Alphorm.com Formation Fortinet UTM
-
Upload
alphormcom -
Category
Technology
-
view
13.580 -
download
129
Transcript of Alphorm.com Formation Fortinet UTM
18/02/2016
1
Formation Fortinet UTM alphorm.com™©
Formation L’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
2
Formation Fortinet UTM alphorm.com™©
Plan• Présentation du formateur
• Public concerné
• Connaissances requises
• Présentation du LAB
• Liens utiles
• Cursus de formation Fortinet
18/02/2016
3
Formation Fortinet UTM alphorm.com™©
Présentation du formateur
• Yassine MORSLI• Ingénieur Réseaux Systèmes et Sécurité
• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
� Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45
18/02/2016
4
Formation Fortinet UTM alphorm.com™©
Public concerné• Administrateurs Sécurité
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI
18/02/2016
5
Formation Fortinet UTM alphorm.com™©
Connaissances requises• Connaissances des protocoles TCP/IP
• Connaissances en Firewalling
• Connaissances sur la sécurité et les types d’attaques
• Notions en cryptologie
18/02/2016
7
Formation Fortinet UTM alphorm.com™©
Liens utiles• http://www.fortinet.com
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com
18/02/2016
8
Formation Fortinet UTM alphorm.com™©
Cursus de formation Fortinet
Fortigate –Fonctionnalités
de base
Fortigate –Fonctionnalités
avancées
FortiAnalyzer
FortiManager
Fortimail FortiWeb
FirewallingNSE 4
AdministrationNSE 5
MessagerieNSE 6
WAFNSE 6
18/02/2016
10
Formation Fortinet UTM alphorm.com™©
Découverte de la solution Fortigate
Introduction à l’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
11
Formation Fortinet UTM alphorm.com™©
Plan• Solution de sécurité traditionnelle
• Approche Fortinet
• Design de la plateforme
• Service d’abonnement FortiGuard
• Modes de fonctionnement
18/02/2016
12
Formation Fortinet UTM alphorm.com™©
Solutions de sécurité tradionnelles
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
Contrôle applicatif
IPS
VPN
18/02/2016
13
Formation Fortinet UTM alphorm.com™©
• Plusieurs systèmes indépendants pour faire face à une variété de menaces
Solutions de sécurité tradionnelles
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
Contrôle applicatif
IPS
VPN
18/02/2016
14
Formation Fortinet UTM alphorm.com™©
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
Contrôle applicatif
IPS
VPN
Et plus encore…
Approche Fortinet
18/02/2016
15
Formation Fortinet UTM alphorm.com™©
Approche Fortinet
Pare-feu
Antivirus
Antispam
Optimisation WAN
Filtrage Web
Contrôle applicatif
IPS
VPN
Et plus encore…
• Un seul équipement fournit unesolution de sécurité complète
18/02/2016
16
Formation Fortinet UTM alphorm.com™©
Design de la plateforme
Hardware
Purpose-driven hardware
FortiOS
Specialized operating system
Firewall AVWeb
FilterIPS …
Security and network-level services
FortiGuard Subscription Services
Automated update service
18/02/2016
17
Formation Fortinet UTM alphorm.com™©
Services d’abonnement Fortiguard• Requiert un accès Internet et un compte d’accès
• Service fourni par Fortiguard Distribution Network (FDN)
� La plupart des DataCenters sont situés en Europe, en Asie et en Amérique du nord
� Les Fortigate se connectent aux DataCenters situés dans leur zone horaire, mais l’accès est ajusté selon la charge des serveurs
• Mise à jour : Fortiguard Antivirus & IPS
� Update.fortiguard.net
� Port TCP 443 (SSL)
• Requêtes temps réel : Filtrage Web Fortiguard & Antispam
� Service.fortiguard.net
� Protocole propriétaire : UDP 53 ou 8888
18/02/2016
18
Formation Fortinet UTM alphorm.com™©
Modes de fontionnement
NAT• Fonctionne sur la couche 3 du
modèle OSI
• Adresse IP par interface
• Les paquets sont routés par IP
Transparent• Fonctionne sur la couche 2 du
modèle OSI : Switch ou pont
• Pas d’adresse IP par interface
• Pas de routage de paquets, forward uniquement
18/02/2016
19
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert� La différence entre l’approche traditionnelle et l’approche Fortinet
� Le schéma de la plateforme Appliance de sécurité Fortigate
�Service d’abonnement FortiGuard
� Les deux modes de fonctionnement des boitiers Fortigate
18/02/2016
20
Formation Fortinet UTM alphorm.com™©
Administration de l’équipement
Introduction à l’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
21
Formation Fortinet UTM alphorm.com™©
Plan• Paramètres d’administration par défaut
• Réinitialisation du compte admin
• Port console et méthodes d’administration
• FortiExplorer
18/02/2016
22
Formation Fortinet UTM alphorm.com™©
Paramètres par défaut• Interface ‘port1’ / ‘internal’, IP : 192.168.1.99/24
• Protocoles d’administration activés : HTTP, HTTPS, PING
• Serveur DHCP activé sur l’interface ‘port1’/’internal’� Ne concerne pas l’ensemble des modèles
• Login par défaut:� User : admin
� Password : (blanc)
• Les deux paramètres sont sensibles à la casse
• Il est important de modifier le mot de passe de l’équipement !
18/02/2016
23
Formation Fortinet UTM alphorm.com™©
Réinitialisation du compte adminUser : maintainer
Password : bcpb<numéro-de-série>
• Tous les modèles Fortigate et quelques autres boitiers Fortinet
• Après un redémarrage matériel (hard)
� Ne fonctionne pas après un redémarrage soft, pour des soucis de sécurité
• Les informations doivent être tapées durant les 15 à 30 premières secondes après le démarrage
• Uniquement via la console hard
� Requiert un accès physique à l’équipement
� Le compte admin maintainer peut être désactivé (en cas de règles de sécurité compliance restrictive)
config sys globalset admin-maintainer disableend
18/02/2016
24
Formation Fortinet UTM alphorm.com™©
Port console• Chaque boitier Fortigate est livré avec un câble console
• La connexion à la console requiert un émulateur de terminaux :
� PUTTY
� Tera term
• Les types des ports varient selon les modèles :
� Anciens modèles : port série
� Modèles récents :
• Port RJ-45 à port série
• USB2 à FortiExplorer
18/02/2016
26
Formation Fortinet UTM alphorm.com™©
FortiExplorer• Administrer les Fortigate/FortiWifi, FortiSwitch, FortiAP
� Accès GUI & CLI
• Compatible Windows, Mac OS, iPod, iPad, iPhone
� Consulter la liste des versions supportées sur la release note
� Disponible en téléchargement sur support.fortinet.com et sur Apple App Store
• Connexion en câble USB2
� Câble standard 30-pin
� Le FortiExplorer est requis pour administrer en console les boitiers disposants d’un port console en USB2
18/02/2016
28
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Accès à l’équipement par les paramètres par défaut
�Que faire en cas de perte du mot de passe admin ?
�Méthodes d’administration et accès Console
� FortiExplorer
18/02/2016
29
Formation Fortinet UTM alphorm.com™©
Compte admin et authentification
Introduction à l’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
30
Formation Fortinet UTM alphorm.com™©
Plan• Profils Administrateur : Permissions et Hiérarchies
• Authentification à deux facteurs
• Accès Admin : Source de confiance, Ports, Protocoles
• Interface IP
18/02/2016
36
Formation Fortinet UTM alphorm.com™©
Accès admin : Sources de confiance• Le Fortigate refusera les requêtes provenant de sources différentes des
IPs suivants :
18/02/2016
37
Formation Fortinet UTM alphorm.com™©
Accès admin : Ports• Les numéros de ports sont modifiables
• Il est recommandé d’utiliser les protocoles sécurisés
18/02/2016
38
Formation Fortinet UTM alphorm.com™©
Accès admin : Protocoles • Chaque accès administratif à une interface donnée s’active individuellement
� IPv4 & IPv6 séparés
� Les options IPv6 sont cachés par défaut
18/02/2016
39
Formation Fortinet UTM alphorm.com™©
Paramètres cachés par défaut• Quelques paramètres ne sont disponibles qu’en CLI (diagnose debug etc.)
• Quelques modules n’apparaissent pas sur la GUI (cachés)
� Les paramètres cachés ne sont pas désactivés
• Afficher/Cacher via :
� Le Widget sur le tableau de bord (paramètres élémentaires uniquement)
� La liste complète des paramètres via System �Config�Features
18/02/2016
40
Formation Fortinet UTM alphorm.com™©
Interface IP• En mode NAT, les interfaces sont adressables par IP
� Assignation manuelle
� Via DHCP
� Via PPPoE (CLI uniquement)
• A l’exception du mode one-arm
18/02/2016
41
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert� Les profils administrateurs
� L’authentification à double facteurs
� Les autorisation d’accès administrateur à l’équipement
� Les IP par interface
18/02/2016
42
Formation Fortinet UTM alphorm.com™©
Le Fortigate comme serveur DHCP
Introduction à l’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
43
Formation Fortinet UTM alphorm.com™©
Plan• Serveur DHCP
• Réservation d’IP
• Journaux DHCP
18/02/2016
45
Formation Fortinet UTM alphorm.com™©
Fortigate Serveur DHCP : Réservation d’IP• Permet de réassigner une adresse IP au même hôte
� Pour réserver, sélectionner l’IP ou choisir un bail DHCP existant
� Identifier le type de la réservation :
• Régulière (Ethernet)
• IPSec
� Le Fortigate utilise la MAC adresse de l’hôte pour assigner l’IP dans la table de réservation
18/02/2016
47
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Paramètre de serveur DHCP et Activation du service
�La réservation d’IP
�Consultation du journal DHCP
18/02/2016
48
Formation Fortinet UTM alphorm.com™©
Le Fortigate comme serveur DNS
Introduction à l’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
49
Formation Fortinet UTM alphorm.com™©
Plan• Fortigate Serveur DNS
• Comprendre les types des services DNS et les méthodes de résolution
• Configuration des zones DNS
18/02/2016
50
Formation Fortinet UTM alphorm.com™©
Fortigate Serveur DNS• Résout les requêtes DNS du réseau local
� Activé par interface
� Non recommandé pour la résolution DNS sur Internet
• Une seule base DNS peut être partagée par l’ensemble des interfaces du Fortigate
� Peut être séparée par VDOM
• Méthodes de résolution :
� Transfert au DNS Système : relaie les requêtes au serveur DNS suivant (paramétré dans les options DNS du système)
� Non récursive : Utilise uniquement la base DNS du Fortigate. Les requêtes non résolues sont dropées
� Récursive : Utilise la base DNS du Fortigate. Relaie les requêtes non résolues au DNS suivant paramétré dans les options DNS du système)
18/02/2016
51
Formation Fortinet UTM alphorm.com™©
Base DNS : Configuration• Ajout des zones DNS
� Chaque zone a son propre nom de domaine
� Format défini par la RFC 1034 et 1035
• Ajout des entrées DNS dans chaque zone
� Nom d’hôte
� Adresse IP à résoudre
� Types supportés
• Adresses IPv4 ou IPv6
• Name Server (NS)
• Canonical Name (CNAME)
• Mail exchange (MX)
• IPv4 (PTR) ou IPv6 (PTR)
18/02/2016
52
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Fortigate Serveur DNS
�Comprendre les types des services DNS et les méthodes de résolution
�Configuration des zones DNS
18/02/2016
53
Formation Fortinet UTM alphorm.com™©
Fichier de configuration et mise à niveau Firmware
Introduction à l’UTM Fortinet
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
54
Formation Fortinet UTM alphorm.com™©
Plan• Le fichier de configuration du Fortigate
• Mise à niveau du firmware
• Sauvegarde et restauration de configuration
18/02/2016
55
Formation Fortinet UTM alphorm.com™©
Fichier de configuration
• La configuration peut être exportée sur un fichier
� Cryptage du fichier optionnel
� Sauvegarde automatique disponible
• Lors de la fermeture de session
• Uniquement sur certains modèles
• Pour restaurer une configuration précédente, charger le fichier
� Provoque un redémarrage du boitier
18/02/2016
56
Formation Fortinet UTM alphorm.com™©
Format du Fichier de configuration
• Contient uniquement les paramètres modifiés et les paramètres importants (Taille du fichier réduite)
• L’entête contient les détails de l’équipement
� Les lignes qui suivent l’entête ne sont pas lisibles si le fichier est crypté
• Restauration de la configuration
� Cryptée : Même équipement + build + Mot de passe du fichier
� Non cryptée : Même modèle d’équipement requis
• Un build différent est possible si l’upgrade path est respecté
18/02/2016
57
Formation Fortinet UTM alphorm.com™©
Fichier de configuration par VDOM• Si les domaines virtuels (VDOMs) sont activés, vous pouvez sauvegarder les VDOMs
individuellement (sauvegarde partielle)
18/02/2016
58
Formation Fortinet UTM alphorm.com™©
Mise à niveau firmware (Upgrade)
1. Sauvegarder la configuration courante
2. Télécharger une copie du firmware
3. Accès physique à l’équipement, via interface web ou console
4. Lire la release note (upgrade path, bugs, informations)
5. Mise à jour
18/02/2016
59
Formation Fortinet UTM alphorm.com™©
Downgrade
1. Télécharger une copie du firmware
2. Accès physique à l’équipement, via interface web ou console
3. Lire la release note (le downgrade conservera-t-il la configuration ?)
4. Downgrade
5. Si nécessaire, restaurer le fichier de configuration compatible avec la version firmware
18/02/2016
61
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Comment sauvegarder la configuration du boitier
�Sauvegarde par VDOM
�Mise à niveau du firmware
�Downgrade de firmware
�Mise à niveau via FortiExplorer
18/02/2016
62
Formation Fortinet UTM alphorm.com™©
Comprendre les niveaux de Logs
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Journalisation et surveillance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
18/02/2016
63
Formation Fortinet UTM alphorm.com™©
Plan
• Comprendre les journaux de niveau de sévérité (log severitylevel)
18/02/2016
64
Formation Fortinet UTM alphorm.com™©
Journalisation et supervision
• La journalisation et le monitoring sontdes éléments clés dans la gestion du réseau» Monitorer le traffic réseau et Internet
» Traquer et identifier les problèmes
» Etablir les bases
18/02/2016
65
Formation Fortinet UTM alphorm.com™©
Niveau de sévérité des journaux
Emergency
Alert
Critical
Error
Warning
Notification
Information
Debug• Les Administrateurs définissent le niveau de gravité de journalisation
• Tous les messages associés au niveau de gravitévont être journalisés» Emergency = Système instable» Alert= Requiert une action immédiate» Critical = Fonctionnalité affectée» Error = Une erreur pouvant affecter une
fonctionnalité» Warning = Une fonctionnalité pourrait être affectée» Notification = Information sur un évènement normal» Information = Information générale sur le système» Debug = Debug de messages de journaux
18/02/2016
66
Formation Fortinet UTM alphorm.com™©
Types de bases de journaux
Syslog SNMP
Journalisation localeJournalisation distante
18/02/2016
67
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
• Niveau de sévérité des journaux
18/02/2016
68
Formation Fortinet UTM alphorm.com™©
Stockage des Logs
Journalisation et surveillance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
69
Formation Fortinet UTM alphorm.com™©
Plan• Identifier les options de stockage de journaux
18/02/2016
70
Formation Fortinet UTM alphorm.com™©
Stockage : FortiAnalyzer/FortiManager
• FAZ/FMG disposent d’une liste de boitiers à gérer• SSL – OFTP sécurisé utilisé pour crypter les communications
FortiAnalyzer/FortiManager
18/02/2016
71
Formation Fortinet UTM alphorm.com™©
FortiAnalyzer vs FortiManager• FortiAnalyzer : Stockage dédié aux journaux long terme
• FortiManager : Gestion centralisée de plusieurs boitiers Fortigate� Peut également stocker des journaux et générer des rapports
� Identique au FortiAnalyzer, excepté la limitation du stockage des journaux à 2GB/Jour
18/02/2016
72
Formation Fortinet UTM alphorm.com™©
FortiAnalyzer/FortiManager : Configuration
• Jusqu’à 3 équipements FortiAnalyzer/FortiManager séparés, configurable en CLI� Plusieurs boitiers peuvent être rajoutés pour des besoins de redondance
� La génération et l’envoi de journaux est gourmand en ressources
config log [fortianalyzer | fortianalyzer2 | fortianalyzer3] settingset status enableset server x.x.x.xend
18/02/2016
73
Formation Fortinet UTM alphorm.com™©
Comprendre la structure des Logs
Journalisation et surveillance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
74
Formation Fortinet UTM alphorm.com™©
Plan• Description des types et sous types de log
• Comprendre la structure des journaux
18/02/2016
75
Formation Fortinet UTM alphorm.com™©
Types et sous types• Traffic Log
� Forward : trafic autorisé/bloqué par les règles de pare-feu
� Local : trafic généré par le Fortigate, ou concerne directement le Fortigate
� Invalid : messages journaux de paquets considérés invalides
� Multicast : journalisation du trafic multicast
• Event Log
� System : Evènements liés au système
� User : évènements d’authentification
� Routeur, VPN, Optimisation WAN, Cache, Wifi
• Security Profile
� Par type de profil de sécurité (Antivirus, Filtrage Web, IPS, etc.)
