I.

Introduction Pare-feu
Un pare-feu est parfois appel coupe-feu, garde-barrire, barrire de scurit, ou
encore firewall.

Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu est aussi
appel packet filter.

Un firewall ou pare-feu est un dispositif physique (matriel) ou logique (logiciel) servant

de systme de protection pour le rseau local.

Il peut galement servir dinterface entre plusieurs rseaux dentreprise afin de contrler
et ventuellement bloquer la circulation de donnes.

Le pare-feu permet de protger un rseau priv des attaques provenant dun rseau
public (ex : Internet).

Le firewall offre galement certains dispositifs pour protger des abus provenant de
lintrieur.

- Fonctionnement gnral

Pare-feu passerelle entre LAN et WAN.

Le pare-feu tait jusqu' ces dernires annes considr comme une des pierres
angulaires de la scurit d'un rseau informatique (il perd en importance que les
communications basculent vers le HTTP sur SSL, court-circuitant tout filtrage). Il permet
d'appliquer une politique d'accs aux ressources rseau (serveurs).

Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en

filtrant les flux de donnes qui y transitent. Gnralement, les zones de confiance
incluent Internet (une zone dont la confiance est nulle) et au moins un rseau
interne (une zone dont la confiance est plus importante).

Le but est de fournir une connectivit contrle et matrise entre des zones de diffrents
niveaux de confiance, grce l'application de la politique de scurit et d'un modle de
connexion bas sur le principe du moindre privilge.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le rseau en plusieurs
zones de scurit appeles zones dmilitarises ou DMZ. Ces zones sont spares
suivant le niveau de confiance qu'on leur porte.

Une DMZ (DMilitarised Zone) est une Zone qui contient des serveurs accessibles
Depuis Internet et le LAN : http, Mail, FTP
 - Intrts et limites du pare-feu

Avantages

Avec une architecture rseau cohrente, on bnficie d'une centralisation dans la

gestion des flux rseaux.

De plus, avec un plan d'adressage correct, la configuration du pare-feu est peu ou pas
sensible au facteur d'chelle (rgles identiques pour 10 comme 10000 quipements
protgs).

L'utilisation de la journalisation offre une capacit d'audit du trafic rseau et peut donc
fournir des traces robustes en cas d'incident, si le pare-feu n'est pas lui-mme une des
cibles.

Enfin le pare-feu permet de relcher les contraintes de mise jour rapide de

l'ensemble d'un parc en cas de vulnrabilit sur un service rseau : il est possible de
maintenir une certaine protection des quipements non vitaux au prix de la
dgradation du service avec la mise en place d'un filtrage.

Inconvnients

La capacit de filtrage d'un quipement dpend de son intgration dans le rseau

mais le transforme en goulet d'tranglement (capacit rseau et ressources du pare-
feu).

De par sa fonction, le pare-feu est un point nvralgique de l'architecture de scurit

avec de fortes contraintes de disponibilit. Il existe des solutions permettant la
synchronisation de l'tat des pare-feu, mais beaucoup de configurations reposent
encore sur un quipement unique.

Enfin une bonne gestion d'un pare-feu ncessite la comprhension des protocoles
filtrs surtout lorsque les interactions deviennent complexes comme dans les cas FTP,
 H323,...avec le transport de paramtres de connexion dans le segment de donnes.
De plus il apparat bien souvent des effets de bord lis aux diverses fonctions
(couches rseaux filtres, traduction d'adresses) et influences par l'ordre
d'application des rgles.

II. Principes du Filtrage

Selon l'quipement, des informations sont extraites des flux rseaux depuis une ou
plusieurs des couches 2 7 du modle OSI compares un ensemble de rgles de
filtrage. Un tat peut tre mmoris pour chaque flux identifi, ce qui permet en outre de
grer la dimension temporelle avec un filtrage en fonction de l'historique du flux.

- Filtrage simple de paquet

C'est la mthode de filtrage la plus simple, elle opre au niveau de la couche rseau et
transport du modle Osi. La plupart des routeurs d'aujourd'hui permettent d'effectuer du
filtrage simple de paquet. Cela consiste accorder ou refuser le passage de paquet d'un
rseau un autre en se basant sur :
- L'adresse IP Source/Destination.
- Le numro de port Source/Destination.
- Et bien sur le protocole de niveaux 3 ou 4.
Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages,
gnralement appeles des ACL (Access Control Lists).

Le premier problme vient du fait que l'administrateur rseau est rapidement contraint
autoriser un trop grand nombre d'accs, pour que le Firewall offre une relle protection.
Par exemple, pour autoriser les connexions Internet partir du rseau priv,
l'administrateur devra accepter toutes les connexions Tcp provenant de l'Internet avec un
port suprieur 1024. Ce qui laisse beaucoup de choix un ventuel pirate.

