Alphorm.com Formation Fortinet UTM

18/02/2016
1
Formation Fortinet UTM alphorm.com™©
Formation
L’UTM Fortinet
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique

18/02/2016
2
Plan
• Présentation du formateur
• Public concerné
• Connaissances requises
• Présentation du LAB
• Liens utiles
• Cursus de formation Fortinet

18/02/2016
4
Public concerné
• Administrateurs Sécurité
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI

18/02/2016
5
Connaissances requises
• Connaissances des protocoles TCP/IP
• Connaissances en Firewalling
• Connaissances sur la sécurité et les types d’attaques
• Notions en cryptologie

18/02/2016
6
Présentation du LAB

18/02/2016
7
Liens utiles
• http://www.fortinet.com
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com

18/02/2016
8
Cursus de formation Fortinet
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
avancées
FortiAnalyzer
FortiManager
Fortimail FortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6

18/02/2016
9
LET’S GO !

18/02/2016
10
Découverte de la solution
Fortigate
Introduction à l’UTM Fortinet
Yassine MORSLI

18/02/2016
11
Plan
• Solution de sécurité traditionnelle
• Approche Fortinet
• Design de la plateforme
• Service d’abonnement FortiGuard
• Modes de fonctionnement

18/02/2016
12
Solutions de sécurité tradionnelles
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
Contrôle applicatif
IPS
VPN

18/02/2016
13
• Plusieurs systèmes indépendants pour
faire face à une variété de menaces
Solutions de sécurité tradionnelles
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
IPS
VPN

18/02/2016
14
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
IPS
VPN
Et plus encore…
Approche Fortinet

18/02/2016
15
Approche Fortinet
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
IPS
VPN
Et plus encore…
• Un seul équipement fournit une
solution de sécurité complète

18/02/2016
16
Design de la plateforme
Hardware
Purpose-driven hardware
FortiOS
Specialized operating system
Firewall AV
Web
Filter
IPS …
Security and network-level services
FortiGuard Subscription Services
Automated update service

18/02/2016
17
Services d’abonnement Fortiguard
• Requiert un accès Internet et un compte d’accès
• Service fourni par Fortiguard Distribution Network (FDN)
La plupart des DataCenters sont situés en Europe, en Asie et en Amérique du nord
Les Fortigate se connectent aux DataCenters situés dans leur zone horaire, mais l’accès
est ajusté selon la charge des serveurs
• Mise à jour : Fortiguard Antivirus & IPS
Update.fortiguard.net
Port TCP 443 (SSL)
• Requêtes temps réel : Filtrage Web Fortiguard & Antispam
Service.fortiguard.net
Protocole propriétaire : UDP 53 ou 8888

18/02/2016
18
Modes de fontionnement
NAT
• Fonctionne sur la couche 3 du
modèle OSI
• Adresse IP par interface
• Les paquets sont routés par IP
Transparent
• Fonctionne sur la couche 2 du
modèle OSI : Switch ou pont
• Pas d’adresse IP par interface
• Pas de routage de paquets,
forward uniquement

18/02/2016
19
Ce qu’on a couvert
La différence entre l’approche traditionnelle et l’approche Fortinet
Le schéma de la plateforme Appliance de sécurité Fortigate
Service d’abonnement FortiGuard
Les deux modes de fonctionnement des boitiers Fortigate

18/02/2016
20
Administration
de l’équipement
Yassine MORSLI

18/02/2016
21
Plan
• Paramètres d’administration par défaut
• Réinitialisation du compte admin
• Port console et méthodes d’administration
• FortiExplorer

18/02/2016
22
Paramètres par défaut
• Interface ‘port1’ / ‘internal’, IP : 192.168.1.99/24
• Protocoles d’administration activés : HTTP, HTTPS, PING
• Serveur DHCP activé sur l’interface ‘port1’/’internal’
Ne concerne pas l’ensemble des modèles
• Login par défaut:
User : admin
Password : (blanc)
• Les deux paramètres sont sensibles à la casse
• Il est important de modifier le mot de passe de l’équipement !

18/02/2016
23
Réinitialisation du compte admin
User : maintainer
Password : bcpb<numéro-de-série>
• Tous les modèles Fortigate et quelques autres boitiers Fortinet
• Après un redémarrage matériel (hard)
Ne fonctionne pas après un redémarrage soft, pour des soucis de sécurité
• Les informations doivent être tapées durant les 15 à 30 premières secondes après le démarrage
• Uniquement via la console hard
Requiert un accès physique à l’équipement
Le compte admin maintainer peut être désactivé (en cas de règles de sécurité compliance restrictive)
config sys global
set admin-maintainer disable
end

18/02/2016
24
Port console
• Chaque boitier Fortigate est livré avec un câble console
• La connexion à la console requiert un émulateur de terminaux :
PUTTY
Tera term
• Les types des ports varient selon les modèles :
Anciens modèles : port série
Modèles récents :
• Port RJ-45 à port série
• USB2 à FortiExplorer

18/02/2016
25
Méthodes d’administration

18/02/2016
26
FortiExplorer
• Administrer les Fortigate/FortiWifi, FortiSwitch, FortiAP
Accès GUI & CLI
• Compatible Windows, Mac OS, iPod, iPad, iPhone
Consulter la liste des versions supportées sur la release note
Disponible en téléchargement sur support.fortinet.com et sur Apple App Store
• Connexion en câble USB2
Câble standard 30-pin
Le FortiExplorer est requis pour administrer en console les boitiers disposants d’un port
console en USB2

18/02/2016
27
FortiExplorer

18/02/2016
3
Présentation du formateur
• Yassine MORSLI
• Ingénieur Réseaux Systèmes et Sécurité
• Yassine.morsli@gmail.com
• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics
CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45

18/02/2016
32
Profils administrateurs : Permissions

18/02/2016
33
Profils administrateurs : Hiérarchies

18/02/2016
34
Authentification à deux facteurs

18/02/2016
35

18/02/2016
36
Accès admin : Sources de confiance
• Le Fortigate refusera les requêtes provenant de sources différentes des
IPs suivants :

18/02/2016
37
Accès admin : Ports
• Les numéros de ports sont modifiables
• Il est recommandé d’utiliser les protocoles sécurisés

18/02/2016
38
Accès admin : Protocoles
• Chaque accès administratif à une interface donnée s’active individuellement
IPv4 & IPv6 séparés
Les options IPv6 sont cachés par défaut

18/02/2016
39
Paramètres cachés par défaut
• Quelques paramètres ne sont disponibles qu’en CLI (diagnose debug etc.)
• Quelques modules n’apparaissent pas sur la GUI (cachés)
Les paramètres cachés ne sont pas désactivés
• Afficher/Cacher via :
Le Widget sur le tableau de bord (paramètres élémentaires uniquement)
La liste complète des paramètres via System Config Features

18/02/2016
46
Logs DHCP

18/02/2016
47
Paramètre de serveur DHCP et Activation du service
La réservation d’IP
Consultation du journal DHCP

18/02/2016
48
Le Fortigate comme
serveur DNS
Yassine MORSLI

18/02/2016
49
Plan
• Fortigate Serveur DNS
• Comprendre les types des services DNS et les méthodes de
résolution
• Configuration des zones DNS

18/02/2016
50
Fortigate Serveur DNS
• Résout les requêtes DNS du réseau local
Activé par interface
Non recommandé pour la résolution DNS sur Internet
• Une seule base DNS peut être partagée par l’ensemble des interfaces du
Fortigate
Peut être séparée par VDOM
• Méthodes de résolution :
Transfert au DNS Système : relaie les requêtes au serveur DNS suivant (paramétré dans les options
DNS du système)
Non récursive : Utilise uniquement la base DNS du Fortigate. Les requêtes non résolues sont
dropées
Récursive : Utilise la base DNS du Fortigate. Relaie les requêtes non résolues au DNS suivant
paramétré dans les options DNS du système)

18/02/2016
51
Base DNS : Configuration
• Ajout des zones DNS
Chaque zone a son propre nom de domaine
Format défini par la RFC 1034 et 1035
• Ajout des entrées DNS dans chaque zone
Nom d’hôte
Adresse IP à résoudre
Types supportés
• Adresses IPv4 ou IPv6
• Name Server (NS)
• Canonical Name (CNAME)
• Mail exchange (MX)
• IPv4 (PTR) ou IPv6 (PTR)

18/02/2016
52
Fortigate Serveur DNS
Comprendre les types des services DNS et les méthodes de résolution
Configuration des zones DNS

18/02/2016
53
Fichier de configuration
et mise à niveau Firmware
Yassine MORSLI

18/02/2016
54
Plan
• Le fichier de configuration du Fortigate
• Mise à niveau du firmware
• Sauvegarde et restauration de configuration

