Nhật ký và Báo cáo (Logging and Reporting)

Một phần của tài liệu chuyên đề tìm hiểu thiết bị bảo vệ fortigate-50 và các ứng dụng website bưu điện tỉnh ninh thuận (Trang 49)

ta có thể cấu hình FortiGate - 50 để ghi 3 kiểu nhật ký:

• Nhật ký truyền thông ghi tất cả các sự thử nối xuyên qua FortiGate • Nhật ký sự kiện ghi lại những thay đổi tới cấu hình hệ thống • Nhật ký tấn công ghi lại các sự tấn công đ−ợc ngăn chặn bởi NIDS Ch−ơng này mô tả :

• cấu hình nhật ký

• những định dạng thông báo của nhật ký Cấu hình nhật ký

Ta có thể cấu hình nhật ký ghi dữ liệu nhật ký tới một hoặc hơn những vị trí sau : • Một máy tính chạy syslog server

• Một máy tính chạy bức t−ờng lửa WebTrends server Ta có thể cũng cấu hình loại nhật ký thông tin . • ghi nhật ký trên một máy tính từ xa

• ghi nhật ký trên một WebTrends server • chọn cái gì đến nhật ký

Ghi nhật kýtrên một máy tính từ xa

Sử dụng thủ tục sau để cấu hình FortiGate ghi những nhật ký lên trên một máy tính từ xa. Máy tính từ xa phải đ−ợc cấu hình với một syslog server.

1 Đi tới Log&Report > Log setting.

2 Chọn nhật ký tới máy chủ từ xa để gửi nhật ký đến syslog server. 3 Thêm địa chỉ IP của máy tính chạy phần mềm syslog server. 4 Chọn Apply để l−u lại cấu hình .

Ghi nhật ký trên WebTrends server

Sử dụng thủ tục sau để cấu hình FortiGate ghi nhật ký lên trên một máy server có bức t−ờng lửa WebTrends từ xa cho sự l−u trữ và phân tích . Những định dạng nhật ký FortiGate tuân theo với WebTrends tăng c−ờng định dạng Nhật ký( WELF) và thích hợp với bộ WebTrends Firewall 4.1. Để ghi nhật ký trên WebTrends server :

1 Đi tới Log&Report > Log setting. 2 Chọn Log to WebTrends

3 Thêm địa chỉ IP của WebTrends firewall server . 4 Chọn Apply để l−u lại cấu hình .

Hình 47 : những sự thiết đặt nhật ký ví dụ

Hinh trang 112

Chọn nhật ký gì

Sử dụng thủ tục sau để cấu hình kiểu thông tin đ−ợc ghi trong nhật ký FortiGate - 50.

Ghi chú : Khi chạy trong kiểu Transparent, FortiGate - 50 chỉ hỗ trợ ghi nhật ký cho tất cả các sự kiện. 1 Đi tới Log&Report > Log setting

2 Chọn nhật ký tất cả sự l−u thông mạng bên trong tới Firewall để ghi tất cả các kết nối tới giao diện bên trong.

3 Chọn nhật ký tất cả sự l−u thông mạng bên ngoài tới Firewall để ghi tất cả các kết nối tới giao diện bên ngoài.

4 Chọn nhật ký tất cả các sự kiện để ghi tất cả các sự thay đổi cấu hình cho FortiGate - 50. 5 Chọn Apply để l−u lại cấu hình .

Định dạng thông báo của nhật ký

Những nhật ký l−u thông, nhật ký sự kiện, và nhật ký tấn công của FortiGate tất cả đ−ợc định dạng thông báo của chính mình. Tất cả những định dạng thông báo này thì thích hợp với WebTrends tăng c−ờng định dạng nhật ký (WELF - WebTrends Enhanced Log Format).

Sử dụng thông tin trong những mục sau để giải thích những thông báo nhật ký của FortiGate : • định dạng thông báo nhật ký l−u thông

• định dạng thông báo nhật ký sự kiện • định dạng thông báo nhật ký tấn công

Định dạng thông báo nhật ký l−u thông

Khi ta chọn tùy chọn chính sách nhật ký l−u thông , nhật ký l−u thông ghi những phiên làm việc mà phù hợp với những chính sách của firewall. Mỗi thông báo nhật ký ghi lại ngày giờ mà phiên làm việc bắt đầu, địa chỉ nguồn và đích của phiên làm việc, và phiên làm việc đó đ−ợc chấp nhận hoặc từ chối bởi firewall. Nhật ký l−u thông không ghi những gói riêng lẻ.

