Académique Documents
Professionnel Documents
Culture Documents
L’UTM Fortigate
Fonctionnalités avancées
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Présentation du formateur
• Public concerné
• Connaissances requises
• Liens utiles
• Yassine.morsli@gmail.com
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics
CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com
Fortigate –
Fonctionnalités
de base
FortiAnalyzer Fortimail FortiWeb
Fortigate –
Fonctionnalités FortiManager
avancées
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Qu’est ce que le routage IP ?
• Routes statiques
• Routes dynamiques
• Adaptation simple des paquets aux routes, basée sur la destination des adresses
IP sur les paquets
• Le Fortigate supporte :
Routing Information Protocole (RIP)
Open Shortest Path First (OSPF)
Border Gateway Protocol (BGP)
Intermediate System to Intermediate System (IS-IS)
• Configurées manuellement
• Tous les autres paquets pour cette session vont utiliser le même chemin
Exception : Après changement de la topologie OSPF, les informations de routes sont
flushées à partir des sessions et doivent être apprises de nouveau
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Equal Cost Multi-Path (ECMP)
• Débordement (Spillover)
Utilise une seule route, jusqu’à atteinte d’un seuil de débordement, si atteint, le Fortigate utilise une
seconde route
• IP Source – IP destination
Les sessions avec la même paire d’IP source/destination utilisent la même route
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Reverse Path Forwarding (RPF)
Loose
Strict
IP Source : inconnue
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : inconnue
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconuue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage
0.0.0.0/0.0.0.0 wan1(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : inconnue
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : inconnue
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1
0.0.0.0/0.0.0.0 wan2
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : inconnue
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static) Les deux routes par
0.0.0.0/0.0.0.0 wan2(static) défaut ont la même
10.0.0.0/24 dmz (static) distance et priorité→ ECMP
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
• RPF stricte
Les adresses sources sont vérifiées dans la table de routage pour trouver la meilleure route (plus petit
sous réseau)
Si le paquet est reçu sur une interface utilisée pour rediriger le trafic vers la source, le paquet est
autorisé
SYN
SYN ACK
10.10.10.6
10.10.10.5
internal
Sous réseau : 20.20.20.0/24
Table de routage :
wan1 0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
20.20.20.20
10.10.10.6
10.10.10.5
RST
internal
Sous réseau : 20.20.20.0/24
Table de routage :
wan1 0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
20.20.20.20
10.10.10.6
SYN 10.10.10.5
internal
Sous réseau : 20.20.20.0/24
Table de routage :
wan1 0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
20.20.20.20
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Améliorer la bande passante et la disponibilité entre deux équipements
via l’agrégation de liens
• Équilibrer la charge en partageant le trafic via de multiples liens WAN
Lien WAN
virtuel
ISP 1
ISP 2 Internet
ISP 3
• Débordement (Spillover)
Utilise un seul lien jusqu’à atteinte d’un seuil de débordement, utilise après le lien suivant
• IP Source-Destination
Les sessions avec la même paire d’IP Source/Destination utilisent le même lien
• Volume mesuré
Distribution des sessions de tel sorte à ce que le volume de trafic soit distribué à travers tous les liens
Routeur: 192.168.1.1
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Diagnostiquer et corriger les problèmes de routage
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Utiliser les VLANs pour diviser logiquement un réseau de niveau 2 en
multiples segments
VLANs
Tag
Destination Source Type
Control Type Data CRC 32
MAC MAC 8100
Info
2 bytes 2 bytes
Tag
Destination Source Type
Control Type Data CRC 32
MAC MAC 8100
Info
VLAN A
VLAN B
Router A Router B
Subnet 1 Subnet 2
PC Comptables
PC Comptables
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Utiliser les VDOMs pour convertir le Fortigate en plusieurs boitiers
virtuels
• Limiter les ressources allouées globalement et par VDOM
VDOM 3
Domain A
Paramètres globaux
VDOM
settings
• En CLI :
config system global
set vdom-admin enable
end
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Router le trafic entre les VDOMs en utilisant les liens Inter-VDOMs
• Les règles de sécurité sont requises pour autoriser le trafic à partir d’autres
VDOMs, de la même manière que pour le trafic provenant d’interfaces
physiques
• Les routes sont également requises pour rediriger le trafic d’un VDOM à un
autre
Internet
Management VDOM
Internet
Management VDOM
Internet
Management VDOM
VDOM 1 VDOM 2
Réseau 1 Réseau 2
Internet
Réseau 1 Réseau 2