18/02/2016
55
Fichier de configuration
• La configuration peut être exportée sur un fichier
Cryptage du fichier optionnel
Sauvegarde automatique disponible
• Lors de la fermeture de session
• Uniquement sur certains modèles
• Pour restaurer une configuration précédente, charger le fichier
Provoque un redémarrage du boitier

18/02/2016
56
Format du Fichier de configuration
• Contient uniquement les paramètres modifiés et les paramètres importants (Taille du
fichier réduite)
• L’entête contient les détails de l’équipement
Les lignes qui suivent l’entête ne sont pas lisibles si le fichier est crypté
• Restauration de la configuration
Cryptée : Même équipement + build + Mot de passe du fichier
Non cryptée : Même modèle d’équipement requis
• Un build différent est possible si l’upgrade path est respecté

18/02/2016
57
Fichier de configuration par VDOM
• Si les domaines virtuels (VDOMs) sont activés, vous pouvez sauvegarder les VDOMs
individuellement (sauvegarde partielle)

18/02/2016
58
Mise à niveau firmware (Upgrade)
1. Sauvegarder la configuration courante
2. Télécharger une copie du firmware
3. Accès physique à l’équipement, via interface web ou console
4. Lire la release note (upgrade path, bugs, informations)
5. Mise à jour

18/02/2016
59
Downgrade
1. Télécharger une copie du firmware
2. Accès physique à l’équipement, via interface web ou console
3. Lire la release note (le downgrade conservera-t-il la configuration ?)
4. Downgrade
5. Si nécessaire, restaurer le fichier de configuration compatible avec la version
firmware

18/02/2016
60
Mise à niveau via FortiExplorer

18/02/2016
66
Types de bases de journaux
Syslog SNMP
Journalisation locale
Journalisation distante

18/02/2016
67
• Niveau de sévérité des journaux

18/02/2016
68
Stockage des Logs
Journalisation et surveillance
Yassine MORSLI

18/02/2016
69
Plan
• Identifier les options de stockage de journaux

18/02/2016
70
Stockage : FortiAnalyzer/FortiManager
• FAZ/FMG disposent d’une liste de boitiers à gérer
• SSL – OFTP sécurisé utilisé pour crypter les communications
FortiAnalyzer/FortiManager

18/02/2016
71
FortiAnalyzer vs FortiManager
• FortiAnalyzer : Stockage dédié aux journaux long terme
• FortiManager : Gestion centralisée de plusieurs boitiers Fortigate
Peut également stocker des journaux et générer des rapports
Identique au FortiAnalyzer, excepté la limitation du stockage des journaux à 2GB/Jour

18/02/2016
72
FortiAnalyzer/FortiManager : Configuration
• Jusqu’à 3 équipements FortiAnalyzer/FortiManager séparés,
configurable en CLI
Plusieurs boitiers peuvent être rajoutés pour des besoins de redondance
La génération et l’envoi de journaux est gourmand en ressources
config log [fortianalyzer | fortianalyzer2 | fortianalyzer3] setting
set status enable
set server x.x.x.x
end

18/02/2016
73
Comprendre la structure
des Logs
Yassine MORSLI

18/02/2016
74
Plan
• Description des types et sous types de log
• Comprendre la structure des journaux

18/02/2016
75
Types et sous types
• Traffic Log
Forward : trafic autorisé/bloqué par les règles de pare-feu
Local : trafic généré par le Fortigate, ou concerne directement le Fortigate
Invalid : messages journaux de paquets considérés invalides
Multicast : journalisation du trafic multicast
• Event Log
System : Evènements liés au système
User : évènements d’authentification
Routeur, VPN, Optimisation WAN, Cache, Wifi
• Security Profile
Par type de profil de sécurité (Antivirus, Filtrage Web, IPS, etc.)

18/02/2016
76
Structure et comportement
• Divisé en 3 sections : Traffic Log, Event Log, Security Log
Traffic Log paquets destinés au boitier et traversant l’équipement
Event Log Evènements d’activité système et admin
Security Log Messages liés aux profils de sécurité sur le trafic
traversant le boitier
• La plupart des évènements de sécurité sont consolidés dans Forward Trafic
Log
Consommation CPU réduite
Exceptions : DLP, Scan d’intrusion (Log de sécurité seulement)

18/02/2016
77
Quels paramètres génèrent des Logs ?
• La journalisation est impactée par l’accélération du trafic
Le trafic déchargé par le processeur NP n’est pas journalisé
• Peut désactivé l’accélération hardware
• Peut activé le journal des paquets NP (performances NP dégradées)

18/02/2016
78
• Types et sous types des journaux
• Structure des journaux et comportement

18/02/2016
79
Stockage : FortiCloud
• Service d’abonnement
Stockage long terme et reporting
Un mois d’essai gratuit inclus avec Fortigate

18/02/2016
80
• Les différents périphériques de stockage des journaux

18/02/2016
81
Navigation
dans les Logs
Yassine MORSLI

18/02/2016
82
Plan
• Décrire comment visualiser les messages de journaux
• Décrire comment rechercher et interpréter un journal

18/02/2016
83
Aperçu des messages de Log (GUI)

18/02/2016
84
Aperçu des messages de journaux (GUI) : Ajout de filtre
• Utiliser le paramètre de filtre pour afficher/cacher
Réduction du nombre d’entrées de Logs affichés
Les filtres sont par colonne

18/02/2016
85
Aperçu des messages de journaux (Raw)
• Les champs dans chaque message sont disposés en deux sections
Entête du Log : commun à tous les messages de Log
Corps du Log
2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dlp pri=notice vd=root
policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190
src_port=1190 srcint=internal dst=“192.168.1.122” dport=80 dst_port=80
dst_int=“wan1” service=“https” status=“detected”
hostname=“example.com”url=“/image/trees_pine_forest/”msg=“data leak
detected(Data Leak Prevention Rule matched)” rulename=“All-HTTP”
action=“log-only” severity=1

18/02/2016
86
Aperçu des messages de journaux (Raw) : Entête
Entête du Log
2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dlp pri=notice
vd=root level=warning

18/02/2016
87
Aperçu des messages de journaux (Raw) : Corps
Corps du Log
policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190
src_port=1190 srcint=internal dst=“192.168.1.122” dport=80
dst_port=80 dst_int=“wan1” service=“https” status=“detected”
hostname=“example.com”url=“/image/trees_pine_forest/”msg=“data
leak detected(Data Leak Prevention Rule matched)” rulename=“All-
HTTP” action=“log-only” severity=1

18/02/2016
88
Aperçu des messages de journaux (CLI)
exe log display
D’abord paramétrer les filtres de journaux
exe log filter
FG60C # exe log display
205 logs found.
10 logs returned.
1: date=2015-10-08 time=20:35:40 logid=0000000011 type=traffic subtype=forward
level=warning vd=root srcip=10.16.20.41 srcport=53501 srcintf="internal" dstip=17
2.16.50.111 dstport=18829 dstintf="wlan" dstssid="Wifi" sessionid=32
617027 action=ip-conn user="guest" policyid=7 crscore=10 craction=26214
4 crlevel=medium
FG60C # exe log filter
category Category.
device Device to get log from.
dump Dump current filter settings.
field Filter by field.
ha-member HA member.
max-checklines Maximum number of lines to check.
reset Reset filter.
start-line Start line to display.
view-lines Lines per view.
FG60C # exe log filter

18/02/2016
89
Supervision des journaux
• Superviser les Logs est un élément essentiel pour la protection du
réseau
• Trois moyens pour y parvenir :
Alertes mails
Messages d’alerte de console
SNMP

18/02/2016
90
• Vue des messages de journaux
• Moniteur, lecture et interprétation des messages de Log

18/02/2016
91
Alertes Email
et paramètres de Logs
Yassine MORSLI

18/02/2016
92
Plan
• Alertes Email
• Configurer les paramètres de journal

18/02/2016
93
Alertes Email
• Envoi de notficiation lors de la détection d’un
évènement
• Identifier le nom du serveur SMTP
• Configurer au moins un serveur DNS
• Jusqu’à trois destinataires

18/02/2016
94
Alertes Email : Configuration
• Configurer d’abord le paramètre du serveur SMTP
• Envoyer à jusqu’à 3 destinataires
config system email-server
set type custom
set reply-to (email)
set server (IP or FQDN)
set port (connection port)
set source-ip (interface-ip)
set authenticate [enable | disable]
set security [none | starttls | smtps]
end

18/02/2016
95
Console des messages d’alerte
• Les messages d’alerte sont visibles sur un widget en GUI
Les alertes peuvent être acquittées et supprimées de la liste
Options de personnalisation des alertes

