Vous êtes sur la page 1sur 37

I.

Introduction Pare-feu
Un pare-feu est parfois appel coupe-feu, garde-barrire, barrire de scurit, ou
encore firewall.

Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu est aussi
appel packet filter.

Un firewall ou pare-feu est un dispositif physique (matriel) ou logique (logiciel) servant


de systme de protection pour le rseau local.

Il peut galement servir dinterface entre plusieurs rseaux dentreprise afin de contrler
et ventuellement bloquer la circulation de donnes.

Le pare-feu permet de protger un rseau priv des attaques provenant dun rseau
public (ex : Internet).

Le firewall offre galement certains dispositifs pour protger des abus provenant de
lintrieur.

- Fonctionnement gnral

Pare-feu passerelle entre LAN et WAN.

Le pare-feu tait jusqu' ces dernires annes considr comme une des pierres
angulaires de la scurit d'un rseau informatique (il perd en importance que les
communications basculent vers le HTTP sur SSL, court-circuitant tout filtrage). Il permet
d'appliquer une politique d'accs aux ressources rseau (serveurs).

Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en


filtrant les flux de donnes qui y transitent. Gnralement, les zones de confiance
incluent Internet (une zone dont la confiance est nulle) et au moins un rseau
interne (une zone dont la confiance est plus importante).

Le but est de fournir une connectivit contrle et matrise entre des zones de diffrents
niveaux de confiance, grce l'application de la politique de scurit et d'un modle de
connexion bas sur le principe du moindre privilge.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le rseau en plusieurs
zones de scurit appeles zones dmilitarises ou DMZ. Ces zones sont spares suivant
le niveau de confiance qu'on leur porte.
Une DMZ (DMilitarised Zone) est une Zone qui contient des serveurs accessibles
Depuis Internet et le LAN : http, Mail, FTP

- Intrts et limites du pare-feu

Avantages

Avec une architecture rseau cohrente, on bnficie d'une centralisation dans la


gestion des flux rseaux.

De plus, avec un plan d'adressage correct, la configuration du pare-feu est peu ou pas
sensible au facteur d'chelle (rgles identiques pour 10 comme 10000 quipements
protgs).

L'utilisation de la journalisation offre une capacit d'audit du trafic rseau et peut donc
fournir des traces robustes en cas d'incident, si le pare-feu n'est pas lui-mme une des
cibles.

Enfin le pare-feu permet de relcher les contraintes de mise jour rapide de


l'ensemble d'un parc en cas de vulnrabilit sur un service rseau : il est possible de
maintenir une certaine protection des quipements non vitaux au prix de la
dgradation du service avec la mise en place d'un filtrage.

Inconvnients

La capacit de filtrage d'un quipement dpend de son intgration dans le rseau mais
le transforme en goulet d'tranglement (capacit rseau et ressources du pare-feu).

De par sa fonction, le pare-feu est un point nvralgique de l'architecture de scurit


avec de fortes contraintes de disponibilit. Il existe des solutions permettant la
synchronisation de l'tat des pare-feu, mais beaucoup de configurations reposent
encore sur un quipement unique.
Enfin une bonne gestion d'un pare-feu ncessite la comprhension des protocoles
filtrs surtout lorsque les interactions deviennent complexes comme dans les cas FTP,
H323,...avec le transport de paramtres de connexion dans le segment de donnes. De
plus il apparat bien souvent des effets de bord lis aux diverses fonctions (couches
rseaux filtres, traduction d'adresses) et influences par l'ordre d'application des
rgles.

II. Principes du Filtrage


Selon l'quipement, des informations sont extraites des flux rseaux depuis une ou
plusieurs des couches 2 7 du modle OSI compares un ensemble de rgles de filtrage.
Un tat peut tre mmoris pour chaque flux identifi, ce qui permet en outre de grer la
dimension temporelle avec un filtrage en fonction de l'historique du flux.

- Filtrage simple de paquet

C'est la mthode de filtrage la plus simple, elle opre au niveau de la couche rseau et
transport du modle Osi. La plupart des routeurs d'aujourd'hui permettent d'effectuer du
filtrage simple de paquet. Cela consiste accorder ou refuser le passage de paquet d'un
rseau un autre en se basant sur :
- L'adresse IP Source/Destination.
- Le numro de port Source/Destination.
- Et bien sur le protocole de niveaux 3 ou 4.
Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages,
gnralement appeles des ACL (Access Control Lists).

Le premier problme vient du fait que l'administrateur rseau est rapidement contraint
autoriser un trop grand nombre d'accs, pour que le Firewall offre une relle protection.
Par exemple, pour autoriser les connexions Internet partir du rseau priv,
l'administrateur devra accepter toutes les connexions Tcp provenant de l'Internet avec un
port suprieur 1024. Ce qui laisse beaucoup de choix un ventuel pirate.

Enfin, ce type de filtrage ne rsiste pas certaines attaques de typeIP Spoofing / IP


Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS.

- Filtrage de paquet avec tat (dynamique)

L'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions
et des connexions dans des tables d'tats internes au Firewall. Le Firewall prend alors ses
dcisions en fonction des tats de connexions.

Dans l'exemple prcdent sur les connexions Internet, on va autoriser l'tablissement des
connexions la demande, ce qui signifie que l'on aura plus besoin de garder tous les ports
suprieurs 1024 ouverts. La solution consiste autoriser pendant un certain dlai les
rponses aux paquets envoys.
Tout d'abord, il convient de s'assurer que les deux techniques sont bien implmentes par
les Firewalls, car certains constructeurs ne l'implmentent pas toujours correctement.
Ensuite une fois que l'accs un service a t autoris, il n'y a aucun contrle effectu sur
les requtes et rponses des clients et serveurs. Enfin les protocoles maisons utilisant
plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique
n'aura pas connaissance du protocole.

- Filtrage applicatif (pare-feu de type proxy ou proxying


applicatif)

Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche
Application. Les requtes sont traites par des processus ddis, par exemple une requte
de type Http sera filtre par un processus proxy Http. Le pare-feu rejettera toutes les
requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique que le
pare-feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit filtrer.

Le premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est
extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le
nombre de protocoles de niveau 7.

Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de
paquet avec tat, mais cela se paie en performance. Ce qui exclut l'utilisation d'une
technologie 100 % proxy pour les rseaux gros trafic.

Que choisir : Tout d'abord, il faut nuancer la supriorit du filtrage applicatif par
rapport la technologie Stateful. En effet les proxys doivent tre paramtrs pour limiter
le champ d'action des attaquants, ce qui ncessite une trs bonne connaissance des
protocoles autoriss traverser le firewall.

Idalement, il faut protger le proxy par un Firewall de type Stateful Inspection. Il vaut
mieux viter d'installer les deux types de filtrage sur le mme Firewall, car la
compromission de l'un entrane la compromission de l'autre. Enfin cette technique
permet galement de se protger contre l'ARP spoofing.

III. Types de Pare-feu


Les pare-feux sont un des plus vieux quipements de scurit informatique et ils ont t
soumis de nombreuses volutions. Suivant la gnration du pare-feu ou son rle prcis,
on peut les classer en diffrentes catgories.

- Pare-feu sans tat (stateless firewall) Filtre de paquets :


La dcision de filtrage est base uniquement sur les valeurs des champs de lentte IP
(adresse source/destination. Ports source/destination).
C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs. Il regarde
chaque paquet indpendamment des autres et le compare une liste de rgles
prconfigures.
Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu :

ACL pour Access Control List (certains pare-feux Cisco),

politique ou policy (pare-feu Juniper/Netscreen),

filtres,

rgles ou rules,
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte
des machines tats des protocoles rseaux ne permet pas d'obtenir une finesse du
filtrage trs volue.

- Pare-feu tats (stateful firewall) Filtre de contenu :


La dcision de filtrage est bas sur le contenu des informations reus (le nom dun site
web, le contenu dun site web, les commandes smtp etc..).
Certains protocoles dits tats comme TCP introduisent une notion de connexion.
Les pare-feux tats vrifient la conformit des paquets une connexion en cours. Cest-
-dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du prcdent
paquet et la rponse un paquet dans l'autre sens.
Enfin, si les ACL autorisent un paquet UDP caractris par un quadruplet (ip_src,
port_src, ip_dst, port_dst) passer, un tel pare-feu autorisera la rponse caractrise par
un quadruplet invers, sans avoir crire une ACL inverse. Ceci est fondamental pour le
bon fonctionnement de tous les protocoles fonds sur l'UDP, comme DNS par exemple.
Ce mcanisme apporte en fiabilit puisqu'il est plus slectif quant la nature du trafic
autoris. Cependant dans le cas d'UDP, cette caractristique peut tre utilise pour tablir
des connexions directes (P2P) entre deux machines.

