Alphorm.com Formation Fortinet UTM

18/02/2016
1
Formation Fortinet UTM alphorm.com™©
Formation
L’UTM Fortinet
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique

18/02/2016
2
Plan
• Présentation du formateur
• Public concerné
• Connaissances requises
• Présentation du LAB
• Liens utiles
• Cursus de formation Fortinet

18/02/2016
4
Public concerné
• Administrateurs Sécurité
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI

18/02/2016
5
Connaissances requises
• Connaissances des protocoles TCP/IP
• Connaissances en Firewalling
• Connaissances sur la sécurité et les types d’attaques
• Notions en cryptologie

18/02/2016
6
Présentation du LAB

18/02/2016
7
Liens utiles
• http://www.fortinet.com
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com

18/02/2016
8
Cursus de formation Fortinet
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
avancées
FortiAnalyzer
FortiManager
Fortimail FortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6

18/02/2016
9
LET’S GO !

18/02/2016
10
Découverte de la solution
Fortigate
Introduction à l’UTM Fortinet
Yassine MORSLI

18/02/2016
11
Plan
• Solution de sécurité traditionnelle
• Approche Fortinet
• Design de la plateforme
• Service d’abonnement FortiGuard
• Modes de fonctionnement

18/02/2016
12
Solutions de sécurité tradionnelles
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
Contrôle applicatif
IPS
VPN

18/02/2016
13
• Plusieurs systèmes indépendants pour
faire face à une variété de menaces
Solutions de sécurité tradionnelles
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
IPS
VPN

18/02/2016
14
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
IPS
VPN
Et plus encore…
Approche Fortinet

18/02/2016
15
Approche Fortinet
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
IPS
VPN
Et plus encore…
• Un seul équipement fournit une
solution de sécurité complète

18/02/2016
16
Design de la plateforme
Hardware
Purpose-driven hardware
FortiOS
Specialized operating system
Firewall AV
Web
Filter
IPS …
Security and network-level services
FortiGuard Subscription Services
Automated update service

18/02/2016
17
Services d’abonnement Fortiguard
• Requiert un accès Internet et un compte d’accès
• Service fourni par Fortiguard Distribution Network (FDN)
La plupart des DataCenters sont situés en Europe, en Asie et en Amérique du nord
Les Fortigate se connectent aux DataCenters situés dans leur zone horaire, mais l’accès
est ajusté selon la charge des serveurs
• Mise à jour : Fortiguard Antivirus & IPS
Update.fortiguard.net
Port TCP 443 (SSL)
• Requêtes temps réel : Filtrage Web Fortiguard & Antispam
Service.fortiguard.net
Protocole propriétaire : UDP 53 ou 8888

18/02/2016
18
Modes de fontionnement
NAT
• Fonctionne sur la couche 3 du
modèle OSI
• Adresse IP par interface
• Les paquets sont routés par IP
Transparent
• Fonctionne sur la couche 2 du
modèle OSI : Switch ou pont
• Pas d’adresse IP par interface
• Pas de routage de paquets,
forward uniquement

18/02/2016
19
Ce qu’on a couvert
La différence entre l’approche traditionnelle et l’approche Fortinet
Le schéma de la plateforme Appliance de sécurité Fortigate
Service d’abonnement FortiGuard
Les deux modes de fonctionnement des boitiers Fortigate

18/02/2016
20
Administration
de l’équipement
Yassine MORSLI

18/02/2016
21
Plan
• Paramètres d’administration par défaut
• Réinitialisation du compte admin
• Port console et méthodes d’administration
• FortiExplorer

18/02/2016
22
Paramètres par défaut
• Interface ‘port1’ / ‘internal’, IP : 192.168.1.99/24
• Protocoles d’administration activés : HTTP, HTTPS, PING
• Serveur DHCP activé sur l’interface ‘port1’/’internal’
Ne concerne pas l’ensemble des modèles
• Login par défaut:
User : admin
Password : (blanc)
• Les deux paramètres sont sensibles à la casse
• Il est important de modifier le mot de passe de l’équipement !

18/02/2016
23
Réinitialisation du compte admin
User : maintainer
Password : bcpb<numéro-de-série>
• Tous les modèles Fortigate et quelques autres boitiers Fortinet
• Après un redémarrage matériel (hard)
Ne fonctionne pas après un redémarrage soft, pour des soucis de sécurité
• Les informations doivent être tapées durant les 15 à 30 premières secondes après le démarrage
• Uniquement via la console hard
Requiert un accès physique à l’équipement
Le compte admin maintainer peut être désactivé (en cas de règles de sécurité compliance restrictive)
config sys global
set admin-maintainer disable
end

18/02/2016
24
Port console
• Chaque boitier Fortigate est livré avec un câble console
• La connexion à la console requiert un émulateur de terminaux :
PUTTY
Tera term
• Les types des ports varient selon les modèles :
Anciens modèles : port série
Modèles récents :
• Port RJ-45 à port série
• USB2 à FortiExplorer

18/02/2016
25
Méthodes d’administration

18/02/2016
26
FortiExplorer
• Administrer les Fortigate/FortiWifi, FortiSwitch, FortiAP
Accès GUI & CLI
• Compatible Windows, Mac OS, iPod, iPad, iPhone
Consulter la liste des versions supportées sur la release note
Disponible en téléchargement sur support.fortinet.com et sur Apple App Store
• Connexion en câble USB2
Câble standard 30-pin
Le FortiExplorer est requis pour administrer en console les boitiers disposants d’un port
console en USB2

18/02/2016
27
FortiExplorer

18/02/2016
3
Présentation du formateur
• Yassine MORSLI
• Ingénieur Réseaux Systèmes et Sécurité
• Yassine.morsli@gmail.com
• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics
CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45

18/02/2016
32
Profils administrateurs : Permissions

18/02/2016
33
Profils administrateurs : Hiérarchies

18/02/2016
34
Authentification à deux facteurs

18/02/2016
35

18/02/2016
36
Accès admin : Sources de confiance
• Le Fortigate refusera les requêtes provenant de sources différentes des
IPs suivants :

18/02/2016
37
Accès admin : Ports
• Les numéros de ports sont modifiables
• Il est recommandé d’utiliser les protocoles sécurisés

18/02/2016
38
Accès admin : Protocoles
• Chaque accès administratif à une interface donnée s’active individuellement
IPv4 & IPv6 séparés
Les options IPv6 sont cachés par défaut

18/02/2016
39
Paramètres cachés par défaut
• Quelques paramètres ne sont disponibles qu’en CLI (diagnose debug etc.)
• Quelques modules n’apparaissent pas sur la GUI (cachés)
Les paramètres cachés ne sont pas désactivés
• Afficher/Cacher via :
Le Widget sur le tableau de bord (paramètres élémentaires uniquement)
La liste complète des paramètres via System Config Features

18/02/2016
46
Logs DHCP

18/02/2016
47
Paramètre de serveur DHCP et Activation du service
La réservation d’IP
Consultation du journal DHCP

18/02/2016
48
Le Fortigate comme
serveur DNS
Yassine MORSLI

18/02/2016
49
Plan
• Fortigate Serveur DNS
• Comprendre les types des services DNS et les méthodes de
résolution
• Configuration des zones DNS

18/02/2016
50
Fortigate Serveur DNS
• Résout les requêtes DNS du réseau local
Activé par interface
Non recommandé pour la résolution DNS sur Internet
• Une seule base DNS peut être partagée par l’ensemble des interfaces du
Fortigate
Peut être séparée par VDOM
• Méthodes de résolution :
Transfert au DNS Système : relaie les requêtes au serveur DNS suivant (paramétré dans les options
DNS du système)
Non récursive : Utilise uniquement la base DNS du Fortigate. Les requêtes non résolues sont
dropées
Récursive : Utilise la base DNS du Fortigate. Relaie les requêtes non résolues au DNS suivant
paramétré dans les options DNS du système)

18/02/2016
51
Base DNS : Configuration
• Ajout des zones DNS
Chaque zone a son propre nom de domaine
Format défini par la RFC 1034 et 1035
• Ajout des entrées DNS dans chaque zone
Nom d’hôte
Adresse IP à résoudre
Types supportés
• Adresses IPv4 ou IPv6
• Name Server (NS)
• Canonical Name (CNAME)
• Mail exchange (MX)
• IPv4 (PTR) ou IPv6 (PTR)

18/02/2016
52
Fortigate Serveur DNS
Comprendre les types des services DNS et les méthodes de résolution
Configuration des zones DNS

18/02/2016
53
Fichier de configuration
et mise à niveau Firmware
Yassine MORSLI

18/02/2016
54
Plan
• Le fichier de configuration du Fortigate
• Mise à niveau du firmware
• Sauvegarde et restauration de configuration

18/02/2016
55
Fichier de configuration
• La configuration peut être exportée sur un fichier
Cryptage du fichier optionnel
Sauvegarde automatique disponible
• Lors de la fermeture de session
• Uniquement sur certains modèles
• Pour restaurer une configuration précédente, charger le fichier
Provoque un redémarrage du boitier

18/02/2016
56
Format du Fichier de configuration
• Contient uniquement les paramètres modifiés et les paramètres importants (Taille du
fichier réduite)
• L’entête contient les détails de l’équipement
Les lignes qui suivent l’entête ne sont pas lisibles si le fichier est crypté
• Restauration de la configuration
Cryptée : Même équipement + build + Mot de passe du fichier
Non cryptée : Même modèle d’équipement requis
• Un build différent est possible si l’upgrade path est respecté

18/02/2016
57
Fichier de configuration par VDOM
• Si les domaines virtuels (VDOMs) sont activés, vous pouvez sauvegarder les VDOMs
individuellement (sauvegarde partielle)

18/02/2016
58
Mise à niveau firmware (Upgrade)
1. Sauvegarder la configuration courante
2. Télécharger une copie du firmware
3. Accès physique à l’équipement, via interface web ou console
4. Lire la release note (upgrade path, bugs, informations)
5. Mise à jour

18/02/2016
59
Downgrade
1. Télécharger une copie du firmware
2. Accès physique à l’équipement, via interface web ou console
3. Lire la release note (le downgrade conservera-t-il la configuration ?)
4. Downgrade
5. Si nécessaire, restaurer le fichier de configuration compatible avec la version
firmware

18/02/2016
60
Mise à niveau via FortiExplorer

18/02/2016
66
Types de bases de journaux
Syslog SNMP
Journalisation locale
Journalisation distante

18/02/2016
67
• Niveau de sévérité des journaux

18/02/2016
68
Stockage des Logs
Journalisation et surveillance
Yassine MORSLI

18/02/2016
69
Plan
• Identifier les options de stockage de journaux

18/02/2016
70
Stockage : FortiAnalyzer/FortiManager
• FAZ/FMG disposent d’une liste de boitiers à gérer
• SSL – OFTP sécurisé utilisé pour crypter les communications
FortiAnalyzer/FortiManager

18/02/2016
71
FortiAnalyzer vs FortiManager
• FortiAnalyzer : Stockage dédié aux journaux long terme
• FortiManager : Gestion centralisée de plusieurs boitiers Fortigate
Peut également stocker des journaux et générer des rapports
Identique au FortiAnalyzer, excepté la limitation du stockage des journaux à 2GB/Jour

18/02/2016
72
FortiAnalyzer/FortiManager : Configuration
• Jusqu’à 3 équipements FortiAnalyzer/FortiManager séparés,
configurable en CLI
Plusieurs boitiers peuvent être rajoutés pour des besoins de redondance
La génération et l’envoi de journaux est gourmand en ressources
config log [fortianalyzer | fortianalyzer2 | fortianalyzer3] setting
set status enable
set server x.x.x.x
end

18/02/2016
73
Comprendre la structure
des Logs
Yassine MORSLI

18/02/2016
74
Plan
• Description des types et sous types de log
• Comprendre la structure des journaux

18/02/2016
75
Types et sous types
• Traffic Log
Forward : trafic autorisé/bloqué par les règles de pare-feu
Local : trafic généré par le Fortigate, ou concerne directement le Fortigate
Invalid : messages journaux de paquets considérés invalides
Multicast : journalisation du trafic multicast
• Event Log
System : Evènements liés au système
User : évènements d’authentification
Routeur, VPN, Optimisation WAN, Cache, Wifi
• Security Profile
Par type de profil de sécurité (Antivirus, Filtrage Web, IPS, etc.)