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Choix du meilleur mode de fonctionnement Fortigate
192.168.1.3
Les interfaces disposent
d’adresses IP
internal
192.168.1.99
dmz
10.10.10.1 10.10.10.2
wan1
204.23.1.5
wan1 internal
10.10.10.1 10.10.10.3
204.23.1.5
Gateway to
public network
Internet
Les règles de sécurité
contrôlent le trafic entre le
réseau interne et le
réseau externe
VLAN102_dmz
VLAN104_dmz
VLAN103_dmz
Port 1
VLAN102_dmz
VLAN104_dmz
Fortigate en
Internet mode
Transparent
Wan1 Port2
Port Pair → Trafic exclusif
Port3 Port1
Pont Transparent
Redirection de domaines
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Sécurisation du trafic
Match
Données créées (Cheksum) Données réçues (Cheksum)
Algorithme Algorithme
A l’expéditeur Au récepteur
• Ce qui a été chiffré par une clé ne peut être déchiffré en utilisant l’autre clé
Clé privée
Grand nombre Générateur de
aléatoire clé
Clé publique
Public
Public
Public
Private
Private
Private
PKI
• Les clés publiques sont disponibles pour les destinataires via la PKI ou autre méthodes
• Les clés privées doivent être enregistrées de façon sécurisée, accessibles uniquement pour les propriétaires de
clés
Elles doivent être protégées pour empêcher les accès non autorisés
alphorm.com™©
•
Formation Fortinet UTM - Fonctionnalités avancées
Exemple : Cryptographie asymétrique
Publique Privée
Algorithme Algorithme
A l’expéditeur Au récepteur
Cryptographie symétrique
Cryptographie asymétrique
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Authentifier les utilisateurs avec des certificats personnels
Serveur
d’authentification Utilisateur
Certificat utilisateur
Certificat CA1
Clé publique de
CA1
Certificat CA1
Clé publique de
CA1
Secret
Issued by trusted CA? Hello
Private
HTTPS://
Still valid?
Has it been revoked? Encrypted Secret
Public Secret
Symmetric key Symmetric key
Hello
Publique
certification publique
Private
Request submitted to
+
Certification Authority
Public
CRL
• La Liste des certificats révoqués (CRL) contient les numéros de série de tous les certificats jugés indignes de
confiance
• Le CRL sera toujours vérifié avant qu’un certificat soit utilisé pour s’assurer qu’il est encore de confiance
Doit être copié régulièrement, à partir de l’autorité de certification, manuellement sur le boitier Fortigate
Vérification du certificat
• Les clés et les certificats sont stockés dans
un fichier PKCS#12
CA
Par le CA
Échanges SSL
Générer un certificat
Importer un certificat
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Activer l’inspection du contenu SSL sur le Fortigate
Certificat
Proxy SSL
Trafic à dispenser
d’une inspection
SSL
Avertissement de certificat
Configuration
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Choisir le bon mode de haute disponibilité HA
Deux Fortigate ou
plus fonctionnent
en Cluster HA
Si un boitier tombe
en panne, un autre
prend le relai
Les secondaires
La configuration du Maitre estrestent
synchronisée avecenlesattente
boitiers
secondaires
Boitiers secondaires
Boitier primaire
Boitier primaire
Si le principal tombe en panne, le
secondaire prend le relai
Le boitier principal
Le boitier principal
traite letombe,
Si le boitier principal trafic un
partage les sessions
autre secondaire prend
avec les secondaires
immédiatement sa place
Fortigate Fortigate
Principal Secondaire
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tâches du Fortigate principal
• Echange des paquets Hello heartbeat avec tous les boitiers secondaires
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Device Failover
Adresses MAC
virtuelle Nouveau Maitre
Actif-Passif Actif-Actif
Actif-Passif Actif-Actif
• Le Maitre reçoit et traite • Le Maitre reçoit tout le
tout le trafic trafic
• Le boitier secondaire • Redirige certains trafic
attend passivement au boitier secondaire
• Failover de lien
Le Cluster peut monitorer certaines interfaces afin de déterminer si elles fonctionnent et
connectées
Si une interface monitorée du Fortigate Maitre tombe, le Cluster élit un nouveau Maitre
HA Failover
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Découvrir le protocole FGCP
• Synchronisation de la configuration
1. Un nouveau boitier
secondaire est ajouté au
Cluster
2. Le Maitre compare la
configuration du secondaire. Si Esclave
différente, il lui envoie sa
configuration
Maître Config
Config
2. Le changement est
synchroniser avec le
secondaire
Esclave
1. La configuration du
Maître change
Maître Config
Config
Synchronisation de la configuration
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Utiliser le Clustering virtuel pour la haute disponibilité par VDOM
HA Actif-Passif
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Vérifier les opérations du Cluster HA
checksum
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Identifier le comportement réseau à l’état normal
• Pourquoi ?
Un comportement anormal est difficile à déterminer, à moins que vous sachiez relativement
ce qui est normal ?