- Pare-feu applicatif Filtre hybride


La dcision est bas et sur lentte du paquet IP ,et sur le contenu.
Dernire gnration de pare-feu, ils vrifient la complte conformit du paquet un
protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul le
protocole HTTP passe par le port TCP 80.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme FTP, en mode passif, changent entre le client et le serveur des
adresses IP ou des ports TCP/UDP. Ces protocoles changent au niveau applicatif (FTP)
des informations du niveau IP (change d'adresses) ou du niveau TCP (change de ports).
Ce qui transgresse le principe de la sparation des couches rseaux.
Chaque type de pare-feu sait inspecter un nombre limit d'applications. Chaque
application est gre par un module diffrent pour pouvoir les activer ou les dsactiver.
La terminologie pour le concept de module est diffrente pour chaque type de pare-feu :
par exemple : Le protocole HTTP permet d'accder en lecture sur un serveur par une
commande GET, et en criture par une commande PUT. Un pare-feu applicatif va tre
en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu' un
nombre restreint de machines.

- Pare-feu identifiant
Un pare-feu ralise lidentification des connexions passant travers le filtre IP.
L'administrateur peut ainsi dfinir les rgles de filtrage par utilisateur et non plus
par adresse IP ou adresse MAC, et ainsi suivre l'activit rseau par utilisateur.
Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et
utilisateurs ralises par des moyens varis. Une autre mthode est l'identification
connexion par connexion (sans avoir cette association IP = utilisateur et donc sans
compromis sur la scurit) qui permet d'identifier galement sur des machines multi-
utilisateurs.

IV. Les ACL liste de contrle daccs


Access Control List (ACL), liste de contrle d'accs en dsigne en scurit
informatique en rseau, une liste des adresses et ports autoriss ou interdits par un pare-
feu. Une ACL est une liste dAccess Control Entry (ACE) ou entre de contrle d'accs
donnant ou supprimant des droits d'accs une personne ou un groupe.

- Utilit

Une liste d'accs va servir supprimer des paquets pour des raisons de scurit, filtrer
des mises jour de routage et des paquets en fonction de leur priorit et dfinir du trafic
intressant pour des configurations spcifiques (NAT, ISDN, etc.).

- Principe

Une liste d'accs, comportant une suite d'instructions de filtrage, va tre applique sur
une interface du matriel, pour le trafic entrant ou pour le trafic sortant. Il va falloir
appliquer une logique sur les interfaces en sortie ou en entre.

- ACL En rseau
Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou
de ports autoriss ou interdits par le dispositif de filtrage.

Les Access Control List sont diviss en trois grandes catgories, l'ACL standard, l'ACL
tendue et la nomme-tendue.

L'ACL standard ne peut contrler que deux ensembles : l'adresse IP source et une
partie de l'adresse IP source, au moyen de masque gnrique.
L'ACL tendue peut contrler l'adresse IP de destination, la partie de l'adresse de
destination (masque gnrique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP,
etc.), le port source et de destination, les flux TCP, IP TOS (Type of service) ainsi que
les priorits IP.

L'ACL nomme-tendue est une ACL tendue laquelle on a affect un nom.

- Syntaxe des commandes des ACLs

La mise en uvre d'une ACL se droule en deux tapes :


- Cration de la liste, en plaant les instructions les unes aprs les autres suivies d'un
retour chariot.
- Application sur une interface en entre ou en sortie

Liste d'accs standard

- Commandes Standard De Configuration Des Listes D'Accs :

ip access-group {number | name [in | out]}

- Commande qui permet d'applique l'ACL sur une interface donne en paramtre :
access-class number | name [in | out]

-Ajouter une liste d'accs :


Router(config)#access-list numro-liste-accs {deny|permit} adresse-source [masque-
source] [log]

numro-liste-accs : identifier la liste laquelle appartient cette entre, c'est un


nombrecompris entre 1 et 99.

deny|permit:indique si cette entre autorise ou refuse le trafic pour cette adresse.

adresse-source : identifier l'adresse source IP.

masque-source :identifier quels bits du champ adresse sont concerns .Placez la


valeur 1 aux position indiquant ne pas considrer et la valeur 0 pour celles
devant tre imprativement suivies. Des caractres gnriques peuvent tre
utiliss.

Exemple :
Router(config)#show access-lists
Standart IP access list 1
Deny 204.59.144.0, wildcard bits 0.0.0.255
Permit any
Router #
Liste d'accs tendu :
Cette commande vous permet de crer une liste d'accs IP tendu :
Router(config)#access-list numro-liste-accs {deny|permit} protocole adresse-source
masque-source [oprateur port] adresse-destination masque-destination [oprateur port]
[established]

Dans cette commande :


Numro_liste_accs : identifie la liste par un nombre compris entre 100 et 199.
Permit | deny : indique si cette entre autorise ou refuse le trafic pour cette adresse.
Protocole : indique le type de protocole (IP, TCP, UDP, ICMP, GRP, ou IGRP).
Source et destination : identifient l'adresse IP source et destination.
Masque_source et masque_destination : placez la valeur 1 aux positions indiquant ne
pas considrer et la valeur 0 pour celles devant tre imprativement suivies. Des
caractres gnriques peuvent tre utiliss.
Oprateur et oprande prennent les valeurs suivantes :
lt (less than) ou (plus petit)
gt (greater than) ou (plus grand)

eq (equal) ou (gal)

neq (not equal) ou (non gal)*


established : autorise le trafic TCP si les paquets utilisent une connexion tablie.

Liste d'accs IP nomme :


On peut employer des listes d'accs IP nomme pour retirer des entres d'une liste
d'accs spcifique, ce qui permet de modifier une liste d'accs sans le dtruire et de
pouvoir le reconfigurer. Les listes d'accs nommes sont utilises lorsque :
-On veut identifier une liste d'accs en utilisant un nom alphanumrique.
-On dispose de plus de 99 listes d'accs simples ou de plus de 100 listes d'accs tendues
configurer pour un protocole donn.

Voici la commande :
Router(config)#ip access-list standard nom
Router(config-ext-nacl)#permit|deny

Exemple :
Router(config)# ip access-list extended filtrage
Router(config-ext-nacl)#permit tcp any 192.168.0.0 0.255.255.255 lt 1024
Router(config-ext-nacl)#deny udp any 192.168.0.0 0.255.255.255 eq 8080

Router(config)#ip access-list extended nom


Router(config-ext-nacl)#permit|deny

Activation d'une liste d'accs sur une interface :


Voici la commande :
Router(config-if)#ip access-group {numro-liste-accs|nom [in | out]}
Exemple :
Router(config)# interface serial0
Router(config-if)#ip access-group filtrage out
On utilise la commande numro-liste-accs pour lier une liste d'accs une interface
numro-liste-accs: reprsente le numro de la liste lier.
in | out : indique si la liste d'accs est applique l'interface d'entre ou en sortie.

Diagnostic :
On emploie la commande show pour des raisons de diagnostic comme c'est illustr dans
l'exemple suivant :
Router#show ip interface [type numro]
Router#show access-lists [numro-liste-accs|nom-liste-accs]
Router#show ip access-list [numro-liste-accs|nom-liste-accs]

Router#show access-lists
Standard IP access list 0 Extended IP access list filtrage
permit tcp any 192.168.0.0 0.255.255.255 lt 1024(0 matches)
deny udp any 192.168.0.0 0.255.255.255 eq 8080 (0 matches)
Router#show ip access-list filtrage

V. Fortinet leader mondial UTM


- Prsentation
Fortinet conoit et commercialise des logiciels, quipements et services de cyber
scurit tels que des pare-feux, anti-virus, systmes de prvention dintrusion et de
scurit des terminaux.

Fortinet est le leader mondial selon l'institut IDC dans le segment des
Appliances UTM (Unified Threat Management - solution de scurit tout en un) avec plus
de 16,8 % de part de march dans le monde.

Fortinet est le leader du march en matire d'UTMs, offrant des solutions clefs en main
qui amliorent les performances, renforcent la scurit et rduisent les cots. Fortinet
scurise les rseaux de plus de 125.000 clients travers le monde. Les plus importantes
organisations internationales s'appuient sur la technologie Fortinet pour protger leurs
rseaux et donnes.

- Historique
Fortinet a t cre en 2000. 2004 a galement marqu le dbut dun litige rcurrent
entre Fortinet et Trend Micro. Tout au long des annes 2000, Fortinet a diversifi sa
gamme de produits en y intgrant des points daccs WiFi, une technologie de sandbox
(permet l'excution de logiciel avec moins de risques pour le systme d'exploitation) et
des solutions de scurit de la messagerie lectronique notamment.
Selon Fortinet, Son premier programme lintention du rseau de distribution en octobre
2003. Les produits FortiGate ont t distribus au Canada suivie par le Royaume-Uni.
En 2004, Fortinet tait dj prsente, via ses bureaux, en Asie, en Europe et en Amrique
du Nord. Le programme revendeurs a t rorganis en janvier 2006 sous le nom de
SOC in BOX .
En octobre 2005, une tude ralise a rvl que les quipements Fortinet taient utiliss
pour censurer Internet. Fortinet a dclar que ses produits taient vendus par des
revendeurs tiers.
Fortinet a procd une refonte de son programme revendeurs en juillet 2013, en y
intgrant des offres de financement et dautres services lintention des petits
fournisseurs de services de scurit manags. Rcemment, certains revendeurs se sont
plaints que Fortinet tait en concurrence avec ses propres revendeurs, alors que
lentreprise affirme ne procder aucune vente directe.
Fortinet a cr la Cyber Thread Alliance en 2014 pour permettre aux fournisseurs de
partager et mettre en commun leurs donnes sur les menaces de scurit.
McAfee et Symantec ont rejoint lalliance cette mme anne. Fin 2015, des chercheurs en
scurit Fortinet ont dmontr lexistence dun piratage de Fitbit via Bluetooth
permettant daccder aux dispositifs synchroniss avec les produits de la marque.
En juin 2016, Fortinet a pris le contrle dAccelOps, un diteur de logiciels de scurit, de
surveillance et de traitement analytique, la socit tait avant tout connue pour ses
produits SIEM (Security Information and Event Management), des produits qui
analysent les alertes et logs de scurit provenant dquipements et de logiciels.