18/02/2016
76
Structure et comportement
• Divisé en 3 sections : Traffic Log, Event Log, Security Log
Traffic Log paquets destinés au boitier et traversant l’équipement
Event Log Evènements d’activité système et admin
Security Log Messages liés aux profils de sécurité sur le trafic
traversant le boitier
• La plupart des évènements de sécurité sont consolidés dans Forward Trafic
Log
Consommation CPU réduite
Exceptions : DLP, Scan d’intrusion (Log de sécurité seulement)

18/02/2016
77
Quels paramètres génèrent des Logs ?
• La journalisation est impactée par l’accélération du trafic
Le trafic déchargé par le processeur NP n’est pas journalisé
• Peut désactivé l’accélération hardware
• Peut activé le journal des paquets NP (performances NP dégradées)

18/02/2016
78
• Types et sous types des journaux
• Structure des journaux et comportement

18/02/2016
79
Stockage : FortiCloud
• Service d’abonnement
Stockage long terme et reporting
Un mois d’essai gratuit inclus avec Fortigate

18/02/2016
80
• Les différents périphériques de stockage des journaux

18/02/2016
81
Navigation
dans les Logs
Yassine MORSLI

18/02/2016
82
Plan
• Décrire comment visualiser les messages de journaux
• Décrire comment rechercher et interpréter un journal

18/02/2016
83
Aperçu des messages de Log (GUI)

18/02/2016
84
Aperçu des messages de journaux (GUI) : Ajout de filtre
• Utiliser le paramètre de filtre pour afficher/cacher
Réduction du nombre d’entrées de Logs affichés
Les filtres sont par colonne

18/02/2016
85
Aperçu des messages de journaux (Raw)
• Les champs dans chaque message sont disposés en deux sections
Entête du Log : commun à tous les messages de Log
Corps du Log
2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dlp pri=notice vd=root
policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190
src_port=1190 srcint=internal dst=“192.168.1.122” dport=80 dst_port=80
dst_int=“wan1” service=“https” status=“detected”
hostname=“example.com”url=“/image/trees_pine_forest/”msg=“data leak
detected(Data Leak Prevention Rule matched)” rulename=“All-HTTP”
action=“log-only” severity=1

18/02/2016
86
Aperçu des messages de journaux (Raw) : Entête
Entête du Log
2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dlp pri=notice
vd=root level=warning

18/02/2016
87
Aperçu des messages de journaux (Raw) : Corps
Corps du Log
policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190
src_port=1190 srcint=internal dst=“192.168.1.122” dport=80
dst_port=80 dst_int=“wan1” service=“https” status=“detected”
hostname=“example.com”url=“/image/trees_pine_forest/”msg=“data
leak detected(Data Leak Prevention Rule matched)” rulename=“All-
HTTP” action=“log-only” severity=1

18/02/2016
88
Aperçu des messages de journaux (CLI)
exe log display
D’abord paramétrer les filtres de journaux
exe log filter
FG60C # exe log display
205 logs found.
10 logs returned.
1: date=2015-10-08 time=20:35:40 logid=0000000011 type=traffic subtype=forward
level=warning vd=root srcip=10.16.20.41 srcport=53501 srcintf="internal" dstip=17
2.16.50.111 dstport=18829 dstintf="wlan" dstssid="Wifi" sessionid=32
617027 action=ip-conn user="guest" policyid=7 crscore=10 craction=26214
4 crlevel=medium
FG60C # exe log filter
category Category.
device Device to get log from.
dump Dump current filter settings.
field Filter by field.
ha-member HA member.
max-checklines Maximum number of lines to check.
reset Reset filter.
start-line Start line to display.
view-lines Lines per view.
FG60C # exe log filter

18/02/2016
89
Supervision des journaux
• Superviser les Logs est un élément essentiel pour la protection du
réseau
• Trois moyens pour y parvenir :
Alertes mails
Messages d’alerte de console
SNMP

18/02/2016
90
• Vue des messages de journaux
• Moniteur, lecture et interprétation des messages de Log

18/02/2016
91
Alertes Email
et paramètres de Logs
Yassine MORSLI

18/02/2016
92
Plan
• Alertes Email
• Configurer les paramètres de journal

18/02/2016
93
Alertes Email
• Envoi de notficiation lors de la détection d’un
évènement
• Identifier le nom du serveur SMTP
• Configurer au moins un serveur DNS
• Jusqu’à trois destinataires

18/02/2016
94
Alertes Email : Configuration
• Configurer d’abord le paramètre du serveur SMTP
• Envoyer à jusqu’à 3 destinataires
config system email-server
set type custom
set reply-to (email)
set server (IP or FQDN)
set port (connection port)
set source-ip (interface-ip)
set authenticate [enable | disable]
set security [none | starttls | smtps]
end

18/02/2016
95
Console des messages d’alerte
• Les messages d’alerte sont visibles sur un widget en GUI
Les alertes peuvent être acquittées et supprimées de la liste
Options de personnalisation des alertes

18/02/2016
96
Supervision SNMP
SNMP managerManaged device
SNMP agent Fortinet MIB
• Traps reçues par l’agent, envoyées au serveur SNMP
• Configurer l’interface Fortigate pour l’accès SNMP
• Compiler et charger les MIBs Fortigate sur le serveur SNMP
• Créer des communautés SNMP pour autoriser les connexions
du Fortigate sur le serveur SNMP
− SNMP v1/v2 : Texte en clair
− SNMP v3 : Crypté

18/02/2016
97
Supervision SNMP : Configuration
Le SNMP v3 offre une meilleure sécurité

18/02/2016
98
Configuration des paramètres de Log
Plus il y a de logs, plus il y a de résolution d’IP
• Peut impacter sur les performances CPU

18/02/2016
103
• Paramètres des journaux
• Ressources de journalisation

18/02/2016
104
Yassine MORSLI
Monitoring
des Logs
Forum : http://forum.alphorm.com

18/02/2016
105
Plan
• Décrire comment opérer un Monitoring sur les journaux

18/02/2016
106
Moniteur des journaux
Vue globale du nombre et type des journaux générés
Zoom avant permet d’avoir une vue détaillée

18/02/2016
107
Moniteur graphique (GUI)
Exemple : Moniteur des profiles de
sécurité
• Inclus toutes les options de
sécurité
Moniteur AV
• Top activité virus
Moniteur Web
• Top catégories Fortiguard bloquées
Moniteur d’Application
• Applications les plus utilisées
Moniteur d’Intrusion
• Attaques récentes
Moniteur d’Email
• Statistiques de Spams
Moniteur DLP & Archives
• Activité DLP
Quota Fortiguard
• Usage du quota par utilisateur

18/02/2016
108
Page Status : Widgets personnalisés
Les widgets disposent de paramètres pour afficher diverses informations
• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun
affichant une option d’information différente

18/02/2016
109
Page Status : Tableau de bord personnalisé
Plusieurs tableaux de bord par défaut
• Widgets inclus configurés pour fournir différents types d’information
• Peuvent être ajouté/modifié/supprimé
• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun affichant
une option d’information différente
• La disposition du tableau de bord et des widgets est une préférence des
administrateurs

18/02/2016
110
• Moniteur
• Lecture et interprétation des messages de Log

18/02/2016
111
Les règles de sécurité
Le Pare-feu
Yassine MORSLI

18/02/2016
112
Plan
• Comprendre le fonctionnement des règles de sécurité
• Concordance des règles de sécurité
Adresse IP source, périphérique, utilisateur
Interface ou Zone
• Ordonnancement des règles de sécurité

18/02/2016
113
Qu’est-ce que les règles de sécurité ?
• Les règles de sécurité définissent :
A quel trafic elles correspondent
Comment traiter le trafic correspondant
• Lorsqu’un paquet d’une nouvelle session arrive, le Fortigate vérifie les
règles correspondantes
La première règle dans l’ordre d’affichage
correspondant au paquet est exécutée
Du haut vers le bas
• Deny Implicite
S’il n’y a aucune règle correspondant au paquet,
ce dernier sera dropé par le Fortigate

18/02/2016
114
Règles de sécurité
Interfaces Source et Destination
Périphériques Source et Destination
Services
Horaires
Action = ACCEPT
Authentification
UTM QoS
Logging

18/02/2016
115
Liste des règles : Vue par section
• Policy Policy IPv4
• Liste les règles par paires d’interfaces source/destination

18/02/2016
116
Liste des règles : Vue globale
• Lorsqu’une règle dispose de multiples interfaces source/destination ou
ANY

18/02/2016
118
Composants et types de règles
• Les objets
Interfaces/Groupes d’interfaces
Adresses/Utilisateurs
Services (port et protocole)
Horaires
NAT
Profiles de sécurité
• Types
IPv4, IPv6
Proxy Explicit
DoS
Multicast

18/02/2016
119
Destination
interface
Source
interface
• Interface d’arrivée (source) : Interface / Zone réceptionnant le trafic
• Interface de sortie (destination) : Interface / Zone de destination du traffic
Zone : Group logique d’interfaces
Interfaces vs. Zones

18/02/2016
120
Concordance par source
• Au moins une adresse source doit être spécifiée
• En option, l’un ou les deux éléments suivants :
Utilisateur source
Device source
• Adresse source – Objet d’adresse IP
• Utilisateur source – Utilisateur ou groupe d’utilisateur, peut faire référence à :
Compte utilisateurs firewall local
Compte utilisateurs distant (exp. Active Directory)
FSSO
Certificat personnel (PKI)
• Device source – périphérique identifié ou défini manuellement
Activer l’identification des périphériques sur l’interface source

18/02/2016
121
Concordance des paquets et des règles de sécurité
Comment le Fortigate défini la correspondance du trafic

18/02/2016
122
Identification
des périphériques
Le Pare-feu
Yassine MORSLI

18/02/2016
123
Plan
• Notions de périphériques et Fortigate
• Aperçu des périphériques sur l’interface de configuration
• Mode Agent vs. Sans agent

18/02/2016
124
Identification des périphériques
• Type de périphérique source – l’identification des périphériques est
activée sur l’interface source de la règle

18/02/2016
125
Identification des périphériques : Agent vs. sans agent
• Techniques d’identification
• Sans agent
Empreintes TCP
Adresse MAC
Agent utilisateur HTTP
Requiert une connectivité directe au Fortigate
• Avec agent
Utilisation du Forticlient
Indépendant de la localisation et de l’infrastucture

18/02/2016
126
Identification des périphériques : Liste des périphériques (GUI)
• User&Device Devices List

18/02/2016
127
Identification des périphériques : Liste des périphériques (GUI)
• Les périphériques sont indexés par MAC et identifiés à partir de sources
multiples

18/02/2016
128
Identification des périphériques : Liste des périphériques Forticlient (CLI)
• Les périphériques enregistrés par le Forticlient peuvent être identifiés
par leur UID

18/02/2016
133
Contrôle des postes
• Les Forticlient sont enregistrés sur le Fortigate

18/02/2016
134
• Les Forticlient ajoutés à la liste des devices

18/02/2016
135
• Profil Forticlient

18/02/2016
136
• Les paramètres du profil Forticlient téléchargés sur le device enregistré

18/02/2016
137
La gestion des postes de travail via Forticlient

18/02/2016
138
Concordance
des règles
Le Pare-feu
Yassine MORSLI

18/02/2016
139
Plan
• Comprendre les éléments de concordance des paquets avec les règles
de sécurité
• Comment sont traités les paquets ?

