ATELIER SÉCURITÉ

MPSSRI2
2019/2020
Introduction

C’est quoi les produits Fortinet ?

• les produits Fortinet sont dédiés pour la protection en temps réel de votre
réseau.
• Les boîtiers FortiGateTM Unified Threat Management System (Système de Gestion
Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et abus
réseaux et contribuent à une utilisation plus efficace des ressources de communication,
sans compromettre la performance de votre réseau. La gamme a reçu les certifications
ICSA (International Computer Security Association) pare-feu, VPN IPSec et antivirus.

2
C’est quoi les applications Fortinet ?

L’appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial

et fournit une gamme complète de services, que ce soit:
• Au niveau des applications (comme le filtrage antivirus, la protection contre
les intrusions, les filtrages antispam, de contenu web et IM/P2P).
• Au niveau du réseau (comme le pare-feu, la détection et prévention d’intrusion,
les VPN IPSec et VPN SSL et la qualité de service).
• Au niveau de l’administration (comme l’authentification d’un utilisateur, la
journalisation, les rapports du FortiAnalyzer, les profils d’administration, l’accès
sécurisé au web et l’accès administratif CLI et SNMP).

3
Présentation des équipements FortiGate

Toutes les appliances FortiGate Unified Threat Management offrent les fonctionnalités antivirus, filtrage de
contenu, pare-feu, VPN et détection/prévention d’intrusion destinées aux réseaux des petites comme des grandes
entreprises. Il y a des gammes différentes citons par exemple

Châssis FortiGate série 5000

Les plates-formes de sécurité réseau FortiGate série 5000 sont des systèmes destinés aux grandes entreprises et
fournisseurs de services haut débit Internet. Le grand choix de configurations système qu’offrent les FortiGate série
5000 assure la flexibilité nécessaire à la croissance des réseaux de haute performance..
Cette approche modulaire offre aux entreprises et utilisateurs des FAI (Fournisseurs d’accès Internet) une solution
adaptable, hautement performante et tolérante aux pannes. Chaque module FortiGate série 5000 est un système de
sécurité autonome pouvant faire partie d’un cluster HA FortiGate. Ces équipements sont des systèmes de sécurité de
haute performance possédant de multiples interfaces gigabits, des capacités de domaines virtuels et d’autres
fonctionnalités FortiGate de grande qualité.

4
FortiGate-3600
La fiabilité et les performances du un FortiGate-3600 sont élevés à niveau de type opérateur et répondent
aux exigences des prises et fournisseurs grandes entre de services. Son architecture multiprocesseur
fournit un débit de 4Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-
3600 comprend des blocs d’alimentation redondants et un partage de charge, avec un secours assuré sans
interruption de service. La grande capacité du FortiGate-3600, sa fiabilité et sa gestion aisée en font un
choix naturel pour des opérateurs de services de sécurité managés.

5
FortiGate-100 est conçu pour répondre aux applications d’entreprises à domicile ou de petites entreprises. Il
supporte les fonctions avancées telles que VLAN 802.1Q, domaines virtuels, protocoles de routage RIP et OSPF.

FortiGate-60/60M/ADSL est conçu pour les bureaux de personnel et les magasins. Il comprend un port modem
extérieur qui peut servir de connexion Internet redondante et muni d’un modem ADSL interne

FortiWiFi-60 intégrée qui assure des connexions sans fil sécurisées. Il combine mobilité et flexibilité grâce à ses
fonctions FortiWiFi Antivirus Firewall. De plus, il s’adapte aux avancées technologiques radiophoniques. Il peut
faire office de point de connexion entre réseaux sans fil et réseaux câblés ou tenir lieu de point central d’un réseau
sans fil stand alone.