- Lapproche Fortinet UTM


Les systmes de gestion unifie des menaces (UTM ou Unified Threat Management) sont
actuellement les outils les plus couramment utiliss de l'arsenal de scurit de
l'information. Le concept de gestion unifie des menaces (UTM ou Unified Threat
Management) est la mode. En effet, il propose de nombreuses technologies de scurit
intgres sur une seule plate-forme et fournies par un seul diteur.

Tous les spcialistes conviennent que les entreprises, quelle que soit leur taille, doivent
adopter une solide stratgie de protection de leurs systmes et donnes informatiques en
utilisant diffrentes technologies de scurit. En effet, les entreprises doivent aujourd'hui
faire face un nombre sans prcdent des menaces persistantes avances et des attaques
mixtes (par exemple, les virus et les chevaux de Troie, les tlchargements passifs des
sites compromis, les injections SQL et autres attaques sur les applications Web ou encore
surveiller les communications fil).

En rponse toutes ces menaces, les entreprises doivent tre capables d'implmenter et
de grer plusieurs technologies de scurit, un dfi difficile relever. Une solution est de
dployer plusieurs produits de diffrents diteurs. Toutefois, cette approche ncessite
non seulement d'installer et d'intgrer plusieurs solutions, mais aussi de se familiariser
avec plusieurs consoles d'administration de plusieurs diteurs.

Une autre solution est de dployer un systme de gestion unifie des menaces, c'est--
dire un ensemble de technologies de scurit intgres et implmentes sur une seule
plate-forme physique (ou dans le Cloud), avec une seule interface d'administration.

On distingue quelques avantage du systme UTM : Un dploiement simplifi avec


beaucoup moins d'tapes au niveau de l'installation et de la configuration. Et aussi une
administration facilite car il n'y a qu'une seule console d'administration et un seul
processus de mise jour. En plus une rsolution plus rapide des problmes car il y a
moins de possibilits de conflits entre les modules et le support est assur par un seul et
mme diteur. Et enfin des rapports intgrs qui regroupent toutes les donnes des
diffrentes technologies un seul endroit.

- Forti OS
FortiOS, le systme dexploitation qui pilote les plateformes matrielles de Fortinet,
utilise, en tant que noyau, une version modifie du noyau Linux ainsi que ext2 en tant que
filesystem. Linterface dadministration web utilise les moteurs jinja2 et django avec
Python en backend. En dcembre 2003, Fortinet a sorti la version FortiOS 2.8 qui a
intgr 50 nouvelles fonctionnalits au systme dexploitation.
FortiOS est disponible sur les serveurs de support de Fortinet. Les principales nouvelles
fonctions sont les suivantes :

Proxy et cache (pour les modles quipes de disque dur).

Optimisation WAN (compression de donnes, QoS).

Filtrage au niveau des applications (yahoo mail, google mail ..etc.)

Filtrage des protocoles chiffrs (HTTPS par exemple)

Prvention de la fuite de donnes rseaux (Data Leak Prevention).

En 2005, le projet gpl-violations.org rvla des preuves que fortinet aurait utilis du code
sous GPL sans respecter la licence et aurait utilis des outils de cryptage pour cacher cette
violation de la licence. Cette violation aurait eu lieu dans le systme FortiOS qui selon le
projet gpl-violations.org contenait du code du noyau de linux. Un tribunal mis une
injonction contre l'entreprise lui interdisant de vendre des produits jusqu' ce qu'elle soit
en accord avec les termes de la licence. Fortinet a t oblige de fournir une version libre
compatible avec la licence GPL de FortiOS.

- Gamme des Produits


Fortinet dispose de 8 certifications ICSA (Parefeux, Antivirus, Antispam, IDS/IPS,
Filtrage URL,Vpn SSL, Vpn IPSEC, FIPS-2). Elle est le seul acteur de la scurit en
disposer autant. Elle matrise l'ensemble des technologies proposes matrielles et
logicielles.
Les boitiers de Fortinet sont acclrs par des ASICs

FortiGate :
Est une gamme de boitiers de scurit UTM (quipement scurit tout en un)
comprenant les fonctionnalits firewall, Antivirus, systme de prvention
d'intrusion (IPS), VPN (IPSec et SSL), filtrage Web, Antispam et d'autres fonctionnalits:
QoS, virtualisation, compression de donnes, routage, policy routing, etc. Les rcents
modles comportent des ports acclrs par ASIC qui permettent d'optimiser le trafic au
niveau des ports. Les boitiers de cette gamme sont iso fonctionnels s'adaptant chaque
besoin.

FortiMail :
FortiMail Plate-forme de Scurisation de Messagerie, fournit une analyse heuristique
puissante et flexible, de mme que des rapports statistiques sur le trafic de mails entrants
et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes
pour dtecter et bloquer les mails non dsirs. Construit sur base des technologies
primes FortiOS et FortiASIC, FortiMail utilise ses pleines capacits dinspection de
contenu afin de dtecter les menaces les plus avances dans les courriers lectroniques.
Ce boitier assure la protection de la messagerie avec les techniques Antivirus et Antispam
les plus pointues, mise en quarantaine et suppression de spam et leurs attachements. Le
boitier Fortimail peut se mettre en mode serveur pour jouer en mme temps le rle de
serveur de messagerie et d'outil de protection.

FortiAnalyzer :
FortiAnalyser fournit aux administrateurs rseaux les informations ncessaires qui
permettent dassurer une meilleure protection du rseau, une plus grande scurit contre
attaques et vulnrabilits. FortiAnalyser permet:
de centraliser les journaux des quipements Fortinet (FortiGate, FortiMail,
FortiManager et FortiClient)
de gnrer des centaines de rapports partir des donnes collectes
de scanner le rseau et gnrer des rapports de vulnrabilits sur l'activit
rseaux et scurit.
de stocker les fichiers mis en quarantaine par FortiGate
FortiAnalyser peut galement tre configur en rseau et capturer en temps rel le trafic
intercept. FortiAnalyser est utilis comme lieu de stockage o les utilisateurs peuvent
accder et partager des donnes, telles que des rapports et journaux conservs sur son
disque dur.

FortiManager :
FortiManager est conu pour rpondre aux besoins des grandes entreprises responsables
du dploiement et du maintien de dispositifs de scurit travers un parc dquipements
FortiGate. FortiManager permet de configurer et de contrler les statuts de plusieurs
botiers FortiGate et aussi de consulter leurs journaux en temps rel et leurs historiques.
Une gamme de boitiers qui permettent la supervision et l'administration centralise des
quipements Fortinet (FortiGate, FortiAnalyzer et FortiClient). FortiManager facilite le
travail des administrateurs en procdant des mises jour en masse : configuration,
migration de firmware, mise jour de signatures, changement de rgles de scurit.

FortiClient:
Le logiciel FortiClient offre un environnement informatique scuris et fiable aux
utilisateurs dordinateurs de bureau et dordinateurs portables munis des systmes
dexploitation les plus rpandus de Microsoft Windows et Smartphones. Il permet de
protger ces quipements contre les virus, les intrusions, les spam, les spywares. En
outre, il intgre un Firewall et un systme de filtrage URL.
FortiClient offre de nombreuses fonctionnalits, y compris:
un accs VPN pour se connecter aux rseaux distants
un antivirus temps rel
une protection contre des modifications du registre Windows
une recherche des virus sur tout ou partie du disque dur.

FortiDB:
FortiBD est une gamme de produits spcialiss dans la supervision et l'audit scurit des
bases de donnes. Les produits de cette gamme permettent de renforcer la scurit des
bases de donnes et leur conformit aux diffrents politiques de scurit.

FortiWeb:
FortiWeb est une nouvelle gamme annonce en Fevrier 2009. Le premier produit de cette
gamme le FortiWeb 1000B se prsente comme un boitier de scurit spcialis pour les
applications Web et XML. Ce boitier offre le partage de charge (load-balancing) entre
plusieurs serveurs ainsi que l'acclration du flux vers ces mmes serveurs grce des
processeurs spcialiss dans le chiffrement et le dchiffrement des flux XML et SSL. Ce
boitier reprsente le premier firewall applicatif de la socit Fortinet.

FortiBridge:
FortiBridge permet dassurer une continuit de connexion rseau mme en cas de panne
lectrique dun systme FortiGate. Le FortiBridge connect en parallle au FortiGate
dvie le flux rseau lorsqu'il dtecte une panne sur le botier et reoit alors le trafic pour
viter toute coupure rseau. On peut programmer lavance les actions que FortiBridge
mettra en place en cas de panne de courant ou de panne dans le systme FortiGate.