Một thông báo nhật ký l−u thông chứa các thông tin sau :

<date> <time> src=<source IP> dst=<destination IP> proto=<destination port> msg="<protocol>, sport=<source port> <packet type> <action>"

ví dụ về thông báo nhật ký l−u thông

2002 Jun 19 15:35:09 src=192.168.2.1 dst=216.21.132.114 proto=80 msg="TCP, sport=3125, SYN, ACCEPT"

2002 Jun 19 16:35:09 src=192.1.1.2 dst=2.3.4.5 proto=25 msg="UDP, sport=UDP, sport=5214, ACCEPT"

Nhật ký sự kiện ghi lại những sự kiện và hoạt động quản lý. Hoạt động quản lý bao gồm những sự kiện thay đổi tới cấu hình hệ thống cũng nh− những đăng nhập của ng−ời quản trị mạng và ng−ời dùng vào mạng và logout ra khỏi mạng. Những sự kiện Hoạt động bao gồm những Hoạt động hệ thống , nh− thành lập đ−ờng truyền VPN, quét virus . . . .

Mỗi mẫu tin thông báo trong nhật ký sự kiện gồm ngày giờ và chi tiết của sự kiện. Cho kết nối tới FortiGate để quản lý và thay đổi cấu hình, thông báo địa chỉ IP của máy tính quản lý.

Những thông báo Quản lý

Tất cả các thông báo sự kiện quản lý có một kiểu mgmt, trừ thông báo mà ghi cấu hình VPN thay đổi thì có kiểu vpn,mgt.

Những thông báo quản lý có định dạng sau :

2002 Jun 19 15:35:10 type=mgmt,msg="User admin login successful at 192.168.2.2 by admin" 2002 Jun 21 20:35:09 type=mgmt,msg="Log&Report setting set successful at 192.168.100.111 by admin"

2002 Jun 19 15:23:09 type=mgmt,msg="Web-Filter banned-word add successful at 192.168.100.111 by admin"

2002 Jun 22 15:35:09 type=vpn,mgmt msg="VPN-ipsec_auto auto add successful at 192.168.100.111 by admin"

Những thông báo về Antivirus

Các thông báo nhật ký sự kiện antivirus đ−ợc ghi lại khi quét virus ngăn chặn một file hoặc phát hiện ra một virus hoặc một sâu bọ trong một file. Những thông báo trong nhật ký sự kiện Antivirus có định dạng sau :

<date> <time> src=<source IP> dst=<destination IP> proto=<protocol> msg="type=<Firewall event type> status=<status information> filename=<filename blocked/infected> virusname=<name of virus detected (infected status only)>"

Ví dụ về thông báo nhật ký sự kiệnAntivirus

2002 Jun 9 10:22:09 src=65.55.34.2 dst=192.168.100.105 proto=smtp msg="type=Anti-Virus status=BLOCKED filename=readme.txt.vbs"

2002 Jun 11 12:35:09 src=65.55.34.2 dst=192.168.100.105 proto=http msg="type=Anti-Virus status=INFECTED filename=readme.exe virusname=W32/Klez.h"

2002 Jun 12 10:35:09 src=65.55.34.2 dst=192.168.100.105 proto=pop3 msg="type=Anti-Virus status=INFECTED filename=readme.exe virusname=CodeRed"

2002 Jun 13 15:35:09 src=65.55.34.2 dst=192.168.100.105 proto=http msg="type=Anti-Virus status=WORM virusname=CodeRed"

Những thông báo lọc Nội dung

Những thông báo lọc nội dung đ−ợc ghi lại khi có sự khóa nội dung hoặc khóa URL xóa một trang web từ một dòng dữ liệu. Những thông báo lọc nội dung có định dạng sau :

<date> <time> src=<source IP> dst=<destination IP> proto=<protocol> msg="type=<Firewall event type> status=<status information> url=<url blocked>"

Ví dụ về thông báo lọc nội dung :