Enfin, ce type de filtrage ne rsiste pas certaines attaques de typeIP Spoofing / IP

Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS.

- Filtrage de paquet avec tat (dynamique)

L'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions
et des connexions dans des tables d'tats internes au Firewall. Le Firewall prend alors
ses dcisions en fonction des tats de connexions.

Dans l'exemple prcdent sur les connexions Internet, on va autoriser l'tablissement

des connexions la demande, ce qui signifie que l'on aura plus besoin de garder tous les
ports suprieurs 1024 ouverts. La solution consiste autoriser pendant un certain dlai
les rponses aux paquets envoys.

Tout d'abord, il convient de s'assurer que les deux techniques sont bien implmentes
par les Firewalls, car certains constructeurs ne l'implmentent pas toujours correctement.
Ensuite une fois que l'accs un service a t autoris, il n'y a aucun contrle effectu
sur les requtes et rponses des clients et serveurs. Enfin les protocoles maisons
utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage
dynamique n'aura pas connaissance du protocole.

- Filtrage applicatif (pare-feu de type proxy ou proxying

applicatif)

Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche
Application. Les requtes sont traites par des processus ddis, par exemple une
requte de type Http sera filtre par un processus proxy Http. Le pare-feu rejettera toutes
les requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique
que le pare-feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit
filtrer.

Le premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est
extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le
nombre de protocoles de niveau 7.

Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de
paquet avec tat, mais cela se paie en performance. Ce qui exclut l'utilisation d'une
technologie 100 % proxy pour les rseaux gros trafic.

Que choisir :

Tout d'abord, il faut nuancer la supriorit du filtrage applicatif par rapport la

technologie Stateful. En effet les proxys doivent tre paramtrs pour limiter le champ
d'action des attaquants, ce qui ncessite une trs bonne connaissance des protocoles
autoriss traverser le firewall.

Idalement, il faut protger le proxy par un Firewall de type Stateful Inspection. Il vaut
mieux viter d'installer les deux types de filtrage sur le mme Firewall, car la
compromission de l'un entrane la compromission de l'autre. Enfin cette technique
permet galement de se protger contre l'ARP spoofing.
 III. Types de Pare-feu
Les pare-feux sont un des plus vieux quipements de scurit informatique et ils ont t
soumis de nombreuses volutions. Suivant la gnration du pare-feu ou son rle
prcis, on peut les classer en diffrentes catgories.

- Pare-feu sans tat (stateless firewall) Filtre de paquets :

La dcision de filtrage est base uniquement sur les valeurs des champs de lentte IP
(adresse source/destination. Ports source/destination).
C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs. Il regarde
chaque paquet indpendamment des autres et le compare une liste de rgles
prconfigures.
Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu :

ACL pour Access Control List (certains pare-feux Cisco),

politique ou policy (pare-feu Juniper/Netscreen),

filtres,

rgles ou rules,
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte
des machines tats des protocoles rseaux ne permet pas d'obtenir une finesse du
filtrage trs volue.

- Pare-feu tats (stateful firewall) Filtre de contenu :

La dcision de filtrage est bas sur le contenu des informations reus (le nom dun site
web, le contenu dun site web, les commandes smtp etc..).
Certains protocoles dits tats comme TCP introduisent une notion de connexion.
Les pare-feux tats vrifient la conformit des paquets une connexion en cours.
Cest--dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du
prcdent paquet et la rponse un paquet dans l'autre sens.
Enfin, si les ACL autorisent un paquet UDP caractris par un quadruplet (ip_src,
port_src, ip_dst, port_dst) passer, un tel pare-feu autorisera la rponse caractrise par
un quadruplet invers, sans avoir crire une ACL inverse. Ceci est fondamental pour le
bon fonctionnement de tous les protocoles fonds sur l'UDP, comme DNS par exemple.
Ce mcanisme apporte en fiabilit puisqu'il est plus slectif quant la nature du trafic
autoris. Cependant dans le cas d'UDP, cette caractristique peut tre utilise pour
tablir des connexions directes (P2P) entre deux machines.

- Pare-feu applicatif Filtre hybride

La dcision est bas et sur lentte du paquet IP ,et sur le contenu.
Dernire gnration de pare-feu, ils vrifient la complte conformit du paquet un
protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul le
protocole HTTP passe par le port TCP 80.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme FTP, en mode passif, changent entre le client et le serveur des
adresses IP ou des ports TCP/UDP. Ces protocoles changent au niveau applicatif (FTP)
des informations du niveau IP (change d'adresses) ou du niveau TCP (change de
ports). Ce qui transgresse le principe de la sparation des couches rseaux.
Chaque type de pare-feu sait inspecter un nombre limit d'applications. Chaque
application est gre par un module diffrent pour pouvoir les activer ou les dsactiver.
La terminologie pour le concept de module est diffrente pour chaque type de pare-feu :
par exemple : Le protocole HTTP permet d'accder en lecture sur un serveur par une
commande GET, et en criture par une commande PUT. Un pare-feu applicatif va tre
en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu'
un nombre restreint de machines.

