Groeten! Welkom bij de negende les van de cursus . op We onderzochten de basismechanismen voor het controleren van gebruikerstoegang tot verschillende bronnen. Nu hebben we nog een andere taak: we moeten het gedrag van gebruikers op het netwerk analyseren en ook de ontvangst van gegevens configureren die kunnen helpen bij het onderzoeken van verschillende beveiligingsincidenten. Daarom zullen we in deze les kijken naar het registratie- en rapportagemechanisme. Hiervoor hebben we FortiAnalyzer nodig, die we aan het begin van de cursus hebben ingezet. De benodigde theorie, evenals een videoles, zijn beschikbaar onder de rubriek.
In FotiGate zijn logs onderverdeeld in drie typen: verkeerslogs, gebeurtenislogs en beveiligingslogs. Ze zijn op hun beurt onderverdeeld in subtypen.
Verkeerslogboeken registreren informatie over de verkeersstroom, zoals verzoeken en eventuele antwoorden. Dit type bevat de subtypen Forward, Local en Sniffer.
Het Forward-subtype bevat informatie over verkeer dat de FortiGate heeft geaccepteerd of afgewezen op basis van firewallbeleid.
Het subtype Lokaal bevat informatie over het verkeer rechtstreeks afkomstig van het FortiGate IP-adres en van de IP-adressen van waaruit het beheer wordt uitgevoerd. Bijvoorbeeld koppelingen met de FortiGate webinterface.
Het subtype Sniffer bevat logboeken van verkeer dat is verkregen met behulp van verkeersmirroring.
Gebeurtenislogboeken bevatten systeem- of administratieve gebeurtenissen, zoals het toevoegen of wijzigen van parameters, het opzetten en verbreken van VPN-tunnels, dynamische routeringsgebeurtenissen, enzovoort. Alle subtypen worden weergegeven in de onderstaande afbeelding.
En het derde type zijn beveiligingslogboeken. Deze logboeken registreren gebeurtenissen die verband houden met virusaanvallen, bezoeken aan verboden bronnen, gebruik van verboden applicaties, enzovoort. De volledige lijst wordt ook weergegeven in de onderstaande afbeelding.
Logboeken kun je op verschillende plekken bewaren β zowel op de FortiGate zelf als daarbuiten. Het opslaan van logs op de FortiGate wordt beschouwd als lokale logging. Afhankelijk van het apparaat zelf kunnen logs worden opgeslagen in het flashgeheugen van het apparaat of op de harde schijf. In de regel hebben modellen uit het midden een harde schijf. Modellen met een harde schijf zijn vrij gemakkelijk te onderscheiden: aan het einde zit een eenheid. FortiGate 100E wordt bijvoorbeeld geleverd zonder harde schijf en FortiGate 101E wordt geleverd met een harde schijf.
Jongere en oudere modellen hebben meestal geen harde schijf. In dit geval wordt flash-geheugen gebruikt om logs op te nemen. Het is echter de moeite waard om te overwegen dat het voortdurend schrijven van logs naar flash-geheugen de efficiΓ«ntie en levensduur ervan kan verminderen. Daarom is het schrijven van logs naar flash-geheugen standaard uitgeschakeld. Het wordt aanbevolen om dit alleen in te schakelen voor het loggen van gebeurtenissen tijdens het oplossen van specifieke problemen.
Bij het intensief opnemen van logs maakt het niet uit op de harde schijf of het flashgeheugen, de prestaties van het apparaat zullen afnemen.
Het is heel gebruikelijk om logbestanden op externe servers op te slaan. FortiGate kan logs opslaan op Syslog-servers, FortiAnalyzer of FortiManager. Voor het opslaan van logs kunt u ook gebruik maken van de FortiCloud clouddienst.
Syslog is een server voor het centraal opslaan van logbestanden van netwerkapparaten.
FortiCloud is een op abonnementen gebaseerde service voor beveiligingsbeheer en logopslag. Met behulp hiervan kunt u op afstand logboeken opslaan en passende rapporten samenstellen. Als u een vrij klein netwerk heeft, kan het een goede oplossing zijn om deze clouddienst te gebruiken in plaats van extra apparatuur aan te schaffen. Er is een gratis versie van FortiCloud met wekelijkse logopslag. Na aanschaf van een abonnement kunnen logs een jaar lang bewaard worden.
FortiAnalyzer en FortiManager zijn externe logopslagapparaten. Omdat ze allemaal hetzelfde besturingssysteem hebben - FortiOS - levert de integratie van FortiGate met deze apparaten geen problemen op.
Er zijn echter verschillen tussen de FortiAnalyzer- en FortiManager-apparaten. Het belangrijkste doel van FortiManager is gecentraliseerd beheer van meerdere FortiGate-apparaten - daarom is de hoeveelheid geheugen voor het opslaan van logs op FortiManager aanzienlijk minder dan op FortiAnalyzer (als we natuurlijk modellen uit hetzelfde prijssegment vergelijken).
Het belangrijkste doel van FortiAnalyzer is juist het verzamelen en analyseren van logs. Daarom gaan we er verder over nadenken om er in de praktijk mee te gaan werken.
De hele theorie, evenals het praktische gedeelte, wordt gepresenteerd in deze videoles:
In de volgende les behandelen we de basisprincipes van het beheer van een FortiGate-eenheid. Om het niet te missen, volg de updates op de volgende kanalen:
Bron: www.habr.com