Académique Documents
Professionnel Documents
Culture Documents
Administration Du FortGate BOUCHMI Amine 3585
Administration Du FortGate BOUCHMI Amine 3585
A
Addm
miinniissttrraattiioonn dduu F
FoorrttiiG
Gaattee
Pr. K. Zenkouar
Pr. A. Ben Abbou
Pr. A. Boushaba
A mon chère frère Soufiane et mes chères sœurs Hanane, Ilhame, Ghizlane,
Kawtare, Horiya, ma famille, mes chers amis Benjeddi Lamyae, Mimi
Houssame, Chahou salah, Mortaki Mohamed, Azzani hamza, Veuillez trouver
dans ce modeste travail l’expression de mon affection.
Bouchmi Amine.
Remerciements
Après DIEU, je tiens à adresser mes remerciements les plus sincères à tout le
corps professionnel et administratif de la Faculté des Sciences et Techniques de
Fès.
1
II. Statuts du Système .................................................................................................................... 32
1). Page des statuts................................................................................................................. 32
2). Menus du statut de system ............................................................................................... 32
3). Dashboard ......................................................................................................................... 33
4). System Information widget ............................................................................................... 34
5). Changer le nom d'hôte de l'unité de FortiGate ................................................................. 35
6). Modification du mode de fonctionnement ....................................................................... 36
7). System Resources widget .................................................................................................. 37
8). Changement du firmware ................................................................................................. 37
9). Backing up the configuration ............................................................................................ 38
10). License Information widget ............................................................................................... 38
11). Alert Message Console widget .......................................................................................... 39
12). CLI Console widget ............................................................................................................ 40
13). Syntaxe de la commande .................................................................................................. 40
14). Top Sessions widget .......................................................................................................... 42
III. Système Réseau..................................................................................................................... 43
1). Interface ............................................................................................................................ 43
2). Paramètres de l’interface .................................................................................................. 43
3). Configuration additionnelle des interfaces ....................................................................... 47
4). Aperçu sur les VLAN .......................................................................................................... 47
5). Equipements FortiGate et VLAN ....................................................................................... 48
6). VLAN en mode NAT/Route ................................................................................................ 48
7). VLAN en mode Transparent .............................................................................................. 50
IV. Système DHCP ....................................................................................................................... 52
1). Serveurs et relais DHCP FortiGate ..................................................................................... 52
2). Configuration des services DHCP ...................................................................................... 52
V. Configuration du Système ......................................................................................................... 55
1). Haute Disponibilité (high availability) ............................................................................... 55
2). Messages de remplacement ............................................................................................. 56
VI. Politiques de sécurité et des Règles de pare-feu .................................................................. 58
1). Politiques de sécurité ........................................................................................................ 58
2). Définition des Règles de pare-feu ..................................................................................... 59
3). Comment l'ordre de liste affecte l'assortiment de politique ............................................ 60
4). Visualisation de la liste des règles pare-feu ...................................................................... 61
2
5). Options des règles pare-feu .............................................................................................. 61
6). Service Pare-feu................................................................................................................. 67
7). Protéger un serveur avec DMZ .......................................................................................... 74
VI. Utilisateurs ............................................................................................................................ 78
1). Configuration de l’authentification d’un utilisateur.......................................................... 78
2). Serveurs Windows AD ....................................................................................................... 78
3). Conclusion ......................................................................................................................... 80
Conclusion Générale ............................................................................................................................. 81
Webographie ......................................................................................................................................... 82
3
Liste des abréviations
HA : Haute Disponibilité
4
ICMP : Internet Control Message Protocol
5
PADT: PPPoE Active Discovery Terminate
6
Liste des figures
7
Figure 39:illustration de visualisation de la liste des règles pare-feu ...................................... 61
Figure 40:illustration d'option de règle ACCEPT en mode NAT/route..................................... 62
Figure 41:illustration de regle ACCEPT en mode Transparent ................................................. 62
Figure 42:illustration d'option de règle DENY .......................................................................... 63
Figure 43:illustration d'option de règle pare-feu IPSec ........................................................... 65
Figure 44:illustration d'option de règle pare-feu VPN SSL....................................................... 66
Figure 45:illustration des règles d'authentification de l’option VPN SSL ................................ 67
Figure 46:illustration de visualisation de la liste des services prédéfinis ................................ 68
Figure 47:illustration de configuration d'un service personnalisé........................................... 74
Figure 48:illustration de configuration de l’interface DMZ ..................................................... 75
Figure 49:illustration de création de première d'IP virtuel ..................................................... 76
Figure 50: illustration de création de deuxieme d'IP virtuel ................................................... 76
Figure 51:illustration de création de la première politique de sécurité ................................. 77
Figure 52: illustration de création de la deuxième politique de sécurité ............................... 77
Figure 53:illustration de résultat .............................................................................................. 78
Figure 54: illustration de configuration de serveur AD ............................................................ 79
8
Introduction Générale
Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant essentiel qui est le
firewall. Cet outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de
détecter les tentatives d'intrusion et d'y parer au mieux possible. En plaçant un firewall
limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les
activités se déroulant dans son enceinte.
L’objectif principal de mon stage c’est de réaliser un guide d’administration qui est
simple pour faciliter au service technique de la société Webhelp d’administrer le boitier
FortiGate et utiliser ces fonctions pour mieux exploiter ces fonctions à fin d’élaborer une
meilleure solution réseau et de protéger la société contre les menaces malveillantes.
9
système DHCP, la quatrième partie sera dédiée au politique de sécurité et règles de pare-feu
et la cinquième sera dédiée à l’utilisateur.
10
Chapitre 1 : Présentation de la société Webhelp MultiMedia et
cahier des charges
11
1). Introduction
Créé en juin 2000 par Frédéric Jousset et Olivier Duha, Webhelp est présent au Maroc
depuis 2002.
Avec plus de 6400 employés répartis sur 11 sites et 4 villes du royaume (Rabat,
Kenitra, Fès et Agadir), Webhelp est un acteur majeur dans le domaine de la gestion de la
relation client.
2002 : Webhelp Maroc choisit la ville de Rabat pour l’implantation de son premier
site au centre-ville avec un effectif de 400 personnes.
2003-2006 : Webhelp Maroc est déclaré 1er opérateur off-shore, certifié ISO 9001
version 2000. Webhelp confirme son expertise et son professionnalisme en attirant
de plus en plus de clients. L'entreprise compte alors 2330 salariés, soit une croissance
de plus de 582% depuis le début de son activité. Confirmant son développement,
cette période marque aussi l'ouverture de 4 nouveaux sites : 3 sur Rabat et un
premier site à Fès.
2006 (11 Mai) : Pionnier dans l'innovation, Webhelp est récompensé pour sa capacité
d’innovation économique et sa capacité à générer de la croissance porteuse d’emploi
en remportant le Grand Prix Maroc Innovation.
2006 (19 Mai) : Webhelp remporte le « Trophée des extensions » du SICCAM (Salon
International des Centres de Contact et d’Appels au Maroc), pour avoir étendu
davantage ses activités au Maroc
2007-2008 : En 2007, Webhelp obtient la certification NF 345 pour l'ensemble de
ses centres de contact. La croissance régulière de Webhelp Maroc continue avec
l'ouverture de 2 autres sites à Fès et d'un site à Rabat Hay Ryad.
2009-2011 : En 2009, Webhelp obtient la certification LRS (Label Responsabilité
Sociale). Webhelp Maroc confirme encore sa position de leader avec plus de 6400
collaborateurs en ouvrant 2 nouveaux sites sur Salé Al Jadida (Technopolis) et
Kenitra.