FortiWifi (point daccs autonome):


FortiWiFi intgre toutes les fonctionnalits dun point daccs complet et une protection
exhaustive de qualit entreprise. Chaque plateforme FortiWiFi active jusqu 7 SSID ou
points daccs virtuels, pour dployer plusieurs rseaux sans fil partir dun seul
quipement.

FortiWifi (point daccs lger):


Les points daccs FortiAP sont conomiques et compatibles 802.11n. Les FortiAP
utilisent les technologies Wi-Fi les plus rcentes, avec des dbits allant jusqu 300 Mbps
par cur radio et une couverture radio jusqu deux fois plus importante que le 802.11
a/b/g.

FortiScan :
Gestion des vulnrabilits sur postes clients, valuation de la conformit des ressources,
gestion des patchs, audit et reporting. Analyse jusqu 5 000 agents et 60 instances de
base de donnes.

FortiAuthenticator :
Gestion des identits utilisateurs, Authentification des utilisateurs, authentification
deux facteurs, vrification de lidentit et accs rseau. Gre lidentit de jusqu 2 000
utilisateurs finaux.

FortiDNS :
Systme DNS robuste, est un systme DNS robuste et scuris pour remplacer les outils
existants et simplifier les dploiements DNS. Gre jusqu 60 000 requtes par seconde.

VI. Pare-feu matriel : Fortigate


- Prsentation du produit
La gamme FortiGate dappliances physiques et virtuelles ddies la gestion unifie des
menaces consolide plusieurs fonctions de scurit telles que pare-feu, la prvention
dintrusion, le filtrage web, ainsi que la protection anti-malware et anti-spam. Cette
gamme propose des produits pour petites entreprises et sites distants, ainsi que des
plateformes pour grandes entreprises, centres de donnes et fournisseurs de services
Internet. Fortinet commercialise galement des pare-feux de nouvelle gnration (Next
Generation Firewall, ou NGFW) qui est dfinit comme un produit regroupant un pare-
feu, un VPN et une prvention dintrusion, entre autres fonctions de scurit.
Le premier produit de Fortinet, le FortiGate 3000, sorti en octobre 2002, proposait des
performances de 3 giga-octets par seconde (Gbps). La gamme 5000 a t commercialise
deux ans plus tard. Selon The International Directory of Company Histories, les premiers
produits Fortinet pour petites entreprises et succursales ont t accueillies favorablement
sur le march.
En dbut danne 2013, Fortinet a ajout une fonctionnalit de pare-feu lappliance
FortiGate, conue pour les rseaux internes et reposant sur des processeurs ASIC
spcifiques. La version virtualise de FortiGate a ensuite t intgre Amazon Web
Services en 2014. En avril 2016, Fortinet annonait la Fortinet Security Fabric, destine
permettre des dispositifs tiers de partager des informations avec les appliances et
logiciels Fortinet via des API. Elle a galement lanc le pare-feu FortiGate 6040E
320Gbps, quip du nouveau processeur ASIC CP9. Ce dernier assume certaines tches
habituellement attribues au processeur principal de traitement, et est rutilis dans les
versions ultrieures de FortiGate.

- Fonctionnalits du FortiGate
FortiGate solution de scurit consolide et unifie de gestion de menaces (UTM), offre
une scurit et des performances ingales tout en simplifiant l'administration
quotidienne de votre rseau. FortiGate tourne sous le systme
d'exploitation FortiOS sur les processeurs FortiASIC et des CPU de dernire
gnration pour garantir une scurit optimale de votre rseau d'entreprise. Chaque
FortiGate inclut une large gamme de fonctions de scurit et rseaux, incluant:

Firewall
Rgles de filtrage simples pour n'accepter que les flux autoriss.
La technologie de firewall combine lanalyse ASIC accelerated Stateful Inspection
permet didentifier et bloquer les menaces complexes.

IPS
La technologie de prvention dintrusion, disponible sur toutes les plateformes
FortiGate, embarque dans les equipement protge les applications critiques contre les
attaques internes ou externes. FortiGate IPS associe une base de donnes paramtrable
de plusieurs milliers de menaces connues afin de bloquer les attaques non reconnues par
un firewall traditionnel et un systme danalyse comportemental reconnaissant les
menaces pas encore rpertories par le moteur de signatures. Cette combinaison de
protection contre les menaces permet de se prmunir contre les attaques critiques.

Vpn Ipsec et SSL


La fonction vpn ipsec permet de mettre en place des tunnels chiffrs vers dautres
sites ou bien pour des nomades.
La fonction vpn SSL permet laccs chiffrs pour les nomades, en mode tunnel ou portail
web (seul un navigateur suffit).
La technologie IPSec et SSL VPN des plateformes FortiGate est intgr avec les autres
fonctionnalits de scurit tels que les pare-feux, antivirus, filtrage web et prvention
dintrusion fournissant un niveau de scurit suprieur des quipements VPN standard.
La solution FortiGate VPN assure un niveau de performance ncessaire aux entreprises
de toute taille, aussi bien des petites entreprises que des grandes organisations ou encore
des fournisseurs de services Internet.

Antivirus rseau
Cette technologie combine la dtection par signatures avances et moteurs heuristiques
afin de fournir une protection multi-niveaux en temps rel contre les nouveaux virus,
spyware, et malware propags par le web, les emails et le transfert de fichiers.
Filtre antiviral de flux web (HTTP, HTTPS, FTP) et de messagerie (SMTP, SMTPS,
IMAP, IMAPS, POP3, POP3S).

Antispam
Une fonction pour les flux de messagerie.
La technologie antispam offre des fonctionnalits de dtection, tag, mise en quarantaine
et de blocage des spam et de leurs attachements malicieux.

Filtrage URL
Filtrage des accs WEB. Avec une authentification ldap (active directory et
edirectory sont supports en mode d'authentification transparente), possibilit de
mettre en place une politique d'accs par type de population.
Cette technologie bloque les accs vers les sites web nocifs, inappropris et dangereux
contenant, par exemple, des attaques de type phishing/pharming, malware/spyware ou
des contenus rprhensibles exposant lentreprises des poursuites judiciaires. Compos
de bases de donnes reconnues et constamment mises jour par FortiGuard Web
Filtering Service. Le Web Filtering aide les organisations dans leur dmarche de
conformit lgale et renforce lutilisation approprie dInternet.

Dtection d'intrusions
Scurisation des accs entrants et sortants. La base, remise jour automatiquement,
rpertorie plus de 3 000 attaques connues.
Cette fonction permet didentifier et de se prmunir contre la fuite dinformations
sensibles vers lextrieur du rseau de lentreprise.

Contrle applicatif
Filtrage direct des applications afin de maitriser avec une trs forte granularit votre
politique de scurit. Aujourd'hui, plus de 1 000 applications sont reconnues
(Bittorent, MSN, Facebook, Edonkey, ICQ, Yahho Msg...).
Cette fonction assure la reconnaissance et la mise en uvre dactions sur les
communications en fonction de lapplication l origine du flux au lieu de se baser sur un
numro de service ou un protocole. Cette solution renforce la politique de scurit en
appliquant une reconnaissance et un contrle sur le protocole applicatif
(indpendamment du port).

Optimisation Wan
Optimisation des liaisons WAN pour conomiser de la bande passante. Seuls les
modles Fortigate disposant d'un espace de stockage supportent cette fonction.
Cette technologie permet doptimiser les flux des applications communiquant au travers
dun rseau tendu tout en assurant une scurit contre les diffrentes formes de
menaces.

Inspection SSL
Dchiffrage des flux pour analyser le contenu et contrer les attaques malware. Seuls
les modles les plus rcents permettent ce traitement.
Cette technologie permet daugmenter la scurit et le contrle de contenu en
inspectant lintrieur des flux chiffrs.

D'autres fonctions
Possibilit d'utiliser plusieurs liaisons internet, routage par la source, routage
dynamique, quilibrage de charge et haute disponibilit d'une application, gestion
de bande passante, etc.

VII. FortiGate-VM
FortiGate-VM est une solution de Virtual Appliance pour les environnements VMware
qui offre une intgration pour scuriser les charges de travail dans les rseaux et les
infrastructures logicielles dfinies dynamiques sans protection et de conformit
des lacunes.
FortiGate-VM est base sur la dernire version de FortiOS de Fortinet ; un systme
d'exploitation construit cet effet une scurit renforce.
- Se connecter Fortigate la premire fois :
Apres linstallation du FORTIGATE VM (version 5.00) comme machine virtuel sous
VMware Workstation. La premire tape consiste sauthentifier.

