Sveiciens! Laipni lūdzam kursa devītajā nodarbībā . Par Mēs pārbaudījām pamata mehānismus, kā kontrolēt lietotāju piekļuvi dažādiem resursiem. Tagad mums ir vēl viens uzdevums - mums jāanalizē lietotāju uzvedība tīklā, kā arī jākonfigurē datu saņemšana, kas var palīdzēt dažādu drošības incidentu izmeklēšanā. Tāpēc šajā nodarbībā aplūkosim reģistrēšanas un ziņošanas mehānismu. Šim nolūkam mums būs nepieciešams FortiAnalyzer, kuru mēs izvietojām kursa sākumā. Zem griezuma ir pieejama nepieciešamā teorija, kā arī video nodarbība.
Programmā FotiGate žurnāli ir sadalīti trīs veidos: satiksmes žurnāli, notikumu žurnāli un drošības žurnāli. Tos savukārt iedala apakštipos.
Satiksmes žurnāli reģistrē satiksmes plūsmas informāciju, piemēram, pieprasījumus un atbildes, ja tādas ir. Šis tips satur apakštipus Forward, Local un Sniffer.
Pārsūtīšanas apakštips satur informāciju par trafiku, kuru FortiGate ir pieņēmis vai noraidījis, pamatojoties uz ugunsmūra politikām.
Vietējais apakštips satur informāciju par trafiku tieši no FortiGate IP adreses un no IP adresēm, no kurām tiek veikta administrēšana. Piemēram, savienojumi ar FortiGate tīmekļa saskarni.
Apakštips Sniffer satur trafika žurnālus, kas iegūti, izmantojot trafika spoguļošanu.
Notikumu žurnālos ir ietverti sistēmas vai administratīvie notikumi, piemēram, parametru pievienošana vai mainīšana, VPN tuneļu izveide un pārtraukšana, dinamiski maršrutēšanas notikumi un tā tālāk. Visi apakštipi ir parādīti attēlā zemāk.
Un trešais veids ir drošības žurnāli. Šajos žurnālos tiek reģistrēti notikumi, kas saistīti ar vīrusu uzbrukumiem, aizliegtu resursu apmeklējumiem, aizliegtu lietojumprogrammu izmantošanu un tā tālāk. Pilns saraksts ir parādīts arī zemāk esošajā attēlā.
Jūs varat uzglabāt baļķus dažādās vietās – gan uz paša FortiGate, gan ārpus tā. Žurnālu glabāšana FortiGate tiek uzskatīta par lokālu reģistrēšanu. Atkarībā no pašas ierīces žurnālus var saglabāt vai nu ierīces zibatmiņā, vai cietajā diskā. Parasti modeļiem no vidus ir cietais disks. Modeļus ar cieto disku ir diezgan viegli atšķirt - beigās ir vienība. Piemēram, FortiGate 100E ir bez cietā diska, un FortiGate 101E ir aprīkots ar cieto disku.
Jaunākiem un vecākiem modeļiem parasti nav cietā diska. Šajā gadījumā žurnālu ierakstīšanai tiek izmantota zibatmiņa. Tomēr ir vērts uzskatīt, ka pastāvīga žurnālu ierakstīšana zibatmiņā var samazināt tās efektivitāti un kalpošanas laiku. Tāpēc žurnālu ierakstīšana zibatmiņā pēc noklusējuma ir atspējota. Ieteicams to iespējot tikai notikumu reģistrēšanai, risinot konkrētas problēmas.
Intensīvi ierakstot žurnālus, cietajam diskam vai zibatmiņai nav nozīmes, ierīces veiktspēja samazināsies.
Diezgan bieži žurnālus glabā attālos serveros. FortiGate var saglabāt žurnālus Syslog serveros, FortiAnalyzer vai FortiManager. Varat arī izmantot FortiCloud mākoņpakalpojumu žurnālu glabāšanai.
Syslog ir serveris žurnālu centralizētai glabāšanai no tīkla ierīcēm.
FortiCloud ir uz abonementu balstīts drošības pārvaldības un žurnālu krātuves pakalpojums. Ar tās palīdzību jūs varat attālināti uzglabāt žurnālus un izveidot atbilstošus pārskatus. Ja jums ir diezgan mazs tīkls, labs risinājums var būt šī mākoņpakalpojuma izmantošana, nevis papildu aprīkojuma iegāde. Ir pieejama FortiCloud bezmaksas versija, kas ietver iknedēļas žurnālu krātuvi. Pēc abonementa iegādes žurnālus var glabāt gadu.
FortiAnalyzer un FortiManager ir ārējās žurnālu uzglabāšanas ierīces. Tā kā tiem visiem ir viena un tā pati operētājsistēma – FortiOS – FortiGate integrēšana ar šīm ierīcēm nesagādā nekādas grūtības.
Tomēr ir atšķirības starp FortiAnalyzer un FortiManager ierīcēm. Galvenais FortiManager mērķis ir vairāku FortiGate ierīču centralizēta pārvaldība - tāpēc FortiManager žurnālu glabāšanas atmiņas apjoms ir ievērojami mazāks nekā FortiAnalyzer (ja, protams, salīdzinām modeļus no tā paša cenu segmenta).
FortiAnalyzer galvenais mērķis ir vākt un analizēt žurnālus. Tāpēc mēs turpmāk apsvērsim iespēju ar to strādāt praksē.
Visa teorija, kā arī praktiskā daļa ir parādīta šajā video nodarbībā:
Nākamajā nodarbībā mēs apskatīsim FortiGate vienības administrēšanas pamatus. Lai nepalaistu garām, sekojiet jaunumiem šādos kanālos:
Avots: www.habr.com