12
2012 : Webhelp fête ses 10 ans au Maroc avec l'ouverture de son 11ème site à
Agadir. Son Label Responsabilité Sociale est renouvelé.
3). Organigramme
Direction
Générale
Direction de Direction de
Sites Production
13
Direction de Sites
Les Directeurs de Sites pilotent, sur leur site ou domaine de responsabilité, les
activités confiées par nos clients dans le respect des engagements contractuels, ainsi que
des processus et normes du Groupe Webhelp. Pour cela, ils s’appuient sur les Directeurs de
Production.
Direction de Production
Les équipes Ressources Humaines travaillent en forte proximité avec les équipes de
Production. Elles recrutent, forment et assurent la montée en compétence de nos salariés
tout le long de leur carrière. Elles gèrent également l'administration du personnel et les
relations sociales.
Direction Technique
La Direction de la Qualité & Méthodes est le garant du respect des normes pour
lesquelles Webhelp est certifiée (ISO, EN/NF, LRS, PCI). Elle accompagne les équipes de
production pour l'amélioration de la qualité de leurs projets. Elle met également en place les
outils et processus d'amélioration continue.
Direction de la Communication
14
4). Architecture réseaux du WebHelp
IPVPLS
Virtual private LAN service (VPLS) est un service Ethernet multipoint-à-multipoint
fonctionnant au-dessus d'un réseau IP muni d'un mécanisme de tunnel (en général
MultiProtocol Label Switching(MPLS)). Il permet d'interconnecter des LAN de plusieurs sites
distincts qui apparaissent comme étant sur le même LAN Ethernet. En ce qui concerne les
fournisseurs de services, le VPLS s'appuie sur le MPLS pour créer une solution fiable,
évolutive et opérationnellement efficace. S'agissant des entreprises, le VPLS s'appuie sur
l'Ethernet pour fournir un service multipoint simple et économique assorti d'accords sur la
qualité de service pour les différents types de trafic. L'avantage par rapport aux solutions de
Réseau privé virtuel de niveau-2 MPLS ou L2TPv3, qui ne fournissent que des services de
tunnels de niveau 2 en point à point, est que les solutions VPLS fournissent des services de
connectivité multipoint (de tout point à tout point).
15
Router
Un routeur est un élément intermédiaire dans un réseau informatique assurant le
routage des paquets. Son rôle est de faire transiter des paquets d'une interface réseau vers
une autre, au mieux, selon un ensemble de règles. Il y a habituellement confusion entre
routeur et relais, car dans les réseaux Ethernet les routeurs opèrent au niveau de la couche 3
de l'OSI.
FIREWALL
Figure 3: Firewall
Dispositif informatique qui filtre les flux d'informations entre un réseau interne à un
organisme et un réseau externe en vue de neutraliser les tentatives de pénétration en
provenance de l'extérieur et de maîtriser les accès vers l'extérieur.
Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de
différents niveaux de confiance, grâce à l'application de la politique de sécurité et d'un
modèle de connexion basé sur le principe du moindre privilège qui dicte que chaque
fonctionnalité ne doit posséder que les privilèges et ressources nécessaires à son exécution,
et rien de plus. Ainsi en cas de défaillance grave du système, les dommages ne peuvent pas
16
dépasser ce qui est autorisé par les privilèges et les ressources utilisés, ces derniers étant
eux-mêmes limités par la séparation de privilège.
l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau,
etc.).
les options contenues dans les données (fragmentation, validité, etc.).
les données elles-mêmes (taille, correspondance à un motif, etc.).
les utilisateurs pour les plus récents.
Catégories de pare-feu :
Pare-feu à états
Les pare-feux à états vérifient la conformité des paquets à une connexion en cours.
C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du
précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer
intelligemment les paquets ICMP qui servent à la signalisation des flux IP.
Pare-feu applicatif
Pare-feu personnel
Les pare-feux personnels, généralement installés sur une machine de travail, agissent
comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine
des données. Le but est de lutter contre les virus informatiques et les logiciels espions.
Portail captif
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un
réseau de consultation afin de leur présenter une page web spéciale (par exemple :
avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser
accéder à Internet. Ils sont utilisés pour assurer la traçabilité des connexions et/ou limiter
l'utilisation abusive des moyens d'accès. On les déploie essentiellement dans le cadre de
réseaux de consultation Internet mutualisés filaires ou Wi-Fi.
17
Backbone ou Switch serveur
Backbone relie tous les Switch entre eux est Divisant le réseau en sous-réseaux.
Les menaces qui ciblent les entreprises ne cessent d’évoluer. Ces attaques sont de
plus en plus ciblées et de plus en plus sophistiquées.
Les malwares et les botnets sont de plus en plus sophistiqués, de plus en plus
discrets, et ne s’arrêtent pas par un simple blocage de ports.
Les APT (Advanced Persistent Threats) s’installent sur le long terme au cœur des
infrastructures. Leur objectif principal consiste à implanter des mécanismes qui permettent
de voler des informations et des identités sans être repérés. C’est la clé du business des
cybercriminels. De fait, ces APT peuvent être actives durant de nombreux moins et parfois
même des années avant d’être détectées et éradiquées.
Les AET (Advanced Evasion Techniques) sont l’un des nouveaux moyens
d’implantation des APTs. Les cybercriminels utilisent différentes techniques d’évasion pour
échapper aux protections réseau. Les techniques les plus simples consistent à altérer les
18
ports standards des applications protégées pour les faire utiliser des ports autorisés, à glisser
des activités interdites au sein d’un protocole autorisé (comme le VPN), à chiffrer les
contenus malveillants. Aujourd’hui, les techniques avancées (AET) combinent plusieurs
mécanismes et divisent les attaques en actions autorisées - car jugées individuellement non
dangereuses - qui, une fois regroupées et combinées, forment une menace.
Les attaques par déni de service (DDoS) sont de plus en plus répandues et désormais
à la portée de n’importe qui. On trouve en effet très aisément sur Internet des services en
ligne façon SaaS (Software As A Service) qui permettent, moyennant quelques euros, de
porter une telle attaque contre n’importe quel serveur, site ou entreprise. La plupart du
temps, ces attaques cherchent à rendre inaccessible un site ou un e-commerce (commerce
électronique) avec parfois du chantage à la clé (arrêt des attaques contre une rançon).
Quelquefois ces attaques sont aussi là pour créer un bruit de fond afin de masquer une
intrusion plus sournoise.
Parce qu’ils sont au cœur du réseau, les pare-feu conservent une place stratégique
pour parer les cybercriminels. Mais face à cette variété de menaces et de techniques
cybercriminelles, les pare-feu classiques ne suffisent plus et ne peuvent plus jouer le rôle de
gardien qu’on leur attribuait autrefois. Les techniques d’évasion permettent de les
contourner bien trop facilement. Car les concepts des pare-feu classiques ont été créés bien
avant l’invasion des malwares et du Web 2.0.
Ces dernier sont risquée par les attaques qu’on citée avant, c’est pour cela on a
besoin de protéger le réseau de la société contre ces attaques.
19
6). Pourquoi FortiGate
Parmi les fonctionnalités que l’on peut croiser sur les UTM/NGFW et dont la présence
doit être vérifiée lors des choix, on retiendra :
Le pare-feu est un élément clé du réseau par lequel gravite tout le trafic à protéger.
Un UTM/NGFW compte en général plusieurs ports Ethernet qui peuvent être attribués à
différents VLANs (réseaux virtuels) ou utilisés comme un Switch filtrant d’un réseau unique.