18/02/2016
96
Supervision SNMP
SNMP managerManaged device
SNMP agent Fortinet MIB
• Traps reçues par l’agent, envoyées au serveur SNMP
• Configurer l’interface Fortigate pour l’accès SNMP
• Compiler et charger les MIBs Fortigate sur le serveur SNMP
• Créer des communautés SNMP pour autoriser les connexions
du Fortigate sur le serveur SNMP
− SNMP v1/v2 : Texte en clair
− SNMP v3 : Crypté

18/02/2016
97
Supervision SNMP : Configuration
Le SNMP v3 offre une meilleure sécurité

18/02/2016
98
Configuration des paramètres de Log
Plus il y a de logs, plus il y a de résolution d’IP
• Peut impacter sur les performances CPU

18/02/2016
103
• Paramètres des journaux
• Ressources de journalisation

18/02/2016
104
Yassine MORSLI
Monitoring
des Logs
Forum : http://forum.alphorm.com

18/02/2016
105
Plan
• Décrire comment opérer un Monitoring sur les journaux

18/02/2016
106
Moniteur des journaux
Vue globale du nombre et type des journaux générés
Zoom avant permet d’avoir une vue détaillée

18/02/2016
107
Moniteur graphique (GUI)
Exemple : Moniteur des profiles de
sécurité
• Inclus toutes les options de
sécurité
Moniteur AV
• Top activité virus
Moniteur Web
• Top catégories Fortiguard bloquées
Moniteur d’Application
• Applications les plus utilisées
Moniteur d’Intrusion
• Attaques récentes
Moniteur d’Email
• Statistiques de Spams
Moniteur DLP & Archives
• Activité DLP
Quota Fortiguard
• Usage du quota par utilisateur

18/02/2016
108
Page Status : Widgets personnalisés
Les widgets disposent de paramètres pour afficher diverses informations
• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun
affichant une option d’information différente

18/02/2016
109
Page Status : Tableau de bord personnalisé
Plusieurs tableaux de bord par défaut
• Widgets inclus configurés pour fournir différents types d’information
• Peuvent être ajouté/modifié/supprimé
• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun affichant
une option d’information différente
• La disposition du tableau de bord et des widgets est une préférence des
administrateurs

18/02/2016
110
• Moniteur
• Lecture et interprétation des messages de Log

18/02/2016
111
Les règles de sécurité
Le Pare-feu
Yassine MORSLI

18/02/2016
112
Plan
• Comprendre le fonctionnement des règles de sécurité
• Concordance des règles de sécurité
Adresse IP source, périphérique, utilisateur
Interface ou Zone
• Ordonnancement des règles de sécurité

18/02/2016
113
Qu’est-ce que les règles de sécurité ?
• Les règles de sécurité définissent :
A quel trafic elles correspondent
Comment traiter le trafic correspondant
• Lorsqu’un paquet d’une nouvelle session arrive, le Fortigate vérifie les
règles correspondantes
La première règle dans l’ordre d’affichage
correspondant au paquet est exécutée
Du haut vers le bas
• Deny Implicite
S’il n’y a aucune règle correspondant au paquet,
ce dernier sera dropé par le Fortigate

18/02/2016
114
Règles de sécurité
Interfaces Source et Destination
Périphériques Source et Destination
Services
Horaires
Action = ACCEPT
Authentification
UTM QoS
Logging

18/02/2016
115
Liste des règles : Vue par section
• Policy Policy IPv4
• Liste les règles par paires d’interfaces source/destination

18/02/2016
116
Liste des règles : Vue globale
• Lorsqu’une règle dispose de multiples interfaces source/destination ou
ANY

18/02/2016
118
Composants et types de règles
• Les objets
Interfaces/Groupes d’interfaces
Adresses/Utilisateurs
Services (port et protocole)
Horaires
NAT
Profiles de sécurité
• Types
IPv4, IPv6
Proxy Explicit
DoS
Multicast

18/02/2016
119
Destination
interface
Source
interface
• Interface d’arrivée (source) : Interface / Zone réceptionnant le trafic
• Interface de sortie (destination) : Interface / Zone de destination du traffic
Zone : Group logique d’interfaces
Interfaces vs. Zones

18/02/2016
120
Concordance par source
• Au moins une adresse source doit être spécifiée
• En option, l’un ou les deux éléments suivants :
Utilisateur source
Device source
• Adresse source – Objet d’adresse IP
• Utilisateur source – Utilisateur ou groupe d’utilisateur, peut faire référence à :
Compte utilisateurs firewall local
Compte utilisateurs distant (exp. Active Directory)
FSSO
Certificat personnel (PKI)
• Device source – périphérique identifié ou défini manuellement
Activer l’identification des périphériques sur l’interface source

18/02/2016
121
Concordance des paquets et des règles de sécurité
Comment le Fortigate défini la correspondance du trafic

18/02/2016
122
Identification
des périphériques
Le Pare-feu
Yassine MORSLI

18/02/2016
123
Plan
• Notions de périphériques et Fortigate
• Aperçu des périphériques sur l’interface de configuration
• Mode Agent vs. Sans agent

18/02/2016
124
Identification des périphériques
• Type de périphérique source – l’identification des périphériques est
activée sur l’interface source de la règle

18/02/2016
125
Identification des périphériques : Agent vs. sans agent
• Techniques d’identification
• Sans agent
Empreintes TCP
Adresse MAC
Agent utilisateur HTTP
Requiert une connectivité directe au Fortigate
• Avec agent
Utilisation du Forticlient
Indépendant de la localisation et de l’infrastucture

18/02/2016
126
Identification des périphériques : Liste des périphériques (GUI)
• User&Device Devices List

18/02/2016
127
Identification des périphériques : Liste des périphériques (GUI)
• Les périphériques sont indexés par MAC et identifiés à partir de sources
multiples

18/02/2016
128
Identification des périphériques : Liste des périphériques Forticlient (CLI)
• Les périphériques enregistrés par le Forticlient peuvent être identifiés
par leur UID

18/02/2016
133
Contrôle des postes
• Les Forticlient sont enregistrés sur le Fortigate

18/02/2016
134
• Les Forticlient ajoutés à la liste des devices

18/02/2016
135
• Profil Forticlient

18/02/2016
136
• Les paramètres du profil Forticlient téléchargés sur le device enregistré

18/02/2016
137
La gestion des postes de travail via Forticlient

18/02/2016
138
Concordance
des règles
Le Pare-feu
Yassine MORSLI

18/02/2016
139
Plan
• Comprendre les éléments de concordance des paquets avec les règles
de sécurité
• Comment sont traités les paquets ?

18/02/2016
140
Correspondance par objet source
• Contrôle de correspondance des paquets par adresse source, utilisateur,
et type de Device

18/02/2016
141
Correspondance par objet destination
• Identique au match à la source, les objets adresses peuvent être de type
IP ou FQDN
Les requêtes DNS sont utilisés pour résoudre les FQDN
• L’objet « région géographique » définit les adresses par IPS
La base est mise à jour périodiquement par le FortiGuard

18/02/2016
142
Correspondance par Horaire
• Les règles s’appliquent uniquement durant un temps/jour spécifique
Exemple : Appliquer moins de restriction en dehors des horaires de travail
La planification par défaut (Always) s’applique tout le temps
Récurrent
• S’applique de façon récurrente durant un jour ou plusieurs jours de la semaine
One-time
• S’applique une seule fois

18/02/2016
143
Correspondance par service
Protocol and port
Packet
Protocol and port
Firewall Policy
=
• Les services déterminent les protocoles de
transmission et les numéros de port
• Peuvent être pré-définis ou personnalisés
• ALL correspond à tous les ports et protocoles
• Le service web-proxy est également disponible si
l’interface source est défini en tant que web-proxy

18/02/2016
144
Usage des objets
• Permet un changement rapide des paramètres
• La colonne référence montre si l’objet est utilisé
Lié directement à l’objet référencé

18/02/2016
145
Comment les paquets sont traités : Etape 1
• Phase 1 – Entrée
Filtre Déni de service (DoS)
Vérification de l’intégrité des paquets
Tunnel IPSec
NAT de destination
Routage

18/02/2016
146
Tunnel IPSec
NAT de destination
Routage
• Phase 2 – Inspection à état
Trafic de gestion
Vérification des règles
• Session tracking
• Session helpers
• SSL VPN
• Authentification utilisateurs
• Traffic shaping

18/02/2016
147
Tunnel IPSec
NAT de destination
Routage
Trafic de gestion
• Session helpers
• SSL VPN
• Traffic shaping
• Phase 3 – Scan UTM
Inspection Flow-based
• IPS
• Contrôle applicatif
• Filtrage mail
• Filtrage web
• Antivirus
Inspection Proxy-based
• Inspection VOIP
• DLP
• Filtrage mail
• Filtrage web
• Antivirus
• ICAP

