Üdvözlet! Üdvözöljük a tanfolyam kilencedik leckében . tovább Megvizsgáltuk a különböző erőforrásokhoz való felhasználói hozzáférés szabályozásának alapvető mechanizmusait. Most egy másik feladatunk van - elemeznünk kell a felhasználók viselkedését a hálózaton, és konfigurálnunk kell az adatok fogadását, amelyek segíthetnek a különféle biztonsági incidensek kivizsgálásában. Ezért ebben a leckében megvizsgáljuk a naplózási és jelentési mechanizmust. Ehhez szükségünk lesz a FortiAnalyzerre, amelyet a tanfolyam elején telepítettünk. A szükséges elmélet, valamint egy videó lecke elérhető a vágás alatt.
A FotiGate-ben a naplók három típusra oszthatók: forgalmi naplókra, eseménynaplókra és biztonsági naplókra. Ők viszont altípusokra oszlanak.
A forgalmi naplók rögzítik a forgalommal kapcsolatos információkat, például kéréseket és válaszokat, ha vannak. Ez a típus a Forward, Local és Sniffer altípusokat tartalmazza.
A Forward altípus olyan forgalommal kapcsolatos információkat tartalmaz, amelyeket a FortiGate a tűzfalszabályok alapján elfogadott vagy elutasított.
A Helyi altípus közvetlenül a FortiGate IP-címről és azokról az IP-címekről tartalmaz információkat, amelyekről az adminisztráció történik. Például csatlakozások a FortiGate webes felületéhez.
A Sniffer altípus a forgalom tükrözésével nyert forgalom naplóit tartalmazza.
Az eseménynaplók rendszer- vagy adminisztrációs eseményeket tartalmaznak, mint például paraméterek hozzáadása vagy módosítása, VPN-alagutak létrehozása és feltörése, dinamikus útválasztási események stb. Az összes altípust az alábbi ábra mutatja be.
A harmadik típus pedig a biztonsági naplók. Ezek a naplók rögzítik a vírustámadásokkal kapcsolatos eseményeket, a tiltott erőforrások látogatását, a tiltott alkalmazások használatát és így tovább. A teljes lista az alábbi ábrán is látható.
A naplókat különböző helyeken tárolhatja – magán a FortiGate-en és azon kívül is. A naplók tárolása a FortiGate-en helyi naplózásnak minősül. Magától az eszköztől függően a naplók az eszköz flash memóriájában vagy a merevlemezen tárolhatók. A középső modellek általában merevlemezzel rendelkeznek. A merevlemezzel rendelkező modelleket meglehetősen könnyű megkülönböztetni - a végén van egy egység. Például a FortiGate 100E merevlemez nélkül, a FortiGate 101E pedig merevlemezzel érkezik.
A fiatalabb és régebbi modellek általában nem rendelkeznek merevlemezzel. Ebben az esetben a flash memória a naplók rögzítésére szolgál. Érdemes azonban figyelembe venni, hogy a naplók folyamatos írása a flash memóriába csökkentheti annak hatékonyságát és élettartamát. Ezért a naplók írása a flash memóriába alapértelmezés szerint le van tiltva. Javasoljuk, hogy csak az események naplózásához kapcsolja be, amikor konkrét problémákat old meg.
A naplók intenzív rögzítésekor nem számít a merevlemez vagy a flash memória, az eszköz teljesítménye csökken.
Elég gyakori a naplók tárolása távoli szervereken. A FortiGate naplókat tárolhat a Syslog szervereken, a FortiAnalyzeren vagy a FortiManageren. A FortiCloud felhőszolgáltatást is használhatja naplók tárolására.
A Syslog egy szerver a hálózati eszközökről származó naplók központi tárolására.
A FortiCloud egy előfizetésen alapuló biztonsági felügyeleti és naplótároló szolgáltatás. Segítségével távolról tárolhat naplókat és készíthet megfelelő jelentéseket. Ha meglehetősen kicsi a hálózata, akkor jó megoldás lehet, ha ezt a felhőszolgáltatást használja további berendezések vásárlása helyett. A FortiCloudnak van egy ingyenes verziója, amely heti naplótárolást is tartalmaz. Az előfizetés megvásárlása után a naplók egy évig tárolhatók.
A FortiAnalyzer és a FortiManager külső naplótároló eszközök. Tekintettel arra, hogy mindegyiknek ugyanaz az operációs rendszere - FortiOS - a FortiGate integrációja ezekkel az eszközökkel nem jelent nehézséget.
Vannak azonban különbségek a FortiAnalyzer és a FortiManager eszközök között. A FortiManager fő célja több FortiGate eszköz központosított kezelése - ezért a FortiManager naplóinak tárolására szolgáló memória jelentősen kevesebb, mint a FortiAnalyzeren (ha természetesen összehasonlítjuk az azonos árszegmens modelljeit).
A FortiAnalyzer fő célja pontosan a naplók összegyűjtése és elemzése. Ezért a továbbiakban megfontoljuk, hogy a gyakorlatban is dolgozzunk vele.
A teljes elméletet, valamint a gyakorlati részt ebben a videó leckében mutatjuk be:
A következő leckében a FortiGate egység kezelésének alapjait ismertetjük. Hogy ne maradj le róla, kövesd a frissítéseket az alábbi csatornákon:
Forrás: will.com