20
6.3) Efficacité
L'efficacité commence par vérifier comment le Pare-feu nouvelle génération gère les
flux chiffrés (typiquement https) de plus en plus utilisés dans tous les échanges y compris
ceux relevant du trafic cybercriminel. Le boîtier doit être en mesure de déchiffrer ces flux
pour que ses fonctionnalités antivirales, antispam et IPS puissent fonctionner. Certains
boîtiers peuvent se révéler aveugles sur de tels flux. D'autres vont imposer l'installation d'un
certificat sur chaque poste.
6.4) Performances
La figure ci-dessous montre une comparaison entre le FortiGate et les autres Firewall :
La société Webhelp a choisi le FortiGate non seulement il est le leader mondial de la sécurité
UTM mais aussi il assure un débit pare-feu pouvant atteindre 16 Go/s et aussi une Souplesse
et simplicité de déploiement ainsi que La maîtrise il garantit Une sécurité robuste et
exhaustive et Une gestion des menaces performante et accélérée.
21
Les administrateurs se contentent parfois de rajouter des règles au fur et à mesure
des incidents et de l’évolution des usages. Or la multiplication des règles conduit vite à
l’effondrement des performances voire parfois à rendre tout le système totalement
inopérant. Il faut savoir adapter les règles et supprimer celles devenues inutiles.
C’est pour cela la société Webhelp veut un guide d’administration qui est simple et
applicable pour faciliter au service technique d’administrer le boitier FortiGate et utiliser ces
fonctions pour évoluer la sécurité réseau de la société et de la protéger contre les menaces
malveillants.
8). Conclusion
22
Chapitre 2 : Présentation et Déploiement du FortiGate sur VMware
23
1). Introduction
24
de sécurité et d’analyse de contenu. Cette architecture unique basée sur un Asic permet
d'analyser en temps réel les contenus applicatifs et les comportements du réseau.
25
Figure 8: illustration de configuration en mode CLI
26
Figure 9 illustartion de connexion au gestionnaire web du FortiGate
La page du statut système apparaît avec une boîte de dialogue de licence d'évaluation:
Figure 10: illustration du page statut de système
Allez au System > Network > Interfaces et cliquez sur édit l’interface.
27
Figure 11:illustration de configuration de port2
Si votre FortiGate se connecte directement à votre FAI, réglez Mode d'adressage sur
Manuel et définissez le IP / Netmask à l'adresse IP publique de votre FAI vous a fourni.
Si cet équipement utilise DHCP, définissez Mode d'adressage DHCP pour obtenir une
adresse IP attribuée à l'interface.
Si l'équipement de FAI ne pas utiliser DHCP, votre FAI peut vous fournir la bonne
adresse IP privée à utiliser pour l'interface.
Allez au Router > Static > Static Routes and Créer une nouvelle route.
28
Définir la destination IP / Masque à 0.0.0.0/0.0.0.0, l'appareil à l'interface côté
Internet, et la Gateway à la passerelle fournies par votre FAI ou au routeur de saut suivant,
en fonction de votre réseau exigences.
Pour changer l’adresse du serveur DNS, allez au System> Network > DNS et ajouter
Les serveurs DNS primaires et secondaires.
Allez au Policy & Objects > Policy > IPv4 et de créer une nouvelle politique.
29
3.7) configuration d’adresse de la machine virtuelle ubuntu
Figure 15: configuration de l'adresse IP de la machine
4). Conclusion
30
Chapitre 3: Elaboration d’un manuel de FortiGate
31
I. Introduction
Dance chapitre on va présenter un guide d’utilisation de FortiGate et ces principe
Fonctionnalité.
Les administrateurs FortiGate dont les profils d’accès prévoient les droits en écriture
de la configuration du système peuvent modifier ou mettre à jour les informations du boîtier
FortiGate.
A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page
Statut du Système. Pour visualiser cette page, votre profil d’accès doit prévoir les droits en
lecture de la configuration du système. Si vous avez également les droits en écriture de la
configuration du système, vous pouvez modifier les informations du système et mettre à
jour les bases de connaissances antivirus et IPS FortiGuard.
System :
Configurer les paramètres du système, tels que les interfaces réseau, les domaines
virtuels, les services DHCP et DNS, les administrateurs, les certificats, haute disponibilité
(HA), l'heure du système, les options mis en système et définir les options d'affichage sur le
gestionnaire basé sur le Web.
Router :
Policy :
32
Firewall Objects :
Security Profiles :
VPN :
Configurer l'appareil pour agir en tant que contrôleur de réseau sans fil, la gestion de
la fonctionnalité de point d'accès sans fil (AP) de FortiWiFi et FortiAP unités.
Log & Report :
Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir les messages
du journal et des rapports.
3). Dashboard
Les différents menus du tableau de bord fournit un moyen d'accéder à des
informations sur les activités et les événements réseau, ainsi que de configurer les
paramètres de base du système. Vous pouvez facilement ajouter plus de tableaux de bord et
de modifier celles qui existent déjà pour voir facilement le contenu dont vous avez besoin.
33
Les administrateurs doivent avoir lire et écrire des privilèges pour l'ajout et la
configuration des tableaux de bord et des widgets.
Vous pouvez également réinitialiser le menu du tableau de bord à ses paramètres par
défaut en sélectionnant Réinitialiser Dashboards.
34
HA Status : Le statut de la haute disponibilité (HA) au sein du cluster. Standalone
indique l'unité de FortiGate ne fonctionne pas en mode HA. Actif-passif ou actif-actif
indiquent l'unité de FortiGate fonctionne en mode HA.
System Time : La date et l'heure. Sélectionnez Modifier, pour configurer l'heure du
système.
Firmware Version : La version du firmware installé sur le boîtier FortiGate.
Sélectionnez Mise à jour pour télécharger une version différente du micrologiciel.
System Configuration : La période de temps lorsque le fichier de configuration a été
sauvegardé. Backup pour sauvegarder la configuration actuelle Pour restaurer un
fichier de configuration, sélectionnez Restaurer.
Current : Le nombre d'administrateurs actuellement connecté à l'unité de FortiGate.
Administrator : Sélectionnez Détails pour afficher plus d'informations sur chaque
administrateur qui est actuellement connecté.
Uptime : Le temps en jours, heures et minutes depuis l'unité de FortiGate a été
démarré ou redémarré.
Virtual Domain : Statut des domaines virtuels sur votre unité de FortiGate.
Sélectionnez ENABLE ou DESABLE pour modifier le statut de domaines virtuels
vedette Si vous activez ou désactivez les domaines virtuels, votre session prendra fin
et vous devrez vous connecter à nouveau.
35
6). Modification du mode de fonctionnement
Unités FortiGate peuvent fonctionner en NAT ou en mode transparent. À partir du
widget du tableau de bord Système d'information, vous pouvez modifier le mode de
fonctionnement de votre unité de FortiGate ou pour une VDOM et effectuer la configuration
de réseau suffisante pour vous assurer que vous pouvez connecter au page statut du
système dans le nouveau mode
Mode NAT
En mode NAT, le FortiGate est visible sur le réseau auquel il est connecté et toutes
ses interfaces se trouvent sur différents sous-réseaux. Chaque interface qui est connectée à
un réseau doit être configurée avec une adresse IP qui est valide pour ce sous-réseau.
Vous utiliserez généralement le mode NAT lorsque l'unité de FortiGate est déployé
en tant que passerelle entre les réseaux publics et privés (ou entre tous les réseaux).