- Pare-feu identifiant
Un pare-feu ralise lidentification des connexions passant travers le filtre IP.
L'administrateur peut ainsi dfinir les rgles de filtrage par utilisateur et non plus
par adresse IP ou adresse MAC, et ainsi suivre l'activit rseau par utilisateur.
Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et
utilisateurs ralises par des moyens varis. Une autre mthode est l'identification
connexion par connexion (sans avoir cette association IP = utilisateur et donc sans
compromis sur la scurit) qui permet d'identifier galement sur des machines multi-
utilisateurs.
 IV. Les ACL liste de contrle daccs
Access Control List (ACL), liste de contrle d'accs en dsigne en scurit
informatique en rseau, une liste des adresses et ports autoriss ou interdits par
un pare-feu.

Une ACL est une liste dAccess Control Entry (ACE) ou entre de contrle d'accs
donnant ou supprimant des droits d'accs une personne ou un groupe.

- Utilit

Une liste d'accs va servir :

A supprimer des paquets pour des raisons de scurit.

A filtrer des mises jour de routage.

A filtrer des paquets en fonction de leur priorit.

A dfinir du trafic intressant pour des configurations spcifiques (NAT, ISDN,

etc.).

- Principe

Une liste d'accs, comportant une suite d'instructions de filtrage, va tre applique sur
une interface du matriel, pour le trafic entrant ou pour le trafic sortant. Il va falloir
appliquer une logique sur les interfaces en sortie ou en entre.

- ACL En rseau
Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou
de ports autoriss ou interdits par le dispositif de filtrage.

Les Access Control List sont diviss en trois grandes catgories, l'ACL standard, l'ACL
tendue et la nomme-tendue.
 L'ACL standard ne peut contrler que deux ensembles : l'adresse IP source et une
partie de l'adresse IP source, au moyen de masque gnrique.

L'ACL tendue peut contrler l'adresse IP de destination, la partie de l'adresse de

destination (masque gnrique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP,
etc.), le port source et de destination, les flux TCP, IP TOS (Type of service) ainsi que
les priorits IP.

L'ACL nomme-tendue est une ACL tendue laquelle on a affect un nom.

- Syntaxe des commandes des ACLs

La mise en uvre d'une ACL se droule en deux tapes :

- Cration de la liste, en plaant les instructions les unes aprs les autres suivies d'un
retour chariot.
- Application sur une interface en entre ou en sortie

Liste d'accs standard

- Commandes Standard De Configuration Des Listes D'Accs :

ip access-group {number | name [in | out]}

- Commande qui permet d'applique l'ACL sur une interface donne en paramtre :
access-class number | name [in | out]

-Ajouter une liste d'accs :

Router(config)#access-list numro-liste-accs {deny|permit} adresse-source [masque-
source] [log]

numro-liste-accs : identifier la liste laquelle appartient cette entre, c'est un

nombrecompris entre 1 et 99.

deny|permit:indique si cette entre autorise ou refuse le trafic pour cette adresse.

adresse-source : identifier l'adresse source IP.

masque-source :identifier quels bits du champ adresse sont concerns .Placez la

valeur 1 aux position indiquant ne pas considrer et la valeur 0 pour celles
devant tre imprativement suivies. Des caractres gnriques peuvent tre
utiliss.

Exemple :
Router(config)#show access-lists
Standart IP access list 1
Deny 204.59.144.0, wildcard bits 0.0.0.255
Permit any
Router #

Liste d'accs tendu :

Cette commande vous permet de crer une liste d'accs IP tendu :
Router(config)#access-list numro-liste-accs {deny|permit} protocole adresse-source
masque-source [oprateur port] adresse-destination masque-destination [oprateur port]
[established]

Dans cette commande :

Numro_liste_accs : identifie la liste par un nombre compris entre 100 et 199.
Permit | deny : indique si cette entre autorise ou refuse le trafic pour cette adresse.
Protocole : indique le type de protocole (IP, TCP, UDP, ICMP, GRP, ou IGRP).
Source et destination : identifient l'adresse IP source et destination.
Masque_source et masque_destination : placez la valeur 1 aux positions indiquant ne
pas considrer et la valeur 0 pour celles devant tre imprativement suivies. Des
caractres gnriques peuvent tre utiliss.

