SlideShare une entreprise Scribd logo
1  sur  230
Télécharger pour lire hors ligne
Une formation
Mohamed Anass EDDIK
Formation
Fortigate Security 6.2
Une formation
Cursus Fotigate 6.2
Une formation
Plan
Introduction
1. Configurer les stratégies
2. Configurer le NAT
3. Configurer l’authentification
4. Configurer le logging et monitoring
5. Configurer les certificats
6. Configurer le webfiltering
7. Configurer le contrôle applicatif
8. Configurer l'Antivirus
9. Configurer l'IPS et le DOS
10. Configurer le SSL VPN
Conclusion
Une formation
Public concerné
Support technique
Administrateur sécurité
Avant-vente sécurité
Préparer la Certification NSE4
Une formation
Prérequis
Connaissances en sécurité
Connaissances en TCP/IP
ou bien
A vous de jouer !
Présentation du Lab
de la formation
Une formation
Mohamed Anass EDDIK
Une formation
Schéma du Lab
Environnement du Lab
Connectique VMnet
Plan
Une formation
Environnement du Lab
HQ:LONDRE
Nom machine IP Rôle
DC-londre.alphorm.lan 192.168.1.100 DC + Autorité de certification
Web-srv.alphorm.lan 172.30.30.50 Serveur web
Client.alphorm.lan 172.17.17.20 Client final
Londre-FW.alphorm.lan 192.168.1.99
Fortigate FW + passerelle par défaut + plusieurs
interfaces DMZ
BO:Paris
Nom machine IP Rôle
DC-Paris 172.20.0.100
DC + Autorité de certification + Webmail + Client
final
Paris-FW 172.20.0.1 Fortigate XG FW + passerelle par défaut
Une formation
Connectique VMnet
Nom VMnet Réseau
Lan-Londre VMnet1 192.168.1.0/24
User VMnet2 172.17.17.0/24
DMZ-Srv VMnet3 172.30.30.50
WAN-Londre VMnet4 10.1.1.0/24
WAN-Paris VMnet5 10.2.2.0/24
Lan-Paris VMnet6 172.20.0.0/24
Une formation
Présentation des gammes
Fortigate et la security fabric
Une formation
Mohamed Anass EDDIK
Une formation
La Force de Fortigate
Les gammes Fortigate
Les fonctionnalités Fortigate
La Security Fabric
Plan
La Force du Fortigate
CPU Only
Policy Management
Packet Processing
Deep Inspection
Packet
Processing
CPU
Policy
Management
Content
Inspection
Optimised
SoC
Plus de Performance
Moins de Latence
Moins d’energie
Moins d’espace
Les domaines virtuels flexibles
FortiOS
10 VDOM Inclue
Communication entre VDOMS
Multi-tenant
Les gammes Fortigate
Les gammes Fortigate
Les fonctionnalités Fortigate
Accelerated Firewall IPv4 IPv6
SSL & IPSec VPN (+ADVPN)
Dynamic Web Filtering
Anti-Virus & Anti-Botnet
Application Control & DLP
IPS & IDS
Wan Optimization
(cache, explicit proxy, wanop)
Cloud / on-premise Sandboxing
QoS & Traffic shaping
Identity & Device Awareness
Advanced SD WAN & VXLAN
Mobile Security & Endpoint Control
Security Fabric
Advanced
Threat
Intelligenc
e
Access
Client Cloud
Partner API
NOC/SOC
Network
Application
large puissant automatisé
Présentation des gammes
Fortigate et la security fabric
Une formation
Mohamed Anass EDDIK
Une formation
La Force de Fortigate
Les gammes Fortigate
Les fonctionnalités Fortigate
La Security Fabric
Plan
La Force du Fortigate
CPU Only
Policy Management
Packet Processing
Deep Inspection
Packet
Processing
CPU
Policy
Management
Content
Inspection
Optimised
SoC
Plus de Performance
Moins de Latence
Moins d’energie
Moins d’espace
Les domaines virtuels flexibles
FortiOS
10 VDOM Inclue
Communication entre VDOMS
Multi-tenant
Les gammes Fortigate
Les gammes Fortigate
Les fonctionnalités Fortigate
Accelerated Firewall IPv4 IPv6
SSL & IPSec VPN (+ADVPN)
Dynamic Web Filtering
Anti-Virus & Anti-Botnet
Application Control & DLP
IPS & IDS
Wan Optimization
(cache, explicit proxy, wanop)
Cloud / on-premise Sandboxing
QoS & Traffic shaping
Identity & Device Awareness
Advanced SD WAN & VXLAN
Mobile Security & Endpoint Control
Security Fabric
Advanced
Threat
Intelligenc
e
Access
Client Cloud
Partner API
NOC/SOC
Network
Application
large puissant automatisé
Comprendre les critères
et actions
Une formation
Mohamed Anass EDDIK
Une formation
Comment fonctionne une règle pare-
Feu?
Relation critères et actions
Lab
Plan
Une formation
Règle du Pare-feu
Quand une session de paquet IP arrive
Implicit Deny
Une formation
Critères et actions
Security
Profile
Authentication
Interfaces entrée sortie
Source et destination IP address/user/device
Services
Schedules
Action = ACCEPT or DENY
Logging
Critères et actions
Critère par Source Critère par destination
Source adresse (IP, réseau,FQDN,Géographie,…) Destination adresse (IP,réseau,FQDN,Géographie,…)
Source Utilisateur (Local,distant,FSSO,Certificat) Géographiquement en se basant sur la base de
données mise à jour par Fortiguard
Source machine
Une formation
Configurer et gérer
les stratégies
Une formation
Mohamed Anass EDDIK
Une formation
Stratégie du pare-feu
Traffic Shaper
Lab
Plan
Stratégie du pare-feu
Deny
Accept
config system setting
set ses-denied-traffic enable
end
config system global
set block-session-timer <1-300>
end
Traffic Shapers
Shared Traffic Shaper
Bande passante garantie
Bande passante maximum
Per-IP Traffic Shaper
Bande passante garantie
Bande passante maximum<
Bande passante garantie
Bande passante maximum
Bande passante garantie
Bande passante maximum
Une formation
Surveiller les stratégies
du Fortigate
Une formation
Mohamed Anass EDDIK
Une formation
Monitoring Pare-Feu
Recherche correspondant à la politique en fonction
de critères d'entrée :
• Interface source
• Protocole
• Nécessite des critères d'entrée plus granulaires
• Adresse IP source
• IP / FQDN de destination
Une formation
Configurer
Firewall Policy NAT
Une formation
Mohamed Anass EDDIK
Une formation
NAT ET PAT
Firewall Policy SNAT
Firewall Policy DNAT
Lab
Plan
NAT ET PAT
Firewall Policy SNAT
Firewall Policy DNAT
Lab
Network Address Translation – NAT :
• Changer une adresse de couche IP d'un
paquet
• Certains protocoles tels que SIP ont
également des adresses au niveau de la
couche applicatif, nécessitant des
session helpers/ Proxies
• SNAT et DNAT
Port Address Translation-PAT :
• Changer le numéro de port de la couche
IP d'un paquet
Une formation
NAT ET PAT
Source addresse Ip
Source port
Destination addresse IP
Destination port
Firewall Policy NAT ?
Une formation
Le NAT source et le NAT de destination doivent être
configurés pour chaque stratégie de pare-feu
Le NAT source-SNAT- utilise l'adresse d'interface sortante
ou le pool IP configuré
Le NAT de destination –DNAT- utilise l'adresse IP virtuelle
configurée comme adresse de destination
SNAT : Many-to-One
Une formation
192.168.10.10
Firewall policy
Avec NAT active
wan1 Addresse IP: 203.0.113.10
Addresse IP Source
10.10.10.10
Source port: 1025
Addresse ip destination
192.168.10.10
Destination Port: 80
Addresse IP Source:
203.0.113.10
Port Source: 30912
Addresse Ip Destination:
192.168.10.10
Port Destination: 80
internal
wan1
203.0.113.10
10.10.10.10
SNAT : IP POOL
Une formation
192.168.10.10
Firewall policy
Avec NAT active
wan1 Addresse IP: 203.0.113.2- 203.0.113.10
Addresse IP Source
10.10.10.10
Source port: 1025
Addresse ip destination
192.168.10.10
Destination Port: 80
Addresse IP Source:
203.0.113.2-10
Port Source: 30912
Addresse Ip Destination:
192.168.10.10
Port Destination: 80
internal
wan1
203.0.113.10
10.10.10.10
DNAT : VIP
Une formation
192.168.10.10
Firewall policy
Avec IP addresse destination Vituel+NAT static
wan1 Addresse IP: 203.0.113.10
VIP Translate destination
203.0.113.10->10.10.10.10
Addresse IP Source:
192.168.10.10
Port Source: 30912
Addresse Ip Destination:
203.0.113.10
Port Destination: 80
internal
wan1
10.10.10.10
Une formation
Configurer Central NAT
Une formation
Mohamed Anass EDDIK
Une formation
Activer Central NAT
Central SNAT
Central DNAT
Lab
Plan
Une formation
Activé/désactive Central NAT
Activation en mode CLI (UNIQUEMENT) :
Il faut désactiver l’IP pool et le VIP :
Après activation 2 options sur interface
graphique
config system settings
set central-nat {enable|disable}
end
Central SNAT
Une formation
Firewall Policy NAT enabled
internal
192.168.10.10
wan1
203.0.113.10
Source IP: 10.10.10.1
Source port: 1050
192.168.10.20
Source IP: 172.20.20.10
Source port: 12543
Destination IP: 192.168.10.10
Destination port: 80
Source IP :172.20.20.200
Source port: 2456
Destination IP: 192.168.10.20
Destination port: 80
Central SNAT Policy
Source all
Destination 192.168.10.10
Translated Address
(IP Pool)
203.0.113.10
Protocol TCP (6)
Destination IP: 192.168.10.20
Destination port: 80
Destination IP: 192.168.10.10
Destination port: 80
wan1
203.0.113.10
Central DNAT
Une formation
Firewall policy destination address
– all or mapped IP of VIP
Source IP address:
192.168.10.10
Destination IP address:
172.20.20.222
Destination Port: 80
10.10.10.10
192.168.10.10
internal
wan1
203.0.113.10
VIP translates destination
172.20.20.222 -> 10.10.10.10
DNAT & Virtual IPs
External IP/Address
Range
203.0.113.10
Mapped IP
Address/Range
10.10.10.10
Une formation
Comprendre session helpers
et sessions
Une formation
Mohamed Anass EDDIK
Une formation
Session Helpers
Sessions
Lab
Plan
Une formation
NAT64 et NAT46
NAT64 et NAT 46
Un mécanisme qui permet aux hôtes adressés par IPv6 de
communiquer avec les hôtes adressés IPv4 et la réserve
Nat66
NAT entre deux réseaux IPv6
Une formation
Session Helpers
172.16.1.2
172.16.1.1 201.11.1.3
Envoyer le trafic multimédia
à l’adresse IP 172.16.1.2, port
UDP 12546
Envoyer le trafic multimédia
à l’adresse IP 203.0.113.15,
port UDP 12546
Le trafic médiatique vers 203.0.113.15,
port 12546
Trafic multimédia vers
172.16.1.2, port 12546
Le pare-feu configure un tunnel
retour pour le port 12546
Le Traffic retour est autorisé même
s’il y avait pas de stratégie pare-
feu explicitement configuré
Table de session
Une formation
La table de session stocke les informations sur les
sessions comme suit :
• Adresses source et de destination, paires de
numéros de port, état, délai d'attente
• Interfaces source et destination
• Actions NAT source et de destination
Quand la table de session est pleine, réduire le
TTL peut beaucoup aider
Diagnose sys session
Une formation
Effacer tout filtre précédent
diagnose sys session filter clear
Définir le filtre
diagnose sys session filter ?
dport destination port
dst destination IP address
policy policy id
sport source port
src source ip address
Répertorie toutes les entrées correspondant au filtre configuré
diagnose sys session list
Purger toutes les entrées correspondant au filtre configuré
diagnose sys session clear
Diagnose sys session
Une formation
Etat du TCP, ICMP et UDP
Une formation
TCP State Value Expire Timer in sec
(default)
NONE 0 10
ESTABLISHED 1 3600
SYN_SENT 2 120
SYN & SYN/ACK 3 60
FIN_WAIT 4 120
TIME_WAIT 5 120
CLOSE 6 10
CLOSE_WAIT 7 120
LAST_ACK 8 30
LISTEN 9 120
UDP State Value
UDP traffic one way only 0
UDP traffic both ways 1
Etat TCP ETAT UDP
Etat ICMP
proto_state Toujours 00
Une formation
Découvrir les différentes
méthodes d'authentification
Une formation
Mohamed Anass EDDIK
Une formation
Authentification par mot de passe local
Authentification par mot de passe basé sur
le serveur externe
Deux facteurs d’authentification
Méthode d’authentification active/passive
Plan
Une formation
Authentification locale
FortiGate
1
Login et mot de passe
2
Compte utilisateur enregistré localement
Authentification à distance
Une formation FortiGate
Serveur
distant
1
Login et mot de
passe
2
OK
4
3
Username and
password
Un administrateur peut :
Créez un compte pour l'utilisateur localement et spécifiez le
serveur pour vérifier le mot de passe ou
Ajouter le serveur d'authentification à un groupe d'utilisateurs
Tous les utilisateurs de ce serveur deviennent membres du groupe.
2 facteurs d’authentification
Une formation
Algorithm
Time* Seed+
Algorithm
Time Seed+
Same OTP value
Same seed
Validation ServerOTP generator
Time sync with accurate NTP source
Static password + OTP
Validate static
password1
2
3
4
Authentification active/passive
Une formation
Active :
L'utilisateur reçoit une invite de connexion
Doit entrer manuellement les informations d'identification pour
s'authentifier
LDAP, RADIUS, Local et TACACS +
Passive :
L'utilisateur ne reçoit pas d'invite de connexion
Les informations d'identification sont déterminées
automatiquement
FSSO, RSSO et NTLM
Une formation
Configurer un serveur
d'authentification
Une formation
Mohamed Anass EDDIK
Une formation
Comprendre le LDAP
Tester LDAP
Comprendre le RADIUS
Tester RADIUS
Lab
Plan
Une formation
Comprendre le LDAP
Client LDAP(FortiGate) Directory System Agent
(DSA)
TCP port 389
Utilisateur
Lightweight Directory Access Protocol (LDAP)
Une formation
Comprendre le LDAP
dc=example,dc=com
ou=people
cn=John Smith
uid=jsmith
cn=user2
uid=userid2
cn=usern
uid=useridn
Domain Component (DC)
Container object
Leaf object
Tester LDAP
Une formation
# diagnose test authserver ldap ADserver aduser1
Training!
authenticate 'aduser1' against 'ADserver' succeeded!
Group membership(s) - CN=AD-
users,OU=Training,DC=trainingAD,DC=training,DC=lab
diagnose test authserver <server_name>
<username> <password>
Example :
Comprendre le RADIUS
Une formation
Utilisateur FortiGate
RADIUS Server
Access-Request
Access-Accept
Access-Reject
Access-Challenge
or
or
RADIUS est un protocole standard qui fournit des services
AAA
Tester RADIUS
Une formation
# diagnose test authserver radius FortiAuth-RADIUS
pap student fortinet
authenticate 'aduser1' against 'pap' succeeded,
server=primary assigned_rad_session_id=810153440
session_timeout=0 secs!
Group membership(s) - remote-AD-admins
diagnose test authserver radius
<server_name> <scheme> <user> <password>
Example:
Une formation
Créer un portail captif sur
Fortigate
Une formation
Mohamed Anass EDDIK
Une formation
Portail Captif
Mentions légales de service
Personnalisation des messages du
portail
Délai d’authentification
Lab
Plan
Une formation
Portail Captif
Port 2Port 1
Reseau Local FortiGate
Portail captif
activé ici
Portail captif
activé ici
Il peut héberger le portail captif sur un FortiGate ou un serveur
d’authentification externe
Mentions légales de service
#config firewall policy
edit <policy_id>
set disclaimer enable
end
Affiche la page termes et contrat de non-
responsabilité avant que l’utilisateur n’authentifie
L’utilisateur doit accepter la clause de non-
responsabilité pour procéder