18/02/2016
140
Correspondance par objet source
• Contrôle de correspondance des paquets par adresse source, utilisateur,
et type de Device

18/02/2016
141
Correspondance par objet destination
• Identique au match à la source, les objets adresses peuvent être de type
IP ou FQDN
Les requêtes DNS sont utilisés pour résoudre les FQDN
• L’objet « région géographique » définit les adresses par IPS
La base est mise à jour périodiquement par le FortiGuard

18/02/2016
142
Correspondance par Horaire
• Les règles s’appliquent uniquement durant un temps/jour spécifique
Exemple : Appliquer moins de restriction en dehors des horaires de travail
La planification par défaut (Always) s’applique tout le temps
Récurrent
• S’applique de façon récurrente durant un jour ou plusieurs jours de la semaine
One-time
• S’applique une seule fois

18/02/2016
143
Correspondance par service
Protocol and port
Packet
Protocol and port
Firewall Policy
=
• Les services déterminent les protocoles de
transmission et les numéros de port
• Peuvent être pré-définis ou personnalisés
• ALL correspond à tous les ports et protocoles
• Le service web-proxy est également disponible si
l’interface source est défini en tant que web-proxy

18/02/2016
144
Usage des objets
• Permet un changement rapide des paramètres
• La colonne référence montre si l’objet est utilisé
Lié directement à l’objet référencé

18/02/2016
145
Comment les paquets sont traités : Etape 1
• Phase 1 – Entrée
Filtre Déni de service (DoS)
Vérification de l’intégrité des paquets
Tunnel IPSec
NAT de destination
Routage

18/02/2016
146
Tunnel IPSec
NAT de destination
Routage
• Phase 2 – Inspection à état
Trafic de gestion
Vérification des règles
• Session tracking
• Session helpers
• SSL VPN
• Authentification utilisateurs
• Traffic shaping

18/02/2016
147
Tunnel IPSec
NAT de destination
Routage
Trafic de gestion
• Session helpers
• SSL VPN
• Traffic shaping
• Phase 3 – Scan UTM
Inspection Flow-based
• IPS
• Contrôle applicatif
• Filtrage mail
• Filtrage web
• Antivirus
Inspection Proxy-based
• Inspection VOIP
• DLP
• Filtrage mail
• Filtrage web
• Antivirus
• ICAP

18/02/2016
148
Tunnel IPSec
NAT de destination
Routage
Trafic de gestion
• Session helpers
• SSL VPN
• Traffic shaping
• Phase 3 – Scan UTM
Inspection Flow-based
• IPS
• Contrôle applicatif
• Filtrage mail
• Filtrage web
• Antivirus
Inspection Proxy-based
• Inspection VOIP
• DLP
• Filtrage mail
• Filtrage web
• Antivirus
• ICAP
• Phase 4 – Sortie
IPSec
NAT Source
Routage

18/02/2016
149
La concordance des paquets avec les règle de sécurité
Les étapes d’exécution de paquet sur le boitier Fortigate

18/02/2016
150
Journal et analyse
Le Pare-feu
Yassine MORSLI

18/02/2016
151
Plan
• Activation de la journalisation sur les règles de sécurité
• Paramètres des tables de session
• Diagnostique des informations de session

18/02/2016
152
Traffic Logging
DenyAccept
Log Allowed Traffic Log Violation Traffic
config system setting
set ses-denied-traffic enable

18/02/2016
153
Moniteur
• Sessions actives, octets ou paquets par règle
• Policy&Objetcs > Moniteur > Politique Moniteur

18/02/2016
154
Table de sessions
• Les sessions IP acceptées sont suivies sur la table des sessions
• Enregistre les informations d’état
Adresses sources et destinations, paire de port, état, timeout
Interface source et destination
Action NAT, en source ou en destination
• Métrique de performance
Sessions concurrentes maximum
Nouvelles sessions par seconde

18/02/2016
155
TTL de sessions
• La réduction de la durée de vie des sessions peut améliorer les performances
lorsque la table est pleine en coupant les sessions prématurément
• TTL par défaut
• Timers à état spécifiques
• Les timers peuvent être appliqués sur les règles et les objets, et avoir des
précédences :
Application Control List > Firewall Services > Firewall Policies > Global Sessions
config system session-ttl
set default 3600
end
config system global
set tcp-halfclose-timer 120
set tcp-halfopen-timer 10
set udp-idle-timer 60
end

18/02/2016
156
Table de sessions : Exemple

18/02/2016
157
Etats TCP

18/02/2016
158
diagnose sys session
• La table de session indique les actions des règles
Effacer tous les filtres précédents
Paramétrer le filtre
Afficher toutes les entrées correspondantes au filtre configuré
Effacer toutes les entrées correspondantes au filtre configuré
diagnose sys session filter clear
diagnose sys session filter clear ?
dport port de destination
dst adresse IP destination
policy id de la règle
sport port source
src adresse IP source
diagnose sys session list
diagnose sys session clear

18/02/2016
159
diagnose sys session

18/02/2016
160
Le moniteur des sessions
La durée de vie des sessions

18/02/2016
161
Translation d’adresses IP
Le Pare-feu
Yassine MORSLI

18/02/2016
162
Plan
• Choix entre le NAT central ou le NAT source sur une règle de sécurité
Appliquer le NAT source avec IP pools (overload vs. One-to-one, port fixe et allocation de
bloc de ports)
• Configurer les NAT de destination avec les VIPs ou les serveurs virtuels

18/02/2016
163
Translation d’adresses et de ports
• Translation d’adresses IP – NAT
Modification d’adresse au niveau de la couche IP du paquet
• Quelques protocoles comme HTTP disposent également d’adresses sur la couche applicative, requiers
session helpers/proxy
Translation d’adresse source – SNAT
Translation d’adresse destination – DNAT
• Translation de ports – PAT
Modification du numéro de port au niveau de la couche IP du paquet
Adresse IP Source
Port Source
Adresse IP destination
Port destination

18/02/2016
164
Translation d’adresse IP (NAT)
10.10.10.1
11.12.13.14
Règle de sécurité
NAT activé
Adresse IP wan1: 200.200.200.200
Adresse IP source:
10.10.10.1
Port source: 1025
Adresse IP destination:
11.12.13.14
Port destination: 80
Adresse IP source:
200.200.200.200
Port source: 30912
11.12.13.14
internal
wan1
200.200.200.200

18/02/2016
165
NAT Dynamic IP Pool (Plage IP)
NAT + Plage IP activés
Plage IP wan1: 200.200.200.2-200.200.200.10
Adresse IP source:
10.10.10.1
Port source: 1025
11.12.13.14
Adresse IP source:
200.200.200.2
Port source: 30957
11.12.13.14
10.10.10.1
internal
wan1
11.12.13.14
200.200.200.200

18/02/2016
166
Type de plage IP : One-to-One
• Type par défaut : overload
• Type one-to-one associe une adresse IP interne à une IP de la plage sur la base
du premier arrivé, premier servi
La translation de port est désactivée
• Refuse la connexion s’il n’y a aucune adresse non allouée

18/02/2016
167
Type de plage IP : Plage IP à port fixe
• Le type : Range à port fixe, associe une plage d’IP interne à une plage externe
La translation de port est désactivée

18/02/2016
168
Type de plage IP : Allocation de bloc de ports
• Le type allocation de bloc de ports assigne une taille de bloc & numéro par
hôte pour une plage d’adresses IP externes
Petit bloc 64 et un seul bloc
En mode overload

18/02/2016
169
Adresse IP virtuelle de destination + NAT statique
Adresse IP wan1: 200.200.200.200
Adresse IP source:
11.12.13.14
200.200.200.200
10.10.10.10
11.12.13.14
internal
wan1
La VIP translate la destination
200.200.200.200 -> 10.10.10.10
IPs virtuelles

18/02/2016
170
IPs virtuelles
Adresse IP virtuelle de destination + NAT statique
Adresse IP wan1: 200.200.200.200
Adresse IP source:
11.12.13.14
200.200.200.200
10.10.10.10
11.12.13.14
internal
wan1
La VIP translate la destination
200.200.200.200 -> 10.10.10.10
• Objets NAT en destination
• NAT statique par défaut
» Peut être en mode “restricted” pour rediriger
uniquement certains ports
• En CLI, l’option load-balance ou server-load-
balance est disponible
• La VIP doit être routable sur l’interface externe
(source) pour le retour de paquets

18/02/2016
172
Translation d’adresses : Central NAT

18/02/2016
173
Les mécanismes de translation d’adresses et de ports

18/02/2016
174
Inspection du trafic
Le Pare-feu
Yassine MORSLI

18/02/2016
175
Plan
• Traffic Shapping
• Profils de sécurité
• Modes d’inspection
• Inspection SSL

18/02/2016
176
Traffic Shapping
• La limitation du débit est configurable
Bande passante entrante et sortante
• Chaque interface physique a 6 files d’attentes d’émission
• Le traffic shapping contrôle quelle règle dispose de la priorité la plus
élevée lorsque une quantité de données importante traverse le boitier
Fortigate
• Normalise les pics de trafic en priorisant certains flux par rapport à
d’autres

18/02/2016
177
Traffic Shapping
Traffic Shapping partagé Traffic Shapping par IP
Bande passante garantie
Bande passante maximum

18/02/2016
178
Profils de sécurité

18/02/2016
179
Proxy vs. Flow : Scan Proxy-based
• Le proxy transparent met les fichiers en mémoire tampon
• A la fin de la transmission, le Fortigate examine les fichiers
Aucune action jusqu’à ce que le tampon soit plein ou l’action est terminée
• La communication se termine sur la couche 4
Le proxy lance une connexion secondaire après le scan

18/02/2016
180
Option de proxy

18/02/2016
181
Proxy vs. Flow : Scan Flow-based
• Le fichier est scané sur la base du flux TCP lorsqu’il transite via le
Fortigate
Moteur IPS
• Plus rapide que le mode Proxy
• Utilise les mêmes signatures que le mode proxy
• Le trafic d’origine n’est pas altéré

18/02/2016
182
SSL Inspection

18/02/2016
183
Traffic Shapping
Les mécanismes d’inspection du trafic

18/02/2016
184
Diagnostiques des règles
de sécurité
Le Pare-feu
Yassine MORSLI

18/02/2016
185
Plan
• Supervision et débogage du trafic

18/02/2016
186
Débogage des règles de sécurité
• Comprendre le flux
Entrant
Sortant
Action NAT source
Action NAT destination
VPN
Inspection de contenu proxy/flow
• Quel est le problème ?
Lenteur/retard ?
Timeout trop court ?
Echecs de connexion ?

18/02/2016
187
Capture de paquets (CLI)
• Utilisée pour trouver d’où un paquet arrive et par où le paquet sort
• Pour une visualisation sur Wireshark, convertir le rendu
Sauvegarder le rendu sur un fichier
Script Perl sur la KB (ID article : 11186)
Interface
Utiliser un nom physique ou logique
diag sniff packet interface ‘filter’ level
port1, lan, wan1, ‘any’
Level (1-6)
1 : Afficher l’entête des paquets
2 : Afficher l’entête et les données IP des paquets
3 : Afficher l’entête et les données Ethernet
4 : Afficher l’entête des paquets avec le nom d’interface
5 : Afficher l’entête et les données IP avec le nom d’interface
6 : Afficher l’entête et les données Ethernet avec le nom d’interface

18/02/2016
188
Capture de paquets : Exemples
• Ne pas spécifier un hôte qui risque de change d’IP à cause du NAT
• Utiliser l’interface ‘any’ et un niveau de détail à 4 est le plus utilisé
• Exemples :
IP
ICMP
TCP : Paquets avec le paramètre SYN flag
FTP
• Connexion et données, FTP passif
• Connexion et données, FTP actif
• Si utilisation de SSH, ne pas sniffer vos propres paquets
diag sniff packet any ‘dst host 10.200.1.254’ 4
diag sniff packet any ‘dst host 10.200.1.254 and icmp’ 4
diag sniff packet any ‘icmp[icmptype] !=0 and icmp[icmptype] !=8’ 4
diag sniff packet any ‘tcp[13]&2==2’ 4
diag sniff packet any ‘host 10.200.1.254 and (port21 or port ??)’ 4
diag sniff packet any ‘host 10.200.1.254 and (port21 or port 20)’ 4
diag sniff packet any ‘!port 22’ 4

18/02/2016
189
Capture de paquets (GUI)
• Les paquets capturés sont automatiquement convertis en format
Wireshark
• Disponible sur les boitiers avec stockage interne (HD ou carte SMC)

18/02/2016
192
Combiner les traces de paquet et flux
• Suivi des paquets à l’arrivée avec des actions FortiOS
• Mieux !
Paramétrer le debug flow, puis démarrer le sniffer
Fortigate # diagnose sniffer packet any ‘host 10.200.1.254 and port 80’ 4
interface=[any]
filters=[host 10.200.1.254 and port 80]
51.685869 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn
3479847099
51.937927 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn
1978229729
51.679653 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn
3479847099
51.930621 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn
1978229729

18/02/2016
193
Traitement des paquets de débogage
Moniteur GUI
CLI

18/02/2016
194
Introduction au
proxy web
Proxy Explicite
Yassine MORSLI

18/02/2016
195
Plan
• Activer le proxy web explicite sur le Fortigate
• Utilisation du fichier PAC et du WPAD pour configurer les navigateurs
web avec plusieurs proxy web et exceptions

18/02/2016
196
Qu’est-ce qu’un Proxy ?
• Le proxy redirige les requêtes pour les clients aux sites web
Les réponses peuvent être mises en cache
Si un cache existe, le proxy est un raccourci : réponds lui-même à partir du cache, ne redirige pas les
requêtes au site web
• Deux connexions TCP
1. Du client au Proxy
2. Du Proxy au serveur
ServerProxy HTTPClient
Connexion 1 Connexion 2

18/02/2016
197
Proxy Implicite (Transparent)
• Ne requiert pas de changement de configuration du client
Les requêtes envoyées à l’IP du serveur, pas au proxy
• Le proxy implicite intercepte les requêtes, même si l’IP de destination
n’est pas l’IP du proxy
Le proxy écoute sur les ports 80 et 443
10.0.0.50:80192.168.0.1:80192.168.0.2
Requêtes envoyé à
10.0.0.50:80
Connexion 2
Requêtes envoyé à
10.0.0.50:80
au lieu de 192.168.0.2
Le client envoie des requêtes à
l’IP du serveur+port, pas au
proxy
Le proxy intercepte