Le mode transparent
En mode transparent, le FortiGate est invisible pour le réseau. Toutes ses interfaces
sont sur le même sous-réseau et partager la même adresse IP. Pour connecter l'unité de
FortiGate à votre réseau, tout ce que vous avez à faire est de configurer une adresse IP et
une route par défaut. Vous pouvez utiliser généralement l'unité de FortiGate en mode
transparent sur un réseau privé derrière un pare-feu existant ou derrière un routeur. En
mode transparent, le FortiGate fonctionne également comme un pare-feu. Les politiques de
36
sécurité contrôlent les communications à travers l'unité de FortiGate à l'Internet et le réseau
interne. Aucun trafic ne peut passer à travers l'unité de FortiGate jusqu'à ce que vous
ajoutez des politiques de sécurité.
Par exemple, la société dispose d'un routeur ou un autre pare-feu en place. Le réseau
est suffisamment simple pour que tous les utilisateurs soient sur le même réseau interne. Ils
ont besoin de l'unité de FortiGate pour effectuer le contrôle des applications, antivirus,
protection contre les intrusions et l'analyse du trafic similaire. Dans cette situation, l'unité de
FortiGate est en mode transparent. Le trafic passant par l'unité de FortiGate ne change pas
l'adressage du routeur vers le réseau interne. Les politiques de sécurité et des profils de
sécurité définissent le type d’analyse de l'unité de FortiGate effectue sur le trafic entrant
dans le réseau.
37
Upgrade From : Sélectionnez la source dans la liste des sources disponibles vers le bas du
firmware.
Upgrade File : Accédez à l'emplacement de l'image du microprogramme sur votre disque dur
local. Ce champ est disponible pour le disque dur local et USB seulement.
38
Figure 23: illustration de license Information widgets
Support Contract : Affiche des détails sur votre contrat actuel Fortinet Support.
FortiGuard Services : Affiche vos licences actuelles pour les services de FortiGuard.
Sélectionnez Renouveler pour mettre à jour l'une des licences.
FortiClient Software : Affiche les détails de licence FortiClient et le nombre de registre
et les utilisateurs de FortiClient autorisés. Vous pouvez sélectionner Détails pour plus
d'informations sur les utilisateurs actuels FortiClient
Virtual Domain : Affiche le nombre maximum de domaines virtuels de l'unité de
FortiGate supporte avec la licence actuelle. Pour les modèles haut de gamme, vous
pouvez sélectionner l'achat Plus lien pour acheter une clé de licence par un appui
technique Fortinet pour augmenter le nombre maximum de VDOMs.
11). Alert Message Console widget
Le widget Console Alert Messages vous permet de surveiller les événements du
système sur votre unité de FortiGate tels que les changements de firmware, les événements
de sécurité réseau, ou des événements de détection de virus. Chaque message indique la
date et l'heure de l'événement.
Figure 24: illustration d'Alert Message Console widgets
39
12). CLI Console widget
Le widget CLI Console vous permet d'accéder à la CLI sans quitter le gestionnaire
basé sur le Web.
Les deux commandes situées sur la barre de titre du widget CLI Console sont
Personnaliser et Détacher.
• Détachez déplace la console CLI widget dans une fenêtre pop-up que vous pouvez
redimensionner et repositionner. Sélectionnez Joindre. Pour déplacer le widget de retour à
la page de la planche de bord.
Lors de la saisie d'une commande, l'interface de ligne de commande (CLI) exige que
vous utilisez la syntaxe correcte et se conformer aux contraintes d'entrée attendues. Il
rejettera les commandes non valides. Documentation Fortinet utilise les conventions
suivantes pour décrire la syntaxe de commande valide
13.1). Terminologie
40
Figure 26:Illustration de Terminologie de la Commande
• command : Un mot qui commence la ligne de commande et indique une action que l'unité
de FortiGate doit effectuer sur une partie de la configuration ou de l'hôte sur le réseau,
comme config ou exécuter. Ensemble avec d'autres mots, tels que les champs ou les valeurs,
cette fin lorsque vous appuyez sur la touche Entrée, il forme une ligne de commande. Les
exceptions incluent les lignes de commande multilignes, qui peuvent être saisis à l'aide d'une
séquence d'échappement. Lignes de commande valides doivent être sans ambiguïté si
abrégée. Mots facultatifs ou d'autres permutations de ligne de commande sont indiqués par
la notation de syntaxe.
• sub-command : Une sorte de commande qui est disponible uniquement lorsque imbriqué
dans le cadre d'une autre commande. Après avoir entré une commande, ses sous-
commandes applicables sont disponibles pour vous jusqu'à ce que vous quittez le champ
d'application de la commande, ou jusqu'à ce que vous descendez d'un niveau
supplémentaire dans une autre sous-commande. Dentelure est utilisée pour indiquer les
niveaux de commandes imbriquées.
• Object : Une partie de la configuration qui contient des tables ou des champs. lignes de
commande valides doivent être suffisamment précis pour indiquer un objet individuel.
• table : Un ensemble de champs qui est l'un des multiples éventuellement des ensembles
similaires qui ont chacun un nom ou un numéro, comme un compte d'administrateur, de la
politique, ou de l'interface réseau. Ces ensembles nommés ou numérotées sont parfois
référencés par d'autres parties de la configuration qui les utilisent.
• field : Le nom d'un paramètre, comme ip ou nom d'hôte. Les champs dans certaines tables
doivent être configurés avec des valeurs. Défaut de configurer un champ obligatoire se
traduira par un message d'erreur de configuration d'objet non valide, et l'unité de FortiGate
rejettera la table non valide.
• value : Un chiffre, une lettre, l'adresse IP, ou tout autre type d'entrée qui est
habituellement votre configuration réglage tenue par un champ. Certaines commandes
41
nécessitent cependant des valeurs d'entrée multiples qui ne peuvent être nommés, mais
sont simplement entrés dans un ordre séquentiel dans la même ligne de commande. types
d'entrée valides sont indiqués par la notation contrainte.
• option : Une sorte de valeur qui doit être un ou plusieurs mots à partir d'un ensemble fixe
d'options.
The Top Sessions widget sondages l'unité FortiGate pour obtenir des informations de
session pour IPv4 ou les adresses IPv6, ou les deux. Redémarrage de l'unité de FortiGate se
réinitialise les statistiques Top Session à zéro. Lorsque vous sélectionnez Détails pour
afficher la liste des sessions en cours, une liste de toutes les sessions actuellement traitées
par l'unité de FortiGate.
Figure 27: illustration de Top Sessions widgets
42
III. Système Réseau
Cette partie décrit comment configurer votre FortiGate pour opérer sur votre réseau.
Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et
des paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces
VLAN et de zones à la configuration réseau du FortiGate.
1). Interface
En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modèles 800 et plus).
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM
uniquement).
43
Figure 29: illustration de paramètre de l'interface
Nom de l’interface : Entrez un nom pour l’interface. Il n’est pas possible de modifier le nom
d’une interface existante.
Type : vous pouvez créer des interfaces VLAN, agrégées 802.3ad et redondantes.
Interface : Sélectionnez le nom de l’interface physique à laquelle voulez adjoindre une sous-
interface VLAN. Une fois créé, le VLAN est repris dans la liste des interfaces en dessous de
son interface physique. Il est impossible de modifier l’interface d’une sous-interface VLAN
existante
ID VLAN : Entrez l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à cette
sous-interface VLAN. Il est impossible de modifier l’ID d’une sous-interface VLAN existante.