Ensuite la configuration pour se connecter linterface web du Fortigate

1. Prsentation du Menu de Fortigate_VM :


System : Configurer les paramtres du systme, tels que les interfaces rseau, les
domaines virtuels, les services DNS, les administrateurs, les certificats, haute
disponibilit (HA), l'heure du systme, les options mis en systme et dfinir les options
d'affichage sur le gestionnaire bas sur le Web.
Router : Configurer Routage statique, routage dynamique et multicast et afficher l'cran
de l'itinraire.
Policy : Configuration des politiques du pare-feu, options du protocole et Central NAT
Table.
Firewall Objects : Configurer le contenu de support pour les politiques de pare-feu, y
compris la planification, services, shapers du trafic, les adresses IP virtuelles, et
l'quilibrage de charge.
Security Profiles : Configurer antivirus et de filtrage de messagerie, filtrage web,
protection contre les intrusions, les donnes de prvention des fuites, le contrle des
applications, VOIP, ICAP et la rputation du client.
VPN : Configurer IPsec et SSL virtual private networking.
User & Device : Configurer les comptes d'utilisateurs et l'authentification des utilisateurs,
y compris le menu de l'authentification externe comprend galement des fonctions de
scurit des terminaux, tels que la configuration de FortiClient et les modles de
dtection d'application.
WAN Opt. & Cache : Configurer l'optimisation WAN et de mise en cache Web pour
amliorer les performances et la scurit de passage du trafic entre les emplacements sur
votre rseau tendu (WAN) ou partir de l'Internet vos serveurs Web.
WiFi Controller: Configurer l'appareil pour agir en tant que contrleur de rseau sans fil,
la gestion de la fonctionnalit de point d'accs sans fil (AP) de FortiWiFi et FortiAP
units.
Log & Report : Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir
les messages du journal et des rapports.
Longlet systme du Fortigate:

Host Name : Le nom de l'unit de FortiGate.


Serial Number : le numro de srie de l'unit de FortiGate. Le numro de srie est
spcifique cette unit de FortiGate et ne change pas avec les mises jour du firmware.
HA Status : Le statut de la haute disponibilit (HA) au sein du cluster. Standalone
indique l'unit de FortiGate ne fonctionne pas en mode HA. Actif-passif ou actif-actif
indiquent l'unit de FortiGate fonctionne en mode HA.
System Time : La date et l'heure. Slectionnez Modifier, pour configurer l'heure
dusystme.
Firmware Version : La version du firmware install sur le botier FortiGate. Slectionnez
Mise jour pour tlcharger une version diffrente du micrologiciel.
System Configuration : La priode de temps lorsque le fichier de configuration a t
sauvegard. Backup pour sauvegarder la configuration actuelle Pour restaurer un fichier
de configuration, slectionnez Restaurer.
Current : Le nombre d'administrateurs actuellement connect l'unit de FortiGate.
Administrator : Slectionnez Dtails pour afficher plus d'informations sur chaque
administrateur qui est actuellement connect.
Uptime : Le temps en jours, heures et minutes depuis l'unit de FortiGate a t dmarr
ou redmarr.
Virtual Domain : Statut des domaines virtuels sur votre unit de FortiGate. Slectionnez
ENABLE ou DESABLE pour modifier le statut de domaines virtuels vedette Si vous
activez ou dsactivez les domaines virtuels, votre session prendra fin et vous devrez vous
connecter nouveau.
Operation Mode : Le mode de fonctionnement actuel de l'unit de FortiGate. Une unit
de FortiGate peut fonctionner en mode NAT ou en mode transparent (Slectionnez
Modifier pour basculer entre NAT et mode transparent).
En mode NAT, le FortiGate est visible sur le rseau auquel il est connect et toutes ses
interfaces se trouvent sur diffrents sous-rseaux. Chaque interface qui est connecte
un rseau doit tre configure avec une adresse IP qui est valide pour ce sous-rseau.
Gnralement le mode NAT est utilis lorsque FortiGate est dploy en tant que
passerelle entre les rseaux publics et privs (ou entre tous les rseaux).
FortiGate fonction comme un routeur, il achemine le trafic de routage entre ses
interfaces.
En mode transparent, le FortiGate est invisible pour le rseau. Toutes ses interfaces
sont sur le mme sous-rseau et partager la mme adresse IP. Pour connecter le
FortiGate un rseau, il faut configurer une adresse IP et une route par dfaut. On peut
utiliser gnralement FortiGate en mode transparent sur un rseau priv derrire un
pare-feu existant ou derrire un routeur. En mode transparent, le FortiGate fonctionne
galement comme un pare-feu. Les politiques de scurit contrlent les communications
travers FortiGate l'Internet et le rseau interne. Aucun trafic ne peut passer travers
FortiGate jusqu' ce quon ajoute des politiques de scurit.

Le menu Features du Fortigate :


Fonctions UTM regroupes sous le menu UTM : AntiVirus, Intrusion Protection, Web
Filter et AntiSpam, ainsi que le nouveau Data Leak , Les fonctions de prvention et de
contrle d'application sont regroupes sous un nouveau menu UTM. Tous les Antivirus,
Intrusion Protection, Web Filter et AntiSpam sont disponibles ici. La plupart des
fonctionnalits IM, P2P et VoIP ont t intgres au contrle des applications.

Antivirus : Techniques multiples


Anti-spam : Dtecter, tiqueter, bloquer et mettre en quarantaine le spam
Filtrage Web : Contrler l'accs au contenu Web inappropri
Protection contre les intrusions : Identifier et enregistrer le trafic suspect
Contrle d'application : Grer l'utilisation de la bande passante
Prvention des fuites de donnes : Empche la transmission d'informations sensibles
Domaines virtuels : FortiGate unique fonctionne comme des units multiples
Conception du trafic : Contrler la bande passante disponible et la priorit du trafic
VPN scuris : Assurer la confidentialit et l'intgrit des donnes transmises
Optimisation WAN : Amliorer les performances et la scurit
La haute disponibilit : Deux FortiGates ou plus fonctionnent comme un cluster
Conformit aux terminaux : Utiliser FortiClient End Point Security dans le rseau
Enregistrement : Analyse historique et actuelle de l'utilisation du rseau
Authentification d'utilisateur : Contrler l'accs aux ressources
Analyse et inspection du contenu SSL : l'analyse et l'inspection des contenus SSL,
permet dappliquer le filtrage antivirus, le filtrage Web, le filtrage Web FortiGuard, le
filtrage du courrier indsirable, la prvention des fuites de donnes (DLP) et l'archivage
du contenu aux trafics HTTPS, IMAPS, POP3S et SMTPS.

Systme Rseau (network) :


Cette partie dcrit comment configurer votre FortiGate pour oprer sur votre rseau.
Les paramtres rseaux de base comprennent la configuration des interfaces FortiGate et
des paramtres DNS. La configuration plus avance comprend lajout de sous-interfaces
VLAN et de zones la configuration rseau du FortiGate.

Interfaces :
En mode NAT/Route, slectionner System > Network > Interfaces pour configurer
les interfaces FortiGate. Il est possible dagrger plusieurs interfaces physiques sur une
interface IEEE 802.3ad, aussi de combiner des interfaces physiques en une interface
redondante, dajouter et configurer des sous-interfaces VLAN, de modifier la
configuration dune interface physique, et dajouter des interfaces sans.
Paramtres de linterface :
Pour configurer une interface, slectionner Systme > Rseau > Interface. Cliquer
sur Crer Nouveau pour crer une nouvelle interface. Pour diter une interface existante,
slectionner licne Editer de cette interface.
Nom de linterface : Entrer un nom pour linterface. Il nest pas possible de modifier le
nom dune interface existante.
Type : On peut crer des interfaces VLAN, agrges 802.3ad et redondantes.
Interface : Slectionner le nom de linterface physique laquelle voulez adjoindre une
sous interface VLAN. Une fois cr, le VLAN est repris dans la liste des interfaces en
dessous de son interface physique. Il est impossible de modifier linterface dune sous-
interface VLAN existante
ID VLAN : Entrer lID du VLAN qui correspond lID du VLAN des paquets destins
cette sous-interface VLAN. Il est impossible de modifier lID dune sous-interface VLAN
existante.
Mode dadressage : Pour configurer une adresse IP statique dune interface slectionner
Manuel et entrer adresse IP/masque de rseau dans le champ prvu cet effet. Ladresse
IP doit tre sous le mme sous-rseau que le rseau auquel linterface se connecte. Deux
interfaces ne peuvent pas avoir leurs adresses IP sur le mme sous-rseau.
Accs administratif : Slectionner les types daccs administratifs permis sur cette
interface.

Longlet Config :
HA (HIGH AVAILABILITY) : Dans ce module, une unit de FortiGate sauvegarde
sera install et connect un FortiGate install prcdemment, pour assurer
la redondance si l'unit de FortiGate primaire choue. Cette configuration, appele
FortiGate haute disponibilit (HA ), amliore la fiabilit du rseau.