18/02/2016
198
Proxy Explicite
• Le client envoie des requêtes à l’IP du proxy + Port, pas au site web
directement
• Les clients doivent être spécifiquement configurés
• Le proxy écoute les paquets sur sa propre IP+Port
Habituellement 8080 ou 443
10.0.0.50:80192.168.0.1:80192.168.0.2
Requête envoyée à
192.168.0.1:8080
Connexion 2
Requête envoyée à
10.0.0.50:80
Le client envoie des
requêtes à l’IP du
PROXY+port, pas au
serveur

18/02/2016
199
Comment configurer le navigateur
• Pour utiliser le proxy explicite, le navigateur web doit être configuré
• 3 méthodes :
Paramètres du navigateur
Fichier PAC (Proxy Automatic Configuration)
Découverte automatique du proxy web (WPAD)

18/02/2016
200
Paramètres du proxy du navigateur
• Configuration manuelle des navigateurs avec une seule IP de proxy (ou FQDN)
et un numéro de port
• Des exceptions peuvent être configurées
Autoriser certaines destinations à ne pas passer par le proxy

18/02/2016
201
Proxy Automatic Configuration (PAC)
• Supporté pour plus d’un proxy
• Définit comment les navigateurs sélectionnent un proxy
Habituellement stocké dans un des proxy
Spécifie quel trafic sera envoyé à quel proxy
• Configurer chaque navigateur avec l’URL d’un fichier PAC
• Par défaut, le Fortigate peut héberger le fichier PAC à :
http://<IP_Fortigate>:<Port>/proxy.pac

18/02/2016
202
Exemple fichier PAC
function FindProxyForURL (url, host) {
if (shExpMatch(url,"*.exemple.com/*")) {
return "DIRECT"; }
if (shExpMatch(url,"*.exemple.com:*/*")) {
return "DIRECT"; }
if (isInNet(host, "10.0.0.0", "255.255.255.0"))
{
return "PROXY fastproxy.exemple.com:8080";
}
return "PROXY proxy.exemple.com:8080; DIRECT";
}
Connexion à n’importe quel
sous domaine/URL/Port de
exemple.com, n’utilise pas le
proxy
Connexion à
10.0.0.0/24
utilise :
fastproxy.exem
ple.com:8080Par ailleurs, tout le trafic restant utilise :
proxy.exemple.com:8080

18/02/2016
203
Web Proxy Auto-Discovery Protocol (WPAD)
• Le navigateur requête : « Où est le fichier PAC ? »
• Deux méthodes :
Requête DHCP
Requêtes DNS
• Habituellement, les navigateurs essaient d’abord la méthode DHCP
Si échec, essaient la méthode DNS
Quelques navigateurs supportent uniquement la méthode DNS

18/02/2016
204
WPAD méthode DHCP
1. Le navigateur requête le serveur DHCP (DHCPINFORM)
2. La réponse informe l’URL du fichier PAC
3. Le navigateur télécharge le fichier PAC
4. Le navigateur accède au web via le proxy
Server web
Fortigate /fichier PAC
Server DHCP
1
2
3
4

18/02/2016
205
WPAD méthode DNS
1. Le navigateur requête le serveur DNS pour la résolution
2. La réponse informe l’URL du fichier PAC
3. Le navigateur télécharge le fichier PAC
4. Le navigateur accède au web via le proxy
Server web
Fortigate /fichier PAC
Server DNS
1
2
3
4
wpad.<local-domain>
http://<pac-server>:80/wpad.dat

18/02/2016
206
Qu’est-ce qu’un proxy web explicite ?
Fichier PAC vs. WPAD

18/02/2016
207
Proxy cache
Proxy Explicite
Yassine MORSLI

18/02/2016
208
Plan
• Réduire l’utilisation de la bande passante WAN
• Améliorer la qualité de la réponse via le web cache

18/02/2016
209
Proxy avec cache web
• Le proxy peut faire fonction de cache
La fonctionnalité dépend du modèle du boitier
• Lors de la première requête, le cache conserve une copie temporaire du
contenu web statique
• Les prochaines requêtes du contenu inchangé reçoivent les réponses
du cache
• Améliore
L’utilisation de la bande passante WAN
La charge du serveur
La qualité de la réponse perçue

18/02/2016
210
Cache web (Part 1)
• Pour la première requête, la réponse n’est pas encore mise en cache
• Proxy :
Obtient le contenu du serveur
L’enregistre en mémoire si le contenu n’est pas dynamique
Redirige la réponse au client
Réponse en cache ? Non
Première
requête
Contenu
Première
requête
Contenu

18/02/2016
211
Cache web (Part 2)
• Pour les requêtes suivantes, la réponse est habituellement déjà en
cache
Le proxy redirige une copie du cache vers le client
Ne télécharge pas de contenu du serveur
Le contenu dynamique est une exception : il change, le proxy le traite à chaque fois
comme une première requête
Réponse en cache ? Oui
Deuxième
requête
Contenu

18/02/2016
216
Activer le Proxy Web
Activer le Proxy
et le fichier PAC
Port découte
TCP
Editer le fichier
PAC
Action par défaut
pour le trafic
Proxy qui ne
correspond à
aucune règle de
sécurité

18/02/2016
217
Activer le Proxy Web sur l’interface
• Spécifier quelle interface écouter pour les connexions Proxy

18/02/2016
218
Proxy explicite : règles de sécurité
Le trafic peut
être inspecté
Le cache web est
supporté sur
quelques modèles

18/02/2016
219
Comment réduire l’utilisation de la bande passante via le cache ?
Authentification IP-Based vs. Session-Based
Configuration Proxy Web explicite

18/02/2016
220
Authentification Proxy
Proxy Explicite
Yassine MORSLI

18/02/2016
221
Plan
• Authentifier plusieurs utilisateurs web proxy qui partagent la même
adresse IP source
• Appliquer les règles Proxy avec des objets adresses URL
• Moniteur des utilisateurs Proxy

18/02/2016
222
Règle proxy explicite avec authentification
Action est
Authentifié
Créer des règles
d’authentifications
Sélectionner
l’authentification IP ou
session

18/02/2016
223
Règles d’authentification Proxy explicite
• Pas de fall-through, contrairement aux autres règles d’authentification
• Indépendamment du statut de l’authentification des utilisateurs,
Fortigate utilise la première règle qui match:
IP source
IP destination
Interface destination
• Ne passe pas aux règles suivantes après le premier match

18/02/2016
224
Exemple : Authentification Proxy Explicite
• Règle #1 : utilisateurs dans 10.0.1.0/24 doivent s’authentifier
quotidiennement
A chaque moment, le Fortigate vérifie si le trafic match avec la règle
• Règle #2 : autorise un accès non restreint à partir de 10.0.0.0/8, mais
tant que 10.0.1.* match avec la règle #1, la règle #2 ne sera pas atteinte

18/02/2016
225
Utilisateurs invités (Guest Users)
• Si un utilisateur n’appartient à aucun groupe utilisateur dans la règle, et
si strict-guest est désactivé, Fortigate les traite comme les membres du
groupe SSO_guest_user
config web-proxy explicit
set strict-guest disabled
end

18/02/2016
226
Modèle URL Type d’objets
• Uniquement pour les règles Proxy Explicite
• Le Fortigate les compare à l’URL des requêtes HTTP GET
/path/to/file
N’inclue pas le hostname/IP, qui est dans le header HTTP Host

18/02/2016
228
Méthode de configuration WPAD DNS (Part 1)
• La méthode DNS doit résoudre le nom wpad.<domainelocal> à l’IP Proxy
Fortigate
• Dans la configuration Fortigate, un match (correspondance) requiert le nom du
fichier PAC et l’utilisation du port 80:
config web-proxy explicit
set pac-file-server-status enable
set pac-file-server-port 80
set pac-file-name wpad.dat
end

18/02/2016
229
Méthode de configuration WPAD DNS (Part 2)
• De plus, si le Fortigate est lui-même serveur DNS, configurer le suffixe du
domaine local

18/02/2016
230
Moniteur des utilisateurs de Proxy
• A partir de la GUI
User&Device > Monitor > Firewall
A partir de la ligne de commande (CLI)
Pour supprimer tous les sessions d’authentification Proxy courantes
# diagnose wad user list
Student 10.0.1.10 id:40 VD:root, duration: 18
# diagnose wad user clear

18/02/2016
231
Règles d’authentification Web Proxy
Modèles d’objet URL
Moniteur des utilisateurs Web Proxy explicite

18/02/2016
232
Méthodes
d’authentification
Authentification
Yassine MORSLI

18/02/2016
233
Plan
• Expliquer l’authentification pare-feu
• Décrire les différentes méthodes d’authentification disponibles sur les
équipements Fortigate

18/02/2016
234
Authentification
• Confirme l’identité d’un utilisateur ou d’un device
• Une fois le user/device identifié par le Fortigate, le Fortigate applique la
règle de sécurité correspondante pour autoriser ou interdire l’accès aux
ressources réseau

18/02/2016
235
Méthodes d’authentification
Les méthodes d’authentification suivantes peuvent être utilisées :
• Authentification locale
• Authentification distante
• Authentification à deux facteurs
Activé en seconde authentification, additionnelle à une authentification existante
Requiert un élément connu (le mot de passe) et un élément en votre possession (le token)

18/02/2016
236
Authentification locale
• L’authentification locale est basée sur les comptes utilisateurs locaux
stockés dans le Fortigate
Pour chaque compte, un nom d’utilisateur et mot de passe est stocké
Nom d’utilisateur
et mot de passe
Fortigate
1
2

18/02/2016
237
Authentification distante
• Les comptes sont stockés sur un serveur d’authentification externe
• Les administrateurs peuvent
Créer un compte utilisateur local et spécifier le serveur distant pour vérifier le mot de passe ou
Ajouter le serveur d’authentification au groupe d’utilisateurs
• Tous les utilisateurs de l’objet serveur vont être membres de ce groupe
Nom d’utilisateur
et mot de passe
Fortigate
1
2
4OK
Nom d’utilisateur
et mot de passe
3

18/02/2016
238
Authentification distante - Protocoles
LDAP
TACACS+POP3
Directory
Services
FSSO,NTLM
RADIUS
RSSO
RADIUS
Single Sign On

18/02/2016
239
Authentification distante - SSO
• Les utilisateurs qui s’authentifient à un domaine peuvent tirer partie de
cette authentification pour s’authentifier sur le pare-feu
• Les utilisateurs saisissent leurs mots de passe une seule fois, et accèdent
à plusieurs ressources réseau sans besoin de s’authentifier une nouvelle
fois
• Grâce au Fortigate, le SSO peut être implémenté en utilisant l’une des
deux méthodes suivantes :
FSSO : Environnement de communication Fortinet pour collecter et rediriger
les informations d’authentification des utilisateurs, au Fortigate
RSSO : Environnement de communication pour envoyer les paquets RADIUS
au Fortigate, contenant les évènements login, logoff

18/02/2016
240
Authentification distante – POP3
• La plupart des protocoles d’authentification utilisent une combinaison
de nom d’utilisateur et mot de passe
RADIUS, FSSO, etc.
• Les serveurs POP3 authentifient les utilisateurs sur la base de leur
adresse email
Utilisateur : jsmith@<domain>.com
Mot de passe : <password>

18/02/2016
241
Authentification
Protocoles d’authentification

18/02/2016
242
Authentification
à deux facteurs
Authentification
Yassine MORSLI

18/02/2016
243
Plan
• Expliquer l’authentification à deux facteurs

18/02/2016
244
Authentification deux facteurs (2FA)
• L’authentification à deux facteurs (2FA) est une authentification forte qui
garantie la sécurité en empêchant des attaques liées à l’utilisation des
mots de passes statiques seuls
• 2FA nécessite deux moyens indépendants pour identifier un utilisateur :
Un élément connu : comme un mot de passe
Un élément que vous possédez : un Token ou un certificat PKI
• En général, l’algorithme OTP (One-Time-Password) peut être basé sur le
temps ou sur un évènement
OTP Fortinet est basé sur le temps (time-based) il est donc important d’utiliser l’horloge Fortigate pour
plus de précision
• Les codes Token sont time-based, par conséquent, n’apparaissent
qu’une seule fois

18/02/2016
245
2FA – Mot de passe unique
• FortiToken / FortiToken mobile :
Chaque 60 secondes, le token génère un code à 6 caractères basé sur un seed unique et
l’horloge GMT
• FortiToken matériel
• FortiToken mobile : disponible sur Android et iOS
• Méthodes alternatives
Email : Un mot de passe unique est envoyé par email à l’utilisateur
SMS : Un mot de passe unique est envoyé via email au fournisseur SMS de l’utilisateur.

