Pagbati! Maligayang pagdating sa ikasiyam na aralin ng kurso . Sa Sinuri namin ang mga pangunahing mekanismo para sa pagkontrol ng access ng user sa iba't ibang mapagkukunan. Ngayon ay mayroon kaming isa pang gawain - kailangan naming pag-aralan ang pag-uugali ng mga gumagamit sa network, at i-configure din ang pagtanggap ng data na makakatulong sa pagsisiyasat ng iba't ibang mga insidente sa seguridad. Samakatuwid, sa araling ito ay titingnan natin ang mekanismo ng pag-log at pag-uulat. Para dito, kakailanganin namin ang FortiAnalyzer, na na-deploy namin sa simula ng kurso. Ang kinakailangang teorya, pati na rin ang isang aralin sa video, ay magagamit sa ilalim ng hiwa.
Sa FotiGate, ang mga log ay nahahati sa tatlong uri: mga log ng trapiko, mga log ng kaganapan at mga log ng seguridad. Sila naman, ay nahahati sa mga subtype.
Ang mga log ng trapiko ay nagtatala ng impormasyon sa daloy ng trapiko tulad ng mga kahilingan at tugon, kung mayroon man. Ang uri na ito ay naglalaman ng mga subtype na Forward, Local at Sniffer.
Ang Forward subtype ay naglalaman ng impormasyon tungkol sa trapiko na tinanggap o tinanggihan ng FortiGate batay sa mga patakaran ng firewall.
Ang Lokal na subtype ay naglalaman ng impormasyon tungkol sa trapiko nang direkta mula sa FortiGate IP address at mula sa mga IP address kung saan isinasagawa ang pangangasiwa. Halimbawa, ang mga koneksyon sa FortiGate web interface.
Ang Sniffer subtype ay naglalaman ng mga log ng trapiko na nakuha gamit ang pag-mirror ng trapiko.
Ang mga log ng kaganapan ay naglalaman ng mga kaganapan sa system o administratibo, tulad ng pagdaragdag o pagbabago ng mga parameter, pagtatatag at pagsira sa mga tunnel ng VPN, mga dynamic na kaganapan sa pagruruta, at iba pa. Ang lahat ng mga subtype ay ipinakita sa figure sa ibaba.
At ang pangatlong uri ay mga security log. Ang mga log na ito ay nagtatala ng mga kaganapan na nauugnay sa mga pag-atake ng virus, mga pagbisita sa mga ipinagbabawal na mapagkukunan, paggamit ng mga ipinagbabawal na application, at iba pa. Ang buong listahan ay ipinakita din sa figure sa ibaba.
Maaari kang mag-imbak ng mga log sa iba't ibang lugar - sa mismong FortiGate at sa labas nito. Ang pag-iimbak ng mga log sa FortiGate ay itinuturing na lokal na pag-log. Depende sa device mismo, ang mga log ay maaaring iimbak alinman sa flash memory ng device o sa hard drive. Bilang isang patakaran, ang mga modelo mula sa gitna ay may hard drive. Ang mga modelo na may isang hard drive ay medyo madaling makilala - mayroong isang yunit sa dulo. Halimbawa, ang FortiGate 100E ay walang hard drive, at ang FortiGate 101E ay may kasamang hard drive.
Ang mas bata at mas lumang mga modelo ay karaniwang walang hard drive. Sa kasong ito, ang flash memory ay ginagamit upang mag-record ng mga log. Gayunpaman, ito ay nagkakahalaga ng pagsasaalang-alang na ang patuloy na pagsulat ng mga log sa flash memory ay maaaring mabawasan ang kahusayan at buhay ng serbisyo nito. Samakatuwid, ang pagsusulat ng mga log sa flash memory ay hindi pinagana bilang default. Inirerekomenda na paganahin lamang ito para sa mga kaganapan sa pag-log habang nilulutas ang mga partikular na problema.
Kapag masinsinang nagre-record ng mga log, hindi mahalaga sa hard drive o flash memory, bababa ang performance ng device.
Karaniwang mag-imbak ng mga log sa mga malalayong server. Maaaring mag-imbak ang FortiGate ng mga log sa mga server ng Syslog, FortiAnalyzer o FortiManager. Maaari mo ring gamitin ang FortiCloud cloud service para mag-imbak ng mga log.
Ang Syslog ay isang server para sa sentral na pag-iimbak ng mga log mula sa mga network device.
Ang FortiCloud ay isang subscription-based na pamamahala sa seguridad at serbisyo sa pag-iimbak ng log. Sa tulong nito, maaari kang malayuang mag-imbak ng mga log at bumuo ng mga naaangkop na ulat. Kung mayroon kang medyo maliit na network, ang isang magandang solusyon ay maaaring gamitin ang cloud service na ito sa halip na bumili ng karagdagang kagamitan. Mayroong libreng bersyon ng FortiCloud na may kasamang lingguhang imbakan ng log. Pagkatapos bumili ng isang subscription, ang mga log ay maaaring maimbak sa loob ng isang taon.
Ang FortiAnalyzer at FortiManager ay mga external na log storage device. Dahil sa katotohanan na lahat sila ay may parehong operating system - FortiOS - ang pagsasama ng FortiGate sa mga device na ito ay hindi nagpapakita ng anumang mga paghihirap.
Gayunpaman, may mga pagkakaiba na dapat tandaan sa pagitan ng FortiAnalyzer at FortiManager na mga device. Ang pangunahing layunin ng FortiManager ay sentralisadong pamamahala ng maraming FortiGate device - samakatuwid, ang halaga ng memorya para sa pag-iimbak ng mga log sa FortiManager ay makabuluhang mas mababa kaysa sa FortiAnalyzer (kung, siyempre, naghahambing kami ng mga modelo mula sa parehong segment ng presyo).
Ang pangunahing layunin ng FortiAnalyzer ay tiyak na mangolekta at magsuri ng mga log. Samakatuwid, higit pa nating isasaalang-alang ang pagtatrabaho dito sa pagsasanay.
Ang buong teorya, pati na rin ang praktikal na bahagi, ay ipinakita sa araling video na ito:
Sa susunod na aralin, tatalakayin natin ang mga pangunahing kaalaman sa pangangasiwa ng isang FortiGate unit. Upang hindi ito makaligtaan, sundan ang mga update sa mga sumusunod na channel:
Pinagmulan: www.habr.com