Alphorm 160817174127 PDF

Formation
L’UTM Fortigate
Fonctionnalités avancées
Yassine MORSLI
Site : http://www.alphorm.com Formateur et Consultant
Blog : http://blog.alphorm.com Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan
• Présentation du formateur
• Public concerné
• Connaissances requises
• Liens utiles
• Cursus de formation Fortinet

Présentation du formateur
• Yassine MORSLI
• Ingénieur Réseaux Systèmes et Sécurité
• Yassine.morsli@gmail.com
• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics
CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
 Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45

Public concerné
• Administrateurs Sécurité
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI

Connaissances requises
• Formation Fortinet Fortigate UTM (NSE4)

Liens utiles
• http://www.fortinet.com
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com

Cursus de formation Fortinet
Firewalling Administration Messagerie WAF

NSE 4 NSE 5 NSE 6 NSE 6
Fortigate –
Fonctionnalités
de base
FortiAnalyzer Fortimail FortiWeb
Fortigate –
Fonctionnalités FortiManager
avancées

LET’S GO !

Le routage
Introduction au
routage des paquets
Yassine MORSLI
Plan
• Qu’est ce que le routage IP ?
• Routes statiques
• Routes dynamiques
• Interpréter la table de routage

Qu’est ce que le routage IP ?
• Le routage définit comment les paquets sont envoyés via un chemin
d’une source à une destination :
 La destination est un sous réseau, non connecté directement, le routeur
relaie les paquets à un autre routeur connu dans la table de routage
 Les informations de la table de routage peuvent être configurées
manuellement, automatiquement ou un mix des deux
• Le Fortigate en mode NAT est entre autre un routeur de niveau 3

Routes statiques
• Configurées manuellement par un administrateur
• Adaptation simple des paquets aux routes, basée sur la destination des adresses
IP sur les paquets

Routes dynamiques
• Les chemins (routes) sont découverts automatiquement :
 Le Fortigate communique avec les routeurs voisins pour trouver les meilleures routes pour
leur sous réseau connectés
 Basée sur les adresses IP de destination des paquets
 Le routage s’organise automatiquement
• Le Fortigate supporte :
 Routing Information Protocole (RIP)
 Open Shortest Path First (OSPF)
 Border Gateway Protocol (BGP)
 Intermediate System to Intermediate System (IS-IS)

Table de routage
• Seulement les routes actuellement actives

Composants de la table de routage
• Chaque route de la table de routage dispose de :
 Adresse IP de destination et Mask

 Adresse IP de la passerelle / Interface
 Distance
 Metric
 Priorité

Distance
• Estime la ‘’qualité’’ de chaque protocole de routage et itinéraire statique :
 Une distance moins élevée est considérée plus fiable
 Si routes multiples, celle avec la distance la moins élevée est chargée dans la table de routage
• Valeurs des distances par défaut :

 Directement connecté 0
 Gateway DHCP 5
 Routes statiques 10
 Routes EBGP 20
 Routes OSPF 110
 Routes RIP 120
 Routes IBGP 200

Metric
• Utilisée par le protocole de routage dynamique pour déterminer la meilleure
route vers une destination
 Si routes multiples avec la même distance, celle avec la metric la moins élevée est chargée
dans la table de routage
• La metric est calculée selon le protocole de routage

 Le RIP considère le nombre de sauts
 OSPF utilise les coûts

Priorité
• Utilisée par les routes statiques pour déterminer la meilleure route vers une
destination
• Si de multiples routes statiques ont la même distance :
 Elles seront toutes chargées dans la table de routage
 Seule la route avec la priorité la moins élevée sera utilisée pour le routage

Quelles routes sont chargées ?
Le lien de sortie est-il

Existe-t-il des routes
UP ? (Pas de route si
multiples ? (inclus des
l’interface est
routes avec de plus
désactivée/non
petites distance)
connectée)
Les routes multiples

Les routes multiples
ont-elles la même
ont-elles des distances
metric ? Considérer les
égales ? (inclus des
spécifications du
routes avec les plus
protocole de routage
petites metric)
dynamique

Règles de routage
• Concordance plus sophistiquée que les routes statiques
 Protocole
 Adresse source
 Ports source
 Ports destination
 ToS
• Configurées manuellement
• Prioritaire sur la table de routage

Recherche de route
• Pour chaque session, le Fortigate exécute les règles de routage et la
consultation de la table de routage deux fois :
1. Au premier paquet envoyé
2. Au premier paquet reçu par le répondeur
• Les informations de routage sont écrites dans la table de session
• Tous les autres paquets pour cette session vont utiliser le même chemin
 Exception : Après changement de la topologie OSPF, les informations de routes sont
flushées à partir des sessions et doivent être apprises de nouveau

Ce qu’on a couvert
Eléments de la tables de routage
Comment le Fortigate match chaque paquet avec une route
Routes statiques, règles de routage, routage dynamique

Le routage
ECMP & Contrôle
de l’état du lien
Yassine MORSLI
Plan
• Equal Cost Multi-Path (ECMP)
• Contrôle de l’état des liens

Equal Cost Multiple Path (ECMP)
• Si, plusieurs routes ont :
1. La même distance
2. La même metric
3. La même priorité
4. Et sont des routes statiques/OSPF/BGP
Alors, le Fortigate distribue les paquets via les routes ECMP

Méthodes ECMP
• Basée sur l’IP source (par défaut)
 Les sessions à partir de la même adresse IP source utilisent la même route
• Partage de charge basée sur le poids (Weighted load balance)

 Les sessions sont distribuées sur la base du poids de chaque interface
• Débordement (Spillover)
 Utilise une seule route, jusqu’à atteinte d’un seuil de débordement, si atteint, le Fortigate utilise une
seconde route
• IP Source – IP destination
 Les sessions avec la même paire d’IP source/destination utilisent la même route

Equal Cost Multi-Path
Sous réseau : 192.168.1.0/24

IP Source : inconnue
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconnue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Equal Cost Multi-Path
Sous réseau : 192.168.1.0/24

Internet
wan1:
1.1.1.1/30
dmz
wan2:
Internet
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Contrôle de l’état du lien
• Envoie périodiquement des paquets de sonde à un serveur via une
passerelle
• Si le Fortigate ne reçoit pas de réponse durant le temps imparti au seuil
de basculement, une ou deux des actions suivantes sont prises :
 Toutes les routes utilisant la passerelle sont supprimées de la table de routage
 L’interface du Fortigate est mise à DOWN
• Si des routes secondaires sont disponibles, le Fortigate les charge et les

utilise à la place de la route principale – basculement du routage

Configuration du contrôle de l’état du lien

Equal Cost Multi-Path (ECMP)
Contrôle de l’état du lien

Le routage
Reverse Path Forwarding
Yassine MORSLI
Plan
• Reverse Path Forwarding (RPF)
 Loose
 Strict

Reverse Path Forwarding (RPF)
• Le RPF protège contre les attaques de type spoofing d’adresse IP
• Vérifie l’adresse IP source de tous les paquets

 Si la route retour vers l’adresse IP source ne concorde pas avec le chemin emprunté par le
paquet original, le paquet est considéré comme frauduleux et il est bloqué
• Le RPF est pris en charge seulement sur :

 Le premier paquet de la session, pas sur la réponse
 Le paquet suivant dans la direction d’origine après un changement de route, pas sur la
réponse
• En CLI, diagnose debug flow affiche les paquets bloqués

Sous réseau : 192.168.1.0/24
Internet
wan1:
1.1.1.1/30
dmz
wan2:
Internet
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Sous réseau : 192.168.1.0/24
Internet
wan1:
1.1.1.1/30
dmz
wan2:
2.2.2.1/30 IP Source : inconuue
Internet
IP Source : 10.0.0.1/24 Routes dans la table de routage
0.0.0.0/0.0.0.0 wan1(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Sous réseau : 192.168.1.0/24
Internet
wan1:
1.1.1.1/30
dmz
wan2:
Internet
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Sous réseau : 192.168.1.0/24
Internet
wan1:
1.1.1.1/30
dmz
wan2:
Internet
0.0.0.0/0.0.0.0 wan1
0.0.0.0/0.0.0.0 wan2
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Sous réseau : 192.168.1.0/24
Internet
wan1:
1.1.1.1/30
dmz
wan2:
Internet
0.0.0.0/0.0.0.0 wan1(static) Les deux routes par
0.0.0.0/0.0.0.0 wan2(static) défaut ont la même
10.0.0.0/24 dmz (static) distance et priorité→ ECMP
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