18/02/2016
246
2FA – Tokens
246
SeedTime
080485
FortiGate
Token
Algorithm
SeedTime
080485
Algorithm
Same Seed
Same Time
2
1
4
3
Validation des informations
d’indentification

18/02/2016
247
Ajouter un FortiToken

18/02/2016
248

18/02/2016
249
Types et règles
Authentification
Yassine MORSLI

18/02/2016
250
Plan
• Décrire les types d’authentification (active et passive)
• Créer des règles d’authentification
• Configurer un portail captif et les disclaimers
• Configurer les timeout d’authentification

18/02/2016
251
Types d’authentification
• Active :
L’utilisateur reçoit un prompt de login et doit entrer ses informations manuellement pour
s’authentifier
Utilisé avec LDAP, RADIUS, Local et TACACS+
• Passive :
L’utilisateur ne reçoit pas de prompt de login et les informations d’authentification sont
déterminées automatiquement
• Les méthodes varient selon le type d’authentification utilisé
Utilisé avec FSSO, RSSO et NTLM

18/02/2016
252
Déclencheurs de l’authentification active
• L’authentification utilisateur active est déclenchée via un des protocoles
suivants :
HTTP
HTTPS
FTP
Telnet
• Le protocole d’authentification doit être autorisé par la règle avec
l’authentification activée
• Tous les autres services ne seront pas autorisés jusqu’à ce que
l’utilisateur soit authentifié la première fois avec succès via un des
protocoles précédents

18/02/2016
253
Types d’authentification : ordres d’opération
• Lorsque l’authentification active et passive sont activés, la première
méthode qui permet de déterminer le nom d’utilisateur est utilisée
• Si les informations d’authentification de l’utilisateur ne sont pas
déterminées d’abord via la méthode passive, la méthode active est
employée

18/02/2016
254
Règle de sécurité : Source
• Les règles de sécurité peuvent
inclurent les users ou groupes en
source
• Une authentification est réussie
lorsqu’un utilisateur saisie des
informations correspondants à celles
spécifiées en source de la règle
? Règle Source

18/02/2016
255
Règle de sécurité : DNS
• Le trafic DNS est permis grâce à une règle d’authentification même si
l’utilisateur n’est pas encore authentifié
La résolution de nom est souvent requise pour recevoir le trafic HTTP/HTTPS/FTP/Telnet via
lesquels un utilisateur peut actuellement s’authentifier
Le service DNS doit être explicitement listé en tant que service dans la règle

18/02/2016
256
Combiner les règles
• Activer l’authentification sur une seule règle ne force pas toujours un
prompt d’authentification
• 2 options :
Activer l’authentification sur chaque règle qui pourrait matcher avec le trafic
Activer un portail captif sur l’interface d’entrée du trafic

18/02/2016
257
Portail captif
• Activer un portail captif sur une interface force la page
d’authentification à apparaitre lorsque un trafic d’authentification est
reçu
Port1 Port2
Portail
captif
activé ici

18/02/2016
258
Portail captive : Exceptions
• Si le portail captif est activé, mais vous ne souhaitez pas qu’il soit
appliqué pour quelques devices spécifiques…
Imprimantes, fax, console de jeux peuvent ne pas être activés pour utiliser
l’authentification active, mais nécessitent d’être autorisés par la règle de
sécurité
#config firewall policy
#edit <policy_id>
#set captive-portal-exempt enable
#end #config user security-exempt-list
#edit <list_name>
#config rule
#edit <rule_id>
#set srcaddr <address_object>
#next
#end

18/02/2016
259
Disclaimer
#config firewall policy
#edit <policy_id>
#set disclaimer enable
#end
• Affiche la pages des termes et accords
disclaimer avant que l’utilisateur ne
s’authentifie
• L’utilisateur doit accepter le disclaimer
pour poursuivre avec le processus
• L’utilisateur est dirigé vers la destination
originale (ou la page d’authentification)
Règle

18/02/2016
260
Modifier le Disclaimer
• Tous les disclaimers n’ont pas besoin d’être identiques
Le texte peut être modifié
Des images peuvent être ajoutées (en HTML)

18/02/2016
261
Timeout d’authentification
#config user setting
#set auth-timeout-type [idle-timeout | hard-timeout | new-session]
#end
• Le timeout spécifie combien de temps un utilisateur peut
rester idle avant qu’il ne soit obligé de s’authentifier une
nouvelle fois
• 5 minutes par défaut
• 3 options :
• Idle (par défaut) – il ne doit pas y avoir de trafic pour
la durée définie
• Hard – valeur absolue. L’authentification expire après
la durée définie
• Nouvelle session – si aucune session n’est créée

18/02/2016
262
Types d’authentification
Règles d’authentification
Portail captif et disclaimer
Timeout d’authentification

18/02/2016
263
Utilisateurs
et groupes
Authentification
Yassine MORSLI

18/02/2016
264
Plan
• Décrire et configurer les utilisateurs et les groupes
LDAP, RADIUS
Fortigate

18/02/2016
265
Utilisateurs et groupe d’utilisateurs
• Ajout d’utilisateurs à un serveur externe
LDAP
RADIUS
• Créer des utilisateurs et des groupes d’utilisateurs pour l’authentification
pare-feu sur le Fortigate

18/02/2016
266
Vue d’ensemble LDAP
• LDAP est un protocole d’application pour accéder et maintenir les
informations distribuées des serveurs d’annuaire
• La structure est semblable à un arbre
Contient des entrées (objets) sur chaque branche
• Chaque entrée a un ID unique, le Distanguished Name (DN)
• Chaque entrée dispose également d’attributs
• Chaque attribut a un nom et un ou plusieurs valeurs
• Les attributs sont définis dans le schéma Active Directory

18/02/2016
267
Hiérarchie LDAP
• L’arbre LDAP a généralement tendance à correspondre à la hiérarchie
de l’organisation du client
• La racine représente l’organisation elle-même, tel qu’elle est définie en
tant que composant du domaine (dc), tels que :
dc=exemple, dc=com
• Des niveaux additionnels sont inclus :
C (country)
OU (Organizational Unit)
O (Organization)
• Les comptes utilisateurs ou groupes disposent généralement de noms
d’éléments comme ‘uid’ (ID user) ou ‘cn’ (common name)

18/02/2016
268
Configuration de la requête LDAP
Nom d’attribut
qui identifie
chaque user
Branche parent
où sont
localisés tous
les users
Informations
d’un admin LDAP

18/02/2016
269
Test d’une requête LDAP
• En CLI
• Exemple de résultat
#diagnose test authserver ldap <server_name> <user>
<password>
#diagnose test authserver ldap Lab jsmith fortinet
Authenticate ‘jsmith’ against ‘Lab’ succeeded!
Group membership(s)
CN=SSLVPN,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=com
CN=TAC,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=com

18/02/2016
270
Vue d’ensemble RADIUS
• Protocole standard qui fournit les services d’Authentification,
d’Autorisation et Accounting (AAA)
User
Serveur
RADIUSFortigate
Accès - Requêtes
Accès - Accepté
ou
Accès - Rejeté
ou
Accès - Challenge

18/02/2016
271
Configuration RADIUS
Adresse IP ou
FQDN du
serveur RADIUS
Le ‘secret’ doit
correspondre à
la clé du serveur

18/02/2016
272
Tester les requêtes RADIUS
• A partir de la CLI
• Les schémas supportés sont :
chap
pap
mschap
mschap2
#diagnose test authserver radius <server_name> <scheme>
<user> <password>

18/02/2016
273
Utilisateurs

18/02/2016
274
Types de groups d’utilisateurs
Active
Directory RADIUSParis Visiteurs
Utilisateurs
locaux
Utilisateurs
invités
FSSO RSSO
• Un groupe est d’un des 4 types : local, FSSO, Invité, RSSO
• Les groups locaux fournissent un accès aux règles de sécurité qui requièrent une authentification
• FSSO et RSSO sont utilisés pour l’authentification unique et silencieuse

18/02/2016
275
Types de groupes d’utilisateurs
• Plus communément utilisé dans les réseaux sans fils
• Les groupes invités contiennent des comptes temporaires

18/02/2016
276
Configuration des groupes d’utilisateurs
Sélectionner les
utilisateurs
locaux
Sélectionner les
serveurs
distants contenant des
utilisateurs qui
appartiennent au
groupe

18/02/2016
277
Configurer les règles de sécurité
• Sur une règle de sécurité, la définition du trafic source peut inclure
l’adresse IP et/ou le compte utilisateur

18/02/2016
282
Moniteurs des utilisateurs via Event log
• Une authentification réussie ne génère pas d’évènement de Log
Journaux&Alertes > Evènement > User est principalement pour analyser le comportement
utilisateurs entre le Fortigate et les serveurs distants (RADIUS, LDAP, etc.)
Les détails de l’utilisateur sont intégrés dans la plupart des logs lorsque l’utilisateur est
authentifié

18/02/2016
283
Superviser les utilisateurs

18/02/2016
284
Comprendre le VPN SSL
Fortigate
VPN SSL
Yassine MORSLI

18/02/2016
285
Plan
• Comprendre et configurer les différents modes d’opération SSL VPN

18/02/2016
286
Virtual Private Networks (VPN)
• Permet aux utilisateurs un accès distant à des ressources réseaux,
semblable à une connexion locale
• Utilisé lorsqu’il est nécessaire de transmettre des données privées dans
un réseau public
• Fournit une connexion cryptée point à point, par conséquent les
données ne peuvent être interceptées par des utilisateurs non autorisés
• Différentes méthodes de sécurité pour assurer que seuls les utilisateurs
autorisés peuvent accéder au réseau privé

18/02/2016
287
FortiGate VPN
• Utilisé pour sécuriser les transactions
Web
• Tunnel HTTPS créé pour transmettre des
données applicatives de manière
sécurisée
• Les clients s’authentifient sur une page
Web sécurisée (Portail VPN SSL) sur le
Fortigate
VPN
SSL VPN
• Correspond pour les applications en
réseau
• Tunnel sécurisé construit entre deux
boitiers hôtes IPSec
• Le VPN IPSec peut être construit entre
un boitier Fortigate et la pluparts des
périphériques compatibles IPSec
IPSec VPN

18/02/2016
288
SSL VPN – Mode Web
1. Connexion d’un utilisateur distant au portail
VPN SSL (site web HTTPS)
2. Authentification utilisateur
3. Le portail SSL VPN est présenté
4. Accéder aux ressources sur le portail VPN SSL
via les raccourcis ou l’outil de connexion

18/02/2016
289
SSL VPN Tunnel Mode
1. Connexion d’un utilisateur distant au portail
VPN SSL (site web HTTPS)
2. Authentification utilisateur
3. Le portail SSL VPN est présenté
4. Le tunnel est créé
5. Accès aux ressources (Trafic IP encapsulé en
HTTPS)

18/02/2016
290
INTERNET
Mode tunnel – Split tunneling
• Split tunneling désactivé :
Tout le trafic IP est routé via le tunnel VPN SSL (inclus le trafic Internet)
Le Fortigate devient la passerelle par défaut des host
• Split tunneling activé
Seul le trafic destiné au réseau privé est routé via le tunnel SSL VPN
Réseau
interne
Mode tunnel
Split Tunneling
activé
Split Tunneling
désactivé

18/02/2016
291
Comment se connecter au SSL VPN tunnel
• Via le navigateur
Le portail Web VPN SSL affiche le status du contrôle ActiveX SSL VPN
La page du portail SSL VPN doit rester ouverte pour que le tunnel puisse continuer à
fonctionner
• Utiliser le VPN SSL Forticlient
Le client doit rester fonctionnel durant la connexion au VPN
Un nouveau adaptateur réseau virtuel fortissl est créé sur le poste client
• Le Fortigate assigne à l’adaptateur virtuel une adresse IP à partir du pool IP réservé

18/02/2016
292
SSL VPN : port forward
• Le port forward est une extension du mode web qui simule le fonctionnement
du mode tunnel
Option intéressante lorsque les clients n’ont pas les droits d’administrateurs pour installer le
logiciel client
• Le port forward utilise un applet Java pour étendre le nombre d’applications
supportées par le mode Web
L’applet écoute les ports locaux sur les postes clients. Il crypte et redirige au Fortigate tout le
trafic qu’il reçoit (similaire au mode tunnel)
Des raccourcis spécifiques pour les utilisateurs sont créés et agissent comme un tunnel
• L’utilisateur doit configurer les applications sur l’ordinateur pour
pointer sur le proxy local au lieu de pointer sur l’application Server

18/02/2016
293
VPN
SSL VPN vs. IPSec VPN
Mode Web et mode tunnel
Port forwarding
Méthodes de connexion au tunnel SSL VPN

18/02/2016
294
Options et sécurité
VPN SSL
VPN SSL
Yassine MORSLI

18/02/2016
295
Plan
• Configurer les options VPN SSL, tel que les Bookmarks
• Configurer la sécurité additionnelle pour les accès VPN SSL
• Monitorer les utilisateurs VPN SSL connectés

