Contenu connexe Similaire à Fortinet UTM - les Fonctionnalités avancéese (20) Fortinet UTM - les Fonctionnalités avancéese1. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Formation
L’UTM Fortigate
Fonctionnalités avancées
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
2. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Présentation du formateur
• Public concerné
• Connaissances requises
• Liens utiles
• Cursus de formation Fortinet
3. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Présentation du formateur
• Yassine MORSLI
• Ingénieur Réseaux Systèmes et Sécurité
• Yassine.morsli@gmail.com
• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics
CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45
4. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Public concerné
• Administrateurs Sécurité
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI
5. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Connaissances requises
• Formation Fortinet Fortigate UTM (NSE4)
6. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens utiles
• http://www.fortinet.com
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com
7. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cursus de formation Fortinet
FortiAnalyzerFortiAnalyzer
FortiManagerFortiManager
FortimailFortimail FortiWebFortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6
Fortigate –
Fonctionnalités
avancées
Fortigate –
Fonctionnalités
avancées
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
de base
9. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Introduction au
routage des paquets
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Le routage
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
10. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Qu’est ce que le routage IP ?
• Routes statiques
• Routes dynamiques
• Interpréter la table de routage
11. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Qu’est ce que le routage IP ?
• Le routage définit comment les paquets sont envoyés via un chemin
d’une source à une destination :
La destination est un sous réseau, non connecté directement, le routeur
relaie les paquets à un autre routeur connu dans la table de routage
Les informations de la table de routage peuvent être configurées
manuellement, automatiquement ou un mix des deux
• Le Fortigate en mode NAT est entre autre un routeur de niveau 3
12. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Routes statiques
• Configurées manuellement par un administrateur
• Adaptation simple des paquets aux routes, basée sur la destination des adresses
IP sur les paquets
13. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Routes dynamiques
• Les chemins (routes) sont découverts automatiquement :
Le Fortigate communique avec les routeurs voisins pour trouver les meilleures routes pour
leur sous réseau connectés
Basée sur les adresses IP de destination des paquets
Le routage s’organise automatiquement
• Le Fortigate supporte :
Routing Information Protocole (RIP)
Open Shortest Path First (OSPF)
Border Gateway Protocol (BGP)
Intermediate System to Intermediate System (IS-IS)
14. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Table de routage
• Seulement les routes actuellement actives
15. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Composants de la table de routage
• Chaque route de la table de routage dispose de :
Adresse IP de destination et Mask
Adresse IP de la passerelle / Interface
Distance
Metric
Priorité
16. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Distance
• Estime la ‘’qualité’’ de chaque protocole de routage et itinéraire statique :
Une distance moins élevée est considérée plus fiable
Si routes multiples, celle avec la distance la moins élevée est chargée dans la table de routage
• Valeurs des distances par défaut :
Directement connecté 0
Gateway DHCP 5
Routes statiques 10
Routes EBGP 20
Routes OSPF 110
Routes RIP 120
Routes IBGP 200
17. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Metric
• Utilisée par le protocole de routage dynamique pour déterminer la meilleure
route vers une destination
Si routes multiples avec la même distance, celle avec la metric la moins élevée est chargée
dans la table de routage
• La metric est calculée selon le protocole de routage
Le RIP considère le nombre de sauts
OSPF utilise les coûts
18. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Priorité
• Utilisée par les routes statiques pour déterminer la meilleure route vers une
destination
• Si de multiples routes statiques ont la même distance :
Elles seront toutes chargées dans la table de routage
Seule la route avec la priorité la moins élevée sera utilisée pour le routage
19. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Quelles routes sont chargées ?
Le lien de sortie est-il
UP ? (Pas de route si
l’interface est
désactivée/non
connectée)
Existe-t-il des routes
multiples ? (inclus des
routes avec de plus
petites distance)
Les routes multiples
ont-elles des distances
égales ? (inclus des
routes avec les plus
petites metric)
Les routes multiples
ont-elles la même
metric ? Considérer les
spécifications du
protocole de routage
dynamique
20. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Règles de routage
• Concordance plus sophistiquée que les routes statiques
Protocole
Adresse source
Ports source
Ports destination
ToS
• Configurées manuellement
• Prioritaire sur la table de routage
21. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Recherche de route
• Pour chaque session, le Fortigate exécute les règles de routage et la
consultation de la table de routage deux fois :
1. Au premier paquet envoyé
2. Au premier paquet reçu par le répondeur
• Les informations de routage sont écrites dans la table de session
• Tous les autres paquets pour cette session vont utiliser le même chemin
Exception : Après changement de la topologie OSPF, les informations de routes sont
flushées à partir des sessions et doivent être apprises de nouveau
22. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Eléments de la tables de routage
Comment le Fortigate match chaque paquet avec une route
Routes statiques, règles de routage, routage dynamique
23. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
ECMP & Contrôle
de l’état du lien
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Le routage
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
24. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Equal Cost Multi-Path (ECMP)
• Contrôle de l’état des liens
25. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Equal Cost Multiple Path (ECMP)
• Si, plusieurs routes ont :
1. La même distance
2. La même metric
3. La même priorité
4. Et sont des routes statiques/OSPF/BGP
Alors, le Fortigate distribue les paquets via les routes ECMP
26. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Méthodes ECMP
• Basée sur l’IP source (par défaut)
Les sessions à partir de la même adresse IP source utilisent la même route
• Partage de charge basée sur le poids (Weighted load balance)
Les sessions sont distribuées sur la base du poids de chaque interface
• Débordement (Spillover)
Utilise une seule route, jusqu’à atteinte d’un seuil de débordement, si atteint, le Fortigate utilise une
seconde route
• IP Source – IP destination
Les sessions avec la même paire d’IP source/destination utilisent la même route
27. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Equal Cost Multi-Path
Sous réseau : 192.168.1.0/24
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconnue
Internet
Internet
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
28. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Equal Cost Multi-Path
Sous réseau : 192.168.1.0/24
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconnue
Internet
Internet
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
29. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Contrôle de l’état du lien
• Envoie périodiquement des paquets de sonde à un serveur via une
passerelle
• Si le Fortigate ne reçoit pas de réponse durant le temps imparti au seuil
de basculement, une ou deux des actions suivantes sont prises :
Toutes les routes utilisant la passerelle sont supprimées de la table de routage
L’interface du Fortigate est mise à DOWN
• Si des routes secondaires sont disponibles, le Fortigate les charge et les
utilise à la place de la route principale – basculement du routage
30. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration du contrôle de l’état du lien
31. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Equal Cost Multi-Path (ECMP)
Contrôle de l’état du lien
32. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Le routage
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
33. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Reverse Path Forwarding (RPF)
Loose
Strict
34. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding (RPF)
• Le RPF protège contre les attaques de type spoofing d’adresse IP
• Vérifie l’adresse IP source de tous les paquets
Si la route retour vers l’adresse IP source ne concorde pas avec le chemin emprunté par le
paquet original, le paquet est considéré comme frauduleux et il est bloqué
• Le RPF est pris en charge seulement sur :
Le premier paquet de la session, pas sur la réponse
Le paquet suivant dans la direction d’origine après un changement de route, pas sur la
réponse
• En CLI, affiche les paquets bloquésdiagnose debug flow
35. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Sous réseau : 192.168.1.0/24
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
Internet
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconnue
Internet
36. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Sous réseau : 192.168.1.0/24
Routes dans la table de routage
0.0.0.0/0.0.0.0 wan1(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconuue
Internet
Internet
37. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Sous réseau : 192.168.1.0/24
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
Internet
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconnue
Internet
38. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Sous réseau : 192.168.1.0/24
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1
0.0.0.0/0.0.0.0 wan2
