Tervitused! Tere tulemast kursuse üheksandasse õppetundi . edasi Uurisime põhilisi mehhanisme kasutajate juurdepääsu kontrollimiseks erinevatele ressurssidele. Nüüd on meil veel üks ülesanne - peame analüüsima kasutajate käitumist võrgus ja konfigureerima ka andmete vastuvõtmise, mis võivad aidata erinevate turvaintsidentide uurimisel. Seetõttu käsitleme selles õppetükis logimise ja aruandluse mehhanismi. Selleks vajame FortiAnalyzerit, mille juurutasime kursuse alguses. Vajalik teooria ja ka videotund on lõike all olemas.
FotiGate'is on logid jagatud kolme tüüpi: liikluslogid, sündmuste logid ja turvalogid. Need omakorda jagunevad alatüüpideks.
Liikluslogid salvestavad liiklusvoogude teavet, näiteks päringuid ja vastuseid, kui neid on. See tüüp sisaldab alamtüüpe Forward, Local ja Sniffer.
Alamtüüp Forward sisaldab teavet liikluse kohta, mille FortiGate on tulemüüripoliitikate alusel kas vastu võtnud või tagasi lükanud.
Kohalik alamtüüp sisaldab teavet liikluse kohta otse FortiGate'i IP-aadressilt ja IP-aadressidelt, millelt administreerimine toimub. Näiteks ühendused FortiGate veebiliidesega.
Alamtüüp Sniffer sisaldab liikluse logisid, mis saadi liikluse peegeldamise abil.
Sündmuste logid sisaldavad süsteemi- või haldussündmusi, nagu parameetrite lisamine või muutmine, VPN-tunnelite loomine ja katkestamine, dünaamilised marsruutimise sündmused jne. Kõik alamtüübid on toodud alloleval joonisel.
Ja kolmas tüüp on turvalogid. Need logid salvestavad sündmusi, mis on seotud viirusrünnakute, keelatud ressursside külastamise, keelatud rakenduste kasutamise ja muuga. Täielik nimekiri on toodud ka alloleval joonisel.
Saate hoiustada palke erinevates kohtades – nii FortiGate’il endal kui ka väljaspool seda. Logide salvestamist FortiGate'is peetakse kohalikuks logimiseks. Sõltuvalt seadmest endast saab logisid salvestada kas seadme välkmällu või kõvakettale. Reeglina on keskmise mudelitel kõvaketas. Kõvakettaga mudeleid on üsna lihtne eristada - lõpus on üksus. Näiteks FortiGate 100E tuleb ilma kõvakettata ja FortiGate 101E kõvakettaga.
Noorematel ja vanematel mudelitel pole tavaliselt kõvaketast. Sel juhul kasutatakse logide salvestamiseks välkmälu. Siiski tasub arvestada, et välkmällu pidev logide kirjutamine võib vähendada selle tõhusust ja kasutusiga. Seetõttu on välkmällu logide kirjutamine vaikimisi keelatud. Soovitatav on see lubada ainult sündmuste logimiseks ja konkreetsete probleemide lahendamisel.
Logide intensiivsel salvestamisel pole kõvakettale või välkmälule vahet, seadme jõudlus väheneb.
Logide salvestamine kaugserveritesse on üsna tavaline. FortiGate saab salvestada logisid Syslogi serverites, FortiAnalyzeris või FortiManageris. Logide salvestamiseks saate kasutada ka FortiCloudi pilveteenust.
Syslog on server võrguseadmete logide tsentraalseks salvestamiseks.
FortiCloud on tellimusel põhinev turbehaldus- ja logisalvestusteenus. Selle abiga saate logisid eemalt salvestada ja asjakohaseid aruandeid koostada. Kui teil on üsna väike võrk, võib hea lahendus olla selle pilveteenuse kasutamine, mitte osta lisavarustust. FortiCloudist on tasuta versioon, mis sisaldab iganädalast logisalvestust. Pärast tellimuse ostmist saab logisid säilitada aasta.
FortiAnalyzer ja FortiManager on välised logisalvestusseadmed. Kuna neil kõigil on sama operatsioonisüsteem - FortiOS, ei tekita FortiGate'i integreerimine nende seadmetega mingeid raskusi.
Siiski on FortiAnalyzeri ja FortiManageri seadmete vahel erinevusi. FortiManageri põhieesmärk on mitme FortiGate'i seadme tsentraliseeritud haldamine – seetõttu on FortiManageris logide salvestamiseks mõeldud mälumaht oluliselt väiksem kui FortiAnalyzeris (kui muidugi võrrelda sama hinnasegmendi mudeleid).
FortiAnalyzeri põhieesmärk on just logide kogumine ja analüüsimine. Seetõttu kaalume sellega ka praktikas töötamist.
Kogu teooria ja ka praktiline osa on esitatud selles videotunnis:
Järgmises õppetükis käsitleme FortiGate'i seadme haldamise põhitõdesid. Et sellest mitte ilma jääda, jälgige uuendusi järgmistel kanalitel:
Allikas: www.habr.com