RPF Strict vs. RPF Loose
• La vérification du RPF peut être configurée pour être plus stricte
• Le paramètre RPF par défaut est Loose

 Vérifie uniquement l’existence d’une route pour l’interface de réception
 Le paquet est redirigé même si un meilleur itinéraire est disponible via une autre interface
• RPF stricte
 Les adresses sources sont vérifiées dans la table de routage pour trouver la meilleure route (plus petit
sous réseau)
 Si le paquet est reçu sur une interface utilisée pour rediriger le trafic vers la source, le paquet est
autorisé
config sys setting

set strict-src-check [disable | enable]
end

Loose RPF
Sous réseau : 10.10.10.0/24
SYN
SYN ACK
10.10.10.6
10.10.10.5
internal
Sous réseau : 20.20.20.0/24
Table de routage :
wan1 0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
20.20.20.20
hping –a 10.10.10.5 –p 80 –S 10.10.10.6

Loose RPF
Sous réseau : 10.10.10.0/24
10.10.10.6
10.10.10.5
RST
internal
Sous réseau : 20.20.20.0/24
Table de routage :
wan1 0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
20.20.20.20
hping –a 10.10.10.5 –p 80 –S 10.10.10.6

Strict RPF
Sous réseau : 10.10.10.0/24
10.10.10.6
SYN 10.10.10.5
internal
Sous réseau : 20.20.20.0/24
Table de routage :
wan1 0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
20.20.20.20
hping –a 10.10.10.5 –p 80 –S 10.10.10.6

Interface de loopback
• Interface ‘’logique’’ toujours UP et disponible
 Utile pour les protocoles de routage dynamique
• Tout le trafic destiné pour le loopback s’arrête au Fortigate

Reverse Path Forwarding loose et stricts

Le routage
Optimisation des liens
Yassine MORSLI
Plan
• Améliorer la bande passante et la disponibilité entre deux équipements
via l’agrégation de liens
• Équilibrer la charge en partageant le trafic via de multiples liens WAN
• Utilisation des routes de blackhole

Aggregation de liens
• Groupe de plusieurs ports physiques à partir d’un canal logique unique avec
une plus grande bande passante
 Augmente la redondance pour la haute disponibilité

Load Balancing de lien Wan
• Un lien WAN virtuel est constitué de plusieurs interfaces connectées à
différents ISPs
 Le Fortigate voit le lien virtuel WAN comme une interface logique unique
 Simplifie la configuration
 Uniquement un lien WAN virtuel par VDOM
Lien WAN
virtuel
ISP 1
ISP 2 Internet
ISP 3

Méthodes de load balancing des liens WAN
• IP Source (par défaut)
 Les sessions provenant de la même adresse IP source utilisent le même lien
• Weighted round robin

 Les sessions sont distribuées selon le poids des interfaces
• Débordement (Spillover)
 Utilise un seul lien jusqu’à atteinte d’un seuil de débordement, utilise après le lien suivant
• IP Source-Destination
 Les sessions avec la même paire d’IP Source/Destination utilisent le même lien
• Volume mesuré
 Distribution des sessions de tel sorte à ce que le volume de trafic soit distribué à travers tous les liens

Configuration du load balancing des liens WAN

Mesure de la qualité du lien WAN
• Le Fortigate peut mesurer la qualité de chaque interface membre, basée
sur soit la latence ou bien l’instabilité du lien

Interface logique du lien WAN
• Une interface logique nommée wan-load-balance est automatiquement
créée
• Ajouter les routes statiques et les règles de sécurité en utilisant
l’interface logique

Routes trou noir (Blackhole routes)
• Type spécial de routes statiques utilisé pour couper tout le trafic concerné
 Prévient les boucles réseau
 Les paquets sont écartées silencieusement, pas de message d’erreur ICMP envoyé
Sous réseau :192.168.1.0/24
Routeur: 192.168.1.1
Route internet par défaut :

Internet 0.0.0.0

Agrégation de liens
Interface de loopback et routes de trou noir
Load balancing de liens WAN

Le routage
Diagnostique
de l’état du lien
Yassine MORSLI
Plan
• Diagnostiquer et corriger les problèmes de routage

Commandes de diagnostique de routage
# get router info routing-table all

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
O* 0.0.0.0/0 [10/0] via 192.168.11.254, wan1, 01:29:24

C 172.16.78.0/24 is directly connected, wan2
O 192.168.1.0/24 [110/200] via 182.168.11.59, internal, 01:30:28
C 192.168.3.0/24 is directly connected, dmz
C 192.168.11.0/24 is directly connected, internal

# get router info kernel
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.210/3

2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 192.168.8.111/255.255.255.255/0->8.8
.8.8/32 pref=0.0.0.0 gwy=192.168.8.1 dev=6(dmz)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 81.43.23.44/255.255.255.255/0->8.8
.8.8/32 pref=0.0.0.0 gwy=81.43.23.41 dev=5(wan2)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 172.17.0.254/255.255.255.255/0->8.8.
8.8/32 pref=0.0.0.0 gwy=172.17.0.1 dev=4(wan1)

# diagnose ip address list
IP=192.168.12.254->192.168.12.254/255.255.255.0 index=3 devname=wan1

IP=127.0.0.1->127.0.0.1/255.0.0.0 index=5 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=7 devname=ProviderA
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=9 devname=ProviderB
IP=172.16.78.254->172.16.78.254/255.255.255.0 index=12 devname=wan2
IP=192.168.3.254->192.168.3.254/255.255.255.0 index=13 devname=dmz

# diagnose ip arp list
index=7 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=1835 confirm=55

update=911331 ref=5
index=2 ifname=port1 192.168.1.99 state=00000001 use=174 confirm=916499 update=174
ref=17
index=2 ifname=port1 192.168.1.116 ac:72:89:56:aa:31 state=00000002 use=0 confirm=7
update=12141 ref=2
index=2 ifname=port1 224.0.1.140 01:00:5e:00:01:8c state=00000040 use=911087
confirm=917087 update=911087 ref=1

Moniteur de lien
• Affiche le statut du moniteur de l’état du lien et le load balancing du
lien WAN

Comment diagnostiquer ?

La virtualisation de pare-feu
VLANs
Yassine MORSLI
Plan
• Utiliser les VLANs pour diviser logiquement un réseau de niveau 2 en
multiples segments

VLANs
Physical interfaces
VLANs
• Subdivise le réseau physique de couche 2 en plusieurs segments plus petits :

 Chaque segment forme un broadcast de domaine
 Des tags de vlans sont ajoutés aux trames pour identifier leur segment

Tags de VLANs
• Extension de 4 octets de la trame Ethernet
• Les équipements de niveau 2 peuvent ajouter ou supprimer des tags
• Les équipements de niveau 3 peuvent réécrire les tags avant le routage

 Le Fortigate est de niveau 3, raison pour laquelle il peut réaliser du routage inter-VLANs
Ethernet frame using VLAN tags
Tag
Destination Source Type
Control Type Data CRC 32
MAC MAC 8100
Info
2 bytes 2 bytes
•Domaine prioritaire de l’utilisateur

•Indicateur de format canonique
•Identificateur VLAN

VLANs on a FortiGate
Tag
Destination Source Type
Control Type Data CRC 32
MAC MAC 8100
Info
VLAN A
VLAN B

VLANs on a FortiGate
Tag: VLAN 100
Tag: VLAN 100 Tag: VLAN 300 Tag: VLAN 300
Router A Router B
VLAN 100 VLAN 200 VLAN 300
Subnet 1 Subnet 2
Branch office Headquarters

VLAN Scenario
Headquarters
Branch office
PC Comptables
PC Comptables
• Les ordinateurs des comptables situés dans des

sites différents doivent partager des fichiers
fréquemment, mais ne devraient pas
broadcaster aux voisins
• Les Fortigates peuvent traiter les trames de ces
ordinateurs comme s’ils étaient sur le même
PC Comptables
réseau local physique
Retail office

Créer un VLAN
• Les trames envoyées/reçues par

le segment de l’interface
physique ne sont jamais taguées
 Appartiennent au VLAN natif