Oprateur et oprande prennent les valeurs suivantes :

lt (less than) ou (plus petit)

gt (greater than) ou (plus grand)

eq (equal) ou (gal)

neq (not equal) ou (non gal)*

established : autorise le trafic TCP si les paquets utilisent une connexion tablie.

Liste d'accs IP nomme :

On peut employer des listes d'accs IP nomme pour retirer des entres d'une liste
d'accs spcifique, ce qui permet de modifier une liste d'accs sans le dtruire et de
pouvoir le reconfigurer. Les listes d'accs nommes sont utilises lorsque :

-On veut identifier une liste d'accs en utilisant un nom alphanumrique.

-On dispose de plus de 99 listes d'accs simples ou de plus de 100 listes d'accs
tendues configurer pour un protocole donn.

Voici la commande :

Router(config)#ip access-list standard nom

Router(config-ext-nacl)#permit|deny

Exemple :
Router(config)# ip access-list extended filtrage
Router(config-ext-nacl)#permit tcp any 192.168.0.0 0.255.255.255 lt 1024
Router(config-ext-nacl)#deny udp any 192.168.0.0 0.255.255.255 eq 8080

Router(config)#ip access-list extended nom

Router(config-ext-nacl)#permit|deny

Activation d'une liste d'accs sur une interface :

Voici la commande :
Router(config-if)#ip access-group {numro-liste-accs|nom [in | out]}

Exemple :
Router(config)# interface serial0
Router(config-if)#ip access-group filtrage out
On utilise la commande numro-liste-accs pour lier une liste d'accs une interface
numro-liste-accs: reprsente le numro de la liste lier.
in | out : indique si la liste d'accs est applique l'interface d'entre ou en sortie.

Diagnostic :
On emploie la commande show pour des raisons de diagnostic comme c'est illustr dans
l'exemple suivant :
Router#show ip interface [type numro]
Router#show access-lists [numro-liste-accs|nom-liste-accs]
Router#show ip access-list [numro-liste-accs|nom-liste-accs]

Router#show access-lists
Standard IP access list 0 Extended IP access list filtrage
permit tcp any 192.168.0.0 0.255.255.255 lt 1024(0 matches)
deny udp any 192.168.0.0 0.255.255.255 eq 8080 (0 matches)
Router#show ip access-list filtrage
 V. Fortinet leader mondial UTM
- Prsentation
Fortinet conoit et commercialise des logiciels, quipements et services de cyber
scurit tels que des pare-feux, anti-virus, systmes de prvention dintrusion et de
scurit des terminaux.

Fortinet est le leader mondial selon l'institut IDC dans le segment des
Appliances UTM (Unified Threat Management - solution de scurit tout en un) avec plus
de 16,8 % de part de march dans le monde.

Fortinet est le leader du march en matire d'UTMs, offrant des solutions clefs en main
qui amliorent les performances, renforcent la scurit et rduisent les cots. Fortinet
scurise les rseaux de plus de 125.000 clients travers le monde. Les plus importantes
organisations internationales s'appuient sur la technologie Fortinet pour protger leurs
rseaux et donnes.

- Historique
Fortinet a t cre en 2000. 2004 a galement marqu le dbut dun litige rcurrent
entre Fortinet et Trend Micro. Tout au long des annes 2000, Fortinet a diversifi sa
gamme de produits en y intgrant des points daccs WiFi, une technologie de sandbox
(permet l'excution de logiciel avec moins de risques pour le systme d'exploitation) et
des solutions de scurit de la messagerie lectronique notamment.
Selon Fortinet, Son premier programme lintention du rseau de distribution en octobre
2003. Les produits FortiGate ont t distribus au Canada suivie par le Royaume-Uni.
En 2004, Fortinet tait dj prsente, via ses bureaux, en Asie, en Europe et en
Amrique du Nord. Le programme revendeurs a t rorganis en janvier 2006 sous le
nom de SOC in BOX .
En octobre 2005, une tude ralise a rvl que les quipements Fortinet taient
utiliss pour censurer Internet. Fortinet a dclar que ses produits taient vendus par des
revendeurs tiers.
Fortinet a procd une refonte de son programme revendeurs en juillet 2013, en y
intgrant des offres de financement et dautres services lintention des petits
fournisseurs de services de scurit manags. Rcemment, certains revendeurs se sont
plaints que Fortinet tait en concurrence avec ses propres revendeurs, alors que
lentreprise affirme ne procder aucune vente directe.
Fortinet a cr la Cyber Thread Alliance en 2014 pour permettre aux fournisseurs de
partager et mettre en commun leurs donnes sur les menaces de scurit.
McAfee et Symantec ont rejoint lalliance cette mme anne. Fin 2015, des chercheurs
en scurit Fortinet ont dmontr lexistence dun piratage de Fitbit via Bluetooth
permettant daccder aux dispositifs synchroniss avec les produits de la marque.
En juin 2016, Fortinet a pris le contrle dAccelOps, un diteur de logiciels de scurit, de
surveillance et de traitement analytique, la socit tait avant tout connue pour ses
produits SIEM (Security Information and Event Management), des produits qui analysent
les alertes et logs de scurit provenant dquipements et de logiciels.