18/02/2016
76
Formation Fortinet UTM alphorm.com™©
Structure et comportement• Divisé en 3 sections : Traffic Log, Event Log, Security Log
� Traffic Log � paquets destinés au boitier et traversant l’équipement
� Event Log � Evènements d’activité système et admin
� Security Log � Messages liés aux profils de sécurité sur le trafic traversant le boitier
• La plupart des évènements de sécurité sont consolidés dans Forward Trafic Log
� Consommation CPU réduite
� Exceptions : DLP, Scan d’intrusion (Log de sécurité seulement)
18/02/2016
77
Formation Fortinet UTM alphorm.com™©
Quels paramètres génèrent des Logs ?
• La journalisation est impactée par l’accélération du trafic
� Le trafic déchargé par le processeur NP n’est pas journalisé
• Peut désactivé l’accélération hardware
• Peut activé le journal des paquets NP (performances NP dégradées)
18/02/2016
78
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert• Types et sous types des journaux
• Structure des journaux et comportement
18/02/2016
79
Formation Fortinet UTM alphorm.com™©
Stockage : FortiCloud• Service d’abonnement
� Stockage long terme et reporting
� Un mois d’essai gratuit inclus avec Fortigate
18/02/2016
80
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert• Les différents périphériques de stockage des journaux
18/02/2016
81
Formation Fortinet UTM alphorm.com™©
Navigation dans les Logs
Journalisation et surveillance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
82
Formation Fortinet UTM alphorm.com™©
Plan• Décrire comment visualiser les messages de journaux
• Décrire comment rechercher et interpréter un journal
18/02/2016
84
Formation Fortinet UTM alphorm.com™©
Aperçu des messages de journaux (GUI) : Ajout de filtre
• Utiliser le paramètre de filtre pour afficher/cacher
� Réduction du nombre d’entrées de Logs affichés
� Les filtres sont par colonne
18/02/2016
85
Formation Fortinet UTM alphorm.com™©
Aperçu des messages de journaux (Raw)• Les champs dans chaque message sont disposés en deux sections
� Entête du Log : commun à tous les messages de Log
� Corps du Log
2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dl p pri=notice vd=root
policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190 src_port=1190 srcint=internal dst=“192.168.1.122” d port=80 dst_port=80 dst_int=“wan1” service=“https” status=“detected” hostname=“example.com”url=“/image/trees_pine_forest /”msg=“data leak detected(Data Leak Prevention Rule matched)” rulena me=“All-HTTP” action=“log-only” severity=1
18/02/2016
86
Formation Fortinet UTM alphorm.com™©
Aperçu des messages de journaux (Raw) : Entête
� Entête du Log
2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dl p pri=notice vd=root level=warning
18/02/2016
87
Formation Fortinet UTM alphorm.com™©
Aperçu des messages de journaux (Raw) : Corps
� Corps du Log
policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190 src_port=1190 srcint=internal dst=“192.168.1.122” d port=80 dst_port=80 dst_int=“wan1” service=“https” status=“ detected” hostname=“example.com”url=“/image/trees_pine_forest /”msg=“data leak detected(Data Leak Prevention Rule matched)” r ulename=“All-HTTP” action=“log-only” severity=1
18/02/2016
88
Formation Fortinet UTM alphorm.com™©
Aperçu des messages de journaux (CLI)exe log display
� D’abord paramétrer les filtres de journaux
exe log filter
FG60C # exe log display205 logs found.10 logs returned.1: date=2015-10-08 time=20:35:40 logid=0000000011 t ype=traffic subtype=forward level=warning vd=root srcip=10.16.20.41 srcport=535 01 srcintf="internal" dstip=172.16.50.111 dstport=18829 dstintf="wlan" dstssid="W ifi" sessionid=32617027 action=ip-conn user="guest" policyid=7 crsco re=10 craction=262144 crlevel=medium
FG60C # exe log filtercategory Category.device Device to get log from.dump Dump current filter settings.field Filter by field.ha-member HA member.max-checklines Maximum number of lines to check.reset Reset filter.start-line Start line to display.view-lines Lines per view.
FG60C # exe log filter
18/02/2016
89
Formation Fortinet UTM alphorm.com™©
Supervision des journaux• Superviser les Logs est un élément essentiel pour la protection du
réseau
• Trois moyens pour y parvenir :� Alertes mails
� Messages d’alerte de console
� SNMP
18/02/2016
90
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert• Vue des messages de journaux
• Moniteur, lecture et interprétation des messages de Log
18/02/2016
91
Formation Fortinet UTM alphorm.com™©
Alertes Email et paramètres de Logs
Journalisation et surveillance
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
92
Formation Fortinet UTM alphorm.com™©
Plan• Alertes Email
• Configurer les paramètres de journal
18/02/2016
93
Formation Fortinet UTM alphorm.com™©
Alertes Email• Envoi de notficiation lors de la détection d’un
évènement• Identifier le nom du serveur SMTP• Configurer au moins un serveur DNS• Jusqu’à trois destinataires
18/02/2016
94
Formation Fortinet UTM alphorm.com™©
Alertes Email : Configuration• Configurer d’abord le paramètre du serveur SMTP
• Envoyer à jusqu’à 3 destinatairesconfig system email-server
set type customset reply-to (email)set server (IP or FQDN)set port (connection port)set source-ip (interface-ip)set authenticate [enable | disable]set security [none | starttls | smtps]
end
18/02/2016
95
Formation Fortinet UTM alphorm.com™©
Console des messages d’alerte• Les messages d’alerte sont visibles sur un widget en GUI
� Les alertes peuvent être acquittées et supprimées de la liste
� Options de personnalisation des alertes
18/02/2016
96
Formation Fortinet UTM alphorm.com™©
Supervision SNMP
SNMP managerManaged device
SNMP agent Fortinet MIB
• Traps reçues par l’agent, envoyées au serveur SNMP• Configurer l’interface Fortigate pour l’accès SNMP• Compiler et charger les MIBs Fortigate sur le serveur SNMP• Créer des communautés SNMP pour autoriser les connexions
du Fortigate sur le serveur SNMP− SNMP v1/v2 : Texte en clair− SNMP v3 : Crypté
18/02/2016
97
Formation Fortinet UTM alphorm.com™©
Supervision SNMP : Configuration
� Le SNMP v3 offre une meilleure sécurité
18/02/2016
98
Formation Fortinet UTM alphorm.com™©
Configuration des paramètres de Log
� Plus il y a de logs, plus il y a de résolution d’IP
• Peut impacter sur les performances CPU
18/02/2016
99
Formation Fortinet UTM alphorm.com™©
Configuration des paramètres de Log : CLI
� Information de configuration (IP du serveur, nom de user, etc.) spécifique au stockage des Logs
18/02/2016
100
Formation Fortinet UTM alphorm.com™©
Configuration des paramètres de Log : Règle de sécurité
� La génération du journal de sécurité est déclenchée dans la règle de sécurité �
� L’option « Log Setting » défini ou sera stocké chaque Log �
18/02/2016
101
Formation Fortinet UTM alphorm.com™©
Ressources de journalisation• Plus le nombre de logs est important, plus le boitier sera gourmand en
ressources CPU, mémoire et espace de stockage
• Les profiles UTM génèrent des journaux d’évènement lorsqu’un trafic est détecté
• les journaux du trafic peuvent être abrégés pour libérer les ressources du pare-feu
config log settingset brief-traffic-format enabledend
18/02/2016
102
Formation Fortinet UTM alphorm.com™©
Journaux d’évènements : Paramètres� Non provoqués par le trafic passant au travers du boitier
18/02/2016
103
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert• Paramètres des journaux
• Ressources de journalisation
18/02/2016
104
Formation Fortinet UTM alphorm.com™©
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Monitoring des Logs
Journalisation et surveillance
Site : http://www.alphorm.comBlog : http://blog.alphorm.comForum : http://forum.alphorm.com
18/02/2016
105
Formation Fortinet UTM alphorm.com™©
Plan• Décrire comment opérer un Monitoring sur les journaux
18/02/2016
106
Formation Fortinet UTM alphorm.com™©
Moniteur des journaux
� Vue globale du nombre et type des journaux générés
� Zoom avant permet d’avoir une vue détaillée
18/02/2016
107
Formation Fortinet UTM alphorm.com™©
Moniteur graphique (GUI)
� Exemple : Moniteur des profiles de sécurité
• Inclus toutes les options de sécurité
� Moniteur AV
• Top activité virus
� Moniteur Web
• Top catégories Fortiguard bloquées
� Moniteur d’Application
• Applications les plus utilisées
� Moniteur d’Intrusion
• Attaques récentes
� Moniteur d’Email
• Statistiques de Spams
� Moniteur DLP & Archives
• Activité DLP
� Quota Fortiguard
• Usage du quota par utilisateur
18/02/2016
108
Formation Fortinet UTM alphorm.com™©
Page Status : Widgets personnalisés
� Les widgets disposent de paramètres pour afficher diverses informations
• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun affichant une option d’information différente
18/02/2016
109
Formation Fortinet UTM alphorm.com™©
Page Status : Tableau de bord personnalisé� Plusieurs tableaux de bord par défaut
• Widgets inclus configurés pour fournir différents types d’information
• Peuvent être ajouté/modifié/supprimé
• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun affichant une option d’information différente
• La disposition du tableau de bord et des widgets est une préférence des administrateurs
18/02/2016
110
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert• Moniteur
• Lecture et interprétation des messages de Log
18/02/2016
111
Formation Fortinet UTM alphorm.com™©
Les règles de sécurité
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
112
Formation Fortinet UTM alphorm.com™©
Plan• Comprendre le fonctionnement des règles de sécurité
• Concordance des règles de sécurité� Adresse IP source, périphérique, utilisateur
� Interface ou Zone
• Ordonnancement des règles de sécurité
18/02/2016
113
Formation Fortinet UTM alphorm.com™©
Qu’est-ce que les règles de sécurité ?• Les règles de sécurité définissent :
� A quel trafic elles correspondent
� Comment traiter le trafic correspondant
• Lorsqu’un paquet d’une nouvelle session arrive, le Fortigate vérifie les règles correspondantes� La première règle dans l’ordre d’affichage
correspondant au paquet est exécutée
� Du haut vers le bas
• Deny Implicite� S’il n’y a aucune règle correspondant au paquet,
ce dernier sera dropé par le Fortigate
18/02/2016
114
Formation Fortinet UTM alphorm.com™©
Règles de sécurité
Interfaces Source et Destination
Périphériques Source et Destination
Services
Horaires
Action = ACCEPT
Authentification
UTM QoS
Logging
18/02/2016
115
Formation Fortinet UTM alphorm.com™©
Liste des règles : Vue par section• Policy � Policy � IPv4
• Liste les règles par paires d’interfaces source/destination
18/02/2016
116
Formation Fortinet UTM alphorm.com™©
Liste des règles : Vue globale• Lorsqu’une règle dispose de multiples interfaces source/destination ou
ANY
18/02/2016
117
Formation Fortinet UTM alphorm.com™©
Ordonnancement des règles• En CLI, pour identifier une règle, utiliser l’ID de la règle au lieu du numéro de
séquence
• En GUI, glisser déplacer la règle à l’aide de la souris
config firewall policymove <policy_id> {before | after} <policy_id>end
18/02/2016
118
Formation Fortinet UTM alphorm.com™©
Composants et types de règles• Les objets
� Interfaces/Groupes d’interfaces
� Adresses/Utilisateurs
� Services (port et protocole)
� Horaires
� NAT
� Profiles de sécurité
• Types� IPv4, IPv6
� Proxy Explicit
� DoS
� Multicast
18/02/2016
119
Formation Fortinet UTM alphorm.com™©
Destination
interface
Source
interface
• Interface d’arrivée (source) : Interface / Zone réceptionnant le trafic• Interface de sortie (destination) : Interface / Zone de destination du trafficZone : Group logique d’interfaces
Interfaces vs. Zones
18/02/2016
120
Formation Fortinet UTM alphorm.com™©
Concordance par source• Au moins une adresse source doit être spécifiée
• En option, l’un ou les deux éléments suivants :
� Utilisateur source
� Device source
• Adresse source – Objet d’adresse IP
• Utilisateur source – Utilisateur ou groupe d’utilisateur, peut faire référence à :
� Compte utilisateurs firewall local
� Compte utilisateurs distant (exp. Active Directory)
� FSSO
� Certificat personnel (PKI)
• Device source – périphérique identifié ou défini manuellement
� Activer l’identification des périphériques sur l’interface source
18/02/2016
121
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert� Concordance des paquets et des règles de sécurité
� Comment le Fortigate défini la correspondance du trafic
18/02/2016
122
Formation Fortinet UTM alphorm.com™©
Identification des périphériques
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
123
Formation Fortinet UTM alphorm.com™©
Plan• Notions de périphériques et Fortigate
• Aperçu des périphériques sur l’interface de configuration
• Mode Agent vs. Sans agent
18/02/2016
124
Formation Fortinet UTM alphorm.com™©
Identification des périphériques• Type de périphérique source – l’identification des périphériques est
activée sur l’interface source de la règle
18/02/2016
125
Formation Fortinet UTM alphorm.com™©
Identification des périphériques : Agent vs. sans agent
• Techniques d’identification
• Sans agent� Empreintes TCP
� Adresse MAC
� Agent utilisateur HTTP
� Requiert une connectivité directe au Fortigate
• Avec agent� Utilisation du Forticlient
� Indépendant de la localisation et de l’infrastucture
18/02/2016
126
Formation Fortinet UTM alphorm.com™©
Identification des périphériques : Liste des périphériques (GUI)
• User&Device � Devices � List
18/02/2016
127
Formation Fortinet UTM alphorm.com™©
Identification des périphériques : Liste des périphériques (GUI)
• Les périphériques sont indexés par MAC et identifiés à partir de sources multiples
18/02/2016
128
Formation Fortinet UTM alphorm.com™©
Identification des périphériques : Liste des périphériques Forticlient (CLI)
• Les périphériques enregistrés par le Forticlient peuvent être identifiés par leur UID
18/02/2016
129
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�La gestion des périphériques sur le Fortigate
18/02/2016
130
Formation Fortinet UTM alphorm.com™©
Contrôle des postes de travail
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
131
Formation Fortinet UTM alphorm.com™©
Plan• Profils de configuration Forticlient
• Gestion des Forticlient par Fortigate
18/02/2016
132
Formation Fortinet UTM alphorm.com™©
Contrôle des postes• Le Fortigate peut contrôler les paramètres du Forticlient via les profils
• Le pare-feu restreint les clients dotés de Forticlient
• Nécessite l’activation du paramètre FCT-Access sur l’interface du Fortigate
18/02/2016
133
Formation Fortinet UTM alphorm.com™©
Contrôle des postes• Les Forticlient sont enregistrés sur le Fortigate
18/02/2016
134
Formation Fortinet UTM alphorm.com™©
Contrôle des postes• Les Forticlient ajoutés à la liste des devices
18/02/2016
136
Formation Fortinet UTM alphorm.com™©
Contrôle des postes• Les paramètres du profil Forticlient téléchargés sur le device enregistré
18/02/2016
137
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�La gestion des postes de travail via Forticlient
18/02/2016
138
Formation Fortinet UTM alphorm.com™©
Concordance des règles
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
139
Formation Fortinet UTM alphorm.com™©
Plan• Comprendre les éléments de concordance des paquets avec les règles
de sécurité
• Comment sont traités les paquets ?
