Académique Documents
Professionnel Documents
Culture Documents
Objectif : L'objectif de ce lab est de se familiariser avec l'interface Fortigate, de pouvoir effectuer des actions
basiques d'administration et de debug.
Durée : 2h
Prérequis : récupérer le firewall étiqueté « NXP-F-FORTIFORMATION02 ». Cette formation a été rédigée pour
un firewall en version 5.4.4.
I. Reset de configuration
1. Se connecter sur le port LAN du firewall.
(La console CLI est disponible dans l’accueil/dashboard de l’interface. Normalement nous utiliserons
une connexion SSH pour avoir accès à la CLI du firewall, mais pour ce lab, l’accès se fera directement
via la WebUI)
execute factoryreset
6. Se reconnecter en WebUI.
a. IP par défaut : 192.168.1.99
1
2. Choisir un mot de passe et bien le noter pour le reste du lab.
Il est absolument primordial de spécifier les trusted hosts sur un environnement de production car
sinon l’accès au prompt d’admin est autorisé depuis n’importe quel réseau et des tentatives de
brute-force peuvent être observées au niveau des logs si le firewall est ouvert sur internet.
Interface physique : il s'agit des ports disponibles au niveau du firewall et sur lesquels il est possible
de brancher des câbles.
2
LAN1
LAN2
LAN3
LAN4
WAN
Interface VLAN : comme sur les routeurs et switch, il est possible de créer des interfaces VLAN et de
les rattacher à une interface physique.
Pour ce lab, nous allons créer 2 interfaces VLANs rattachés à l’interface physique LAN.
Zones : Les zones sont un regroupement d'interfaces VLAN ou physique, qui ont le même besoin de
sécurité. Nous allons pour ce lab créer une zone Serveurs dans laquelle nous allons regrouper les
zones serveurs_bureautique et serveurs_ToIP.
3
Créer la zone avec le blocage intra-zone coché.
Les ouvertures de flux peuvent se faire d'une interface à une autre, mais dès qu'une zone est créée,
il n'est plus possible sur fortinet d'utiliser l'interface pour les ouvertures de flux. L'ensemble des
ouvertures se font avec la zone contenant l'interface.
Il est possible d'activer ou non le filtrage intra-zone dans une zone. Si le filtrage est activé, il est alors
nécessaire de créer une règle de flux au sein de la même zone pour autoriser le trafic d'une interface
à l'autre. Sinon tout le trafic entre les interfaces de la zone est autorisé.
V. Debug flow
L'interface ne devrait normalement pas répondre. Nous allons tenter de débugger pourquoi.
Pour les consultants LiveXP, vous retrouverez les commandes de debug dans la page Intranet
suivante : https://intranetxp.netxp.fr/display/infogerance/FortiGate+-
+Commandes+et+outils+de+troubleshooting
4
Ce message signifie que le firewall n'a pas les ouvertures nécessaires pour autoriser le trafic.
Le diab debug peut montrer différentes raisons de blocage (manque de route, route retour).
Rattacher l’objet à la zone serveurs. Sauf cas particuliers il vaut mieux toujours rattacher l’objet créer
à son interface/zone plutôt que de le laisser en ANY.
5
Créer une policy de LAN vers la zone Serveurs avec en source NET-Serveurs-Data_192.168.2.0_24 et
en destination NET-LAN_192.168.1.0_24 et comme protocole PING.
Bien décocher le NAT car sinon le firewall effectue un source NAT avec l’IP de l’interface.
Cocher Log Allowed Traffic : All Sessions afin d’avoir les logs en WebUI.
6
Ne pas hésiter à arrêter le lab et à poser des questions si vous avez des doutes sur pourquoi il est
nécessaire de désactiver le NAT car ce point est extrêmement important pour la compréhension du
comportement du firewall.
Réeffectuer un diag debug et analyser les logs après avoir fait un ping 192.168.2.1.
Remarque : L'ID d’une règle et son numéro de séquence sont différents. Il est possible de faire
apparaitre l'ID en Web UI.
Bytes : la volumétrie de trafic utilisé par la règle. (on voit d’ailleurs dans l’exemple que la règle ping
vers serveurs Data a bien été utilisée)
Last Used : Montre la dernière date à la quelle la règle a été utilisée. Pratique pour déterminer si une
règle de flux est bien utilisée ou non.
Remarque : Les policies sont traitées par ordre de séquencement. Si un deny est placé au-dessus
d’un allow, c’est le deny qui prendra le dessus.
L’implicit deny est la dernière règle du firewall qui deny l’ensemble du trafic s’il ne match aucune
règle au-dessus.
7
VII. Diag sniffer
Lancer la commande « diag sniffer packet any 'host 192.168.2.1 » avant de lancer un ping et analyser
le résultat.
Le diag sniffer permet de voir rapidement les interfaces par lesquelles transitent un trafic et si un
host distant répond bien aux requêtes ou non.
8
Mettre : 192.168.4.0/24 en IP et cocher la case DHCP Server.
Nous allons également cocher PING et HTTPS. Les services cocher à l’interface déterminent si
l’interface est joignable ou non sur son IP. Ajouter l’HTTPS permettra donc d’accéder au firewall
depuis le port3.
Se brancher alors sur le port3 du firewall et vérifier que l’on récupère bien une IP dans le bon range.
X. Filtrage Intra-zone
Se connecter sur le firewall avec l’IP du port3 : 192.168.4.1
9
Dès qu’une zone contient des interfaces qui n’ont pas besoin de communiquer, il est nécessaire de
cocher le blocage intra-zone.
Sequence View :
Les règles ne sont pas regroupées mais il est possible de filtrer sur l’interface source ou destination.
Pour effectuer un filtre, il suffit de cliquer sur le from / to / Source / Destination.
A LiveXP, nous utilisons surtout l’interface Pair View.
Il est très important de ne jamais créer de règle avec comme source interface ou destination
interface ANY ou plusieurs interfaces. Il devient alors impossible d’utiliser l’interface Pair View.
Il est possible d’effectuer différents filtres (src pour IP source, dst pour IP destination, sport pour port
source etc)
Attention : En ne mettant pas de filtre, l’ensemble des sessions du firewalls sont cleatés de qui
entraine une coupure de toutes les sessions en cours.
10
XIII. Reset de la configuration
Effectuer de nouveau un reset de la configuration.
11