VLANs et tags de VLANs

VDOMs
Yassine MORSLI
Plan
• Utiliser les VDOMs pour convertir le Fortigate en plusieurs boitiers
virtuels
• Limiter les ressources allouées globalement et par VDOM
• Créer des comptes d’administration globaux et par VDOM

Virtual Domains
Domain A Domain B Domain C
One physical FortiGate device Multiple virtual FortiGate devices
• Fractionne un Fortigate physique en multiples Fortigates virtuels

 Avec des règles de sécurité indépendantes, tables de routage, etc.
• Les paquets sont limités au même VDOM
• Le Fortigate supporte jusqu’à 10 VDOM par défaut

 Il est possible sur quelques modèles d’avoir plus
Allocation de ressources systèmes
• Ressources globales limitent ce qui est alloué à chaque paramètre sur le
Fortigate global
• Ressources VDOM limitent ce qui est alloué à chaque paramètre dans chaque
VDOM
 Garantit une allocation de ressources minimales par VDOM
 Aucun VDOM ne peut consommer toutes les ressources du boitier

Limites de ressources globales et par VDOM
VDOM 3
Limites de ressources VDOM
Limites de ressources globales

Paramètres globaux
Domain A
Paramètres globaux
• Affectent tous les domaines virtuels configurés

 Hostname
 Paramètres DNS
 Horloge
 Version Firmware

Paramètres par VDOM
Domain A
VDOM
settings
• Configurés séparément au niveau de chaque VDOM

 Mode de fonctionnement
 Paramètres de routage
 Paramètres de pare-feu
 Paramètres UTM
 …

Activer les VDOMs
• En CLI :
config system global
set vdom-admin enable
end

Administrations des VDOMs
• Seuls les comptes nommés ‘’admin’’ ou les comptes avec un profile
‘’super_admin’’ peuvent configurer et sauvegarder tous les VDOMs
super_admin profile

Administrateurs par VDOM
• Les autres administrateurs peuvent accéder uniquement aux VDOMs auxquels
ils sont assignés
 Ne peuvent pas accéder aux paramètres globaux
 Peuvent accéder uniquement aux paramètres du VDOM auquel ils sont assignés

Créer les administrateurs de VDOM

VDOMs
Ressources globales et par VDOM
Comptes administrateurs de VDOM

Liens Inter-VDOMs
Yassine MORSLI
Plan
• Router le trafic entre les VDOMs en utilisant les liens Inter-VDOMs

Liens Inter-VDOM
• Peut connecter différents VDOMs
• Support varie selon le mode de fonctionnement du VDOM

 NAT vers NAT
 NAT vers Transparent / Transparent vers NAT
 Transparent vers Transparent

Liens Inter-VDOMs
• Les liens Inter-VDOMs permettent une communication des VDOMs entre eux
 Il n’est pas requis que le trafic quitte une interface physique, puis rentre de nouveau sur le
Fortigate
 Nécessite moins d’interfaces physiques et moins de cables
• Les règles de sécurité sont requises pour autoriser le trafic à partir d’autres
VDOMs, de la même manière que pour le trafic provenant d’interfaces
physiques
• Les routes sont également requises pour rediriger le trafic d’un VDOM à un
autre

Créer des liens Inter-VDOMs

Moniteur des ressources de VDOM
• Le moniteur des VDOMs affiche:
 L’utilisation CPU
 L’utilisation mémoire
 Nombre de sessions
 Les sessions par seconde

VDOM de management
• Le VDOM de management est le VDOM qui gère tout le trafic de
gestion
• Il doit avoir accès à tous les services requis par le système
 DNS
 NTP
 Mise à jour FortiGuard
 Journalisation vers le FortiAnalyzer ou Syslog
 Alertes Email
 SNMP
• Par défaut, le VDOM de gestion est le VDOM root

Exemples : VDOMs inépendants
Internet
Internet
VDOM 1 VDOM 2 VDOM 3
Réseau 1 Réseau 2 Réseau 3

Exemples : VDOMs inépendants
Internet
Internet
• Plusieurs VDOMs complètement séparés les

uns des autres
• Pas de communication entre les VDOMs
• Chacun a son propre lien de communication
physique vers Internet

Exemple : Routage via le VDOM de Management
Internet
Management VDOM

Exemple : Routage via le VDOM de Management
Internet
Management VDOM
• Le trafic sortant toujours routé via le

VDOM 1VDOMVDOM
root2 VDOM 3
 Le VDOM root est connecté à d’autres via les
liens Inter-VDOMs
• Seul le VDOM root est connecté à

Internet via une interface physique

Exemple : Maillage de VDOMs
Internet
Management VDOM
VDOM 1 VDOM 2
Réseau 1 Réseau 2

Exemple : Maillage de VDOMs
Internet
• Les VDOMs se connectent entre eux via des liens

Inter-VDOMs
Management VDOM
• Il n’est pas requis que le trafic passe via le VDOM

de management sauf pour le trafic Internet
VDOM 1 VDOM 2
• Seul le VDOM root est connecté à Internet via
une interface physique
• Le routage entre les interfaces virtuelles peut vite
devenir complexe
Réseau 1 Réseau 2

Liens Inter-VDOMs
Moniteur de ressources par VDOM
Topologies des VDOM

Le mode transparent
Fortigate en mode
Transparent
Yassine MORSLI
Plan
• Choix du meilleur mode de fonctionnement Fortigate
• Segmenter le réseau en plusieurs domaines de redirection
• Prévenir les tempêtes de diffusion et le battement de MAC en utilisant

le jumelage de ports

Modes de fonctionnement
• Définit comment le Fortigate prend en charge le trafic :
 Mode NAT/Route
• Routes selon la niveau 3 du modèle OSI, comme un routeur
• Les interfaces du Fortigate disposent d’adresses IP
 Mode transparent
• Redirige selon le niveau 2 (adresses MAC), comme un pont transparent
• Ne requiert pas de changement d’adresse IP dans le réseau
• Le Fortigate ne dispose pas d’adresse IP, excepté pour la connexion des administrateurs

Mode de fonctionnement – NAT/Route
192.168.1.3
Les interfaces disposent
d’adresses IP
internal
192.168.1.99
dmz
10.10.10.1 10.10.10.2
wan1
204.23.1.5
Internet Routage basé sur l’IP

Mode de fonctionnement – Transparent
Pas d’IPs par interface
Switching, pas de routage (Management IP)
wan1 internal
10.10.10.1 10.10.10.3
204.23.1.5
Gateway to
public network
Internet
Les règles de sécurité
contrôlent le trafic entre le
réseau interne et le
réseau externe

Pont Transparent
• Un pont est transparent pour les hôtes de couche IP
• Le Fortigate construit une table pour la redirection du trafic en analysant

l’adresse MAC source des trames entrantes à partir des réseaux rattachés
• Fractionne le réseau en plusieurs domaines de collision :
 Réduit l’occurrence des collisions des domaines individuels
 Peut améliorer le temps de réponse réseau

Redirection de domaine
• Par défaut, toutes les interfaces dans un VDOM appartiennent au même
domaine de broadcast
 Même les interfaces avec des ID de VLANs différents
 S’il contient de multiples interfaces, le domaine de broadcast peut être très large, interfère
avec le STP, et peut causer du flapping d’adresses MAC
• Pour diviser un VDOM en plusieurs domaines de broadcast

config system interface
edit <Nom_interface>
set forward-domain <ID_domaine>
end
 Les interfaces avec le même ID appartiennent au même domaine de broadcast

Domaine de Broadcast
Broadcast ARP sur

VLAN101_wan1
Fortigate en
mode
Transparent
VLAN101_wan1
VLAN101_internal
Toutes les interfaces dans

VLAN103_dmz le domaine de forward 0
(par défaut)
Port 1
VLAN102_dmz
VLAN104_dmz

Transfert de domaine
config sys interface config sys interface
edit VLAN101_wan1 edit VLAN101_internal
set forward-domain 101 set forward-domain 101
config sys interface config sys interface
edit VLAN101_wan1 edit VLAN101_internal
end end end

Broadcast ARP sur set forward-domain 101 set forward-domain 101
VLAN101_wan1 end
Fortigate en
mode
Transparent
Forwarding domain 101
VLAN101_wan1 VLAN101_internal
VLAN103_dmz
Port 1
VLAN102_dmz
VLAN104_dmz