- Lapproche Fortinet UTM

Les systmes de gestion unifie des menaces (UTM ou Unified Threat Management)
sont actuellement les outils les plus couramment utiliss de l'arsenal de scurit de
l'information. Le concept de gestion unifie des menaces (UTM ou Unified Threat
Management) est la mode. En effet, il propose de nombreuses technologies de scurit
intgres sur une seule plate-forme et fournies par un seul diteur.

Tous les spcialistes conviennent que les entreprises, quelle que soit leur taille, doivent
adopter une solide stratgie de protection de leurs systmes et donnes informatiques
en utilisant diffrentes technologies de scurit. En effet, les entreprises doivent
aujourd'hui faire face un nombre sans prcdent des menaces persistantes avances
et des attaques mixtes (par exemple, les virus et les chevaux de Troie, les
tlchargements passifs des sites compromis, les injections SQL et autres attaques sur
les applications Web ou encore surveiller les communications fil).
En rponse toutes ces menaces, les entreprises doivent tre capables d'implmenter
et de grer plusieurs technologies de scurit, un dfi difficile relever. Une solution est
de dployer plusieurs produits de diffrents diteurs. Toutefois, cette approche ncessite
non seulement d'installer et d'intgrer plusieurs solutions, mais aussi de se familiariser
avec plusieurs consoles d'administration de plusieurs diteurs.

Une autre solution est de dployer un systme de gestion unifie des menaces, c'est--
dire un ensemble de technologies de scurit intgres et implmentes sur une seule
plate-forme physique (ou dans le Cloud), avec une seule interface d'administration.

On distingue quelques avantage du systme UTM : Un dploiement simplifi avec

beaucoup moins d'tapes au niveau de l'installation et de la configuration. Et aussi une
administration facilite car il n'y a qu'une seule console d'administration et un seul
processus de mise jour. En plus une rsolution plus rapide des problmes car il y a
moins de possibilits de conflits entre les modules et le support est assur par un seul et
mme diteur. Et enfin des rapports intgrs qui regroupent toutes les donnes des
diffrentes technologies un seul endroit.

- Forti OS
FortiOS, le systme dexploitation qui pilote les plateformes matrielles de Fortinet,
utilise, en tant que noyau, une version modifie du noyau Linux ainsi que ext2 en tant
que filesystem. Linterface dadministration web utilise les moteurs jinja2 et django avec
Python en backend. En dcembre 2003, Fortinet a sorti la version FortiOS 2.8 qui a
intgr 50 nouvelles fonctionnalits au systme dexploitation.
FortiOS est disponible sur les serveurs de support de Fortinet. Les principales nouvelles
fonctions sont les suivantes :

Proxy et cache (pour les modles quipes de disque dur).

Optimisation WAN (compression de donnes, QoS).

Filtrage au niveau des applications (yahoo mail, google mail ..etc.)

Filtrage des protocoles chiffrs (HTTPS par exemple)

Prvention de la fuite de donnes rseaux (Data Leak Prevention).

En 2005, le projet gpl-violations.org rvla des preuves que fortinet aurait utilis du code
sous GPL sans respecter la licence et aurait utilis des outils de cryptage pour cacher
cette violation de la licence. Cette violation aurait eu lieu dans le systme FortiOS qui
selon le projet gpl-violations.org contenait du code du noyau de linux. Un tribunal mis
une injonction contre l'entreprise lui interdisant de vendre des produits jusqu' ce qu'elle
soit en accord avec les termes de la licence. Fortinet a t oblige de fournir une version
libre compatible avec la licence GPL de FortiOS.
 - Gamme des Produits
Fortinet dispose de 8 certifications ICSA (Parefeux, Antivirus, Antispam, IDS/IPS, Filtrage
URL,Vpn SSL, Vpn IPSEC, FIPS-2). Elle est le seul acteur de la scurit en disposer
autant. Elle matrise l'ensemble des technologies proposes matrielles et logicielles.
Les boitiers de Fortinet sont acclrs par des ASICs

FortiGate :
Est une gamme de boitiers de scurit UTM (quipement scurit tout en un)
comprenant les fonctionnalits firewall, Antivirus, systme de prvention
d'intrusion (IPS), VPN (IPSec et SSL), filtrage Web, Antispam et d'autres fonctionnalits:
QoS, virtualisation, compression de donnes, routage, policy routing, etc. Les rcents
modles comportent des ports acclrs par ASIC qui permettent d'optimiser le trafic au
niveau des ports. Les boitiers de cette gamme sont iso fonctionnels s'adaptant chaque
besoin.