Une fois accepté, l’utilisateur est dirigé vers la
destination d’origine
Messages du portail
Une formation
System > Replacement Messages
Délai d’authentification
Une formation
#config user setting
set auth-timeout-type [idle-timeout|hard-timeout|new-session]
end
Une formation
Comprendre les logs
Une formation
Mohamed Anass EDDIK
Une formation
Plan
Processus du logging
Type de log
Log severity
Présentation du message de journal
L’effet du logging sur les performances
Lab
Processus du logging
NTP SERVEUR est recommandé
L’intéret des logs:
• surveiller les volumes de trafic réseau et Internet
• diagnostiquer les problèmes
• établir des lignes de base normales pour reconnaître les
anomalies et les tendances
Une formation
Type de log
Traffic Event Security
Forward Endpoint Control Application Control
Local High Availability Antivirus
Sniffer System Data Leak Prevention (DLP)
User Anti-Spam
Router Web Filter
VPN Intrusion Prevention System (IPS)
WAD Anomaly (DoS-policy)
Wireless WAF
Les journaux d’optimisation WAN se trouvent dans les journaux de trafic
Log severity
Une formation
Levels Description
0 – Emergency System unstable
1 – Alert Immediate action required
2 – Critical Functionality affected
3 – Error Error exists that can affect functionality
4 – Warning Functionality could be affected
5 – Notification Information about normal events
6 – Information General system information
Log messages
Une formation
date=2016-06-14 time=12:05:28 logid=0316013056 type=utm
subtype=webfilter eventtype=ftgd_blk level=warning vd=root
date=2016-06-14 time=12:05:28 logid=0316013056 type=utm
subtype=webfilter eventtype=ftgd_blk level=warning vd=root
Log header (similaire dans tous les journaux)
Log body (varie selon le type du journal)
policyid=1 sessionid=10879 user="" srcip=10.0.1.10
srcport=60952 srcintf="port3" dstip=52.84.14.233 dstport=80
dstintf="port1" proto=6 service="HTTP" hostname="miniclip.com"
profile="default" action=blocked reqtype=direct
url="/favicon.ico" sentbyte=297 rcvdbyte=0 direction=outgoing
msg="URL belongs to a denied category in policy" method=domain
cat=20 catdesc="Games" crscore=30 crlevel=high
policyid=1 sessionid=10879 user="" srcip=10.0.1.10
srcport=60952 srcintf="port3" dstip=52.84.14.233 dstport=80
dstintf="port1" proto=6 service="HTTP" hostname="miniclip.com"
profile="default" action=blocked reqtype=direct
url="/favicon.ico" sentbyte=297 rcvdbyte=0 direction=outgoing
msg="URL belongs to a denied category in policy" method=domain
cat=20 catdesc="Games" crscore=30 crlevel=high
Logging sur les performances
Une formation
Plus de journaux = plus de CPU, de mémoire et d'espace
disque
En fonction de votre trafic et des paramètres de
journalisation activés, vos journaux de trafic se gonflent et
affectent les performances de votre pare-feu
Les journaux de trafic enregistrent chaque session :
informations supplémentaires pour le dépannage
quelques événements UTM
plus intensive du système
Une formation
Configurer les logs
Une formation
Mohamed Anass EDDIK
Une formation
Stockage des logs
Quelle configuration génère des logs
Comportement lorsque le disque local est plein
Stockage des logs FortiAnalyzer et Fortimanager
FortiAnalyzer n’est pas disponible ?
Reliable Logging et OFTPS
Lab
Plan
Une formation
Stockage des logs
Local logging Remote logging
Memory
Hard drive Syslog SNMP
FortiAnalyzer
FortiManager
FortiCloud
Une formation
Génération des logs
Policy Log Setting
Security
Profiles
Behavior
Log Allowed Traffic =
disabled
Disabled Pas de Forward Traffic ou de Security Logs
Log Allowed Traffic =
disabled
Enabled Pas de Forward Traffic ou de Security Logs
Security Events =
enabled
Disabled Pas de Forward Traffic ou de Security Logs
Security Events =
enabled
Enabled Les événements de logs de sécurité s’affichent dans
le log de trafic avancé et le journal de sécurité. Un
forward traffic log génère pour des paquets
provoquant un événement de sécurité.
All Sessions =
enabled
Disabled Un journal de trafic à terme génère pour chaque
session unique.
All Sessions =
disabled
Enabled Les événements de journal de sécurité s’affichent
dans le journal de trafic avancé et le journal de
sécurité. Un journal de trafic vers l’avant génère pour
chaque session unique
Le disque local est plein
Une formation
Par défaut, quand le disque est plein, les anciens logs vont être écrasés
C’est configurable – il peut être changé et arrêter le logging si le disque est
plein
Le Fortigate affiche les warnings avant que le disque soit plein :
• Premier warning a 75%
• Deuxième warning a 90%
• Dernier warning a 95%
FortiAnalyzer et Fortimanager
Une formation
FortiAnalyzer n’est pas UP?
Une formation
Le process miglogd de Fortigate cache les logs sur
Fortigate quand FortiAnalyzer n’est pas connecté
Quand la valeur du cache est atteinte miglogd va arrêter de
recevoir les logs
Reliable Logging et OFTPS
Une formation
Changement des logs transport de l’UDP vers le TCP
Le TCP fournit un transfert de données fiable, il garantit que les données
transférées restent intactes et arrivent dans le même ordre dans lequel elles
ont été envoyées
Si le logging est activé sur FortiAnalyzer au niveau de l’interface le reliable
logging est auto-activé
Si vous utilisez le reliable logging, vous pouvez utiliser le SSL-secured OFTP
(OFTPS)
Une formation
Surveiller les logs
Une formation
Mohamed Anass EDDIK
Une formation
Filtrage Log
Confidentialité au niveau des logs
Backup logs
SNMP
Lab
Plan
Une formation
Filtrage Log
On peut configurer le filtrage log pour spécifier quel log
configurer, vous pouvez configurer jusqu’à 4 syslog :
Config log [syslogd | syslogd2 | syslogd3 | syslogd4] filter
Une formation
Confidentialité
Il y a des loi qui oblige que le nom d’utilisateur soit
confidentiel (GDPR)
Config log setting
set user-anonymize enable
end
Backup logs
Une formation
Trois méthodes de sauvegarde des journaux (copie des
fichiers journaux de la base de données à l’emplacement
spécifié) :
• Ftp
• Tftp
• Usb
# execute backup disk alllogs usb
# execute backup disk log usb <log_type>
# execute backup disk alllogs usb
# execute backup disk log usb <log_type>
SNMP
Une formation
SNMP agent
FortiGate
SNMP manager
Fortinet MIB
Une formation
Créer des rapports
Une formation
Mohamed Anass EDDIK
Une formation
Rapport d’apprentissage
Rapport de sécurité
Lab
Plan
Une formation
Rapport d’apprentissage
Rapport d’apprentissage : rapport d’apprentissage sur
l’évaluation des cybermenaces
Action = LEARN sur la politique de pare-feu
Capture des données sur tous les vecteurs de trafic et de
sécurité
Recueille et consigne des données significatives à des fins
de recommandation, notamment :
• Méthodologie de déploiement
• Résumé
Productivité de l’utilisateur (Utilisation de l’application,
utilisation du Web)
Une formation
Rapport d’apprentissage
Rapport local : rapport de sécurité
Fortigate peut :
• Exécuter le rapport à la demande, quotidiennement ou
hebdomadaire
• Envoyer un rapport
Compile l’activité des fonctionnalités de sécurité à partir de
différents journaux liés à la sécurité
Une formation
Gérer les certificats
Une formation
Mohamed Anass EDDIK
Une formation
Pourquoi Fortigate utilise le certificat Digital ?
Utiliser le certificat pour identifier une personne ou
un équipement
Fortigate vérifie la signature digital
Authentification d’utilisateur basée sur un certificat
Authentification de serveur Web basée sur un
certificat
Lab
Plan
Une formation
FG et le certificat digital
Inspection
Le fortigate émet temporairement un certificat pour une inspection full ssl
Fortigate peut inspecter les certificats pour être sûr qu’ils sont valides et
qu’on peut leur faire confiance
Privacy
Fortigate utilise le certificat pour créer des connexions ssl avec d’autres
équipements comme le fortiguard
Authentification
Les utilisateurs qui possèdent le certificat digital peuvent se connecter au
fortigate
Les administrateurs peuvent utiliser le certificat comme un deuxième facteur
d’authentification pour se connecter au fortigate
Le certificat pour une personne ou un
équipement
Digital certificat ?
Une identité numérique produite et signée par une
autorité de certification
Fortigate utilise le X.509v3 standard certificat
Les champs sujet et nom alternatif de sujet du
certificat identifient l'appareil ou la personne
associée au certificat
La confiance des certificats
Fortigate fait une panoplie de check avant de faire
confiance au certificat :
Le check de la révocation
La possession d’un certificat par un CA
Date de validité
Validation de la signature digital
Une formation
Fortigate vérifie la signature digital
Une formation
Authentification d’utilisateur
Doit inclure le certificat d’autorité de
certification (et la clé publique) qui a
signé le certificat utilisateur
Vérifie également le certificat est toujours
valide, n’a pas expiré, et n’est pas sur une
CRL
Vérifie également le certificat est toujours
valide, n’a pas expiré, et n’est pas sur une
CRL
Authentication
server
Le certificat utilisateur comprend:
Signature de l’autorité de certification, qui est cryptée à
l’aide de la clé privée de l’AC
Clé publique de l’utilisateur
Une formation
Authentification de serveur
Certificat de serveur Web
signé par CA et crypté
avec la clé privée de CA
Le navigateur doit inclure le certificat
d’autorité de certification (et la clé
publique) qui a signé le certificat de
serveur Web
Le navigateur vérifie également le
certificat est toujours valide, n’a pas
expiré, et n’est pas sur une CRL
Le navigateur vérifie également le
certificat est toujours valide, n’a pas
expiré, et n’est pas sur une CRL
Website
Une formation
Configurer l'authentification
à la base du certificat
Une formation
Mohamed Anass EDDIK
Une formation
Génération du CSR pour un CA
Backup et restauration du Certificat
Configuration du certificat pour
VDOM et Global
Lab
Plan
Une formation
Génération du CSR pour un CA
FortiGate CA
Certificate
Backup et restauration du Certificat
Password-protected
PKCS#12 file
Certificats locaux de
Dispositif FortiGate
CA CA’s certificates
Private
FortiGate
execute vpn certificate local import tftp
<file-name_str> <tftp_ip>
execute vpn certificate local export tftp
<certificate-name_str> <file-name_str>
<tftp_ip>
Une formation
Certificat pour VDOM et Global
config certificate local
edit Fortinet_Factory
end
end
set range <global/vdom>
set source <factory/user/fortiguard>
La configuration CA et certificate local sont
disponibles par VDOM
Une formation
Utiliser le Certificat SSL
Une formation
Mohamed Anass EDDIK
Une formation
Certificat SSL auto-signé
SSL entre Fortigate et un web serveur
Inspection SSL complète en sortie
Certificat SSL non approuvé
Inspection SSL complète et
HSTS/HPKP
Lab
Plan
Une formation
Certificats SSL auto-signés
FortiGateCertificate
Store
Par défaut, FortiGate utilise un certificat SSL auto-signé :
Non répertorié avec une autorité de certification approuvée, par défaut, pas de
confiance
Une formation
SSL Fortigate et web serveur
Le navigateur envoie un
message hello au Web Sever.
Le message inclut la version
SSL et l’algorithme qu’il
prend en charge
Le serveur répond avec la
version SSL et les
algorithmes qui seront
utilisés pendant la session
et que les deux côtés
supportent . Il envoie
aussi son certificat
Serveur
web
Partie 1
Une formation
SSL Fortigate et web serveur
Serveur
web
Le serveur décode le secret pré-
maître à l’aide de sa clé privée
FortiGate génère un secret pré-
maître crypté à l’aide de la clé
publique du serveur Web, et
l’envoie au Serveur
Parie 2
Une formation
SSL Fortigate et web serveur
Serveur web
Les deux parties dérivent
un master secret basé
sur le secret pré-maître
La clé de session
(symétrique) est générée
en fonction du master
secret partagé
échange Digest
Partie 3
Une formation
Inspection full SSL en sortie
Le navigateur pense qu’il
est connecté directement
au serveur Web
SSL est établi entre FortiGate
et le Bowser, et beween
FortiGate et le serveur Web
Le certificat de serveur Web
FortiGate-produit est envoyé
au navigateur
La clé privée de l’autorité de
certification signe un certificat qui se
camouflait en tant que serveur Web
Une formation
Certificat SSL non approuvé
FortiGate
Une formation
Full ssl et HSTS/HPKP
Certains serveurs Web implémentent des mesures de sécurité pour
atténuer les attaques MITM
HTTP STRICT TRANSPORT SECURITY (HSTS)
Un mécanisme par lequel les sites Web sont accessibles
uniquement via des connexions sécurisées
http public key pinning (HPKP) : associe ou épingle une clé
publique à un serveur Web spécifique
Une formation
Utiliser le web et DNS
filtering
Une formation
Mohamed Anass EDDIK
Une formation
Quand le filtrage s’active ?
Types d’inspection de filtrage Web
Fonctionnement des Catégories
Filtre Web FortiGuard catégorie action :
Authentifier
URL Filtering
DNS Filtering
Lab
Plan
Quand le filtrage s’active ?
Le filtrage est basé
sur les réponses
• DNS Filter:
o nameserver
• Web Filter:
o HTTP 200
www.acme.com
DNS Request
DNS Response
HTTP GET
HTTP 200
SYN
ACK
SYN/ACK
DNS Filter
Web Filter
Une formation
Inspection de filtrage Web
• Le trafic est mis en cache
• Prend en charge toutes les fonctionnalités possibles de filtrage
de sites Web
Proxy-
based
• Débit plus élevé que le proxy
• Pas de mise en cache des données (en transmission)
• Ne prend pas en charge toutes les fonctionnalités de filtrage
du site
Flow-
based
• Très léger (faible utilisation du CPU et de la mémoire)
• Pas aussi granulaire que le flux ou le proxy (nom d’hôte et
adresse IP uniquement)
• Ne prend pas en charge la plupart des fonctionnalités de
filtrage du site
DNS-
based
Une formation
Les Catégories
URL: www.example.com
Block
Allow
Monitor
Authenticate
Categories action:
Warning
Block
Allow
Monitor
Web Filter DNS Filter
URL Categories
DNS Service
Une formation
Catégorie action : authentifier
1. Define Users and Group
2. Set Action = Authenticate
3. Select User_Group
WebFilter_Group
www.youtube.com
Une formation
URL Filtering
URL: www.somesite.com/someurl
Block
Une formation
DNS Filtering
Le filtrage est
basé sur les
réponses
• DNS Filter:
o nameserver
www.acme.co
m
DNS Request