18/02/2016
148
Tunnel IPSec
NAT de destination
Routage
Trafic de gestion
• Session helpers
• SSL VPN
• Traffic shaping
• Phase 3 – Scan UTM
Inspection Flow-based
• IPS
• Contrôle applicatif
• Filtrage mail
• Filtrage web
• Antivirus
Inspection Proxy-based
• Inspection VOIP
• DLP
• Filtrage mail
• Filtrage web
• Antivirus
• ICAP
• Phase 4 – Sortie
IPSec
NAT Source
Routage

18/02/2016
149
La concordance des paquets avec les règle de sécurité
Les étapes d’exécution de paquet sur le boitier Fortigate

18/02/2016
150
Journal et analyse
Le Pare-feu
Yassine MORSLI

18/02/2016
151
Plan
• Activation de la journalisation sur les règles de sécurité
• Paramètres des tables de session
• Diagnostique des informations de session

18/02/2016
152
Traffic Logging
DenyAccept
Log Allowed Traffic Log Violation Traffic
config system setting
set ses-denied-traffic enable

18/02/2016
153
Moniteur
• Sessions actives, octets ou paquets par règle
• Policy&Objetcs > Moniteur > Politique Moniteur

18/02/2016
154
Table de sessions
• Les sessions IP acceptées sont suivies sur la table des sessions
• Enregistre les informations d’état
Adresses sources et destinations, paire de port, état, timeout
Interface source et destination
Action NAT, en source ou en destination
• Métrique de performance
Sessions concurrentes maximum
Nouvelles sessions par seconde

18/02/2016
155
TTL de sessions
• La réduction de la durée de vie des sessions peut améliorer les performances
lorsque la table est pleine en coupant les sessions prématurément
• TTL par défaut
• Timers à état spécifiques
• Les timers peuvent être appliqués sur les règles et les objets, et avoir des
précédences :
Application Control List > Firewall Services > Firewall Policies > Global Sessions
config system session-ttl
set default 3600
end
config system global
set tcp-halfclose-timer 120
set tcp-halfopen-timer 10
set udp-idle-timer 60
end

18/02/2016
156
Table de sessions : Exemple

18/02/2016
157
Etats TCP

18/02/2016
158
diagnose sys session
• La table de session indique les actions des règles
Effacer tous les filtres précédents
Paramétrer le filtre
Afficher toutes les entrées correspondantes au filtre configuré
Effacer toutes les entrées correspondantes au filtre configuré
diagnose sys session filter clear
diagnose sys session filter clear ?
dport port de destination
dst adresse IP destination
policy id de la règle
sport port source
src adresse IP source
diagnose sys session list
diagnose sys session clear

18/02/2016
159
diagnose sys session

18/02/2016
160
Le moniteur des sessions
La durée de vie des sessions

18/02/2016
161
Translation d’adresses IP
Le Pare-feu
Yassine MORSLI

18/02/2016
162
Plan
• Choix entre le NAT central ou le NAT source sur une règle de sécurité
Appliquer le NAT source avec IP pools (overload vs. One-to-one, port fixe et allocation de
bloc de ports)
• Configurer les NAT de destination avec les VIPs ou les serveurs virtuels

18/02/2016
163
Translation d’adresses et de ports
• Translation d’adresses IP – NAT
Modification d’adresse au niveau de la couche IP du paquet
• Quelques protocoles comme HTTP disposent également d’adresses sur la couche applicative, requiers
session helpers/proxy
Translation d’adresse source – SNAT
Translation d’adresse destination – DNAT
• Translation de ports – PAT
Modification du numéro de port au niveau de la couche IP du paquet
Adresse IP Source
Port Source
Adresse IP destination
Port destination

18/02/2016
164
Translation d’adresse IP (NAT)
10.10.10.1
11.12.13.14
Règle de sécurité
NAT activé
Adresse IP wan1: 200.200.200.200
Adresse IP source:
10.10.10.1
Port source: 1025
Adresse IP destination:
11.12.13.14
Port destination: 80
Adresse IP source:
200.200.200.200
Port source: 30912
11.12.13.14
internal
wan1
200.200.200.200

18/02/2016
165
NAT Dynamic IP Pool (Plage IP)
NAT + Plage IP activés
Plage IP wan1: 200.200.200.2-200.200.200.10
Adresse IP source:
10.10.10.1
Port source: 1025
11.12.13.14
Adresse IP source:
200.200.200.2
Port source: 30957
11.12.13.14
10.10.10.1
internal
wan1
11.12.13.14
200.200.200.200

18/02/2016
166
Type de plage IP : One-to-One
• Type par défaut : overload
• Type one-to-one associe une adresse IP interne à une IP de la plage sur la base
du premier arrivé, premier servi
La translation de port est désactivée
• Refuse la connexion s’il n’y a aucune adresse non allouée

18/02/2016
167
Type de plage IP : Plage IP à port fixe
• Le type : Range à port fixe, associe une plage d’IP interne à une plage externe
La translation de port est désactivée

18/02/2016
168
Type de plage IP : Allocation de bloc de ports
• Le type allocation de bloc de ports assigne une taille de bloc & numéro par
hôte pour une plage d’adresses IP externes
Petit bloc 64 et un seul bloc
En mode overload

18/02/2016
169
Adresse IP virtuelle de destination + NAT statique
Adresse IP wan1: 200.200.200.200
Adresse IP source:
11.12.13.14
200.200.200.200
10.10.10.10
11.12.13.14
internal
wan1
La VIP translate la destination
200.200.200.200 -> 10.10.10.10
IPs virtuelles

18/02/2016
170
IPs virtuelles
Adresse IP virtuelle de destination + NAT statique
Adresse IP wan1: 200.200.200.200
Adresse IP source:
11.12.13.14
200.200.200.200
10.10.10.10
11.12.13.14
internal
wan1
La VIP translate la destination
200.200.200.200 -> 10.10.10.10
• Objets NAT en destination
• NAT statique par défaut
» Peut être en mode “restricted” pour rediriger
uniquement certains ports
• En CLI, l’option load-balance ou server-load-
balance est disponible
• La VIP doit être routable sur l’interface externe
(source) pour le retour de paquets

18/02/2016
172
Translation d’adresses : Central NAT

18/02/2016
173
Les mécanismes de translation d’adresses et de ports

18/02/2016
174
Inspection du trafic
Le Pare-feu
Yassine MORSLI

18/02/2016
175
Plan
• Traffic Shapping
• Profils de sécurité
• Modes d’inspection
• Inspection SSL

18/02/2016
176
Traffic Shapping
• La limitation du débit est configurable
Bande passante entrante et sortante
• Chaque interface physique a 6 files d’attentes d’émission
• Le traffic shapping contrôle quelle règle dispose de la priorité la plus
élevée lorsque une quantité de données importante traverse le boitier
Fortigate
• Normalise les pics de trafic en priorisant certains flux par rapport à
d’autres

18/02/2016
177
Traffic Shapping
Traffic Shapping partagé Traffic Shapping par IP
Bande passante garantie
Bande passante maximum

18/02/2016
178
Profils de sécurité

18/02/2016
179
Proxy vs. Flow : Scan Proxy-based
• Le proxy transparent met les fichiers en mémoire tampon
• A la fin de la transmission, le Fortigate examine les fichiers
Aucune action jusqu’à ce que le tampon soit plein ou l’action est terminée
• La communication se termine sur la couche 4
Le proxy lance une connexion secondaire après le scan

18/02/2016
180
Option de proxy

18/02/2016
181
Proxy vs. Flow : Scan Flow-based
• Le fichier est scané sur la base du flux TCP lorsqu’il transite via le
Fortigate
Moteur IPS
• Plus rapide que le mode Proxy
• Utilise les mêmes signatures que le mode proxy
• Le trafic d’origine n’est pas altéré

18/02/2016
182
SSL Inspection

18/02/2016
183
Traffic Shapping
Les mécanismes d’inspection du trafic

18/02/2016
184
Diagnostiques des règles
de sécurité
Le Pare-feu
Yassine MORSLI

18/02/2016
185
Plan
• Supervision et débogage du trafic

18/02/2016
186
Débogage des règles de sécurité
• Comprendre le flux
Entrant
Sortant
Action NAT source
Action NAT destination
VPN
Inspection de contenu proxy/flow
• Quel est le problème ?
Lenteur/retard ?
Timeout trop court ?
Echecs de connexion ?

