Saluti! Benvenuti alla nona lezione del corso . su Abbiamo esaminato i meccanismi di base per controllare l'accesso degli utenti a varie risorse. Ora abbiamo un altro compito: dobbiamo analizzare il comportamento degli utenti sulla rete e anche configurare la ricezione di dati che possano aiutare nell'indagine su vari incidenti di sicurezza. Pertanto, in questa lezione esamineremo il meccanismo di registrazione e reporting. Per questo avremo bisogno di FortiAnalyzer, che abbiamo implementato all'inizio del corso. La teoria necessaria e una lezione video sono disponibili sotto il taglio.
In FotiGate, i registri sono divisi in tre tipi: registri del traffico, registri degli eventi e registri della sicurezza. A loro volta sono divisi in sottotipi.
I registri del traffico registrano informazioni sul flusso del traffico come richieste e risposte, se presenti. Questo tipo contiene i sottotipi Forward, Local e Sniffer.
Il sottotipo Forward contiene informazioni sul traffico che FortiGate ha accettato o rifiutato in base ai criteri del firewall.
Il sottotipo Locale contiene informazioni sul traffico direttamente dall'indirizzo IP FortiGate e dagli indirizzi IP da cui viene eseguita l'amministrazione. Ad esempio, le connessioni all'interfaccia web FortiGate.
Il sottotipo Sniffer contiene log di traffico ottenuti utilizzando il mirroring del traffico.
I registri eventi contengono eventi di sistema o amministrativi, come l'aggiunta o la modifica di parametri, la creazione e l'interruzione di tunnel VPN, eventi di routing dinamico e così via. Tutti i sottotipi sono presentati nella figura seguente.
E il terzo tipo sono i log di sicurezza. Questi registri registrano eventi relativi ad attacchi di virus, visite a risorse vietate, utilizzo di applicazioni vietate e così via. L'elenco completo è presentato anche nella figura seguente.
È possibile archiviare i registri in luoghi diversi, sia sul FortiGate stesso che al di fuori di esso. La memorizzazione dei registri su FortiGate è considerata registrazione locale. A seconda del dispositivo stesso, i registri possono essere archiviati nella memoria flash del dispositivo o sul disco rigido. Di norma, i modelli di fascia media hanno un disco rigido. I modelli con disco rigido sono abbastanza facili da distinguere: alla fine c'è un'unità. Ad esempio, FortiGate 100E viene fornito senza disco rigido e FortiGate 101E viene fornito con un disco rigido.
I modelli più giovani e quelli più vecchi di solito non hanno un disco rigido. In questo caso, la memoria flash viene utilizzata per registrare i registri. Tuttavia, vale la pena considerare che la scrittura costante dei registri sulla memoria flash può ridurne l'efficienza e la durata. Pertanto, la scrittura dei registri nella memoria flash è disabilitata per impostazione predefinita. Si consiglia di abilitarlo solo per la registrazione di eventi durante la risoluzione di problemi specifici.
Quando si registrano intensamente i registri, non importa al disco rigido o alla memoria flash, le prestazioni del dispositivo diminuiranno.
È abbastanza comune archiviare i log su server remoti. FortiGate può archiviare i log sui server Syslog, FortiAnalyzer o FortiManager. Puoi anche utilizzare il servizio cloud FortiCloud per archiviare i registri.
Syslog è un server per l'archiviazione centralizzata dei log dai dispositivi di rete.
FortiCloud è un servizio di gestione della sicurezza e archiviazione dei log basato su abbonamento. Con il suo aiuto, puoi archiviare in remoto i registri e creare report appropriati. Se disponi di una rete abbastanza piccola, una buona soluzione potrebbe essere quella di utilizzare questo servizio cloud anziché acquistare apparecchiature aggiuntive. Esiste una versione gratuita di FortiCloud che include l'archiviazione settimanale dei registri. Dopo aver acquistato un abbonamento, i registri possono essere archiviati per un anno.
FortiAnalyzer e FortiManager sono dispositivi di archiviazione dei registri esterni. Dato che hanno tutti lo stesso sistema operativo - FortiOS - l'integrazione di FortiGate con questi dispositivi non presenta alcuna difficoltà.
Tuttavia, ci sono differenze da notare tra i dispositivi FortiAnalyzer e FortiManager. Lo scopo principale di FortiManager è la gestione centralizzata di più dispositivi FortiGate, pertanto la quantità di memoria per l'archiviazione dei registri su FortiManager è significativamente inferiore rispetto a FortiAnalyzer (se, ovviamente, confrontiamo modelli dello stesso segmento di prezzo).
Lo scopo principale di FortiAnalyzer è proprio quello di raccogliere e analizzare i log. Pertanto, considereremo ulteriormente l'utilizzo pratico.
Tutta la teoria, così come la parte pratica, è presentata in questa video lezione:
Nella prossima lezione tratteremo le nozioni di base sull'amministrazione di un'unità FortiGate. Per non perderlo seguite gli aggiornamenti sui seguenti canali:
Fonte: habr.com