Pozdravi! Dobrodošli na deveti lekciji tečaja . Na Preučili smo osnovne mehanizme za nadzor dostopa uporabnikov do različnih virov. Zdaj imamo še eno nalogo - analizirati moramo vedenje uporabnikov v omrežju in konfigurirati tudi prejem podatkov, ki lahko pomagajo pri preiskavi različnih varnostnih incidentov. Zato si bomo v tej lekciji ogledali mehanizem beleženja in poročanja. Za to bomo potrebovali FortiAnalyzer, ki smo ga namestili na začetku tečaja. Potrebna teorija in video lekcija sta na voljo pod rezom.
V FotiGate so dnevniki razdeljeni na tri vrste: prometni dnevniki, dnevniki dogodkov in varnostni dnevniki. Ti pa so razdeljeni na podtipe.
Prometni dnevniki beležijo informacije o prometnem toku, kot so zahteve in odgovori, če obstajajo. Ta vrsta vsebuje podtipe Naprej, Lokalno in Sniffer.
Podtip Forward vsebuje informacije o prometu, ki ga je FortiGate sprejel ali zavrnil na podlagi pravilnikov požarnega zidu.
Lokalni podtip vsebuje informacije o prometu neposredno z naslova IP FortiGate in iz naslovov IP, s katerih se izvaja administracija. Na primer povezave s spletnim vmesnikom FortiGate.
Podtip Sniffer vsebuje dnevnike prometa, pridobljene z zrcaljenjem prometa.
Dnevniki dogodkov vsebujejo sistemske ali administrativne dogodke, kot so dodajanje ali spreminjanje parametrov, vzpostavljanje in prekinitev tunelov VPN, dogodki dinamičnega usmerjanja itd. Vsi podtipi so predstavljeni na spodnji sliki.
In tretja vrsta so varnostni dnevniki. Ti dnevniki beležijo dogodke, povezane z virusnimi napadi, obiski prepovedanih virov, uporabo prepovedanih aplikacij itd. Celoten seznam je predstavljen tudi na spodnji sliki.
Dnevnike lahko shranjujete na različnih mestih - tako na samem FortiGate-u kot zunaj njega. Shranjevanje dnevnikov na FortiGate se šteje za lokalno beleženje. Odvisno od same naprave se lahko dnevniki shranijo v bliskovni pomnilnik naprave ali na trdi disk. Praviloma imajo modeli iz sredine trdi disk. Modele s trdim diskom je precej enostavno razlikovati - na koncu je enota. FortiGate 100E je na primer brez trdega diska, FortiGate 101E pa s trdim diskom.
Mlajši in starejši modeli običajno nimajo trdega diska. V tem primeru se za zapisovanje dnevnikov uporablja bliskovni pomnilnik. Vendar je vredno upoštevati, da lahko nenehno pisanje dnevnikov v bliskovni pomnilnik zmanjša njegovo učinkovitost in življenjsko dobo. Zato je pisanje dnevnikov v bliskovni pomnilnik privzeto onemogočeno. Priporočljivo je, da ga omogočite samo za beleženje dogodkov med reševanjem specifičnih problemov.
Pri intenzivnem snemanju dnevnikov, ne glede na trdi disk ali bliskovni pomnilnik, se bo zmogljivost naprave zmanjšala.
Povsem običajno je shranjevanje dnevnikov na oddaljenih strežnikih. FortiGate lahko shranjuje dnevnike na strežnikih Syslog, FortiAnalyzer ali FortiManager. Za shranjevanje dnevnikov lahko uporabite tudi storitev v oblaku FortiCloud.
Syslog je strežnik za centralno shranjevanje dnevnikov iz omrežnih naprav.
FortiCloud je storitev za upravljanje varnosti in shranjevanje dnevnikov, ki temelji na naročnini. Z njegovo pomočjo lahko na daljavo shranjujete dnevnike in gradite ustrezna poročila. Če imate dokaj majhno omrežje, je morda dobra rešitev uporaba te storitve v oblaku namesto nakupa dodatne opreme. Obstaja brezplačna različica FortiCloud, ki vključuje tedensko shranjevanje dnevnika. Po nakupu naročnine lahko dnevnike hranimo eno leto.
FortiAnalyzer in FortiManager sta zunanji napravi za shranjevanje dnevnikov. Ker imajo vse isti operacijski sistem - FortiOS - integracija FortiGate s temi napravami ne predstavlja nobenih težav.
Vendar pa je med napravama FortiAnalyzer in FortiManager treba upoštevati razlike. Glavni namen FortiManagerja je centralizirano upravljanje več naprav FortiGate - zato je količina pomnilnika za shranjevanje dnevnikov na FortiManagerju bistveno manjša kot na FortiAnalyzerju (če seveda primerjamo modele iz istega cenovnega segmenta).
Glavni namen FortiAnalyzerja je prav zbiranje in analiza dnevnikov. Zato bomo nadalje razmislili o delu z njim v praksi.
Celotna teorija in praktični del sta predstavljena v tej video lekciji:
V naslednji lekciji bomo obravnavali osnove upravljanja enote FortiGate. Da tega ne zamudite, spremljajte novosti na naslednjih kanalih:
Vir: www.habr.com