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconnue
Internet
Internet
39. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Sous réseau : 192.168.1.0/24
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
IP Source : inconnue
Internet
Internet
Les deux routes par
défaut ont la même
distance et priorité→ ECMP
40. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
RPF Strict vs. RPF Loose
• La vérification du RPF peut être configurée pour être plus stricte
• Le paramètre RPF par défaut est Loose
Vérifie uniquement l’existence d’une route pour l’interface de réception
Le paquet est redirigé même si un meilleur itinéraire est disponible via une autre interface
• RPF stricte
Les adresses sources sont vérifiées dans la table de routage pour trouver la meilleure route (plus petit
sous réseau)
Si le paquet est reçu sur une interface utilisée pour rediriger le trafic vers la source, le paquet est
autorisé
config sys setting
set strict-src-check [disable | enable]
end
41. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Loose RPF
Sous réseau : 10.10.10.0/24
Table de routage :
0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
SYN
SYN ACK
hping –a 10.10.10.5 –p 80 –S 10.10.10.6
42. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Loose RPF
Sous réseau : 10.10.10.0/24
Table de routage :
0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
RST
hping –a 10.10.10.5 –p 80 –S 10.10.10.6
43. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Strict RPF
Sous réseau : 10.10.10.0/24
Table de routage :
0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
SYN
hping –a 10.10.10.5 –p 80 –S 10.10.10.6
44. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Interface de loopback
• Interface ‘’logique’’ toujours UP et disponible
Utile pour les protocoles de routage dynamique
• Tout le trafic destiné pour le loopback s’arrête au Fortigate
45. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Reverse Path Forwarding loose et stricts
46. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Optimisation des liens
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Le routage
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
47. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Améliorer la bande passante et la disponibilité entre deux équipements
via l’agrégation de liens
• Équilibrer la charge en partageant le trafic via de multiples liens WAN
• Utilisation des routes de blackhole
48. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Aggregation de liens
• Groupe de plusieurs ports physiques à partir d’un canal logique unique avec
une plus grande bande passante
Augmente la redondance pour la haute disponibilité
49. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Load Balancing de lien Wan
• Un lien WAN virtuel est constitué de plusieurs interfaces connectées à
différents ISPs
Le Fortigate voit le lien virtuel WAN comme une interface logique unique
Simplifie la configuration
Uniquement un lien WAN virtuel par VDOM
Internet
ISP 1
ISP 2
ISP 3
Lien WAN
virtuel
50. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Méthodes de load balancing des liens WAN
• IP Source (par défaut)
Les sessions provenant de la même adresse IP source utilisent le même lien
• Weighted round robin
Les sessions sont distribuées selon le poids des interfaces
• Débordement (Spillover)
Utilise un seul lien jusqu’à atteinte d’un seuil de débordement, utilise après le lien suivant
• IP Source-Destination
Les sessions avec la même paire d’IP Source/Destination utilisent le même lien
• Volume mesuré
Distribution des sessions de tel sorte à ce que le volume de trafic soit distribué à travers tous les liens
51. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration du load balancing des liens WAN
52. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mesure de la qualité du lien WAN
• Le Fortigate peut mesurer la qualité de chaque interface membre, basée
sur soit la latence ou bien l’instabilité du lien
53. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Interface logique du lien WAN
• Une interface logique nommée wan-load-balance est automatiquement
créée
• Ajouter les routes statiques et les règles de sécurité en utilisant
l’interface logique
54. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Routes trou noir (Blackhole routes)
• Type spécial de routes statiques utilisé pour couper tout le trafic concerné
Prévient les boucles réseau
Les paquets sont écartées silencieusement, pas de message d’erreur ICMP envoyé
Sous réseau :192.168.1.0/24
Routeur: 192.168.1.1
Route internet par défaut :
0.0.0.0Internet
55. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Agrégation de liens
Interface de loopback et routes de trou noir
Load balancing de liens WAN
56. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Diagnostique
de l’état du lien
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Le routage
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
57. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Diagnostiquer et corriger les problèmes de routage
58. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage
# get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
O* 0.0.0.0/0 [10/0] via 192.168.11.254, wan1, 01:29:24
C 172.16.78.0/24 is directly connected, wan2
O 192.168.1.0/24 [110/200] via 182.168.11.59, internal, 01:30:28
C 192.168.3.0/24 is directly connected, dmz
C 192.168.11.0/24 is directly connected, internal
59. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage
# get router info kernel
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.210/3
2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.135.110/3
2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 192.168.8.111/255.255.255.255/0->8.8
.8.8/32 pref=0.0.0.0 gwy=192.168.8.1 dev=6(dmz)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 81.43.23.44/255.255.255.255/0->8.8
.8.8/32 pref=0.0.0.0 gwy=81.43.23.41 dev=5(wan2)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 172.17.0.254/255.255.255.255/0->8.8.
8.8/32 pref=0.0.0.0 gwy=172.17.0.1 dev=4(wan1)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.208/3
1 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)
60. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage
# diagnose ip address list
IP=192.168.12.254->192.168.12.254/255.255.255.0 index=3 devname=wan1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=5 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=7 devname=ProviderA
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=9 devname=ProviderB
IP=172.16.78.254->172.16.78.254/255.255.255.0 index=12 devname=wan2
IP=192.168.3.254->192.168.3.254/255.255.255.0 index=13 devname=dmz
61. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage
# diagnose ip arp list
index=7 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=1835 confirm=55
update=911331 ref=5
index=2 ifname=port1 192.168.1.99 state=00000001 use=174 confirm=916499 update=174
ref=17
index=2 ifname=port1 192.168.1.116 ac:72:89:56:aa:31 state=00000002 use=0 confirm=7
update=12141 ref=2
index=2 ifname=port1 224.0.1.140 01:00:5e:00:01:8c state=00000040 use=911087
confirm=917087 update=911087 ref=1
62. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moniteur de lien
• Affiche le statut du moniteur de l’état du lien et le load balancing du
lien WAN
63. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Comment diagnostiquer ?
64. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La virtualisation de pare-feu
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
65. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Utiliser les VLANs pour diviser logiquement un réseau de niveau 2 en
multiples segments
66. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs
• Subdivise le réseau physique de couche 2 en plusieurs segments plus petits :
Chaque segment forme un broadcast de domaine
Des tags de vlans sont ajoutés aux trames pour identifier leur segment
VLANs
Physical interfaces
67. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tags de VLANs
• Extension de 4 octets de la trame Ethernet
• Les équipements de niveau 2 peuvent ajouter ou supprimer des tags
• Les équipements de niveau 3 peuvent réécrire les tags avant le routage
Le Fortigate est de niveau 3, raison pour laquelle il peut réaliser du routage inter-VLANs
Destination
MAC
Source
MAC
Type Data CRC 32
Ethernet frame using VLAN tags
Type
8100
Tag
Control
Info
2 bytes 2 bytes
•Domaine prioritaire de l’utilisateur
•Indicateur de format canonique
•Identificateur VLAN
68. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs on a FortiGate
Destination
MAC
Source
MAC
Type Data CRC 32
Type
8100
Tag
Control
Info
VLAN A
VLAN B
69. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs on a FortiGate
VLAN 100
Branch office
VLAN 200
Headquarters
VLAN 300
Tag: VLAN 100
Tag: VLAN 100
Tag: VLAN 300 Tag: VLAN 300
Router A Router B
Subnet 1 Subnet 2
70. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLAN Scenario
• Les ordinateurs des comptables situés dans des
sites différents doivent partager des fichiers
fréquemment, mais ne devraient pas
broadcaster aux voisins
• Les Fortigates peuvent traiter les trames de ces
ordinateurs comme s’ils étaient sur le même
réseau local physique
Headquarters
Branch office
Retail office
PC Comptables
PC Comptables
PC Comptables
71. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Créer un VLAN
• Les trames envoyées/reçues par
le segment de l’interface
physique ne sont jamais taguées
Appartiennent au VLAN natif
72. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
VLANs et tags de VLANs
73. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VDOMs
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La virtualisation de pare-feu
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
74. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Utiliser les VDOMs pour convertir le Fortigate en plusieurs boitiers
virtuels
• Limiter les ressources allouées globalement et par VDOM
• Créer des comptes d’administration globaux et par VDOM
75. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Virtual Domains
• Fractionne un Fortigate physique en multiples Fortigates virtuels
Avec des règles de sécurité indépendantes, tables de routage, etc.