DNS Response (8.8.8.8)
DNS Filter
DNS Request (FortiGuard SDNS)
DNS Response (Fortiguard SDNS)
Une formation
Découvrir les modes
d'inspection
Une formation
Mohamed Anass EDDIK
Une formation
Flow based inspection
NGFW Mode
Proxy based inspection
Lab
Plan
Une formation
Flow based inspection
Mode d’inspection par défaut
Utilise la correspondance de modèle d’approche de filtre direct
(DFA) à passage unique pour identifier les attaques éventuelles de
menaces
Le fichier est scanné sur une base de flux en passant par FortiGate
Numérisation plus rapide
Une formation
NGFW Mode
Seulement disponible en mode flow based :
Comprend deux modes:
Basé sur le profil: nécessite l’administrateur pour créer et configurer
application et le filtrage Web, puis les appliquer à la stratégie
sélectionnée
Basé sur les stratégies: permet aux administrateurs d’appliquer le
contrôle d’application et le filtrage Web directement à une stratégie de
pare-feu, sans avoir à configurer des profils de filtrage Web
Une formation
Proxy based inspection
Inspection plus approfondie
Ajoute de la latence (le contenu complet est analysé)
Deux connexions TCP
Du client à Fortgate agissant en tant que serveur proxy
De FortiGate au serveur
La communication est terminée sur la couche 4
Plus de ressources intensives
Provienne d’un niveau plus élevé de protection contre les
menaces
Une formation
Diagnostiquer
le WebFiltering
Une formation
Mohamed Anass EDDIK
Une formation
Filtrage des moteurs de recherche
Filtrage de contenu Web
Ordre d’inspection HTTP
Connexion Fortriguard
Cache WebFilter
Lab
Plan
Une formation
Filtrage moteurs de recherche
config webfilter profile
edit default
config web
set safe-search url
set safe-search header
end
end
Accès youtube restreint
Disponible en mode
d'inspection par proxy
Requiert que Fortigate utilise une inspection SSL profonde
Non pris en charge lors de l'utilisation de l'inspection par certificat
Fortigate nécessite un accès complet à la couche d'application
Limite les sites Web ou les images aux résultats de recherche
Une formation
Filtrage de contenu Web
Analyser le contenu de chaque site Web accepté par
les politiques de sécurité
Faire correspondre le contenu des caractères
génériques ou des expressions régulières perl
Le nombre maximal de modèles de contenu Web
dans une liste est 5000
Une formation
Ordre d’inspection HTTP
Static URL
Filter
FortiGuard
Filter
Advanced
Filters
EXEMPT
(from ALL further inspection)
URL
Block Page Block Page Block Page
Display Page
Exempt
Block
Allowed
Block
Allowed
Block
Allowed
Une formation
Connexion Fortriguard
Local # diagnose debug rating
Locale : english
License : Contract
-=- Server List (Tue Jun 7 10:41:32 2016) -=-
IP Weight RTT Flags TZ Packets Curr Lost Total Lost
96.45.33.65 0 72 -8 868 0 114
96.45.33.64 0 72 -8 868 0 114
208.91.112.196 0 106 DI -8 859 0 80
208.91.112.198 0 118 D -8 867 0 32
64.26.151.37 30 17 -5 769 0 1
Le filtrage de catégorie FortiGuard nécessite une connexion
en direct
Une formation
Cache Web Filter
Améliore les performances en réduisant les demandes à FortiGuard
Le cache est vérifié avant d’envoyer une demande au serveur
FortiGuard
Ports UDP 53 ou 8888 pour les communications de fortiguad
Activé par défaut
Une formation
Configurer
le control applicatif
Une formation
Mohamed Anass EDDIK
Une formation
Application Control?
Structure hiérarchique
Profil du contrôle applicatif
Lab
Plan
Une formation
Application Contrôle?
Utilise le moteur IPS
Analyse basée sur le flux (non basée sur Proxy)
Peut détecter même si les utilisateurs tentent de contourner via un proxy externe
Une formation
Structure hiérarchique
Une formation
Profil du contrôle applicatif
Permet de filtrer le trafic en fonction de :
Catégories
Les applications similaires sont regroupées
Peut afficher les signatures de contrôle d’application pour cette catégorie
Peut configurer des actions pour des catégories prédéfinies
Remplacements d’applications
Permet de configurer l’action pour des signatures/applications spécifiques
Remplacements de filtres
Fournit un moyen plus flexible de créer une catégorisation d’application
basée sur: le comportement, la popularité, le protocole, le risque et ainsi de
suite
Une formation
Diagnostiquer
le contrôle applicatif
Une formation
Mohamed Anass EDDIK
Une formation
Le traffic shaping du control applicatif
Diagnostique du control applicatif
Lab
Plan
Le traffic shaping
Total: 1,536 Kbps
Other applications: 136Kbps
Video: 1,400Kbps
Contrôle granulaire de l’utilisation de la bande passante
Un certain trafic ne peut pas être distingué par le numéro de port/IP
Seul le trafic qui correspond à la signature est façonné
N’interférera pas avec d’autres applications sur le même port/protocole
Utile pour gérer les applications gourmandes en bande passante
Une formation
Diagnostique du control applicatif
Si FortiGuard a des problèmes de mise à jour, assurez-vous
que :
• FortiGate a une connexion stable à Internet
• FortiGate est capable de résoudre le DNS
• Le port TCP 443 est ouvert
• Force FortiGate pour vérifier les nouveaux updates d’application
• Vérifiez que la version de base de données de signature de
contrôle d’application est à jour avec le site Web FortiGuard
Si FortiGuard a des problèmes de mise à jour, assurez-vous
que :
• FortiGate a une connexion stable à Internet
• FortiGate est capable de résoudre le DNS
• Le port TCP 443 est ouvert
• Force FortiGate pour vérifier les nouveaux updates d’application
• Vérifiez que la version de base de données de signature de
contrôle d’application est à jour avec le site Web FortiGuard
Une formation
Configurer l’Antivirus
Une formation
Mohamed Anass EDDIK
Une formation
Technique d’analyse antivirus
Sandboxing
Accélération matérielle pour l’analyse
antivirus
Lab
Plan
Technique d’analyse antivirus
Analyse antivirus
Détecte et élimine les logiciels malveillants en temps réel
(arrêter les menaces de propagation)
Prévois la réputation du client de votre adresse IP publique
Balayage grayware
Utilise la signature graywares
Détecte et bloque les programmes non sollicités
Analyse heuristique
Recherche de virus comme le code
Compte les attributs du virus comme Fausse positive possible
Sandboxing
Fortisandbox détecte les attaques Zero-Day avec une grande certitude
FortiGate télécharge des fichiers vers fortisandbox Cloud ou fortisandbox appliance
Les fichiers téléchargés sont exécutés dans un environnement isolated (VMs)
Frortisandbox examine les effets du logiciel pour détecter de nouveaux logiciels malveillants
Une formation
Accélération matérielle
Une formation
Découvrir les différents
modes de scan
Une formation
Mohamed Anass EDDIK
Une formation
Full flow-based mode
Quick flow-based mode
Proxy-based mode
Lab
Plan
Une formation
Full flow-based mode
Une formation
Quick flow-based mode
Une formation
Proxy-based mode
Une formation
Configurer l’IPS
Une formation
Mohamed Anass EDDIK
Une formation
Zero-day-attack
Fonctionnement de l’IPS
Que sont les décodeurs de protocole ?
Signature personnalisée
Configuration des capteurs IPS
Lab
Plan
Une formation
Zero-day-attack
« est une vulnérabilité informatique n'ayant fait l'objet
d'aucune publication ou n'ayant aucun correctif connu.
L'existence d'une telle faille sur un produit informatique
implique qu'aucune protection n'existe, qu'elle soit palliative
ou définitive »
Wikipédia
Uniquement basé sur le flux
Exploits connus qui match la signatures
Erreurs de réseau et anomalies de protocole
Bases de données de signatures IPS
Décodeurs de protocole
Moteur IPS:
• Contrôle de l’application
• Antivirus
• Filtre Web
• Filtre de courrier électronique
• DLP
Une formation
Fonctionnement de l’IPS
Une formation
Décodeur de protocole ?
Les décodeurs PARSE les protocoles
Les signatures IPS trouvent une partie d’un protocole qui ne
sont pas conformes
Sélection automatique du décodeur pour le protocole à
chaque couche OSI
Une formation
Signature personnalisée
Une formation
Les capteurs IPS
Une formation
Configurer le DOS
Une formation
Mohamed Anass EDDIK
Une formation
Attack DOS
Types d’attack DOS
DDOS
Lab
Plan
Une formation
Attack DOS
Une formation
Types d’attack DOS
TCP Syn Flood
Les attaquants inondent la victime avec des demandes de connexion TCP/IP
incomplètes
La table de connexion de la victime devient pleine, donc les clients légitimes
ne peuvent pas se connecter
ICMP sweep
Les attaquants envoie le trafic ICMP pour trouver des cibles
Les attaquants attaquent alors les hôtes qui répondent
TCP port scan
Les attaquants attaquent la victime en envoyant des demandes de
connexion TCP/IP à différents ports de destination
Sur la base des réponses, l’attaquant peut cartographier les services qui
s’exécutent sur le système de la victime
L’attaquant cible ensuite ces ports de destination pour exploiter le système
Une formation
DDOS
Une formation
Configurer le WAF
Une formation
Mohamed Anass EDDIK
Une formation
Web application Firewall (WAF)
Cross Site scripting XSS
SQL Injection
FORTIWEB
Lab
Plan
Une formation
Web application Firewall
Les sites Web sont des cibles attractives pour les
pirates
Le filtrage Web FortiGuard est pour les clients,
pas les serveurs
WAF est destiné à protéger les services Web
La fonctionnalité WAF est disponible
uniquement en mode d’inspection par proxy
Une formation
Cross Site scripting XSS
Une formation
SQL Injection
Les instructions SQL sont insérées dans les champs
d’entrée d’une application Web
L’application Web ne rejette pas les entrées illégales
Lorsque l’application Web se connecte à la base de
données pour ajouter une entrée, elle peut :
• Télécharger des données sensibles (sélectionnez * parmi
les utilisateurs)
• Modifier la base de données (Insérer/supprimer/mettre à
jour)
Une formation
Fortiweb
Une formation
Configurer le SSL VPN
Une formation
Mohamed Anass EDDIK
Une formation
SSL VPN VS IPSec VPN
Mode de déploiement
Comment configurer SSL VPN
Lab
Plan
Une formation
SSL VPN VS IPSec VPN
SSL-VPN IP-SEC
Type de tunnel HTTPS tunnel (SSL/TLS
layer)
IPsec tunnel (ESP layer)
Peut être entre Browser/FortiClient +
FortiGate
FortiClient+ FortiGate
FortiGate + FortiGate
FortiGate+ compatible
third-party IPsec VPN
gateway FortiGate +
compatible third-party
IPsec VPN clients
Se connecter par HTTPS web page on
FortiGate, or
Use fortissl
virtual adapter
(FortiClient)
Site-to-site doesn’t require
IPsec client
Mode Web uniquement
L’IP source de
l’utilisateur est
l’interface IP interne
L’IP source de
l’utilisateur est
l’interface IP interne
L’utilisateur distant se connecte au Portail VPN SSL (page
Web HTTPS sur FortiGate)
Authentification
Accéder aux ressources via des signets de navigateur ou
un widget d’outil de connexion rapide
Mode Tunnel
L’adresse IP de source
de trafic d’utilisateur est
assignée par FortiGate,
comme IPSec
L’adresse IP de source
de trafic d’utilisateur est
assignée par FortiGate,
comme IPSec
L’utilisateur distant se connecte à la passerelle VPN SSL via le
client VPN SSL
authentification
Tunnel créé par l’adaptateur virtuel
Accéder aux ressources via un tunnel crypté (SSL/TLS)
Une formation
Tunneling fractionné
Fractionnement du
tunneling désactivé
Tunneling
fractionné activé
Désactivé
Tout le trafic acheminé par le tunnel VPN SSL à un FortiGate distant, puis à
la destination (y compris le trafic Internet)
Activé
Seul le trafic LAN acheminé via la télécommande FortiGate
Le trafic Internet utilise la passerelle locale
Une formation
Comment configurer SSL VPN
Configurer des comptes d’utilisateurs et des groupes
Configurer le portail
Configuration des paramètres du VPN SSL
Créer une stratégie de pare-feu pour accepter et déchiffrer des
paquets
Généralement utilisé pour permettre l’accès au réseau interne
Facultatif : Créer une stratégie de pare-feu pour acheminer le trafic
vers Internet
Utile lorsque le tunneling fractionné est désactivé pour acheminer
tout le trafic du client via FortiGate vers Internet – FortiGate peut
être utilisé pour appliquer des profils de sécurité
Une formation
Configurer Realms
et bookmark
Une formation
Mohamed Anass EDDIK
Une formation
Realms
Bookmarks
Lab
Plan
Realms
Par défaut, le même portail pour tous les utilisateurs : https://10.0.1.254/
Peut faire des URL pour des portails spécialisés (realms) :
• https://10.0.1.254/sales
• https://10.0.1.254/hr
• https://10.0.1.254/teachers
Bookmarks
config vpn ssl web user-bookmark
edit <user_name>
config bookmarks
edit <bookmark_name>
set apptype {citrix | ftp | portforward | rdp | smb | ssh | telnet | vnc | web}
set description <text_string>
set sso {auto|disable}
next
end
Pas les mêmes que les bookmarks de votre navigateur
À l’intérieur du portail Web VPN SSL
Paramètres pour les applications qui traversent le tunnel VPN
Si activé dans chaque portail, les utilisateurs peuvent créer leurs propres Bookmark
Les administrateurs peuvent:
• Via GUI, afficher/supprimer les Bookmarks des utilisateurs
• Via CLI, créer des Bookmarks d’utilisateurs
Une formation
Surveiller les logs SSL VPN
Une formation
Mohamed Anass EDDIK
Une formation
Meilleure sécurité VPN SSL
Accélération du matériel pour SSL-VPN
Lab
Plan
Une formation
Meilleure sécurité VPN SSL
Vérification de l’intégrité du client
Restreindre les adresses où les clients
peuvent se connecter
Exiger des certificats clients
Authentification à deux facteurs
Forticlient
Accélération du matériel
Pour afficher l’état de l’accélération SSL-VPN, utilisez la commande suivante:
Les appareils Fortiagte avec des processeurs de contenu (CP8 ou CP9), qui
déchargent des opérations spécifiques gourmandes en CPU, prennent en charge
les moteurs de données en vrac SSL-VPN haute performance L’administrateur
peut désactiver le déchargement CP via des stratégies de pare-feu
Une formation
Conclusion
Une formation
Mohamed Anass EDDIK
Une formation
Configurer les stratégies
Configurer le NAT
Configurer l’authentification
Configurer le logging et monitoring
Configurer les certificats
Configurer le webfiltering
Configurer le contrôle applicatif
Configurer l'Antivirus
Configurer l'IPS et le DOS
Configurer le SSL VPN
Bilan
Une formation
Prochaine formation
A vous de jouer !