FortiGate (HA) fournit une solution des composants essentiels de rseau d'entreprise,
une fiabilit et des performances accrues. Pour configurer les options HA afin que
FortiGate puisse rejoindre un cluster HA, accder System> Config> HA.
Mode : Un mode HA pour le cluster ou renvoyer les units FortiGate dans le cluster en
mode Standalone. Lors de la configuration d'un cluster, on doit dfinir tous les membres
du cluster HA dans le mme mode HA. Standalone (pour dsactiver HA), Active-Passive
ou Active-Active. Si les domaines virtuels sont activs, on slectionne Active-Passive ou
Standalone.
Device Priority : (Priorit du priphrique) Dfinisse ventuellement la priorit de l'unit
du cluster. Chaque unit de cluster peut avoir une priorit de priphrique diffrente.
Pendant la configuration HA, l'unit avec la plus grande priorit de priphrique devient
habituellement l'unit principale.
Dans une configuration de cluster virtuel, chaque unit de cluster peut avoir deux
priorits de priphrique, une pour chaque cluster virtuel. On peut accepter la priorit
par dfaut du priphrique lors de la premire configuration d'un cluster. Lorsque le
cluster fonctionne, on peut modifier la priorit de priphrique pour les diffrentes units
de cluster selon les besoins.
Nom du groupe : Un nom pour identifier le cluster. Le nom de groupe doit tre le mme
pour toutes les units de cluster avant que les units de cluster ne puissent former un
cluster. Aprs le fonctionnement d'un cluster, on peut modifier le nom du groupe. Le
changement de nom de groupe est synchronis toutes les units de cluster. Le nom de
groupe par dfaut est FGT-HA. Lorsque le cluster fonctionne, on peut modifier le nom du
groupe, si ncessaire. Deux clusters sur le mme rseau ne peuvent pas avoir le mme
nom de groupe.
Mot de passe : Un mot de passe pour identifier le cluster. Le mot de passe doit tre le
mme pour toutes les units de cluster avant que les units de cluster ne puissent former
un cluster. On peut accepter le mot de passe par dfaut lors de la premire configuration
d'un cluster. Lorsque le cluster fonctionne, on ajoute un mot de passe. Deux clusters sur
le mme rseau doivent avoir des mots de passe diffrents.
Enable Session pickup (Activer la slection de la session) : Cette option pour activer la
reprise de session afin que, si l'unit principale choue, toutes les sessions sont
rcupres par l'unit de cluster qui devient la nouvelle unit principale. La reprise de
session est dsactive par dfaut. On peut accepter le paramtre par dfaut pour la
reprise de session, puis choisir d'activer la reprise de session aprs le fonctionnement du
cluster.
Port Monitor : Cette option pour activer ou dsactiver la surveillance des interfaces
FortiGate pour vrifier que les interfaces surveilles fonctionnent correctement et sont
connectes leurs rseaux. Si une interface surveille choue ou est dconnecte de son
rseau, l'interface quitte le cluster et un basculement de liaison se produit. Ce
basculement provoque le cluster pour rediriger le trafic trait par cette interface vers la
mme interface d'une autre unit de cluster qui a toujours une connexion au rseau, cette
unit devient la nouvelle unit primaire. La surveillance des ports (surveillance
d'interface) est dsactive par dfaut. Laisser la surveillance des ports dsactive jusqu'
ce que le cluster fonctionne et activer uniquement la surveillance des ports pour les
interfaces connectes.
Interface de Heartbeat : Cette option pour activer ou dsactiver la communication de
pulsation de HA pour chaque interface du cluster et dfinir la priorit de l'interface de
pulsation. L'interface heartbeat avec la plus haute priorit traite tous les trafics de
pulsation. Si deux ou plusieurs interfaces de pulsation ont la mme priorit, l'interface de
pulsation avec la valeur de commande de carte de hachage la plus basse traite tout le
trafic de pulsation.
La configuration par dfaut de l'interface Heartbeat est diffrente pour chaque unit
FortiGate.

SNMP : Le protocole SNMP (Simple Network Management Protocol) permet de


surveiller le matriel sur votre rseau. On peut configurer le matriel, tel que l'agent
FortiGate SNMP, pour signaler les informations systme et envoyer des traps (alarmes ou
messages d'vnements) aux gestionnaires SNMP. Un gestionnaire SNMP est
gnralement un ordinateur excutant une application qui peut lire les messages
d'interruption et d'vnement entrants de l'agent et envoyer des requtes SNMP aux
agents SNMP. Un autre nom pour un gestionnaire SNMP est un hte. l'aide d'un
gestionnaire SNMP, on peut accder aux interruptions SNMP et aux donnes de toute
interface FortiGate ou sous-interface VLAN configure pour l'accs de gestion SNMP.
Agent SNMP : Active l'agent SNMP FortiGate.
Description : Des informations descriptives sur l'unit FortiGate.
Emplacement : L'emplacement physique de l'unit FortiGate.
Contact : Les coordonnes de la personne responsable de cette unit FortiGate.
Appliquer : Enregistrer les modifications apportes la description, l'emplacement et les
informations de contact.
Crer Nouveau : Pour ajouter une nouvelle communaut SNMP.

Replacement messages:
Aller dans System > Config > Replacement Messages pour modifier les messages de
remplacement et personnaliser le courrier d'alerte et les informations que l'unit
FortiGate ajoute aux flux de contenu tels que les messages lectroniques, les pages Web et
les sessions FTP. L'unit FortiGate ajoute des messages de remplacement une varit de
flux de contenu. Par exemple, si un virus est trouv dans un message lectronique, le
fichier est supprim de l'e-mail et remplac par un message de remplacement. Il en va de
mme pour les pages bloques par le filtrage web et le courrier lectronique bloqu par le
filtrage anti-spam.
Sytme Admin: lauthentification au FORTIGATE :
Cette section explique comment configurer les comptes d'administrateur sur FortiGate.
Les administrateurs accdent l'unit FortiGate pour configurer son fonctionnement. La
configuration d'usine par dfaut a un administrateur, admin. Une fois connect au
gestionnaire Web ou l'interface CLI, on peut configurer des administrateurs
supplmentaires avec diffrents niveaux d'accs aux diffrentes parties de la
configuration de l'unit FortiGate.
Certificats :
Permet la gestion les certificats de scurit partir des listes de linterface
dadministration web FortiGate. Ce module consiste gnrer des requtes de certificat,
installer des certificats signs, importer le certificat de lautorit de certification et des
listes de rvocation, sauvegarder et restaurer des certificats et leurs cls prives associes.

Certificat locaux :
Les requtes de certificat et les certificats serveurs installs sont affichs dans la liste des
Certificats Locaux. Aprs avoir soumis une requte une autorit de certification (AC),
cette dernire vrifie les informations et enregistre les informations de contact sur un
certificat digital qui contient un numro de srie, une date dexpiration et la cl publique
de lautorit de certification. LAC va ensuite signer et envoyer le certificat installer sur
le botier FortiGate. Pour visualiser des requtes de certificat et/ou importer des
certificats de serveur signs, VPN > Certificats > Local Certificats. Pour visualiser les
dtails du certificat, slectionner licne Voir les Dtails du Certificat du certificat
concern.
Certificats CA :
Lorsquon applique pour un certificat personnel (administratif) ou de groupe installer
sur des clients distants, on doit obtenir le certificat racine correspondant et la liste de
rvocation (CRL) de lautorit de certification. Les certificats CA installs sont affichs
dans la liste de Certificats CA. Pour visualiser des certificats racines AC installs ou pour
en importer, slectionner VPN > Certificats > Certificats CA.
CRL :
Une liste de Rvocation de Certificat (CRL) est une liste de souscripteurs de certificat CA
et des informations sur le statut du certificat. Les CRL installs sont affichs dans la liste
CRL. Le botier FortiGate utilise des CRL pour sassurer de la validit des certificats
appartenant des AC et des clients distants.
2. Systme Router (routage) :

Le routage dfinit comment les paquets sont envoys via un chemin dune source une
destination : La destination est un sous rseau, non connect directement, le routeur
relaie les paquets un autre routeur connu dans la table de routage. Les informations de
la table de routage peuvent tre configures manuellement, automatiquement ou un mix
des deux.
Routes statiques :
On configure des routes statiques en dfinissant l'adresse IP de destination et le masque
de rseau des paquets quon souhaite que le FortiGate intercepte et en spcifiant une
adresse IP (passerelle) pour ces paquets. L'adresse de passerelle spcifie le routeur du
prochain saut auquel le trafic doit tre rout.
Politique : Une stratgie de routage permet de rediriger le trafic loin d'une route statique.
On peut utiliser le protocole de trafic entrant, l'adresse ou l'interface source, l'adresse de
destination ou le numro de port pour dterminer o envoyer le trafic.
Routes dynamiques :
Cette section explique comment configurer des protocoles dynamiques pour acheminer le
trafic via des rseaux importants ou complexes. Les protocoles de routage dynamique
permettent de partager automatiquement des informations sur les routes avec les
routeurs voisins et d'en apprendre davantage sur les routes et les rseaux annoncs par
eux. L'unit FortiGate prend en charge ces protocoles de routage dynamique: Routing
Information Protocol (RIP) ; Open Shortest Path First (OSPF) ; Border Gateway Protocol
(BGP).
Protocole RIP : Le protocole d'information de routage (RIP) est un protocole de routage
vecteur distance destin de petits rseaux relativement homognes. Le FortiGate diffuse
des requtes de mises jour RIP depuis chacune de ses interfaces RIP. Les routeurs
voisins rpondent avec des informations provenant de leurs tables de routage.
Protocole OSPF : Ouvrir le chemin le plus court (OSPF) est un protocole de routage d'tat
de liaison qui est le plus souvent utilis dans de grands rseaux pour partager des
informations de routage entre routeurs dans le mme systme autonome.
Protocole BGP : Border Gateway Protocol (BGP) est un protocole de routage Internet
gnralement utilis par les FAI pour changer des informations de routage entre
diffrents rseaux ISP. Lorsque BGP est activ sur une interface, FortiGate envoie des
mises jour de table de routage aux systmes autonomes voisins connects cette
interface chaque fois qu'une partie de la table de routage FortiGate change.
Protocole Multicast : Une unit FortiGate peut fonctionner comme un routeur de la
version 2 de protocole de multidiffusion indpendante (PIM) dans le domaine virtuel
racine. Les applications de serveur de multidiffusion utilisent une adresse de
multidiffusion (Class D) pour envoyer une copie d'un paquet un groupe de rcepteurs.
Les routeurs PIM du rseau s'assurent qu'une seule copie du paquet est achemine par le
rseau jusqu' ce qu'elle atteigne une destination de point final. la destination de point
final, les copies du paquet ne sont effectues que lorsque cela est ncessaire pour fournir
les informations aux applications clientes de multidiffusion qui demandent le trafic
destin l'adresse de multidiffusion.