• Les paquets sont limités au même VDOM
• Le Fortigate supporte jusqu’à 10 VDOM par défaut
Il est possible sur quelques modèles d’avoir plus
Domain A Domain B Domain C
One physical FortiGate device Multiple virtual FortiGate devices
76. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Allocation de ressources systèmes
• Ressources globales limitent ce qui est alloué à chaque paramètre sur le
Fortigate global
• Ressources VDOM limitent ce qui est alloué à chaque paramètre dans chaque
VDOM
Garantit une allocation de ressources minimales par VDOM
Aucun VDOM ne peut consommer toutes les ressources du boitier
77. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Limites de ressources globales et par VDOM
VDOM 3
Limites de ressources globales
Limites de ressources VDOM
78. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Paramètres globaux
• Affectent tous les domaines virtuels configurés
Hostname
Paramètres DNS
Horloge
Version Firmware
Domain A
Paramètres globaux
79. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Paramètres par VDOM
• Configurés séparément au niveau de chaque VDOM
Mode de fonctionnement
Paramètres de routage
Paramètres de pare-feu
Paramètres UTM
…
Domain A
VDOM
settings
80. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Activer les VDOMs
• En CLI :
config system global
set vdom-admin enable
end
81. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Administrations des VDOMs
• Seuls les comptes nommés ‘’admin’’ ou les comptes avec un profile
‘’super_admin’’ peuvent configurer et sauvegarder tous les VDOMs
Domain A Domain B Domain C
super_admin profile
82. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Administrateurs par VDOM
• Les autres administrateurs peuvent accéder uniquement aux VDOMs auxquels
ils sont assignés
Ne peuvent pas accéder aux paramètres globaux
Peuvent accéder uniquement aux paramètres du VDOM auquel ils sont assignés
Domain A Domain B Domain C
84. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
VDOMs
Ressources globales et par VDOM
Comptes administrateurs de VDOM
85. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens Inter-VDOMs
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La virtualisation de pare-feu
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
86. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Router le trafic entre les VDOMs en utilisant les liens Inter-VDOMs
87. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens Inter-VDOM
• Peut connecter différents VDOMs
• Support varie selon le mode de fonctionnement du VDOM
NAT vers NAT
NAT vers Transparent / Transparent vers NAT
Transparent vers Transparent
Domain A Domain B Domain C
88. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens Inter-VDOMs
• Les liens Inter-VDOMs permettent une communication des VDOMs entre eux
Il n’est pas requis que le trafic quitte une interface physique, puis rentre de nouveau sur le
Fortigate
Nécessite moins d’interfaces physiques et moins de cables
• Les règles de sécurité sont requises pour autoriser le trafic à partir d’autres
VDOMs, de la même manière que pour le trafic provenant d’interfaces
physiques
• Les routes sont également requises pour rediriger le trafic d’un VDOM à un
autre
90. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moniteur des ressources de VDOM
• Le moniteur des VDOMs affiche:
L’utilisation CPU
L’utilisation mémoire
Nombre de sessions
Les sessions par seconde
91. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VDOM de management
• Le VDOM de management est le VDOM qui gère tout le trafic de
gestion
• Il doit avoir accès à tous les services requis par le système
DNS
NTP
Mise à jour FortiGuard
Journalisation vers le FortiAnalyzer ou Syslog
Alertes Email
SNMP
• Par défaut, le VDOM de gestion est le VDOM root
92. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemples : VDOMs inépendants
Internet
VDOM 1 VDOM 2 VDOM 3
Réseau 1 Réseau 2 Réseau 3
Internet
93. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemples : VDOMs inépendants
Internet
VDOM 1 VDOM 2 VDOM 3
Réseau 1 Réseau 2 Réseau 3
Internet
• Plusieurs VDOMs complètement séparés les
uns des autres
• Pas de communication entre les VDOMs
• Chacun a son propre lien de communication
physique vers Internet
94. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Routage via le VDOM de Management
Réseau 1 Réseau 2 Réseau 3
Management VDOM
Internet
VDOM 1 VDOM 2 VDOM 3
95. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Routage via le VDOM de Management
Réseau 1 Réseau 2 Réseau 3
Management VDOM
Internet
VDOM 1 VDOM 2 VDOM 3
• Le trafic sortant toujours routé via le
VDOM root
Le VDOM root est connecté à d’autres via les
liens Inter-VDOMs
• Seul le VDOM root est connecté à
Internet via une interface physique
96. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Maillage de VDOMs
Réseau 1 Réseau 2
Management VDOM
Internet
VDOM 1 VDOM 2
97. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Maillage de VDOMs
Réseau 1 Réseau 2
Management VDOM
Internet
VDOM 1 VDOM 2
• Les VDOMs se connectent entre eux via des liens
Inter-VDOMs
• Il n’est pas requis que le trafic passe via le VDOM
de management sauf pour le trafic Internet
• Seul le VDOM root est connecté à Internet via
une interface physique
• Le routage entre les interfaces virtuelles peut vite
devenir complexe
98. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Liens Inter-VDOMs
Moniteur de ressources par VDOM
Topologies des VDOM
99. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Fortigate en mode
Transparent
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Le mode transparent
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
100. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Choix du meilleur mode de fonctionnement Fortigate
• Segmenter le réseau en plusieurs domaines de redirection
• Prévenir les tempêtes de diffusion et le battement de MAC en utilisant
le jumelage de ports
101. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Modes de fonctionnement
• Définit comment le Fortigate prend en charge le trafic :
Mode NAT/Route
• Routes selon la niveau 3 du modèle OSI, comme un routeur
• Les interfaces du Fortigate disposent d’adresses IP
Mode transparent
• Redirige selon le niveau 2 (adresses MAC), comme un pont transparent
• Ne requiert pas de changement d’adresse IP dans le réseau
• Le Fortigate ne dispose pas d’adresse IP, excepté pour la connexion des administrateurs
102. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mode de fonctionnement – NAT/Route
Internet
wan1
204.23.1.5
internal
192.168.1.99
dmz
10.10.10.1
192.168.1.3
10.10.10.2
Les interfaces disposent
d’adresses IP
Routage basé sur l’IP
103. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mode de fonctionnement – Transparent
Internet
internal
10.10.10.1
Gateway to
public network
204.23.1.5
wan1
10.10.10.3
Switching, pas de routage
Pas d’IPs par interface
(Management IP)
Les règles de sécurité
contrôlent le trafic entre le
réseau interne et le
réseau externe
104. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Pont Transparent
• Un pont est transparent pour les hôtes de couche IP
• Le Fortigate construit une table pour la redirection du trafic en analysant
l’adresse MAC source des trames entrantes à partir des réseaux rattachés
• Fractionne le réseau en plusieurs domaines de collision :
Réduit l’occurrence des collisions des domaines individuels
Peut améliorer le temps de réponse réseau
105. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Redirection de domaine
• Par défaut, toutes les interfaces dans un VDOM appartiennent au même
domaine de broadcast
Même les interfaces avec des ID de VLANs différents
S’il contient de multiples interfaces, le domaine de broadcast peut être très large, interfère
avec le STP, et peut causer du flapping d’adresses MAC
• Pour diviser un VDOM en plusieurs domaines de broadcast
Les interfaces avec le même ID appartiennent au même domaine de broadcast
config system interface
edit <Nom_interface>
set forward-domain <ID_domaine>
end
106. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Domaine de Broadcast
Fortigate en
mode
Transparent
Broadcast ARP sur
VLAN101_wan1
VLAN102_dmz
VLAN104_dmz
Port 1
VLAN101_wan1
VLAN103_dmz
VLAN101_internal
Toutes les interfaces dans
le domaine de forward 0
(par défaut)
107. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Transfert de domaine
Fortigate en
mode
Transparent
Broadcast ARP sur
VLAN101_wan1
VLAN102_dmz
VLAN104_dmz
Port 1
VLAN101_wan1
VLAN103_dmz
VLAN101_internal
config sys interface
edit VLAN101_wan1
set forward-domain 101
end
config sys interface
edit VLAN101_internal
set forward-domain 101
end
VLAN101_internalVLAN101_wan1
Forwarding domain 101
config sys interface
edit VLAN101_wan1
set forward-domain 101
end
config sys interface
edit VLAN101_internal
set forward-domain 101
end
108. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Jumelage de Ports (Port Pairing)
• Lier logiquement deux ports dans un Fortigate en mode Transparent
Habituellement, un port interne et un port externe
• Le trafic est capturé entre ces ports
Le trafic entrant sur un port est tout le temps redirigé vers l’autre port
• Evite la complexité comme les tempêtes de diffusion, et les MAC flapping
109. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Port Pairing
Fortigate en
mode
Transparent
Port1
Internet
Port2
Port3
Wan1
Port Pair → Trafic exclusif
110. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Mode NAT vs. Mode Transparent
Pont Transparent
Redirection de domaines
Jumelage de ports (Port Pairing)
111. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
La cryptographie
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Les certificats
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
112. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Sécurisation du trafic
• Comprendre la cryptographie symétrique
• Comprendre la cryptographie asymétrique
113. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Comment sécuriser le trafic ?