FortiMail :
FortiMail Plate-forme de Scurisation de Messagerie, fournit une analyse heuristique
puissante et flexible, de mme que des rapports statistiques sur le trafic de mails
entrants et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement
performantes pour dtecter et bloquer les mails non dsirs. Construit sur base des
technologies primes FortiOS et FortiASIC, FortiMail utilise ses pleines capacits
dinspection de contenu afin de dtecter les menaces les plus avances dans les
courriers lectroniques.
Ce boitier assure la protection de la messagerie avec les techniques Antivirus et
Antispam les plus pointues, mise en quarantaine et suppression de spam et leurs
attachements. Le boitier Fortimail peut se mettre en mode serveur pour jouer en mme
temps le rle de serveur de messagerie et d'outil de protection.

FortiAnalyzer :
FortiAnalyser fournit aux administrateurs rseaux les informations ncessaires qui
permettent dassurer une meilleure protection du rseau, une plus grande scurit contre
attaques et vulnrabilits. FortiAnalyser permet:
de centraliser les journaux des quipements Fortinet (FortiGate, FortiMail,
FortiManager et FortiClient)
de gnrer des centaines de rapports partir des donnes collectes
de scanner le rseau et gnrer des rapports de vulnrabilits sur l'activit
rseaux et scurit.
de stocker les fichiers mis en quarantaine par FortiGate
FortiAnalyser peut galement tre configur en rseau et capturer en temps rel le trafic
intercept. FortiAnalyser est utilis comme lieu de stockage o les utilisateurs peuvent
accder et partager des donnes, telles que des rapports et journaux conservs sur son
disque dur.

FortiManager :
FortiManager est conu pour rpondre aux besoins des grandes entreprises
responsables du dploiement et du maintien de dispositifs de scurit travers un parc
dquipements FortiGate. FortiManager permet de configurer et de contrler les statuts
de plusieurs botiers FortiGate et aussi de consulter leurs journaux en temps rel et leurs
historiques.
Une gamme de boitiers qui permettent la supervision et l'administration centralise des
quipements Fortinet (FortiGate, FortiAnalyzer et FortiClient). FortiManager facilite le
travail des administrateurs en procdant des mises jour en masse : configuration,
migration de firmware, mise jour de signatures, changement de rgles de scurit.

FortiClient:
Le logiciel FortiClient offre un environnement informatique scuris et fiable aux
utilisateurs dordinateurs de bureau et dordinateurs portables munis des systmes
dexploitation les plus rpandus de Microsoft Windows et Smartphones. Il permet de
protger ces quipements contre les virus, les intrusions, les spam, les spywares. En
outre, il intgre un Firewall et un systme de filtrage URL.
FortiClient offre de nombreuses fonctionnalits, y compris:
un accs VPN pour se connecter aux rseaux distants
un antivirus temps rel
une protection contre des modifications du registre Windows
une recherche des virus sur tout ou partie du disque dur.

FortiDB:
FortiBD est une gamme de produits spcialiss dans la supervision et l'audit scurit des
bases de donnes. Les produits de cette gamme permettent de renforcer la scurit des
bases de donnes et leur conformit aux diffrents politiques de scurit.

FortiWeb:
FortiWeb est une nouvelle gamme annonce en Fevrier 2009. Le premier produit de
cette gamme le FortiWeb 1000B se prsente comme un boitier de scurit spcialis
pour les applications Web et XML. Ce boitier offre le partage de charge (load-balancing)
entre plusieurs serveurs ainsi que l'acclration du flux vers ces mmes serveurs grce
des processeurs spcialiss dans le chiffrement et le dchiffrement des flux XML et SSL.
Ce boitier reprsente le premier firewall applicatif de la socit Fortinet.

FortiBridge:
FortiBridge permet dassurer une continuit de connexion rseau mme en cas de panne
lectrique dun systme FortiGate. Le FortiBridge connect en parallle au FortiGate
dvie le flux rseau lorsqu'il dtecte une panne sur le botier et reoit alors le trafic pour
viter toute coupure rseau. On peut programmer lavance les actions que FortiBridge
mettra en place en cas de panne de courant ou de panne dans le systme FortiGate.

FortiWifi (point daccs autonome):

FortiWiFi intgre toutes les fonctionnalits dun point daccs complet et une protection
exhaustive de qualit entreprise. Chaque plateforme FortiWiFi active jusqu 7 SSID ou
points daccs virtuels, pour dployer plusieurs rseaux sans fil partir dun seul
quipement.