6
 Le FortiGate 30E

Le FortiGate 30E est idéale pour les petites et moyennes entreprises. Il fournit un intégré

ensemble de technologies de sécurité essentielles pour protéger toutes les applications et les

données. Il garantit une protection avancée contre les menaces, y compris pare-feu, contrôle des

applications, protection avancée contre les menaces, Filtrage IPS, VPN et Web, le tout à partir

d’un seul appareil facile à déployer et à gérer

Interfaces

1. USB Port

2. Console Port

3. 1x GE RJ45 WAN Port

4. 4x GE RJ45 Switch Ports

Débit maximum du Firewall : 950 Mbps

7
Interface d’administration web

La configuration et administration de boîtier FortiGate se fait avec une connexion HTTP ou

HTTPS, à partir de tout ordinateur muni d’un navigateur web. L’interface d’administration web
fonctionne en plusieurs langues, dont le français. Vous pouvez configurer le boîtier FortiGate
pour une administration HTTP et HTTPS à partir de n’importe quelle interface FortiGate.

8
L’interface d’administration web permet de configurer la plupart des paramètres FortiGate et
de contrôler son statut. Les changements de configuration apportés à partir de l’interface
d’administration web sont instantanément pris en compte, sans qu’il soit nécessaire de
réinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaitée
accomplie, il est conseillé de la sauvegarder. Elle pourra alors être restaurée dès que
nécessaire.

9
Accès au mode console

L’interface de ligne de commande (CLI), interface basée sur du texte, peut servir d’alternative à
l’interface d’administration web. Certaines options ne sont configurables qu’à partir des
commandes CLI.
Le bouton d’accès au mode console (Console Access) ouvre une application Terminal basée sur
Java. L’ordinateur d’administration doit être muni de la version Java 1.3 ou supérieure. Pour
plus d’informations sur l’utilisation des commandes CLI, référez-vous au FortiGate CLI
Reference.

10
Déconnexion
Le bouton « Déconnecter » (Logout) vous déconnecte immédiatement de l’interface d’administration
web. N’oubliez pas de vous déconnecter avant de fermer la fenêtre du navigateur. Si vous fermez la
fenêtre ou quittez l’interface d’administration web sans vous déconnecter, vous restez connecté
jusqu’à l’expiration du timeout d’inactivité (par défaut 5 minutes).

11
Menu de interface administration web

Le menu procure l’accès à des options de configuration pour toutes les fonctionnalités majeures du boîtier FortiGate.

Système Configure les fonctionnalités du système telles que les

interfaces réseau, les domaines virtuels, les services DHCP,
l’heure du système et les options d’installation du système.

Routeur Configure le routeur.

Pare-Feu Configure les règles pare-feu et les profils de protection qui
s’appliquent aux fonctionnalités de protection du réseau.
Configure également les adresses IP virtuelles et les plages
IP.
VPN Configure les réseaux privés virtuels.

Utilisateur Configure les comptes utilisateurs utilisés dans les règles

pare-feu requérant une authentification des utilisateurs.
Configure également les serveurs externes d’authentification.

Antivirus Configure une protection antivirus.

Intrusion Protection Configure le système de prévention anti-intrusion.
Filtrage Web Configure le filtrage de contenu web.

Anti-Spam Configure le filtrage des spams dans les emails

IM / P2P Configure le contrôle des services de messageries Internet et

peer-to-peer.

Journaux / Alertes Configure les modalités de la journalisation. Affiche des

messages journalisés.

12
 UTILISATION DE DOMAINES VIRTUELS

Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de multiples unités indépendantes. Il peut fournir des règles pare-feu,
des routages et des configurations VPN séparés pour chaque niveau d’organisation. L’utilisation de VDOM peut également simplifier
l’administration de configurations complexes.

Lors de la création et de la configuration d’un domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN.
Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter à ce VDOM. Si un VDOM est
créé pour servir une organisation, cela permet à l’organisation de gérer sa configuration de manière autonome.

Chaque VDOM contient ses propres zones, règles pare-feu, routage, authentification d’utilisateurs et configuration VPN. Chaque domaine
virtuel fonctionne de manière similaire à un équipement FortiGate en matière de configuration du paramétrage. Cette séparation simplifie la
configuration parce qu’elle évite de gérer de nombreuses règles pare-feu et routes à la fois.

Lorsqu’un paquet entre dans un domaine virtuel sur l’équipement FortiGate, il reste limité à ce domaine virtuel. Dans un domaine donné, vous
pouvez seulement créer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets
ne passent jamais la frontière d’un domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut également être sélectionné
séparément sur chaque VDOM.