18/02/2016
140
Formation Fortinet UTM alphorm.com™©
Correspondance par objet source• Contrôle de correspondance des paquets par adresse source, utilisateur,
et type de Device
18/02/2016
141
Formation Fortinet UTM alphorm.com™©
Correspondance par objet destination• Identique au match à la source, les objets adresses peuvent être de type
IP ou FQDN
� Les requêtes DNS sont utilisés pour résoudre les FQDN
• L’objet « région géographique » définit les adresses par IPS
� La base est mise à jour périodiquement par le FortiGuard
18/02/2016
142
Formation Fortinet UTM alphorm.com™©
Correspondance par Horaire• Les règles s’appliquent uniquement durant un temps/jour spécifique
� Exemple : Appliquer moins de restriction en dehors des horaires de travail
� La planification par défaut (Always) s’applique tout le temps
� Récurrent
• S’applique de façon récurrente durant un jour ou plusieurs jours de la semaine
� One-time
• S’applique une seule fois
18/02/2016
143
Formation Fortinet UTM alphorm.com™©
Correspondance par service
Protocol and port
Packet
Protocol and port
Firewall Policy
=
• Les services déterminent les protocoles de transmission et les numéros de port
• Peuvent être pré-définis ou personnalisés• ALL correspond à tous les ports et protocoles• Le service web-proxy est également disponible si
l’interface source est défini en tant que web-proxy
18/02/2016
144
Formation Fortinet UTM alphorm.com™©
Usage des objets• Permet un changement rapide des paramètres
• La colonne référence montre si l’objet est utilisé
� Lié directement à l’objet référencé
18/02/2016
145
Formation Fortinet UTM alphorm.com™©
Comment les paquets sont traités : Etape 1
• Phase 1 – Entrée� Filtre Déni de service (DoS)
� Vérification de l’intégrité des paquets
� Tunnel IPSec
� NAT de destination
� Routage
18/02/2016
146
Formation Fortinet UTM alphorm.com™©
Comment les paquets sont traités : Etape 2
• Phase 1 – Entrée� Filtre Déni de service (DoS)
� Vérification de l’intégrité des paquets
� Tunnel IPSec
� NAT de destination
� Routage
• Phase 2 – Inspection à état� Trafic de gestion
� Vérification des règles
• Session tracking
• Session helpers
• SSL VPN
• Authentification utilisateurs
• Traffic shaping
18/02/2016
147
Formation Fortinet UTM alphorm.com™©
Comment les paquets sont traités : Etape 3
• Phase 1 – Entrée� Filtre Déni de service (DoS)
� Vérification de l’intégrité des paquets
� Tunnel IPSec
� NAT de destination
� Routage
• Phase 2 – Inspection à état� Trafic de gestion
� Vérification des règles
• Session tracking
• Session helpers
• SSL VPN
• Authentification utilisateurs
• Traffic shaping
• Phase 3 – Scan UTM� Inspection Flow-based
• IPS
• Contrôle applicatif
• Filtrage mail
• Filtrage web
• Antivirus
� Inspection Proxy-based
• Inspection VOIP
• DLP
• Filtrage mail
• Filtrage web
• Antivirus
• ICAP
18/02/2016
148
Formation Fortinet UTM alphorm.com™©
Comment les paquets sont traités : Etape 4
• Phase 1 – Entrée� Filtre Déni de service (DoS)
� Vérification de l’intégrité des paquets
� Tunnel IPSec
� NAT de destination
� Routage
• Phase 2 – Inspection à état� Trafic de gestion
� Vérification des règles
• Session tracking
• Session helpers
• SSL VPN
• Authentification utilisateurs
• Traffic shaping
• Phase 3 – Scan UTM� Inspection Flow-based
• IPS
• Contrôle applicatif
• Filtrage mail
• Filtrage web
• Antivirus
� Inspection Proxy-based
• Inspection VOIP
• DLP
• Filtrage mail
• Filtrage web
• Antivirus
• ICAP
• Phase 4 – Sortie� IPSec
� NAT Source
� Routage
18/02/2016
149
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�La concordance des paquets avec les règle de sécurité
�Les étapes d’exécution de paquet sur le boitier Fortigate
18/02/2016
150
Formation Fortinet UTM alphorm.com™©
Journal et analyse
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
151
Formation Fortinet UTM alphorm.com™©
Plan• Activation de la journalisation sur les règles de sécurité
• Paramètres des tables de session
• Diagnostique des informations de session
18/02/2016
152
Formation Fortinet UTM alphorm.com™©
Traffic Logging
DenyAccept
Log Allowed Traffic Log Violation Traffic
config system settingset ses-denied-traffic enable
18/02/2016
153
Formation Fortinet UTM alphorm.com™©
Moniteur• Sessions actives, octets ou paquets par règle
• Policy&Objetcs > Moniteur > Politique Moniteur
18/02/2016
154
Formation Fortinet UTM alphorm.com™©
Table de sessions• Les sessions IP acceptées sont suivies sur la table des sessions
• Enregistre les informations d’état
� Adresses sources et destinations, paire de port, état, timeout
� Interface source et destination
� Action NAT, en source ou en destination
• Métrique de performance
� Sessions concurrentes maximum
� Nouvelles sessions par seconde
18/02/2016
155
Formation Fortinet UTM alphorm.com™©
TTL de sessions• La réduction de la durée de vie des sessions peut améliorer les performances
lorsque la table est pleine en coupant les sessions prématurément
• TTL par défaut
• Timers à état spécifiques
• Les timers peuvent être appliqués sur les règles et les objets, et avoir des précédences :
� Application Control List > Firewall Services > Firewall Policies > Global Sessions
config system session-ttlset default 3600end
config system globalset tcp-halfclose-timer 120set tcp-halfopen-timer 10set udp-idle-timer 60end
18/02/2016
158
Formation Fortinet UTM alphorm.com™©
diagnose sys session• La table de session indique les actions des règles
� Effacer tous les filtres précédents
� Paramétrer le filtre
� Afficher toutes les entrées correspondantes au filtre configuré
� Effacer toutes les entrées correspondantes au filtre configuré
diagnose sys session filter clear
diagnose sys session filter clear ?dport port de destinationdst adresse IP destinationpolicy id de la règlesport port sourcesrc adresse IP source
diagnose sys session list
diagnose sys session clear
18/02/2016
160
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Le moniteur des sessions
�La durée de vie des sessions
18/02/2016
161
Formation Fortinet UTM alphorm.com™©
Translation d’adresses IP
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
162
Formation Fortinet UTM alphorm.com™©
Plan• Choix entre le NAT central ou le NAT source sur une règle de sécurité
� Appliquer le NAT source avec IP pools (overload vs. One-to-one, port fixe et allocation de bloc de ports)
• Configurer les NAT de destination avec les VIPs ou les serveurs virtuels
18/02/2016
163
Formation Fortinet UTM alphorm.com™©
Translation d’adresses et de ports• Translation d’adresses IP – NAT
� Modification d’adresse au niveau de la couche IP du paquet
• Quelques protocoles comme HTTP disposent également d’adresses sur la couche applicative, requiers session helpers/proxy
� Translation d’adresse source – SNAT
� Translation d’adresse destination – DNAT
• Translation de ports – PAT� Modification du numéro de port au niveau de la couche IP du paquet
Adresse IP SourcePort Source
Adresse IP destinationPort destination
18/02/2016
164
Formation Fortinet UTM alphorm.com™©
Translation d’adresse IP (NAT)
10.10.10.1
11.12.13.14Règle de sécurité
NAT activéAdresse IP wan1: 200.200.200.200
Adresse IP source:10.10.10.1
Port source: 1025
Adresse IP destination:11.12.13.14
Port destination: 80
Adresse IP source:200.200.200.200Port source: 30912
Adresse IP destination:11.12.13.14
Port destination: 80
internal
wan1200.200.200.200
18/02/2016
165
Formation Fortinet UTM alphorm.com™©
NAT Dynamic IP Pool (Plage IP)
Règle de sécurité
NAT + Plage IP activésPlage IP wan1: 200.200.200.2-200.200.200.10
Adresse IP source:10.10.10.1
Port source: 1025
Adresse IP destination:11.12.13.14
Port destination: 80
Adresse IP source:200.200.200.2Port source: 30957
Adresse IP destination:11.12.13.14
Port destination: 80
10.10.10.1
internal
wan1
11.12.13.14
200.200.200.200
18/02/2016
166
Formation Fortinet UTM alphorm.com™©
Type de plage IP : One-to-One• Type par défaut : overload
• Type one-to-one associe une adresse IP interne à une IP de la plage sur la base du premier arrivé, premier servi
� La translation de port est désactivée
• Refuse la connexion s’il n’y a aucune adresse non allouée
18/02/2016
167
Formation Fortinet UTM alphorm.com™©
Type de plage IP : Plage IP à port fixe
• Le type : Range à port fixe, associe une plage d’IP interne à une plage externe
� La translation de port est désactivée
18/02/2016
168
Formation Fortinet UTM alphorm.com™©
Type de plage IP : Allocation de bloc de ports
• Le type allocation de bloc de ports assigne une taille de bloc & numéro par hôte pour une plage d’adresses IP externes
� Petit bloc 64 et un seul bloc
� En mode overload
18/02/2016
169
Formation Fortinet UTM alphorm.com™©
Règle de sécurité
Adresse IP virtuelle de destination + NAT statiqueAdresse IP wan1: 200.200.200.200
Adresse IP source:11.12.13.14
Adresse IP destination:200.200.200.200
Port destination: 80
10.10.10.10
11.12.13.14
internal
wan1
La VIP translate la destination200.200.200.200 -> 10.10.10.10
IPs virtuelles
18/02/2016
170
Formation Fortinet UTM alphorm.com™©
IPs virtuelles
Règle de sécurité
Adresse IP virtuelle de destination + NAT statiqueAdresse IP wan1: 200.200.200.200
Adresse IP source:11.12.13.14
Adresse IP destination:200.200.200.200
Port destination: 80
10.10.10.10
11.12.13.14
internal
wan1
La VIP translate la destination200.200.200.200 -> 10.10.10.10
• Objets NAT en destination• NAT statique par défaut
» Peut être en mode “restricted” pour redirigeruniquement certains ports
• En CLI, l’option load-balance ou server-load-balance est disponible
• La VIP doit être routable sur l’interface externe(source) pour le retour de paquets
18/02/2016
171
Formation Fortinet UTM alphorm.com™©
Central NAT Table• Autorise la création de règles de NAT et la configuration du NAT
mapping par la table globale du pare-feu
• Contrôle la translation de port, au lieu que ce ne soit assignéautomatiquement par le système
18/02/2016
173
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Les mécanismes de translation d’adresses et de ports
18/02/2016
174
Formation Fortinet UTM alphorm.com™©
Inspection du trafic
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
175
Formation Fortinet UTM alphorm.com™©
Plan• Traffic Shapping
• Profils de sécurité
• Modes d’inspection
• Inspection SSL
18/02/2016
176
Formation Fortinet UTM alphorm.com™©
Traffic Shapping• La limitation du débit est configurable
� Bande passante entrante et sortante
• Chaque interface physique a 6 files d’attentes d’émission
• Le traffic shapping contrôle quelle règle dispose de la priorité la plus élevée lorsque une quantité de données importante traverse le boitier Fortigate
• Normalise les pics de trafic en priorisant certains flux par rapport à d’autres
18/02/2016
177
Formation Fortinet UTM alphorm.com™©
Traffic Shapping
Traffic Shapping partagé Traffic Shapping par IP
Bande passante garantie
Bande passante maximum
Bande passante garantie
Bande passante maximum
Bande passante garantie
Bande passante maximum
Bande passante garantie
Bande passante maximum
18/02/2016
179
Formation Fortinet UTM alphorm.com™©
Proxy vs. Flow : Scan Proxy-based• Le proxy transparent met les fichiers en mémoire tampon
• A la fin de la transmission, le Fortigate examine les fichiers
� Aucune action jusqu’à ce que le tampon soit plein ou l’action est terminée
• La communication se termine sur la couche 4
� Le proxy lance une connexion secondaire après le scan
18/02/2016
181
Formation Fortinet UTM alphorm.com™©
Proxy vs. Flow : Scan Flow-based• Le fichier est scané sur la base du flux TCP lorsqu’il transite via le
Fortigate
� Moteur IPS
• Plus rapide que le mode Proxy
• Utilise les mêmes signatures que le mode proxy
• Le trafic d’origine n’est pas altéré
18/02/2016
183
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Traffic Shapping
�Les mécanismes d’inspection du trafic
18/02/2016
184
Formation Fortinet UTM alphorm.com™©
Diagnostiques des règles de sécurité
Le Pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
186
Formation Fortinet UTM alphorm.com™©
Débogage des règles de sécurité• Comprendre le flux
� Entrant
� Sortant
� Action NAT source
� Action NAT destination
� VPN
� Inspection de contenu proxy/flow
• Quel est le problème ?� Lenteur/retard ?
� Timeout trop court ?
� Echecs de connexion ?
