pozdravujem! Vitajte na deviatej lekcii kurzu , na Preskúmali sme základné mechanizmy kontroly prístupu používateľov k rôznym zdrojom. Teraz máme ďalšiu úlohu - musíme analyzovať správanie používateľov v sieti a tiež nakonfigurovať príjem údajov, ktoré môžu pomôcť pri vyšetrovaní rôznych bezpečnostných incidentov. Preto sa v tejto lekcii pozrieme na mechanizmus protokolovania a podávania správ. Na to budeme potrebovať FortiAnalyzer, ktorý sme nasadili na začiatku kurzu. Potrebná teória, ako aj video lekcia sú k dispozícii pod strihom.
Vo FotiGate sú protokoly rozdelené do troch typov: protokoly premávky, protokoly udalostí a protokoly zabezpečenia. Na druhej strane sú rozdelené do podtypov.
Denníky premávky zaznamenávajú informácie o toku premávky, ako sú požiadavky a odpovede, ak nejaké existujú. Tento typ obsahuje podtypy Forward, Local a Sniffer.
Podtyp Forward obsahuje informácie o prevádzke, ktorú FortiGate buď prijal alebo zamietol na základe pravidiel firewallu.
Podtyp Local obsahuje informácie o prevádzke priamo z IP adresy FortiGate az IP adries, z ktorých sa vykonáva administrácia. Napríklad pripojenia k webovému rozhraniu FortiGate.
Podtyp Sniffer obsahuje protokoly návštevnosti, ktoré boli získané pomocou zrkadlenia návštevnosti.
Protokoly udalostí obsahujú systémové alebo administratívne udalosti, ako je pridávanie alebo zmena parametrov, vytváranie a prerušovanie tunelov VPN, udalosti dynamického smerovania atď. Všetky podtypy sú uvedené na obrázku nižšie.
A tretím typom sú bezpečnostné protokoly. Tieto protokoly zaznamenávajú udalosti súvisiace s útokmi vírusov, návštevami zakázaných zdrojov, používaním zakázaných aplikácií atď. Úplný zoznam je uvedený aj na obrázku nižšie.
Logy môžete ukladať na rôznych miestach – ako na samotnom FortiGate, tak aj mimo neho. Ukladanie protokolov na FortiGate sa považuje za lokálne protokolovanie. V závislosti od samotného zariadenia môžu byť protokoly uložené buď vo flash pamäti zariadenia alebo na pevnom disku. Modely zo stredu majú spravidla pevný disk. Modely s pevným diskom sú celkom ľahko rozlíšiteľné - na konci je jednotka. Napríklad FortiGate 100E sa dodáva bez pevného disku a FortiGate 101E sa dodáva s pevným diskom.
Mladšie a staršie modely zvyčajne nemajú pevný disk. V tomto prípade sa na zaznamenávanie protokolov používa pamäť flash. Je však potrebné zvážiť, že neustále zapisovanie protokolov do pamäte flash môže znížiť jej účinnosť a životnosť. Preto je zapisovanie protokolov do pamäte flash štandardne zakázané. Odporúča sa povoliť len pre protokolovanie udalostí pri riešení konkrétnych problémov.
Pri intenzívnom zaznamenávaní protokolov nezáleží na pevnom disku alebo flash pamäti, výkon zariadenia sa zníži.
Je celkom bežné ukladať protokoly na vzdialených serveroch. FortiGate môže ukladať protokoly na serveroch Syslog, FortiAnalyzer alebo FortiManager. Na ukladanie protokolov môžete použiť aj cloudovú službu FortiCloud.
Syslog je server na centrálne ukladanie protokolov zo sieťových zariadení.
FortiCloud je služba správy zabezpečenia a ukladania protokolov založená na predplatnom. S jeho pomocou môžete na diaľku ukladať protokoly a vytvárať vhodné zostavy. Ak máte pomerne malú sieť, dobrým riešením môže byť použitie tejto cloudovej služby namiesto nákupu ďalšieho zariadenia. K dispozícii je bezplatná verzia FortiCloud, ktorá zahŕňa týždenné ukladanie denníkov. Po zakúpení predplatného je možné protokoly uchovávať jeden rok.
FortiAnalyzer a FortiManager sú externé zariadenia na ukladanie protokolov. Vzhľadom na to, že všetky majú rovnaký operačný systém - FortiOS - integrácia FortiGate s týmito zariadeniami nepredstavuje žiadne ťažkosti.
Medzi zariadeniami FortiAnalyzer a FortiManager sú však rozdiely, ktoré je potrebné si všimnúť. Hlavným účelom FortiManager je centralizovaná správa viacerých FortiGate zariadení - preto je množstvo pamäte na ukladanie logov na FortiManager výrazne menšie ako na FortiAnalyzer (ak samozrejme porovnávame modely z rovnakého cenového segmentu).
Hlavným účelom FortiAnalyzer je presne zbierať a analyzovať protokoly. Preto prácu s ním v praxi ďalej zvážime.
Celá teória, ako aj praktická časť je prezentovaná v tejto video lekcii:
V nasledujúcej lekcii sa budeme venovať základom správy jednotky FortiGate. Aby ste to nezmeškali, sledujte aktualizácie na nasledujúcich kanáloch:
Zdroj: hab.com