¡Saludos! Bienvenidos a la novena lección del curso. . En Examinamos los mecanismos básicos para controlar el acceso de los usuarios a diversos recursos. Ahora tenemos otra tarea: analizar el comportamiento de los usuarios en la red y también configurar la recepción de datos que puedan ayudar en la investigación de diversos incidentes de seguridad. Por lo tanto, en esta lección veremos el mecanismo de registro y generación de informes. Para ello, necesitaremos FortiAnalyzer, que implementamos al principio del curso. La teoría necesaria, así como una lección en vídeo, están disponibles debajo del corte.
En FotiGate, los registros se dividen en tres tipos: registros de tráfico, registros de eventos y registros de seguridad. Ellos, a su vez, se dividen en subtipos.
Los registros de tráfico registran información sobre el flujo de tráfico, como solicitudes y respuestas, si las hubiera. Este tipo contiene los subtipos Forward, Local y Sniffer.
El subtipo Reenviar contiene información sobre el tráfico que FortiGate ha aceptado o rechazado según las políticas de firewall.
El subtipo Local contiene información sobre el tráfico directamente desde la dirección IP de FortiGate y desde las direcciones IP desde las que se realiza la administración. Por ejemplo, conexiones a la interfaz web de FortiGate.
El subtipo Sniffer contiene registros de tráfico que se obtuvieron mediante la duplicación de tráfico.
Los registros de eventos contienen eventos administrativos o del sistema, como agregar o cambiar parámetros, establecer y romper túneles VPN, eventos de enrutamiento dinámico, etc. Todos los subtipos se presentan en la siguiente figura.
Y el tercer tipo son los registros de seguridad. Estos registros registran eventos relacionados con ataques de virus, visitas a recursos prohibidos, uso de aplicaciones prohibidas, etc. La lista completa también se presenta en la siguiente figura.
Puede almacenar registros en diferentes lugares, tanto en el propio FortiGate como fuera de él. El almacenamiento de registros en FortiGate se considera registro local. Dependiendo del dispositivo en sí, los registros se pueden almacenar en la memoria flash del dispositivo o en el disco duro. Como regla general, los modelos del medio tienen un disco duro. Los modelos con disco duro son bastante fáciles de distinguir: hay una unidad al final. Por ejemplo, FortiGate 100E viene sin disco duro y FortiGate 101E viene con disco duro.
Los modelos más nuevos y más antiguos no suelen tener disco duro. En este caso, se utiliza la memoria flash para registrar los registros. Sin embargo, vale la pena considerar que escribir registros constantemente en la memoria flash puede reducir su eficiencia y vida útil. Por lo tanto, la escritura de registros en la memoria flash está deshabilitada de forma predeterminada. Se recomienda habilitarlo solo para registrar eventos mientras se resuelven problemas específicos.
Al grabar registros de forma intensiva, no importa el disco duro o la memoria flash, el rendimiento del dispositivo disminuirá.
Es bastante común almacenar registros en servidores remotos. FortiGate puede almacenar registros en servidores Syslog, FortiAnalyzer o FortiManager. También puede utilizar el servicio en la nube FortiCloud para almacenar registros.
Syslog es un servidor para almacenar de forma centralizada registros de dispositivos de red.
FortiCloud es un servicio de almacenamiento de registros y gestión de seguridad basado en suscripción. Con su ayuda, puede almacenar registros de forma remota y crear informes adecuados. Si tienes una red bastante pequeña, una buena solución puede ser utilizar este servicio en la nube en lugar de adquirir equipos adicionales. Existe una versión gratuita de FortiCloud que incluye almacenamiento de registros semanal. Después de comprar una suscripción, los registros se pueden almacenar durante un año.
FortiAnalyzer y FortiManager son dispositivos de almacenamiento de registros externos. Debido a que todos tienen el mismo sistema operativo, FortiOS, la integración de FortiGate con estos dispositivos no presenta ninguna dificultad.
Sin embargo, existen diferencias a tener en cuenta entre los dispositivos FortiAnalyzer y FortiManager. El objetivo principal de FortiManager es la administración centralizada de múltiples dispositivos FortiGate; por lo tanto, la cantidad de memoria para almacenar registros en FortiManager es significativamente menor que en FortiAnalyzer (si, por supuesto, comparamos modelos del mismo segmento de precios).
El objetivo principal de FortiAnalyzer es precisamente recopilar y analizar registros. Por lo tanto, consideraremos más a fondo trabajar con él en la práctica.
Toda la teoría, así como la parte práctica, se presenta en esta videolección:
En la próxima lección, cubriremos los conceptos básicos de la administración de una unidad FortiGate. Para no perdértelo, sigue las actualizaciones en los siguientes canales:
Fuente: habr.com