Jumelage de Ports (Port Pairing)
• Lier logiquement deux ports dans un Fortigate en mode Transparent
 Habituellement, un port interne et un port externe
• Le trafic est capturé entre ces ports

 Le trafic entrant sur un port est tout le temps redirigé vers l’autre port
• Evite la complexité comme les tempêtes de diffusion, et les MAC flapping

Port Pairing
Fortigate en
Internet mode
Transparent
Wan1 Port2
Port Pair → Trafic exclusif
Port3 Port1

Mode NAT vs. Mode Transparent
Pont Transparent
Redirection de domaines
Jumelage de ports (Port Pairing)

Les certificats
La cryptographie
Yassine MORSLI
Plan
• Sécurisation du trafic
• Comprendre la cryptographie symétrique
• Comprendre la cryptographie asymétrique

Comment sécuriser le trafic ?
• Sécurise la communication entre deux personnes ou deux périphériques
• Les éléments inclus:

 La confidentialité des données
 L’intégrité des données
 L’authentification
 La non répudiation
Internet

Cryptographie : Confidentialité des données
• Le cryptage brouille les données qui transitent dans le réseau :
 Les données sont privées lorsqu’elles transitent
 Seuls les destinataires légitimes de la donnée peuvent la déchiffrer

Cryptographie : Intégrité des données
• Les destinataires vérifient que la donnée n’a pas été modifiée durant le transit
sur le réseau :
 Le cheksum des données en réception correspond au cheksum en émission
Match
Données créées (Cheksum) Données réçues (Cheksum)

Authentification
Information d’identité Indentité de l’expéditeur vérifiée
annexée à la donnée et approuvée
• Le récepteur peut vérifier l’identité des expéditeurs de confiance

 Permet de confirmer l’origine des données

Non-Repudiation
Information d’identité L’expéditeur ne peut pas nier
annexée à la donnée sa participation à l’échange
• L’expéditeur ne peut pas nier sa participation à l'opération à une date ultérieure

• Les informations d’identité lient l’expéditeur aux données échangées

Chryptographie symétrique
Numéro aléatoire Le même numéro
entre 40 et 256 bits
Algorithme Algorithme
Texte plein Algorithme Texte crypté Algorithme Texte plein

symétrique asymétrique
A l’expéditeur Au récepteur

Cryptographie symétrique
• La clé utilisée pour le chiffrement est la même que celle utilisée pour le déchiffrement
• Doit être partagée par l’expéditeur et le destinataire

 La clé doit être remise au destinataire en toute sécurité avant de pouvoir déchiffrer la donnée
 Avoir une clé découverte ou divulguée compromet toutes les communications basées sur cette clé
• La conversion de la donnée en cryptée et inversement est rapide

 Adaptée pour le chiffrement des données en bloc
• Problèmes de gestion de clés

 Le nombre de clés devant être gérés augmente avec la taille de la communauté

Cryptographie asymétrique
• Utilise deux clés différentes : publique et privée
• Les deux clés sont mathématiquement liées
• Extrêmement difficile de deviner la clé publique de la clé privée
• Ce qui a été chiffré par une clé ne peut être déchiffré en utilisant l’autre clé
Clé privée
Grand nombre Générateur de
aléatoire clé
Clé publique

Asymmetric Cryptography
Public
Public
Public
Private
Private
Private
PKI
• Les clés publiques sont disponibles pour les destinataires via la PKI ou autre méthodes
• Les clés privées doivent être enregistrées de façon sécurisée, accessibles uniquement pour les propriétaires de
clés
Elles doivent être protégées pour empêcher les accès non autorisés
alphorm.com™©
•
Formation Fortinet UTM - Fonctionnalités avancées
Exemple : Cryptographie asymétrique
Publique Privée
Algorithme Algorithme
Texte plein Algorithme Texte chiffré Algorithme Texte plein

asymétrique asymétrique
A l’expéditeur Au récepteur

Sécuriser le trafic
Cryptographie symétrique
Cryptographie asymétrique

Les certificats
Les certificats
digitaux
Yassine MORSLI
Plan
• Authentifier les utilisateurs avec des certificats personnels
• Créer et soumettre une requête de certificat

Certificat digital
• Identifie une identité finale (utilisateur ou service réseau)
• Contient des informations de l’entité, inclus sa clé publique
• Publié et signé par une autorité de certification (CA)

 Le CA certifie que les informations sont valides et vraies
• Les autorités de certification publiques sont publiquement connues comme

fournisseurs de certificats
 GoDaddy, Verisign, etc.

Types de certificats digitaux
• La plupart des types des certificats communs :
 Certificats CA : Valide l’autorité de certification (CA) et contient la clé publique du CA
 Certificats service local : identifie les services réseau, comme les portails web HTTPS.
Contiennent une clé publique du service réseau
 Certificats utilisateur : Identifie un utilisateur et contient la clé publique de l’utilisateur
• Les certificats ‘Utilisateurs’ et ‘Service local’ sont également appelés Certificat

d’entité finale (End-entity certificate)

Champs des certificats digitaux
• Quelques champs dans un certificat digital :
 Numéro de série : ID unique
 Sujet : l’entité identifiée
 Algorithme de signature : l’algorithme utilisé pour créer la
signature
 Signature : la signature CA chiffrée avec la clé privée du CA
 Emetteur : L’autorité qui a émis et signé le certificat
 Valid-From : la date à partir de laquelle le certificat a
commencé à être valide
 Valid-To : la date d’expiration
 Key-Usage : but de la clé publique
 Clé publique : La clé publique de l’entité identifiée

Authentifiation utilisateur par certificat
• La signature du certificat utilisateur a été cryptée en utilisant la clé privée du
CA1
• Le serveur d’authentification doit avoir le certificat CA1, contenant la clé
publique du CA1, pour déchiffrer et valider la signature du certificat utilisateur
Serveur
d’authentification Utilisateur
Certificat utilisateur
Signé par CA1

Chiffré par CA1
Clé privée
Certificat CA1
Clé publique de
CA1

Service de validation de certificat
• Lorsqu’un serveur requête une page web HTTPS, il reçoit le propre certificat du
site web, qui a été signé par un CA
• Le navigateur doit faire confiance au CA pour authentifier le certificat :
 Les certificats CA, contenant la clé publique du CA, pour chiffrer et valider la signature dans
le certificat, doivent exister sur la liste du navigateur des CA de confiance
Site Web
Utilisateur
Certificat du site web
Signé par CA1

Chiffré par CA1
Clé privée
Certificat CA1
Clé publique de
CA1

Secure Socket Layer Security
Secret
Issued by trusted CA? Hello
Private
HTTPS://
Still valid?
Has it been revoked? Encrypted Secret
Public Secret
Symmetric key Symmetric key

Secure Socket Layer Security
Hello

Génération du certificat digital
Autorité de Base de données

Privée
Publique
certification publique
• La clé publique est soumise à l’autorité de certification

 Le fichier est habituellement un *.CSR (Certifiate Signing Request)
 L’information utilisateur et la donnée sont vérifiées
• La donnée est publiée dans un format standard et le certificat digital du CA est appliqué
• La signature garantie l’intégrité de la donnée et qu’elle a été vérifiée par une partie de confiance
• Le certificat digital est publié dans une base de certificats publique

Générer une requête de certificat
• Remplisser le formulaire de demande de certificat sur le Fortigate pour générer une demande PCKS#10
 Le fichier va inclure la clé publique du Fortigate
• Le fichier est alors soumis à une autorité de certification de confiance
• Le status du certificat sera listé sur le Fortigate comme Pending
PKCS#10 Certificate Request
Private
Request submitted to
+
Certification Authority
Public

Télécharger une demande de signature de certificat

Importer un certificate

Liste de révocation de certificats
Numéro de série: 764926 ?
CRL
Numéro de série: 764926

Autorité de certification
• La Liste des certificats révoqués (CRL) contient les numéros de série de tous les certificats jugés indignes de
confiance
• Le CRL sera toujours vérifié avant qu’un certificat soit utilisé pour s’assurer qu’il est encore de confiance
• Le CRL doit être tenu à jour sur le Fortigate
 Doit être copié régulièrement, à partir de l’autorité de certification, manuellement sur le boitier Fortigate