FortiWifi (point daccs lger):

Les points daccs FortiAP sont conomiques et compatibles 802.11n. Les FortiAP
utilisent les technologies Wi-Fi les plus rcentes, avec des dbits allant jusqu 300 Mbps
par cur radio et une couverture radio jusqu deux fois plus importante que le 802.11
a/b/g.

FortiScan :
Gestion des vulnrabilits sur postes clients, valuation de la conformit des ressources,
gestion des patchs, audit et reporting. Analyse jusqu 5 000 agents et 60 instances de
base de donnes.

FortiAuthenticator :
Gestion des identits utilisateurs, Authentification des utilisateurs, authentification deux
facteurs, vrification de lidentit et accs rseau. Gre lidentit de jusqu 2 000
utilisateurs finaux.

FortiDNS :
Systme DNS robuste, est un systme DNS robuste et scuris pour remplacer les outils
existants et simplifier les dploiements DNS. Gre jusqu 60 000 requtes par seconde.

VI. Pare-feu matriel : Fortigate

- Prsentation du produit
La gamme FortiGate dappliances physiques et virtuelles ddies la gestion unifie des
menaces consolide plusieurs fonctions de scurit telles que pare-feu, la prvention
dintrusion, le filtrage web, ainsi que la protection anti-malware et anti-spam. Cette
gamme propose des produits pour petites entreprises et sites distants, ainsi que des
plateformes pour grandes entreprises, centres de donnes et fournisseurs de services
Internet. Fortinet commercialise galement des pare-feux de nouvelle gnration (Next
Generation Firewall, ou NGFW) qui est dfinit comme un produit regroupant un pare-feu,
un VPN et une prvention dintrusion, entre autres fonctions de scurit.
Le premier produit de Fortinet, le FortiGate 3000, sorti en octobre 2002, proposait des
performances de 3 giga-octets par seconde (Gbps). La gamme 5000 a t
commercialise deux ans plus tard. Selon The International Directory of Company
Histories, les premiers produits Fortinet pour petites entreprises et succursales ont t
accueillies favorablement sur le march.
En dbut danne 2013, Fortinet a ajout une fonctionnalit de pare-feu lappliance
FortiGate, conue pour les rseaux internes et reposant sur des processeurs ASIC
spcifiques. La version virtualise de FortiGate a ensuite t intgre Amazon Web
Services en 2014. En avril 2016, Fortinet annonait la Fortinet Security Fabric, destine
permettre des dispositifs tiers de partager des informations avec les appliances et
logiciels Fortinet via des API. Elle a galement lanc le pare-feu FortiGate 6040E
320Gbps, quip du nouveau processeur ASIC CP9. Ce dernier assume certaines
tches habituellement attribues au processeur principal de traitement, et est rutilis
dans les versions ultrieures de FortiGate.

- Fonctionnalits du FortiGate
FortiGate solution de scurit consolide et unifie de gestion de menaces (UTM), offre
une scurit et des performances ingales tout en simplifiant l'administration
quotidienne de votre rseau. FortiGate tourne sous le systme
d'exploitation FortiOS sur les processeurs FortiASIC et des CPU de dernire
gnration pour garantir une scurit optimale de votre rseau d'entreprise. Chaque
FortiGate inclut une large gamme de fonctions de scurit et rseaux, incluant:

Firewall
Rgles de filtrage simples pour n'accepter que les flux autoriss.
La technologie de firewall combine lanalyse ASIC accelerated Stateful Inspection
permet didentifier et bloquer les menaces complexes.
IPS
La technologie de prvention dintrusion, disponible sur toutes les plateformes FortiGate,
embarque dans les equipement protge les applications critiques contre les attaques
internes ou externes. FortiGate IPS associe une base de donnes paramtrable de
plusieurs milliers de menaces connues afin de bloquer les attaques non reconnues par
un firewall traditionnel et un systme danalyse comportemental reconnaissant les
menaces pas encore rpertories par le moteur de signatures. Cette combinaison de
protection contre les menaces permet de se prmunir contre les attaques critiques.

Vpn Ipsec et SSL

La fonction vpn ipsec permet de mettre en place des tunnels chiffrs vers dautres
sites ou bien pour des nomades.
La fonction vpn SSL permet laccs chiffrs pour les nomades, en mode tunnel ou portail
web (seul un navigateur suffit).
La technologie IPSec et SSL VPN des plateformes FortiGate est intgr avec les autres
fonctionnalits de scurit tels que les pare-feux, antivirus, filtrage web et prvention
dintrusion fournissant un niveau de scurit suprieur des quipements VPN standard.
La solution FortiGate VPN assure un niveau de performance ncessaire aux entreprises
de toute taille, aussi bien des petites entreprises que des grandes organisations ou
encore des fournisseurs de services Internet.