3. Policy (Politiques de scurit):


Policy :
Les units de FortiGate sont employes pour commander l'accs entre l'Internet et un
rseau, permettant typiquement des utilisateurs sur le rseau de se relier l'Internet
tout en protgeant le rseau contre l'accs non dsir de l'Internet. Ainsi une unit de
FortiGate doit savoir ce que l'accs devrait tre admis et ce qui devrait tre bloqu. Aucun
trafic ne peut passer par une unit de FortiGate moins que spcifiquement ait permis
par une politique de scurit.
Une fois qu'on permet le trafic, pratiquement toutes les caractristiques de FortiGate sont
appliques au trafic permis par des politiques de scurit. D'une politique de scurit, on
peut contrler la translation d'adresse, commander les adresses et les services employs
par le trafic, et appliquer des caractristiques telles qu'UTM, authentification, et VPNs.

Tout ce qui est exig est une politique de scurit simple qui permet au trafic du rseau
interne de se relier l'Internet. Tant quon n'ajoute pas une politique de scurit pour
permettre le trafic de l'Internet sur le rseau interne, ce rseau est protg. Quand un
utilisateur se relie l'Internet, ils s'attendent une rponse pour une page web par
exemple. En effet, une politique simple permet le trafic bidirectionnel, mais le trafic
entrant est seulement permis en rponse aux demandes envoyes.
DoS Policy :
Les politiques DoS sont principalement utiliss pour appliquer des capteurs DoS au trafic
rseau en FortiGate interface, il est de dpart ou d'entrer ainsi que la source et la
destination adresse. Les capteurs DoS sont une caractristique de dtection des
anomalies de trafic pour identifier le trafic rseau qui ne correspond pas aux habitudes et
aux comportements de trafic connus ou communs.
Les politiques DoS examinent le trafic rseau trs tt dans l'ordre des mesures de
protection. De ce fait, les politiques DoS sont une dfense trs efficace, en utilisant peu de
ressources.
Table NAT centrale :
La table NAT centrale permet de dfinir et de contrler la traduction d'adresses effectue
par l'unit FortiGate. Avec la table NAT, on peut dfinir les rgles qui dictent l'adresse
source ou le groupe d'adresses et quel pool IP l'adresse de destination utilise. L'unit
FortiGate lit les rgles NAT dans une mthodologie de haut en bas, jusqu' ce qu'il frappe
une rgle de correspondance pour l'adresse entrante. Cela permet de crer plusieurs
stratgies NAT qui dictent quel pool IP est utilis en fonction de l'adresse source. Les
politiques NAT peuvent galement tre rorganiss dans la liste des politiques. Les
stratgies NAT sont appliques au trafic rseau aprs une stratgie de scurit.
SSL / SSH d'inspection :
Une inspection profonde tait quelque chose qui soit activ ou non. Maintenant, des
profils individuels de scurit d'inspection profonde peuvent tre crs en fonction des
exigences de la politique.
Inspection SSL : Secure Sockets Layer (SSL) la numrisation et l'inspection du contenu
permet d'appliquer l'analyse antivirus, filtrage web, FortiGuard Web Filtering, et le
filtrage de messagerie pour le trafic crypt.

4.Firewall objects (Rgles de pare-feu) :


Les objets de pare-feu incluent des adresses, des services, et des programmes qui sont
employs dans les politiques de scurit pour commander le trafic admis ou bloqu par
une politique de scurit. Des adresses sont assorties avec la source et l'adresse de
destination des paquets reus par l'unit de FortiGate. Les adresses de pare-feu
dfinissent un un dispositif ou un rseau. On peut galement ajouter des Domain Name
au lieu des adresses numriques et employer l'adressage gographique pour spcifier tous
les IP adresses du trafic provenant d'un pays spcifique. Ces outils puissants d'adresse
permettent d'adapter des adresses aux besoins du client pour n'importe quelle condition
de politique de scurit.
Les units de FortiGate incluent un large ventail de services rseau prdfinis qui
peuvent tre ajouts aux politiques de scurit. On peut galement facilement crer des
services des douanes si le rseau emploie les services rseau qui ne sont pas dans la liste
prdfinie par FortiGate de services.

Adresses :
Un objet d'adresse peut comprendre d'une seule adresse IP, une plage IP ou un nom de
domaine complet (FQDN). L'utilisation d'un FQDN est utile de crer des rgles pour les
serveurs Internet et de grer les politiques dans un environnement grand rseau, parce
que les rgles seront toujours jour tant que le serveur DNS est capable de rsoudre
correctement le nom d'hte.
Service :
A ce module, le contrle du trafic rseau a t limit des mthodes telles que la cration
de VLANs et des filtres bass sur l'adresse source et la destination. Le protocole TCP/IP
est constitu de diffrentes couches; Chacun spcialis dans une tche spcifique. A
l'intrieur de chaque couche, on a un ou plusieurs protocoles ddis accorder des
caractristiques spcifiques.
Schedules :
Contrle quand les politiques de scurit sont en activit. On peut limiter quand une
politique est en activit en s'ajoutant schedules dfinissant le temps l'o la politique est
en activit. On peut crer recurring schedules qui prennent effet plusieurs reprises des
moments prcis de certains jours de la semaine.
traffic shapers :
Les objets de pare-feu incluent galement des traffic shapers, utiliss pour normaliser des
crtes et des clats de trafic pour donner la priorit certains coulements au-dessus
d'autres. Une grande varit de trafic formant des options sont disponible, vous
permettant de personnaliser le lissage du trafic en fonction de vos besoins de rseaux et
d'appliquer le trafic personnalis de mise en forme de toute politique de scurit.
Virtual IP :
Des objets pare-feu ajouts aux politiques de scurit pour effectuer diverses formes de
traduction d'adresses de rseau de destination (D-NAT) y compris l'adresse IP de
destination et de translation de port de destination et la redirection de port.
Load balancing :
L'objet final de pare-feu qui est une extension de l'IPS virtuel pour charger le trafic
d'quilibre passant par l'unit de FortiGate aux serveurs multiples. Programmes
d'quilibrage de la charge de soutiens d'quilibrage de la charge de FortiGate divers, vraie
surveillance de la sant de serveur, persistance, et acclration de SSL.