Contenu connexe

Tendances

Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...DENAGNON FRANCK ✔
 
Transform your enterprise branch with secure sd-wan
Transform your enterprise branch with secure sd-wanTransform your enterprise branch with secure sd-wan
Transform your enterprise branch with secure sd-wanDATA SECURITY SOLUTIONS
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauGeorges Amichia
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationImplémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationRihab Chebbah
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Formation elastix
Formation elastixFormation elastix
Formation elastixbincoul
 
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - RapportImplémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - RapportRihab Chebbah
 

Tendances (20)

Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
 
Transform your enterprise branch with secure sd-wan
Transform your enterprise branch with secure sd-wanTransform your enterprise branch with secure sd-wan
Transform your enterprise branch with secure sd-wan
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Secure sd wan
Secure sd wanSecure sd wan
Secure sd wan
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationImplémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
 
Cours3 ospf-eigrp
Cours3 ospf-eigrpCours3 ospf-eigrp
Cours3 ospf-eigrp
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Formation elastix
Formation elastixFormation elastix
Formation elastix
 
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - RapportImplémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
 

Similaire à Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x

Alphorm.com Formation SOPHOS XG FIREWALL: Les fondamentaux
Alphorm.com Formation SOPHOS XG FIREWALL: Les fondamentauxAlphorm.com Formation SOPHOS XG FIREWALL: Les fondamentaux
Alphorm.com Formation SOPHOS XG FIREWALL: Les fondamentauxAlphorm
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm
 