Mode d’adressage : Pour configurer une adresse IP statique d’une interface sélectionnez
Manuel et entrez adresse IP/masque de réseau dans le champ prévu à cet effet. L’adresse IP
doit être sous le même sous-réseau que le réseau auquel l’interface se connecte. Deux
interfaces ne peuvent pas avoir leurs adresses IP sur le même sous-réseau.
Accès administratif : Sélectionnez les types d’accès administratifs permis sur cette interface
44
• elle ne fait pas déjà partie d’une interface agrégé ou redondante
• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE
• elle n’est pas reprise dans une règle pare-feu, VIP, IP Pool ou multicast
La différence entre un lien redondant et un lien d’agrégation réside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface à la fois (peu importe le
nombre de liens redondants). Cependant les interfaces redondantes permettent des
configurations plus robustes avec un risque de points de pannes plus faible. Ceci est
important dans une configuration en maillage intégral HA.
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou
sélectionnez l’icône Editer d’une interface existante. Dans la section de Mode d’Adressage,
sélectionnez DHCP.
45
Figure 30:illustration d'Addressing Mode
46
celles-ci. Par ailleurs, cette adresse IP peut être identique à celle d’un interface ou
peut également être n’importe quelle adresse IP.
Initial Disc Timeout: Initial Discovery Timeout. Il s’agit du temps d’attende avant
qu’une nouvelle tentative de découverte PPPoE soit lancée. Pour désactiver cette
option, affectez-lui 0.
Initial PADT Timeout : Initial PPPoE Active Discovery Terminate Se définit en secondes.
Sert à fermer la session PPPoE après un laps de secondes d’inactivité défini dans
cette option. PADT doit être supporté par votre FAI. Pour désactiver cette option,
affectez-lui 0.
Distance : Entrez la distance administrative de la passerelle par défaut retrouvée par
le serveur PPPoE.
Retrieve default gateway from server : Permet de retrouver une adresse IP d’une
passerelle par défaut à partir d’un serveur PPPoE. La passerelle par défaut est
ajoutée à la table de routage statique.
Override internal DNS : Permet de remplacer les adresses IP du serveur DNS de la page
DNS par des adresses DNS retrouvées par le serveur DHCP.
3.2). Modifier la taille MTU des paquets qui quittent une interface
1. Sélectionnez Système > Réseau > Interface.
2. Cliquez sur l’icône Editer de l’interface choisie.
3. Sélectionnez la valeur de Remplacer la valeur MTU par défaut (1500).
4. Définissez une nouvelle valeur MTU.
3.3). Configurer la journalisation du trafic pour les connexions vers une interface
1. Sélectionnez Système > Réseau > Interface.
2. Cliquez sur l’icône Editer de l’interface choisie.
3. Activez la case Journaliser pour enregistrer les messages journalisés lorsqu’une règle
pare-feu accepte une connexion à cette interface.
4. Cliquez sur OK porter les changements.
47
comptabilité peuvent être dispersés dans un bâtiment, connectés à plusieurs segments du
réseau et quand bien même faire partie d’un même VLAN.
Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous les
paquets reçus et envoyés par ces équipements. Ces balises sont des extensions de 4 octets
comprenant un identificateur VLAN ainsi que d’autres informations.
Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de
la localisation physique.
Grâce à l’utilisation d’un VLAN, un seul boîtier FortiGate fournit des services de
sécurité et des connexions sous contrôle entre de multiples domaines sécurisé Le trafic
provenant de chaque domaine sécurisé reçoit un identificateur VLAN différent. Le boîtier
FortiGate reconnaît les identificateurs VLAN et applique les règles de sécurité pour protéger
les réseaux et le trafic VPN IPSec entre les domaines sécurisés. Le boîtier FortiGate
appliquent également les fonctionnalités d’authentification, de profils de protection et
autres règles pare-feu sur le trafic du réseau et le trafic VPN autorisé à circuler entre les
domaines sécurisés.
48
vers un routeur Internet non balisé. Le boîtier FortiGate peut alors appliquer différentes
règles pour les trafics sur chaque VLAN connecté à l’interface interne.
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels.
49
7). VLAN en mode Transparent
En mode Transparent, le boîtier FortiGate peut appliquer des règles pare-feu et des
services tels que l’authentification, les profils de protection et autres fonctions pare feu au
trafic d’un tronçon VLAN IEEE 802.1. Le boîtier FortiGate peut être inséré en mode
Transparent dans le tronçon sans qu’il soit nécessaire d’apporter des modifications au
réseau. Dans une configuration classique, l’interface interne du FortiGate accepte les
paquets VLAN sur un tronçon VLAN provenant d’un commutateur VLAN ou d’un routeur
connecté à des VLAN internes. L’interface externe du FortiGate transfère les paquets balisés
par le tronçon jusqu’à un commutateur VLAN externe ou un routeur connecté
éventuellement à Internet. Le boîtier FortiGate peut être configuré pour appliquer
différentes règles au trafic pour chaque VLAN du tronçon.
Il faut ajouter une sous-interface VLAN à l’interface interne et une autre à l’interface
externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du
FortiGate. Dans le cas où ces sous-interfaces VLAN ont les mêmes identificateurs, le boîtier
FortiGate applique des règles pare-feu au trafic de ce VLAN.
Dans le cas où par contre les sous-interfaces VLAN ont des identificateurs différents,
ou si plus de deux sous-interfaces sont ajoutées, vous pouvez également créer des règles
pare-feu qui contrôlent les connexions entre les VLAN.
Lorsqu’un boîtier FortiGate reçoit un paquet balisé VLAN sur l’une de ses interfaces,
ce paquet est dirigé vers la sous-interface VLAN possédant l’identificateur VLAN
correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination
au paquet en fonction de son adresse MAC de destination. Les règles pare-feu des sous-
interfaces VLAN source et de destination s’appliquent au paquet. Si celui-ci est accepté par
le pare-feu, le boîtier FortiGate le transfert vers la sous-interface VLAN de destination.
L’identificateur du VLAN de destination est ajouté au paquet par le boîtier FortiGate et il est
envoyé au tronçon VLAN.
50
Figure 33:illustration de Vlan transparent
51
IV. Système DHCP
52
Figure 34: illustration de configuration d'une interface comme relais DHCP
Lease time: The lease time détermine la durée d'une adresse IP reste affecté à un client.
Une fois le bail expire, l'adresse est libérée pour l'allocation à la prochaine demande du
client pour une adresse IP La durée de bail par défaut est de sept jours.
53
Assigning IP address by MAC address : Pour empêcher les utilisateurs de changer leurs
adresses IP et de provoquer des conflits d'adresses IP ou l'utilisation non autorisée
d'adresses IP, vous pouvez lier une adresse IP à une adresse MAC spécifique en utilisant
DHCP.
Utilisez la CLI pour réserver une adresse IP pour un client particulier identifié par son
adresse MAC du périphérique et le type de connexion. Le serveur DHCP attribue ensuite
toujours l'adresse IP réservée au client. Le nombre d'adresses réservées que vous pouvez
définir des plages entre 10 et 200 selon le modèle FortiGate.
Après la mise en place d'un serveur DHCP sur une interface en allant dans Système>
Réseau> Interface, sélectionnez la flèche bleue à côté de Avancé pour développer les
options. Si vous connaissez l'adresse MAC du système sélectionnez Créer un nouveau pour
l'ajouter, ou si le système a déjà connecté, recherchez dans la liste, sélectionnez la case à
cocher et sélectionnez Ajouter de la liste des clients DHCP.
Vous pouvez également faire correspondre une adresse à une adresse MAC dans le
CLI. Dans l'exemple ci-dessous, l'adresse IP 10.10.10.55 pour l'utilisateur 1 est affecté à
l'adresse MAC 00: 09: 0F: 30: CA: 4F.