Antivirus rseau
Cette technologie combine la dtection par signatures avances et moteurs heuristiques
afin de fournir une protection multi-niveaux en temps rel contre les nouveaux virus,
spyware, et malware propags par le web, les emails et le transfert de fichiers.
Filtre antiviral de flux web (HTTP, HTTPS, FTP) et de messagerie (SMTP, SMTPS,
IMAP, IMAPS, POP3, POP3S).

Antispam
Une fonction pour les flux de messagerie.
La technologie antispam offre des fonctionnalits de dtection, tag, mise en quarantaine
et de blocage des spam et de leurs attachements malicieux.

Filtrage URL
Filtrage des accs WEB. Avec une authentification ldap (active directory et
edirectory sont supports en mode d'authentification transparente), possibilit de
mettre en place une politique d'accs par type de population.
Cette technologie bloque les accs vers les sites web nocifs, inappropris et dangereux
contenant, par exemple, des attaques de type phishing/pharming, malware/spyware ou
des contenus rprhensibles exposant lentreprises des poursuites judiciaires.
Compos de bases de donnes reconnues et constamment mises jour par FortiGuard
Web Filtering Service. Le Web Filtering aide les organisations dans leur dmarche de
conformit lgale et renforce lutilisation approprie dInternet.

Dtection d'intrusions
Scurisation des accs entrants et sortants. La base, remise jour
automatiquement, rpertorie plus de 3 000 attaques connues.
Cette fonction permet didentifier et de se prmunir contre la fuite dinformations
sensibles vers lextrieur du rseau de lentreprise.

Contrle applicatif
Filtrage direct des applications afin de maitriser avec une trs forte granularit votre
politique de scurit. Aujourd'hui, plus de 1 000 applications sont reconnues
(Bittorent, MSN, Facebook, Edonkey, ICQ, Yahho Msg...).
Cette fonction assure la reconnaissance et la mise en uvre dactions sur les
communications en fonction de lapplication l origine du flux au lieu de se baser sur un
numro de service ou un protocole. Cette solution renforce la politique de scurit en
appliquant une reconnaissance et un contrle sur le protocole applicatif
(indpendamment du port).

Optimisation Wan
Optimisation des liaisons WAN pour conomiser de la bande passante. Seuls les
modles Fortigate disposant d'un espace de stockage supportent cette fonction.
Cette technologie permet doptimiser les flux des applications communiquant au travers
dun rseau tendu tout en assurant une scurit contre les diffrentes formes de
menaces.

Inspection SSL
Dchiffrage des flux pour analyser le contenu et contrer les attaques malware.
Seuls les modles les plus rcents permettent ce traitement.
Cette technologie permet daugmenter la scurit et le contrle de contenu en
inspectant lintrieur des flux chiffrs.

D'autres fonctions
Possibilit d'utiliser plusieurs liaisons internet, routage par la source, routage
dynamique, quilibrage de charge et haute disponibilit d'une application, gestion
de bande passante, etc.

- FortiGate-VM
FortiGate-VM est une solution de Virtual Appliance pour les environnements VMware qui
offre une intgration pour scuriser les charges de travail dans les rseaux et les
infrastructures logicielles dfinies dynamiques sans protection et de conformit
des lacunes.
FortiGate-VM est base sur la dernire version de FortiOS de Fortinet ; un systme
d'exploitation construit cet effet une scurit renforce.
Un pare-feu aura essentiellement ces configurations :

Interface : O le pare-feu communique avec d'autres priphriques du rseau. Il peut

s'agir de LAN interne, extranet ou Internet. En gros, on va allouer des adresses IP pour
ces interfaces.

Table de routage : O envoyer les paquets. On peut voir une table de routage sur
presque tous les priphriques pris en charge par le rseau, tels que le routeur ADSL, le
routeur sans fil, les routeurs, le pare-feu et mme sur le PC (Mac, Windows, Linux, ...)
Politique de pare-feu : Quel type de trafic est autoris ou refus de passer par le pare-
feu. Il s'agit de la partie principale d'un pare-feu o on peut contrler l'accs par IP /
sous-rseau. Sur les pare-feu avancs, on peut trouver des composants de stratgie o
il est utilis pour crer une stratgie de pare-feu, comme le planificateur, la limitation de
la bande passante, l'adresse, le service, etc.
Mode de fonctionnement (NAT ou Transparent) : Si on utilise le Fortigate comme un
pare-feu entre un rseau priv et rseau public, NAT / Route est pour cette situation. Si
on place le pare-feu derrire un autre pare-feu ou dans le rseau interne, le mode
Transparent pourrait tre utilis.