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau Avancé
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau AvancéAlphorm.com Formation SOPHOS XG FIREWALL : Niveau Avancé
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau AvancéAlphorm
 
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm
 
Alphorm.com Formation Palo Alto : Sécurité avancée
Alphorm.com Formation Palo Alto : Sécurité avancéeAlphorm.com Formation Palo Alto : Sécurité avancée
Alphorm.com Formation Palo Alto : Sécurité avancéeAlphorm
 
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau Expert
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau ExpertAlphorm.com Formation SOPHOS XG FIREWALL : Niveau Expert
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau ExpertAlphorm
 
Alphorm.com Formation FortiWeb : Installation et Configuration
Alphorm.com Formation FortiWeb : Installation et ConfigurationAlphorm.com Formation FortiWeb : Installation et Configuration
Alphorm.com Formation FortiWeb : Installation et ConfigurationAlphorm
 
Alphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administrationAlphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administrationAlphorm
 
Alphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall TroubleshootingAlphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall TroubleshootingAlphorm
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm
 
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2CERTyou Formation
 
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm
 
Secure formation-securiser-les-routeurs-et-switches-cisco
Secure formation-securiser-les-routeurs-et-switches-ciscoSecure formation-securiser-les-routeurs-et-switches-cisco
Secure formation-securiser-les-routeurs-et-switches-ciscoCERTyou Formation
 
Alphorm.com Formation FortiMail : Installation et Configuration
Alphorm.com Formation FortiMail : Installation et ConfigurationAlphorm.com Formation FortiMail : Installation et Configuration
Alphorm.com Formation FortiMail : Installation et ConfigurationAlphorm
 

Similaire à Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x (20)

Alphorm.com Formation SOPHOS XG FIREWALL: Les fondamentaux
Alphorm.com Formation SOPHOS XG FIREWALL: Les fondamentauxAlphorm.com Formation SOPHOS XG FIREWALL: Les fondamentaux
Alphorm.com Formation SOPHOS XG FIREWALL: Les fondamentaux
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
 
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau Avancé
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau AvancéAlphorm.com Formation SOPHOS XG FIREWALL : Niveau Avancé
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau Avancé
 
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
 
Alphorm.com Formation Palo Alto : Sécurité avancée
Alphorm.com Formation Palo Alto : Sécurité avancéeAlphorm.com Formation Palo Alto : Sécurité avancée
Alphorm.com Formation Palo Alto : Sécurité avancée
 
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau Expert
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau ExpertAlphorm.com Formation SOPHOS XG FIREWALL : Niveau Expert
Alphorm.com Formation SOPHOS XG FIREWALL : Niveau Expert
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Alphorm.com Formation FortiWeb : Installation et Configuration
Alphorm.com Formation FortiWeb : Installation et ConfigurationAlphorm.com Formation FortiWeb : Installation et Configuration
Alphorm.com Formation FortiWeb : Installation et Configuration
 
Alphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administrationAlphorm.com Formation F5 BIG-IP : Configuration et administration
Alphorm.com Formation F5 BIG-IP : Configuration et administration
 
soutenance.ppt
soutenance.pptsoutenance.ppt
soutenance.ppt
 
soutenance.ppt
soutenance.pptsoutenance.ppt
soutenance.ppt
 
soutenance.ppt
soutenance.pptsoutenance.ppt
soutenance.ppt
 
soutenance.ppt
soutenance.pptsoutenance.ppt
soutenance.ppt
 
Alphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall TroubleshootingAlphorm.com Formation Palo Alto : Firewall Troubleshooting
Alphorm.com Formation Palo Alto : Firewall Troubleshooting
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
 
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
 
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
 
Secure formation-securiser-les-routeurs-et-switches-cisco
Secure formation-securiser-les-routeurs-et-switches-ciscoSecure formation-securiser-les-routeurs-et-switches-cisco
Secure formation-securiser-les-routeurs-et-switches-cisco
 
Alphorm.com Formation FortiMail : Installation et Configuration
Alphorm.com Formation FortiMail : Installation et ConfigurationAlphorm.com Formation FortiMail : Installation et Configuration
Alphorm.com Formation FortiMail : Installation et Configuration
 
Vinothkumar palaniyappan cv
Vinothkumar palaniyappan cvVinothkumar palaniyappan cv
Vinothkumar palaniyappan cv
 

Plus de Alphorm

Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm
 
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm
 
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm
 

Plus de Alphorm (20)

Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
 
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion Commerciale
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POO
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
 
