Lijep pozdrav! Dobro došli u devetu lekciju tečaja , na Ispitali smo osnovne mehanizme za kontrolu pristupa korisnika različitim resursima. Sada imamo još jedan zadatak - moramo analizirati ponašanje korisnika na mreži, a također i konfigurirati primanje podataka koji mogu pomoći u istrazi raznih sigurnosnih incidenata. Stoga ćemo u ovoj lekciji pogledati mehanizam zapisivanja i izvješćivanja. Za to će nam trebati FortiAnalyzer, koji smo postavili na početku tečaja. Potrebna teorija, kao i video lekcija, dostupni su u rezu.
U FotiGate-u, zapisi su podijeljeni u tri vrste: zapisnici prometa, zapisnici događaja i sigurnosni zapisnici. Oni su, pak, podijeljeni u podvrste.
Prometni dnevnici bilježe informacije o prometu kao što su zahtjevi i odgovori, ako postoje. Ova vrsta sadrži podvrste Forward, Local i Sniffer.
Podvrsta Forward sadrži informacije o prometu koje je FortiGate prihvatio ili odbio na temelju pravila vatrozida.
Lokalni podtip sadrži informacije o prometu izravno s FortiGate IP adrese i s IP adresa s kojih se provodi administracija. Na primjer, veze s FortiGate web sučeljem.
Podvrsta Njuškalo sadrži zapisnike prometa koji su dobiveni korištenjem zrcaljenja prometa.
Dnevnici događaja sadrže sistemske ili administrativne događaje, kao što su dodavanje ili promjena parametara, uspostavljanje i prekidanje VPN tunela, događaji dinamičkog usmjeravanja i tako dalje. Sve podvrste prikazane su na slici ispod.
I treća vrsta su sigurnosni dnevnici. Ovi zapisnici bilježe događaje vezane uz napade virusa, posjete zabranjenim resursima, korištenje zabranjenih aplikacija i tako dalje. Potpuni popis također je prikazan na slici ispod.
Dnevnike možete pohraniti na različitim mjestima - i na samom FortiGateu i izvan njega. Pohranjivanje zapisa na FortiGateu smatra se lokalnim zapisivanjem. Ovisno o samom uređaju, zapisnici se mogu pohraniti ili u flash memoriju uređaja ili na tvrdi disk. U pravilu, modeli iz sredine imaju tvrdi disk. Modele s tvrdim diskom prilično je lako razlikovati - na kraju je jedinica. Na primjer, FortiGate 100E dolazi bez tvrdog diska, a FortiGate 101E dolazi s tvrdim diskom.
Mlađi i stariji modeli uglavnom nemaju tvrdi disk. U ovom slučaju, flash memorija se koristi za snimanje dnevnika. Međutim, vrijedi uzeti u obzir da stalno pisanje dnevnika u flash memoriju može smanjiti njezinu učinkovitost i vijek trajanja. Stoga je pisanje dnevnika u flash memoriju onemogućeno prema zadanim postavkama. Preporuča se omogućiti samo za bilježenje događaja tijekom rješavanja specifičnih problema.
Pri intenzivnom snimanju dnevnika, bez obzira na tvrdi disk ili flash memoriju, performanse uređaja će se smanjiti.
Prilično je uobičajeno pohranjivati zapise na udaljenim poslužiteljima. FortiGate može pohraniti zapise na Syslog poslužitelje, FortiAnalyzer ili FortiManager. Također možete koristiti uslugu FortiCloud u oblaku za pohranu zapisa.
Syslog je poslužitelj za središnje pohranjivanje zapisa s mrežnih uređaja.
FortiCloud je usluga upravljanja sigurnošću i pohranjivanja dnevnika koja se temelji na pretplati. Uz njegovu pomoć možete daljinski pohraniti zapise i izraditi odgovarajuća izvješća. Ako imate prilično malu mrežu, dobro rješenje može biti korištenje ove usluge u oblaku umjesto kupnje dodatne opreme. Postoji besplatna verzija FortiClouda koja uključuje tjednu pohranu dnevnika. Nakon kupnje pretplate, dnevnici se mogu pohraniti godinu dana.
FortiAnalyzer i FortiManager vanjski su uređaji za pohranu zapisa. Zbog činjenice da svi imaju isti operativni sustav - FortiOS - integracija FortiGate-a s ovim uređajima ne predstavlja nikakve poteškoće.
Međutim, postoje razlike koje treba uočiti između uređaja FortiAnalyzer i FortiManager. Glavna svrha FortiManagera je centralizirano upravljanje više FortiGate uređaja - stoga je količina memorije za pohranjivanje logova na FortiManageru znatno manja nego na FortiAnalyzeru (ako, naravno, uspoređujemo modele iz istog cjenovnog segmenta).
Glavna svrha FortiAnalyzera je upravo prikupljanje i analiza zapisa. Stoga ćemo dalje razmotriti rad s njim u praksi.
Cijela teorija, kao i praktični dio, prikazana je u ovoj video lekciji:
U sljedećoj lekciji pokrit ćemo osnove administriranja FortiGate jedinice. Kako ne biste propustili, pratite novosti na sljedećim kanalima:
Izvor: www.habr.com