18/02/2016
187
Formation Fortinet UTM alphorm.com™©
Capture de paquets (CLI)• Utilisée pour trouver d’où un paquet arrive et par où le paquet sort
• Pour une visualisation sur Wireshark, convertir le rendu� Sauvegarder le rendu sur un fichier
� Script Perl sur la KB (ID article : 11186)
InterfaceUtiliser un nom physique ou logique
diag sniff packet interface ‘filter’ level
port1, lan, wan1, ‘any’
Level (1-6)1 : Afficher l’entête des paquets2 : Afficher l’entête et les données IP des paquets3 : Afficher l’entête et les données Ethernet4 : Afficher l’entête des paquets avec le nom d’interface5 : Afficher l’entête et les données IP avec le nom d’interface6 : Afficher l’entête et les données Ethernet avec le nom d’interface
18/02/2016
188
Formation Fortinet UTM alphorm.com™©
Capture de paquets : Exemples• Ne pas spécifier un hôte qui risque de change d’IP à cause du NAT
• Utiliser l’interface ‘any’ et un niveau de détail à 4 est le plus utilisé
• Exemples :
� IP
� ICMP
� TCP : Paquets avec le paramètre SYN flag
� FTP
• Connexion et données, FTP passif
• Connexion et données, FTP actif
• Si utilisation de SSH, ne pas sniffer vos propres paquets
diag sniff packet any ‘dst host 10.200.1.254’ 4
diag sniff packet any ‘dst host 10.200.1.254 and icmp’ 4diag sniff packet any ‘icmp[icmptype] !=0 and icmp[icmptype] !=8’ 4
diag sniff packet any ‘tcp[13]&2==2’ 4
diag sniff packet any ‘host 10.200.1.254 and (port21 or port ??)’ 4
diag sniff packet any ‘host 10.200.1.254 and (port21 or port 20)’ 4
diag sniff packet any ‘!port 22’ 4
18/02/2016
189
Formation Fortinet UTM alphorm.com™©
Capture de paquets (GUI)• Les paquets capturés sont automatiquement convertis en format
Wireshark
• Disponible sur les boitiers avec stockage interne (HD ou carte SMC)
18/02/2016
190
Formation Fortinet UTM alphorm.com™©
Flux des paquets• « diag debug flow » affiche les actions Fortigate au niveau des paquets
Diag debug flow show function enableDiag debug flow show console enableDiag debug flow filter addr 10.200.1.254Diag debug flow filter port 80Diag debug enableDiag debug flow trace start 20
18/02/2016
192
Formation Fortinet UTM alphorm.com™©
Combiner les traces de paquet et flux• Suivi des paquets à l’arrivée avec des actions FortiOS
• Mieux !� Paramétrer le debug flow, puis démarrer le sniffer
Fortigate # diagnose sniffer packet any ‘host 10.200.1.254 and port 80’ 4
interface=[any]filters=[host 10.200.1.254 and port 80]51.685869 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn347984709951.937927 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn197822972951.679653 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn347984709951.930621 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn1978229729
18/02/2016
193
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Traitement des paquets de débogage
�Moniteur GUI
�CLI
18/02/2016
194
Formation Fortinet UTM alphorm.com™©
Introduction au proxy web
Proxy Explicite
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
195
Formation Fortinet UTM alphorm.com™©
Plan• Activer le proxy web explicite sur le Fortigate
• Utilisation du fichier PAC et du WPAD pour configurer les navigateurs web avec plusieurs proxy web et exceptions
18/02/2016
196
Formation Fortinet UTM alphorm.com™©
Qu’est-ce qu’un Proxy ?• Le proxy redirige les requêtes pour les clients aux sites web
� Les réponses peuvent être mises en cache
� Si un cache existe, le proxy est un raccourci : réponds lui-même à partir du cache, ne redirige pas les requêtes au site web
• Deux connexions TCP1. Du client au Proxy
2. Du Proxy au serveur
ServerProxy HTTPClient
Connexion 1 Connexion 2
18/02/2016
197
Formation Fortinet UTM alphorm.com™©
Proxy Implicite (Transparent)• Ne requiert pas de changement de configuration du client
� Les requêtes envoyées à l’IP du serveur, pas au proxy
• Le proxy implicite intercepte les requêtes, même si l’IP de destination n’est pas l’IP du proxy
� Le proxy écoute sur les ports 80 et 443
10.0.0.50:80192.168.0.1:80192.168.0.2
Requêtes envoyé à10.0.0.50:80
Connexion 2
Requêtes envoyé à10.0.0.50:80au lieu de 192.168.0.2
Le client envoie des requêtes à l’IP du serveur+port, pas au
proxy
Le proxy intercepte
18/02/2016
198
Formation Fortinet UTM alphorm.com™©
Proxy Explicite• Le client envoie des requêtes à l’IP du proxy + Port, pas au site web
directement
• Les clients doivent être spécifiquement configurés
• Le proxy écoute les paquets sur sa propre IP+Port
� Habituellement 8080 ou 443
10.0.0.50:80192.168.0.1:80192.168.0.2
Requête envoyée à192.168.0.1:8080
Connexion 2
Requête envoyée à10.0.0.50:80
Le client envoie des requêtes à l’IP du
PROXY+port, pas au
serveur
18/02/2016
199
Formation Fortinet UTM alphorm.com™©
Comment configurer le navigateur• Pour utiliser le proxy explicite, le navigateur web doit être configuré
• 3 méthodes :
� Paramètres du navigateur
� Fichier PAC (Proxy Automatic Configuration)
� Découverte automatique du proxy web (WPAD)
18/02/2016
200
Formation Fortinet UTM alphorm.com™©
Paramètres du proxy du navigateur• Configuration manuelle des navigateurs avec une seule IP de proxy (ou FQDN)
et un numéro de port
• Des exceptions peuvent être configurées
� Autoriser certaines destinations à ne pas passer par le proxy
18/02/2016
201
Formation Fortinet UTM alphorm.com™©
Proxy Automatic Configuration (PAC)• Supporté pour plus d’un proxy
• Définit comment les navigateurs sélectionnent un proxy
� Habituellement stocké dans un des proxy
� Spécifie quel trafic sera envoyé à quel proxy
• Configurer chaque navigateur avec l’URL d’un fichier PAC
• Par défaut, le Fortigate peut héberger le fichier PAC à :
http://<IP_Fortigate>:<Port>/proxy.pac
18/02/2016
202
Formation Fortinet UTM alphorm.com™©
Exemple fichier PAC
function FindProxyForURL (url, host) {if (shExpMatch(url,"*.exemple.com/*")) {
return "DIRECT"; }if (shExpMatch(url,"*.exemple.com:*/*")) {
return "DIRECT"; }if (isInNet(host, "10.0.0.0", "255.255.255.0"))
{return "PROXY fastproxy.exemple.com:8080";
}return "PROXY proxy.exemple.com:8080; DIRECT";
}
Connexion à n’importe quel sous domaine/URL/Port de
exemple.com, n’utilise pas le
proxy
Connexion à 10.0.0.0/24
utilise : fastproxy.exemple.com:8080Par ailleurs, tout le trafic restant utilise :
proxy.exemple.com:8080
18/02/2016
203
Formation Fortinet UTM alphorm.com™©
Web Proxy Auto-Discovery Protocol (WPAD)• Le navigateur requête : « Où est le fichier PAC ? »
• Deux méthodes :
� Requête DHCP
� Requêtes DNS
• Habituellement, les navigateurs essaient d’abord la méthode DHCP
� Si échec, essaient la méthode DNS
� Quelques navigateurs supportent uniquement la méthode DNS
18/02/2016
204
Formation Fortinet UTM alphorm.com™©
WPAD méthode DHCP1. Le navigateur requête le serveur DHCP (DHCPINFORM)
2. La réponse informe l’URL du fichier PAC
3. Le navigateur télécharge le fichier PAC
4. Le navigateur accède au web via le proxy
Server web
Fortigate /fichier PAC
Server DHCP
1
2
3
4
18/02/2016
205
Formation Fortinet UTM alphorm.com™©
WPAD méthode DNS1. Le navigateur requête le serveur DNS pour la résolution
2. La réponse informe l’URL du fichier PAC
3. Le navigateur télécharge le fichier PAC
4. Le navigateur accède au web via le proxy
Server web
Fortigate /fichier PAC
Server DNS
1
2
3
4
wpad.<local-domain>
http://<pac-server>:80/wpad.dat
18/02/2016
206
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Qu’est-ce qu’un proxy web explicite ?
�Fichier PAC vs. WPAD
18/02/2016
207
Formation Fortinet UTM alphorm.com™©
Proxy cache
Proxy Explicite
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
208
Formation Fortinet UTM alphorm.com™©
Plan• Réduire l’utilisation de la bande passante WAN
• Améliorer la qualité de la réponse via le web cache
18/02/2016
209
Formation Fortinet UTM alphorm.com™©
Proxy avec cache web• Le proxy peut faire fonction de cache
� La fonctionnalité dépend du modèle du boitier
• Lors de la première requête, le cache conserve une copie temporaire du contenu web statique
• Les prochaines requêtes du contenu inchangé reçoivent les réponses du cache
• Améliore
� L’utilisation de la bande passante WAN
� La charge du serveur
� La qualité de la réponse perçue
18/02/2016
210
Formation Fortinet UTM alphorm.com™©
Cache web (Part 1)• Pour la première requête, la réponse n’est pas encore mise en cache
• Proxy :
� Obtient le contenu du serveur
� L’enregistre en mémoire si le contenu n’est pas dynamique
� Redirige la réponse au clientRéponse en cache ? Non
Premièrerequête
Contenu
Premièrerequête
Contenu
18/02/2016
211
Formation Fortinet UTM alphorm.com™©
Cache web (Part 2)• Pour les requêtes suivantes, la réponse est habituellement déjà en
cache
� Le proxy redirige une copie du cache vers le client
� Ne télécharge pas de contenu du serveur
� Le contenu dynamique est une exception : il change, le proxy le traite à chaque fois comme une première requête
Réponse en cache ? Oui
Deuxième requête
Contenu
18/02/2016
212
Formation Fortinet UTM alphorm.com™©
Proxy Explicite (Authentification)• « IP-Based »
� Les sessions IP à partir de la même adresse IP source sont traitées comme un seul utilisateur
� Non recommandé si plusieurs utilisateurs sont derrière un NAT source
• Partage d’accès Internet, Citrix, Terminal Serve, etc.
• « Session-based »� Les sessions HTTP sont traitées comme un seul utilisateur
� Peut différencier plusieurs clients derrière la même adresse IP source
� Après l’authentification, les navigateurs enregistrent les informations de l’utilisateur dans un cookie de session
� Chaque requête suivante contient le cookie de session
� Le cookie est conservé jusqu’à fermeture du navigateur ou suppression du cookie par le client
� Requiert plus de ressources
18/02/2016
213
Formation Fortinet UTM alphorm.com™©
Authentification par session
Navigateur web Proxy explicite FortigateUser
1. l’utilisateur démarre unenouvelle session
2. Navigateur démarre une nouvelle session avec proxy explicite
3. Le proxy explicite requiteune authentification
4. Le navigateur demande au client de s’authentifier
7. Navigateur envoie les comptesAu proxy explicite
6. Navigateur enregistre les informations d’authentification
5. l’utilisateur saisi les informations d’authentification
8. l’utilisateur démarre uneautre nouvelle session 9. Navigateur démarre une nouvelle
session avec proxy explicite
10. Proxy web explicite demandeune authentification
11. Navigateur envoie authentificationau proxy explicite
18/02/2016
214
Formation Fortinet UTM alphorm.com™©
Comment configurer le proxy explicite1. Activer le proxy web explicite de façon globale sur le boitier
2. Indiquer sur quelles interfaces le proxy web explicite va écouter
3. Modifier les règles de sécurité pour autoriser le trafic web proxy
4. Configurer chaque navigateur client pour se connecter via le proxy
18/02/2016
215
Formation Fortinet UTM alphorm.com™©
Afficher les paramètres de proxy explicite• Les paramètres de proxy web explicite sont cachés par défaut en GUI
18/02/2016
216
Formation Fortinet UTM alphorm.com™©
Activer le Proxy Web Activer le Proxy et le fichier PAC
Port découteTCP
Editer le fichier PAC
Action par défaut pour le trafic Proxy qui ne correspond à
aucune règle de sécurité
18/02/2016
217
Formation Fortinet UTM alphorm.com™©
Activer le Proxy Web sur l’interface• Spécifier quelle interface écouter pour les connexions Proxy
18/02/2016
218
Formation Fortinet UTM alphorm.com™©
Proxy explicite : règles de sécurité
Le trafic peut être inspecté
Le cache web est supporté sur
quelques modèles
18/02/2016
219
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Comment réduire l’utilisation de la bande passante via le cache ?
�Authentification IP-Based vs. Session-Based
�Configuration Proxy Web explicite
18/02/2016
220
Formation Fortinet UTM alphorm.com™©
Authentification Proxy
Proxy Explicite
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
221
Formation Fortinet UTM alphorm.com™©
Plan• Authentifier plusieurs utilisateurs web proxy qui partagent la même
adresse IP source
• Appliquer les règles Proxy avec des objets adresses URL
• Moniteur des utilisateurs Proxy
18/02/2016
222
Formation Fortinet UTM alphorm.com™©
Règle proxy explicite avec authentification
Action est Authentifié
Créer des règles d’authentifications
Sélectionner l’authentification IP ou
session
18/02/2016
223
Formation Fortinet UTM alphorm.com™©
Règles d’authentification Proxy explicite• Pas de fall-through, contrairement aux autres règles d’authentification
• Indépendamment du statut de l’authentification des utilisateurs, Fortigate utilise la première règle qui match:
� IP source
� IP destination
� Interface destination
• Ne passe pas aux règles suivantes après le premier match
18/02/2016
224
Formation Fortinet UTM alphorm.com™©
Exemple : Authentification Proxy Explicite• Règle #1 : utilisateurs dans 10.0.1.0/24 doivent s’authentifier
quotidiennement
� A chaque moment, le Fortigate vérifie si le trafic match avec la règle
• Règle #2 : autorise un accès non restreint à partir de 10.0.0.0/8, mais tant que 10.0.1.* match avec la règle #1, la règle #2 ne sera pas atteinte
18/02/2016
225
Formation Fortinet UTM alphorm.com™©
Utilisateurs invités (Guest Users)• Si un utilisateur n’appartient à aucun groupe utilisateur dans la règle, et
si strict-guest est désactivé, Fortigate les traite comme les membres du groupe SSO_guest_user
config web-proxy explicitset strict-guest disabled
end
18/02/2016
226
Formation Fortinet UTM alphorm.com™©
Modèle URL Type d’objets• Uniquement pour les règles Proxy Explicite
• Le Fortigate les compare à l’URL des requêtes HTTP GET
� /path/to/file
� N’inclue pas le hostname/IP, qui est dans le header HTTP Host
18/02/2016
227
Formation Fortinet UTM alphorm.com™©
Exemple : Objet adresse URL• L’authentification n’est pas requise pour accéder à l’FQDN
update.microsoft.com
18/02/2016
228
Formation Fortinet UTM alphorm.com™©
Méthode de configuration WPAD DNS (Part 1)• La méthode DNS doit résoudre le nom wpad.<domainelocal> à l’IP Proxy
Fortigate
• Dans la configuration Fortigate, un match (correspondance) requiert le nom du fichier PAC et l’utilisation du port 80:
config web-proxy explicitset pac-file-server-status enableset pac-file-server-port 80set pac-file-name wpad.dat
end
18/02/2016
229
Formation Fortinet UTM alphorm.com™©
Méthode de configuration WPAD DNS (Part 2)• De plus, si le Fortigate est lui-même serveur DNS, configurer le suffixe du
domaine local
18/02/2016
230
Formation Fortinet UTM alphorm.com™©
Moniteur des utilisateurs de Proxy• A partir de la GUI
� User&Device > Monitor > Firewall
� A partir de la ligne de commande (CLI)
� Pour supprimer tous les sessions d’authentification Proxy courantes
# diagnose wad user listStudent 10.0.1.10 id:40 VD:root, duration: 18
# diagnose wad user clear
18/02/2016
231
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Règles d’authentification Web Proxy
�Modèles d’objet URL
�Moniteur des utilisateurs Web Proxy explicite
18/02/2016
232
Formation Fortinet UTM alphorm.com™©
Méthodes d’authentification
Authentification
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
233
Formation Fortinet UTM alphorm.com™©
Plan• Expliquer l’authentification pare-feu
• Décrire les différentes méthodes d’authentification disponibles sur les équipements Fortigate
18/02/2016
234
Formation Fortinet UTM alphorm.com™©
Authentification• Confirme l’identité d’un utilisateur ou d’un device
• Une fois le user/device identifié par le Fortigate, le Fortigate applique la règle de sécurité correspondante pour autoriser ou interdire l’accès aux ressources réseau
18/02/2016
235
Formation Fortinet UTM alphorm.com™©
Méthodes d’authentificationLes méthodes d’authentification suivantes peuvent être utilisées :
• Authentification locale
• Authentification distante
• Authentification à deux facteurs
� Activé en seconde authentification, additionnelle à une authentification existante
� Requiert un élément connu (le mot de passe) et un élément en votre possession (le token)
18/02/2016
236
Formation Fortinet UTM alphorm.com™©
Authentification locale• L’authentification locale est basée sur les comptes utilisateurs locaux
stockés dans le Fortigate
� Pour chaque compte, un nom d’utilisateur et mot de passe est stocké
Nom d’utilisateur
et mot de passe
Fortigate
1
2
18/02/2016
237
Formation Fortinet UTM alphorm.com™©
Authentification distante• Les comptes sont stockés sur un serveur d’authentification externe
• Les administrateurs peuvent� Créer un compte utilisateur local et spécifier le serveur distant pour vérifier le mot de passe ou
� Ajouter le serveur d’authentification au groupe d’utilisateurs
• Tous les utilisateurs de l’objet serveur vont être membres de ce groupe
Nom d’utilisateur
et mot de passe
Fortigate
1
2
4OK
Nom d’utilisateur
et mot de passe
3
18/02/2016
238
Formation Fortinet UTM alphorm.com™©
Authentification distante - Protocoles
LDAPTACACS+POP3
DirectoryServices
FSSO,NTLMRADIUS
RSSORADIUS
Single Sign On
18/02/2016
239
Formation Fortinet UTM alphorm.com™©
Authentification distante - SSO• Les utilisateurs qui s’authentifient à un domaine peuvent tirer partie de
cette authentification pour s’authentifier sur le pare-feu
• Les utilisateurs saisissent leurs mots de passe une seule fois, et accèdent à plusieurs ressources réseau sans besoin de s’authentifier une nouvelle fois
• Grâce au Fortigate, le SSO peut être implémenté en utilisant l’une des deux méthodes suivantes :
� FSSO : Environnement de communication Fortinet pour collecter et rediriger les informations d’authentification des utilisateurs, au Fortigate
� RSSO : Environnement de communication pour envoyer les paquets RADIUS au Fortigate, contenant les évènements login, logoff
18/02/2016
240
Formation Fortinet UTM alphorm.com™©
Authentification distante – POP3• La plupart des protocoles d’authentification utilisent une combinaison
de nom d’utilisateur et mot de passe
� RADIUS, FSSO, etc.