18/02/2016
187
Capture de paquets (CLI)
• Utilisée pour trouver d’où un paquet arrive et par où le paquet sort
• Pour une visualisation sur Wireshark, convertir le rendu
Sauvegarder le rendu sur un fichier
Script Perl sur la KB (ID article : 11186)
Interface
Utiliser un nom physique ou logique
diag sniff packet interface ‘filter’ level
port1, lan, wan1, ‘any’
Level (1-6)
1 : Afficher l’entête des paquets
2 : Afficher l’entête et les données IP des paquets
3 : Afficher l’entête et les données Ethernet
4 : Afficher l’entête des paquets avec le nom d’interface
5 : Afficher l’entête et les données IP avec le nom d’interface
6 : Afficher l’entête et les données Ethernet avec le nom d’interface

18/02/2016
188
Capture de paquets : Exemples
• Ne pas spécifier un hôte qui risque de change d’IP à cause du NAT
• Utiliser l’interface ‘any’ et un niveau de détail à 4 est le plus utilisé
• Exemples :
IP
ICMP
TCP : Paquets avec le paramètre SYN flag
FTP
• Connexion et données, FTP passif
• Connexion et données, FTP actif
• Si utilisation de SSH, ne pas sniffer vos propres paquets
diag sniff packet any ‘dst host 10.200.1.254’ 4
diag sniff packet any ‘dst host 10.200.1.254 and icmp’ 4
diag sniff packet any ‘icmp[icmptype] !=0 and icmp[icmptype] !=8’ 4
diag sniff packet any ‘tcp[13]&2==2’ 4
diag sniff packet any ‘host 10.200.1.254 and (port21 or port ??)’ 4
diag sniff packet any ‘host 10.200.1.254 and (port21 or port 20)’ 4
diag sniff packet any ‘!port 22’ 4

18/02/2016
189
Capture de paquets (GUI)
• Les paquets capturés sont automatiquement convertis en format
Wireshark
• Disponible sur les boitiers avec stockage interne (HD ou carte SMC)

18/02/2016
192
Combiner les traces de paquet et flux
• Suivi des paquets à l’arrivée avec des actions FortiOS
• Mieux !
Paramétrer le debug flow, puis démarrer le sniffer
Fortigate # diagnose sniffer packet any ‘host 10.200.1.254 and port 80’ 4
interface=[any]
filters=[host 10.200.1.254 and port 80]
51.685869 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn
3479847099
51.937927 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn
1978229729
51.679653 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn
3479847099
51.930621 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn
1978229729

18/02/2016
193
Traitement des paquets de débogage
Moniteur GUI
CLI

18/02/2016
194
Introduction au
proxy web
Proxy Explicite
Yassine MORSLI

18/02/2016
195
Plan
• Activer le proxy web explicite sur le Fortigate
• Utilisation du fichier PAC et du WPAD pour configurer les navigateurs
web avec plusieurs proxy web et exceptions

18/02/2016
196
Qu’est-ce qu’un Proxy ?
• Le proxy redirige les requêtes pour les clients aux sites web
Les réponses peuvent être mises en cache
Si un cache existe, le proxy est un raccourci : réponds lui-même à partir du cache, ne redirige pas les
requêtes au site web
• Deux connexions TCP
1. Du client au Proxy
2. Du Proxy au serveur
ServerProxy HTTPClient
Connexion 1 Connexion 2

18/02/2016
197
Proxy Implicite (Transparent)
• Ne requiert pas de changement de configuration du client
Les requêtes envoyées à l’IP du serveur, pas au proxy
• Le proxy implicite intercepte les requêtes, même si l’IP de destination
n’est pas l’IP du proxy
Le proxy écoute sur les ports 80 et 443
10.0.0.50:80192.168.0.1:80192.168.0.2
Requêtes envoyé à
10.0.0.50:80
Connexion 2
Requêtes envoyé à
10.0.0.50:80
au lieu de 192.168.0.2
Le client envoie des requêtes à
l’IP du serveur+port, pas au
proxy
Le proxy intercepte

18/02/2016
198
Proxy Explicite
• Le client envoie des requêtes à l’IP du proxy + Port, pas au site web
directement
• Les clients doivent être spécifiquement configurés
• Le proxy écoute les paquets sur sa propre IP+Port
Habituellement 8080 ou 443
10.0.0.50:80192.168.0.1:80192.168.0.2
Requête envoyée à
192.168.0.1:8080
Connexion 2
Requête envoyée à
10.0.0.50:80
Le client envoie des
requêtes à l’IP du
PROXY+port, pas au
serveur

18/02/2016
199
Comment configurer le navigateur
• Pour utiliser le proxy explicite, le navigateur web doit être configuré
• 3 méthodes :
Paramètres du navigateur
Fichier PAC (Proxy Automatic Configuration)
Découverte automatique du proxy web (WPAD)

18/02/2016
200
Paramètres du proxy du navigateur
• Configuration manuelle des navigateurs avec une seule IP de proxy (ou FQDN)
et un numéro de port
• Des exceptions peuvent être configurées
Autoriser certaines destinations à ne pas passer par le proxy

18/02/2016
201
Proxy Automatic Configuration (PAC)
• Supporté pour plus d’un proxy
• Définit comment les navigateurs sélectionnent un proxy
Habituellement stocké dans un des proxy
Spécifie quel trafic sera envoyé à quel proxy
• Configurer chaque navigateur avec l’URL d’un fichier PAC
• Par défaut, le Fortigate peut héberger le fichier PAC à :
http://<IP_Fortigate>:<Port>/proxy.pac

18/02/2016
202
Exemple fichier PAC
function FindProxyForURL (url, host) {
if (shExpMatch(url,"*.exemple.com/*")) {
return "DIRECT"; }
if (shExpMatch(url,"*.exemple.com:*/*")) {
return "DIRECT"; }
if (isInNet(host, "10.0.0.0", "255.255.255.0"))
{
return "PROXY fastproxy.exemple.com:8080";
}
return "PROXY proxy.exemple.com:8080; DIRECT";
}
Connexion à n’importe quel
sous domaine/URL/Port de
exemple.com, n’utilise pas le
proxy
Connexion à
10.0.0.0/24
utilise :
fastproxy.exem
ple.com:8080Par ailleurs, tout le trafic restant utilise :
proxy.exemple.com:8080

18/02/2016
203
Web Proxy Auto-Discovery Protocol (WPAD)
• Le navigateur requête : « Où est le fichier PAC ? »
• Deux méthodes :
Requête DHCP
Requêtes DNS
• Habituellement, les navigateurs essaient d’abord la méthode DHCP
Si échec, essaient la méthode DNS
Quelques navigateurs supportent uniquement la méthode DNS

18/02/2016
204
WPAD méthode DHCP
1. Le navigateur requête le serveur DHCP (DHCPINFORM)
2. La réponse informe l’URL du fichier PAC
3. Le navigateur télécharge le fichier PAC
4. Le navigateur accède au web via le proxy
Server web
Fortigate /fichier PAC
Server DHCP
1
2
3
4

18/02/2016
205
WPAD méthode DNS
1. Le navigateur requête le serveur DNS pour la résolution
2. La réponse informe l’URL du fichier PAC
3. Le navigateur télécharge le fichier PAC
4. Le navigateur accède au web via le proxy
Server web
Fortigate /fichier PAC
Server DNS
1
2
3
4
wpad.<local-domain>
http://<pac-server>:80/wpad.dat

18/02/2016
206
Qu’est-ce qu’un proxy web explicite ?
Fichier PAC vs. WPAD

18/02/2016
207
Proxy cache
Proxy Explicite
Yassine MORSLI

18/02/2016
208
Plan
• Réduire l’utilisation de la bande passante WAN
• Améliorer la qualité de la réponse via le web cache

18/02/2016
209
Proxy avec cache web
• Le proxy peut faire fonction de cache
La fonctionnalité dépend du modèle du boitier
• Lors de la première requête, le cache conserve une copie temporaire du
contenu web statique
• Les prochaines requêtes du contenu inchangé reçoivent les réponses
du cache
• Améliore
L’utilisation de la bande passante WAN
La charge du serveur
La qualité de la réponse perçue

18/02/2016
210
Cache web (Part 1)
• Pour la première requête, la réponse n’est pas encore mise en cache
• Proxy :
Obtient le contenu du serveur
L’enregistre en mémoire si le contenu n’est pas dynamique
Redirige la réponse au client
Réponse en cache ? Non
Première
requête
Contenu
Première
requête
Contenu

18/02/2016
211
Cache web (Part 2)
• Pour les requêtes suivantes, la réponse est habituellement déjà en
cache
Le proxy redirige une copie du cache vers le client
Ne télécharge pas de contenu du serveur
Le contenu dynamique est une exception : il change, le proxy le traite à chaque fois
comme une première requête
Réponse en cache ? Oui
Deuxième
requête
Contenu

18/02/2016
216
Activer le Proxy Web
Activer le Proxy
et le fichier PAC
Port découte
TCP
Editer le fichier
PAC
Action par défaut
pour le trafic
Proxy qui ne
correspond à
aucune règle de
sécurité