• Sécurise la communication entre deux personnes ou deux périphériques
• Les éléments inclus:
La confidentialité des données
L’intégrité des données
L’authentification
La non répudiation
Internet
114. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie : Confidentialité des données
• Le cryptage brouille les données qui transitent dans le réseau :
Les données sont privées lorsqu’elles transitent
Seuls les destinataires légitimes de la donnée peuvent la déchiffrer
?
115. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie : Intégrité des données
• Les destinataires vérifient que la donnée n’a pas été modifiée durant le transit
sur le réseau :
Le cheksum des données en réception correspond au cheksum en émission
Données créées (Cheksum) Données réçues (Cheksum)
Match
116. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Authentification
• Le récepteur peut vérifier l’identité des expéditeurs de confiance
Permet de confirmer l’origine des données
Information d’identité
annexée à la donnée
Indentité de l’expéditeur vérifiée
et approuvée
117. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Non-Repudiation
• L’expéditeur ne peut pas nier sa participation à l'opération à une date ultérieure
• Les informations d’identité lient l’expéditeur aux données échangées
Information d’identité
annexée à la donnée
L’expéditeur ne peut pas nier
sa participation à l’échange
118. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Chryptographie symétrique
Algorithme Algorithme
Texte plein Algorithme
symétrique
Texte crypté Algorithme
asymétrique
Texte plein
A l’expéditeur Au récepteur
Numéro aléatoire
entre 40 et 256 bits
Le même numéro
119. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie symétrique
• La clé utilisée pour le chiffrement est la même que celle utilisée pour le déchiffrement
• Doit être partagée par l’expéditeur et le destinataire
La clé doit être remise au destinataire en toute sécurité avant de pouvoir déchiffrer la donnée
Avoir une clé découverte ou divulguée compromet toutes les communications basées sur cette clé
• La conversion de la donnée en cryptée et inversement est rapide
Adaptée pour le chiffrement des données en bloc
• Problèmes de gestion de clés
Le nombre de clés devant être gérés augmente avec la taille de la communauté
120. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie asymétrique
• Utilise deux clés différentes : publique et privée
• Les deux clés sont mathématiquement liées
• Extrêmement difficile de deviner la clé publique de la clé privée
• Ce qui a été chiffré par une clé ne peut être déchiffré en utilisant l’autre clé
Grand nombre
aléatoire
Grand nombre
aléatoire
Générateur de
clé
Générateur de
clé
Clé privée
Clé publique
121. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Asymmetric Cryptography
• Les clés publiques sont disponibles pour les destinataires via la PKI ou autre méthodes
• Les clés privées doivent être enregistrées de façon sécurisée, accessibles uniquement pour les propriétaires de
clés
• Elles doivent être protégées pour empêcher les accès non autorisés
Public
Private
PKI
Public
Private
Public
Private
122. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Cryptographie asymétrique
Algorithme Algorithme
Texte plein Algorithme
asymétrique
Texte chiffré Algorithme
asymétrique
Texte plein
A l’expéditeur Au récepteur
Publique Privée
123. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Sécuriser le trafic
Cryptographie symétrique
Cryptographie asymétrique
124. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Les certificats
digitaux
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Les certificats
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
125. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Authentifier les utilisateurs avec des certificats personnels
• Créer et soumettre une requête de certificat
126. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Certificat digital
• Identifie une identité finale (utilisateur ou service réseau)
• Contient des informations de l’entité, inclus sa clé publique
• Publié et signé par une autorité de certification (CA)
Le CA certifie que les informations sont valides et vraies
• Les autorités de certification publiques sont publiquement connues comme
fournisseurs de certificats
GoDaddy, Verisign, etc.
127. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Types de certificats digitaux
• La plupart des types des certificats communs :
Certificats CA : Valide l’autorité de certification (CA) et contient la clé publique du CA
Certificats service local : identifie les services réseau, comme les portails web HTTPS.
Contiennent une clé publique du service réseau
Certificats utilisateur : Identifie un utilisateur et contient la clé publique de l’utilisateur
• Les certificats ‘Utilisateurs’ et ‘Service local’ sont également appelés Certificat
d’entité finale (End-entity certificate)
128. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Champs des certificats digitaux
• Quelques champs dans un certificat digital :
Numéro de série : ID unique
Sujet : l’entité identifiée
Algorithme de signature : l’algorithme utilisé pour créer la
signature
Signature : la signature CA chiffrée avec la clé privée du CA
Emetteur : L’autorité qui a émis et signé le certificat
Valid-From : la date à partir de laquelle le certificat a
commencé à être valide
Valid-To : la date d’expiration
Key-Usage : but de la clé publique
Clé publique : La clé publique de l’entité identifiée
129. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Authentifiation utilisateur par certificat
• La signature du certificat utilisateur a été cryptée en utilisant la clé privée du
CA1
• Le serveur d’authentification doit avoir le certificat CA1, contenant la clé
publique du CA1, pour déchiffrer et valider la signature du certificat utilisateur
Certificat utilisateur
Signé par CA1
Chiffré par CA1
Clé privée
Certificat utilisateur
Signé par CA1
Chiffré par CA1
Clé privée
Certificat CA1
Clé publique de
CA1
Certificat CA1
Clé publique de
CA1
Serveur
d’authentification Utilisateur
130. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Service de validation de certificat
• Lorsqu’un serveur requête une page web HTTPS, il reçoit le propre certificat du
site web, qui a été signé par un CA
• Le navigateur doit faire confiance au CA pour authentifier le certificat :
Les certificats CA, contenant la clé publique du CA, pour chiffrer et valider la signature dans
le certificat, doivent exister sur la liste du navigateur des CA de confiance
Certificat CA1
Clé publique de
CA1
Certificat CA1
Clé publique de
CA1
Certificat du site web
Signé par CA1
Chiffré par CA1
Clé privée
Certificat du site web
Signé par CA1
Chiffré par CA1
Clé privée
Site Web
Utilisateur
131. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Secure Socket Layer Security
Hello
HTTPS://
Issued by trusted CA?
Still valid?
Has it been revoked?
Public
Secret
Encrypted
Secret
Private
Secret
Symmetric key Symmetric key
133. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Génération du certificat digital
• La clé publique est soumise à l’autorité de certification
Le fichier est habituellement un *.CSR (Certifiate Signing Request)
L’information utilisateur et la donnée sont vérifiées
• La donnée est publiée dans un format standard et le certificat digital du CA est appliqué
• La signature garantie l’intégrité de la donnée et qu’elle a été vérifiée par une partie de confiance
• Le certificat digital est publié dans une base de certificats publique
Autorité de
certification
Base de données
publique
Privée
Publique
134. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Générer une requête de certificat
• Remplisser le formulaire de demande de certificat sur le Fortigate pour générer une demande PCKS#10
Le fichier va inclure la clé publique du Fortigate
• Le fichier est alors soumis à une autorité de certification de confiance
• Le status du certificat sera listé sur le Fortigate comme Pending
Request submitted to
Certification Authority
Private
Public
+
PKCS#10 Certificate Request
135. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Télécharger une demande de signature de certificat
137. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liste de révocation de certificats
• La Liste des certificats révoqués (CRL) contient les numéros de série de tous les certificats jugés indignes de
confiance
• Le CRL sera toujours vérifié avant qu’un certificat soit utilisé pour s’assurer qu’il est encore de confiance
• Le CRL doit être tenu à jour sur le Fortigate
Doit être copié régulièrement, à partir de l’autorité de certification, manuellement sur le boitier Fortigate
Autorité de certification
Numéro de série: 764926
CRL
Numéro de série: 764926 ?
138. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Sauvegarde et restauration de certificats
• Les clés et les certificats peuvent être
sauvegardés
• Un serveur TFTP est requis pour l’Import/Export
execute vpn certificate local import tftp <file-name_str>
<tftp_ip>
execute vpn certificate local export tftp
<certificate-name_str> <file-name_str> <tftp_ip>
• Les clés et les certificats sont stockés dans
un fichier PKCS#12
• Une sauvegarde de configuration contient
également les clés et les certificats
Certificat du Fortigate
CA
Vérification du certificat
Par le CA
Private
Fichier PKCS#12 protégé
par mot de passe
139. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Les certificats digitaux
Authentification utilisateur par certificat
Échanges SSL
Générer un certificat
Importer un certificat
Gérer la liste de révocation
140. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Inspection du contenu
SSL
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Les certificats
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
141. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Activer l’inspection du contenu SSL sur le Fortigate
142. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Inspection du contenu SSL
• Le Fortigate requiert une clé privée pour déchiffrer et inspecter le trafic SSL
Intercepte le trafic provenant des serveurs et « re-signe » avec son certificat et
clé
• Le certificat fourni par le Fortigate doit être délivré au nom de domaine de
destination
Le Fortigate agit comme un sous CA
• Process de communication SSL standard
143. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Inspection du contenu SSL : Limitations Certificat
• L’inspection SSL nécessite un certificat qui autorise le Fortigate à délivrer des
certificats (et des clés privées) à la volée à n’importe quel site web
Conditions
• CA=True ou
• Key Usage=KeyCertSign
• Les Fortigate ont un certificat local par défaut pour ce type
‘Fortinet_CA_SSLProxy’, qui est délivré par une CA privée appelée ‘’Fortigate CA’’
Pas un certificat public
144. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Avertissement certificate durant une inspection SSL
• Lors d’une inspection SSL, le navigateur affiche un message d’avertissement lorsqu’il ne fait pas
confiance au CA
• Pour éviter l’avertissement, trois options possibles :
Utiliser le certificat ‘Fortinet_CA_SSLProxy’, et installer le certificat racine ‘Fortigate CA’ sur tous les navigateurs
Générer un nouveau certificat SSL Proxy en utilisant une CA privée, et installer le certificat racine CA correspondant
sur tous les navigateurs
Acheter un certificat adéquat pour signer d’autres certificat d’une CA que le navigateur connait déjà
• SSL a été conçu pour sécuriser les communications point à point
Lire le contenu est supposé être compliqué
145. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration : Profil Inspection SSL
• Définit comment le trafic chiffré sera traité :
Quel protocol de chiffrement prendre en charge (HTTPS, SMTPS, …)
Comment traiter l’inspection (Inspection SSL, Inspection CA)
Quand dispenser de l’inspection SSL
Certificat
Proxy SSL
Certificat
Proxy SSL
146. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration : Dispenser un trafic de l’inspection SSL
• L’inspection SSL de certain type de trafic peut être illégale
Vérifier les lois en vigueur
Trafic à dispenser
d’une inspection
SSL
Trafic à dispenser
d’une inspection
SSL
147. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration : Règle de sécurité
• Le profil d’inspection SSL doit être assigné à une règle de sécurité
Définit comment le trafic chiffré doit être traité
148. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Inspection de contenu SSL
Avertissement de certificat
Configuration
149. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Introduction à la HA
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
150. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Choisir le bon mode de haute disponibilité HA
151. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Haute Disponibilité (HA)
Deux Fortigate ou
plus fonctionnent
en Cluster HA
Si un boitier tombe
en panne, un autre
prend le relai
152. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Haute Disponibilité – Actif-Passif
Boitier primaire
Actif-Passif
Boitier primaire
Les secondaires restent
en attente
La configuration du Maitre est
synchronisée avec les boitiers
secondaires
Si le principal tombe en panne, le
secondaire prend le relai
Boitiers secondaires
153. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Haute Disponibilité – Actif-Actif
Le boitier principal
traite le trafic
Les boitiers secondaires
traitent également le trafic
Si le boitier principal tombe, un
autre secondaire prend
immédiatement sa place
Le boitier principal
partage les sessions
avec les secondaires
Actif-Passif
154. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Election du boitier Maître
Fortigate
Principal
Fortigate
Secondaire
155. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tâches du Fortigate principal
• Echange des paquets Hello heartbeat avec tous les boitiers secondaires
• Synchronise sa table de routage et sa configuration avec tous les boitiers
secondaires
• Peut synchroniser certaines informations de trafic de sessions pour un
basculement transparent
• En mode Actif-Actif seulement :
Distribue le trafic à tous les devices du Cluster
156. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tâches du Fortigate secondaire
• Monitore le boitier principal pour des indications de panne via Hello, ou via le
monitoring de ports
Si un problème est détecté avec le boitier principal, le secondaire élisent un nouveau Maitre
• En mode Actif-Actif seulement :
Traite le trafic distribué par le Maitre
157. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Mode Actif-Actif vs. Mode Actif-Passif
Comment le HA élit le Maitre
158. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Failover d’équipement
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
160. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Adresses MAC virtuelles et Failover
• Sur le Maitre, chaque interface lui est attribuée a une adresse MAC
virtuelle (à l’exception de l’interface de heartbeat HA)
• Après le basculement, le Maitre nouvellement élu adopte les mêmes
adresses MAC virtuelles que l’ancien
Adresses MAC
virtuelle
Ancien Maitre
Nouveau Maitre
161. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Panne d’un Fortigate secondaire
• Le Maitre met à jour la
liste des Fortigate
secondaires disponibles
• Le Maitre met à jour la
liste des Fortigate
secondaires disponibles
Actif-PassifActif-Passif
• Le Maitre met à jour la
liste des Fortigate
secondaires disponibles
• Redistribue la charge
aux autres boitiers
• Le Maitre met à jour la
liste des Fortigate
secondaires disponibles
• Redistribue la charge
aux autres boitiers
Actif-ActifActif-Actif
162. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Charge
• Le Maitre reçoit et traite
tout le trafic
• Le boitier secondaire
attend passivement
• Le Maitre reçoit et traite
tout le trafic
• Le boitier secondaire
attend passivement
Actif-PassifActif-Passif
• Le Maitre reçoit tout le
trafic
• Redirige certains trafic
au boitier secondaire
• Le Maitre reçoit tout le
trafic
• Redirige certains trafic
au boitier secondaire
Actif-ActifActif-Actif
163. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Partage de charge Actif-Actif
1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 80
2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80
3a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dsport 80
3b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy)
164. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Partage de charge Actif-Actif
4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 80
5. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80
165. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Partage de charge Actif-Actif
6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 80
7. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 80
8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80
166. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Failover
• Plusieurs déclencheurs possibles
Panne matérielle
Crash software
Câble réseau déconnecté, etc.
• Journaux d’évènements, traps SNMP, alertes mail enregistrent les
évènements du failover
167. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Types de Failover
• Failover d’équipement
Si le Maitre arrête d’envoyer des paquets heartbeat, un autre Fortigate prend sa place
automatiquement
• Failover de lien
Le Cluster peut monitorer certaines interfaces afin de déterminer si elles fonctionnent et
connectées
Si une interface monitorée du Fortigate Maitre tombe, le Cluster élit un nouveau Maitre
168. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Partage de charge Actif-Actif
HA Failover
169. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
La synchronisation entre
les équipements
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
170. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Découvrir le protocole FGCP
• Synchronisation de la configuration
• Synchronisation des sessions
171. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Protocole de Clustering Fortigate
• Le Cluster utilise le protocole FGCP (FortiGate Clustering Protocol) pour :
La découverte d’autres Fortigate qui font partie du même groupe HA
L’élection du Maître
Synchroniser la configuration et autres données
Détecter lorsqu’un Fortigate tombe en panne
• Fonctionne sur les liens heartbeat uniquement
• Utilise le port TCP 703
172. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Adresses IP des interfaces heartbeat
• Le Cluster attribue une adresse IP virtuelle aux interfaces de heartbeat
sur la base du numéro de série de chaque Fortigate :
169.254.0.1 : pour le plus grand numéro de série
169.254.0.2 : pour le second plus grand numéro de série
169.254.0.3 : pour le troisième numéro de série le plus grand
…etc.
