FORTIGATE PARTIE I

1- INTODUCTION SUR FORTIGATE ET LES

UTM

Conception de la plateforme FortiGate:

⮚ FortiGuard : Service de mise à jour FortiGate

⮚ FortiGate offre plusieurs services à savoir :
● Antivirus : Bloquer les virus
● Web Filter : Bloquer ou autoriser le trafic Web
● IPS : Bloquer les intrusions applicatives
⮚ FortiWeb : Interface graphique de FortiGate
⮚ FortiMail : FortiMail est une plate-forme de passerelle de messagerie sécurisée. 
⮚ FortiWeb : Interface graphique de FortiGate
⮚ FortiOS : Système d'exploitation de FortiGate
⮚ FortiClient : Logiciel d'accès à distance de FortiGate
⮚ FortiSandbox: Fournit en temps réel une intelligence décisionnelle grâce à une
détection et atténuation avancée des logiciels malveillants.

1
 ⮚ FortiASIC : Ensemble de processeurs réseau et de contenus hautes-performances
qui collaborent avec un processeur classique pour accélérer les services de sécurité et
offrir le niveau de performances par les services UTM. 

Vitalisation de FortiGate

Un firewall FortiGate peut être virtualité pour multiples utilisations comme suit :

⮚ FortiGate VM : Machine virtuelle VMWARE qui possède des mêmes fonctionnalité

qu'un FortiGate physique
⮚ FortiGate VMX: déployé
entre les machines virtuelles
VM
possède des mêmes
fonctionnalité qu'un
FortiGate physique.
⮚ FortiGate Connector :
permet de déployer des
ForiGate Physique ou virtuel
VMs pour générer un trafic

Pré requis :

Mode de
déploiement
FortiGate
2 modes de
déploiement de Firewall
sont possible:

2
 1. Mode NAT
Appelé aussi mode routé.
Fonctionne comme un routeur qui transfère les paquets de couche 3 de modèle OSI.
Chaque interface logique possède une adresse IP; les
paquets sont routés via leurs adresses IP.
--> Le mode le plus utilisé
--> Le mode par défaut d'un FortiGate

2. Mode transparent

Fonctionne comme un Switch ( bridge en Anglais) qui transfère les paquets sur la
couche 2 de modèle OSI.
Les interfaces logiques ne possède pas d'une adresse IP; Pas de routage de paquets on
parle seulement de laisser passer ou non le paquet en se référant à l'adresse physique
( adresse MAC).

Configuration initiale de FortiGate

Afin d'accéder au FortiGate pour l'administrer pour la première fois,
ci-dessous les paramètres par défaut de fabriquant qu'il faut
impérativement les changer à la première connexion:

⮚ Adresse IP : 192.168.1.99/24
⮚ User: admin
⮚ Password : (vide)
⮚ Services activés : PING, HTTP, HTTPS, SSH

Réinitialisation mot de passe FortiGate

En cas d'oubli ou de perte de mot de passe il est possible de le réinitialiser.

Il faut se connecter à l'équipement via le mode console via différent logiciel à savoir putty,
tera term et exécuter les 2 commandes ci-dessous :
User : maintainer
Password: bcpb <Serial Number>
--> Après avoir se connecter au FortiGate, le log maintainer ne sera valable que pour 30
secondes seulement, c'est à dire le temps de changer le mot de passe.
--> Il faut redémarrer le FortiGate après cette action ; Hard reboot.

3
Pour récupérer le N° de Série de Firewall il faut faire comme suit :

Exemple concret :
--> Password :

bcpb FG100E4Q17004886

En cas de non sécurité

physique de l'équipement la
fonction maintainer peut
être désactiver comme suit :
sys global
set admin-
maintainer
disable
end

Création Profile utilisateur

Il est possible de créer plusieurs log administrateur ou super user comme suit :

4
Plusieurs option peuvent être activées lors de la création de profile afin de garantir

⮚ Envoi de message lors de l'authentification de l'utilisateur au numéro mentionné

⮚ Seul la personne qui possède le jeton peut accéder

⮚ Seuls les postes d'adresses IP

Création de droit d'accès

5
Par défaut il existe 2 type de profile dans FortiGate comme suit :
⮚ super_admin : possédant tout les droit en lecture et écriture
Ce mode ne peut pas être modifié.
⮚ prof_admin: possédant tout les droits en lecture et écriture
Il est possible de personnaliser les droit de ce mode
utilisé dans les domaines virtuel (VDOMs)
⮚ Il est possible de créer d'autres droits d'accès personnalisés

Types d'accès au FortiGate

L'accès au FortiGate se fait par plusieurs services.

Il suffit que ce dernier soit activer comme suit :

6
Recommandations:

1- Utiliser les 2 accès sécurisés-dessous pour se connecter au Firewall:

⮚ SSH
⮚ HTTPS

2- Renforcer la complexité de mot de passe

7
Gérer les fonctionnalités de FortiGate

Il se peut que certaines fonctionnalités soient désactiver en GUI ( Graphical User Interface),
pour les réactiver il faut faire comme suit:

Configuration des interfaces

Dans le mode NAT chaque interface est caractérisé par une adresse IP qui peut être définie :

1- Manuellement ( comme ci-dessous)

2- via DHCP

8
Pour une interface bien déterminée il est possible d'utiliser le serveur DHCP de FortiGate en
définissant :

1- l'adresse IP de début.
2- L'adresse IP de fin.
3- La passerelle.

Une interface peut être de 4 types :

Serveur DHCP de FortiGate

C'est possible d'activer le service DHCP au niveau de Firewall comme suit :

9
Il est possible également de bloquer certaines adresses MAC.

Serveur DNS de FortiGate

FortiGate permet de spécifier un DNS pour chaque interface indépendamment des autres
interfaces.

Backup FortiGate

Il faut faire d'une façon régulière un backup de config dans une ressource externe pour
l'utiliser en cas de besoin.

10
 1- Restaurer la dernière config
2- Reboot de Firewall
Cette fonctionnalité n'est pas disponible dans tous les modèles FortiGate
En cas de VDOM chaque backup se fait à part.

Restauration FortiGate

Sous réserve d'une d'existence d'une configuration de FortiGate, il est possible de restaurer
cette dernière

Dans le cas d'import d'une configuration d'un autre modèle plusieurs paramètres doivent être
changé manuellement car ces derniers sont uniques pour chaque modèle.

Exemple :

Upgrade FortiGate

La mise jour de FortiGate permet de:

11
 ⮚ Actualiser la base virale es t applicative par les dernières mises à jour; nouvelles
règles de sécurité
⮚ Corriger certains bugs
⮚ Avoir plus de fonctionnalité.

Avant de procéder à une mise à jour il faut faire un backup car c'est possible d' avoir des
erreur lors de la mise ou même après ( exemples applications ne fonctionnent plus).
Recommandai

Ce n'est pas toujours possible de passer d'une version antérieure à la dernière MAJ il est
parfois obligatoire de passer par les mises à jour intermédiaires pour arriver à la dernière
MAJ.

Exemple
Version actuelle de FortiGate est la 5.4 pour avoir 6.2 il faut faire 5.6.0, puis 5.6.1 puis 5.6.2
puis 5.6.3

Downgrade FortiGate

Suit à une MAJ de Firmware, il se peut que certains services ne fonctionnent plus, donc nous
serons dans l'obligation de faire un downgrade.

Il faut également faire un Backup avant le Downgrade de Firewall.

12
13