5. Security profiles (Profile de scurit) :


Unified Threat Management (UTM) cre des couches de contrle supplmentaires qui
examinent le contenu du trafic rseau dj autoris par les rgles relatives aux adresses,
services et horaires comme mentionn prcdemment. Les options UTM peuvent tre
regroupes en un profil quest en mesure d'appliquer une ou plusieurs politiques de
pare-feu.
Antivirus :
Ce module examine le trafic rseau pour les virus, les vers, les chevaux de Troie et les
logiciels malveillants. Le moteur d'analyse antivirus a une base de donnes des signatures
de virus qu'il utilise pour identifier les risques de scurit. En fonction de l'unit de
FortiGate, il est en mesure de choisir entre une base de donnes de virus rgulire, une
version tendue contenant "virus qui ne sont plus observes dans des tudes de virus
rcents", et une version extrme qui est capable de filtrer les virus qui ont t en sommeil
pendant une longue priode. Il y a aussi une option pour vrifier graywares (applications
ou fichiers non classes comme des virus qui peuvent encore affecter ngativement la
performance des ordinateurs).
La mthode la plus fiable pour dtecter les virus est pour le pare-feu pour tlcharger un
fichier entier et le scanner une fois que la transmission est termine. Un message de
remplacement sera envoy si le fichier est infect. Le client devra attendre jusqu' ce que
le balayage antivirus soit termin. Cependant, pour les gros fichiers, cela pourrait
impliquer un long temps d'attente et l'utilisateur pourrait essayer de relancer le
tlchargement. Pour viter un tel scnario, FortiGate dispose d'une fonctionnalit
appele client rconfortant qui transfre lentement le fichier en parties pour maintenir le
tlchargement "actif" sur le ct client. Ds que la vrification antivirus est termine,
l'utilisateur recevra le dossier complet ou le tlchargement sera interrompu si le fichier
est infect par un virus.
Les profils antivirus sont des configurations que sont en mesure d'appliquer une politique
de pare-feu et de dfinir ce que l'antivirus va contrler et comment le moteur antivirus de
grer les risques de scurit. Profils antivirus sont grs en naviguant dans les profils de
scurit | Antivirus | Menu Profil.
Web Filtre:
Le filtrage Web est utilis pour contrler le type de contenu (sites Web) que nos
utilisateurs sont en mesure d'accder sur http et https protocole sur l'Internet. Le menu
ddi ce type de contrle est le volet Web Filter dans le menu Profils de scurit.
La gamme de menaces que les filtres Web est plus grande que le blocage des logiciels
malveillants et inclut des contrles utiliss pour viter des problmes tels que l'exposition
des informations confidentielles et d'viter les problmes juridiques lis l'utilisation
illgitime des ressources Internet. Pour obtenir ce type de protection, il y a cinq niveaux
de dpistage suivants, tous grs en naviguant dans les profils de scurit | Web Filter |
Menu Profil:
Filtrage URL: On peut bloquer l'accs des URL spcifiques ou IPS publics en les
ajoutant la liste de filtres.
Filtre web FortiGuard: Il est un service d'abonnement qui classe des milliards de pages
Web pour le rendre plus facile autoriser ou de bloquer des catgories entires de sites
Web.
Filtrage de contenu Web: Il bloque les pages Web contenant des mots ou des
expressions spcifiques.
Filtrage de script Web: On peut configurer l'unit de FortiGate pour bloquer les applets
Java, les cookies et les scripts ActiveX partir des pages Web HTML.
Contrle des applications :
Les modifications suivantes ont t apportes pour amliorer la convivialit dans le
gestionnaire bas sur le Web :
Une nouvelle liste de catgorie a t faite qui apparat sur la page de capteur, trouv en
allant des profils de scurit> Application Control.
Signatures d'application peuvent tre consults en slectionnant Voir l'application
Signatures.
Remplacements d'application permettent de modifier les mesures prises pour les
signatures / applications spcifiques.
On peut bloquer l'utilisation de certaines applications en bloquant les ports qu'ils
utilisent pour les communications, de nombreuses applications ne pas utiliser les ports
standards pour communiquer. Le contrle des applications peut dtecter le trafic rseau
de plus de 1000 applications, l'amlioration du contrle sur la communication de
l'application.
Intrusion protection (protection contre les intrusions) :
Le systme de protection contre les intrusions FortiGate (IPS) protge le rseau interne
contre le piratage et d'autres tentatives d'exploitation des vulnrabilits des systmes.
Plus de 3000 signatures sont capables de dtecter les exploits contre divers systmes
d'exploitation, les types d'accueil, les protocoles et applications. Ces exploits peuvent tre
arrts avant qu'ils atteignent le rseau interne.
6.System Virtual Private Network VPN :
Permet aux utilisateurs un accs distant des ressources rseaux, semblable une
connexion locale. Ce module est utilis lorsquil est ncessaire de transmettre des
donnes prives dans un rseau public ; il fournit une connexion crypte point point,
par consquent les donnes ne peuvent tre interceptes par des utilisateurs non
autoriss. Diffrentes mthodes de scurit pour assurer que seuls les utilisateurs
autoriss peuvent accder au rseau priv.

IPSec VPN :
FortiOS supporte les tunnels VPN IPSec dont la phase1 est base sur le protocole IKE ainsi
que les fonctions de NAT Traversal pour la configuration des paramtres du tunnel,
l'authentification, la gnration des clefs de chiffrement des donnes et ltablissement du
tunnel et le protocole ESP pour la transmission des donnes (ip-protocol 50). Toutes ces
fonctions sont ralises aux travers des ASIC implants dans les quipements et
bnficient ainsi de l'acclration matrielle et d'un niveau de performance accru. Les
standards IPSec sont bien entendu respects tout en co nservant une configuration par le
support de diffrents modes de configuration (IKE mode config, mode Policy server pour les
tunnels dialup des utilisateurs nomades, fourniture automatise des adresses au travers du
tunnel -DHCP over IPSec-).
Le module VPN IPSec permet de configurer les rseaux privs en fonction des contraintes
oprationnelles et autorise l'implmentation des diffrentes topologies rencontres :
Site site : cette architecture permet de relier deux sites distants par un lien public en le
scurisant. Un tunnel est cre entre les deux sites et les donnes sont encapsules. Deux
clients situs sur deux sites distants peuvent alors communiquer simplement sans aucune
modification ou ajout sur aucun des postes. Le type de passerelle distante supporte peut
tre en adressage IP statique ou en DNS dynamique.
Maillage complet (full mesh) : il s'agit d'une variante du cas prcdent, lorsqu'il y a plus
de 2 sites en cause, il est possible de concevoir une architecture o chaque site est
connect l'ensemble des autres rduisant au minimum l'impact de la perte d'un lien.
Concentrateur (hub and spoke) : cette architecture est adapte aux sites multiples
galement. Un site central tablit des liaisons VPN avec plusieurs sites distants qui ne
sont pas relis entre eux. Le site central qui agrge tous les VPN peut servir de
concentrateur pour relayer les donnes dun site un autre. Ainsi les sites distants sont
virtuellement relis entre eux. Ainsi, une fois le tunnel VPN mont, deux clients situs sur
des rseaux distants peuvent communiquer comme sils taient situs sur le mme rseau
LAN. Un client peut naviguer sur internet en utilisant la connexion internet du site
distant.
Client site : Cette architecture permet de relier un client connect l'Internet distance
au site principal. Le poste client obtient une adresse virtuelle qui peut faire partie du LAN
protg par la passerelle simulant sa place sur le LAN. La phase1 doit tre configure avec
le type 'utilisateur dialup' car ladresse IP du client nest pas connue la plupart du temps.
Un client Dialup peut naviguer sur internet en utilisant le filtrage du Fortigate.

SSL VPN :
Ce module est utilis pour scuriser les transactions Web, tunnel HTTPS cr pour
transmettre des donnes applicatives de manire scurise, les clients sauthentifient sur
une page Web scurise (Portail VPN SSL).
Cette fonction se dcline en deux modes distincts et non exclusifs : le mode web et le
mode tunnel. En mode web tous les flux sont encapsuls dans un flux SSL ne ncessitant
ainsi qu'un navigateur web afin d'initier et d'utiliser le rseau priv virtuel ainsi constitu.
Dans ce mode les donnes ne sont pas encapsules dans un tunnel mais reposent
uniquement sur le protocole https scuris par la couche SSL. Certaines applications non
compatibles avec le protocole http ne peuvent pas fonctionner. Dans ce cas, le portail SSL
prend le relais qui assure la redirection et l'encapsulation. Les flux supports par cette
mthode sont : http, https, ftp, rdp, smb/cifs, ssh, telnet, vnc et ping.
Le mode tunnel, n'impose aucune restriction sur les applications utilisables travers le
lien scuris puisque lensemble du trafic mis par le poste client est encapsul dans le
tunnel SSL avant dtre remis en clair par le Fortigate. Une pile IP virtuelle chiffrant tout
le trafic est utilise ncessitant linstallation d'un client sur le poste nomade, il ncessite
en revanche de disposer des droits d'administration locaux sur le poste. Ce mode
fonctionne avec lattribution dune adresse IP spcifique au client. Afin de facilit
l'administration du tunnel, une interface virtuelle est cre. Une route statique ajoute
sur linterface virtuelle destination du client permet une communication dun client VPN
SSL en mode tunnel un autre, ltablissement dune session depuis un client sur le LAN
vers un client rattach au rseau par un tunnel VPN SSL. La navigation sur l'Internet
depuis un client VPN SSL passe par dfaut par le botier ce qui permet de profiter des
fonctionnalits de filtrage offertes par le Fortigate.

Un pare-feu aura essentiellement ces configurations :

Interface : O le pare-feu communique avec d'autres priphriques du rseau. Il peut


s'agir de LAN interne, extranet ou Internet. En gros, on va allouer des adresses IP pour
ces interfaces.

Table de routage : O envoyer les paquets. On peut voir une table de routage sur
presque tous les priphriques pris en charge par le rseau, tels que le routeur ADSL, le
routeur sans fil, les routeurs, le pare-feu et mme sur le PC (Mac, Windows, Linux, ...)
Politique de pare-feu : Quel type de trafic est autoris ou refus de passer par le pare-
feu. Il s'agit de la partie principale d'un pare-feu o on peut contrler l'accs par IP /
sous-rseau. Sur les pare-feu avancs, on peut trouver des composants de stratgie o il
est utilis pour crer une stratgie de pare-feu, comme le planificateur, la limitation de la
bande passante, l'adresse, le service, etc.
Mode de fonctionnement (NAT ou Transparent) : Si on utilise le Fortigate comme un
pare-feu entre un rseau priv et rseau public, NAT / Route est pour cette situation. Si
on place le pare-feu derrire un autre pare-feu ou dans le rseau interne, le mode
Transparent pourrait tre utilis.

Vous aimerez peut-être aussi