• Les serveurs POP3 authentifient les utilisateurs sur la base de leur adresse email
� Utilisateur : jsmith@<domain>.com
� Mot de passe : <password>
18/02/2016
241
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Authentification
�Méthodes d’authentification
�Protocoles d’authentification
18/02/2016
242
Formation Fortinet UTM alphorm.com™©
Authentification à deux facteurs
Authentification
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
243
Formation Fortinet UTM alphorm.com™©
Plan
• Expliquer l’authentification à deux facteurs
18/02/2016
244
Formation Fortinet UTM alphorm.com™©
Authentification deux facteurs (2FA)• L’authentification à deux facteurs (2FA) est une authentification forte qui
garantie la sécurité en empêchant des attaques liées à l’utilisation des mots de passes statiques seuls
• 2FA nécessite deux moyens indépendants pour identifier un utilisateur :� Un élément connu : comme un mot de passe
� Un élément que vous possédez : un Token ou un certificat PKI
• En général, l’algorithme OTP (One-Time-Password) peut être basé sur le temps ou sur un évènement� OTP Fortinet est basé sur le temps (time-based) il est donc important d’utiliser l’horloge Fortigate pour
plus de précision
• Les codes Token sont time-based, par conséquent, n’apparaissent qu’une seule fois
18/02/2016
245
Formation Fortinet UTM alphorm.com™©
2FA – Mot de passe unique• FortiToken / FortiToken mobile :
� Chaque 60 secondes, le token génère un code à 6 caractères basé sur un seed unique et l’horloge GMT
• FortiToken matériel
• FortiToken mobile : disponible sur Android et iOS
• Méthodes alternatives
� Email : Un mot de passe unique est envoyé par email à l’utilisateur
� SMS : Un mot de passe unique est envoyé via email au fournisseur SMS de l’utilisateur.
18/02/2016
246
Formation Fortinet UTM alphorm.com™©
2FA – Tokens
246
SeedTime
080485
FortiGate
Token
Algorithm
SeedTime
080485
Algorithm
Same Seed
Same Time
2
1
4
3
Validation des informations
d’indentification
18/02/2016
248
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Authentification à deux facteurs
18/02/2016
249
Formation Fortinet UTM alphorm.com™©
Types et règles d’authentification
Authentification
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
250
Formation Fortinet UTM alphorm.com™©
Plan• Décrire les types d’authentification (active et passive)
• Créer des règles d’authentification
• Configurer un portail captif et les disclaimers
• Configurer les timeout d’authentification
18/02/2016
251
Formation Fortinet UTM alphorm.com™©
Types d’authentification• Active :
� L’utilisateur reçoit un prompt de login et doit entrer ses informations manuellement pour s’authentifier
� Utilisé avec LDAP, RADIUS, Local et TACACS+
• Passive :
� L’utilisateur ne reçoit pas de prompt de login et les informations d’authentification sont déterminées automatiquement
• Les méthodes varient selon le type d’authentification utilisé
� Utilisé avec FSSO, RSSO et NTLM
18/02/2016
252
Formation Fortinet UTM alphorm.com™©
Déclencheurs de l’authentification active• L’authentification utilisateur active est déclenchée via un des protocoles
suivants :� HTTP
� HTTPS
� FTP
� Telnet
• Le protocole d’authentification doit être autorisé par la règle avec l’authentification activée
• Tous les autres services ne seront pas autorisés jusqu’à ce que l’utilisateur soit authentifié la première fois avec succès via un des protocoles précédents
18/02/2016
253
Formation Fortinet UTM alphorm.com™©
Types d’authentification : ordres d’opération• Lorsque l’authentification active et passive sont activés, la première
méthode qui permet de déterminer le nom d’utilisateur est utilisée
• Si les informations d’authentification de l’utilisateur ne sont pas déterminées d’abord via la méthode passive, la méthode active est employée
18/02/2016
254
Formation Fortinet UTM alphorm.com™©
Règle de sécurité : Source
• Les règles de sécurité peuventinclurent les users ou groupes ensource
• Une authentification est réussielorsqu’un utilisateur saisie des informations correspondants à cellesspécifiées en source de la règle
? Règle Source
18/02/2016
255
Formation Fortinet UTM alphorm.com™©
Règle de sécurité : DNS• Le trafic DNS est permis grâce à une règle d’authentification même si
l’utilisateur n’est pas encore authentifié
� La résolution de nom est souvent requise pour recevoir le trafic HTTP/HTTPS/FTP/Telnet via lesquels un utilisateur peut actuellement s’authentifier
� Le service DNS doit être explicitement listé en tant que service dans la règle
18/02/2016
256
Formation Fortinet UTM alphorm.com™©
Combiner les règles• Activer l’authentification sur une seule règle ne force pas toujours un
prompt d’authentification
• 2 options :
� Activer l’authentification sur chaque règle qui pourrait matcher avec le trafic
� Activer un portail captif sur l’interface d’entrée du trafic
18/02/2016
257
Formation Fortinet UTM alphorm.com™©
Portail captif• Activer un portail captif sur une interface force la page
d’authentification à apparaitre lorsque un trafic d’authentification est reçu
Port1 Port2
Portail
captif
activé ici
18/02/2016
258
Formation Fortinet UTM alphorm.com™©
Portail captive : Exceptions• Si le portail captif est activé, mais vous ne souhaitez pas qu’il soit
appliqué pour quelques devices spécifiques…
� Imprimantes, fax, console de jeux peuvent ne pas être activés pour utiliser l’authentification active, mais nécessitent d’être autorisés par la règle de sécurité
#config firewall policy#edit <policy_id>#set captive-portal-exempt enable#end #config user security-exempt-list
#edit <list_name>#config rule#edit <rule_id>#set srcaddr <address_object>#next#end
18/02/2016
259
Formation Fortinet UTM alphorm.com™©
Disclaimer
#config firewall policy#edit <policy_id>#set disclaimer enable#end
• Affiche la pages des termes et accords
disclaimer avant que l’utilisateur ne
s’authentifie
• L’utilisateur doit accepter le disclaimer
pour poursuivre avec le processus
d’authentification
• L’utilisateur est dirigé vers la destination
originale (ou la page d’authentification)
Règle
18/02/2016
260
Formation Fortinet UTM alphorm.com™©
Modifier le Disclaimer• Tous les disclaimers n’ont pas besoin d’être identiques
� Le texte peut être modifié
� Des images peuvent être ajoutées (en HTML)
18/02/2016
261
Formation Fortinet UTM alphorm.com™©
Timeout d’authentification#config user setting#set auth-timeout-type [idle-timeout | hard-timeout | new-session]#end
• Le timeout spécifie combien de temps un utilisateur peut
rester idle avant qu’il ne soit obligé de s’authentifier une
nouvelle fois
• 5 minutes par défaut
• 3 options :
• Idle (par défaut) – il ne doit pas y avoir de trafic pour
la durée définie
• Hard – valeur absolue. L’authentification expire après
la durée définie
• Nouvelle session – si aucune session n’est créée
18/02/2016
262
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Types d’authentification
�Règles d’authentification
�Portail captif et disclaimer
�Timeout d’authentification
18/02/2016
263
Formation Fortinet UTM alphorm.com™©
Utilisateurs et groupes
Authentification
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
264
Formation Fortinet UTM alphorm.com™©
Plan• Décrire et configurer les utilisateurs et les groupes
� LDAP, RADIUS
� Fortigate
18/02/2016
265
Formation Fortinet UTM alphorm.com™©
Utilisateurs et groupe d’utilisateurs• Ajout d’utilisateurs à un serveur externe
� LDAP
� RADIUS
• Créer des utilisateurs et des groupes d’utilisateurs pour l’authentification pare-feu sur le Fortigate
18/02/2016
266
Formation Fortinet UTM alphorm.com™©
Vue d’ensemble LDAP• LDAP est un protocole d’application pour accéder et maintenir les
informations distribuées des serveurs d’annuaire
• La structure est semblable à un arbre
� Contient des entrées (objets) sur chaque branche
• Chaque entrée a un ID unique, le Distanguished Name (DN)
• Chaque entrée dispose également d’attributs
• Chaque attribut a un nom et un ou plusieurs valeurs
• Les attributs sont définis dans le schéma Active Directory
18/02/2016
267
Formation Fortinet UTM alphorm.com™©
Hiérarchie LDAP• L’arbre LDAP a généralement tendance à correspondre à la hiérarchie
de l’organisation du client
• La racine représente l’organisation elle-même, tel qu’elle est définie en tant que composant du domaine (dc), tels que :� dc=exemple, dc=com
• Des niveaux additionnels sont inclus : � C (country)
� OU (Organizational Unit)
� O (Organization)
• Les comptes utilisateurs ou groupes disposent généralement de noms d’éléments comme ‘uid’ (ID user) ou ‘cn’ (common name)
18/02/2016
268
Formation Fortinet UTM alphorm.com™©
Configuration de la requête LDAP
Nom d’attribut qui identifie chaque user
Branche parent où sont
localisés tous les users
Informations d’authentification d’un admin LDAP
18/02/2016
269
Formation Fortinet UTM alphorm.com™©
Test d’une requête LDAP• En CLI
• Exemple de résultat
#diagnose test authserver ldap <server_name> <user><password>
#diagnose test authserver ldap Lab jsmith fortinet
Authenticate ‘jsmith’ against ‘Lab’ succeeded!Group membership(s)CN=SSLVPN,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=comCN=TAC,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=com
18/02/2016
270
Formation Fortinet UTM alphorm.com™©
Vue d’ensemble RADIUS• Protocole standard qui fournit les services d’Authentification,
d’Autorisation et Accounting (AAA)
UserServeur
RADIUSFortigate
Accès - Requêtes
Accès - Accepté
ou
Accès - Rejeté
ou
Accès - Challenge
18/02/2016
271
Formation Fortinet UTM alphorm.com™©
Configuration RADIUS
Adresse IP ou FQDN du
serveur RADIUS
Le ‘secret’ doit correspondre à
la clé du serveur
18/02/2016
272
Formation Fortinet UTM alphorm.com™©
Tester les requêtes RADIUS• A partir de la CLI
• Les schémas supportés sont :
� chap
� pap
� mschap
� mschap2
#diagnose test authserver radius <server_name> <scheme><user> <password>
18/02/2016
274
Formation Fortinet UTM alphorm.com™©
Types de groups d’utilisateurs
Active
Directory RADIUSParis Visiteurs
Utilisateurs
locauxUtilisateurs
invitésFSSO RSSO
• Un groupe est d’un des 4 types : local, FSSO, Invité, RSSO• Les groups locaux fournissent un accès aux règles de sécurité qui requièrent une authentification• FSSO et RSSO sont utilisés pour l’authentification unique et silencieuse
18/02/2016
275
Formation Fortinet UTM alphorm.com™©
Types de groupes d’utilisateurs
• Plus communément utilisé dans les réseaux sans fils
• Les groupes invités contiennent des comptes temporaires
18/02/2016
276
Formation Fortinet UTM alphorm.com™©
Configuration des groupes d’utilisateurs
Sélectionner les utilisateurs
locaux
Sélectionner les serveurs
d’authentification distants contenant des
utilisateurs qui appartiennent au
groupe
18/02/2016
277
Formation Fortinet UTM alphorm.com™©
Configurer les règles de sécurité• Sur une règle de sécurité, la définition du trafic source peut inclure
l’adresse IP et/ou le compte utilisateur
18/02/2016
278
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Utilisateurs et groupes d’utilisateurs
�LDAP, RADIUS
�Fortigate
18/02/2016
279
Formation Fortinet UTM alphorm.com™©
Supervision des utilisateurs
Authentification
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
281
Formation Fortinet UTM alphorm.com™©
Moniteurs des utilisateurs
• Affiche les utilisateurs authentifiés, les groupes, la durée de connexion, les IP sources, la quantité de trafic envoyé, ainsi que le type d’authentification
• Utilisé également pour terminer une session d’authentification
18/02/2016
282
Formation Fortinet UTM alphorm.com™©
Moniteurs des utilisateurs via Event log• Une authentification réussie ne génère pas d’évènement de Log
� Journaux&Alertes > Evènement > User est principalement pour analyser le comportementutilisateurs entre le Fortigate et les serveurs distants (RADIUS, LDAP, etc.)
