγραφής από συσκευές δικτύου.
Το FortiCloud είναι μια συνδρομητική υπηρεσία διαχείρισης ασφάλειας και αποθήκευσης αρχείων καταγραφής. Με τη βοήθειά του, μπορείτε να αποθηκεύσετε απομακρυσμένα αρχεία καταγραφής και να δημιουργήσετε κατάλληλες αναφορές. Εάν έχετε ένα αρκετά μικρό δίκτυο, μια καλή λύση μπορεί να είναι να χρησιμοποιήσετε αυτήν την υπηρεσία cloud αντί να αγοράσετε πρόσθετο εξοπλισμό. Υπάρχει μια δωρεάν έκδοση του FortiCloud που περιλαμβάνει εβδομαδιαίο χώρο αποθήκευσης αρχείων καταγραφής. Μετά την αγορά μιας συνδρομής, τα αρχεία καταγραφής μπορούν να αποθηκευτούν για ένα χρόνο.
Το FortiAnalyzer και το FortiManager είναι εξωτερικές συσκευές αποθήκευσης αρχείων καταγραφής. Λόγω του γεγονότος ότι όλα έχουν το ίδιο λειτουργικό σύστημα - FortiOS - η ενσωμάτωση του FortiGate με αυτές τις συσκευές δεν παρουσιάζει δυσκολίες.
Ωστόσο, υπάρχουν διαφορές που πρέπει να σημειωθούν μεταξύ των συσκευών FortiAnalyzer και FortiManager. Ο κύριος σκοπός του FortiManager είναι η κεντρική διαχείριση πολλαπλών συσκευών FortiGate - επομένως, η ποσότητα μνήμης για την αποθήκευση αρχείων καταγραφής στο FortiManager είναι σημαντικά μικρότερη από ό,τι στο FortiAnalyzer (αν, φυσικά, συγκρίνουμε μοντέλα από το ίδιο τμήμα τιμών).
Ο κύριος σκοπός του FortiAnalyzer είναι ακριβώς η συλλογή και ανάλυση αρχείων καταγραφής. Ως εκ τούτου, θα εξετάσουμε περαιτέρω τη συνεργασία με αυτό στην πράξη.
Όλη η θεωρία, καθώς και το πρακτικό μέρος, παρουσιάζεται σε αυτό το βίντεο μάθημα:
Στο επόμενο μάθημα, θα καλύψουμε τα βασικά για τη διαχείριση μιας μονάδας FortiGate. Για να μην το χάσετε, ακολουθήστε τις ενημερώσεις στα παρακάτω κανάλια:
Πηγή: www.habr.com