Sauvegarde et restauration de certificats
• Les clés et les certificats peuvent être
sauvegardés
• Un serveur TFTP est requis pour l’Import/Export
Private execute vpn certificate local import tftp <file-name_str>
<tftp_ip>
Certificat du Fortigate execute vpn certificate local export tftp
<certificate-name_str> <file-name_str> <tftp_ip>
Vérification du certificat
• Les clés et les certificats sont stockés dans
un fichier PKCS#12
CA
Par le CA
• Une sauvegarde de configuration contient

également les clés et les certificats
Fichier PKCS#12 protégé

par mot de passe

 Les certificats digitaux
 Authentification utilisateur par certificat
 Échanges SSL
 Générer un certificat
 Importer un certificat
 Gérer la liste de révocation

Les certificats
Inspection du contenu
SSL
Yassine MORSLI
Plan
• Activer l’inspection du contenu SSL sur le Fortigate

Inspection du contenu SSL
• Le Fortigate requiert une clé privée pour déchiffrer et inspecter le trafic SSL
 Intercepte le trafic provenant des serveurs et « re-signe » avec son certificat et

clé
• Le certificat fourni par le Fortigate doit être délivré au nom de domaine de
destination
 Le Fortigate agit comme un sous CA
• Process de communication SSL standard

Inspection du contenu SSL : Limitations Certificat
• L’inspection SSL nécessite un certificat qui autorise le Fortigate à délivrer des
certificats (et des clés privées) à la volée à n’importe quel site web
 Conditions
• CA=True ou
• Key Usage=KeyCertSign
• Les Fortigate ont un certificat local par défaut pour ce type

 ‘Fortinet_CA_SSLProxy’, qui est délivré par une CA privée appelée ‘’Fortigate CA’’
 Pas un certificat public

Avertissement certificate durant une inspection SSL
• Lors d’une inspection SSL, le navigateur affiche un message d’avertissement lorsqu’il ne fait pas
confiance au CA
• Pour éviter l’avertissement, trois options possibles :

 Utiliser le certificat ‘Fortinet_CA_SSLProxy’, et installer le certificat racine ‘Fortigate CA’ sur tous les navigateurs
 Générer un nouveau certificat SSL Proxy en utilisant une CA privée, et installer le certificat racine CA correspondant
sur tous les navigateurs
 Acheter un certificat adéquat pour signer d’autres certificat d’une CA que le navigateur connait déjà
• SSL a été conçu pour sécuriser les communications point à point

 Lire le contenu est supposé être compliqué

Configuration : Profil Inspection SSL
• Définit comment le trafic chiffré sera traité :
 Quel protocol de chiffrement prendre en charge (HTTPS, SMTPS, …)
 Comment traiter l’inspection (Inspection SSL, Inspection CA)
 Quand dispenser de l’inspection SSL
Certificat
Proxy SSL

Configuration : Dispenser un trafic de l’inspection SSL
• L’inspection SSL de certain type de trafic peut être illégale
 Vérifier les lois en vigueur
Trafic à dispenser
d’une inspection
SSL

Configuration : Règle de sécurité
• Le profil d’inspection SSL doit être assigné à une règle de sécurité
 Définit comment le trafic chiffré doit être traité

Inspection de contenu SSL
Avertissement de certificat
Configuration

La haute disponibilité (HA)
Introduction à la HA
Yassine MORSLI
Plan
• Choisir le bon mode de haute disponibilité HA

Haute Disponibilité (HA)
Deux Fortigate ou
plus fonctionnent
en Cluster HA
Si un boitier tombe
en panne, un autre
prend le relai

Haute Disponibilité – Actif-Passif
Actif-Passif
Les secondaires
La configuration du Maitre estrestent
synchronisée avecenlesattente
boitiers
secondaires
Boitiers secondaires
Boitier primaire
Boitier primaire
Si le principal tombe en panne, le
secondaire prend le relai

Haute Disponibilité – Actif-Actif
Actif-Passif
Les boitiers secondaires

traitent également le trafic
Le boitier principal
Le boitier principal
traite letombe,
Si le boitier principal trafic un
partage les sessions
autre secondaire prend
avec les secondaires
immédiatement sa place

Election du boitier Maître
Fortigate Fortigate
Principal Secondaire
Tâches du Fortigate principal
• Echange des paquets Hello heartbeat avec tous les boitiers secondaires
• Synchronise sa table de routage et sa configuration avec tous les boitiers

secondaires
• Peut synchroniser certaines informations de trafic de sessions pour un
basculement transparent
• En mode Actif-Actif seulement :
 Distribue le trafic à tous les devices du Cluster

Tâches du Fortigate secondaire
• Monitore le boitier principal pour des indications de panne via Hello, ou via le
monitoring de ports
 Si un problème est détecté avec le boitier principal, le secondaire élisent un nouveau Maitre
• En mode Actif-Actif seulement :

 Traite le trafic distribué par le Maitre

Mode Actif-Actif vs. Mode Actif-Passif
Comment le HA élit le Maitre

Failover d’équipement
Yassine MORSLI
Plan
• Device Failover

Adresses MAC virtuelles et Failover
• Sur le Maitre, chaque interface lui est attribuée a une adresse MAC
virtuelle (à l’exception de l’interface de heartbeat HA)
• Après le basculement, le Maitre nouvellement élu adopte les mêmes
adresses MAC virtuelles que l’ancien
Ancien Maitre
Adresses MAC
virtuelle Nouveau Maitre

Panne d’un Fortigate secondaire
Actif-Passif Actif-Actif
• Le Maitre met à jour la • Le Maitre met à jour la

liste des Fortigate liste des Fortigate
secondaires disponibles secondaires disponibles
• Redistribue la charge
aux autres boitiers

Charge
Actif-Passif Actif-Actif
• Le Maitre reçoit et traite • Le Maitre reçoit tout le
tout le trafic trafic
• Le boitier secondaire • Redirige certains trafic
attend passivement au boitier secondaire

Partage de charge Actif-Actif
1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 80

2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80
3a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dsport 80
3b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy)

4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 80

5. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80

6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 80

7. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 80
8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80

Failover
• Plusieurs déclencheurs possibles
 Panne matérielle
 Crash software
 Câble réseau déconnecté, etc.
• Journaux d’évènements, traps SNMP, alertes mail enregistrent les

évènements du failover

Types de Failover
• Failover d’équipement
 Si le Maitre arrête d’envoyer des paquets heartbeat, un autre Fortigate prend sa place
automatiquement
• Failover de lien
 Le Cluster peut monitorer certaines interfaces afin de déterminer si elles fonctionnent et
connectées
 Si une interface monitorée du Fortigate Maitre tombe, le Cluster élit un nouveau Maitre

Partage de charge Actif-Actif
HA Failover

La synchronisation entre
les équipements
Yassine MORSLI
Plan
• Découvrir le protocole FGCP
• Synchronisation de la configuration
• Synchronisation des sessions

Protocole de Clustering Fortigate
• Le Cluster utilise le protocole FGCP (FortiGate Clustering Protocol) pour :
 La découverte d’autres Fortigate qui font partie du même groupe HA
 L’élection du Maître
 Synchroniser la configuration et autres données
 Détecter lorsqu’un Fortigate tombe en panne
• Fonctionne sur les liens heartbeat uniquement
• Utilise le port TCP 703

Adresses IP des interfaces heartbeat
• Le Cluster attribue une adresse IP virtuelle aux interfaces de heartbeat
sur la base du numéro de série de chaque Fortigate :
 169.254.0.1 : pour le plus grand numéro de série
 169.254.0.2 : pour le second plus grand numéro de série
 169.254.0.3 : pour le troisième numéro de série le plus grand
 …etc.
• Le Fortigate conserve son adresse IP virtuelle de heartbeat même en cas

de changement de son rôle dans le Cluster (Maitre ou esclave)
 Les adresses IP changent uniquement lorsqu’un boitier rejoint ou quitte un Cluster

Synchronisation de la configuration HA
Synchronisation complète
1. Un nouveau boitier
secondaire est ajouté au
Cluster
2. Le Maitre compare la
configuration du secondaire. Si Esclave
différente, il lui envoie sa
configuration
Maître Config
Config