� Les détails de l’utilisateur sont intégrés dans la plupart des logs lorsque l’utilisateur estauthentifié
18/02/2016
284
Formation Fortinet UTM alphorm.com™©
Comprendre le VPN SSL Fortigate
VPN SSL
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
285
Formation Fortinet UTM alphorm.com™©
Plan• Comprendre et configurer les différents modes d’opération SSL VPN
18/02/2016
286
Formation Fortinet UTM alphorm.com™©
Virtual Private Networks (VPN)• Permet aux utilisateurs un accès distant à des ressources réseaux,
semblable à une connexion locale
• Utilisé lorsqu’il est nécessaire de transmettre des données privées dans un réseau public
• Fournit une connexion cryptée point à point, par conséquent les données ne peuvent être interceptées par des utilisateurs non autorisés
• Différentes méthodes de sécurité pour assurer que seuls les utilisateurs autorisés peuvent accéder au réseau privé
18/02/2016
287
Formation Fortinet UTM alphorm.com™©
FortiGate VPN
• Utilisé pour sécuriser les transactions Web
• Tunnel HTTPS créé pour transmettre des données applicatives de manièresécurisée
• Les clients s’authentifient sur une page Web sécurisée (Portail VPN SSL) sur le Fortigate
VPN
SSL VPN• Correspond pour les applications enréseau
• Tunnel sécurisé construit entre deuxboitiers hôtes IPSec
• Le VPN IPSec peut être construit entre un boitier Fortigate et la pluparts des périphériques compatibles IPSec
IPSec VPN
18/02/2016
288
Formation Fortinet UTM alphorm.com™©
SSL VPN – Mode Web
1. Connexion d’un utilisateur distant au portailVPN SSL (site web HTTPS)
2. Authentification utilisateur3. Le portail SSL VPN est présenté4. Accéder aux ressources sur le portail VPN SSL
via les raccourcis ou l’outil de connexion
18/02/2016
289
Formation Fortinet UTM alphorm.com™©
SSL VPN Tunnel Mode
1. Connexion d’un utilisateur distant au portailVPN SSL (site web HTTPS)
2. Authentification utilisateur3. Le portail SSL VPN est présenté4. Le tunnel est créé5. Accès aux ressources (Trafic IP encapsulé en
HTTPS)
18/02/2016
290
Formation Fortinet UTM alphorm.com™©
INTERNET
Mode tunnel – Split tunneling• Split tunneling désactivé :
� Tout le trafic IP est routé via le tunnel VPN SSL (inclus le trafic Internet)
� Le Fortigate devient la passerelle par défaut des host
• Split tunneling activé
� Seul le trafic destiné au réseau privé est routé via le tunnel SSL VPN
Réseauinterne
Mode tunnel
Split Tunneling activé
Split Tunneling désactivé
18/02/2016
291
Formation Fortinet UTM alphorm.com™©
Comment se connecter au SSL VPN tunnel• Via le navigateur
� Le portail Web VPN SSL affiche le status du contrôle ActiveX SSL VPN
� La page du portail SSL VPN doit rester ouverte pour que le tunnel puisse continuer à fonctionner
• Utiliser le VPN SSL Forticlient
� Le client doit rester fonctionnel durant la connexion au VPN
� Un nouveau adaptateur réseau virtuel fortissl est créé sur le poste client
• Le Fortigate assigne à l’adaptateur virtuel une adresse IP à partir du pool IP réservé
18/02/2016
292
Formation Fortinet UTM alphorm.com™©
SSL VPN : port forward• Le port forward est une extension du mode web qui simule le fonctionnement
du mode tunnel
� Option intéressante lorsque les clients n’ont pas les droits d’administrateurs pour installer le logiciel client
• Le port forward utilise un applet Java pour étendre le nombre d’applications supportées par le mode Web
� L’applet écoute les ports locaux sur les postes clients. Il crypte et redirige au Fortigate tout le trafic qu’il reçoit (similaire au mode tunnel)
� Des raccourcis spécifiques pour les utilisateurs sont créés et agissent comme un tunnel
• L’utilisateur doit configurer les applications sur l’ordinateur pour pointer sur le proxy local au lieu de pointer sur l’application Server
18/02/2016
293
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�VPN
�SSL VPN vs. IPSec VPN
�Mode Web et mode tunnel
�Port forwarding
�Méthodes de connexion au tunnel SSL VPN
18/02/2016
294
Formation Fortinet UTM alphorm.com™©
Options et sécurité VPN SSL
VPN SSL
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
295
Formation Fortinet UTM alphorm.com™©
Plan• Configurer les options VPN SSL, tel que les Bookmarks
• Configurer la sécurité additionnelle pour les accès VPN SSL
• Monitorer les utilisateurs VPN SSL connectés
18/02/2016
296
Formation Fortinet UTM alphorm.com™©
SSL VPN Access Modes
Mode Web
• Pas de soft client requis
(navigateur web
uniquement)
• Reverse Proxy pour
HTTP, HTTPS, FTP,
SAMBA (CIFS)
• Applets Java pour RDP,
VNC, TELNET, SSH
Mode Tunnel
• Requiert un logiciel
Fortigate spécifique à
télécharger sur le PC
(ActiveX ou Java applet)
• Requiert des privileges
admin/root pour installer
l’adaptateur du tunnel
niveau 3
Mode Port Forward
• Applet Java fonctionne
comme un proxy local
pour intércepter des ports
TCP spécifiques, puis les
chiffrer en SSL
• Téléchargé sur le poste
client et installé sans
besoin de privileges
admin
• L’application client doit
pointer vers l’Applet Java
18/02/2016
297
Formation Fortinet UTM alphorm.com™©
Bookmarks utilisateurs• La capacité de l’utilisateur à créer ses propres bookmarks est
activée/désactivée par l’administrateur sur le portail (par défaut activée)
• Les administrateurs peuvent afficher et supprimer les bookmarks utilisateurs à partir de la GUI, cependant, en CLI, il n’est possible que de créer les bookmarks
18/02/2016
298
Formation Fortinet UTM alphorm.com™©
Bookmarks utilisateurs – Configuration
• ‘apptype’ dispose de différents sous-paramètres
� Par exemple, « URL » pour « web », « répertoire » pour « ftp », etc.
• Les bookmarks portforwarding sont valables pour trois types spécifiques :
� Citrix
� Portforward
� rdpnative
config vpn ssl web user-bookmarkedit [Nom user]config bookmarksedit [Titre bookmark]set apptype [citrix|ftp|portforward|rdp|rdpnative|smb|ssh|telnet|vnc|web]set description [entrer une description]set sso [disable|auto]……end
18/02/2016
299
Formation Fortinet UTM alphorm.com™©
Bookmarks sur le portail• Les administrateurs peuvent ajouter des bookmarks sur les portails
• Les bookmarks seront disponibles pour tous les utilisateurs du portail
18/02/2016
300
Formation Fortinet UTM alphorm.com™©
Sécuriser les accès VPN SSL• Vérification de l’intégrité du client
• Restriction des adresses de connexion des hôtes
• Requiert des certificats spécifiques
• Authentification à deux facteurs
• Téléchargement de Forticlient
18/02/2016
301
Formation Fortinet UTM alphorm.com™©
Sécuriser les accès : vérification d’intégrité• Le Fortigate vérifie le système du client
� Compatible uniquement avec les clients Microsoft Windows
• Détecte les applications de sécurité du clients reconnues par le centre de sécurité Windows (Antivirus et Pare-feu)
• Vérifie le status des applications via GUID (identifiant unique)
• Détermine l’état des applications (active/inactive, numéro de version courante, mise à jour de signatures)
18/02/2016
302
Formation Fortinet UTM alphorm.com™©
Vérification d’intégrité : Configuration• Repose sur des solutions soft tiers pour assurer l’intégrité du client
• Vérifie si le bon logiciel est installé sur le PC, autrement la tentative de connexion VPN SSL est rejetée
• Configuration CLI :config vpn ssl web portal
edit [Nom_portail]set host-check {none|av|fw|av-fw|custom}set host-check-interval <secondes>
endconfig vpn ssl web host-check-software
show
18/02/2016
303
Formation Fortinet UTM alphorm.com™©
Sécuriser les accès : Restriction des IPs hôtes• Par défaut, tous les IPs sont autorisées à se connecter
� Pas tous les hôtes externes ont besoin de se connecter
� Des hôtes spécifiques peuvent être spécifiés
• La liste complète peut être déniée en CLI
� Tous les IPs sont autorisées exceptées celles listées
config vpn ssl settingset source-address-negate [enable|disable]set source-address6-negate [enable|disable]end
18/02/2016
304
Formation Fortinet UTM alphorm.com™©
Moniteur SSL VPNUtilisateur mode Web
La colonne ‘sous-session’ indique que
c’est un mode tunnel
Adresse IP SSL VPN pour le user fortinet
18/02/2016
305
Formation Fortinet UTM alphorm.com™©
VPN SSL règle De-Authentification• La session pare-feu d’authentification est associée avec la session
tunnel VPN SSL
• Force l’expiration de la session d’authentification pare-feu, lorsque la session tunnel VPN SSL est terminée
� Empêche la réutilisation des règles de pare-feu SSL VPN (pas encore expirées) par un autre utilisateur après que l’utilisateur initial ait terminé la session tunnel SSL VPN
• L’authentification SSL VPN n’est pas soumise au paramètre de timeout de l’authentification pare-feu
� Paramètre IDLE séparé pour le VPN SSL
18/02/2016
306
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Portail et Bookmark
�Sécuriser les accès VPN SSL
�Monitorer les accès VPN SSL
18/02/2016
307
Formation Fortinet UTM alphorm.com™©
Configuration du VPN SSL
VPN SSL
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
308
Formation Fortinet UTM alphorm.com™©
Plan• Configurer les règles de sécurité et l’authentification pour le VPN SSL
18/02/2016
309
Formation Fortinet UTM alphorm.com™©
Etapes de configuration1. Paramétrer des comptes utilisateurs et groupes
2. Configurer le portail
3. Configurer les paramètres VPN SSL généraux
4. Créer des règles de sécurité pour l’authentification
5. Créer des règles de sécurité pour le trafic vers le réseau interne
18/02/2016
310
Formation Fortinet UTM alphorm.com™©
Etape 1 : Comptes users et groupes• Le SSL VPN supporte les méthodes d’authentification suivantes :
� Authentification locale
� Authentification distante :
• LDAP
• RADIUS
• TACACS+
• POP3
• L’authentification à deux facteurs est également supportée
Nom d’utilisateur et mot de passe (un seul facteur)
+Code Token (deux facteurs)
18/02/2016
311
Formation Fortinet UTM alphorm.com™©
Etape 2 : Configurer le portail
Mode tunnel
Bookmarks
• Les portails fournissent un accès utilisateur aux ressources requises� Bookmark, mode tunnel, etc
18/02/2016
313
Formation Fortinet UTM alphorm.com™©
Etape 3 : Paramètres de connexionInterface de connexion au portail VPN
SSL
Numéro de port portail
web
Timeout de session fermée
Certificat présenté aux
clients
18/02/2016
314
Formation Fortinet UTM alphorm.com™©
Login VPN SSL vs. Login admin
• Par défaut, l’accès à l’interface d’administration du boitier et au portail VPN SSL utilisent le même port HTTPS
� Configuration valide
• L’accès admin peut ne pas être disponible via toutes les interfaces
• Le login VPN SSL peut ne pas être disponible via toutes les interfaces
• Si les deux utilisent le même port sur la même interface, seul le login au portail VPN SSL apparaitra
18/02/2016
315
Formation Fortinet UTM alphorm.com™©
Mode tunnel : Paramètres du client
Paramètre trafic DNS dans le
tunnel
Pool IP assigné au tunnel
18/02/2016
316
Formation Fortinet UTM alphorm.com™©
Etape 3 : Mappage au portail d’authentification
• La règle par défaut « All other Users/Groups » est requise
� Pour la règle par défaut, seul le portail peut être changé
18/02/2016
317
Formation Fortinet UTM alphorm.com™©
Etape 4 : Règles de sécurité à/de l’interface VPN SSL
• L’interface tunnel est appelée ssl.<vdom>� ‘root’ est le VDOM par défaut
� L’interface de sortie doit être l’interface d’écoute
18/02/2016
318
Formation Fortinet UTM alphorm.com™©
Exemple : Règle de sécurité
• ssl.root > wan1 active l’authentification utilisateur et le portail
• L’accès aux ressources via wan1 est également activé
edit 5set srcint ‘’ssl.root’’set dstint ‘’wan1’’set srcaddr ‘’all’’set dstaddr ‘’SSLVPN_TUNNEL_ADDR1’’set action acceptset schedule ‘’always’’set sevice ‘’ALL’’set groups ‘’Accountants’’ ‘’Students’’ ‘’Teachers’’set nat enable
next
wan1 internal
18/02/2016
319
Formation Fortinet UTM alphorm.com™©
Etape 5 : Règles pour le trafic vers le réseau interne
• Tout le trafic généré par l’utilisateur quitte l’interface ssl.<vdom>
• Appliquée au mode web et tunnel
edit 11set srcint ‘’ssl.root’’set dstint ‘’dmz’’set srcaddr ‘’SSLVPN_TUNNEL_ADDR1’’set dstaddr ‘’Mail_Server’’set action acceptset schedule ‘’always’’set sevice ‘’ALL’’set groups ‘’Accountants’’ ‘set nat enable
next
wan1 internal
edit 12set srcint ‘’ssl.root’’set dstint ‘’internal’’set srcaddr ‘’SSLVPN_TUNNEL_ADDR1’’set dstaddr ‘’Records_Server’’set action acceptset schedule ‘’always’’set sevice ‘’ALL’’set groups ‘’Accountants’’ ‘’Teachers’’set nat enable
next
DMZ
Exchange
StudentRecords
18/02/2016
321
Formation Fortinet UTM alphorm.com™©
Introduction au VPN IPSec
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
322
Formation Fortinet UTM alphorm.com™©
Plan• Définition des composants architecturaux du VPN IPSec
• Comparer le mode route (interface) et le mode tunnel
18/02/2016
323
Formation Fortinet UTM alphorm.com™©
Qu’est ce que le VPN ?• Appelé également « tunnels »
• Transmission des données privées sur des réseaux non sûrs
• Sécuriser les accès, comme pour le réseau local
� Autorise les accès
� Les clients externes obtiennent une adresse IP privée
� Cryptage
• Ne peuvent être lus / Altérés en cas d’interception
• Types
� PPTP
� L2TP
� VPN SSL
� IPSec
18/02/2016
324
Formation Fortinet UTM alphorm.com™©
IPSec VPN• Joindre des hôtes et réseaux distants en
un seul réseau privé
• Fournit� Authentification
� Intégrité des données (inviolables)
� Confidentialité des données (Cryptage)
Réseau privé
Emetteur
authentifié
Inviolable
Données
confidentielles
?