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
 

Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x

  • 1. Une formation Mohamed Anass EDDIK Formation Fortigate Security 6.2
  • 3. Une formation Plan Introduction 1. Configurer les stratégies 2. Configurer le NAT 3. Configurer l’authentification 4. Configurer le logging et monitoring 5. Configurer les certificats 6. Configurer le webfiltering 7. Configurer le contrôle applicatif 8. Configurer l'Antivirus 9. Configurer l'IPS et le DOS 10. Configurer le SSL VPN Conclusion
  • 4. Une formation Public concerné Support technique Administrateur sécurité Avant-vente sécurité Préparer la Certification NSE4
  • 5. Une formation Prérequis Connaissances en sécurité Connaissances en TCP/IP ou bien
  • 6. A vous de jouer !
  • 7. Présentation du Lab de la formation Une formation Mohamed Anass EDDIK
  • 8. Une formation Schéma du Lab Environnement du Lab Connectique VMnet Plan
  • 9.
  • 10. Une formation Environnement du Lab HQ:LONDRE Nom machine IP Rôle DC-londre.alphorm.lan 192.168.1.100 DC + Autorité de certification Web-srv.alphorm.lan 172.30.30.50 Serveur web Client.alphorm.lan 172.17.17.20 Client final Londre-FW.alphorm.lan 192.168.1.99 Fortigate FW + passerelle par défaut + plusieurs interfaces DMZ BO:Paris Nom machine IP Rôle DC-Paris 172.20.0.100 DC + Autorité de certification + Webmail + Client final Paris-FW 172.20.0.1 Fortigate XG FW + passerelle par défaut
  • 11. Une formation Connectique VMnet Nom VMnet Réseau Lan-Londre VMnet1 192.168.1.0/24 User VMnet2 172.17.17.0/24 DMZ-Srv VMnet3 172.30.30.50 WAN-Londre VMnet4 10.1.1.0/24 WAN-Paris VMnet5 10.2.2.0/24 Lan-Paris VMnet6 172.20.0.0/24
  • 13. Présentation des gammes Fortigate et la security fabric Une formation Mohamed Anass EDDIK
  • 14. Une formation La Force de Fortigate Les gammes Fortigate Les fonctionnalités Fortigate La Security Fabric Plan
  • 15. La Force du Fortigate CPU Only Policy Management Packet Processing Deep Inspection Packet Processing CPU Policy Management Content Inspection Optimised SoC Plus de Performance Moins de Latence Moins d’energie Moins d’espace
  • 16. Les domaines virtuels flexibles FortiOS 10 VDOM Inclue Communication entre VDOMS Multi-tenant
  • 19. Les fonctionnalités Fortigate Accelerated Firewall IPv4 IPv6 SSL & IPSec VPN (+ADVPN) Dynamic Web Filtering Anti-Virus & Anti-Botnet Application Control & DLP IPS & IDS Wan Optimization (cache, explicit proxy, wanop) Cloud / on-premise Sandboxing QoS & Traffic shaping Identity & Device Awareness Advanced SD WAN & VXLAN Mobile Security & Endpoint Control
  • 20. Security Fabric Advanced Threat Intelligenc e Access Client Cloud Partner API NOC/SOC Network Application large puissant automatisé
  • 21. Présentation des gammes Fortigate et la security fabric Une formation Mohamed Anass EDDIK
  • 22. Une formation La Force de Fortigate Les gammes Fortigate Les fonctionnalités Fortigate La Security Fabric Plan
  • 23. La Force du Fortigate CPU Only Policy Management Packet Processing Deep Inspection Packet Processing CPU Policy Management Content Inspection Optimised SoC Plus de Performance Moins de Latence Moins d’energie Moins d’espace
  • 24. Les domaines virtuels flexibles FortiOS 10 VDOM Inclue Communication entre VDOMS Multi-tenant
  • 27. Les fonctionnalités Fortigate Accelerated Firewall IPv4 IPv6 SSL & IPSec VPN (+ADVPN) Dynamic Web Filtering Anti-Virus & Anti-Botnet Application Control & DLP IPS & IDS Wan Optimization (cache, explicit proxy, wanop) Cloud / on-premise Sandboxing QoS & Traffic shaping Identity & Device Awareness Advanced SD WAN & VXLAN Mobile Security & Endpoint Control
  • 28. Security Fabric Advanced Threat Intelligenc e Access Client Cloud Partner API NOC/SOC Network Application large puissant automatisé
  • 29. Comprendre les critères et actions Une formation Mohamed Anass EDDIK
  • 30. Une formation Comment fonctionne une règle pare- Feu? Relation critères et actions Lab Plan
  • 31. Une formation Règle du Pare-feu Quand une session de paquet IP arrive Implicit Deny
  • 32. Une formation Critères et actions Security Profile Authentication Interfaces entrée sortie Source et destination IP address/user/device Services Schedules Action = ACCEPT or DENY Logging
  • 33. Critères et actions Critère par Source Critère par destination Source adresse (IP, réseau,FQDN,Géographie,…) Destination adresse (IP,réseau,FQDN,Géographie,…) Source Utilisateur (Local,distant,FSSO,Certificat) Géographiquement en se basant sur la base de données mise à jour par Fortiguard Source machine
  • 35. Configurer et gérer les stratégies Une formation Mohamed Anass EDDIK
  • 36. Une formation Stratégie du pare-feu Traffic Shaper Lab Plan
  • 37. Stratégie du pare-feu Deny Accept config system setting set ses-denied-traffic enable end config system global set block-session-timer <1-300> end
  • 38. Traffic Shapers Shared Traffic Shaper Bande passante garantie Bande passante maximum Per-IP Traffic Shaper Bande passante garantie Bande passante maximum< Bande passante garantie Bande passante maximum Bande passante garantie Bande passante maximum
  • 40. Surveiller les stratégies du Fortigate Une formation Mohamed Anass EDDIK
  • 41. Une formation Monitoring Pare-Feu Recherche correspondant à la politique en fonction de critères d'entrée : • Interface source • Protocole • Nécessite des critères d'entrée plus granulaires • Adresse IP source • IP / FQDN de destination
  • 43. Configurer Firewall Policy NAT Une formation Mohamed Anass EDDIK
  • 44. Une formation NAT ET PAT Firewall Policy SNAT Firewall Policy DNAT Lab Plan NAT ET PAT Firewall Policy SNAT Firewall Policy DNAT Lab
  • 45. Network Address Translation – NAT : • Changer une adresse de couche IP d'un paquet • Certains protocoles tels que SIP ont également des adresses au niveau de la couche applicatif, nécessitant des session helpers/ Proxies • SNAT et DNAT Port Address Translation-PAT : • Changer le numéro de port de la couche IP d'un paquet Une formation NAT ET PAT Source addresse Ip Source port Destination addresse IP Destination port
  • 46. Firewall Policy NAT ? Une formation Le NAT source et le NAT de destination doivent être configurés pour chaque stratégie de pare-feu Le NAT source-SNAT- utilise l'adresse d'interface sortante ou le pool IP configuré Le NAT de destination –DNAT- utilise l'adresse IP virtuelle configurée comme adresse de destination
  • 47. SNAT : Many-to-One Une formation 192.168.10.10 Firewall policy Avec NAT active wan1 Addresse IP: 203.0.113.10 Addresse IP Source 10.10.10.10 Source port: 1025 Addresse ip destination 192.168.10.10 Destination Port: 80 Addresse IP Source: 203.0.113.10 Port Source: 30912 Addresse Ip Destination: 192.168.10.10 Port Destination: 80 internal wan1 203.0.113.10 10.10.10.10
  • 48. SNAT : IP POOL Une formation 192.168.10.10 Firewall policy Avec NAT active wan1 Addresse IP: 203.0.113.2- 203.0.113.10 Addresse IP Source 10.10.10.10 Source port: 1025 Addresse ip destination 192.168.10.10 Destination Port: 80 Addresse IP Source: 203.0.113.2-10 Port Source: 30912 Addresse Ip Destination: 192.168.10.10 Port Destination: 80 internal wan1 203.0.113.10 10.10.10.10
  • 49. DNAT : VIP Une formation 192.168.10.10 Firewall policy Avec IP addresse destination Vituel+NAT static wan1 Addresse IP: 203.0.113.10 VIP Translate destination 203.0.113.10->10.10.10.10 Addresse IP Source: 192.168.10.10 Port Source: 30912 Addresse Ip Destination: 203.0.113.10 Port Destination: 80 internal wan1 10.10.10.10
  • 51. Configurer Central NAT Une formation Mohamed Anass EDDIK
  • 52. Une formation Activer Central NAT Central SNAT Central DNAT Lab Plan
  • 53. Une formation Activé/désactive Central NAT Activation en mode CLI (UNIQUEMENT) : Il faut désactiver l’IP pool et le VIP : Après activation 2 options sur interface graphique config system settings set central-nat {enable|disable} end
  • 54. Central SNAT Une formation Firewall Policy NAT enabled internal 192.168.10.10 wan1 203.0.113.10 Source IP: 10.10.10.1 Source port: 1050 192.168.10.20 Source IP: 172.20.20.10 Source port: 12543 Destination IP: 192.168.10.10 Destination port: 80 Source IP :172.20.20.200 Source port: 2456 Destination IP: 192.168.10.20 Destination port: 80 Central SNAT Policy Source all Destination 192.168.10.10 Translated Address (IP Pool) 203.0.113.10 Protocol TCP (6) Destination IP: 192.168.10.20 Destination port: 80 Destination IP: 192.168.10.10 Destination port: 80 wan1 203.0.113.10
  • 55. Central DNAT Une formation Firewall policy destination address – all or mapped IP of VIP Source IP address: 192.168.10.10 Destination IP address: 172.20.20.222 Destination Port: 80 10.10.10.10 192.168.10.10 internal wan1 203.0.113.10 VIP translates destination 172.20.20.222 -> 10.10.10.10 DNAT & Virtual IPs External IP/Address Range 203.0.113.10 Mapped IP Address/Range 10.10.10.10
  • 57. Comprendre session helpers et sessions Une formation Mohamed Anass EDDIK
  • 59. Une formation NAT64 et NAT46 NAT64 et NAT 46 Un mécanisme qui permet aux hôtes adressés par IPv6 de communiquer avec les hôtes adressés IPv4 et la réserve Nat66 NAT entre deux réseaux IPv6
  • 60. Une formation Session Helpers 172.16.1.2 172.16.1.1 201.11.1.3 Envoyer le trafic multimédia à l’adresse IP 172.16.1.2, port UDP 12546 Envoyer le trafic multimédia à l’adresse IP 203.0.113.15, port UDP 12546 Le trafic médiatique vers 203.0.113.15, port 12546 Trafic multimédia vers 172.16.1.2, port 12546 Le pare-feu configure un tunnel retour pour le port 12546 Le Traffic retour est autorisé même s’il y avait pas de stratégie pare- feu explicitement configuré
  • 61. Table de session Une formation La table de session stocke les informations sur les sessions comme suit : • Adresses source et de destination, paires de numéros de port, état, délai d'attente • Interfaces source et destination • Actions NAT source et de destination Quand la table de session est pleine, réduire le TTL peut beaucoup aider
  • 62. Diagnose sys session Une formation Effacer tout filtre précédent diagnose sys session filter clear Définir le filtre diagnose sys session filter ? dport destination port dst destination IP address policy policy id sport source port src source ip address Répertorie toutes les entrées correspondant au filtre configuré diagnose sys session list Purger toutes les entrées correspondant au filtre configuré diagnose sys session clear
  • 64. Etat du TCP, ICMP et UDP Une formation TCP State Value Expire Timer in sec (default) NONE 0 10 ESTABLISHED 1 3600 SYN_SENT 2 120 SYN & SYN/ACK 3 60 FIN_WAIT 4 120 TIME_WAIT 5 120 CLOSE 6 10 CLOSE_WAIT 7 120 LAST_ACK 8 30 LISTEN 9 120 UDP State Value UDP traffic one way only 0 UDP traffic both ways 1 Etat TCP ETAT UDP Etat ICMP proto_state Toujours 00
  • 66. Découvrir les différentes méthodes d'authentification Une formation Mohamed Anass EDDIK
  • 67. Une formation Authentification par mot de passe local Authentification par mot de passe basé sur le serveur externe Deux facteurs d’authentification Méthode d’authentification active/passive Plan
  • 68. Une formation Authentification locale FortiGate 1 Login et mot de passe 2 Compte utilisateur enregistré localement
  • 69. Authentification à distance Une formation FortiGate Serveur distant 1 Login et mot de passe 2 OK 4 3 Username and password Un administrateur peut : Créez un compte pour l'utilisateur localement et spécifiez le serveur pour vérifier le mot de passe ou Ajouter le serveur d'authentification à un groupe d'utilisateurs Tous les utilisateurs de ce serveur deviennent membres du groupe.
  • 70. 2 facteurs d’authentification Une formation Algorithm Time* Seed+ Algorithm Time Seed+ Same OTP value Same seed Validation ServerOTP generator Time sync with accurate NTP source Static password + OTP Validate static password1 2 3 4
  • 71. Authentification active/passive Une formation Active : L'utilisateur reçoit une invite de connexion Doit entrer manuellement les informations d'identification pour s'authentifier LDAP, RADIUS, Local et TACACS + Passive : L'utilisateur ne reçoit pas d'invite de connexion Les informations d'identification sont déterminées automatiquement FSSO, RSSO et NTLM
  • 73. Configurer un serveur d'authentification Une formation Mohamed Anass EDDIK
  • 74. Une formation Comprendre le LDAP Tester LDAP Comprendre le RADIUS Tester RADIUS Lab Plan
  • 75. Une formation Comprendre le LDAP Client LDAP(FortiGate) Directory System Agent (DSA) TCP port 389 Utilisateur Lightweight Directory Access Protocol (LDAP)
  • 76. Une formation Comprendre le LDAP dc=example,dc=com ou=people cn=John Smith uid=jsmith cn=user2 uid=userid2 cn=usern uid=useridn Domain Component (DC) Container object Leaf object
  • 77. Tester LDAP Une formation # diagnose test authserver ldap ADserver aduser1 Training! authenticate 'aduser1' against 'ADserver' succeeded! Group membership(s) - CN=AD- users,OU=Training,DC=trainingAD,DC=training,DC=lab diagnose test authserver <server_name> <username> <password> Example :
  • 78. Comprendre le RADIUS Une formation Utilisateur FortiGate RADIUS Server Access-Request Access-Accept Access-Reject Access-Challenge or or RADIUS est un protocole standard qui fournit des services AAA
  • 79. Tester RADIUS Une formation # diagnose test authserver radius FortiAuth-RADIUS pap student fortinet authenticate 'aduser1' against 'pap' succeeded, server=primary assigned_rad_session_id=810153440 session_timeout=0 secs! Group membership(s) - remote-AD-admins diagnose test authserver radius <server_name> <scheme> <user> <password> Example:
  • 81. Créer un portail captif sur Fortigate Une formation Mohamed Anass EDDIK
  • 82. Une formation Portail Captif Mentions légales de service Personnalisation des messages du portail Délai d’authentification Lab Plan
  • 83. Une formation Portail Captif Port 2Port 1 Reseau Local FortiGate Portail captif activé ici Portail captif activé ici Il peut héberger le portail captif sur un FortiGate ou un serveur d’authentification externe