2002 Jun 19 23:35:09 src=25.155.34.2 dst=192.168.100.105 proto=http msg="type=Web-Filter status=BANWORDBLOCK url=www.filtered.com/index.htm"

2002 Jun 12 15:35:02 src=23.11.34.2 dst=192.168.100.105 proto=http msg="type=Web-Filter status=URLBLOCK url=www.filtered.com/index.htm"

Những thông báo NIDS

Những thông báo trong nhật ký về NIDS đ−ợc ghi lại khi hệ thống NIDS phát hiện ra một sự tấn công. Những thông báo NIDS có định dạng sau :

<date> <time> src=<source IP> dst=<destination IP> msg="type=<Firewall event type> attack=<description of intrusion detected>"

Ví dụ về thông báo NIDS :

2002 Jun 22 15:23:09 src=65.55.34.2 dst=192.168.100.105 msg="type=Intrusion attack='Tear Drop Attack' "

2002 Jun 13 12:35:09 src=65.55.34.2 dst=192.168.100.105 msg="type=Intrusion attack='IP Spoof' " 2002 Jun 11 15:22:09 src=65.55.34.2 dst=192.168.100.105 msg="type=Intrusion attack='SYN Flood' "

(Ghi chú : Nếu kiểu chính sách cho những kết nối trong những sự tấn công nào đ−ợc phát hiện ra NAT, Những thông báo khúc gỗ NIDS chứa đựng những địa chỉ NAT IP đảo ng−ợc.)

Những thông báo theo dõi mạng riêng ảo VPN

Những thông báo về mạng riêng ảo VPN đ−ợc ghi khi một đ−ờng truyền riêng VPN đựợc bắt đầu và dừng lại. Những thông báo theo dõi mạng riêng ảo VPN có định dạng sau :

<date> <time> type=vpn, msg=<description of the VPN tunnel status event> Ví dụ về thông báo VPN :

2002 Jun 19 15:35:09 type=vpn, msg="Initiator: tunnel 172.18.0.1/172.16.0.1 main mode phase I succeeded"

Những định dạng thông báo về sự tấn công

Nhật ký tấn công ghi lại khi các cuộc tấn công đ−ợc ngăn chặn bởi FotiGate NIDS . Mỗi mẫu tin trong thông báo tấn công ghi lại ngày giờ mà sự tấn công đã làm, kiểu của sự tấn công, địa chỉ IP của nguồn và đích đến . Những nhật ký thông báo tấn công có định dạng sau :

<date> <time> msg="<Attack type>:<protocol>, src=<source IP>, dst=<destination IP>" Ví dụ về nhật ký thông báo tấn công :

2002 Jun 19 15:35:09 msg="Sync Attack: TCP, src=1.1.1.1 dst=2.2.2.2"

Quản Trị

Đăng nhập vào trang web quản lý Yêu cầu :

• Một máy tính có nối mạng

• Internet Explorer version 4.0 hoặc cao hơn

• Một sợi cáp chéo hoặc một hub và 2 sợi cáp nối mạng Kết nối tới trang web quản lý :

1 Phải chắc rằng máy tính để kết nối tới trang web quản lý đúng cấu hình mạng nh− tại giao diện Fortigate mà ta sẽ kết nối

• Nếu FortiGate đang chạy trong kiểu NAT, thì kết nối tới giao diện có cấu hình cho quản lý HTTPS • Nếu FortiGate đang chạy trong kiểu Transparent, thì kết nối tới giao diện quản lý

2 Khởi động Internet Explorer và duyệt địa chỉ https: // địa chỉ IP của giao diện mà ta kết nối đến. Trang FortiGate Login xuất hiện

Hình 48 trang FortiGate Login

3 Nhập tên và mật khẩu của ng−ời quản trị rồi chọn Login

Tình trạng hệ thống

Đi tới System > Status làm bất kỳ các mục sau để thay đổi tình trạng hệ thống của FortiGatate

• Nâng cấp firmware của FortiGatate (1 ch−ơng trình đ−ợc cài sẳn giống nh− ROM trong bộ nhớ)

Một phần của tài liệu chuyên đề tìm hiểu thiết bị bảo vệ fortigate-50 và các ứng dụng website bưu điện tỉnh ninh thuận (Trang 49)

Tải bản đầy đủ (PDF)

(68 trang)