Pozdrowienia! Witamy na dziewiątej lekcji kursu . Na Przeanalizowaliśmy podstawowe mechanizmy kontroli dostępu użytkowników do różnych zasobów. Teraz mamy kolejne zadanie - musimy przeanalizować zachowania użytkowników w sieci, a także skonfigurować odbiór danych, które mogą pomóc w badaniu różnych incydentów bezpieczeństwa. Dlatego w tej lekcji przyjrzymy się mechanizmowi rejestrowania i raportowania. Do tego potrzebny nam będzie FortiAnalyzer, który wdrożyliśmy na początku kursu. Niezbędna teoria, a także lekcja wideo znajdują się pod cięciem.
W FotiGate logi dzielą się na trzy typy: logi ruchu, logi zdarzeń i logi bezpieczeństwa. Te z kolei dzielą się na podtypy.
Dzienniki ruchu rejestrują informacje o przepływie ruchu, takie jak żądania i odpowiedzi, jeśli takie istnieją. Ten typ zawiera podtypy Forward, Local i Sniffer.
Podtyp Forward zawiera informacje o ruchu, który FortiGate zaakceptował lub odrzucił na podstawie zasad zapory.
Podtyp Lokalny zawiera informacje o ruchu bezpośrednio z adresu IP FortiGate oraz z adresów IP, z których prowadzona jest administracja. Na przykład połączenia z interfejsem internetowym FortiGate.
Podtyp Sniffer zawiera logi ruchu uzyskane przy użyciu funkcji dublowania ruchu.
Dzienniki zdarzeń zawierają zdarzenia systemowe lub administracyjne, takie jak dodawanie lub zmiana parametrów, ustanawianie i przerywanie tuneli VPN, zdarzenia routingu dynamicznego i tak dalej. Wszystkie podtypy przedstawiono na poniższym rysunku.
Trzeci typ to dzienniki bezpieczeństwa. Dzienniki te rejestrują zdarzenia związane z atakami wirusów, wizytami w zabronionych zasobach, korzystaniem z zabronionych aplikacji i tak dalej. Pełną listę prezentujemy także na poniższym rysunku.
Logi możesz przechowywać w różnych miejscach – zarówno na samym FortiGate, jak i poza nim. Przechowywanie dzienników w FortiGate jest uznawane za rejestrowanie lokalne. W zależności od urządzenia logi mogą być przechowywane albo w pamięci flash urządzenia, albo na dysku twardym. Z reguły modele ze środka mają dysk twardy. Modele z dyskiem twardym dość łatwo rozróżnić – na końcu znajduje się jednostka. Na przykład FortiGate 100E jest dostarczany bez dysku twardego, a FortiGate 101E jest wyposażony w dysk twardy.
Młodsze i starsze modele zwykle nie mają dysku twardego. W tym przypadku pamięć flash służy do zapisywania logów. Warto jednak wziąć pod uwagę, że ciągłe zapisywanie logów w pamięci flash może zmniejszyć jej wydajność i żywotność. Dlatego zapisywanie logów w pamięci flash jest domyślnie wyłączone. Zalecane jest włączenie go tylko w celu rejestrowania zdarzeń podczas rozwiązywania określonych problemów.
Przy intensywnym zapisywaniu logów, niezależnie od tego, czy chodzi o dysk twardy czy pamięć flash, wydajność urządzenia spadnie.
Dość powszechne jest przechowywanie dzienników na zdalnych serwerach. FortiGate może przechowywać logi na serwerach Syslog, FortiAnalyzer lub FortiManager. Do przechowywania dzienników możesz także używać usługi chmurowej FortiCloud.
Syslog to serwer służący do centralnego przechowywania logów z urządzeń sieciowych.
FortiCloud to oparta na subskrypcji usługa zarządzania bezpieczeństwem i przechowywania logów. Za jego pomocą można zdalnie przechowywać logi i budować odpowiednie raporty. Jeśli masz dość małą sieć, dobrym rozwiązaniem może być skorzystanie z tej usługi w chmurze zamiast zakupu dodatkowego sprzętu. Dostępna jest bezpłatna wersja FortiCloud, która obejmuje cotygodniowe przechowywanie logów. Po wykupieniu subskrypcji logi można przechowywać przez rok.
FortiAnalyzer i FortiManager to zewnętrzne urządzenia do przechowywania dzienników. Dzięki temu, że wszystkie posiadają ten sam system operacyjny – FortiOS – integracja FortiGate z tymi urządzeniami nie nastręcza żadnych trudności.
Należy jednak zwrócić uwagę na różnice między urządzeniami FortiAnalyzer i FortiManager. Głównym celem FortiManager jest scentralizowane zarządzanie wieloma urządzeniami FortiGate – dlatego ilość pamięci do przechowywania logów w FortiManager jest znacznie mniejsza niż w FortiAnalyzer (o ile oczywiście porównujemy modele z tego samego segmentu cenowego).
Głównym celem FortiAnalyzer jest właśnie zbieranie i analizowanie logów. Dlatego będziemy dalej rozważać pracę z nim w praktyce.
Cała teoria, a także część praktyczna została przedstawiona w tej lekcji wideo:
W następnej lekcji omówimy podstawy administrowania jednostką FortiGate. Aby tego nie przegapić, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com