Saudações! Bem-vindo à nona lição do curso . Em Examinamos os mecanismos básicos para controlar o acesso do usuário a vários recursos. Agora temos outra tarefa - precisamos analisar o comportamento dos usuários na rede, e também configurar o recebimento de dados que podem auxiliar na investigação de diversos incidentes de segurança. Portanto, nesta lição veremos o mecanismo de registro e relatório. Para isso precisaremos do FortiAnalyzer, que implantamos no início do curso. A teoria necessária, bem como uma videoaula, estão disponíveis abaixo.
No FotiGate, os logs são divididos em três tipos: logs de tráfego, logs de eventos e logs de segurança. Eles, por sua vez, são divididos em subtipos.
Os logs de tráfego registram informações de fluxo de tráfego, como solicitações e respostas, se houver. Este tipo contém os subtipos Forward, Local e Sniffer.
O subtipo Forward contém informações sobre o tráfego que o FortiGate aceitou ou rejeitou com base nas políticas de firewall.
O subtipo Local contém informações sobre o tráfego diretamente do endereço IP do FortiGate e dos endereços IP a partir dos quais a administração é realizada. Por exemplo, conexões com a interface web do FortiGate.
O subtipo Sniffer contém logs de tráfego obtidos usando espelhamento de tráfego.
Os logs de eventos contêm eventos administrativos ou de sistema, como adição ou alteração de parâmetros, estabelecimento e interrupção de túneis VPN, eventos de roteamento dinâmico e assim por diante. Todos os subtipos são apresentados na figura abaixo.
E o terceiro tipo são os logs de segurança. Esses logs registram eventos relacionados a ataques de vírus, visitas a recursos proibidos, uso de aplicativos proibidos e assim por diante. A lista completa também é apresentada na figura abaixo.
Você pode armazenar logs em diferentes locais - tanto no próprio FortiGate quanto fora dele. Armazenar logs no FortiGate é considerado log local. Dependendo do dispositivo em si, os registros podem ser armazenados na memória flash do dispositivo ou no disco rígido. Via de regra, os modelos intermediários possuem disco rígido. Os modelos com disco rígido são bastante fáceis de distinguir - há uma unidade no final. Por exemplo, o FortiGate 100E vem sem disco rígido e o FortiGate 101E vem com disco rígido.
Modelos mais novos e mais antigos geralmente não possuem disco rígido. Neste caso, a memória flash é usada para registrar logs. No entanto, vale a pena considerar que a gravação constante de logs na memória flash pode reduzir sua eficiência e vida útil. Portanto, a gravação de logs na memória flash está desabilitada por padrão. Recomenda-se habilitá-lo apenas para registrar eventos durante a resolução de problemas específicos.
Ao gravar logs intensamente, não importa o disco rígido ou a memória flash, o desempenho do dispositivo diminuirá.
É bastante comum armazenar logs em servidores remotos. FortiGate pode armazenar logs em servidores Syslog, FortiAnalyzer ou FortiManager. Você também pode usar o serviço de nuvem FortiCloud para armazenar logs.
Syslog é um servidor para armazenamento centralizado de logs de dispositivos de rede.
FortiCloud é um serviço de gerenciamento de segurança e armazenamento de log baseado em assinatura. Com sua ajuda, você pode armazenar logs remotamente e criar relatórios apropriados. Se você tiver uma rede bastante pequena, uma boa solução pode ser usar este serviço em nuvem em vez de adquirir equipamento adicional. Existe uma versão gratuita do FortiCloud que inclui armazenamento de logs semanais. Depois de adquirir uma assinatura, os registros podem ser armazenados por um ano.
FortiAnalyzer e FortiManager são dispositivos externos de armazenamento de log. Pelo facto de todos possuírem o mesmo sistema operativo - FortiOS - a integração do FortiGate com estes dispositivos não apresenta dificuldades.
No entanto, existem diferenças a serem observadas entre os dispositivos FortiAnalyzer e FortiManager. O principal objetivo do FortiManager é o gerenciamento centralizado de vários dispositivos FortiGate - portanto, a quantidade de memória para armazenar logs no FortiManager é significativamente menor do que no FortiAnalyzer (se, é claro, compararmos modelos do mesmo segmento de preço).
O principal objetivo do FortiAnalyzer é justamente coletar e analisar logs. Portanto, consideraremos ainda mais trabalhar com isso na prática.
Toda a teoria, assim como a parte prática, é apresentada nesta videoaula:
Na próxima lição, abordaremos os fundamentos da administração de uma unidade FortiGate. Para não perder, acompanhe as atualizações nos seguintes canais:
Fonte: habr.com