54
V. Configuration du Système
Cette partie décrit la configuration de plusieurs fonctionnalités non liées au réseau,
telles que cluster HA, messages de remplacement personnalisés.
Au sein d’un cluster, les équipements individuels FortiGate sont appelés membres.
Ces membres partagent les informations sur leur état et configuration. Dans le cas d’une
défaillance de l’un des membres, les autres membres du cluster prennent en charge l’activité
du membre en panne. Après la panne, le cluster continue de traiter le trafic réseau et de
fournir les services FortiGate sans interruption du service.
Chaque cluster FortiGate est formé d’un membre primaire (aussi appelé maître) et
d’un ou plusieurs membres subordonnés (aussi appelés esclave ou redondants) Le membre
primaire contrôle le fonctionnement du cluster. Les rôles joués par les membres primaire et
subordonné(s) dans le cluster dépendent du mode dans lequel le cluster opère.
55
L’avantage qu’offre le cluster de fournir continuellement un service pare-feu, même
dans le cas d’une défaillance, est appelé la redondance. La redondance HA FortiGate signifie
que votre réseau ne doit pas s’appuyer sur un FortiGate pour continuer de fonctionner. Vous
pouvez installer des membres additionnels et former un cluster HA. Les autres membres du
cluster prendront le relais en cas de défaillance d’un des membres
Le mode HA actif-actif (A –A) équilibre la charge du traitement du trafic vers tous les
membres du cluster. Un cluster HA actif-actif se compose d’un membre primaire et d’un ou
plusieurs membre(s) subordonné(s) qui traitent ensemble tout le trafic. Le membre primaire
utilise algorithme d’équilibrage de charge pour distribuer le traitement à tous les membres
du cluster.
Sélectionnez Système > Configuration > Messages de Remplacement pour modifier les
messages de remplacement et personnaliser les emails et informations sur les alertes que le
boîtier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et
sessions FTP.
56
2.1). Liste des messages de remplacement
57
peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs
reçoivent le message de remplacement, la balise est remplacée par un contenu en rapport
avec le message
Une fois qu'on permet le trafic, pratiquement toutes les caractéristiques de FortiGate
sont appliquées au trafic permis par des politiques de sécurité. D'une politique de sécurité,
vous pouvez contrôler la translation d'adresse, commander les adresses et les services
employés par le trafic, et appliquer des caractéristiques telles qu'UTM, authentification, et
VPNs.
Quand un utilisateur se relie à l'Internet, ils s'attendent à une réponse (par exemple,
quand vous vous reliez à un site Web vous comptez voir une page Web). La même politique
de sécurité qui te permet de vous relier à l'Internet également permet des serveurs que vous
entrez en contact pour répondre à vous. En effet, une politique simple permet le trafic
bidirectionnel, mais le trafic entrant est seulement permis en réponse aux demandes
envoyées par vous.
Quoiqu'il n'y ait aucun risque du trafic non désiré provenant de l'Internet
obtenant sur votre réseau interne, les utilisateurs se relient à l'Internet et téléchargent des
données. Ces téléchargements peuvent parfois inclure les articles non désirés, tels que des
virus. Cela fait leur voie à l'unité de FortiGate à votre réseau. Pour protéger votre réseau
contre ce problème, les politiques de sécurité sont également la manière d'allumer toutes
les caractéristiques de FortiGate UTM. Par exemple, les utilisateurs peuvent télécharger un
virus en passant en revue le Web ou en recherchant l'email. Vous pouvez protéger votre
réseau contre ce danger en ajoutant le virus balayant à la sécurité maintient l'ordre qui
permettent à des utilisateurs de se relier à l'Internet. L'avantage de cette approche est que
vous pouvez appliquer des dispositifs de sécurité directement au trafic permis. Ceci signifie
58
également que vous pouvez appliquer les dispositifs de sécurité faits sur commande à
chaque politique de sécurité et à chaque type de trafic permis par l'unité de FortiGate. Les
dispositifs de sécurité sont appliqués utilisant des objets et des profils d'UTM. Vous pouvez
créer autant de profils comme vous avez besoin et les mélangez et assortissez dans une
politique de sécurité au besoin.
Les unités de FortiGate incluent un large éventail de services réseau prédéfinis qui
peuvent être ajoutés aux politiques de sécurité. Par exemple, vous pouvez ajouter une
politique de sécurité qui arrête tout le trafic de HTTP juste en ajoutant le service de HTTP à
une politique de sécurité. Les services prédéfinis incluent des services réseau de base tels
que HTTP, FTP, TCP, SMTP et services plus spécialisés tels que H323 (utilisé pour VoIP et le
media), MMS (le service de messagerie de multimédia employé par des téléphones
portables) et ainsi de suite. Vous pouvez également facilement créer des services des
douanes si votre réseau emploie les services réseau qui ne sont pas dans la liste prédéfinie
par FortiGate de services.
Vous devez ajouter au moins un service à une politique de sécurité. Vous pouvez
également ajouter des multiples services à une politique de sécurité simple si vous voulez à
la politique aux types multiples du trafic. N'importe quel service prédéfini accepte le trafic
utilisant n'importe quel service réseau.
Les objets de pare-feu incluent également des traffic shapers, utilisés pour
normaliser des crêtes et des éclats de trafic pour donner la priorité à certains écoulements
au-dessus d'autres. Une grande variété de trafic formant des options sont disponible, vous
permettant de personnaliser le lissage du trafic en fonction de vos besoins de réseaux et
d'appliquer le trafic personnalisé de mise en forme de toute politique de sécurité.
Firewall schedules contrôle quand les politiques de sécurité sont en activité. Vous
pouvez limiter quand une politique est en activité en s'ajoutant schedules définissant le
temps l'où la politique est en activité. Vous pouvez créer recurring schedules qui prennent
effet à plusieurs reprises à des moments précis de certains jours de la semaine.
59
The Virtual IP sont des objets pare-feu ajoutés aux politiques de sécurité pour
effectuer diverses formes de traduction d'adresses de réseau de destination (D-NAT) y
compris l'adresse IP de destination et de translation de port de destination et la redirection
de port.
L'objet final de pare-feu est load balancing, qui est une extension de l'IPS virtuel
pour charger le trafic d'équilibre passant par l'unité de FortiGate aux serveurs multiples.
Programmes d'équilibrage de la charge de soutiens d'équilibrage de la charge de FortiGate
divers, vraie surveillance de la santé de serveur, persistance, et accélération de SSL.
Les règles générales sont des règles qui peuvent accepter des connexions avec de
multiples adresses sources et de destination, ainsi qu’avec des intervalles d’adresses. Elles
peuvent également accepter des connexions de multiples ports service ou avoir des horaires
très ouverts. Si vous désirez ajouter des règles qui sont des exceptions aux règles générales,
ces exceptions doivent être ajoutées au-dessus des règles générales, dans la liste de règles.
Par exemple, vous pouvez avoir une règle générale permettant à tous les utilisateurs
de votre réseau interne d’accéder à tous les services Internet. Si vous désirez bloquer l’accès
aux serveurs FTP sur Internet, vous devriez ajouter au-dessus de la règle générale une règle
qui bloque les connexions FTP. La règle de déni bloque les connexions FTP mais les tentatives
de connexion de tous les autres types de services ne correspondent pas à la règle FTP mais
correspondent à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du
réseau interne vers Internet, à l’exception des connexions FTP.