13
Activation du mode Multiple VDOM
A partir du compte administrateur admin par défaut, vous pouvez activer le mode multiple VDOM sur l’équipement FortiGate.

Activer la configuration d’un domaine virtuel

1 Connectez-vous en tant qu’admin à l’interface d’administration web.

2 Sélectionnez Système > Admin > Paramètres (Settings).
3 Cochez la case Virtual Domain Configuration pour activer la Configuration de Domaine
Virtuel.
4 Cliquez sur Appliquer.
Le boîtier FortiGate vous déconnecte. Vous pouvez maintenant vous reconnecter en tant qu’admin. Lorsque la
Configuration de Domaine Virtuel est activée, l’interface d’administration web et l’interface de ligne de commande
incorporent les changements suivants :

 Les configurations générales et personnalisées par VDOM sont séparées.

 Seul le compte admin peut visualiser et configurer les options globales.
 Le compte admin peut configurer toutes les configurations VDOM.
 Le compte admin peut se connecter via n’importe quelle interface dans le VDOM root ou
via une interface qui appartient à un VDOM pour lequel un compte administrateur régulier
a été assigné.
 Un compte administrateur régulier peut uniquement configurer le VDOM qui lui a été assigné
et peut accéder au boîtier FortiGate à partir de la seule interface qui appartient à ce VDOM.

14
Ajout d’interfaces à un domaine virtuel
Un domaine virtuel doit contenir au moins deux interfaces. Il peut s’agir d’interfaces physiques ou de sous-interfaces
VLAN. Toutes les interfaces physiques font par défaut partie du domaine virtuel root.

Les sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs interfaces physiques. Pour ce faire,
l’ administrateur admin doit créer la sous- interface VLAN et l’affecter au VDOM requis. Les interfaces font partie des
paramètres généraux de configuration. Pour plus d’informations sur la création de sous-interfaces VLAN,

Pour réaffecter une interface existante d’un domaine virtuel à un autre, appliquez la procédure ci-dessous. Vous ne
pouvez pas retirer une interface d’un domaine virtuel si cette interface est comprise dans l’une des configurations
suivantes :

 routage
 proxy arp
 serveur DHCP
 zone
 règle pare-feu
 plage IP

Il est nécessaire de supprimer ou modifier ces éléments avant de pouvoir changer l’interface de domaine virtuel.

Affecter une interface à un domaine virtuel

1 Connectez-vous en tant qu’admin.

2 Sélectionnez Configuration Globale.
3 Sélectionnez Système > Réseau > Interface.
4 Cliquez sur le bouton Editer de l’interface à réaffecter.
5 Sélectionnez le Domaine Virtuel auquel l’interface doit être réaffectée.
6 Configurez les autres paramètres comme requis et cliquez sur OK.
15
 Statuts du Système

On y retrouve les statuts en cours du boîtier FortiGate, y compris le numéro de série, l’usage des ressources du

système, les informations sur la licence FortiGuard, les messages d’alerte et les informations sur la session.

Visualisation des statuts du système

La page Statut du Système s’affiche par défaut lors du démarrage d’une session de l’interface d’administration
web. Il existe cependant une exception : dans le cas où la Configuration de Domaine Virtuel est activée,
l’administrateur admin visualisera la page Statut du Système seulement après avoir sélectionné
Configuration Globale ou un VDOM à administrer.

A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page Statut du Système.

Pour visualiser cette page, votre profil d’accès doit prévoir les droits en lecture de la configuration du système.
Si vous avez également les droits en écriture de la configuration du système, vous pouvez modifier les
informations du système et mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus
d’informations sur les profils d’accès
16
Informations du système

Numéro de Série Le numéro de série de l’équipement FortiGate. Ce numéro est unique pour
chaque équipement et ne change pas avec les mises à jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier redémarrage de
l’équipement FortiGate.
Heure Système La date et l’heure en cours selon l’horloge préprogrammée. Cliquez sur Changer
pour modifier l’heure ou configurez le boîtier FortiGate pour qu’il se synchronise avec un serveur
NTP.
Nom d’hôte Le nom d’hôte actuel de l’équipement FortiGate. Cliquez sur Changer pour le
modifier.
Version de Code La version du microcode installé sur votre FortiGate. Cliquez sur Update
(Mettre à jour) pour changer le logiciel.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit NAT, soit
Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-

versa.