18/02/2016
325
Formation Fortinet UTM alphorm.com™©
Qu’est ce que le protocole IPSec• En fait, plusieurs protocoles
� AH fournit l’intégrité mais pas le cryptage… Bien que ce soit définit dans la RFC, n’est pas utilisé par le Fortigate
• Numéro de port/Encapsulation varient par NAT
18/02/2016
326
Formation Fortinet UTM alphorm.com™©
Mode règle vs. mode route• En général, les VPN en mode route, offrent :
� Un meilleur contrôle
� Plus de flexibilité
18/02/2016
327
Formation Fortinet UTM alphorm.com™©
Mode règle vs. mode route• Mode route (mode interface)
� Le trafic doit être routé vers l’interface virtuelle IPSec
� Deux règles de sécurité avec action ACCEPT sont requises
� Depuis FortiOS 5.2, créé par un assistant
• Les routes et les règles sont ajoutées automatiquement
• Mode règle (mode tunnel)
� Une règle avec action IPSec requise
� Masquée par défaut sur l’interface graphique. Pour l’afficher :
config system globalset gui-policy-based-ipsec enableend
18/02/2016
328
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Apports du VPN
�Comment fonctionne le VPN
�Numéros de ports et NAT
�Encapsulation
18/02/2016
329
Formation Fortinet UTM alphorm.com™©
Configuration VPN IPSec
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
330
Formation Fortinet UTM alphorm.com™©
Plan• Identifier les phases IKE
• Comparer les VPN policy-based et route-based
• Déployer un VPN site à site entre deux Fortigate
18/02/2016
331
Formation Fortinet UTM alphorm.com™©
Configuration via Assistant1. Choix du Template
� Paramètres Phase1 et Phase2 pré configurés
� Pour de multiples Phases2, terminer l’assistant, puis utiliser les paramètres avancés
2. Définir la clé partagée, l’interface de connexion et l’IP du boitier distant
3. Si en mode route (interface) définir les réseaux locaux et distants
� Routes et autoriser le trafic vers l’interface virtuelle IPSec
18/02/2016
333
Formation Fortinet UTM alphorm.com™©
Phase 11. Authentification des boitiers
� Exemple : clé partagée (sécurité moyenne) ou Signature (sécurité élevée)
2. Négociation d’une SA temporaire
� Dans la IKE v1, deux options possibles :
• Main mode : 6 paquets échangés
• Agressive mode : 3 paquets échangés
� Tunnel temporaire crypté pour DH
3. Échange Diffie-Hellman pour les clés
18/02/2016
334
Formation Fortinet UTM alphorm.com™©
NAT-Traversal• Détecte si des périphériques de NAT existent sur le chemin
� Si oui, le Fortigate applique l’encapsulation UDP 4500
� Recommandé si l’initiateur ou le responder est derrière un NAT
18/02/2016
335
Formation Fortinet UTM alphorm.com™©
Phase 21. Négociation de la SA
2. Lorsque le SA IPSec arrive à expiration, renégociation
3. Optionnellement, plus d’échanges Diffie-Hellman
� Si Perfect Forward Secrecy (PFS) est activé, une nouvelle clé commune secrète est recalculée en Quick Mode à chaque fois que la clé de session expire
� Même si l’ancienne clé est piratée, les nouveaux messages sont protégés
• Plusieurs phases 2 par phase 1
18/02/2016
336
Formation Fortinet UTM alphorm.com™©
Quick Mode Selectors• Si plusieurs phases 2 existent, rediriger le trafic vers la bonne phase 2
� Permet une sécurité granulaire pour chaque LAN
� Si le trafic ne match pas un selector IPSec, la session est coupée
� Dans les VPNs point à point, les selecteurs doivent matcher
• La source sur un Fortigate, est la destination sur le boitier distant
• Sélectionner quel SA appliquer :
� Adresses IP source et destination
� Numéro de protocole
� Ports source et destination
18/02/2016
340
Formation Fortinet UTM alphorm.com™©
2 règles de sécurité (Route-based)
Interface virtuelle IPSecmatch le nom de la Phase1
18/02/2016
341
Formation Fortinet UTM alphorm.com™©
Trafic de routage (Route-based VPN)
Sous réseau distant
Interface virtuelle
IPSec
18/02/2016
342
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�IKE & Diffie-Hellman
�Phase 1
�Phase 2
�Policy-based vs. Route-based VPN
�Comment configurer un VPN point à point
18/02/2016
343
Formation Fortinet UTM alphorm.com™©
Monitoring VPN IPSec
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
345
Formation Fortinet UTM alphorm.com™©
Moniteur VPN IPSec• Moniteur des tunnels VPN IPSec
� Arrêter et démarrer les tunnels
� Afficher les adresses, IDs Proxy, information de timeout
• La flèche verte indique que la négociation est réussie et que le tunnel est UP
• La flèche rouge indique que le tunnel est DOWN ou pas utilisé
18/02/2016
346
Formation Fortinet UTM alphorm.com™©
Exemple : Moniteur VPN IPSec
Nom Phase1
Durée de vie de la
clé
Quick mode selector local
Statut
18/02/2016
347
Formation Fortinet UTM alphorm.com™©
Déclencher un tunnel VPN
Route-based1. Route lookup : chercher
l’interface de sortie
• Si l’interface virtuelle Phase1 est UP, route via l’interface virtuelle : virtual
2. Policy lookup : paire d’interface
� Srcint=internal, dstintf=virtual
3. Si l’action est ACCEPT, les paquets sont cryptées
Policy-based1. Route lookup : chercher
l’interface de sortie
• Route par défaut via wan1
2. Policy lookup : paire d’interface
� Srcint=internal, dstintf=wan1
� Si l’action est IPSec, les paquets sont cryptées
• Le Phase1 Dialup match seulement si l’IP match la route
• diag vpn ike route list
� Si l’action est ACCEPT, les paquets sont envoyés en clair sur wan1
18/02/2016
349
Formation Fortinet UTM alphorm.com™©
Topologies VPN
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
351
Formation Fortinet UTM alphorm.com™©
Authentification (XAuth)• L’authentification Phase1 par clé partagée est généralement faible
• Xauth fournit plus de sécurité, spécialement pour les utilisateurs mobiles (username+password)
18/02/2016
352
Formation Fortinet UTM alphorm.com™©
Type de paires distantes• Adresse IP statique
� IP statique : prévisible
� Peut être l’initiateur ou le répondeur
• DNS dynamique� IP dynamique mais le domaine DNS est statique : la requête DNS est utilisée pour résoudre l’adresse IP
courante, rendant ainsi l’IP connue
� Peut être l’émetteur ou le récepteur
• Dialup� IP dynamique : non prévisible
� Peut être un initiateur, mais pas un répondeur – les initiateurs ne sauraient où envoyer les requêtes de connexion VPN
18/02/2016
353
Formation Fortinet UTM alphorm.com™©
Topologies VPN• Point à point
� Appelé également « site à site »
• Dialup (point à multi-points)
• Hub and Spoke
• Full Meshed (maillage complet)
• Partial Mesh (maillage partiel)
18/02/2016
354
Formation Fortinet UTM alphorm.com™©
VPN Dialup
Réseau privé
? IP de destination inconnue
Utilisateur mobile
IP destination connue,
Paramètre VPN
18/02/2016
355
Formation Fortinet UTM alphorm.com™©
Headquarters
Branch office
Branch office
Branch office
Branch office
Hub and Spoke
18/02/2016
358
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Xauth
�Paires statiques vs. Dynamiques
�Bénéfices des topologies VPN
18/02/2016
359
Formation Fortinet UTM alphorm.com™©
VPN Dialup
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
360
Formation Fortinet UTM alphorm.com™©
Plan• Déploiement d’un VPN Dialup entre deux Fortigate
• Déploiement d’un VPN Dialup entre un Forticlient & Fortigate
18/02/2016
361
Formation Fortinet UTM alphorm.com™©
Configuration : VPN Dialup• Sur chaque Fortigate, créer
1. Phase 1
2. Au moins une Phase 2
3. Règles de sécurité
4. Si nécessaire, des routes statiques et dynamiques pour les IPs VPN
• A noter:
� La configuration du routage n’est pas requise en mode VPN policy-based
� Route-based VPN requiert deux règles de sécurité : une dans chaque sens du trafic
� Policy-based VPN requiert une seule règle de sécurité (prend en charge les deux directions)
18/02/2016
362
Formation Fortinet UTM alphorm.com™©
Phase 1 - Hub
Passerelle distante doit être :
« Dialup User »
NAT Traversalest recommandési les utilisateurs
sont mobiles
Peer Option avec mode
‘’agressive’’ si deux ou plus VPN dialup
18/02/2016
363
Formation Fortinet UTM alphorm.com™©
Phase 1 - Hub (Suite)
Optionnellement, activer XAuth
18/02/2016
364
Formation Fortinet UTM alphorm.com™©
Phase 2 - Hub
Optionnellement, activer XAuth
Quick mode selector
0.0.0.0/0 pour matcher toutes
les adresses
18/02/2016
365
Formation Fortinet UTM alphorm.com™©
Assistant de configuration VPN Forticlient
• Simplifie la configuration des Phases 1 & 2 Forticlient
18/02/2016
367
Formation Fortinet UTM alphorm.com™©
VPNs redondants
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
368
Formation Fortinet UTM alphorm.com™©
Plan• Configuration du VPN redondant entre deux Fortigates
18/02/2016
369
Formation Fortinet UTM alphorm.com™©
VPNs redondants• Supportés uniquement dans le cas de VPN mode interface (route-
based)
• Si le tunnel VPN principal tombe, le Fortigate redirige le trafic via le tunnel secondaire
• Redondance partielle : Une paire a deux connexions
• Redondance complète : les deux paires ont deux connexionsSite distant Site Central
Wan1Wan1
Wan2
Site distant Site Central
Wan1 Wan1
Wan2 Wan2
18/02/2016
370
Formation Fortinet UTM alphorm.com™©
Configuration VPN redondant1. Ajouter une configuration Phase 1 pour chaque tunnel. Dead Peer
Detection (DPD) doit être activé des deux côtés
2. Ajoute au moins une Phase 2 pour chaque Phase 1
3. Ajouter une route statique pour chaque chemin. Utiliser la ‘’Distance’’ pour prioriser les routes primaires par rapport aux routes secondaires. (possibilité également d’utiliser le routage dynamique)
4. Deux règles de sécurité par interface IPSec, une pour chaque direction du trafic
Site distant Site Central
Distance=5
Distance=10
Distance=5
Distance=10
VPN primaire
VPN secondaire
18/02/2016
371
Formation Fortinet UTM alphorm.com™©
Configuration : VPN redondant FOS 5.2• Dans les anciennes versions d’OS, il n’était pas possible de sélectionner
plusieurs interfaces sur une règle de sécurité
• Avec FortiOS 5.2, après la fin de l’assistant, éditer la règle
• Cliquer sur l’icône ‘’+’’ et ajouter des interfaces d’entrées et sorties
18/02/2016
373
Formation Fortinet UTM alphorm.com™©
Troubleshooting
VPN IPSec
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
375
Formation Fortinet UTM alphorm.com™©
Troubleshooting• La plupart des connexions échouent en raison de mauvaise configuration
� Paramètres de mode (Main ou Agressive)
� Méthodes d’authentification
� Clés
• Exécuter la majorité des commandes de ‘’diagnose’’ sur le boitier répondeur et non pas l’initiateur
• Si le tunnel est UP, mais le trafic ne passe pas, utiliser ‘’exe ping’’ et ‘’exetraceroute’’
� Vérifier que les routes sur chaque pair est correcte
� Si le routage dynamique est utilisé, vérifier que les options sont configurées pour se propager via le
protocole de routage dynamique
18/02/2016
376
Formation Fortinet UTM alphorm.com™©
Troubleshooting• Commandes CLI pour les diagnostiques IPSec
• Le résultat peut être composé de plusieurs lignes, il est recommandé de l’enregistrer sous un fichier sur le disque
• Affiche les détails des négociations Phase 1 et Phase 2
diagnose debug resetdiagnose vpn ike log-filter ?diagnose debug application ike 255diagnose debug enable
18/02/2016
377
Formation Fortinet UTM alphorm.com™©
Diagnostic de flux de paquetsFGT # diagnose debug flow filter addr 192.168.255.254FGT # diagnose debug flow function enableFGT # diagnose debug flow show console enableFGT # diagnose debug flow trace start 10FGT # diagnose debug enable
id=36871 trace_id=1 msg=‘’vd-root received a packet(proto=1, 10.185.0.30:38926->192.168.255.254:8) from internal’’id=36871 trace_id=1 msg=‘’allocate a new session-0000004f’’id=36871 trace_id=1 msg=‘’find a route: gw-172.31.227.254 via wan1’’id=36871 trace_id=1 msg=‘’Allowed by Policy-1: encrypt’’id=36871 trace_id=1 msg=‘’enter IPSec tunnel-toHQ’’id=36871 trace_id=1 msg=‘’encrypted, and sent to 172.31.16.30 and to 172.31.224.125’’id=36871 trace_id=1 msg=‘’send to 172.31.227.254 via intf-wan1’’
Adresse IP du boitier distant
Les paquets sont cryptés
Et envoyés via le tunnel nommé
‘HQ’
18/02/2016
379
Formation Fortinet UTM alphorm.com™©
Antivirus
UTM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
380
Formation Fortinet UTM alphorm.com™©
Plan• Catégoriser les malwares
• Décrire les techniques antivirales Fortigate
• Différentier entre le scan Proxy et Flow
• Mise à jour antivirus via FortiGuard
• Inspection de contenu
18/02/2016
381
Formation Fortinet UTM alphorm.com™©
Malware• Un malware est une catégorie de logiciel capable de se copier de lui-même et a des effets néfastes
tel que corrompre le système ou détruire des données
• Virus
� Comportement calqué sur les virus biologiques
• Injecte du code dans les fichiers, comme les virus biologiques injectent leur ADN dans les cellules
• Ne requiert pas de permissions utilisateurs, ou bien ruse avec les utilisateurs pour obtenir une permission
• Infecte et se répand par lui-même
� Très petite taille
• Grayware
� La permission de l’utilisateur est requise pour l’installation
• Spyware, logiciels libres… etc.
� Taille variable
18/02/2016
383
Formation Fortinet UTM alphorm.com™©
Scan Antivirus
• Détecte et élimine les malwares en temps réel� Empêche la propagation des menaces
� Préserve la réputation de votre IP publique
• Scans :� HTTP
� FTP
� SMTP
� POP3
� IMAP
� Autres…
Antivirus
18/02/2016
384
Formation Fortinet UTM alphorm.com™©
Grayware
• Activé par défaut
• Techniquement pas un virus, un grayware reste un malware
� Détectable par scan antiviral
� Les actions antivirus sont appliquées
# config antivirus setting# set grayware { enable | disable }# end
18/02/2016
385
Formation Fortinet UTM alphorm.com™©
Scan Heuristic
Virus-like attribute
+ Virus-like attribute
+ Virus-like attribute
> Heuristic threshold
Suspect
18/02/2016
386
Formation Fortinet UTM alphorm.com™©
Scan Heuristic
Virus-like attribute
+ Virus-like attribute
+ Virus-like attribute
> Heuristic threshold
Suspect
• Recherche de codes se comportant comme un virus (Exemple : modification de register)
• Totalise les attributs des comportementssimilaires aux virus
• Si plus grand qu’au seuil, le fichier est suspicieux• Faux positifs possibles
18/02/2016
387
Formation Fortinet UTM alphorm.com™©
Scan Heuristic : Configuration
• Pass (par défaut)� Active le scan heuristic
� Log
� Autorise le fichier suspicieux
• Block� Active le scan heuristic
� Log
� Bloque les fichiers suspicieux
• Désactiver
# config antivirus heuristic# set mode {pass | block | disable}# end
18/02/2016
389
Formation Fortinet UTM alphorm.com™©
Analyse Proxy1. Le proxy de chaque protocole intercepte la connexion, bufferise le
fichier
2. Ne retransmet qu’à la fin du scan
� Plus grande latence perçue
3. Une fois la transmission complète, le scan examine le fichier
� Scan tout le fichier, jusqu’au maximum de la taille de la mémoire tampon
� Pas de faux positifs
4. Transmet le trafic sain et bloque le trafic malsain
� Peut notifier le client avec un message
18/02/2016
390
Formation Fortinet UTM alphorm.com™©
Analyse Flow1. Bufferise et transmet simultanément
� Les paquets ne sont pas retardés par le scan, à l’exception du dernier paquet
� Accélération ASIC
� Latence perçue moins importante
2. Si un virus est détecté, le dernier paquet est dropé, la connexion est réinitialisée
� Pas de page de blocage, jusqu’à ce que le client essaie de télécharger une nouvelle fois
18/02/2016
391
Formation Fortinet UTM alphorm.com™©
Gros fichiers : bloquer ou non ?• Plus grand que la mémoire tampon ? Ne peut être complètement scané
pour les virus
• Traitement ajusté
� Journaliser si le fichier est trop grand ? (Oui par défaut)
� Bloquer si le fichier est trop grand ? (Non par défaut)
# config firewall profile-protocol-options# edit <profile-name># set oversize [l-<model-limit>]# set oversize-log {enable | disable}# config {http | ftp | imap | mapi | pop3 | smtp}# set options oversize# end
18/02/2016
392
Formation Fortinet UTM alphorm.com™©
Mises à jour Fortiguard• Les mises à jour automatiques sont plus rapides
• Les mises à jour peuvent être téléchargées manuellement à partir du https://support.fortinet.com puis uploadé
18/02/2016
394
Formation Fortinet UTM alphorm.com™©
Options d’inspection SSL/TLS• Partielles
� Validation du certificat seulement (pas d’inspection de charge, les virus peuvent passer)
� Plus rapide
• Complète
� Le Fortigate représente la terminaison SSL/TLS (valide les certificats et inspecte la charge lors du déchiffrement)
� Plus lent, mais le contenu est scanné contre les virus
18/02/2016
395
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Quels sont les types de malware ?