• Le Fortigate conserve son adresse IP virtuelle de heartbeat même en cas
de changement de son rôle dans le Cluster (Maitre ou esclave)
Les adresses IP changent uniquement lorsqu’un boitier rejoint ou quitte un Cluster
173. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation de la configuration HA
Maître
Esclave
Config
Config
1. Un nouveau boitier
secondaire est ajouté au
Cluster
2. Le Maitre compare la
configuration du secondaire. Si
différente, il lui envoie sa
configuration
Synchronisation complète
174. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation de la configuration HA
Maître
Esclave
Config
Config
2. Le changement est
synchroniser avec le
secondaire
1. La configuration du
Maître change
Synchronisation incrémentale
175. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation de la configuration HA
• La synchronisation incrémentale inclus :
Les données dynamiques tel que les baux DHCP, les mises à jour de la table de routage, les
informations de session, etc.
• Périodiquement, HA vérifie les synchronisations
176. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Réservation d’interface de management HA
• Réserver une interface de gestion HA permet une connexion séparée à
chaque équipement du Cluster en CLI et GUI
Configurer une IP différente pour cette interface pour chaque Fortigate
Les changements de configuration de cette interface HA ne sont pas synchronisées avec les
autres équipements
• Egalement non synchronisé :
Exception HA
Le cluster virtuel HA et les priorités des équipements
Les noms d’hôtes
177. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation des sessions
• La table de session est synchronisée pour la plupart des sessions VPN IPSec et
TCP
Seules les sessions qui n’ont pas été traitées par un proxy UTM peuvent être synchronisées
• Les sessions UDP et ICMP peuvent également être synchronisées
• Les sessions SSL VPN et Multicast ne sont pas synchronisées
config system ha
set session-pickup enable
end
config system ha
set session-pickup enable
set session-pickup-connectionless enable
end
178. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
FGCP
Synchronisation de la configuration
Synchronisation des sessions
179. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Les options de Clustering
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
180. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Utiliser le Clustering virtuel pour la haute disponibilité par VDOM
• Mettre à jour le firmware d’un Cluster HA
• Configurer le FGSP (Fortigate Session Life Support Protocol)
181. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Clustering virtuel
• Fonctionne seulement en mode Actif-Passif
Domain A Domain B Domain C Domain A Domain D Domain E
HAActif-Passif
Maitre Secondaire
182. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Clustering virtuel
• Failover entre les VDOMs pour deux Fortigate
Fonctionne en mode Actif-Passif
• Utilisé pour fournir le load balancing de trafic
183. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
FGSP (Fortigate Session Life Support Protocol)
• Synchronisation des sessions par VDOM entre deux Fortigate en mode
standalone (non HA)
Alternative au mode Actif-Passif
• Par défaut, seules les sessions TCP sont synchronisées :
Les sessions UDP et ICMP, les sessions NAT et la configuration peuvent
également être synchronisées
Seulement pour les sessions du trafic pas pris en charge par le Proxy UTM
184. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
FGSP (Fortigate Session Life Support Protocol)
185. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration FGSP
• Sur chaque Fortigate :
config system interface
edit ‘’port2’’
set vdom ‘’root’’
set ip 192.168.8.3 255.255.255.0
end
config system session-sync
edit 1
set peerip 192.168.8.4
set peervd ‘’root’’
set syncvd ‘’VDT1’’
end
Adresse IP du
Fortigate partenaire
Nom du VDOM où
l’interface port2 est
situé
Nom du VDOM pour
lequel synchroniser
les sessions
186. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Paramètres FGSP optionnels
• Pour synchroniser les sessions UDP, ICMP et NAT :
• Pour synchroniser la configuration :
config sys ha
set session-pickup enable
set session-pickup-connectionless enable
set session-pickup-nat enable
end
config sys ha
set session-pickup enable
set standalone-config-sync enable
end
187. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mise à jour de firmware
• Pour mettre à jour un Cluster HA, il est suffisant de charger le firmware
sur le Maître :
1. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est désactivé
2. Le Cluster met à jour le firmware d’abord sur tous les boitiers secondaires
3. Un nouveau Maître est élu
4. Le Cluster met à jour le firmware sur l’ancien Maître
5. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est réactivé
189. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
HA Full Mesh
• Réduit le nombre de SPOF
Disponible sur certains modèles de Fortigate
• Utilise des agrégats et des interfaces redondantes pour une connexion
robuste entre toutes les composantes réseau
191. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Clustering virtuel
Mise à jour Firmware
FGSP (Fortigate Session Life Support Protocol)
192. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Le diagnostic du HA
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
193. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Vérifier les opérations du Cluster HA
• Connaitre quelques commandes de diagnostique
194. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Vérification du statut de la HA en CLI
# diagnose sys ha status
HA information
Statistics
traffic.local = s:0 p:1632326319 b:412621090464
traffic.total = s:0 p:1635192199 b:412689100664
activity.fdb = c:0 q:0
Model=1000, Mode=2 Group=0 Debug=0
nvcluster=1, ses_pickup=1, delay=0
HA group member information: is_manage_master=1.
FGT1KDXXXXXXXXXX, 0. Master:128 FGT2
FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1
vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:
FGT1KDXXXXXXXXXX, 0. Master:128 FGT2 (prio=0, rev=0)
FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1 (prio=1, rev=255)
Priorités HA du
Maitre et de
l’esclave
Numéros de série
des deux boitiers
195. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Connexion en CLI au second boitier
• En CLI, via le Maître, il est possible de se connecter au boitier secondaire :
• Pour lister les numéros d’index de chaque Fortigate, utiliser le ‘’point
d’interrogation’’ :
# execute ha manage <HA_unit_index>
# execute ha manage ?
<id> please input peer box index.
<0> Subsidary unit FGVM0100XXXXXXXX
196. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Vérification de la synchronisation de la configuration
• Exécuter la commande suivante sur tous les membres du Cluster :
• Chaque Fortigate doit avoir les mêmes séquences des numéros de
checksum
# diagnose sys ha showcsum
is_manage_master()=1, is_root_master()=1
debugzone
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
checksum
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
197. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Vérification du status du Cluster HA
198. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Comprendre l’état normal
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Outils de diagnostics
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
199. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Identifier le comportement réseau à l’état normal
200. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Avant l’apparition des problèmes
• Savoir ce qui est normal :
Consommation CPU
Consommation mémoire
Volume du trafic
Direction du trafic
Numéros de ports et protocoles
Modèle de trafic et distrubtion
• Pourquoi ?
Un comportement anormal est difficile à déterminer, à moins que vous sachiez relativement
ce qui est normal ?
201. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Diagrammes de réseau
• Pourquoi ?