Les règles qui nécessitent une authentification doivent être ajoutées à la liste de
règles au-dessus des règles correspondantes qui n’en nécessitent pas Sinon, la règle
qui ne nécessite pas d’authentification est sélectionnée en premier.
Les règles sur le mode tunnel VPN IPSec doivent être ajoutées à la liste de règles au-
dessus des règles d’accès ou de blocage correspondantes.
60
Les règles sur le VPN SSL doivent être ajoutées à la liste de règles au-dessus des
règles d’accès ou de blocage correspondantes.
Sélectionnez Policy>Policy > Policy et cliquez sur Créer Nouveau pour ajouter une
règle pare-feu.
61
Options des règles – règle ACCEPT en mode NAT/Route :
62
Options des règles – règle DENY :
Source : Spécifiez les caractéristiques de la source des paquets IP qui seront sujets à
la règle.
Interface/Zone : Sélectionnez le nom de l’interface ou de la zone
FortiGate sur laquelle les paquets IP sont reçus. Les interfaces et
zones sont configurées sur la page Système > Réseau.
Adresse : Sélectionnez le nom d’une adresse IP précédemment
définie à associer à l’interface ou zone source ; ou sélectionnez
Créer Nouveau pour définir une nouvelle adresse IP. L’en-tête du
paquet doit contenir l’adresse IP associée pour être confronté à la
règle.
Destination : Spécifiez les caractéristiques de la destination des paquets IP qui seront
sujets à la règle.
Interface/Zone : Sélectionnez le nom de l’interface ou de la zone
FortiGate vers laquelle les paquets IP sont envoyés. Les interfaces
et zones sont configurées sur la page Système > Réseau.
Adresse : Sélectionnez le nom d’une adresse IP précédemment
définie à associer à l’interface ou zone source ; ou sélectionnez
Créer Nouveau pour définir une nouvelle adresse IP. L’en-tête du
paquet doit contenir l’adresse IP associée pour être confronté à la
règle.
63
Horaire : Sélectionnez une plage horaire ponctuelle ou récurrente qui contrôle la
période de disponibilité de la règle. Les horaires peuvent être crées à l’avance dans
Pare-feu > Plage horaire.
Service : Sélectionnez le nom du service ou du groupe de services qui correspond au
service ou protocole des paquets auquel s’applique cette règle. Vous pouvez
sélectionner les services à partir d’une longue liste de services prédéfinis. Des
services personnalisés peuvent être crées à l’avance dans
Pare-feu > Service > Personnalisé. Des groupes de services peuvent également être
crées à l’avance dans Pare-feu > Service > Groupe.
Action : Sélectionnez la réponse du pare-feu à appliquer lorsqu’un paquet
correspond aux conditions de la règle.
ACCEPT : Accepte le trafic correspondant à la règle. Vous pouvez
alors configurer les options NAT, profils de protection, log traffic,
shape traffic, authentification ou ajouter un commentaire à la
règle.
DENY : Rejette le trafic correspondant à la règle. La seule option
configurable est la journalisation (journaliser les connexions
refusées par la règle).
IPSEC : Configure une règle de cryptage pare-feu IPSEC, qui
entraîne le traitement des paquets VPN IPSec par le boîtier
FortiGate.
SSL-VPN : Configure une règle de cryptage pare-feu VPN SSL, qui
entraîne l’acceptation du trafic VPN SSL par le boîtier
FortiGate. Cette option n’est disponible qu’après avoir ajouté un
groupe d’utilisateurs VPN SSL.
NAT : Activer l’option NAT (Network Address Translation) pour la règle. NAT
translate l’adresse source et le port de paquets acceptés par la règle. Lorsque NAT
est activé, les fonctions Pool d’Adresses et Port Fixe peuvent être configurés. NAT
n’est pas disponible en mode Transparent.
Pool d’Adresses : Sélectionnez pour translater l’adresse source en
une adresse sélectionnée arbitrairement dans un pool
d’adresses. Un pool d’adresses peut se composer d’une seule
adresse IP ou d’une plage d’adresses IP. Une liste de pools
d’adresses apparaît si ces pools ont été ajoutés à l’interface de
destination. Sélectionnez ANY IP Pool pour que le boîtier
FortiGate sélectionne n’importe quelle adresse IP de n’importe
quel pool d’adresses ajouté à l’interface de destination.
Sélectionnez le nom d’un pool d’adresses ajouté à l’interface de
destination pour que le boîtier FortiGate translate l’adresse
source en une des adresses définies dans ce pool.
64
Vous ne pouvez pas utiliser des pools d’adresses lors de
l’utilisation de zones. Un pool d’adresses peut seulement être
associé à une interface.
Sélectionnez un port fixe pour empêcher NAT de translater le port
source. Certaines applications ne fonctionnent pas correctement
si le port source est modifié. Dans la plupart des cas, si Port fixe
est sélectionné, Pool d’Adresses est également sélectionné. Si
Pool d’Adresses n’est pas sélectionné, une règle qui a l’option
Port Fixe sélectionnée ne peut permettre qu’une connexion à la
fois.
Profil de protection : Sélectionnez un profil de protection pour configurer la façon
dont l’antivirus, filtrage web, filtrage par catégorie web, filtrage antispam, IPS,
archives et journaux sont appliqués à la règle pare-feu. Les profils de protection
peuvent être crées à l’avance ou pendant la configuration d’un profil.
Log Allowed Traffic : Sélectionnez cette option pour les règles ACCEPT, IPSEC ou VPN
SSL pour enregistrer les messages dans les journaux à chaque fois que la règle traite
une connexion.
Log Violation Traffic : Sélectionnez cette option pour les règles DENY pour enregistrer
les messages dans les journaux à chaque fois que la règle traite une connexion.
Authentification : Ajoutez des utilisateurs et un profil de protection pare-feu à un
groupe d’utilisateurs avant de sélectionner Authentification.
Traffic Shaping : Cette option permet de contrôler la bande passante disponible et
de définir les niveaux de priorité du trafic traité par la règle.
Redirect URL : Si vous entrez un URL dans ce champ, l’utilisateur est redirigé vers
cette URL après authentification et/ou acceptation de la page d’information
d’authentification de l’utilisateur.
Commentaires : Ajoutez une description ou d’autres informations sur cette règle. Le
commentaire peut être long de 63 caractères, espaces compris.
Lorsque l’action est positionnée sur IPSEC, les options suivantes sont disponibles :
VPN Tunnel
65
Sélectionnez le nom du tunnel VPN défini dans la configuration phase1 (VPN>IPsec).
Le tunnel spécifié sera sujet à cette règle de cryptage pare-feu.
Allow Inbound
Activez cette option pour permettre au trafic d’un client ou d’ordinateurs «dialup »
d’un réseau privé distant de démarrer le tunnel.
Allow Outbound
Activez cette option pour permettre au trafic à partir d’ordinateurs du réseau privé
local de démarrer le tunnel.
Inbound NAT
Activez cette option pour translater les adresses IP source de paquets entrants
décryptés en adresse IP de l’interface FortiGate au réseau privé local.
Outbound NAT
Activez cette option en combinaison avec une valeur CLI natip pour translater les
adresses sources des paquets sortants en clair en une adresse IP que vous spécifiez. Ne pas
sélectionnez cette option à moins que vous n’ayez spécifié une valeur natip à partir du CLI.
Dans ce cas, les adresses source de paquets IP sortants sont remplacées avant que les
paquets ne soient envoyés à travers le tunnel.
Remarque : L’option VPN SSL est disponible à partir de la liste Action après qu’un ou plusieurs
groupes d’utilisateurs aient été créés.