Synchronisation incrémentale
2. Le changement est
synchroniser avec le
secondaire
Esclave
1. La configuration du
Maître change
Maître Config
Config

• La synchronisation incrémentale inclus :
 Les données dynamiques tel que les baux DHCP, les mises à jour de la table de routage, les
informations de session, etc.
• Périodiquement, HA vérifie les synchronisations

Réservation d’interface de management HA
• Réserver une interface de gestion HA permet une connexion séparée à
chaque équipement du Cluster en CLI et GUI
 Configurer une IP différente pour cette interface pour chaque Fortigate
 Les changements de configuration de cette interface HA ne sont pas synchronisées avec les
autres équipements
• Egalement non synchronisé :

 Exception HA
 Le cluster virtuel HA et les priorités des équipements
 Les noms d’hôtes

Synchronisation des sessions
• La table de session est synchronisée pour la plupart des sessions VPN IPSec et
TCP
 Seules les sessions qui n’ont pas été traitées par un proxy UTM peuvent être synchronisées
config system ha
set session-pickup enable
end
• Les sessions UDP et ICMP peuvent également être synchronisées

config system ha
set session-pickup-connectionless enable
end
• Les sessions SSL VPN et Multicast ne sont pas synchronisées

FGCP
Synchronisation de la configuration
Synchronisation des sessions

Les options de Clustering
Yassine MORSLI
Plan
• Utiliser le Clustering virtuel pour la haute disponibilité par VDOM
• Mettre à jour le firmware d’un Cluster HA
• Configurer le FGSP (Fortigate Session Life Support Protocol)

Clustering virtuel
• Fonctionne seulement en mode Actif-Passif
HA Actif-Passif
Domain A Domain B Domain C Domain A Domain D Domain E

Maitre Secondaire

Clustering virtuel
• Failover entre les VDOMs pour deux Fortigate
 Fonctionne en mode Actif-Passif
• Utilisé pour fournir le load balancing de trafic

FGSP (Fortigate Session Life Support Protocol)
• Synchronisation des sessions par VDOM entre deux Fortigate en mode
standalone (non HA)
 Alternative au mode Actif-Passif
• Par défaut, seules les sessions TCP sont synchronisées :

 Les sessions UDP et ICMP, les sessions NAT et la configuration peuvent
également être synchronisées
 Seulement pour les sessions du trafic pas pris en charge par le Proxy UTM

FGSP (Fortigate Session Life Support Protocol)

Configuration FGSP
• Sur chaque Fortigate :
config system interface

edit ‘’port2’’
set vdom ‘’root’’
set ip 192.168.8.3 255.255.255.0
end Adresse IP du
Fortigate partenaire
config system session-sync
edit 1 Nom du VDOM où
set peerip 192.168.8.4 l’interface port2 est
set peervd ‘’root’’ situé
set syncvd ‘’VDT1’’
Nom du VDOM pour
end lequel synchroniser
les sessions

Paramètres FGSP optionnels
• Pour synchroniser les sessions UDP, ICMP et NAT :
config sys ha
set session-pickup-connectionless enable
set session-pickup-nat enable
end
• Pour synchroniser la configuration :

config sys ha
set standalone-config-sync enable
end

Mise à jour de firmware
• Pour mettre à jour un Cluster HA, il est suffisant de charger le firmware
sur le Maître :
1. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est désactivé
2. Le Cluster met à jour le firmware d’abord sur tous les boitiers secondaires
3. Un nouveau Maître est élu
4. Le Cluster met à jour le firmware sur l’ancien Maître
5. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est réactivé

HA Full Mesh

HA Full Mesh
• Réduit le nombre de SPOF
 Disponible sur certains modèles de Fortigate
• Utilise des agrégats et des interfaces redondantes pour une connexion

robuste entre toutes les composantes réseau

Vérification du status de la HA en GUI

Clustering virtuel
Mise à jour Firmware
FGSP (Fortigate Session Life Support Protocol)

Le diagnostic du HA
Yassine MORSLI
Plan
• Vérifier les opérations du Cluster HA
• Connaitre quelques commandes de diagnostique

Vérification du statut de la HA en CLI
# diagnose sys ha status
HA information
Statistics
traffic.local = s:0 p:1632326319 b:412621090464
traffic.total = s:0 p:1635192199 b:412689100664
Numéros de série
des deux boitiers activity.fdb = c:0 q:0
Priorités HA du
Model=1000, Mode=2 Group=0 Debug=0 Maitre et de
l’esclave
nvcluster=1, ses_pickup=1, delay=0
HA group member information: is_manage_master=1.

FGT1KDXXXXXXXXXX, 0. Master:128 FGT2
FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1
vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:

FGT1KDXXXXXXXXXX, 0. Master:128 FGT2 (prio=0, rev=0)
FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1 (prio=1, rev=255)

Connexion en CLI au second boitier
• En CLI, via le Maître, il est possible de se connecter au boitier secondaire :
# execute ha manage <HA_unit_index>
• Pour lister les numéros d’index de chaque Fortigate, utiliser le ‘’point

d’interrogation’’ :
# execute ha manage ?
<id> please input peer box index.
<0> Subsidary unit FGVM0100XXXXXXXX

Vérification de la synchronisation de la configuration
• Exécuter la commande suivante sur tous les membres du Cluster :
# diagnose sys ha showcsum
is_manage_master()=1, is_root_master()=1
debugzone
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
checksum
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
• Chaque Fortigate doit avoir les mêmes séquences des numéros de

checksum

Vérification du status du Cluster HA

Outils de diagnostics
Comprendre l’état normal
Yassine MORSLI
Plan
• Identifier le comportement réseau à l’état normal

Avant l’apparition des problèmes
• Savoir ce qui est normal :
 Consommation CPU
 Consommation mémoire
 Volume du trafic
 Direction du trafic
 Numéros de ports et protocoles
 Modèle de trafic et distrubtion
• Pourquoi ?
 Un comportement anormal est difficile à déterminer, à moins que vous sachiez relativement
ce qui est normal ?

Diagrammes de réseau
• Pourquoi ?
 Expliquer / Analyser des réseaux complexes est difficile et prend du temps
• Diagramme physique
 Inclus des câbles, ports, et des périphériques de réseau
 Niveau 1/2/3
• Diagramme logique
 Inclus des sous-réseaux, routeurs, périphériques virtuels (VDOM) et UTM
 Niveau 3 et plus

Suivi du flux de traffic et l’utilisation des ressources
• Obtenir des données à l’état normal avant l’apparition des problèmes
• Un comportement anormal est difficile à déterminer – à moins de savoir ce qui

est normal :
 Consommation CPU
 Consommation RAM
 Applications autorisées
 Bande passante IN/OUT
• Outils :
 SNMP
 Alertes Mails
 Logging/Syslog
 Fortianalyzer ou mécanisme de SIEM
 Tableau de bord get system status

Polling Fortigate via SNMP

Réception des notifications via SNMP
Destination
Evènements
déclencheurs de
traps SNMP

Informations Systèmes et utilisation de ressources
# get system status
Version: FortiGate-VM64 v5.2.4,build0688,150722 (GA)
Virus-DB: 30.00334(2015-11-08 15:41) # get sys perf stat
Extended DB: 30.00334(2015-11-08 15:42) CPU states: 0% user 0% system 0% nice 100% idle
Extreme DB: 1.00000(2012-10-17 15:47) CPU0 states: 0% user 2% system 0% nice 98% idle
IPS-DB: 5.00555(2014-10-07 01:21) CPU1 states: 0% user 0% system 0% nice 100% idle
IPS-ETDB: 6.00725(2015-11-06 02:55) CPU2 states: 0% user 1% system 0% nice 99% idle
Serial-Number: FGVM040000025212 CPU3 states: 1% user 1% system 0% nice 98% idle
Botnet DB: 1.00000(2012-05-28 22:51) CPU4 states: 0% user 0% system 0% nice 100% idle
BIOS version: 04000009 CPU5 states: 1% user 0% system 0% nice 99% idle
License status: Valid CPU6 states: 0% user 0% system 0% nice 100% idle
VM Resources: 1 CPU/4 allowed, 969 MB RAM/6144 MB CPU7 states: 0% user 0% system 0% nice 100% idle
allowed Memory states: 60% used
Hostname: STUDENT Average network usage: 17457 kbps in 1 minute,
Operation Mode: NAT 28245 kbps in 10 minutes, 24122 kbps in 30 minutes
Current virtual domain: root Average sessions: 5142 sessions in 1 minute, 6350
Max number of virtual domains: 10 sessions in 10 minutes, 6239 sessions in 30 minutes
Virtual domains status: 1 in NAT mode, 0 in TP mode Average session setup rate: 50 sessions per second in
Virtual domain configuration: disable last 1 minute, 48 sessions per second in last 10
FIPS-CC mode: disable minutes, 46 sessions per second in last 30 minutes
Current HA mode: standalone Virus caught: 0 total in 1 minute
Branch point: 688 IPS attacks blocked: 0 total in 1 minute
Release Version Information: GA Uptime: 29 days, 7 hours, 37 minutes
FortiOS x86-64: Yes
System time: Mon Nov 9 21:40:50 2015