18/02/2016
296
SSL VPN Access Modes
Mode Web
• Pas de soft client requis
(navigateur web
uniquement)
• Reverse Proxy pour
HTTP, HTTPS, FTP,
SAMBA (CIFS)
• Applets Java pour RDP,
VNC, TELNET, SSH
Mode Tunnel
• Requiert un logiciel
Fortigate spécifique à
télécharger sur le PC
(ActiveX ou Java applet)
• Requiert des privileges
admin/root pour installer
l’adaptateur du tunnel
niveau 3
Mode Port Forward
• Applet Java fonctionne
comme un proxy local
pour intércepter des ports
TCP spécifiques, puis les
chiffrer en SSL
• Téléchargé sur le poste
client et installé sans
besoin de privileges
admin
• L’application client doit
pointer vers l’Applet Java

18/02/2016
297
Bookmarks utilisateurs
• La capacité de l’utilisateur à créer ses propres bookmarks est
activée/désactivée par l’administrateur sur le portail (par défaut activée)
• Les administrateurs peuvent afficher et supprimer les bookmarks
utilisateurs à partir de la GUI, cependant, en CLI, il n’est possible que de
créer les bookmarks

18/02/2016
298
Bookmarks utilisateurs – Configuration
• ‘apptype’ dispose de différents sous-paramètres
Par exemple, « URL » pour « web », « répertoire » pour « ftp », etc.
• Les bookmarks portforwarding sont valables pour trois types spécifiques :
Citrix
Portforward
rdpnative
config vpn ssl web user-bookmark
edit [Nom user]
config bookmarks
edit [Titre bookmark]
set apptype [citrix|ftp|portforward|rdp|rdpnative|smb|ssh|telnet|vnc|web]
set description [entrer une description]
set sso [disable|auto]
…
…
end

18/02/2016
299
Bookmarks sur le portail
• Les administrateurs peuvent ajouter des bookmarks sur les portails
• Les bookmarks seront disponibles pour tous les utilisateurs du portail

18/02/2016
300
Sécuriser les accès VPN SSL
• Vérification de l’intégrité du client
• Restriction des adresses de connexion des hôtes
• Requiert des certificats spécifiques
• Authentification à deux facteurs
• Téléchargement de Forticlient

18/02/2016
301
Sécuriser les accès : vérification d’intégrité
• Le Fortigate vérifie le système du client
Compatible uniquement avec les clients Microsoft Windows
• Détecte les applications de sécurité du clients reconnues par le centre
de sécurité Windows (Antivirus et Pare-feu)
• Vérifie le status des applications via GUID (identifiant unique)
• Détermine l’état des applications (active/inactive, numéro de version
courante, mise à jour de signatures)

18/02/2016
302
Vérification d’intégrité : Configuration
• Repose sur des solutions soft tiers pour assurer l’intégrité du client
• Vérifie si le bon logiciel est installé sur le PC, autrement la tentative de
connexion VPN SSL est rejetée
• Configuration CLI :
config vpn ssl web portal
edit [Nom_portail]
set host-check {none|av|fw|av-fw|custom}
set host-check-interval <secondes>
end
config vpn ssl web host-check-software
show

18/02/2016
303
Sécuriser les accès : Restriction des IPs hôtes
• Par défaut, tous les IPs sont autorisées à se connecter
Pas tous les hôtes externes ont besoin de se connecter
Des hôtes spécifiques peuvent être spécifiés
• La liste complète peut être déniée en CLI
Tous les IPs sont autorisées exceptées celles listées
config vpn ssl setting
set source-address-negate [enable|disable]
set source-address6-negate [enable|disable]
end

18/02/2016
304
Moniteur SSL VPN
Utilisateur
mode Web
La colonne ‘sous-
session’ indique que
c’est un mode tunnel
Adresse IP SSL
VPN pour le
user fortinet

18/02/2016
305
VPN SSL règle De-Authentification
• La session pare-feu d’authentification est associée avec la session
tunnel VPN SSL
• Force l’expiration de la session d’authentification pare-feu, lorsque la
session tunnel VPN SSL est terminée
Empêche la réutilisation des règles de pare-feu SSL VPN (pas encore expirées) par un autre
utilisateur après que l’utilisateur initial ait terminé la session tunnel SSL VPN
• L’authentification SSL VPN n’est pas soumise au paramètre de timeout
de l’authentification pare-feu
Paramètre IDLE séparé pour le VPN SSL

18/02/2016
306
Portail et Bookmark
Sécuriser les accès VPN SSL
Monitorer les accès VPN SSL

18/02/2016
307
Configuration du VPN SSL
VPN SSL
Yassine MORSLI

18/02/2016
308
Plan
• Configurer les règles de sécurité et l’authentification pour le VPN SSL

18/02/2016
309
Etapes de configuration
1. Paramétrer des comptes utilisateurs et groupes
2. Configurer le portail
3. Configurer les paramètres VPN SSL généraux
4. Créer des règles de sécurité pour l’authentification
5. Créer des règles de sécurité pour le trafic vers le réseau interne

18/02/2016
310
Etape 1 : Comptes users et groupes
• Le SSL VPN supporte les méthodes d’authentification suivantes :
Authentification locale
Authentification distante :
• LDAP
• RADIUS
• TACACS+
• POP3
• L’authentification à deux facteurs est également supportée
Nom d’utilisateur et mot de passe (un
seul facteur)
+
Code Token (deux facteurs)

18/02/2016
311
Etape 2 : Configurer le portail
Mode tunnel
Bookmarks
• Les portails fournissent un
accès utilisateur aux ressources
requises
Bookmark, mode tunnel, etc

18/02/2016
312
Portail VPN SSL : Exemple

18/02/2016
313
Etape 3 : Paramètres de connexion
Interface de
connexion au
portail VPN
SSL
Numéro de
port portail
web
Timeout de
session fermée
Certificat
présenté aux
clients

18/02/2016
315
Mode tunnel : Paramètres du client
Paramètre trafic
DNS dans le
tunnel
Pool IP assigné au
tunnel

18/02/2016
316
Etape 3 : Mappage au portail d’authentification
• La règle par défaut « All other Users/Groups » est requise
Pour la règle par défaut, seul le portail peut être changé

18/02/2016
317
Etape 4 : Règles de sécurité à/de l’interface VPN SSL
• L’interface tunnel est appelée ssl.<vdom>
‘root’ est le VDOM par défaut
L’interface de sortie doit être l’interface d’écoute

18/02/2016
318
Exemple : Règle de sécurité
• ssl.root > wan1 active l’authentification utilisateur et le portail
• L’accès aux ressources via wan1 est également activé
edit 5
set srcint ‘’ssl.root’’
set dstint ‘’wan1’’
set srcaddr ‘’all’’
set dstaddr ‘’SSLVPN_TUNNEL_ADDR1’’
set action accept
set schedule ‘’always’’
set sevice ‘’ALL’’
set groups ‘’Accountants’’ ‘’Students’’ ‘’Teachers’’
set nat enable
next
wan1 internal

18/02/2016
319
Etape 5 : Règles pour le trafic vers le réseau interne
• Tout le trafic généré par l’utilisateur quitte l’interface ssl.<vdom>
• Appliquée au mode web et tunnel
edit 11
set dstint ‘’dmz’’
set srcaddr ‘’SSLVPN_TUNNEL_ADDR1’’
set dstaddr ‘’Mail_Server’’
set action accept
set groups ‘’Accountants’’ ‘
set nat enable
next
wan1 internal
edit 12
set dstint ‘’internal’’
set srcaddr ‘’SSLVPN_TUNNEL_ADDR1’’
set dstaddr ‘’Records_Server’’
set action accept
set groups ‘’Accountants’’ ‘’Teachers’’
set nat enable
next
DMZ
Exchange
Student
Records

18/02/2016
320
Configuration du VPN SSL

18/02/2016
321
Introduction au VPN IPSec
VPN IPSec
Yassine MORSLI

18/02/2016
322
Plan
• Définition des composants architecturaux du VPN IPSec
• Comparer le mode route (interface) et le mode tunnel

18/02/2016
323
Qu’est ce que le VPN ?
• Appelé également « tunnels »
• Transmission des données privées sur des réseaux non sûrs
• Sécuriser les accès, comme pour le réseau local
Autorise les accès
Les clients externes obtiennent une adresse IP privée
Cryptage
• Ne peuvent être lus / Altérés en cas d’interception
• Types
PPTP
L2TP
VPN SSL
IPSec

18/02/2016
324
IPSec VPN
• Joindre des hôtes et réseaux distants en
un seul réseau privé
• Fournit
Authentification
Intégrité des données (inviolables)
Confidentialité des données (Cryptage)
Réseau privé
Emetteur
authentifié
Inviolable
Données
confidentielles
?

18/02/2016
325
Qu’est ce que le protocole IPSec
• En fait, plusieurs protocoles
AH fournit l’intégrité mais pas le cryptage… Bien que ce soit définit dans la RFC, n’est pas
utilisé par le Fortigate
• Numéro de port/Encapsulation varient par NAT

18/02/2016
326
Mode règle vs. mode route
• En général, les VPN en mode route, offrent :
Un meilleur contrôle
Plus de flexibilité

18/02/2016
327
Mode règle vs. mode route
• Mode route (mode interface)
Le trafic doit être routé vers l’interface virtuelle IPSec
Deux règles de sécurité avec action ACCEPT sont requises
Depuis FortiOS 5.2, créé par un assistant
• Les routes et les règles sont ajoutées automatiquement
• Mode règle (mode tunnel)
Une règle avec action IPSec requise
Masquée par défaut sur l’interface graphique. Pour l’afficher :
config system global
set gui-policy-based-ipsec enable
end

18/02/2016
328
Apports du VPN
Comment fonctionne le VPN
Numéros de ports et NAT
Encapsulation

18/02/2016
329
Configuration VPN IPSec
VPN IPSec
Yassine MORSLI

18/02/2016
330
Plan
• Identifier les phases IKE
• Comparer les VPN policy-based et route-based
• Déployer un VPN site à site entre deux Fortigate

18/02/2016
331
Configuration via Assistant
1. Choix du Template
Paramètres Phase1 et Phase2 pré configurés
Pour de multiples Phases2, terminer l’assistant, puis utiliser les paramètres avancés
2. Définir la clé partagée, l’interface de connexion et l’IP du boitier distant
3. Si en mode route (interface) définir les réseaux locaux et distants
Routes et autoriser le trafic vers l’interface virtuelle IPSec

18/02/2016
332
Résultat de l’assistant

18/02/2016
333
Phase 1
1. Authentification des boitiers
Exemple : clé partagée (sécurité moyenne) ou Signature (sécurité élevée)
2. Négociation d’une SA temporaire
Dans la IKE v1, deux options possibles :
• Main mode : 6 paquets échangés
• Agressive mode : 3 paquets échangés
Tunnel temporaire crypté pour DH
3. Échange Diffie-Hellman pour les clés

18/02/2016
334
NAT-Traversal
• Détecte si des périphériques de NAT existent sur le chemin
Si oui, le Fortigate applique l’encapsulation UDP 4500
Recommandé si l’initiateur ou le responder est derrière un NAT

18/02/2016
340
2 règles de sécurité (Route-based)
Interface
virtuelle IPSec
match le nom
de la Phase1

18/02/2016
341
Trafic de routage (Route-based VPN)
Sous réseau
distant
Interface
virtuelle
IPSec

18/02/2016
342
IKE & Diffie-Hellman
Phase 1
Phase 2
Policy-based vs. Route-based VPN
Comment configurer un VPN point à point

18/02/2016
343
Monitoring VPN IPSec
VPN IPSec
Yassine MORSLI

18/02/2016
344
Plan
• Monitorer les tunnels VPN

18/02/2016
345
Moniteur VPN IPSec
• Moniteur des tunnels VPN IPSec
Arrêter et démarrer les tunnels
Afficher les adresses, IDs Proxy, information de timeout
• La flèche verte indique que la négociation est réussie et que le tunnel
est UP
• La flèche rouge indique que le tunnel est DOWN ou pas utilisé

18/02/2016
346
Exemple : Moniteur VPN IPSec
Nom
Phase1
Durée de
vie de la
clé
Quick mode
selector local
Statut

18/02/2016
347
Déclencher un tunnel VPN
Route-based
1. Route lookup : chercher
l’interface de sortie
• Si l’interface virtuelle Phase1 est UP,
route via l’interface virtuelle : virtual
2. Policy lookup : paire d’interface
Srcint=internal, dstintf=virtual
3. Si l’action est ACCEPT, les
paquets sont cryptées
Policy-based
1. Route lookup : chercher
l’interface de sortie
• Route par défaut via wan1
2. Policy lookup : paire d’interface
Srcint=internal, dstintf=wan1
Si l’action est IPSec, les paquets sont
cryptées
• Le Phase1 Dialup match seulement si l’IP
match la route
• diag vpn ike route list
Si l’action est ACCEPT, les paquets
sont envoyés en clair sur wan1