Autorise le trafic généré par des titulaires d’un certificat de groupe. Ces titulaires doivent
être des membres d’un groupe d’utilisateurs VPN SSL.
66
Authentification Utilisateur
Pour ajouter des règles d’authentification cliquez sur Add.
Méthode :
67
6.1). Visualisation de la liste des services prédéfinis
Dans le menu principal, sélectionnez Pare-feu > Service pour visualiser la liste des
services prédéfinis.
ANY
Convient aux connexions à n’importe quel port. Une connexion utilisant n’importe
lequel des services prédéfinis est autorisée à travers le pare-feu.
AOL
68
BGP
DHCP
Dynamic Host Configuration Protocol alloue des adresses réseau et livre des
paramètres de configuration à partir de serveurs DHCP vers les hôtes.
DNS
ESP
Encapsulating Security Payload. Ce service est utilisé par les tunnels VPN en clé
manuelle pour communiquer des données cryptées.
FINGER
FTP
FTP_GET
FTP_PUT
GOPHER
GRE
H323
69
HTTP
HTTP est le protocole utilisé par la toile web mondiale pour le transfert de
données pour les pages web.
HTTPS
HTTPS est un service SSL (Secure socket layer) pour des communications sécurisées des
serveurs web.
ICMP_ANY
IKE
IKE est chargé de négocier la connexion. Avant qu'une transmission IPSec puisse
être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en
échangeant des clés partagées.
IMAP
INFO_ADDRESS
INFO_REQUEST
IRC
Internet Locator Service comprend LDAP, User Locator Service, et LDAP sur TLS
(Transport Layer Security protocoles de sécurisation des échanges sur Internet).
L2TP
70
LDAP
NFS
Network File System autorise les utilisateurs du réseau d’accéder à des fichiers
partagés stockés sur des ordinateurs de différents types.
NNTP
NTP
NetMeeting
OSPF
Open Shortest Path First est un protocole de routage commun d’état de lien.
PC-Anywhere
PING
ICMP echo request/reply pour tester des connexions vers d’autres machines.
POP3
PPTP
RAUDIO
71
Pour fluer le trafic multimedia audio réel.
RIP
RLOGIN
SAMBA
Samba autorise les clients Microsoft Windows à utiliser les services de fichier et
d’impression à partir d’hôtes TCP/IP.
SIP
SIP- MSNmessenger
Session Initiation Protocol est utilisé par Microsoft Messenger pour initier par
Microsoft Messenger pour initier.
SMTP
Simple Mail Transfer Protocol est utilisé pour l’envoi de mail entre serveurs
emails sur Internet.
SNMP
SSH
SYSLOG
TALK
TCP
72
Tous les ports TCP de 0 jusqu’à 65535.
TELNET
TFTP
TIMESTAMP
UDP
UUCP
VDOLIVE
WAIS
WINFRAME
Pour des communications WinFrame entre des ordinateurs munis de Windows NT.
73
Figure 47:illustration de configuration d'un service personnalisé
Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les
services susceptibles d'être accédés depuis Internet seront situés en DMZ.
Dans cet exemple, le réseau DMZ permet d'accéder à un serveur web en utilisant des
adresses différentes pour des utilisateurs internes et externes, tout en empêchant l'accès à
partir du serveur Web au réseau interne lorsque le serveur Web est compromis.
Une politique WAN-to-DMZ sécurité avec une adresse IP virtuelle (VIP) cache
l'adresse DMZ du serveur Web, permettant aux utilisateurs externes d'accéder au serveur
Web en utilisant une adresse IP publique (dans cet exemple, 172.20.120.22). Un interne à la
politique de sécurité DMZ avec NAT désactivé permet aux utilisateurs internes d'accéder au
serveur Web en utilisant son adresse DMZ (10.10.10.22). Ces deux politiques de sécurité ne
permettent l'accès au serveur Web en utilisant HTTP et HTTPS. Aucun autre accès n’est
autorisé.
74
7.1). Configuration de l'interface FortiGate DMZ
Aller à Système> Réseau> Interfaces, édit l'interface DMZ.
Figure 48:illustration de configuration de l’interface DMZ
75
Figure 49:illustration de création de première d'IP virtuel
Vous pouvez également activer le logging pour toutes les sessions pour le rendre
plus facile à tester la configuration.
76
Figure 51:illustration de création de la première politique de sécurité
Créer une deuxième politique de sécurité pour permettre trafic HTTP et HTTPS à
partir du réseau interne à l'interface DMZ et le serveur web.
77
7.4). Résultat
Figure 53:illustration de résultat
VI. Utilisateurs
Cette partie explique comment installer des comptes utilisateurs, des groupes
d’utilisateurs et des serveurs d’authentification externes. Certains composants de
l’authentification de l’utilisateur permettent de contrôler l’accès aux ressources du réseau.
78
droits et restrictions utilisateur. C'est aussi Active Directory qui gère l'authentification des
utilisateurs sur le réseau Windows. Active Directory exploite cette notion de hiérarchie
intensivement, puisque l'entité de sécurité appelée « domaine » est également hiérarchisée
dans un ensemble partageant un espace de nom commun, appelé « arborescence », enfin,
l'entité de plus haut niveau regroupant les arborescences de domaines constitue la forêt
Active Directory.
Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour
l’authentification, les boîtiers FortiGate peuvent authentifier les utilisateurs de manière
transparente, sans avoir à leur demander leur compte utilisateur et mot de passe. Vous
devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le réseau et
configurer le boîtier FortiGate pour retrouver les informations du serveur Windows AD.
Sélectionnez Utilisateur > Remote>LDAP pour configurer les serveurs Windows AD.
Nom/Adresse IP
Port
Entrez le port utilisé pour communiquer avec le serveur LDAP. Par défaut, LDAP
utilise port 389.
Entrez l’Identifiant Nom Commun pour le serveur LDAP. Ce champ est limité à 20
caractères. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains
serveurs utilisent un autre l’identifiant tel que uid.
79
Distinguished Name
Entrez le distinguished name utilisé pour rechercher des entrées sur le serveur LDAP.
Entrez le distinguished name de base pour le serveur utilisant le format LDAP. Le boîtier
FortiGate transfère ce distinguished name inchangé au serveur.
3). Conclusion
On ce chapitre on a pu faire une description très détaillé de différents outils
d’administration de boitier FortiGate (système réseau, politique de sécurité et firewall,
serveur AD), ainsi que comment les configurer.
80
Conclusion Générale
L’objectif principal de mon stage c’est de réaliser un guide d’administration qui est
simple pour faciliter au service technique de la société Webhelp d’administrer le boitier
FortiGate et maitrisé ces fonctions pour mieux les exploiter à fin d’élaborer une meilleure
solution réseau et de protéger la société contre les menaces malveillantes.
On n’a pas pu traiter tous les fonctionnalités de fortiGate, mais pour enrichir ce
guide d’administration il est préalable d’ajouter ces fonctionnalité suivant : services
Fortiguard, Certificats VPN, IM/P2P, system sans fil.
En effet, ce stage est une expérience significative dans notre parcours professionnel,
enfin, je tiens à exprimer ma satisfaction d’avoir pu travailler dans des bonnes conditions
matérielles et un environnement agréable.
Cette expérience en marché de travail nous a offert une bonne préparation à notre
insertion professionnelle car elle fut pour nous une expérience enrichissante et complète qui
conforte notre désir d’exercer notre futur métier dans le domaine de l’informatique.
81
Webographie
http://www.tomshardware.fr
http://cookbook.fortinet.com/
docs.fortinet.com
http://searchsecurity.techtarget.com
82