18/02/2016
217
Activer le Proxy Web sur l’interface
• Spécifier quelle interface écouter pour les connexions Proxy

18/02/2016
218
Proxy explicite : règles de sécurité
Le trafic peut
être inspecté
Le cache web est
supporté sur
quelques modèles

18/02/2016
219
Comment réduire l’utilisation de la bande passante via le cache ?
Authentification IP-Based vs. Session-Based
Configuration Proxy Web explicite

18/02/2016
220
Authentification Proxy
Proxy Explicite
Yassine MORSLI

18/02/2016
221
Plan
• Authentifier plusieurs utilisateurs web proxy qui partagent la même
adresse IP source
• Appliquer les règles Proxy avec des objets adresses URL
• Moniteur des utilisateurs Proxy

18/02/2016
222
Règle proxy explicite avec authentification
Action est
Authentifié
Créer des règles
d’authentifications
Sélectionner
l’authentification IP ou
session

18/02/2016
223
Règles d’authentification Proxy explicite
• Pas de fall-through, contrairement aux autres règles d’authentification
• Indépendamment du statut de l’authentification des utilisateurs,
Fortigate utilise la première règle qui match:
IP source
IP destination
Interface destination
• Ne passe pas aux règles suivantes après le premier match

18/02/2016
224
Exemple : Authentification Proxy Explicite
• Règle #1 : utilisateurs dans 10.0.1.0/24 doivent s’authentifier
quotidiennement
A chaque moment, le Fortigate vérifie si le trafic match avec la règle
• Règle #2 : autorise un accès non restreint à partir de 10.0.0.0/8, mais
tant que 10.0.1.* match avec la règle #1, la règle #2 ne sera pas atteinte

18/02/2016
225
Utilisateurs invités (Guest Users)
• Si un utilisateur n’appartient à aucun groupe utilisateur dans la règle, et
si strict-guest est désactivé, Fortigate les traite comme les membres du
groupe SSO_guest_user
config web-proxy explicit
set strict-guest disabled
end

18/02/2016
226
Modèle URL Type d’objets
• Uniquement pour les règles Proxy Explicite
• Le Fortigate les compare à l’URL des requêtes HTTP GET
/path/to/file
N’inclue pas le hostname/IP, qui est dans le header HTTP Host

18/02/2016
228
Méthode de configuration WPAD DNS (Part 1)
• La méthode DNS doit résoudre le nom wpad.<domainelocal> à l’IP Proxy
Fortigate
• Dans la configuration Fortigate, un match (correspondance) requiert le nom du
fichier PAC et l’utilisation du port 80:
config web-proxy explicit
set pac-file-server-status enable
set pac-file-server-port 80
set pac-file-name wpad.dat
end

18/02/2016
229
Méthode de configuration WPAD DNS (Part 2)
• De plus, si le Fortigate est lui-même serveur DNS, configurer le suffixe du
domaine local

18/02/2016
230
Moniteur des utilisateurs de Proxy
• A partir de la GUI
User&Device > Monitor > Firewall
A partir de la ligne de commande (CLI)
Pour supprimer tous les sessions d’authentification Proxy courantes
# diagnose wad user list
Student 10.0.1.10 id:40 VD:root, duration: 18
# diagnose wad user clear

18/02/2016
231
Règles d’authentification Web Proxy
Modèles d’objet URL
Moniteur des utilisateurs Web Proxy explicite

18/02/2016
232
Méthodes
d’authentification
Authentification
Yassine MORSLI

18/02/2016
233
Plan
• Expliquer l’authentification pare-feu
• Décrire les différentes méthodes d’authentification disponibles sur les
équipements Fortigate

18/02/2016
234
Authentification
• Confirme l’identité d’un utilisateur ou d’un device
• Une fois le user/device identifié par le Fortigate, le Fortigate applique la
règle de sécurité correspondante pour autoriser ou interdire l’accès aux
ressources réseau

18/02/2016
235
Méthodes d’authentification
Les méthodes d’authentification suivantes peuvent être utilisées :
• Authentification locale
• Authentification distante
• Authentification à deux facteurs
Activé en seconde authentification, additionnelle à une authentification existante
Requiert un élément connu (le mot de passe) et un élément en votre possession (le token)

18/02/2016
236
Authentification locale
• L’authentification locale est basée sur les comptes utilisateurs locaux
stockés dans le Fortigate
Pour chaque compte, un nom d’utilisateur et mot de passe est stocké
Nom d’utilisateur
et mot de passe
Fortigate
1
2

18/02/2016
237
Authentification distante
• Les comptes sont stockés sur un serveur d’authentification externe
• Les administrateurs peuvent
Créer un compte utilisateur local et spécifier le serveur distant pour vérifier le mot de passe ou
Ajouter le serveur d’authentification au groupe d’utilisateurs
• Tous les utilisateurs de l’objet serveur vont être membres de ce groupe
Nom d’utilisateur
et mot de passe
Fortigate
1
2
4OK
Nom d’utilisateur
et mot de passe
3

18/02/2016
238
Authentification distante - Protocoles
LDAP
TACACS+POP3
Directory
Services
FSSO,NTLM
RADIUS
RSSO
RADIUS
Single Sign On

18/02/2016
239
Authentification distante - SSO
• Les utilisateurs qui s’authentifient à un domaine peuvent tirer partie de
cette authentification pour s’authentifier sur le pare-feu
• Les utilisateurs saisissent leurs mots de passe une seule fois, et accèdent
à plusieurs ressources réseau sans besoin de s’authentifier une nouvelle
fois
• Grâce au Fortigate, le SSO peut être implémenté en utilisant l’une des
deux méthodes suivantes :
FSSO : Environnement de communication Fortinet pour collecter et rediriger
les informations d’authentification des utilisateurs, au Fortigate
RSSO : Environnement de communication pour envoyer les paquets RADIUS
au Fortigate, contenant les évènements login, logoff

18/02/2016
240
Authentification distante – POP3
• La plupart des protocoles d’authentification utilisent une combinaison
de nom d’utilisateur et mot de passe
RADIUS, FSSO, etc.
• Les serveurs POP3 authentifient les utilisateurs sur la base de leur
adresse email
Utilisateur : jsmith@<domain>.com
Mot de passe : <password>

18/02/2016
241
Authentification
Méthodes d’authentification
Protocoles d’authentification

18/02/2016
242
Authentification
à deux facteurs
Authentification
Yassine MORSLI

18/02/2016
243
Plan
• Expliquer l’authentification à deux facteurs

18/02/2016
244
Authentification deux facteurs (2FA)
• L’authentification à deux facteurs (2FA) est une authentification forte qui
garantie la sécurité en empêchant des attaques liées à l’utilisation des
mots de passes statiques seuls
• 2FA nécessite deux moyens indépendants pour identifier un utilisateur :
Un élément connu : comme un mot de passe
Un élément que vous possédez : un Token ou un certificat PKI
• En général, l’algorithme OTP (One-Time-Password) peut être basé sur le
temps ou sur un évènement
OTP Fortinet est basé sur le temps (time-based) il est donc important d’utiliser l’horloge Fortigate pour
plus de précision
• Les codes Token sont time-based, par conséquent, n’apparaissent
qu’une seule fois

18/02/2016
245
2FA – Mot de passe unique
• FortiToken / FortiToken mobile :
Chaque 60 secondes, le token génère un code à 6 caractères basé sur un seed unique et
l’horloge GMT
• FortiToken matériel
• FortiToken mobile : disponible sur Android et iOS
• Méthodes alternatives
Email : Un mot de passe unique est envoyé par email à l’utilisateur
SMS : Un mot de passe unique est envoyé via email au fournisseur SMS de l’utilisateur.