18/02/2016
348
Monitoring des tunnels VPN

18/02/2016
349
Topologies VPN
VPN IPSec
Yassine MORSLI

18/02/2016
350
Plan
• Choix d’une topologie VPN appropriée

18/02/2016
351
Authentification (XAuth)
• L’authentification Phase1 par clé partagée est généralement faible
• Xauth fournit plus de sécurité, spécialement pour les utilisateurs
mobiles (username+password)

18/02/2016
352
Type de paires distantes
• Adresse IP statique
IP statique : prévisible
Peut être l’initiateur ou le répondeur
• DNS dynamique
IP dynamique mais le domaine DNS est statique : la requête DNS est utilisée pour résoudre l’adresse IP
courante, rendant ainsi l’IP connue
Peut être l’émetteur ou le récepteur
• Dialup
IP dynamique : non prévisible
Peut être un initiateur, mais pas un répondeur – les initiateurs ne sauraient où envoyer les requêtes de
connexion VPN

18/02/2016
353
Topologies VPN
• Point à point
Appelé également « site à site »
• Dialup (point à multi-points)
• Hub and Spoke
• Full Meshed (maillage complet)
• Partial Mesh (maillage partiel)

18/02/2016
354
VPN Dialup
Réseau privé
? IP de destination inconnue
Utilisateur mobile
IP destination connue,
Paramètre VPN

18/02/2016
355
Headquarters
Branch office
Branch office
Branch office
Branch office
Hub and Spoke

18/02/2016
356
Full Mesh / Partial Mesh
Full Mesh
Partial Mesh

18/02/2016
357
Comparaison des topologies VPN

18/02/2016
358
Xauth
Paires statiques vs. Dynamiques
Bénéfices des topologies VPN

18/02/2016
359
VPN Dialup
VPN IPSec
Yassine MORSLI

18/02/2016
360
Plan
• Déploiement d’un VPN Dialup entre deux Fortigate
• Déploiement d’un VPN Dialup entre un Forticlient & Fortigate

18/02/2016
361
Configuration : VPN Dialup
• Sur chaque Fortigate, créer
1. Phase 1
2. Au moins une Phase 2
3. Règles de sécurité
4. Si nécessaire, des routes statiques et dynamiques pour les IPs VPN
• A noter:
La configuration du routage n’est pas requise en mode VPN policy-based
Route-based VPN requiert deux règles de sécurité : une dans chaque sens du trafic
Policy-based VPN requiert une seule règle de sécurité (prend en charge les deux directions)

18/02/2016
362
Phase 1 - Hub
Passerelle
distante doit être :
« Dialup User »
NAT Traversal
est recommandé
si les utilisateurs
sont mobiles
Peer Option avec
mode
‘’agressive’’ si
deux ou plus
VPN dialup

18/02/2016
363
Phase 1 - Hub (Suite)
Optionnellement,
activer XAuth

18/02/2016
364
Phase 2 - Hub
Optionnellement,
activer XAuth
Quick mode
selector
0.0.0.0/0 pour
matcher toutes
les adresses

18/02/2016
366
Configuration du VPN Dialup

18/02/2016
367
VPNs redondants
VPN IPSec
Yassine MORSLI

18/02/2016
368
Plan
• Configuration du VPN redondant entre deux Fortigates

18/02/2016
369
VPNs redondants
• Supportés uniquement dans le cas de VPN mode interface (route-
based)
• Si le tunnel VPN principal tombe, le Fortigate redirige le trafic via le
tunnel secondaire
• Redondance partielle : Une paire a deux connexions
• Redondance complète : les deux paires ont deux connexions
Site distant Site Central
Wan1
Wan1
Wan2
Wan1 Wan1
Wan2 Wan2

18/02/2016
370
Configuration VPN redondant
1. Ajouter une configuration Phase 1 pour chaque tunnel. Dead Peer
Detection (DPD) doit être activé des deux côtés
2. Ajoute au moins une Phase 2 pour chaque Phase 1
3. Ajouter une route statique pour chaque chemin. Utiliser la ‘’Distance’’
pour prioriser les routes primaires par rapport aux routes secondaires.
(possibilité également d’utiliser le routage dynamique)
4. Deux règles de sécurité par interface IPSec, une pour chaque direction
du trafic
Distance=5
Distance=10
Distance=5
Distance=10
VPN primaire
VPN secondaire

18/02/2016
371
Configuration : VPN redondant FOS 5.2
• Dans les anciennes versions d’OS, il n’était pas possible de sélectionner
plusieurs interfaces sur une règle de sécurité
• Avec FortiOS 5.2, après la fin de l’assistant, éditer la règle
• Cliquer sur l’icône ‘’+’’ et ajouter des interfaces d’entrées et sorties

18/02/2016
372
VPNs redondants

18/02/2016
373
Troubleshooting
VPN IPSec
Yassine MORSLI

18/02/2016
374
Plan
• Diagnostique des tunnels VPN IPSec

18/02/2016
375
Troubleshooting
• La plupart des connexions échouent en raison de mauvaise configuration
Paramètres de mode (Main ou Agressive)
Clés
• Exécuter la majorité des commandes de ‘’diagnose’’ sur le boitier répondeur et
non pas l’initiateur
• Si le tunnel est UP, mais le trafic ne passe pas, utiliser ‘’exe ping’’ et ‘’exe
traceroute’’
Vérifier que les routes sur chaque pair est correcte
Si le routage dynamique est utilisé, vérifier que les options sont configurées pour se propager via le
protocole de routage dynamique

18/02/2016
376
Troubleshooting
• Commandes CLI pour les diagnostiques IPSec
• Le résultat peut être composé de plusieurs lignes, il est recommandé de
l’enregistrer sous un fichier sur le disque
• Affiche les détails des négociations Phase 1 et Phase 2
diagnose debug reset
diagnose vpn ike log-filter ?
diagnose debug application ike 255
diagnose debug enable

18/02/2016
377
Diagnostic de flux de paquets
FGT # diagnose debug flow filter addr 192.168.255.254
FGT # diagnose debug flow function enable
FGT # diagnose debug flow show console enable
FGT # diagnose debug flow trace start 10
FGT # diagnose debug enable
id=36871 trace_id=1 msg=‘’vd-root received a packet(proto=1, 10.185.0.30:38926-
>192.168.255.254:8) from internal’’
id=36871 trace_id=1 msg=‘’allocate a new session-0000004f’’
id=36871 trace_id=1 msg=‘’find a route: gw-172.31.227.254 via wan1’’
id=36871 trace_id=1 msg=‘’Allowed by Policy-1: encrypt’’
id=36871 trace_id=1 msg=‘’enter IPSec tunnel-toHQ’’
id=36871 trace_id=1 msg=‘’encrypted, and sent to 172.31.16.30 and to
172.31.224.125’’
id=36871 trace_id=1 msg=‘’send to 172.31.227.254 via intf-wan1’’
Adresse IP du
boitier distant
Les paquets sont
cryptés
Et envoyés via le
tunnel nommé
‘HQ’

18/02/2016
378
Troubleshooting

18/02/2016
379
Antivirus
UTM
Yassine MORSLI

18/02/2016
380
Plan
• Catégoriser les malwares
• Décrire les techniques antivirales Fortigate
• Différentier entre le scan Proxy et Flow
• Mise à jour antivirus via FortiGuard
• Inspection de contenu

18/02/2016
381
Malware
• Un malware est une catégorie de logiciel capable de se copier de lui-même et a des effets néfastes
tel que corrompre le système ou détruire des données
• Virus
Comportement calqué sur les virus biologiques
• Injecte du code dans les fichiers, comme les virus biologiques injectent leur ADN dans les cellules
• Ne requiert pas de permissions utilisateurs, ou bien ruse avec les utilisateurs pour obtenir une
permission
• Infecte et se répand par lui-même
Très petite taille
• Grayware
La permission de l’utilisateur est requise pour l’installation
• Spyware, logiciels libres… etc.
Taille variable

18/02/2016
382
Techniques antivirales

18/02/2016
383
Scan Antivirus
• Détecte et élimine les malwares
en temps réel
Empêche la propagation des menaces
Préserve la réputation de votre IP publique
• Scans :
HTTP
FTP
SMTP
POP3
IMAP
Autres…
Antivirus

18/02/2016
384
Grayware
• Activé par défaut
• Techniquement pas un virus, un grayware reste un malware
Détectable par scan antiviral
Les actions antivirus sont appliquées
# config antivirus setting
# set grayware { enable | disable }
# end

18/02/2016
385
Scan Heuristic
Virus-like attribute
+ Virus-like attribute
> Heuristic threshold
Suspect

18/02/2016
386
Scan Heuristic
Virus-like attribute
> Heuristic threshold
Suspect
• Recherche de codes se comportant comme un
virus (Exemple : modification de register)
• Totalise les attributs des comportements
similaires aux virus
• Si plus grand qu’au seuil, le fichier est suspicieux
• Faux positifs possibles

18/02/2016
387
Scan Heuristic : Configuration
• Pass (par défaut)
Active le scan heuristic
Log
Autorise le fichier suspicieux
• Block
Active le scan heuristic
Log
Bloque les fichiers suspicieux
• Désactiver
# config antivirus heuristic
# set mode {pass | block | disable}
# end

18/02/2016
388
Scan proxy vs Scan flow

18/02/2016
389
Analyse Proxy
1. Le proxy de chaque protocole intercepte la connexion, bufferise le
fichier
2. Ne retransmet qu’à la fin du scan
Plus grande latence perçue
3. Une fois la transmission complète, le scan examine le fichier
Scan tout le fichier, jusqu’au maximum de la taille de la mémoire tampon
Pas de faux positifs
4. Transmet le trafic sain et bloque le trafic malsain
Peut notifier le client avec un message

18/02/2016
390
Analyse Flow
1. Bufferise et transmet simultanément
Les paquets ne sont pas retardés par le scan, à l’exception du dernier paquet
Accélération ASIC
Latence perçue moins importante
2. Si un virus est détecté, le dernier paquet est dropé, la connexion est
réinitialisée
Pas de page de blocage, jusqu’à ce que le client essaie de télécharger une nouvelle fois

18/02/2016
391
Gros fichiers : bloquer ou non ?
• Plus grand que la mémoire tampon ? Ne peut être complètement scané
pour les virus
• Traitement ajusté
Journaliser si le fichier est trop grand ? (Oui par défaut)
Bloquer si le fichier est trop grand ? (Non par défaut)
# config firewall profile-protocol-options
# edit <profile-name>
# set oversize [l-<model-limit>]
# set oversize-log {enable | disable}
# config {http | ftp | imap | mapi | pop3 | smtp}
# set options oversize
# end

18/02/2016
392
Mises à jour Fortiguard
• Les mises à jour automatiques sont plus rapides
• Les mises à jour peuvent être téléchargées manuellement à partir du
https://support.fortinet.com puis uploadé

18/02/2016
393
Profil antivirus

18/02/2016
394
Options d’inspection SSL/TLS
• Partielles
Validation du certificat seulement (pas d’inspection de charge, les virus peuvent passer)
Plus rapide
• Complète
Le Fortigate représente la terminaison SSL/TLS (valide les certificats et inspecte la charge lors du
déchiffrement)
Plus lent, mais le contenu est scanné contre les virus

18/02/2016
395
Quels sont les types de malware ?
Scan antiviral heuristic et grayware
Scan Proxy vs. Flow
Scan du trafic chiffré

18/02/2016
396
Filtrage web
UTM
Yassine MORSLI

18/02/2016
397
Plan
• Identifier les mécanismes du filtrage web Fortigate
• Choisir un mode de filtrage web approprié
• Créer des filtres URLs statiques
• Appliquer des profils filtrage web

18/02/2016
398
Filtrage web mode proxy
• La solution filtrage web mode proxy intercepte les communications client
serveur
• Intercepte l’URL complète et fournit des pages de blocage personnalisables
• Gourmand en ressources, latence réseau plus importante que le mode flow
• Plus d’options d’inspection possibles

18/02/2016
399
Filtrage web mode flow
• Solution non-proxy qui utilise le moteur IPS pour effectuer une inspection
• Débit de traitement plus rapide
• Inspecte l’URL complète
• Permet une personnalisation des messages de blocage
• Moins flexible que le mode proxy
Actions URL limitées
Pas tous les paramètres filtrage web disponibles

18/02/2016
400
Filtrage web mode DNS
• Solution de proxy-DNS qui utilise les requêtes DNS pour décider des accès
• Les requêtes DNS sont redirigées vers les serveurs Fortiguard SDNS
• Requêtes très légères
• L’inspection SSL n’est jamais requise (DNS est en texte plein)
• Supporte seulement le filtrage URL et la catégorisation FortiGuard
• Pas de pages de blocage individuelles