Expliquer / Analyser des réseaux complexes est difficile et prend du temps
• Diagramme physique
Inclus des câbles, ports, et des périphériques de réseau
Niveau 1/2/3
• Diagramme logique
Inclus des sous-réseaux, routeurs, périphériques virtuels (VDOM) et UTM
Niveau 3 et plus
202. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Suivi du flux de traffic et l’utilisation des ressources
• Obtenir des données à l’état normal avant l’apparition des problèmes
• Un comportement anormal est difficile à déterminer – à moins de savoir ce qui
est normal :
Consommation CPU
Consommation RAM
Applications autorisées
Bande passante IN/OUT
• Outils :
SNMP
Alertes Mails
Logging/Syslog
Fortianalyzer ou mécanisme de SIEM
Tableau de bord get system status
204. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Réception des notifications via SNMP
DestinationDestination
Evènements
déclencheurs de
traps SNMP
Evènements
déclencheurs de
traps SNMP
205. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Informations Systèmes et utilisation de ressources
# get system status
Version: FortiGate-VM64 v5.2.4,build0688,150722 (GA)
Virus-DB: 30.00334(2015-11-08 15:41)
Extended DB: 30.00334(2015-11-08 15:42)
Extreme DB: 1.00000(2012-10-17 15:47)
IPS-DB: 5.00555(2014-10-07 01:21)
IPS-ETDB: 6.00725(2015-11-06 02:55)
Serial-Number: FGVM040000025212
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000009
License status: Valid
VM Resources: 1 CPU/4 allowed, 969 MB RAM/6144 MB
allowed
Hostname: STUDENT
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 688
Release Version Information: GA
FortiOS x86-64: Yes
System time: Mon Nov 9 21:40:50 2015
# get sys perf stat
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 2% system 0% nice 98% idle
CPU1 states: 0% user 0% system 0% nice 100% idle
CPU2 states: 0% user 1% system 0% nice 99% idle
CPU3 states: 1% user 1% system 0% nice 98% idle
CPU4 states: 0% user 0% system 0% nice 100% idle
CPU5 states: 1% user 0% system 0% nice 99% idle
CPU6 states: 0% user 0% system 0% nice 100% idle
CPU7 states: 0% user 0% system 0% nice 100% idle
Memory states: 60% used
Average network usage: 17457 kbps in 1 minute,
28245 kbps in 10 minutes, 24122 kbps in 30 minutes
Average sessions: 5142 sessions in 1 minute, 6350
sessions in 10 minutes, 6239 sessions in 30 minutes
Average session setup rate: 50 sessions per second in
last 1 minute, 48 sessions per second in last 10
minutes, 46 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 29 days, 7 hours, 37 minutes
206. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plus d’outils
• CLI
• Dashboard
• Traps SNMP
• Alertes mail
• Logs
Get system status
Get system performance status
Diagnose sys top
Diagnose sys top-summary
Diagnose hardware sysinfo memory
Diagnose hardware sysinfo shm
Diagnose netlink device list
Diagnose hardware deviceinfo nic port1
Diagnose firewall statistics show
…
207. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Pourquoi vous avez besoin de comprendre ce qu’est l’état
normal ?
208. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Diagnostic
et Troubleshooting
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Outils de diagnostique
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
209. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Comprendre la table des sessions
• Diagnostique des problèmes de ressources, tel que une haute
consommation CPU et mémoire
• Tests d’images de firmware sans sauvegarder sur disque
210. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Troubleshooting niveau réseau : Routes
#execute ping-options ?
data-size Integer value to specify datagram size in bytes.
df-bit Set DF bit in IP header <yes | no>.
interval Integer value to specify seconds between two
pings.
pattern Hex format of pattern, e.g. 00ffaabb.
repeat-count Integer value to specify how many times to repeat
PING.
source Auto | <source interface IP>.
timeout Integer value to specify timeout in seconds.
tos IP type-of-service option.
ttl Integer value to specify time-to-live.
validate-reply Validate reply data <yes | no>.
view-settings View the current settings for PING option.
#execute ping <ipv4_address>
#execute traceroute { <ipv4_address> | <host_fqdn> }
211. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Troubleshooting niveau réseau : Sessions
1. Effacer les filtres précédents
2. Paramétrer le filtre
3. Lister toutes les entrées associées au filtre configuré
4. Effacer toutes les entrées associées au filtre configuré
# diagnose sys session filter
clear
# diagnose sys session filter ?
dport destination port
dst destination IP address
policy policy id
sport source port
src source ip address
# diagnose sys session list
# diagnose sys session clear
212. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Table des sessions : Exemple TCP
#diagnose sys session list
session info: proto=6 proto_state=65 duration=25 expire=9 timeout=3600 flags=00000000
sockflag=00000000 sockport=443 av_idx=9 use=5
origin-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bps
reply-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bps
per_ip_shaper=
ha_id=0 policy_dir=0 tunnel=/
state=may_dirty ndr npu
statistic(bytes/packets/allow_err): org=476/8/1 reply=1376/8/1 tuples=2
orgin->sink: org pre->post, reply pre->post dev=37->52/52->37 gwy=172.16.0.20/192.168.0.15
hook=pre dir=org act=snat 192.168.1.110:57995->74.201.86.29:443(0.0.0.0:0)
hook=post dir=reply act=dnat 74.201.86.29:443->172.17.87.16:4168(192.168.1.110:57999)
src_mac=70:ca:9b:4e:fd:00
misc=0 policy_id=17 auth_info=0 chk_client_info=0 vd=0
serial=cb545a86 tos=ff/ff ips_view=12 app_list=0 app=0
dd_type=0 dd_mode=0
npu_state=00000000
npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0,
npuid=0/0, onpuid=0/0
ProtocoleProtocole Statut de
connexion
Statut de
connexion
TTL restantTTL restant
Port
destination
Port
destination
Traffic ShapingTraffic Shaping
NATNAT
Accélération
matérielle
Accélération
matérielle
213. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Options de capture de paquets avancées
• <count> nombre de paquets à capturer
• <tsformat> modifie le format d’horodatage
a – Temp UTC absolu
l – temps local
# diag sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>
214. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Lenteurs
• Haute consommation CPU
• Haute consommation mémoire
• Quelle est l’utilisation du processeur ? Pourquoi ?
# get system performance status
# diagnose sys top 1
215. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Troubleshooting CPU
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 3% system 0% nice 97% idle
CPU1 states: 1% user 0% system 0% nice 99% idle
CPU2 states: 0% user 2% system 0% nice 98% idle
CPU3 states: 2% user 0% system 0% nice 98% idle
Memory states: 59% used
Average network usage: 37764 kbps in 1 minute, 33587 kbps in 10 minutes, 24275 kbps in 30 minutes
Average sessions: 6076 sessions in 1 minute, 6421 sessions in 10 minutes, 6271 sessions in 30 minutes
Average session setup rate: 100 sessions per second in last 1 minute, 86 sessions per second in last 10
minutes, 82 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 30 days, 8 hours, 37 minutes
Consommation
CPU
Consommation RAM
Utilisation réseau
216. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exécuter un nouveau Firmware
• Un nouveau firmware peut contenir de nouvelles fonctionnalités et des
changements de fonctionnement :
Va-t-il interférer avec le fonctionnement du trafic critique ?
• Chargement temporaire d’une nouvelle image (sans enregistrer sur le
disque) est une méthode plus sûre de tester avant de mettre à jour
Tester en environnement de lab durant une maintenance
Un redémarrage retourne le Fortigate à l’ancien firmware et configuration
Bien se documenter sur la release note
• Il est également possible de charger des logiciels de diagnostic
Save as Default firmware/Run image without saving: [D/R]
217. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Chargement d’une image temporaire
• Possible seulement via le port console
Press any key to display the configuration menu…
[G] : Get firmware image from TFTP server.
[F] : Format boot device.
[Q] : Quit menu and continue to boot with default firmware.
[H] : Display this list of options.
Enter G,F,Q, or H ( Press ‘G’ here.)
Enter TFTP server address [192.168.1.168]: xxx.xxx.xxx.xxx
Enter local address [192.168.1.188]: xxx.xxx.xxx.xxx
Enter firmware image file name [image.out]: xxxxxxxxxxxxxxx
MAC:00:09:0f:0a:1a:7c #########
Total 10643362 bytes data downloaded.
Verifying the intergrity of the firmware image. Total 28000kB
unzipped.
