Witamy na drugiej lekcji kursu . Dzisiaj porozmawiamy o mechanizmie domen administracyjnych na , omówimy także proces przetwarzania logów - zrozumienie zasad działania tych mechanizmów jest niezbędne do wstępnych ustawień . A potem omówimy układ, z którego będziemy korzystać podczas kursu, a także przeprowadzimy wstępną konfigurację . Część teoretyczna, a także pełne nagranie lekcji wideo znajdują się pod wycięciem.
Najpierw porozmawiajmy ponownie o domenach administracyjnych. Zanim zaczniesz z nich korzystać, musisz wiedzieć o nich kilka rzeczy:
- Możliwość tworzenia domen administracyjnych jest włączana i wyłączana centralnie.
- Do rejestracji jakichkolwiek urządzeń innych niż FortiGate wymagana jest osobna domena administracyjna. Oznacza to, że jeśli chcesz zarejestrować wiele urządzeń FortiMail na jednym urządzeniu, potrzebujesz do tego osobnej domeny administracyjnej. Nie neguje to jednak faktu, że dla wygody grupowania urządzeń FortiGate można tworzyć różne domeny administracyjne.
- Maksymalna liczba obsługiwanych domen administracyjnych zależy od modelu jednostki FortiAnalyzer.
- Włączając możliwość tworzenia domen administracyjnych należy wybrać tryb ich działania - Normalny lub Zaawansowany. W trybie normalnym nie można dodawać różnych domen wirtualnych (ani innych VDOM) tego samego urządzenia FortiGate do różnych domen administracyjnych urządzenia FortiAnalyzer. Jest to możliwe w trybie zaawansowanym. Tryb zaawansowany umożliwia przetwarzanie danych z różnych domen wirtualnych i otrzymywanie na ich temat odrębnych raportów. Jeśli zapomniałeś, czym są domeny wirtualne, spójrz , jest to tam dość szczegółowo opisane.
Tworzeniem domen administracyjnych i przydzielaniem między nimi pamięci zajmiemy się nieco później, w ramach praktycznej części lekcji.
Porozmawiajmy teraz o mechanizmie rejestrowania i przetwarzania logów przychodzących do FortiAnalyzer.
Dzienniki otrzymane przez FortiAnalyzer są kompresowane i zapisywane w pliku dziennika. Kiedy plik ten osiągnie określony rozmiar, zostanie nadpisany i zarchiwizowany. Takie logi nazywane są archiwalnymi. Uważa się je za dzienniki offline, ponieważ nie można ich analizować w czasie rzeczywistym. Można je oglądać wyłącznie w formacie surowym. Polityka przechowywania danych w domenie administracyjnej określa jak długo takie logi będą przechowywane w pamięci urządzenia.
Jednocześnie logi są indeksowane w bazie SQL. Logi te służą do analizy danych z wykorzystaniem mechanizmów Log View, FortiView i Reports. Polityka przechowywania danych w domenie administracyjnej określa jak długo takie logi będą przechowywane w pamięci urządzenia. Po usunięciu tych logów z pamięci urządzenia, mogą one pozostać w formie logów zarchiwizowanych, jednak jest to uzależnione od polityki przechowywania danych w domenie administracyjnej.
Aby zrozumieć ustawienia początkowe, ta wiedza nam wystarczy. Omówmy teraz nasz układ:
Widzisz na nim 6 urządzeń - FortiGate, FortiMail, FortiAnalyzer, kontroler domeny, komputer użytkownika zewnętrznego i komputer użytkownika wewnętrznego. FortiGate i FortiMail są potrzebne do generowania logów dla różnych urządzeń Fortinet, aby na przykładzie rozważyć aspekty pracy z różnymi domenami administracyjnymi. Do generowania różnego ruchu potrzebni są użytkownicy wewnętrzni i zewnętrzni, a także kontroler domeny. Na komputerze użytkownika wewnętrznego instalowany jest system Windows, a na komputerze użytkownika zewnętrznego instalowany jest Kali Linux.
W tym przykładzie FortiMail działa w trybie serwera, co oznacza, że jest oddzielnym serwerem pocztowym, za pośrednictwem którego użytkownicy wewnętrzni i zewnętrzni mogą wymieniać wiadomości e-mail. Niezbędne ustawienia, takie jak rekordy MX, konfiguruje się na kontrolerze domeny. Dla użytkownika zewnętrznego serwer DNS jest wewnętrznym kontrolerem domeny — odbywa się to za pomocą przekierowania portów (lub innej technologii wirtualnego IP) w FortiGate.
Ustawienia te nie są omawiane podczas lekcji, ponieważ nie mają związku z tematem kursu. Omówione zostanie wdrożenie i wstępna konfiguracja jednostki FortiAnalyzer. Pozostałe elementy obecnego układu zostały przygotowane wcześniej.
Poniżej znajdują się wymagania systemowe dla różnych urządzeń. U mnie ten układ działa na wcześniej przygotowanej maszynie w środowisku wirtualnym VMWare Workstation. Charakterystyka tej maszyny jest również wymieniona poniżej.
Urządzenie
RAM GB
procesor wirtualny
Dysk twardy, GB
Kontroler domeny
6
3
40
Użytkownik wewnętrzny
4
2
32
Użytkownik zewnętrzny
2
2
8
FortiGate
2
2
30
Analizator Forti
8
4
80
FortiMail
2
4
50
Maszyna do układania
28
19
280
Wymagania systemowe wymienione w tej tabeli są wymaganiami minimalnymi; w rzeczywistych scenariuszach zwykle wymagane będzie więcej zasobów. Dodatkowe informacje na temat wymagań systemowych można znaleźć na stronie .
Film instruktażowy przedstawia omówiony powyżej materiał teoretyczny, a także część praktyczną - ze wstępną konfiguracją urządzenia FortiAnalyzer. Miłego oglądania!
W następnej lekcji przyjrzymy się szczegółowo aspektom pracy z dziennikami. Aby tego nie przegapić, zapisz się do naszego .
Możesz także śledzić aktualizacje w następujących zasobach:
Źródło: www.habr.com