Plus d’outils
• CLI
Get system status
Get system performance status
Diagnose sys top
Diagnose sys top-summary
Diagnose hardware sysinfo memory
Diagnose hardware sysinfo shm
Diagnose netlink device list
Diagnose hardware deviceinfo nic port1
Diagnose firewall statistics show
…
• Dashboard
• Traps SNMP
• Alertes mail
• Logs
Pourquoi vous avez besoin de comprendre ce qu’est l’état
normal ?

Outils de diagnostique
Diagnostic
et Troubleshooting
Yassine MORSLI
Plan
• Comprendre la table des sessions
• Diagnostique des problèmes de ressources, tel que une haute

consommation CPU et mémoire
• Tests d’images de firmware sans sauvegarder sur disque

Troubleshooting niveau réseau : Routes
#execute ping-options ?
data-size Integer value to specify datagram size in bytes.
df-bit Set DF bit in IP header <yes | no>.
interval Integer value to specify seconds between two
pings.
pattern Hex format of pattern, e.g. 00ffaabb.
repeat-count Integer value to specify how many times to repeat
PING.
source Auto | <source interface IP>.
timeout Integer value to specify timeout in seconds.
tos IP type-of-service option.
ttl Integer value to specify time-to-live.
validate-reply Validate reply data <yes | no>.
view-settings View the current settings for PING option.
#execute ping <ipv4_address>
#execute traceroute { <ipv4_address> | <host_fqdn> }

Troubleshooting niveau réseau : Sessions
1. Effacer les filtres précédents
# diagnose sys session filter
clear
2. Paramétrer le filtre
# diagnose sys session filter ?
dport destination port
dst destination IP address
policy policy id
sport source port
src source ip address
3. Lister toutes les entrées associées au filtre configuré

# diagnose sys session list
4. Effacer toutes les entrées associées au filtre configuré

# diagnose sys session clear

Table des sessions : Exemple TCP
Protocole Statut de TTL restant
connexion
#diagnose sys session list
session info: proto=6 proto_state=65 duration=25 expire=9 timeout=3600 flags=00000000
sockflag=00000000 sockport=443 av_idx=9 use=5
Port
origin-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bps destination
reply-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bps
per_ip_shaper=
ha_id=0 policy_dir=0 tunnel=/ Traffic Shaping
state=may_dirty ndr npu
statistic(bytes/packets/allow_err): org=476/8/1 reply=1376/8/1 tuples=2
orgin->sink: org pre->post, reply pre->post dev=37->52/52->37 gwy=172.16.0.20/192.168.0.15
hook=pre dir=org act=snat 192.168.1.110:57995->74.201.86.29:443(0.0.0.0:0)
hook=post dir=reply act=dnat 74.201.86.29:443->172.17.87.16:4168(192.168.1.110:57999)
src_mac=70:ca:9b:4e:fd:00
misc=0 policy_id=17 auth_info=0 chk_client_info=0 vd=0 NAT
serial=cb545a86 tos=ff/ff ips_view=12 app_list=0 app=0
dd_type=0 dd_mode=0
npu_state=00000000
npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0,
npuid=0/0, onpuid=0/0 Accélération
matérielle

Options de capture de paquets avancées
# diag sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>
• <count> nombre de paquets à capturer
• <tsformat> modifie le format d’horodatage

 a – Temp UTC absolu
 l – temps local

Lenteurs
• Haute consommation CPU
• Haute consommation mémoire
• Quelle est l’utilisation du processeur ? Pourquoi ?
# get system performance status

# diagnose sys top 1

Troubleshooting CPU
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle

CPU0 states: 0% user 3% system 0% nice 97% idle Consommation
CPU1 states: 1% user 0% system 0% nice 99% idle
CPU2 states: 0% user 2% system 0% nice 98% idle CPU
CPU3 states: 2% user 0% system 0% nice 98% idle
Memory states: 59% used Consommation RAM

Average network usage: 37764 kbps in 1 minute, 33587 kbps in 10 minutes, 24275 kbps in 30 minutes
Average sessions: 6076 sessions in 1 minute, 6421 sessions in 10 minutes, 6271 sessions in 30 minutes
Average session setup rate: 100 sessions per second in last 1 minute, 86 sessions per second in last 10
minutes, 82 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute Utilisation réseau

IPS attacks blocked: 0 total in 1 minute
Uptime: 30 days, 8 hours, 37 minutes

Exécuter un nouveau Firmware
Save as Default firmware/Run image without saving: [D/R]
• Un nouveau firmware peut contenir de nouvelles fonctionnalités et des

changements de fonctionnement :
 Va-t-il interférer avec le fonctionnement du trafic critique ?
• Chargement temporaire d’une nouvelle image (sans enregistrer sur le

disque) est une méthode plus sûre de tester avant de mettre à jour
 Tester en environnement de lab durant une maintenance
 Un redémarrage retourne le Fortigate à l’ancien firmware et configuration
 Bien se documenter sur la release note
• Il est également possible de charger des logiciels de diagnostic

Chargement d’une image temporaire
• Possible seulement via le port console
Press any key to display the configuration menu…
[G] : Get firmware image from TFTP server.
[F] : Format boot device.
[Q] : Quit menu and continue to boot with default firmware.
[H] : Display this list of options.
Enter G,F,Q, or H ( Press ‘G’ here.)
Enter TFTP server address [192.168.1.168]: xxx.xxx.xxx.xxx
Enter local address [192.168.1.188]: xxx.xxx.xxx.xxx
Enter firmware image file name [image.out]: xxxxxxxxxxxxxxx
MAC:00:09:0f:0a:1a:7c #########
Total 10643362 bytes data downloaded.
Verifying the intergrity of the firmware image. Total 28000kB
unzipped.
Save as Default firmware/Run image without saving: [D/R]

Monitoring de l’utilisation réseau et ressources de système
Troubleshooting physique
Troubleshooting réseau
Tests matériel
Comment charger un firmware en RAM, pas en disque

Dimensionnement
et support
Yassine MORSLI
Plan
• Le support Fortinet
• Le licensing Fortigate
• Les performances des boitiers

Le Support Fortinet
• Les 2 types de support :
 FortiCare 8x5
• Support email et web du lundi au vendredi de 9h à 18h
• Remplacement matériel après réception du matériel défectueux par Fortinet
 FortiCare 24x7
• Support téléphonique, email et web 24h/24 7J/7
• Remplacement anticipé du matériel (J+1)
• Le support Fortinet est accessible via :

• http://support.fortinet.com
• 0 800 910 652/ +33 4 8987 0555

Le Licensing Fortigate
• Pas de licence par utilisateur
• Licences uniquement pour le filtrage de contenu :

 Anti-Virus
 Filtrage d’URLs
 Anti-Spam
 IPS/App. Control
• Toutes les autres fonctionnalités sont incluses de base (VPN

IPSEC/SSL, Optimisation WAN, QoS, VDOM)