18/02/2016
246
2FA – Tokens
246
SeedTime
080485
FortiGate
Token
Algorithm
SeedTime
080485
Algorithm
Same Seed
Same Time
2
1
4
3
Validation des informations
d’indentification

18/02/2016
247
Ajouter un FortiToken

18/02/2016
248

18/02/2016
249
Types et règles
Authentification
Yassine MORSLI

18/02/2016
250
Plan
• Décrire les types d’authentification (active et passive)
• Créer des règles d’authentification
• Configurer un portail captif et les disclaimers
• Configurer les timeout d’authentification

18/02/2016
251
Types d’authentification
• Active :
L’utilisateur reçoit un prompt de login et doit entrer ses informations manuellement pour
s’authentifier
Utilisé avec LDAP, RADIUS, Local et TACACS+
• Passive :
L’utilisateur ne reçoit pas de prompt de login et les informations d’authentification sont
déterminées automatiquement
• Les méthodes varient selon le type d’authentification utilisé
Utilisé avec FSSO, RSSO et NTLM

18/02/2016
252
Déclencheurs de l’authentification active
• L’authentification utilisateur active est déclenchée via un des protocoles
suivants :
HTTP
HTTPS
FTP
Telnet
• Le protocole d’authentification doit être autorisé par la règle avec
l’authentification activée
• Tous les autres services ne seront pas autorisés jusqu’à ce que
l’utilisateur soit authentifié la première fois avec succès via un des
protocoles précédents

18/02/2016
253
Types d’authentification : ordres d’opération
• Lorsque l’authentification active et passive sont activés, la première
méthode qui permet de déterminer le nom d’utilisateur est utilisée
• Si les informations d’authentification de l’utilisateur ne sont pas
déterminées d’abord via la méthode passive, la méthode active est
employée

18/02/2016
254
Règle de sécurité : Source
• Les règles de sécurité peuvent
inclurent les users ou groupes en
source
• Une authentification est réussie
lorsqu’un utilisateur saisie des
informations correspondants à celles
spécifiées en source de la règle
? Règle Source

18/02/2016
255
Règle de sécurité : DNS
• Le trafic DNS est permis grâce à une règle d’authentification même si
l’utilisateur n’est pas encore authentifié
La résolution de nom est souvent requise pour recevoir le trafic HTTP/HTTPS/FTP/Telnet via
lesquels un utilisateur peut actuellement s’authentifier
Le service DNS doit être explicitement listé en tant que service dans la règle

18/02/2016
256
Combiner les règles
• Activer l’authentification sur une seule règle ne force pas toujours un
prompt d’authentification
• 2 options :
Activer l’authentification sur chaque règle qui pourrait matcher avec le trafic
Activer un portail captif sur l’interface d’entrée du trafic

18/02/2016
257
Portail captif
• Activer un portail captif sur une interface force la page
d’authentification à apparaitre lorsque un trafic d’authentification est
reçu
Port1 Port2
Portail
captif
activé ici

18/02/2016
258
Portail captive : Exceptions
• Si le portail captif est activé, mais vous ne souhaitez pas qu’il soit
appliqué pour quelques devices spécifiques…
Imprimantes, fax, console de jeux peuvent ne pas être activés pour utiliser
l’authentification active, mais nécessitent d’être autorisés par la règle de
sécurité
#config firewall policy
#edit <policy_id>
#set captive-portal-exempt enable
#end #config user security-exempt-list
#edit <list_name>
#config rule
#edit <rule_id>
#set srcaddr <address_object>
#next
#end

18/02/2016
259
Disclaimer
#config firewall policy
#edit <policy_id>
#set disclaimer enable
#end
• Affiche la pages des termes et accords
disclaimer avant que l’utilisateur ne
s’authentifie
• L’utilisateur doit accepter le disclaimer
pour poursuivre avec le processus
• L’utilisateur est dirigé vers la destination
originale (ou la page d’authentification)
Règle

18/02/2016
260
Modifier le Disclaimer
• Tous les disclaimers n’ont pas besoin d’être identiques
Le texte peut être modifié
Des images peuvent être ajoutées (en HTML)

18/02/2016
261
Timeout d’authentification
#config user setting
#set auth-timeout-type [idle-timeout | hard-timeout | new-session]
#end
• Le timeout spécifie combien de temps un utilisateur peut
rester idle avant qu’il ne soit obligé de s’authentifier une
nouvelle fois
• 5 minutes par défaut
• 3 options :
• Idle (par défaut) – il ne doit pas y avoir de trafic pour
la durée définie
• Hard – valeur absolue. L’authentification expire après
la durée définie
• Nouvelle session – si aucune session n’est créée

18/02/2016
262
Types d’authentification
Règles d’authentification
Portail captif et disclaimer
Timeout d’authentification

18/02/2016
263
Utilisateurs
et groupes
Authentification
Yassine MORSLI

18/02/2016
264
Plan
• Décrire et configurer les utilisateurs et les groupes
LDAP, RADIUS
Fortigate

18/02/2016
265
Utilisateurs et groupe d’utilisateurs
• Ajout d’utilisateurs à un serveur externe
LDAP
RADIUS
• Créer des utilisateurs et des groupes d’utilisateurs pour l’authentification
pare-feu sur le Fortigate

18/02/2016
266
Vue d’ensemble LDAP
• LDAP est un protocole d’application pour accéder et maintenir les
informations distribuées des serveurs d’annuaire
• La structure est semblable à un arbre
Contient des entrées (objets) sur chaque branche
• Chaque entrée a un ID unique, le Distanguished Name (DN)
• Chaque entrée dispose également d’attributs
• Chaque attribut a un nom et un ou plusieurs valeurs
• Les attributs sont définis dans le schéma Active Directory

18/02/2016
267
Hiérarchie LDAP
• L’arbre LDAP a généralement tendance à correspondre à la hiérarchie
de l’organisation du client
• La racine représente l’organisation elle-même, tel qu’elle est définie en
tant que composant du domaine (dc), tels que :
dc=exemple, dc=com
• Des niveaux additionnels sont inclus :
C (country)
OU (Organizational Unit)
O (Organization)
• Les comptes utilisateurs ou groupes disposent généralement de noms
d’éléments comme ‘uid’ (ID user) ou ‘cn’ (common name)

18/02/2016
268
Configuration de la requête LDAP
Nom d’attribut
qui identifie
chaque user
Branche parent
où sont
localisés tous
les users
Informations
d’un admin LDAP

18/02/2016
269
Test d’une requête LDAP
• En CLI
• Exemple de résultat
#diagnose test authserver ldap <server_name> <user>
<password>
#diagnose test authserver ldap Lab jsmith fortinet
Authenticate ‘jsmith’ against ‘Lab’ succeeded!
Group membership(s)
CN=SSLVPN,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=com
CN=TAC,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=com

18/02/2016
270
Vue d’ensemble RADIUS
• Protocole standard qui fournit les services d’Authentification,
d’Autorisation et Accounting (AAA)
User
Serveur
RADIUSFortigate
Accès - Requêtes
Accès - Accepté
ou
Accès - Rejeté
ou
Accès - Challenge

18/02/2016
271
Configuration RADIUS
Adresse IP ou
FQDN du
serveur RADIUS
Le ‘secret’ doit
correspondre à
la clé du serveur

18/02/2016
272
Tester les requêtes RADIUS
• A partir de la CLI
• Les schémas supportés sont :
chap
pap
mschap
mschap2
#diagnose test authserver radius <server_name> <scheme>
<user> <password>

18/02/2016
273
Utilisateurs

18/02/2016
274
Types de groups d’utilisateurs
Active
Directory RADIUSParis Visiteurs
Utilisateurs
locaux
Utilisateurs
invités
FSSO RSSO
• Un groupe est d’un des 4 types : local, FSSO, Invité, RSSO
• Les groups locaux fournissent un accès aux règles de sécurité qui requièrent une authentification
• FSSO et RSSO sont utilisés pour l’authentification unique et silencieuse

18/02/2016
275
Types de groupes d’utilisateurs
• Plus communément utilisé dans les réseaux sans fils
• Les groupes invités contiennent des comptes temporaires

18/02/2016
276
Configuration des groupes d’utilisateurs
Sélectionner les
utilisateurs
locaux
Sélectionner les
serveurs
distants contenant des
utilisateurs qui
appartiennent au
groupe

18/02/2016
277
Configurer les règles de sécurité
• Sur une règle de sécurité, la définition du trafic source peut inclure
l’adresse IP et/ou le compte utilisateur

18/02/2016
282
Moniteurs des utilisateurs via Event log
• Une authentification réussie ne génère pas d’évènement de Log
Journaux&Alertes > Evènement > User est principalement pour analyser le comportement
utilisateurs entre le Fortigate et les serveurs distants (RADIUS, LDAP, etc.)
Les détails de l’utilisateur sont intégrés dans la plupart des logs lorsque l’utilisateur est
authentifié

18/02/2016
283
Superviser les utilisateurs

18/02/2016
284
Comprendre le VPN SSL
Fortigate
VPN SSL
Yassine MORSLI

18/02/2016
285
Plan
• Comprendre et configurer les différents modes d’opération SSL VPN

18/02/2016
286
Virtual Private Networks (VPN)
• Permet aux utilisateurs un accès distant à des ressources réseaux,
semblable à une connexion locale
• Utilisé lorsqu’il est nécessaire de transmettre des données privées dans
un réseau public
• Fournit une connexion cryptée point à point, par conséquent les
données ne peuvent être interceptées par des utilisateurs non autorisés
• Différentes méthodes de sécurité pour assurer que seuls les utilisateurs
autorisés peuvent accéder au réseau privé