• Diagramme physique
Inclus des câbles, ports, et des périphériques de réseau
Niveau 1/2/3
• Diagramme logique
Inclus des sous-réseaux, routeurs, périphériques virtuels (VDOM) et UTM
Niveau 3 et plus
• Outils :
SNMP
Alertes Mails
Logging/Syslog
Fortianalyzer ou mécanisme de SIEM
Tableau de bord get system status
Destination
Evènements
déclencheurs de
traps SNMP
• Dashboard
• Traps SNMP
• Alertes mail
• Logs
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Pourquoi vous avez besoin de comprendre ce qu’est l’état
normal ?
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Comprendre la table des sessions
Troubleshooting physique
Troubleshooting réseau
Tests matériel
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Le support Fortinet
• Le licensing Fortigate
Firewall
800 / 800 / 800 1.5 /1.5 /1.5 3.5 /3.5 /3.5 3.5 /3.5 /3.5
(1518/512/64 1.3 Gbps 2 Gbps
Mbps Gbps Gbps Gbps
byte UDP)
Concurrent
200,000 500,000 2 Mil 1.5 Mil 2 Mil 1.5 Mil
Sessions
New
3,500 4,000 4,000 22, 000 4,000 22,000
Sessions/Sec
IPSec VPN 350 Mbps 1 Gbps 1 Gbps 200 Mbps 1 Gbps 130 Mbps
IPS (HTTP) 150 Mbps 200 Mbps 275 Mbps 800 Mbps 275 Mbps 950 Mbps
Antivirus (Proxy
30 Mbps 35 Mbps 35 Mbps 250 Mbps 35 Mbps 300 Mbps
based)
Interfaces
(LAN, WAN & 5 x GE RJ45 10 x GE RJ45 16 x GE RJ45 4x GE RJ45 16 x GE RJ45 16 x GE RJ45
DMZ)
Storage - - - 16 GB 32GB 16 GB
Storage - - - ✔ ✔✔ ✔ ✔✔
WiFi Variant ✔ ✔ - - ✔ ✔ -
UTM
✔ ✔ ✔✔ ✔✔✔ ✔✔ ✔✔✔ ✔✔
Performance
Small branch Small branch Small branch Small branch Small branch
Small offices Small offices
offices , Kiosks offices offices offices offices
Site-Site
Site-Site VPN,
Ideal Use Cases Site-Site VPN Site-Site VPN Site-Site VPN Limited VPN Limited VPN VPN, WAN
WAN opt.
opt.
Thick AP ✔ ✔ ✔ ✔ ✔
802.11n 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO
Max wireless
association rate 300Mbps 300Mbps 300Mbps 300Mbps 300Mbps
total
SSID’s (incl.
8 8 8 8 8
reserved)
Max nP (Total/
2/2 2/2 10 / 5 10 / 5 32 / 16
Local Bridge)
Concurrent Sessions 3 Mil 3 Mil 3.2 Mil 3.2 Mil 3.2 Mil
IPSec VPN 450 Mbps 450 Mbps 1.3 Gbps 1.3 Gbps 1.3 Gbps
IPS (HTTP) 950 Mbps 950 Mbps 1.7 Gbps 2.1 Gbps 2.1 Gbps
Antivirus
300 Mbps 300 Mbps 600 Mbps 600 Mbps 600 Mbps
(Proxy Based)
54 x GE RJ45,
Interfaces 20 x GE RJ45, 40x GE RJ45, 18 x GE RJ45, 42 x GE RJ45,
32 x GE PoE RJ45,
(LAN, WAN & DMZ) 2 x GE SFP 2x GE SFP 2 x GE SFP 2 x GE SFP
4 x GE SFP
IPS (HTTP) 1.4 Gbps 2.8 Gbps 2.8 Gbps 4.7 Gbps
Antivirus
200 Mbps 1.4 Gbps 1.4 Gbps 1.7 Gbps
(Proxy Based)
Firewall
16 / 16 /16 Gbps 36 / 36 / 24 Gbps 20 / 20 / 20 Gbps 52 / 52 / 33 Gbps
(1518/512/64 byte UDP)
Antivirus
1.3 Gbps 3 Gbps 1.7 Gbps 3.5 Gbps
(Proxy Based)
2 x 10GE SFP+,14 x GE
18x GE RJ45, 4 x 2x 10GE SPF+ , 16x GE
Interfaces 2x 10GE SPF+ , 8x GE RJ45,
Shared port pairs, 2 x SFP,
(LAN, WAN & DMZ) SFP, 8x GE RJ45 8 x Shared port pairs, 2
bypass Pairs 18x GE RJ45
x bypass Pairs
Le licensing
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvert
Le routage
Les certificats
Dimensionnement et support
Fortigate –
Fonctionnalités
de base
FortiAnalyzer Fortimail FortiWeb
Fortigate –
Fonctionnalit
FortiManager
és avancées