Save as Default firmware/Run image without saving: [D/R]
218. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Monitoring de l’utilisation réseau et ressources de système
Troubleshooting physique
Troubleshooting réseau
Tests matériel
Comment charger un firmware en RAM, pas en disque
219. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Dimensionnement
et support
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
220. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Le support Fortinet
• Le licensing Fortigate
• Les performances des boitiers
221. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Le Support Fortinet
• Les 2 types de support :
FortiCare 8x5
• Support email et web du lundi au vendredi de 9h à 18h
• Remplacement matériel après réception du matériel défectueux par Fortinet
FortiCare 24x7
• Support téléphonique, email et web 24h/24 7J/7
• Remplacement anticipé du matériel (J+1)
• Le support Fortinet est accessible via :
• http://support.fortinet.com
• 0 800 910 652/ +33 4 8987 0555
222. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Le Licensing Fortigate
• Pas de licence par utilisateur
• Licences uniquement pour le filtrage de contenu :
Anti-Virus
Filtrage d’URLs
Anti-Spam
IPS/App. Control
• Toutes les autres fonctionnalités sont incluses de base (VPN
IPSEC/SSL, Optimisation WAN, QoS, VDOM)
223. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Entrée de gamme Fortigate: Comparaison
FG-30D FG-60D FG-70D FG80D FG-90D FG-92D
Firewall
(1518/512/64
byte UDP)
800 / 800 / 800
Mbps
1.5 /1.5 /1.5
Gbps
3.5 /3.5 /3.5
Gbps
1.3 Gbps
3.5 /3.5 /3.5
Gbps
2 Gbps
Concurrent
Sessions
200,000 500,000 2 Mil 1.5 Mil 2 Mil 1.5 Mil
New
Sessions/Sec
3,500 4,000 4,000 22, 000 4,000 22,000
IPSec VPN 350 Mbps 1 Gbps 1 Gbps 200 Mbps 1 Gbps 130 Mbps
IPS (HTTP) 150 Mbps 200 Mbps 275 Mbps 800 Mbps 275 Mbps 950 Mbps
Antivirus (Proxy
based)
30 Mbps 35 Mbps 35 Mbps 250 Mbps 35 Mbps 300 Mbps
Interfaces
(LAN, WAN &
DMZ)
5 x GE RJ45 10 x GE RJ45 16 x GE RJ45 4x GE RJ45 16 x GE RJ45 16 x GE RJ45
Storage - - - 16 GB 32GB 16 GB
Variants WiFi, PoE WiFi, PoE - -
WiFi, PoE, high
port density
WiFi
224. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Entrée de gamme Fortigate: Comparaison
FG-30D FG-60D FG-70D FG80D FG-90D FG-92D
FG-94D-POE
FG-98D-POE
Recommended
#users
1-5 5-25 20-50
Storage - - - ✔ ✔✔ ✔ ✔✔
WiFi Variant ✔ ✔ - - ✔ ✔ -
POE Variant (1x GE) (2x GE) - - (4x GE) - 24x FE
Firewall & VPN
Performance
✔✔ ✔✔ ✔✔✔ ✔ ✔✔✔ ✔ ✔✔✔
UTM
Performance
✔ ✔ ✔✔ ✔✔✔ ✔✔ ✔✔✔ ✔✔
Port Density ✔✔ ✔✔ ✔✔ ✔ ✔✔ ✔✔ ✔✔✔
Ideal Use Cases
Small branch
offices , Kiosks
Small branch
offices
Small branch
offices
Small offices
Small branch
offices
Small offices
Small branch
offices
Site-Site VPN Site-Site VPN Site-Site VPN Limited VPN
Site-Site VPN,
WAN opt.
Limited VPN
Site-Site
VPN, WAN
opt.
limited UTM &
features,
central logging
limited UTM,
central logging
UTM,
central logging
Full UTM,
Cloud based
logging
UTM,
local log &
reporting
Full UTM,
Cloud based
logging
UTM , high PoE
ports desired
225. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
FWF30D FWF30E FWF50E FWF60D FWF90D/92D
Thick AP ✔ ✔ ✔ ✔ ✔
Wireless Controller Yes (CLI) Yes (CLI) Yes Yes Yes
#of WiFi radios 1 1 1 1 1
Supported Std a/b/g/n a/b/g/n a/b/g/n a/b/g/n a/b/g/n
802.11n 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO
Max wireless
association rate
total
300Mbps 300Mbps 300Mbps 300Mbps 300Mbps
SSID’s (incl.
reserved)
8 8 8 8 8
Max nP (Total/
Local Bridge)
2 / 2 2 / 2 10 / 5 10 / 5 32 / 16
Entrée de gamme Fortigate: Comparaison
226. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moyenne gamme Fortigate : Comparaison
FGT-100D FGT-140D FGT-200D FGT-240D FGT-280D-POE
Firewall
(1518/512/64 byte UDP)
2500* Mbps 2500* Mbps
3 / 3 / 3
Gbps
4 / 4 / 4
Gbps
4 / 4 / 4
Gbps
Concurrent Sessions 3 Mil 3 Mil 3.2 Mil 3.2 Mil 3.2 Mil
New Sessions/Sec 22,000 22,000 77,000 77,000 77,000
IPSec VPN 450 Mbps 450 Mbps 1.3 Gbps 1.3 Gbps 1.3 Gbps
IPS (HTTP) 950 Mbps 950 Mbps 1.7 Gbps 2.1 Gbps 2.1 Gbps
Antivirus
(Proxy Based)
300 Mbps 300 Mbps 600 Mbps 600 Mbps 600 Mbps
Interfaces
(LAN, WAN & DMZ)
20 x GE RJ45,
2 x GE SFP
40x GE RJ45,
2x GE SFP
18 x GE RJ45,
2 x GE SFP
42 x GE RJ45,
2 x GE SFP
54 x GE RJ45,
32 x GE PoE RJ45,
4 x GE SFP
Storage 32GB 32GB 64 GB 64 GB 64 GB
Variants LENC, T1 port, PoE PoE PoE -
227. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moyenne gamme Fortigate : Comparaison
FGT-300C FGT-300D FGT-400D FGT-500D
Firewall
(1518/512/64 byte UDP)
8 / 8 / 8
Gbps
8 / 8 / 8
Gbps
16 / 16 / 16
Gbps
16 / 16 / 16
Gbps
Concurrent Sessions 2 Mil 6 Mil 5.5 Mil 6 Mil
New Sessions/Sec 50,000 200,000 200,000 250,000
IPSec VPN 4.5 Gbps 7 Gbps 14 Gbps 14 Gbps
IPS (HTTP) 1.4 Gbps 2.8 Gbps 2.8 Gbps 4.7 Gbps
Antivirus
(Proxy Based)
200 Mbps 1.4 Gbps 1.4 Gbps 1.7 Gbps
Interfaces
(LAN, WAN & DMZ)
10 x GE RJ45 6 x GE RJ45, 4 x GE SFP
10 x GE RJ45,
8 x GE SFP
10 x GE RJ45,
8 x GE SFP
Storage 16 GB 120 GB - 120 GB
Variants LENC LENC - -
228. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moyenne gamme Fortigate : Comparaison
FG-600C FG-600D FG-800C FG-900D
Firewall
(1518/512/64 byte UDP)
16 / 16 /16 Gbps 36 / 36 / 24 Gbps 20 / 20 / 20 Gbps 52 / 52 / 33 Gbps
Concurrent Sessions 3 Mil 5.5 Mil 7 Mil 11 Mil
New Sessions/Sec 70,000 270,000 190,000 280,000
IPSec VPN 8 Gbps 20 Gbps 8 Gbps 25 Gbps
IPS (HTTP) 3 Gbps 7 Gbps 6 Gbps 8 Gbps
Antivirus
(Proxy Based)
1.3 Gbps 3 Gbps 1.7 Gbps 3.5 Gbps
Interfaces
(LAN, WAN & DMZ)
18x GE RJ45, 4 x
Shared port pairs, 2 x
bypass Pairs
2x 10GE SPF+ , 8x GE
SFP, 8x GE RJ45
2 x 10GE SFP+,14 x GE
RJ45,
8 x Shared port pairs, 2
x bypass Pairs
2x 10GE SPF+ , 16x GE
SFP,
18x GE RJ45
Storage 64 GB 120 GB 64 GB 256 GB
Variants DC, LENC - - -
229. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Le support
Le licensing
La performance des boitiers
230. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Conclusion de la formation
L’UTM Fortigate
Fonctionnalités avancées
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
231. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Le routage
La virtualisation de pare-feu
Le mode transparent
Les certificats
La haute disponibilité (HA)
Les outils de diagnostics
Dimensionnement et support
232. Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Formation suivante
Fortigate –
Fonctionnalit
és avancées
Fortigate –
Fonctionnalit
és avancées
FortiManagerFortiManager
FortimailFortimail FortiWebFortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
de base
Formation suivante
FortiAnalyzerFortiAnalyzer