18/02/2016
401
Configuration du mode d’inspection
• Sélectionner le mode d’inspection dans le profil filtrage web
• Les ports des protocoles sont basés sur les paramètres sur le profil
d’option de proxy

18/02/2016
402
Comparatif des différents modes
• Mode Proxy
Le trafic est mis en cache
Supporte toutes les options de filtrage web
• Mode Flow
Débit plus rapide qu’en mode Proxy
Les données ne sont pas mises en cache (lors de la transmission)
Ne supporte pas toutes les options de filtrage web
• Mode DNS
Très léger (moins de consommation CPU et RAM)
Moins granulaire que le mode flow et proxy (seulement le hostname et l’adresse IP)
Ne supporte pas la plupart des options de filtrage des sites web

18/02/2016
403
Filtrage web static
• Contrôle les accès web en autorisant ou bloquant des URLs
Simple, caractères spéciaux ou expressions régulières peuvent être utilisées pour définir les
modèles d’URL
Si aucune URL ne correspond à la liste, va au prochain contrôle activé
Les entrées dans la liste sont activées dans l’ordre
• Les actions filtrage URL statiques possibles sont :
Autoriser
Monitorer
Bloquer
Exempter

18/02/2016
404
Filtrage web par catégorie
• Déclinées en plusieurs catégories et sous catégories
• La catégorisation change périodiquement selon l’évolution de l’Internet
• De nouvelles catégories et sous catégories sont développées et compatibles avec les mises à
jour firmware
Les anciens firmwares ont de nouvelles valeurs mappées aux catégories existantes
• Les actions FortiGuard possibles
Autoriser
Monitorer
Bloquer
• Une connexion directe au FortiGuard et un contrat actif sont requis
Période de grâce de 7 jours à l’expiration des services
Un Fortimanager peut faire office de fournisseur de service FortiGuard pour les scénarios large
déploiement
Exempter
Avertir
Authentifier

18/02/2016
405
URL: www.mypage.com
Block
Allow
Monitor
Authenticate
Categories
Warning
www.mypage.com

18/02/2016
406
Filtrage web par catégorie : Configuration
• Activé dans le profile filtrage web
Sélectionner l’action en clique droit
Un avertissement va s’afficher si le contrat a expiré

18/02/2016
407
Actions filtrage web par catégorie : Avertir
Action = Avertir (bouton droit en GUI)
Page d’avertissement filtrage web

18/02/2016
408
Actions filtrage web par catégorie : Authentifier
www.hackthissite.org
Marketing

18/02/2016
409
Actions URL : Autoriser, bloquer, monitorer
• Ces actions sont disponibles pour le filtrage statique et se comportent
de la même façon que pour le filtrage par catégorie
• Autoriser
Autorise le site web/catégorie et ne crée aucun évènement de Log
• Monitorer
Autorise le site web/catégorie et crée un journal évènement
• Bloquer
Le site web/catégorie n’est pas autoriser à passer
Affiche une page de blocage et crée un journal évènement

18/02/2016
410
Profil filtrage web
• Le filtrage URL statique, le filtrage
web FortiGuard et d’autres options
sont activés via les profils filtrage
web
• Le profil est par la suite appliqué à
la règle de sécurité
Tout trafic examiné par la règle de
sécurité aura le filtrage d’URL appliqué

18/02/2016
411
Aperçu filtrage web
Types de filtrage web
Filtrage URL static
Actions filtrage static et FortiGuard

18/02/2016
412
IPS applicative
UTM
Yassine MORSLI

18/02/2016
413
Plan
• Choisir des signatures IPS appropriées
• Déterminer si les mises à jour IPS FortiGuard sont disponibles
• Paramétrer des signatures IPS personnalisées

18/02/2016
414
Exploits vs. Anomalies
Anomalie
• Peut être des erreurs/attacks
zero-day
• Détectées par des analyseurs
de comportement
Statistiques et heuristiques
• Exemples :
DoS/Flood
Commandes inappropriées du
réseau
Exploits
• Une attaque connue, confirmée
• Détectée lorsque les paquets
correspondent au modèle de
signature :
Filtres et signatures basées sur des
modèles en GUI
Similaire aux signatures antivirus

18/02/2016
415
Intrusion Prevention System
• Mise à jour via FortiGuard
• Détecte et bloque
Exploits connus qui correspondent aux signatures
Flood de traffic
Erreurs réseau ou autres anomalies
Intrusion Prevention System
?

18/02/2016
416
Mise à jour automatique via IPS FortiGuard

18/02/2016
417
Liste des signatures IPS
Les Logs vont noter l’action
par :
Status=’’detected’’ ou
Status=’’blocked’’ …

18/02/2016
418
Signatures personnalisées
Signatures
prédéfinies
Signatures
personnalisées
Attaques
connues
0-day ou
applications
spéciales/rares

18/02/2016
419
Signatures personnalisées : Syntaxe
F-SBID(--KEYWORD VALUE)
Value
Valeur du paramètre qui
correspond à la signature
Header
Toutes les signatures
personnalisées requierent
le header F-SBID
Keyword
Identifie les
paramètres
F-SBID(--KEYWORD VALUE)F-SBID(--KEYWORD VALUE)F-SBID(--KEYWORD VALUE)

18/02/2016
420
Signatures personnalisées : Exemples
F-SBID( --name "Ping.Death"; --protocol icmp; --
data_size >32000; )
F-SBID( --attack_id 1842; --name "Ping.Death";
--protocol icmp; --data_size >32000; )
F-SBID( --name "Ping.Death"; --protocol icmp; --
data_size >32000; )
F-SBID( --name "Block.HTTP.POST"; --protocol tcp; --
service HTTP; --flow from_client; --pattern "POST ";
--context uri; --within 5,context; )
F-SBID( --attack_id 1842; --name "Ping.Death";
--protocol icmp; --data_size >32000; )

18/02/2016
421
Configuration sonde IPS
1. Créer une signature personnalisée (si requis)
2. Ajouter les signatures/filtres à la sonde IPS
3. Sélectionner la sonde dans la règle de sécurité
Predefined signature
Predefined signature
Custom signature
Sensor
Firewall
Policy

18/02/2016
422
Filtre IPS : Exemple

18/02/2016
423
Activation IPS

18/02/2016
424
Attaques vs. Anomalies
Signatures IPS FortiGuard
Syntaxe des signatures personnalisées
Configuration IPS

18/02/2016
425
Protection DoS
UTM
Yassine MORSLI

18/02/2016
426
Plan
• Configurer la protection contre les attaques DoS

18/02/2016
427
Attaques DoS
Web Server
Internet
• Les sessions des pirates consomment toutes
les ressources
• Réduit les capacités / Désactive le serveur
jusqu’à ce qu’il ne puisse plus répondre aux
requêtes légitimes
• Les ISP doivent apporter une solution aux
attaques

18/02/2016
428
Attaques DoS
Web Server
Internet
DoS Sensor
• Les règles DoS appliquent l’action lorsque le
seuil est dépassé
§ Adresses source, adresses destination, ports,
etc…
• Des sondes multiples peuvent détecter
différentes anomalies

18/02/2016
429
Règle DoS

18/02/2016
430
Règle DoS

18/02/2016
431
Attaques TCP SYN Flood
Serveur Web
Internet
Table de connexion
• Les pirates innondent la cible avec des connexions
TCP/IP incomplètes – requête une connexion mais
ne confirme jamais la réception
• Le Fortigate agit comme un pseudo proxy TCP SYN
et bloque les demandes de session flood

18/02/2016
432
ICMP Sweep
• Les pirates envoient des signaux ICMP pour
identifier des cibles (tel des SONAR)
• Écoute des réponses
• Attaquent les IPs qui répondent
• IPS détecte plusieurs types de sweep ICMP

18/02/2016
433
Attaques DoS

18/02/2016
434
UTM
Yassine MORSLI

18/02/2016
435
Plan
• Choisir une signature contrôle applicatif qui sera déclenchée par un
trafic spécifique
• Mise à jour de la base de données contrôle applicatif via FortiGuard
• Configurer et appliquer les profils contrôle applicatif
• Traffic shaping

18/02/2016
436
Qu’est ce que le contrôle applicatif ?
• Détecte et agit sur le trafic des applications réseau
Facebook, Gmail, Skype, etc.
Supporte plusieurs applications et catégories… inclut P2P
Même si encapsulé par d’autres protocoles
• L’encapsulation chiffrée requiert l’inspection SSL/TLS/SSH
• Actions supportées
Trafic shaping par IP et partagé
Blocage
• Se base sur le moteur IPS
Analyse Non Proxy
Peut détecter même si les utilisateurs essaient de contourner via un Proxy externe
Commence à la couche OSI niveau 2

18/02/2016
437
Détection des applications P2P
Pourquoi le trafic P2P est si difficile à détecter ?
• Les protocoles traditionnels (HTTP, FTP, …) ont une architecture client-serveurs
Serveur unique à forte bande passante pour plusieurs clients
Exige des numéros de ports prévisibles, la connaissance de l’emplacement du serveur pour
le NAT, redirection de port, et règles de sécurité
• Les protocoles P2P (Bit-torrent, Skype, …) ont une architecture distribuée
Chaque paire est un serveur avec une petite bande passante pour le partage
Difficile de gérer plusieurs règles de sécurité
Ne dépend pas de la redirection de ports, etc.
• Utilisent des techniques d’évasion pour contourner ces limitations

18/02/2016
438
Architecture Client-Serveur
• Traditionnellement
» 1 Client
» 1 Serveur
» Numéro de port connu
» Facilement bloqué par les règles de sécurité

18/02/2016
439
Architecture Peer to Peer
• Téléchargement Peer-to-Peer
» 1 Client
» Plusieurs serveurs
» Numéros de ports dynamiques
» Chiffrement dynamique
» Difficile à bloquer avec les anciennes technologies
de pare-feu – exige des UTM sophistiqués

18/02/2016
440
Comment fonctionne le contrôle applicatif ?
?

18/02/2016
441
Comment fonctionne le contrôle applicatif ?
?
• Compare le trafic aux modèles d’application connus
• Reporte seulement les paquets qui correspondent
au modèle sélectionné
• Scan non-Proxy… flow-based
• N’analyse pas les PC client pour les logiciels installés

18/02/2016
442
Mise à jour des signatures applicatives
• Via IPS FortiGuard
• Des signatures applicatives additionnelles sont contenus dans la base
de données IPS étendue

18/02/2016
443
Profile contrôle applicatif
• Détecte les catégories
• Configure l’action du Fortigate
• Applique le profil via la règle de sécurité

18/02/2016
444
Ordres des opérations
1. Le moteur IPS identifie l’application
2. Le contrôle applicatif applique l’action 2. Appliquer l’action
de la catégorie
1. Applications

18/02/2016
445
Actions
• Autoriser
Continue avec le filtre suivant
Pas de journal
• Monitor
Autorise mais journalise
Intéressant pour une connaissance initiale du réseau
• Bloquer
Drop les paquets et journalise
• Réinitialiser
Envoie des connexions de réinitialisation au client, et journalise
• Traffic shaping
Limite de bande passante d’application et journalise

18/02/2016
446
Traffic shaping avec contrôle applicatif
• Contrôle granulaire de l’utilisation de la bande passante
• Seul le trafic qui correspond aux signatures est optimisé
N’interfère pas avec les autres applications sur le même port/protocole
Utile pour la gestion des applications gourmandes en bande passante
• Peut appliquer différemment par IP source :
Partagé – analyse chaque client derrière un NAT, applique des limites individuelles
• Petite baisse de performance
Par-IP – applique une seule limite indépendamment du nombre de clients derrière le NAT

18/02/2016
447
Exemple : Traffic Shaping Youtube
• L’action override s’applique avant celle de la catégorie globale
• Peut bloquer/limiter la bande passante de l’application
Exemple : Chat OK, limiter les transfert de fichiers MP3

18/02/2016
448
Comment fonctionne le contrôle applicatif
Quand le contrôle applicatif est nécessaire ?
Configurer un profile contrôle applicatif
Actions, inclus le traffic shaping

18/02/2016
449
Conclusion de la formation
L’UTM Fortigate
Yassine MORSLI

18/02/2016
450
Introduction à l’UTM Fortigate
Le pare-feu
Proxy explicite
Authentification
VPN SSL
VPN IPSec
L’UTM

18/02/2016
451
Suite
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
avancées
FortiAnalyzer
FortiManager
Fortimail FortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6

18/02/2016
452
Fonctionnalités avancées
Le routage
La virtualisation de pare-feu (VDOM)
Le mode transparent
Les certificats
La haute disponibilité (HA)
Les outils de diagnostics
Dimensionnement et support

Alphorm.com Formation Fortinet UTM

Contenu connexe

Tendances

En vedette

Similaire à Alphorm.com Formation Fortinet UTM

Plus de Alphorm

Alphorm.com Formation Fortinet UTM