Selamlar! Kursun dokuzuncu dersine hoş geldiniz . Üzerinde Kullanıcıların çeşitli kaynaklara erişimini kontrol etmeye yönelik temel mekanizmaları inceledik. Şimdi başka bir görevimiz var - kullanıcıların ağdaki davranışlarını analiz etmemiz ve ayrıca çeşitli güvenlik olaylarının araştırılmasına yardımcı olabilecek verilerin alınmasını yapılandırmamız gerekiyor. Bu nedenle bu dersimizde loglama ve raporlama mekanizmasına bakacağız. Bunun için kursun başında konuşlandırdığımız FortiAnalyzer'a ihtiyacımız olacak. Gerekli teorinin yanı sıra bir video dersi de kesimin altında mevcuttur.
FotiGate'de loglar üç türe ayrılır: trafik logları, olay logları ve güvenlik logları. Bunlar da alt türlere ayrılır.
Trafik günlükleri, varsa istekler ve yanıtlar gibi trafik akışı bilgilerini kaydeder. Bu tür Forward, Local ve Sniffer alt türlerini içerir.
İletme alt türü, FortiGate'in güvenlik duvarı politikalarına göre kabul ettiği veya reddettiği trafik hakkında bilgi içerir.
Yerel alt tür, doğrudan FortiGate IP adresinden ve yönetimin gerçekleştirildiği IP adreslerinden gelen trafik hakkında bilgi içerir. Örneğin FortiGate web arayüzüne bağlantılar.
Sniffer alt türü, trafik yansıtma kullanılarak elde edilen trafik günlüklerini içerir.
Olay günlükleri, parametre ekleme veya değiştirme, VPN tünelleri oluşturma ve kesme, dinamik yönlendirme olayları vb. gibi sistem veya yönetim olaylarını içerir. Tüm alt tipler aşağıdaki şekilde gösterilmektedir.
Üçüncü tür ise güvenlik günlükleridir. Bu günlükler, virüs saldırıları, yasaklanmış kaynaklara yapılan ziyaretler, yasaklanmış uygulamaların kullanımı vb. ile ilgili olayları kaydeder. Tam liste aşağıdaki şekilde de sunulmaktadır.
Günlükleri hem FortiGate'in kendisinde hem de dışında farklı yerlerde saklayabilirsiniz. Günlüklerin FortiGate'te saklanması yerel günlük kaydı olarak kabul edilir. Cihazın kendisine bağlı olarak günlükler cihazın flash belleğinde veya sabit diskte saklanabilir. Kural olarak, ortadaki modellerde bir sabit disk bulunur. Sabit sürücülü modellerin ayırt edilmesi oldukça kolaydır - sonunda bir ünite vardır. Örneğin, FortiGate 100E sabit disk olmadan gelirken, FortiGate 101E sabit diskle birlikte gelir.
Daha genç ve daha eski modellerde genellikle sabit disk yoktur. Bu durumda günlükleri kaydetmek için flash bellek kullanılır. Ancak sürekli olarak flash belleğe günlük yazmanın verimliliğini ve hizmet ömrünü azaltabileceğini dikkate almakta fayda var. Bu nedenle günlüklerin flash belleğe yazılması varsayılan olarak devre dışıdır. Belirli sorunları çözerken yalnızca olayların günlüğe kaydedilmesi için etkinleştirilmesi önerilir.
Günlükleri yoğun bir şekilde kaydederken, ister sabit sürücüye ister flash belleğe olsun, cihazın performansı düşecektir.
Günlüklerin uzak sunucularda saklanması oldukça yaygındır. FortiGate, günlükleri Syslog sunucularında, FortiAnalyzer'da veya FortiManager'da saklayabilir. Günlükleri depolamak için FortiCloud bulut hizmetini de kullanabilirsiniz.
Syslog, ağ cihazlarından gelen günlüklerin merkezi olarak depolanmasına yönelik bir sunucudur.
FortiCloud, aboneliğe dayalı bir güvenlik yönetimi ve günlük depolama hizmetidir. Onun yardımıyla günlükleri uzaktan depolayabilir ve uygun raporlar oluşturabilirsiniz. Oldukça küçük bir ağınız varsa ek ekipman satın almak yerine bu bulut hizmetini kullanmak iyi bir çözüm olabilir. FortiCloud'un haftalık günlük depolamayı içeren ücretsiz bir sürümü vardır. Abonelik satın alındıktan sonra günlükler bir yıl boyunca saklanabilir.
FortiAnalyzer ve FortiManager harici günlük depolama cihazlarıdır. Hepsinin aynı işletim sistemine (FortiOS) sahip olması nedeniyle FortiGate'in bu cihazlarla entegrasyonu herhangi bir zorluk yaratmaz.
Ancak FortiAnalyzer ve FortiManager cihazları arasında dikkat edilmesi gereken farklılıklar vardır. FortiManager'ın temel amacı, birden fazla FortiGate cihazının merkezi yönetimidir - bu nedenle, FortiManager'da günlükleri depolamak için kullanılan bellek miktarı, FortiAnalyzer'a göre önemli ölçüde daha azdır (tabii ki aynı fiyat segmentindeki modelleri karşılaştırırsak).
FortiAnalyzer'ın temel amacı tam olarak günlükleri toplamak ve analiz etmektir. Bu nedenle pratikte bununla çalışmayı daha fazla düşüneceğiz.
Teorinin tamamı ve pratik kısmı bu video dersinde sunulmaktadır:
Bir sonraki derste FortiGate ünitesini yönetmenin temellerini ele alacağız. Kaçırmamak için güncellemeleri aşağıdaki kanallardan takip edin:
Kaynak: habr.com
