Salutari! Bun venit la a noua lecție a cursului . pe Am examinat mecanismele de bază pentru controlul accesului utilizatorilor la diverse resurse. Acum avem o altă sarcină - trebuie să analizăm comportamentul utilizatorilor în rețea și, de asemenea, să configuram primirea datelor care pot ajuta la investigarea diferitelor incidente de securitate. Prin urmare, în această lecție ne vom uita la mecanismul de înregistrare și raportare. Pentru aceasta vom avea nevoie de FortiAnalyzer, pe care l-am implementat la începutul cursului. Teoria necesară, precum și o lecție video, sunt disponibile sub tăietură.
În FotiGate, jurnalele sunt împărțite în trei tipuri: jurnalele de trafic, jurnalele de evenimente și jurnalele de securitate. Ei, la rândul lor, sunt împărțiți în subtipuri.
Jurnalele de trafic înregistrează informații despre fluxul de trafic, cum ar fi solicitările și răspunsurile, dacă există. Acest tip conține subtipurile Forward, Local și Sniffer.
Subtipul Forward conține informații despre trafic pe care FortiGate l-a acceptat sau respins pe baza politicilor de firewall.
Subtipul Local conține informații despre trafic direct de la adresa IP FortiGate și de la adresele IP de la care se efectuează administrarea. De exemplu, conexiuni la interfața web FortiGate.
Subtipul Sniffer conține jurnalele de trafic care au fost obținute folosind oglindirea traficului.
Jurnalele de evenimente conțin evenimente de sistem sau administrative, cum ar fi adăugarea sau modificarea parametrilor, stabilirea și întreruperea tunelurilor VPN, evenimente de rutare dinamică și așa mai departe. Toate subtipurile sunt prezentate în figura de mai jos.
Iar al treilea tip sunt jurnalele de securitate. Aceste jurnale înregistrează evenimente legate de atacuri de viruși, vizite la resurse interzise, utilizarea aplicațiilor interzise și așa mai departe. Lista completă este prezentată și în figura de mai jos.
Puteți stoca jurnalele în diferite locuri - atât pe FortiGate, cât și în afara acestuia. Stocarea jurnalelor pe FortiGate este considerată înregistrare locală. În funcție de dispozitivul în sine, jurnalele pot fi stocate fie în memoria flash a dispozitivului, fie pe hard disk. De regulă, modelele de la mijloc au un hard disk. Modelele cu hard disk sunt destul de ușor de distins - există o unitate la sfârșit. De exemplu, FortiGate 100E vine fără un hard disk, iar FortiGate 101E vine cu un hard disk.
Modelele mai tinere și mai vechi de obicei nu au un hard disk. În acest caz, memoria flash este folosită pentru a înregistra jurnalele. Cu toate acestea, merită luat în considerare faptul că scrierea constantă a jurnalelor în memoria flash poate reduce eficiența și durata de viață a acesteia. Prin urmare, scrierea jurnalelor în memoria flash este dezactivată implicit. Este recomandat să îl activați numai pentru înregistrarea evenimentelor în timp ce rezolvați probleme specifice.
Când înregistrați intensiv jurnalele, indiferent de hard disk sau memorie flash, performanța dispozitivului va scădea.
Este destul de comun să stocați jurnalele pe servere la distanță. FortiGate poate stoca jurnalele pe serverele Syslog, FortiAnalyzer sau FortiManager. De asemenea, puteți utiliza serviciul cloud FortiCloud pentru a stoca jurnalele.
Syslog este un server pentru stocarea centrală a jurnalelor de pe dispozitivele din rețea.
FortiCloud este un serviciu de gestionare a securității și de stocare a jurnalelor pe bază de abonament. Cu ajutorul acestuia, puteți stoca de la distanță jurnalele și puteți crea rapoarte adecvate. Dacă aveți o rețea destul de mică, o soluție bună poate fi să utilizați acest serviciu cloud, mai degrabă decât să achiziționați echipamente suplimentare. Există o versiune gratuită de FortiCloud care include stocare săptămânală de jurnal. După achiziționarea unui abonament, jurnalele pot fi stocate timp de un an.
FortiAnalyzer și FortiManager sunt dispozitive externe de stocare a jurnalelor. Datorită faptului că toate au același sistem de operare - FortiOS - integrarea FortiGate cu aceste dispozitive nu prezintă dificultăți.
Cu toate acestea, există diferențe de remarcat între dispozitivele FortiAnalyzer și FortiManager. Scopul principal al FortiManager este gestionarea centralizată a mai multor dispozitive FortiGate - prin urmare, cantitatea de memorie pentru stocarea jurnalelor pe FortiManager este semnificativ mai mică decât pe FortiAnalyzer (dacă, desigur, comparăm modele din același segment de preț).
Scopul principal al FortiAnalyzer este tocmai acela de a colecta și analiza jurnalele. Prin urmare, vom lua în considerare în continuare să lucrăm cu el în practică.
Întreaga teorie, precum și partea practică, sunt prezentate în această lecție video:
În următoarea lecție, vom acoperi elementele de bază ale administrării unei unități FortiGate. Pentru a nu-l rata, urmăriți actualizările de pe următoarele canale:
Sursa: www.habr.com