�Scan antiviral heuristic et grayware
�Scan Proxy vs. Flow
�Scan du trafic chiffré
18/02/2016
396
Formation Fortinet UTM alphorm.com™©
Filtrage web
UTM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
397
Formation Fortinet UTM alphorm.com™©
Plan• Identifier les mécanismes du filtrage web Fortigate
• Choisir un mode de filtrage web approprié
• Créer des filtres URLs statiques
• Appliquer des profils filtrage web
18/02/2016
398
Formation Fortinet UTM alphorm.com™©
Filtrage web mode proxy• La solution filtrage web mode proxy intercepte les communications client
serveur
• Intercepte l’URL complète et fournit des pages de blocage personnalisables
• Gourmand en ressources, latence réseau plus importante que le mode flow
• Plus d’options d’inspection possibles
18/02/2016
399
Formation Fortinet UTM alphorm.com™©
Filtrage web mode flow• Solution non-proxy qui utilise le moteur IPS pour effectuer une inspection
• Débit de traitement plus rapide
• Inspecte l’URL complète
• Permet une personnalisation des messages de blocage
• Moins flexible que le mode proxy
� Actions URL limitées
� Pas tous les paramètres filtrage web disponibles
18/02/2016
400
Formation Fortinet UTM alphorm.com™©
Filtrage web mode DNS• Solution de proxy-DNS qui utilise les requêtes DNS pour décider des accès
• Les requêtes DNS sont redirigées vers les serveurs Fortiguard SDNS
• Requêtes très légères
• L’inspection SSL n’est jamais requise (DNS est en texte plein)
• Supporte seulement le filtrage URL et la catégorisation FortiGuard
• Pas de pages de blocage individuelles
18/02/2016
401
Formation Fortinet UTM alphorm.com™©
Configuration du mode d’inspection• Sélectionner le mode d’inspection dans le profil filtrage web
• Les ports des protocoles sont basés sur les paramètres sur le profil d’option de proxy
18/02/2016
402
Formation Fortinet UTM alphorm.com™©
Comparatif des différents modes• Mode Proxy
� Le trafic est mis en cache
� Supporte toutes les options de filtrage web
• Mode Flow� Débit plus rapide qu’en mode Proxy
� Les données ne sont pas mises en cache (lors de la transmission)
� Ne supporte pas toutes les options de filtrage web
• Mode DNS� Très léger (moins de consommation CPU et RAM)
� Moins granulaire que le mode flow et proxy (seulement le hostname et l’adresse IP)
� Ne supporte pas la plupart des options de filtrage des sites web
18/02/2016
403
Formation Fortinet UTM alphorm.com™©
Filtrage web static• Contrôle les accès web en autorisant ou bloquant des URLs
� Simple, caractères spéciaux ou expressions régulières peuvent être utilisées pour définir les modèles d’URL
� Si aucune URL ne correspond à la liste, va au prochain contrôle activé
� Les entrées dans la liste sont activées dans l’ordre
• Les actions filtrage URL statiques possibles sont :
� Autoriser
� Monitorer
� Bloquer
� Exempter
18/02/2016
404
Formation Fortinet UTM alphorm.com™©
Filtrage web par catégorie• Déclinées en plusieurs catégories et sous catégories
• La catégorisation change périodiquement selon l’évolution de l’Internet
• De nouvelles catégories et sous catégories sont développées et compatibles avec les mises à jour firmware
� Les anciens firmwares ont de nouvelles valeurs mappées aux catégories existantes
• Les actions FortiGuard possibles
� Autoriser
� Monitorer
� Bloquer
• Une connexion directe au FortiGuard et un contrat actif sont requis
� Période de grâce de 7 jours à l’expiration des services
� Un Fortimanager peut faire office de fournisseur de service FortiGuard pour les scénarios large déploiement
� Exempter
� Avertir
� Authentifier
18/02/2016
405
Formation Fortinet UTM alphorm.com™©
Filtrage web par catégorie
URL: www.mypage.com
Block
Allow
Monitor
Authenticate
Categories
Warning
www.mypage.com
18/02/2016
406
Formation Fortinet UTM alphorm.com™©
Filtrage web par catégorie : Configuration• Activé dans le profile filtrage web
� Sélectionner l’action en clique droit
� Un avertissement va s’afficher si le contrat a expiré
18/02/2016
407
Formation Fortinet UTM alphorm.com™©
Actions filtrage web par catégorie : Avertir
Action = Avertir (bouton droit en GUI)
Page d’avertissement filtrage web
18/02/2016
408
Formation Fortinet UTM alphorm.com™©
Actions filtrage web par catégorie : Authentifier
www.hackthissite.org
Marketing
18/02/2016
409
Formation Fortinet UTM alphorm.com™©
Actions URL : Autoriser, bloquer, monitorer• Ces actions sont disponibles pour le filtrage statique et se comportent
de la même façon que pour le filtrage par catégorie
• Autoriser
� Autorise le site web/catégorie et ne crée aucun évènement de Log
• Monitorer
� Autorise le site web/catégorie et crée un journal évènement
• Bloquer
� Le site web/catégorie n’est pas autoriser à passer
� Affiche une page de blocage et crée un journal évènement
18/02/2016
410
Formation Fortinet UTM alphorm.com™©
Profil filtrage web
• Le filtrage URL statique, le filtrageweb FortiGuard et d’autres options sont activés via les profils filtrageweb
• Le profil est par la suite appliqué à la règle de sécurité
� Tout trafic examiné par la règle de sécurité aura le filtrage d’URL appliqué
18/02/2016
411
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Aperçu filtrage web
�Types de filtrage web
�Filtrage URL static
�Filtrage web par catégorie
�Actions filtrage static et FortiGuard
18/02/2016
412
Formation Fortinet UTM alphorm.com™©
IPS applicative
UTM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
413
Formation Fortinet UTM alphorm.com™©
Plan• Choisir des signatures IPS appropriées
• Déterminer si les mises à jour IPS FortiGuard sont disponibles
• Paramétrer des signatures IPS personnalisées
18/02/2016
414
Formation Fortinet UTM alphorm.com™©
Exploits vs. Anomalies
Anomalie
• Peut être des erreurs/attackszero-day
• Détectées par des analyseurs de comportement
� Statistiques et heuristiques
• Exemples :
� DoS/Flood
� Commandes inappropriées du réseau
Exploits
• Une attaque connue, confirmée
• Détectée lorsque les paquets correspondent au modèle de signature :
� Filtres et signatures basées sur des modèles en GUI
� Similaire aux signatures antivirus
18/02/2016
415
Formation Fortinet UTM alphorm.com™©
Intrusion Prevention System
• Mise à jour via FortiGuard
• Détecte et bloque
� Exploits connus qui correspondent aux signatures
� Flood de traffic
� Erreurs réseau ou autres anomalies
Intrusion Prevention System
?
18/02/2016
417
Formation Fortinet UTM alphorm.com™©
Liste des signatures IPS
Les Logs vont noter l’action par :
Status=’’detected’’ ou Status=’’blocked’’ …
18/02/2016
418
Formation Fortinet UTM alphorm.com™©
Signatures personnalisées
Signatures prédéfinies
Signatures personnalisées
Attaquesconnues
0-day ouapplications
spéciales/rares
18/02/2016
419
Formation Fortinet UTM alphorm.com™©
Signatures personnalisées : Syntaxe
F-SBID(--KEYWORD VALUE)
Value
Valeur du paramètre qui correspond à la signature
Header
Toutes les signatures personnalisées requierent
le header F-SBID
Keyword
Identifie les paramètres
F-SBID(--KEYWORD VALUE)F-SBID(--KEYWORD VALUE)F-SBID(--KEYWORD VALUE)
18/02/2016
420
Formation Fortinet UTM alphorm.com™©
Signatures personnalisées : Exemples
F-SBID( --name "Ping.Death"; --protocol icmp; --data_size >32000; )
F-SBID( --attack_id 1842; --name "Ping.Death"; --protocol icmp; --data_size >32000; )
F-SBID( --name "Ping.Death"; --protocol icmp; --data_size >32000; )
F-SBID( --name "Block.HTTP.POST"; --protocol tcp; - -service HTTP; --flow from_client; --pattern "POST " ; --context uri; --within 5,context; )
F-SBID( --attack_id 1842; --name "Ping.Death"; --protocol icmp; --data_size >32000; )
18/02/2016
421
Formation Fortinet UTM alphorm.com™©
Configuration sonde IPS
1. Créer une signature personnalisée (si requis)
2. Ajouter les signatures/filtres à la sonde IPS
3. Sélectionner la sonde dans la règle de sécurité
Predefined signature
Predefined signature
Custom signature
SensorFirewall
Policy
18/02/2016
424
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert
�Attaques vs. Anomalies
�Signatures IPS FortiGuard
�Syntaxe des signatures personnalisées
�Configuration IPS
18/02/2016
425
Formation Fortinet UTM alphorm.com™©
Protection DoS
UTM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
426
Formation Fortinet UTM alphorm.com™©
Plan
• Configurer la protection contre les attaques DoS
18/02/2016
427
Formation Fortinet UTM alphorm.com™©
Attaques DoS
Web Server
Internet
• Les sessions des pirates consomment toutesles ressources
• Réduit les capacités / Désactive le serveurjusqu’à ce qu’il ne puisse plus répondre aux requêtes légitimes
• Les ISP doivent apporter une solution aux attaques
18/02/2016
428
Formation Fortinet UTM alphorm.com™©
Attaques DoS
Web Server
Internet
DoS Sensor
• Les règles DoS appliquent l’action lorsque le seuil est dépassé
§ Adresses source, adresses destination, ports, etc…
• Des sondes multiples peuvent détecterdifférentes anomalies
18/02/2016
431
Formation Fortinet UTM alphorm.com™©
Attaques TCP SYN Flood
Serveur Web
Internet
Table de connexion
• Les pirates innondent la cible avec des connexionsTCP/IP incomplètes – requête une connexion maisne confirme jamais la réception
• Le Fortigate agit comme un pseudo proxy TCP SYN et bloque les demandes de session flood
18/02/2016
432
Formation Fortinet UTM alphorm.com™©
ICMP Sweep
• Les pirates envoient des signaux ICMP pour identifier des cibles (tel des SONAR)
• Écoute des réponses
• Attaquent les IPs qui répondent
• IPS détecte plusieurs types de sweep ICMP
18/02/2016
434
Formation Fortinet UTM alphorm.com™©
Contrôle applicatif
UTM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
435
Formation Fortinet UTM alphorm.com™©
Plan• Choisir une signature contrôle applicatif qui sera déclenchée par un
trafic spécifique
• Mise à jour de la base de données contrôle applicatif via FortiGuard
• Configurer et appliquer les profils contrôle applicatif
• Traffic shaping
18/02/2016
436
Formation Fortinet UTM alphorm.com™©
Qu’est ce que le contrôle applicatif ?• Détecte et agit sur le trafic des applications réseau
� Facebook, Gmail, Skype, etc.
� Supporte plusieurs applications et catégories… inclut P2P
� Même si encapsulé par d’autres protocoles
• L’encapsulation chiffrée requiert l’inspection SSL/TLS/SSH
• Actions supportées
� Trafic shaping par IP et partagé
� Blocage
• Se base sur le moteur IPS
� Analyse Non Proxy
� Peut détecter même si les utilisateurs essaient de contourner via un Proxy externe
� Commence à la couche OSI niveau 2
18/02/2016
437
Formation Fortinet UTM alphorm.com™©
Détection des applications P2PPourquoi le trafic P2P est si difficile à détecter ?
• Les protocoles traditionnels (HTTP, FTP, …) ont une architecture client-serveurs
� Serveur unique à forte bande passante pour plusieurs clients
� Exige des numéros de ports prévisibles, la connaissance de l’emplacement du serveur pour le NAT, redirection de port, et règles de sécurité
• Les protocoles P2P (Bit-torrent, Skype, …) ont une architecture distribuée
� Chaque paire est un serveur avec une petite bande passante pour le partage
� Difficile de gérer plusieurs règles de sécurité
� Ne dépend pas de la redirection de ports, etc.
• Utilisent des techniques d’évasion pour contourner ces limitations
18/02/2016
438
Formation Fortinet UTM alphorm.com™©
Architecture Client-Serveur
• Traditionnellement» 1 Client
» 1 Serveur
» Numéro de port connu
» Facilement bloqué par les règles de sécurité
18/02/2016
439
Formation Fortinet UTM alphorm.com™©
Architecture Peer to Peer• Téléchargement Peer-to-Peer
» 1 Client
» Plusieurs serveurs
» Numéros de ports dynamiques
» Chiffrement dynamique
» Difficile à bloquer avec les anciennes technologies de pare-feu – exige des UTM sophistiqués
18/02/2016
441
Formation Fortinet UTM alphorm.com™©
Comment fonctionne le contrôle applicatif ?
?
• Compare le trafic aux modèles d’application connus• Reporte seulement les paquets qui correspondent
au modèle sélectionné• Scan non-Proxy… flow-based
• N’analyse pas les PC client pour les logiciels installés
18/02/2016
442
Formation Fortinet UTM alphorm.com™©
Mise à jour des signatures applicatives• Via IPS FortiGuard
• Des signatures applicatives additionnelles sont contenus dans la base de données IPS étendue
18/02/2016
443
Formation Fortinet UTM alphorm.com™©
Profile contrôle applicatif• Détecte les catégories
• Configure l’action du Fortigate
• Applique le profil via la règle de sécurité
18/02/2016
444
Formation Fortinet UTM alphorm.com™©
Ordres des opérations1. Le moteur IPS identifie l’application
2. Le contrôle applicatif applique l’action 2. Appliquer l’action de la catégorie
1. Applications
18/02/2016
445
Formation Fortinet UTM alphorm.com™©
Actions• Autoriser
� Continue avec le filtre suivant
� Pas de journal
• Monitor� Autorise mais journalise
� Intéressant pour une connaissance initiale du réseau
• Bloquer� Drop les paquets et journalise
• Réinitialiser� Envoie des connexions de réinitialisation au client, et journalise
• Traffic shaping� Limite de bande passante d’application et journalise
18/02/2016
446
Formation Fortinet UTM alphorm.com™©
Traffic shaping avec contrôle applicatif• Contrôle granulaire de l’utilisation de la bande passante
• Seul le trafic qui correspond aux signatures est optimisé
� N’interfère pas avec les autres applications sur le même port/protocole
� Utile pour la gestion des applications gourmandes en bande passante
• Peut appliquer différemment par IP source :
� Partagé – analyse chaque client derrière un NAT, applique des limites individuelles
• Petite baisse de performance
� Par-IP – applique une seule limite indépendamment du nombre de clients derrière le NAT
18/02/2016
447
Formation Fortinet UTM alphorm.com™©
Exemple : Traffic Shaping Youtube• L’action override s’applique avant celle de la catégorie globale
• Peut bloquer/limiter la bande passante de l’application
� Exemple : Chat OK, limiter les transfert de fichiers MP3
18/02/2016
448
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Comment fonctionne le contrôle applicatif
�Quand le contrôle applicatif est nécessaire ?
�Configurer un profile contrôle applicatif
�Actions, inclus le traffic shaping
18/02/2016
449
Formation Fortinet UTM alphorm.com™©
Conclusion de la formationL’UTM Fortigate
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
18/02/2016
450
Formation Fortinet UTM alphorm.com™©
Ce qu’on a couvert�Introduction à l’UTM Fortigate
�Journalisation et surveillance
�Le pare-feu
�Proxy explicite
�Authentification
�VPN SSL
�VPN IPSec
�L’UTM
18/02/2016
451
Formation Fortinet UTM alphorm.com™©
Suite
Fortigate –Fonctionnalités
de base
Fortigate –Fonctionnalités
avancées
FortiAnalyzer
FortiManager
Fortimail FortiWeb
FirewallingNSE 4
AdministrationNSE 5
MessagerieNSE 6
WAFNSE 6
18/02/2016
452
Formation Fortinet UTM alphorm.com™©
Fonctionnalités avancées
�Le routage
�La virtualisation de pare-feu (VDOM)
�Le mode transparent
�Les certificats
�La haute disponibilité (HA)
�Les outils de diagnostics
�Dimensionnement et support