  • 84. Mentions légales de service #config firewall policy edit <policy_id> set disclaimer enable end Affiche la page termes et contrat de non- responsabilité avant que l’utilisateur n’authentifie L’utilisateur doit accepter la clause de non- responsabilité pour procéder Une fois accepté, l’utilisateur est dirigé vers la destination d’origine
  • 85. Messages du portail Une formation System > Replacement Messages
  • 86. Délai d’authentification Une formation #config user setting set auth-timeout-type [idle-timeout|hard-timeout|new-session] end
  • 88. Comprendre les logs Une formation Mohamed Anass EDDIK
  • 89. Une formation Plan Processus du logging Type de log Log severity Présentation du message de journal L’effet du logging sur les performances Lab
  • 90. Processus du logging NTP SERVEUR est recommandé L’intéret des logs: • surveiller les volumes de trafic réseau et Internet • diagnostiquer les problèmes • établir des lignes de base normales pour reconnaître les anomalies et les tendances
  • 91. Une formation Type de log Traffic Event Security Forward Endpoint Control Application Control Local High Availability Antivirus Sniffer System Data Leak Prevention (DLP) User Anti-Spam Router Web Filter VPN Intrusion Prevention System (IPS) WAD Anomaly (DoS-policy) Wireless WAF Les journaux d’optimisation WAN se trouvent dans les journaux de trafic
  • 92. Log severity Une formation Levels Description 0 – Emergency System unstable 1 – Alert Immediate action required 2 – Critical Functionality affected 3 – Error Error exists that can affect functionality 4 – Warning Functionality could be affected 5 – Notification Information about normal events 6 – Information General system information
  • 93. Log messages Une formation date=2016-06-14 time=12:05:28 logid=0316013056 type=utm subtype=webfilter eventtype=ftgd_blk level=warning vd=root date=2016-06-14 time=12:05:28 logid=0316013056 type=utm subtype=webfilter eventtype=ftgd_blk level=warning vd=root Log header (similaire dans tous les journaux) Log body (varie selon le type du journal) policyid=1 sessionid=10879 user="" srcip=10.0.1.10 srcport=60952 srcintf="port3" dstip=52.84.14.233 dstport=80 dstintf="port1" proto=6 service="HTTP" hostname="miniclip.com" profile="default" action=blocked reqtype=direct url="/favicon.ico" sentbyte=297 rcvdbyte=0 direction=outgoing msg="URL belongs to a denied category in policy" method=domain cat=20 catdesc="Games" crscore=30 crlevel=high policyid=1 sessionid=10879 user="" srcip=10.0.1.10 srcport=60952 srcintf="port3" dstip=52.84.14.233 dstport=80 dstintf="port1" proto=6 service="HTTP" hostname="miniclip.com" profile="default" action=blocked reqtype=direct url="/favicon.ico" sentbyte=297 rcvdbyte=0 direction=outgoing msg="URL belongs to a denied category in policy" method=domain cat=20 catdesc="Games" crscore=30 crlevel=high
  • 94. Logging sur les performances Une formation Plus de journaux = plus de CPU, de mémoire et d'espace disque En fonction de votre trafic et des paramètres de journalisation activés, vos journaux de trafic se gonflent et affectent les performances de votre pare-feu Les journaux de trafic enregistrent chaque session : informations supplémentaires pour le dépannage quelques événements UTM plus intensive du système
  • 96. Configurer les logs Une formation Mohamed Anass EDDIK
  • 97. Une formation Stockage des logs Quelle configuration génère des logs Comportement lorsque le disque local est plein Stockage des logs FortiAnalyzer et Fortimanager FortiAnalyzer n’est pas disponible ? Reliable Logging et OFTPS Lab Plan
  • 98. Une formation Stockage des logs Local logging Remote logging Memory Hard drive Syslog SNMP FortiAnalyzer FortiManager FortiCloud
  • 99. Une formation Génération des logs Policy Log Setting Security Profiles Behavior Log Allowed Traffic = disabled Disabled Pas de Forward Traffic ou de Security Logs Log Allowed Traffic = disabled Enabled Pas de Forward Traffic ou de Security Logs Security Events = enabled Disabled Pas de Forward Traffic ou de Security Logs Security Events = enabled Enabled Les événements de logs de sécurité s’affichent dans le log de trafic avancé et le journal de sécurité. Un forward traffic log génère pour des paquets provoquant un événement de sécurité. All Sessions = enabled Disabled Un journal de trafic à terme génère pour chaque session unique. All Sessions = disabled Enabled Les événements de journal de sécurité s’affichent dans le journal de trafic avancé et le journal de sécurité. Un journal de trafic vers l’avant génère pour chaque session unique
  • 100. Le disque local est plein Une formation Par défaut, quand le disque est plein, les anciens logs vont être écrasés C’est configurable – il peut être changé et arrêter le logging si le disque est plein Le Fortigate affiche les warnings avant que le disque soit plein : • Premier warning a 75% • Deuxième warning a 90% • Dernier warning a 95%
  • 102. FortiAnalyzer n’est pas UP? Une formation Le process miglogd de Fortigate cache les logs sur Fortigate quand FortiAnalyzer n’est pas connecté Quand la valeur du cache est atteinte miglogd va arrêter de recevoir les logs
  • 103. Reliable Logging et OFTPS Une formation Changement des logs transport de l’UDP vers le TCP Le TCP fournit un transfert de données fiable, il garantit que les données transférées restent intactes et arrivent dans le même ordre dans lequel elles ont été envoyées Si le logging est activé sur FortiAnalyzer au niveau de l’interface le reliable logging est auto-activé Si vous utilisez le reliable logging, vous pouvez utiliser le SSL-secured OFTP (OFTPS)
  • 105. Surveiller les logs Une formation Mohamed Anass EDDIK
  • 106. Une formation Filtrage Log Confidentialité au niveau des logs Backup logs SNMP Lab Plan
  • 107. Une formation Filtrage Log On peut configurer le filtrage log pour spécifier quel log configurer, vous pouvez configurer jusqu’à 4 syslog : Config log [syslogd | syslogd2 | syslogd3 | syslogd4] filter
  • 108. Une formation Confidentialité Il y a des loi qui oblige que le nom d’utilisateur soit confidentiel (GDPR) Config log setting set user-anonymize enable end
  • 109. Backup logs Une formation Trois méthodes de sauvegarde des journaux (copie des fichiers journaux de la base de données à l’emplacement spécifié) : • Ftp • Tftp • Usb # execute backup disk alllogs usb # execute backup disk log usb <log_type> # execute backup disk alllogs usb # execute backup disk log usb <log_type>
  • 112. Créer des rapports Une formation Mohamed Anass EDDIK
  • 114. Une formation Rapport d’apprentissage Rapport d’apprentissage : rapport d’apprentissage sur l’évaluation des cybermenaces Action = LEARN sur la politique de pare-feu Capture des données sur tous les vecteurs de trafic et de sécurité Recueille et consigne des données significatives à des fins de recommandation, notamment : • Méthodologie de déploiement • Résumé Productivité de l’utilisateur (Utilisation de l’application, utilisation du Web)
  • 115. Une formation Rapport d’apprentissage Rapport local : rapport de sécurité Fortigate peut : • Exécuter le rapport à la demande, quotidiennement ou hebdomadaire • Envoyer un rapport Compile l’activité des fonctionnalités de sécurité à partir de différents journaux liés à la sécurité
  • 117. Gérer les certificats Une formation Mohamed Anass EDDIK
  • 118. Une formation Pourquoi Fortigate utilise le certificat Digital ? Utiliser le certificat pour identifier une personne ou un équipement Fortigate vérifie la signature digital Authentification d’utilisateur basée sur un certificat Authentification de serveur Web basée sur un certificat Lab Plan
  • 119. Une formation FG et le certificat digital Inspection Le fortigate émet temporairement un certificat pour une inspection full ssl Fortigate peut inspecter les certificats pour être sûr qu’ils sont valides et qu’on peut leur faire confiance Privacy Fortigate utilise le certificat pour créer des connexions ssl avec d’autres équipements comme le fortiguard Authentification Les utilisateurs qui possèdent le certificat digital peuvent se connecter au fortigate Les administrateurs peuvent utiliser le certificat comme un deuxième facteur d’authentification pour se connecter au fortigate
  • 120. Le certificat pour une personne ou un équipement Digital certificat ? Une identité numérique produite et signée par une autorité de certification Fortigate utilise le X.509v3 standard certificat Les champs sujet et nom alternatif de sujet du certificat identifient l'appareil ou la personne associée au certificat
  • 121. La confiance des certificats Fortigate fait une panoplie de check avant de faire confiance au certificat : Le check de la révocation La possession d’un certificat par un CA Date de validité Validation de la signature digital
  • 122. Une formation Fortigate vérifie la signature digital
  • 123. Une formation Authentification d’utilisateur Doit inclure le certificat d’autorité de certification (et la clé publique) qui a signé le certificat utilisateur Vérifie également le certificat est toujours valide, n’a pas expiré, et n’est pas sur une CRL Vérifie également le certificat est toujours valide, n’a pas expiré, et n’est pas sur une CRL Authentication server Le certificat utilisateur comprend: Signature de l’autorité de certification, qui est cryptée à l’aide de la clé privée de l’AC Clé publique de l’utilisateur
  • 124. Une formation Authentification de serveur Certificat de serveur Web signé par CA et crypté avec la clé privée de CA Le navigateur doit inclure le certificat d’autorité de certification (et la clé publique) qui a signé le certificat de serveur Web Le navigateur vérifie également le certificat est toujours valide, n’a pas expiré, et n’est pas sur une CRL Le navigateur vérifie également le certificat est toujours valide, n’a pas expiré, et n’est pas sur une CRL Website
  • 126. Configurer l'authentification à la base du certificat Une formation Mohamed Anass EDDIK
  • 127. Une formation Génération du CSR pour un CA Backup et restauration du Certificat Configuration du certificat pour VDOM et Global Lab Plan
  • 128. Une formation Génération du CSR pour un CA FortiGate CA Certificate
  • 129. Backup et restauration du Certificat Password-protected PKCS#12 file Certificats locaux de Dispositif FortiGate CA CA’s certificates Private FortiGate execute vpn certificate local import tftp <file-name_str> <tftp_ip> execute vpn certificate local export tftp <certificate-name_str> <file-name_str> <tftp_ip>
  • 130. Une formation Certificat pour VDOM et Global config certificate local edit Fortinet_Factory end end set range <global/vdom> set source <factory/user/fortiguard> La configuration CA et certificate local sont disponibles par VDOM
  • 132. Utiliser le Certificat SSL Une formation Mohamed Anass EDDIK
  • 133. Une formation Certificat SSL auto-signé SSL entre Fortigate et un web serveur Inspection SSL complète en sortie Certificat SSL non approuvé Inspection SSL complète et HSTS/HPKP Lab Plan
  • 134. Une formation Certificats SSL auto-signés FortiGateCertificate Store Par défaut, FortiGate utilise un certificat SSL auto-signé : Non répertorié avec une autorité de certification approuvée, par défaut, pas de confiance
  • 135. Une formation SSL Fortigate et web serveur Le navigateur envoie un message hello au Web Sever. Le message inclut la version SSL et l’algorithme qu’il prend en charge Le serveur répond avec la version SSL et les algorithmes qui seront utilisés pendant la session et que les deux côtés supportent . Il envoie aussi son certificat Serveur web Partie 1
  • 136. Une formation SSL Fortigate et web serveur Serveur web Le serveur décode le secret pré- maître à l’aide de sa clé privée FortiGate génère un secret pré- maître crypté à l’aide de la clé publique du serveur Web, et l’envoie au Serveur Parie 2
  • 137. Une formation SSL Fortigate et web serveur Serveur web Les deux parties dérivent un master secret basé sur le secret pré-maître La clé de session (symétrique) est générée en fonction du master secret partagé échange Digest Partie 3
  • 138. Une formation Inspection full SSL en sortie Le navigateur pense qu’il est connecté directement au serveur Web SSL est établi entre FortiGate et le Bowser, et beween FortiGate et le serveur Web Le certificat de serveur Web FortiGate-produit est envoyé au navigateur La clé privée de l’autorité de certification signe un certificat qui se camouflait en tant que serveur Web
  • 139. Une formation Certificat SSL non approuvé FortiGate
  • 140. Une formation Full ssl et HSTS/HPKP Certains serveurs Web implémentent des mesures de sécurité pour atténuer les attaques MITM HTTP STRICT TRANSPORT SECURITY (HSTS) Un mécanisme par lequel les sites Web sont accessibles uniquement via des connexions sécurisées http public key pinning (HPKP) : associe ou épingle une clé publique à un serveur Web spécifique
  • 142. Utiliser le web et DNS filtering Une formation Mohamed Anass EDDIK
  • 143. Une formation Quand le filtrage s’active ? Types d’inspection de filtrage Web Fonctionnement des Catégories Filtre Web FortiGuard catégorie action : Authentifier URL Filtering DNS Filtering Lab Plan
  • 144. Quand le filtrage s’active ? Le filtrage est basé sur les réponses • DNS Filter: o nameserver • Web Filter: o HTTP 200 www.acme.com DNS Request DNS Response HTTP GET HTTP 200 SYN ACK SYN/ACK DNS Filter Web Filter
  • 145. Une formation Inspection de filtrage Web • Le trafic est mis en cache • Prend en charge toutes les fonctionnalités possibles de filtrage de sites Web Proxy- based • Débit plus élevé que le proxy • Pas de mise en cache des données (en transmission) • Ne prend pas en charge toutes les fonctionnalités de filtrage du site Flow- based • Très léger (faible utilisation du CPU et de la mémoire) • Pas aussi granulaire que le flux ou le proxy (nom d’hôte et adresse IP uniquement) • Ne prend pas en charge la plupart des fonctionnalités de filtrage du site DNS- based