17
En mode NAT / Route, le mode de fonctionnement le plus courant, un FortiGate est installé en
tant que passerelle ou routeur entre deux réseaux. Dans la plupart des cas, il est utilisé entre un
réseau privé et Internet. Cela permet à FortiGate de masquer les adresses IP du réseau privé à
l'aide de la traduction d'adresses réseau (NAT).
Le mode NAT / Route est également utilisé lorsque deux fournisseurs de services Internet (FAI) ou
plus fournissent au FortiGate des connexions Internet redondantes.
Un FortiGate en mode transparent est installé entre le réseau interne et le routeur. Dans ce
mode, FortiGate ne modifie pas les adresses IP et applique uniquement une analyse de sécurité au
trafic. Lorsqu'un FortiGate est ajouté à un réseau en mode transparent, aucun changement de
réseau n'est requis, sauf pour fournir à FortiGate une adresse IP de gestion.
Le mode transparent est utilisé principalement lorsqu'il est nécessaire d'accroître la protection du
réseau, mais il est peu pratique de modifier la configuration du réseau lui-même.

18
 Visualisation des Statistiques

Les Statistiques de la page Statut du Système fournissent des informations sur les sessions, les
archives de contenu et l’activité protection réseau.

• Visualisation de la liste des sessions

La liste des sessions affiche des informations sur les sessions de communication en cours sur le
boîtier FortiGate.

Visualiser la liste des sessions

1 Sélectionnez Système > Statut > Statut.
2 Dans la section Statistiques, cliquez sur Détails dans la ligne Sessions.

• Visualisation du Journal des Attaques

Les statistiques portant sur les attaques réseaux bloquées par le boîtier FortiGate sont visibles
dans la section Statistiques de la page Statut du Système. Pour en savoir plus sur chaque type
d’attaques, cliquez sur le lien Détails de l’attaque concernée.

L’icône Remise à zéro en haut de la section Statistiques permet d’effacer les archives sur le 19
contenu et les journaux des attaques, et de remettre les compteurs à zéro.
 • Visualisation des virus attrapés
1 Sélectionnez Système > Statut > Statut.
2 Dans la section Journal des attaques, cliquez sur Détails à côté d’AV.

Date & heure La date et l’heure de la détection du virus.

De L’adresse email ou l’adresse IP de l’émetteur.
A L’adresse email ou l’adresse IP du destinataire visé. Le
Service Virus type de service, tel que POP ou HTTP.
Le nom du virus détecté.

• Visualisation des attaques bloquées

1 Sélectionnez Système > Statut > Statut.
2 Dans la section Journal des attaques, cliquez sur Détails à côté d’IPS.

Date & heure La date et l’heure de la détection de l’attaque. La

De source de l’attaque.
A L’hôte cible de l’attaque. Le type
de service.
Service
Le type d’attaque détectée et bloquée.
Attaque

20
 • Visualisation des spams bloqués

1 Sélectionnez Système > Statut > Statut.

2 Dans la section Journal des attaques, cliquez sur Détails à

côté de Spam.

Date & heure La date et l’heure de la détection du spam.

De -> À IP
Les adresses IP de l’émetteur et du destinataire visé.
De -> A comptes email
Les adresses email de l’émetteur et du destinataire visé. Le
Service
type de service, tel que SMTP, POP ou IMAP.
Type de SPAM
Le type de spam détecté.

• Visualisation des URL bloquées

1 Sélectionnez Système > Statut > Statut.

2 Dans la section Journal des attaques, cliquez sur Détails à côté de Web.

Date et heure La date et l’heure de la détection de la tentative d’accès

De de l’URL. 21
L’hôte qui a tenté d’accéder à l’URL.
URL Bloquées
L’URL bloquée.
 NAT
En réseau informatique, on dit qu'un routeur fait du network address translation (NAT) («
traduction d'adresse réseau » ou « translation d'adresse réseau ») lorsqu'il fait correspondre des
adresses IP à d'autres adresses IP. En particulier, un cas courant est de permettre à des machines
disposant d'adresses qui font partie d'un intranet et ne sont ni uniques ni routables à l'échelle
d'Internet, de communiquer avec le reste d'Internet en faisant semblant d'utiliser des adresses
externes uniques et routables.

