Get best of the week

9. Fortinet Getting Started v6.0. Registro e informes



¡Saludos! Bienvenido a la novena lección de Fortinet Getting Started . En la última lección, examinamos los mecanismos básicos para controlar el acceso de los usuarios a varios recursos. Ahora tenemos otra tarea: es necesario analizar el comportamiento de los usuarios en la red, así como configurar la recepción de datos que pueden ayudar en la investigación de varios incidentes de seguridad. Por lo tanto, en esta lección consideraremos el mecanismo de registro e informes. Para hacer esto, necesitamos el FortiAnalyzer, que implementamos al comienzo del curso. La teoría necesaria, así como una lección en video están disponibles bajo el corte.

Los registros de FotiGate se dividen en tres tipos: registros de tráfico, registros de eventos y registros de seguridad. Ellos, a su vez, se dividen en subtipos.

Los registros de tráfico registran la información del flujo de tráfico, como solicitudes y respuestas, si las hay. Este tipo contiene subtipos de reenvío, local y sniffer.

El subtipo Forward contiene información sobre el tráfico que FortiGate acepta o rechaza de acuerdo con las políticas de firewall.

El subtipo local contiene información de tráfico directamente de la dirección IP de FortiGate y de las direcciones IP desde las que se realiza la administración. Por ejemplo, conexiones a la interfaz web FortiGate.

El subtipo Sniffer contiene los registros de tráfico que se obtuvieron mediante la duplicación de tráfico.

Los registros de eventos contienen eventos administrativos o del sistema, como agregar o cambiar parámetros, establecer y romper túneles VPN, eventos de enrutamiento dinámico, etc. Todos los subtipos se muestran en la figura a continuación.

Y el tercer tipo son los registros de seguridad. Estos registros registran eventos relacionados con ataques de virus, visitas a recursos prohibidos, uso de aplicaciones prohibidas, etc. También se presenta una lista completa en la figura a continuación.



Los registros se pueden almacenar en diferentes lugares, tanto en FortiGate como más allá. El almacenamiento de registros en FortiGate se considera registro local. Dependiendo del dispositivo en sí, los registros se pueden almacenar en la memoria flash del dispositivo o en el disco duro. Por lo general, los modelos intermedios tienen un disco duro. Los modelos con disco duro son bastante fáciles de distinguir: al final hay una unidad. Por ejemplo, FortiGate 100E viene sin un disco duro, mientras que FortiGate 101E viene con un disco duro.

Los modelos más jóvenes y más viejos generalmente no tienen un disco duro. En este caso, la memoria flash se usa para grabar registros. Sin embargo, debe tenerse en cuenta que el registro constante de registros en la memoria flash puede reducir su eficiencia y vida útil. Por lo tanto, el registro en la memoria flash está deshabilitado de manera predeterminada. Se recomienda habilitarlo solo para el registro de eventos mientras se resuelven problemas específicos.

Con el registro intensivo, no importa en el disco duro o en la memoria flash: el rendimiento del dispositivo disminuirá.



El almacenamiento de registros en servidores remotos es bastante común. FortiGate puede almacenar registros en servidores Syslog, FortiAnalyzer o FortiManager. También puede usar el servicio en la nube FortiCloud para almacenar registros.



Syslog es un servidor para el almacenamiento central de registros de dispositivos de red.
FortiCloud es un servicio de gestión de registros y seguridad basado en suscripción. Con su ayuda, puede almacenar registros de forma remota y generar informes relevantes. Si tiene una red bastante pequeña, solo usar este servicio en la nube en lugar de comprar equipos adicionales puede ser una buena solución. Hay una versión gratuita de FortiCloud, lo que implica un almacenamiento semanal de registros. Después de comprar una suscripción, los registros se pueden almacenar durante un año.

FortiAnalyzer y FortiManager son dispositivos externos de almacenamiento de registros. Debido al hecho de que todos tienen el mismo sistema operativo, FortiOS, la integración de FortiGate con estos dispositivos no es difícil.

Pero tenga en cuenta las diferencias entre los dispositivos FortiAnalyzer y FortiManager. El objetivo principal de FortiManager es la administración centralizada de varios dispositivos FortiGate; por lo tanto, la cantidad de memoria para almacenar registros en FortiManager es significativamente menor que en FortiAnalyzer (si, por supuesto, compara modelos del mismo segmento de precios).

El objetivo principal de FortiAnalyzer es recopilar y analizar registros. Por lo tanto, es precisamente el trabajo con él lo que consideraremos más adelante en la práctica.

Toda la teoría, así como la parte práctica, se presenta en este video tutorial:


En la próxima lección, cubriremos algunos de los aspectos más destacados de la administración de dispositivos FortiGate. Para no perderse, esté atento a las actualizaciones en los siguientes canales:

More articles:


All Articles