18/02/2016
287
FortiGate VPN
• Utilisé pour sécuriser les transactions
Web
• Tunnel HTTPS créé pour transmettre des
données applicatives de manière
sécurisée
• Les clients s’authentifient sur une page
Web sécurisée (Portail VPN SSL) sur le
Fortigate
VPN
SSL VPN
• Correspond pour les applications en
réseau
• Tunnel sécurisé construit entre deux
boitiers hôtes IPSec
• Le VPN IPSec peut être construit entre
un boitier Fortigate et la pluparts des
périphériques compatibles IPSec
IPSec VPN

18/02/2016
288
SSL VPN – Mode Web
1. Connexion d’un utilisateur distant au portail
VPN SSL (site web HTTPS)
2. Authentification utilisateur
3. Le portail SSL VPN est présenté
4. Accéder aux ressources sur le portail VPN SSL
via les raccourcis ou l’outil de connexion

18/02/2016
289
SSL VPN Tunnel Mode
1. Connexion d’un utilisateur distant au portail
VPN SSL (site web HTTPS)
2. Authentification utilisateur
3. Le portail SSL VPN est présenté
4. Le tunnel est créé
5. Accès aux ressources (Trafic IP encapsulé en
HTTPS)

18/02/2016
290
INTERNET
Mode tunnel – Split tunneling
• Split tunneling désactivé :
Tout le trafic IP est routé via le tunnel VPN SSL (inclus le trafic Internet)
Le Fortigate devient la passerelle par défaut des host
• Split tunneling activé
Seul le trafic destiné au réseau privé est routé via le tunnel SSL VPN
Réseau
interne
Mode tunnel
Split Tunneling
activé
Split Tunneling
désactivé

18/02/2016
291
Comment se connecter au SSL VPN tunnel
• Via le navigateur
Le portail Web VPN SSL affiche le status du contrôle ActiveX SSL VPN
La page du portail SSL VPN doit rester ouverte pour que le tunnel puisse continuer à
fonctionner
• Utiliser le VPN SSL Forticlient
Le client doit rester fonctionnel durant la connexion au VPN
Un nouveau adaptateur réseau virtuel fortissl est créé sur le poste client
• Le Fortigate assigne à l’adaptateur virtuel une adresse IP à partir du pool IP réservé

18/02/2016
292
SSL VPN : port forward
• Le port forward est une extension du mode web qui simule le fonctionnement
du mode tunnel
Option intéressante lorsque les clients n’ont pas les droits d’administrateurs pour installer le
logiciel client
• Le port forward utilise un applet Java pour étendre le nombre d’applications
supportées par le mode Web
L’applet écoute les ports locaux sur les postes clients. Il crypte et redirige au Fortigate tout le
trafic qu’il reçoit (similaire au mode tunnel)
Des raccourcis spécifiques pour les utilisateurs sont créés et agissent comme un tunnel
• L’utilisateur doit configurer les applications sur l’ordinateur pour
pointer sur le proxy local au lieu de pointer sur l’application Server

18/02/2016
293
VPN
SSL VPN vs. IPSec VPN
Mode Web et mode tunnel
Port forwarding
Méthodes de connexion au tunnel SSL VPN

18/02/2016
294
Options et sécurité
VPN SSL
VPN SSL
Yassine MORSLI

18/02/2016
295
Plan
• Configurer les options VPN SSL, tel que les Bookmarks
• Configurer la sécurité additionnelle pour les accès VPN SSL
• Monitorer les utilisateurs VPN SSL connectés

18/02/2016
296
SSL VPN Access Modes
Mode Web
• Pas de soft client requis
(navigateur web
uniquement)
• Reverse Proxy pour
HTTP, HTTPS, FTP,
SAMBA (CIFS)
• Applets Java pour RDP,
VNC, TELNET, SSH
Mode Tunnel
• Requiert un logiciel
Fortigate spécifique à
télécharger sur le PC
(ActiveX ou Java applet)
• Requiert des privileges
admin/root pour installer
l’adaptateur du tunnel
niveau 3
Mode Port Forward
• Applet Java fonctionne
comme un proxy local
pour intércepter des ports
TCP spécifiques, puis les
chiffrer en SSL
• Téléchargé sur le poste
client et installé sans
besoin de privileges
admin
• L’application client doit
pointer vers l’Applet Java

18/02/2016
297
Bookmarks utilisateurs
• La capacité de l’utilisateur à créer ses propres bookmarks est
activée/désactivée par l’administrateur sur le portail (par défaut activée)
• Les administrateurs peuvent afficher et supprimer les bookmarks
utilisateurs à partir de la GUI, cependant, en CLI, il n’est possible que de
créer les bookmarks

18/02/2016
298
Bookmarks utilisateurs – Configuration
• ‘apptype’ dispose de différents sous-paramètres
Par exemple, « URL » pour « web », « répertoire » pour « ftp », etc.
• Les bookmarks portforwarding sont valables pour trois types spécifiques :
Citrix
Portforward
rdpnative
config vpn ssl web user-bookmark
edit [Nom user]
config bookmarks
edit [Titre bookmark]
set apptype [citrix|ftp|portforward|rdp|rdpnative|smb|ssh|telnet|vnc|web]
set description [entrer une description]
set sso [disable|auto]
…
…
end

18/02/2016
299
Bookmarks sur le portail
• Les administrateurs peuvent ajouter des bookmarks sur les portails
• Les bookmarks seront disponibles pour tous les utilisateurs du portail

18/02/2016
300
Sécuriser les accès VPN SSL
• Vérification de l’intégrité du client
• Restriction des adresses de connexion des hôtes
• Requiert des certificats spécifiques
• Authentification à deux facteurs
• Téléchargement de Forticlient

18/02/2016
301
Sécuriser les accès : vérification d’intégrité
• Le Fortigate vérifie le système du client
Compatible uniquement avec les clients Microsoft Windows
• Détecte les applications de sécurité du clients reconnues par le centre
de sécurité Windows (Antivirus et Pare-feu)
• Vérifie le status des applications via GUID (identifiant unique)
• Détermine l’état des applications (active/inactive, numéro de version
courante, mise à jour de signatures)

18/02/2016
302
Vérification d’intégrité : Configuration
• Repose sur des solutions soft tiers pour assurer l’intégrité du client
• Vérifie si le bon logiciel est installé sur le PC, autrement la tentative de
connexion VPN SSL est rejetée
• Configuration CLI :
config vpn ssl web portal
edit [Nom_portail]
set host-check {none|av|fw|av-fw|custom}
set host-check-interval <secondes>
end
config vpn ssl web host-check-software
show

18/02/2016
303
Sécuriser les accès : Restriction des IPs hôtes
• Par défaut, tous les IPs sont autorisées à se connecter
Pas tous les hôtes externes ont besoin de se connecter
Des hôtes spécifiques peuvent être spécifiés
• La liste complète peut être déniée en CLI
Tous les IPs sont autorisées exceptées celles listées
config vpn ssl setting
set source-address-negate [enable|disable]
set source-address6-negate [enable|disable]
end

18/02/2016
304
Moniteur SSL VPN
Utilisateur
mode Web
La colonne ‘sous-
session’ indique que
c’est un mode tunnel
Adresse IP SSL
VPN pour le
user fortinet

18/02/2016
305
VPN SSL règle De-Authentification
• La session pare-feu d’authentification est associée avec la session
tunnel VPN SSL
• Force l’expiration de la session d’authentification pare-feu, lorsque la
session tunnel VPN SSL est terminée
Empêche la réutilisation des règles de pare-feu SSL VPN (pas encore expirées) par un autre
utilisateur après que l’utilisateur initial ait terminé la session tunnel SSL VPN
• L’authentification SSL VPN n’est pas soumise au paramètre de timeout
de l’authentification pare-feu
Paramètre IDLE séparé pour le VPN SSL

18/02/2016
306
Portail et Bookmark
Sécuriser les accès VPN SSL
Monitorer les accès VPN SSL

18/02/2016
307
Configuration du VPN SSL
VPN SSL
Yassine MORSLI

18/02/2016
308
Plan
• Configurer les règles de sécurité et l’authentification pour le VPN SSL

18/02/2016
309
Etapes de configuration
1. Paramétrer des comptes utilisateurs et groupes
2. Configurer le portail
3. Configurer les paramètres VPN SSL généraux
4. Créer des règles de sécurité pour l’authentification
5. Créer des règles de sécurité pour le trafic vers le réseau interne

Alphorm.com Formation Fortinet UTM

Alphorm.com Formation Fortinet UTM

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Alphorm.com Formation Fortinet UTM

Similaire à Alphorm.com Formation Fortinet UTM (20)

Plus de Alphorm

Plus de Alphorm (20)

Dernier

Dernier (6)

Alphorm.com Formation Fortinet UTM