DNS
Les équipements (hôtes) connectés à un réseau IP, comme Internet, possèdent une adresse IP qui les
identifie sur le réseau. Ces adresses sont numériques afin de faciliter leur traitement par les
machines. En IPv4, elles sont représentées sous la forme « xxx.xxx.xxx.xxx », où « xxx » est un
nombre entre 0 et 255 (en représentation décimale). En IPv6, les adresses sont représentées sous la
forme « xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx », où « xxxx » représente une valeur hexadécimale
de 0000 à FFFF.

Pour faciliter l'accès aux hôtes sur un réseau IP, un mécanisme a été mis en place pour associer un
nom à une adresse IP. Ce nom, plus simple à retenir, est appelé « nom de domaine ». Résoudre 22
un
nom de domaine consiste à trouver l'adresse IP qui lui est associée
 Système > Réseau

Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et des
paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces VLAN et de
zones à la configuration réseau du FortiGate.

Interface
En mode NAT/Route, pour configurer les interfaces FortiGate. sélectionnez
Système > Réseau > Interface
Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM uniquement).

23
 Paramètres de l’interface

Nom de l’interface Entrez un nom pour l’interface. Il n’est pas possible de modifier le nom d’une interface existante.
Sur les modèles 800 et plus, vous pouvez créer des interfaces VLAN
Sur les modèles WiFi-60A et WiFi-60AM, vous pouvez créer des interfaces sans fil.
Type
Certains modèles ne supportent que la création d’interface VLAN et n’affichent alors pas le champ
Type.

Interface Sélectionnez le nom de l’interface physique à laquelle vous voulez adjoindre une sous-interface VLAN. Il est
impossible de modifier l’interface d’une sous-interface VLAN existante.
ID VLAN
Entrez l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à cette sous-interface VLAN. Il est
impossible de modifier l’ID d’une sous-interface VLAN existante. L’ID VLAN, se situant entre 1 et 4096, doit
correspondre à l’ID VLAN ajoutée par le routeur IEEE 802.1Q- compliant ou connecté à la sous-interface VLAN.
Domaine Virtuel
Sélectionnez le domaine virtuel auquel la sous-interface VLAN appartient. Seul l’administrateur admin peut
effectuer cette commande lorsque la Configuration de Domaine Virtuel est activée

Mode d’adressage Pour configurer une adresse IP statique d’une interface, sélectionnez Manuel et entrez adresse IP/masque de
réseau dans le champ prévu à cet effet. L’adresse IP doit être sous le même sous-réseau que le réseau auquel
l’interface se connecte. Deux interfaces ne peuvent pas avoir leurs adresses IP sur le même sous- réseau.
DDNS Cochez la case Activer à côté de DDNS pour configurer un service DNS Dynamique pour cette interface. Des
champs additionnels sont affichés

Ping Serveur
Pour activer la détection de l’échec d’une passerelle, entrez l’adresse IP du routeur du prochain saut sur le
24
réseau connecté à l’interface et cochez la case Activer. Pour plus d’informations sur la détection de l’échec
Administration
Sélectionnez les types d’accès administratifs permis sur cette interface.
HTTPS
Permet des connexions HTTPS sécurisées vers l’interface d’administration web à travers
cette interface.
PING
L’interface répond aux requêtes Ping. Cette fonctionnalité vous permet de vérifier votre
installation et de la tester.
HTTP
Permet des connexions HTTP vers l’interface d’administration web à travers cette
interface. Les connexions HTTP ne sont pas sécurisées et peuvent être interceptées
par des tiers.
SSH
Permet des connexions SSH vers l’interface de commande en ligne à travers
cette interface.

SNMP Permet à un superviseur SNMP distant de solliciter des informations SNMP en se

connectant à cette interface.
TELNET Permet des connexions Telnet vers le CLI à travers cette interface. Les connexions
Telnet ne sont pas sécurisées et peuvent être interceptées par des tiers.

25