Saúdos! Benvidos á novena lección do curso . Activado Examinamos os mecanismos básicos para controlar o acceso dos usuarios a varios recursos. Agora temos outra tarefa: necesitamos analizar o comportamento dos usuarios na rede e tamén configurar a recepción de datos que poden axudar na investigación de varios incidentes de seguridade. Polo tanto, nesta lección analizaremos o mecanismo de rexistro e informes. Para iso, necesitaremos FortiAnalyzer, que despregamos ao comezo do curso. A teoría necesaria, así como unha lección en vídeo, están dispoñibles baixo o corte.
En FotiGate, os rexistros divídense en tres tipos: rexistros de tráfico, rexistros de eventos e rexistros de seguridade. Eles, á súa vez, divídense en subtipos.
Os rexistros de tráfico rexistran información do fluxo de tráfico, como solicitudes e respostas, se as hai. Este tipo contén os subtipos Forward, Local e Sniffer.
O subtipo Reenviar contén información sobre o tráfico que o FortiGate aceptou ou rexeitou en función das políticas de firewall.
O subtipo Local contén información sobre o tráfico directamente desde o enderezo IP de FortiGate e desde os enderezos IP desde os que se realiza a administración. Por exemplo, conexións á interface web de FortiGate.
O subtipo Sniffer contén rexistros de tráfico que se obtiveron mediante a duplicación de tráfico.
Os rexistros de eventos conteñen eventos do sistema ou administrativos, como engadir ou cambiar parámetros, establecer e romper túneles VPN, eventos de enrutamento dinámico, etc. Todos os subtipos preséntanse na seguinte figura.
E o terceiro tipo son os rexistros de seguridade. Estes rexistros rexistran eventos relacionados con ataques de virus, visitas a recursos prohibidos, uso de aplicacións prohibidas, etc. A lista completa tamén se presenta na seguinte figura.
Podes almacenar rexistros en diferentes lugares, tanto no propio FortiGate como fóra del. O almacenamento de rexistros no FortiGate considérase rexistro local. Dependendo do propio dispositivo, os rexistros pódense almacenar na memoria flash do dispositivo ou no disco duro. Como regra xeral, os modelos do medio teñen un disco duro. Os modelos con disco duro son bastante fáciles de distinguir: hai unha unidade ao final. Por exemplo, o FortiGate 100E vén sen disco duro e o FortiGate 101E vén cun disco duro.
Os modelos máis novos e vellos normalmente non teñen un disco duro. Neste caso, a memoria flash úsase para gravar rexistros. Non obstante, paga a pena considerar que escribir rexistros constantemente na memoria flash pode reducir a súa eficiencia e vida útil. Polo tanto, a escritura de rexistros na memoria flash está desactivada por defecto. Recoméndase activalo só para rexistrar eventos mentres se resolve problemas específicos.
Ao gravar rexistros de forma intensiva, non importa o disco duro ou a memoria flash, o rendemento do dispositivo diminuirá.
É bastante común almacenar rexistros en servidores remotos. FortiGate pode almacenar rexistros en servidores Syslog, FortiAnalyzer ou FortiManager. Tamén pode usar o servizo na nube FortiCloud para almacenar rexistros.
Syslog é un servidor para almacenar de forma centralizada os rexistros de dispositivos de rede.
FortiCloud é un servizo de xestión de seguranza e almacenamento de rexistros baseado na subscrición. Coa súa axuda, pode almacenar rexistros de forma remota e crear informes axeitados. Se tes unha rede bastante pequena, unha boa solución pode ser usar este servizo na nube en lugar de comprar equipos adicionais. Hai unha versión gratuíta de FortiCloud que inclúe almacenamento de rexistros semanais. Despois de comprar unha subscrición, os rexistros pódense almacenar durante un ano.
FortiAnalyzer e FortiManager son dispositivos de almacenamento de rexistros externos. Debido a que todos teñen o mesmo sistema operativo - FortiOS - a integración de FortiGate con estes dispositivos non presenta ningunha dificultade.
Non obstante, hai diferenzas a ter en conta entre os dispositivos FortiAnalyzer e FortiManager. O obxectivo principal de FortiManager é a xestión centralizada de varios dispositivos FortiGate; polo tanto, a cantidade de memoria para almacenar rexistros en FortiManager é significativamente menor que en FortiAnalyzer (se, por suposto, comparamos modelos do mesmo segmento de prezos).
O propósito principal de FortiAnalyzer é precisamente recoller e analizar rexistros. Polo tanto, consideraremos traballar con ela na práctica.
Toda a teoría, así como a parte práctica, preséntase nesta lección en vídeo:
Na seguinte lección, trataremos os conceptos básicos da administración dunha unidade FortiGate. Para non perdelo, segue as actualizacións nas seguintes canles:
Fonte: www.habr.com