  • 146. Une formation Les Catégories URL: www.example.com Block Allow Monitor Authenticate Categories action: Warning Block Allow Monitor Web Filter DNS Filter URL Categories DNS Service
  • 147. Une formation Catégorie action : authentifier 1. Define Users and Group 2. Set Action = Authenticate 3. Select User_Group WebFilter_Group www.youtube.com
  • 148. Une formation URL Filtering URL: www.somesite.com/someurl Block
  • 149. Une formation DNS Filtering Le filtrage est basé sur les réponses • DNS Filter: o nameserver www.acme.co m DNS Request DNS Response (8.8.8.8) DNS Filter DNS Request (FortiGuard SDNS) DNS Response (Fortiguard SDNS)
  • 151. Découvrir les modes d'inspection Une formation Mohamed Anass EDDIK
  • 152. Une formation Flow based inspection NGFW Mode Proxy based inspection Lab Plan
  • 153. Une formation Flow based inspection Mode d’inspection par défaut Utilise la correspondance de modèle d’approche de filtre direct (DFA) à passage unique pour identifier les attaques éventuelles de menaces Le fichier est scanné sur une base de flux en passant par FortiGate Numérisation plus rapide
  • 154. Une formation NGFW Mode Seulement disponible en mode flow based : Comprend deux modes: Basé sur le profil: nécessite l’administrateur pour créer et configurer application et le filtrage Web, puis les appliquer à la stratégie sélectionnée Basé sur les stratégies: permet aux administrateurs d’appliquer le contrôle d’application et le filtrage Web directement à une stratégie de pare-feu, sans avoir à configurer des profils de filtrage Web
  • 155. Une formation Proxy based inspection Inspection plus approfondie Ajoute de la latence (le contenu complet est analysé) Deux connexions TCP Du client à Fortgate agissant en tant que serveur proxy De FortiGate au serveur La communication est terminée sur la couche 4 Plus de ressources intensives Provienne d’un niveau plus élevé de protection contre les menaces
  • 158. Une formation Filtrage des moteurs de recherche Filtrage de contenu Web Ordre d’inspection HTTP Connexion Fortriguard Cache WebFilter Lab Plan
  • 159. Une formation Filtrage moteurs de recherche config webfilter profile edit default config web set safe-search url set safe-search header end end Accès youtube restreint Disponible en mode d'inspection par proxy Requiert que Fortigate utilise une inspection SSL profonde Non pris en charge lors de l'utilisation de l'inspection par certificat Fortigate nécessite un accès complet à la couche d'application Limite les sites Web ou les images aux résultats de recherche
  • 160. Une formation Filtrage de contenu Web Analyser le contenu de chaque site Web accepté par les politiques de sécurité Faire correspondre le contenu des caractères génériques ou des expressions régulières perl Le nombre maximal de modèles de contenu Web dans une liste est 5000
  • 161. Une formation Ordre d’inspection HTTP Static URL Filter FortiGuard Filter Advanced Filters EXEMPT (from ALL further inspection) URL Block Page Block Page Block Page Display Page Exempt Block Allowed Block Allowed Block Allowed
  • 162. Une formation Connexion Fortriguard Local # diagnose debug rating Locale : english License : Contract -=- Server List (Tue Jun 7 10:41:32 2016) -=- IP Weight RTT Flags TZ Packets Curr Lost Total Lost 96.45.33.65 0 72 -8 868 0 114 96.45.33.64 0 72 -8 868 0 114 208.91.112.196 0 106 DI -8 859 0 80 208.91.112.198 0 118 D -8 867 0 32 64.26.151.37 30 17 -5 769 0 1 Le filtrage de catégorie FortiGuard nécessite une connexion en direct
  • 163. Une formation Cache Web Filter Améliore les performances en réduisant les demandes à FortiGuard Le cache est vérifié avant d’envoyer une demande au serveur FortiGuard Ports UDP 53 ou 8888 pour les communications de fortiguad Activé par défaut
  • 165. Configurer le control applicatif Une formation Mohamed Anass EDDIK
  • 166. Une formation Application Control? Structure hiérarchique Profil du contrôle applicatif Lab Plan
  • 167. Une formation Application Contrôle? Utilise le moteur IPS Analyse basée sur le flux (non basée sur Proxy) Peut détecter même si les utilisateurs tentent de contourner via un proxy externe
  • 169. Une formation Profil du contrôle applicatif Permet de filtrer le trafic en fonction de : Catégories Les applications similaires sont regroupées Peut afficher les signatures de contrôle d’application pour cette catégorie Peut configurer des actions pour des catégories prédéfinies Remplacements d’applications Permet de configurer l’action pour des signatures/applications spécifiques Remplacements de filtres Fournit un moyen plus flexible de créer une catégorisation d’application basée sur: le comportement, la popularité, le protocole, le risque et ainsi de suite
  • 171. Diagnostiquer le contrôle applicatif Une formation Mohamed Anass EDDIK
  • 172. Une formation Le traffic shaping du control applicatif Diagnostique du control applicatif Lab Plan
  • 173. Le traffic shaping Total: 1,536 Kbps Other applications: 136Kbps Video: 1,400Kbps Contrôle granulaire de l’utilisation de la bande passante Un certain trafic ne peut pas être distingué par le numéro de port/IP Seul le trafic qui correspond à la signature est façonné N’interférera pas avec d’autres applications sur le même port/protocole Utile pour gérer les applications gourmandes en bande passante
  • 174. Une formation Diagnostique du control applicatif Si FortiGuard a des problèmes de mise à jour, assurez-vous que : • FortiGate a une connexion stable à Internet • FortiGate est capable de résoudre le DNS • Le port TCP 443 est ouvert • Force FortiGate pour vérifier les nouveaux updates d’application • Vérifiez que la version de base de données de signature de contrôle d’application est à jour avec le site Web FortiGuard Si FortiGuard a des problèmes de mise à jour, assurez-vous que : • FortiGate a une connexion stable à Internet • FortiGate est capable de résoudre le DNS • Le port TCP 443 est ouvert • Force FortiGate pour vérifier les nouveaux updates d’application • Vérifiez que la version de base de données de signature de contrôle d’application est à jour avec le site Web FortiGuard
  • 177. Une formation Technique d’analyse antivirus Sandboxing Accélération matérielle pour l’analyse antivirus Lab Plan
  • 178. Technique d’analyse antivirus Analyse antivirus Détecte et élimine les logiciels malveillants en temps réel (arrêter les menaces de propagation) Prévois la réputation du client de votre adresse IP publique Balayage grayware Utilise la signature graywares Détecte et bloque les programmes non sollicités Analyse heuristique Recherche de virus comme le code Compte les attributs du virus comme Fausse positive possible
  • 179. Sandboxing Fortisandbox détecte les attaques Zero-Day avec une grande certitude FortiGate télécharge des fichiers vers fortisandbox Cloud ou fortisandbox appliance Les fichiers téléchargés sont exécutés dans un environnement isolated (VMs) Frortisandbox examine les effets du logiciel pour détecter de nouveaux logiciels malveillants
  • 182. Découvrir les différents modes de scan Une formation Mohamed Anass EDDIK
  • 183. Une formation Full flow-based mode Quick flow-based mode Proxy-based mode Lab Plan
  • 189. Une formation Zero-day-attack Fonctionnement de l’IPS Que sont les décodeurs de protocole ? Signature personnalisée Configuration des capteurs IPS Lab Plan
  • 190. Une formation Zero-day-attack « est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive » Wikipédia
  • 191. Uniquement basé sur le flux Exploits connus qui match la signatures Erreurs de réseau et anomalies de protocole Bases de données de signatures IPS Décodeurs de protocole Moteur IPS: • Contrôle de l’application • Antivirus • Filtre Web • Filtre de courrier électronique • DLP Une formation Fonctionnement de l’IPS
  • 192. Une formation Décodeur de protocole ? Les décodeurs PARSE les protocoles Les signatures IPS trouvent une partie d’un protocole qui ne sont pas conformes Sélection automatique du décodeur pour le protocole à chaque couche OSI
  • 196. Configurer le DOS Une formation Mohamed Anass EDDIK
  • 197. Une formation Attack DOS Types d’attack DOS DDOS Lab Plan
  • 199. Une formation Types d’attack DOS TCP Syn Flood Les attaquants inondent la victime avec des demandes de connexion TCP/IP incomplètes La table de connexion de la victime devient pleine, donc les clients légitimes ne peuvent pas se connecter ICMP sweep Les attaquants envoie le trafic ICMP pour trouver des cibles Les attaquants attaquent alors les hôtes qui répondent TCP port scan Les attaquants attaquent la victime en envoyant des demandes de connexion TCP/IP à différents ports de destination Sur la base des réponses, l’attaquant peut cartographier les services qui s’exécutent sur le système de la victime L’attaquant cible ensuite ces ports de destination pour exploiter le système
  • 202. Configurer le WAF Une formation Mohamed Anass EDDIK
  • 203. Une formation Web application Firewall (WAF) Cross Site scripting XSS SQL Injection FORTIWEB Lab Plan
  • 204. Une formation Web application Firewall Les sites Web sont des cibles attractives pour les pirates Le filtrage Web FortiGuard est pour les clients, pas les serveurs WAF est destiné à protéger les services Web La fonctionnalité WAF est disponible uniquement en mode d’inspection par proxy
  • 205. Une formation Cross Site scripting XSS
  • 206. Une formation SQL Injection Les instructions SQL sont insérées dans les champs d’entrée d’une application Web L’application Web ne rejette pas les entrées illégales Lorsque l’application Web se connecte à la base de données pour ajouter une entrée, elle peut : • Télécharger des données sensibles (sélectionnez * parmi les utilisateurs) • Modifier la base de données (Insérer/supprimer/mettre à jour)
  • 209. Configurer le SSL VPN Une formation Mohamed Anass EDDIK
  • 210. Une formation SSL VPN VS IPSec VPN Mode de déploiement Comment configurer SSL VPN Lab Plan
  • 211. Une formation SSL VPN VS IPSec VPN SSL-VPN IP-SEC Type de tunnel HTTPS tunnel (SSL/TLS layer) IPsec tunnel (ESP layer) Peut être entre Browser/FortiClient + FortiGate FortiClient+ FortiGate FortiGate + FortiGate FortiGate+ compatible third-party IPsec VPN gateway FortiGate + compatible third-party IPsec VPN clients Se connecter par HTTPS web page on FortiGate, or Use fortissl virtual adapter (FortiClient) Site-to-site doesn’t require IPsec client
  • 212. Mode Web uniquement L’IP source de l’utilisateur est l’interface IP interne L’IP source de l’utilisateur est l’interface IP interne L’utilisateur distant se connecte au Portail VPN SSL (page Web HTTPS sur FortiGate) Authentification Accéder aux ressources via des signets de navigateur ou un widget d’outil de connexion rapide
  • 213. Mode Tunnel L’adresse IP de source de trafic d’utilisateur est assignée par FortiGate, comme IPSec L’adresse IP de source de trafic d’utilisateur est assignée par FortiGate, comme IPSec L’utilisateur distant se connecte à la passerelle VPN SSL via le client VPN SSL authentification Tunnel créé par l’adaptateur virtuel Accéder aux ressources via un tunnel crypté (SSL/TLS)
  • 214. Une formation Tunneling fractionné Fractionnement du tunneling désactivé Tunneling fractionné activé Désactivé Tout le trafic acheminé par le tunnel VPN SSL à un FortiGate distant, puis à la destination (y compris le trafic Internet) Activé Seul le trafic LAN acheminé via la télécommande FortiGate Le trafic Internet utilise la passerelle locale
  • 215. Une formation Comment configurer SSL VPN Configurer des comptes d’utilisateurs et des groupes Configurer le portail Configuration des paramètres du VPN SSL Créer une stratégie de pare-feu pour accepter et déchiffrer des paquets Généralement utilisé pour permettre l’accès au réseau interne Facultatif : Créer une stratégie de pare-feu pour acheminer le trafic vers Internet Utile lorsque le tunneling fractionné est désactivé pour acheminer tout le trafic du client via FortiGate vers Internet – FortiGate peut être utilisé pour appliquer des profils de sécurité
  • 217. Configurer Realms et bookmark Une formation Mohamed Anass EDDIK
  • 219. Realms Par défaut, le même portail pour tous les utilisateurs : https://10.0.1.254/ Peut faire des URL pour des portails spécialisés (realms) : • https://10.0.1.254/sales • https://10.0.1.254/hr • https://10.0.1.254/teachers
  • 220. Bookmarks config vpn ssl web user-bookmark edit <user_name> config bookmarks edit <bookmark_name> set apptype {citrix | ftp | portforward | rdp | smb | ssh | telnet | vnc | web} set description <text_string> set sso {auto|disable} next end Pas les mêmes que les bookmarks de votre navigateur À l’intérieur du portail Web VPN SSL Paramètres pour les applications qui traversent le tunnel VPN Si activé dans chaque portail, les utilisateurs peuvent créer leurs propres Bookmark Les administrateurs peuvent: • Via GUI, afficher/supprimer les Bookmarks des utilisateurs • Via CLI, créer des Bookmarks d’utilisateurs
  • 222. Surveiller les logs SSL VPN Une formation Mohamed Anass EDDIK
  • 223. Une formation Meilleure sécurité VPN SSL Accélération du matériel pour SSL-VPN Lab Plan
  • 224. Une formation Meilleure sécurité VPN SSL Vérification de l’intégrité du client Restreindre les adresses où les clients peuvent se connecter Exiger des certificats clients Authentification à deux facteurs Forticlient
  • 225. Accélération du matériel Pour afficher l’état de l’accélération SSL-VPN, utilisez la commande suivante: Les appareils Fortiagte avec des processeurs de contenu (CP8 ou CP9), qui déchargent des opérations spécifiques gourmandes en CPU, prennent en charge les moteurs de données en vrac SSL-VPN haute performance L’administrateur peut désactiver le déchargement CP via des stratégies de pare-feu
  • 228. Une formation Configurer les stratégies Configurer le NAT Configurer l’authentification Configurer le logging et monitoring Configurer les certificats Configurer le webfiltering Configurer le contrôle applicatif Configurer l'Antivirus Configurer l'IPS et le DOS Configurer le SSL VPN Bilan
  • 230. A vous de jouer !