Entrée de gamme Fortigate: Comparaison
FG-30D FG-60D FG-70D FG80D FG-90D FG-92D
Firewall
800 / 800 / 800 1.5 /1.5 /1.5 3.5 /3.5 /3.5 3.5 /3.5 /3.5
(1518/512/64 1.3 Gbps 2 Gbps
Mbps Gbps Gbps Gbps
byte UDP)
Concurrent
200,000 500,000 2 Mil 1.5 Mil 2 Mil 1.5 Mil
Sessions
New
3,500 4,000 4,000 22, 000 4,000 22,000
Sessions/Sec
IPSec VPN 350 Mbps 1 Gbps 1 Gbps 200 Mbps 1 Gbps 130 Mbps
IPS (HTTP) 150 Mbps 200 Mbps 275 Mbps 800 Mbps 275 Mbps 950 Mbps
Antivirus (Proxy
30 Mbps 35 Mbps 35 Mbps 250 Mbps 35 Mbps 300 Mbps
based)
Interfaces
(LAN, WAN & 5 x GE RJ45 10 x GE RJ45 16 x GE RJ45 4x GE RJ45 16 x GE RJ45 16 x GE RJ45
DMZ)
Storage - - - 16 GB 32GB 16 GB
WiFi, PoE, high

Variants WiFi, PoE WiFi, PoE - - WiFi
port density

FG-94D-POE
FG-30D FG-60D FG-70D FG80D FG-90D FG-92D
FG-98D-POE
Recommended
1-5 5-25 20-50
#users
Storage - - - ✔ ✔✔ ✔ ✔✔
WiFi Variant ✔ ✔ - - ✔ ✔ -
POE Variant (1x GE) (2x GE) - - (4x GE) - 24x FE
Firewall & VPN

✔✔ ✔✔ ✔✔✔ ✔ ✔✔✔ ✔ ✔✔✔
Performance
UTM
✔ ✔ ✔✔ ✔✔✔ ✔✔ ✔✔✔ ✔✔
Performance
Port Density ✔✔ ✔✔ ✔✔ ✔ ✔✔ ✔✔ ✔✔✔
Small branch Small branch Small branch Small branch Small branch
Small offices Small offices
offices , Kiosks offices offices offices offices
Site-Site
Site-Site VPN,
Ideal Use Cases Site-Site VPN Site-Site VPN Site-Site VPN Limited VPN Limited VPN VPN, WAN
WAN opt.
opt.
limited UTM & Full UTM, UTM, Full UTM,

limited UTM, UTM, UTM , high PoE
features, Cloud based local log & Cloud based
central logging central logging ports desired
central logging logging reporting logging

FWF30D FWF30E FWF50E FWF60D FWF90D/92D
Thick AP ✔ ✔ ✔ ✔ ✔
Wireless Controller Yes (CLI) Yes (CLI) Yes Yes Yes
#of WiFi radios 1 1 1 1 1
Supported Std a/b/g/n a/b/g/n a/b/g/n a/b/g/n a/b/g/n
802.11n 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO
Max wireless
association rate 300Mbps 300Mbps 300Mbps 300Mbps 300Mbps
total
SSID’s (incl.
8 8 8 8 8
reserved)
Max nP (Total/
2/2 2/2 10 / 5 10 / 5 32 / 16
Local Bridge)

Moyenne gamme Fortigate : Comparaison
FGT-100D FGT-140D FGT-200D FGT-240D FGT-280D-POE
Firewall 3/3/3 4/4/4 4/4/4

2500* Mbps 2500* Mbps
(1518/512/64 byte UDP) Gbps Gbps Gbps
Concurrent Sessions 3 Mil 3 Mil 3.2 Mil 3.2 Mil 3.2 Mil
New Sessions/Sec 22,000 22,000 77,000 77,000 77,000
IPSec VPN 450 Mbps 450 Mbps 1.3 Gbps 1.3 Gbps 1.3 Gbps
IPS (HTTP) 950 Mbps 950 Mbps 1.7 Gbps 2.1 Gbps 2.1 Gbps
Antivirus
300 Mbps 300 Mbps 600 Mbps 600 Mbps 600 Mbps
(Proxy Based)
54 x GE RJ45,
Interfaces 20 x GE RJ45, 40x GE RJ45, 18 x GE RJ45, 42 x GE RJ45,
32 x GE PoE RJ45,
(LAN, WAN & DMZ) 2 x GE SFP 2x GE SFP 2 x GE SFP 2 x GE SFP
4 x GE SFP
Storage 32GB 32GB 64 GB 64 GB 64 GB

Variants LENC, T1 port, PoE PoE PoE -

FGT-300C FGT-300D FGT-400D FGT-500D
Firewall 8/8/8 8/8/8 16 / 16 / 16 16 / 16 / 16

(1518/512/64 byte UDP) Gbps Gbps Gbps Gbps
Concurrent Sessions 2 Mil 6 Mil 5.5 Mil 6 Mil
New Sessions/Sec 50,000 200,000 200,000 250,000
IPSec VPN 4.5 Gbps 7 Gbps 14 Gbps 14 Gbps
IPS (HTTP) 1.4 Gbps 2.8 Gbps 2.8 Gbps 4.7 Gbps
Antivirus
200 Mbps 1.4 Gbps 1.4 Gbps 1.7 Gbps
(Proxy Based)
Interfaces 10 x GE RJ45, 10 x GE RJ45,

10 x GE RJ45 6 x GE RJ45, 4 x GE SFP
(LAN, WAN & DMZ) 8 x GE SFP 8 x GE SFP
Storage 16 GB 120 GB - 120 GB
Variants LENC LENC - -

FG-600C FG-600D FG-800C FG-900D
Firewall
16 / 16 /16 Gbps 36 / 36 / 24 Gbps 20 / 20 / 20 Gbps 52 / 52 / 33 Gbps
(1518/512/64 byte UDP)
Concurrent Sessions 3 Mil 5.5 Mil 7 Mil 11 Mil
New Sessions/Sec 70,000 270,000 190,000 280,000
IPSec VPN 8 Gbps 20 Gbps 8 Gbps 25 Gbps
IPS (HTTP) 3 Gbps 7 Gbps 6 Gbps 8 Gbps
Antivirus
1.3 Gbps 3 Gbps 1.7 Gbps 3.5 Gbps
(Proxy Based)
2 x 10GE SFP+,14 x GE
18x GE RJ45, 4 x 2x 10GE SPF+ , 16x GE
Interfaces 2x 10GE SPF+ , 8x GE RJ45,
Shared port pairs, 2 x SFP,
(LAN, WAN & DMZ) SFP, 8x GE RJ45 8 x Shared port pairs, 2
bypass Pairs 18x GE RJ45
x bypass Pairs
Storage 64 GB 120 GB 64 GB 256 GB

Variants DC, LENC - - -

Le support
Le licensing
La performance des boitiers

Conclusion de la formation
L’UTM Fortigate
Fonctionnalités avancées
Yassine MORSLI
Le routage
La virtualisation de pare-feu
Le mode transparent
Les certificats
La haute disponibilité (HA)
Les outils de diagnostics
Dimensionnement et support

Formation suivante
Formation suivante
Firewalling Administration Messagerie WAF
NSE 4 NSE 5 NSE 6 NSE 6
Fortigate –
Fonctionnalités
de base
FortiAnalyzer Fortimail FortiWeb
Fortigate –
Fonctionnalit
FortiManager
és avancées

QUESTIONS ?
YASSINE.MORSLI@GMAIL.COM

Alphorm 160817174127 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Alphorm 160817174127 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Formation

• Cursus de formation Fortinet

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Firewalling Administration Messagerie WAF

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Interpréter la table de routage

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Le Fortigate en mode NAT est entre autre un routeur de niveau 3

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

 Adresse IP de destination et Mask

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Valeurs des distances par défaut :

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• La metric est calculée selon le protocole de routage

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Le lien de sortie est-il

Les routes multiples

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Prioritaire sur la table de routage

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Les informations de routage sont écrites dans la table de session

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Comment le Fortigate match chaque paquet avec une route

Routes statiques, règles de routage, routage dynamique

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Contrôle de l’état des liens

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Alors, le Fortigate distribue les paquets via les routes ECMP

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Partage de charge basée sur le poids (Weighted load balance)

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Sous réseau : 192.168.1.0/24

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Sous réseau : 192.168.1.0/24

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Si des routes secondaires sont disponibles, le Fortigate les charge et les

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Contrôle de l’état du lien

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

• Vérifie l’adresse IP source de tous les paquets

• Le RPF est pris en charge seulement sur :

• En CLI, diagnose debug flow affiche les paquets bloqués

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Sous réseau : 192.168.1.0/24

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Sous réseau : 192.168.1.0/24

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Sous réseau : 192.168.1.0/24

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Sous réseau : 192.168.1.0/24

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©