LLD-3S-Min Agri Final Version

3S Advanced Services
Mise en place de la solution de sécurité et

réseau du Ministère d’Agriculture
Low Level Design
Version 1.0
Standard Sharing Software

Imm 3S, Lot. Ennassim
Par Av. Khairedine Bacha
Montplaisir, 1073
Tunis, Tunisie
http://www.3s.com.tn
Tel : (+216) 71111100
Fax : (+216) 71111100
Table de matière
1. A propos du document........................................................................................................................5
1.1 Avertissements..................................................................................................................................5
1.2 Confidentialité des informations......................................................................................................5
1.3 Historique..........................................................................................................................................6
1.4 Validation du document...................................................................................................................6
1.5 Objet du document...........................................................................................................................6
2. Liste de distribution............................................................................................................................7
3. Introduction.........................................................................................................................................8
4. Environnement technique et recommandation logistique.................................................................9
4.1 Spécifications techniques des équipements.....................................................................................9
4.2 Spécifications des interfaces...........................................................................................................10
4.3 Interfaces et modules.....................................................................................................................10
4.4 Performances du Systèmes.............................................................................................................11
4.5 Performances et capacité du système............................................................................................11
4.6 Description de la solution...............................................................................................................12
4.7 Architecture existante....................................................................................................................13
4.8 Recommandations logistiques........................................................................................................15
5 Configuration et Implémentation.....................................................................................................16
5.1 Firmware Upgrade..........................................................................................................................16
5.2 Configuration des routes statiques.................................................................................................17
5.3 Configuration des politiques...........................................................................................................18
5.4 Configuration du high-availability..................................................................................................19
5.5 Journalisation du Firewall...............................................................................................................20
5.6 Configuration du SD-WAN..............................................................................................................21
5.7 Configuration du Fortinet Single Sign On (FSSO)............................................................................21
5.8 Configuration du Virtual IP (VIP)....................................................................................................24
Liste des figures

2
3S Confidential. A printed copy of this document is considered uncontrolled.

Figure 1: FG-200F.................................................................................................................................9
Figure 2: Hardware du Firewall...........................................................................................................10
Figure 3: Architecture existante..........................................................................................................13
Figure 4 : Architecture cible................................................................................................................14
Figure 5: : Firmware du firewall..........................................................................................................16
Figure 6: Configuration des routes statiques.......................................................................................17
Figure 7: Exemple des politiques firewall............................................................................................18
Figure 8: Config HA.............................................................................................................................19
Figure 9: Synchronisation HA..............................................................................................................20
Figure 10: Log du firewall...................................................................................................................20
Figure 11: Vue générale de la zone SD-WAN.......................................................................................21
Figure 12: Jointure du FSSO avec active directory...............................................................................22
Figure 13: LOG du FSSO......................................................................................................................23
Figure 14: Configuration du VIP..........................................................................................................24
Figure 15: Policy VIP...........................................................................................................................25
Liste des tableaux

Tableau 1: Performance Système.......................................................................................................11
Tableau 2: Liste des équipements.......................................................................................................12
Tableau 3: Version des Softs des équipements...................................................................................12

1. A propos du document
Auteurs : 3S/ Arfaoui Mohamed Amine
3S/ Dhaha Mohamed Aziz
Changement d’autorité : 3S
1.1 Avertissements
L'information contenue dans ce document est la propriété exclusive de 3S sauf indication contraire.
Aucune partie de ce document, en toute ou en partie, ne peut être reproduite, stockée, transmise ou
utilisée à des fins de conception sans l'autorisation écrite préalable de 3S. Les informations contenues
dans ce document sont susceptibles d’être modifié sans préavis. Les informations contenues dans ce
document sont fournies à titre informatif seulement. 3S décline toute garantie, expression, mais sans s'y
limiter les garanties implicites de qualité marchande et d'adéquation à un usage particulier, sauf tel que
prévu dans un accord de licence de logiciel distinct.
1.2 Confidentialité des informations
Ce document peut contenir des informations de nature délicate. Cette information ne doit pas être
divulguée à des personnes autres que celles qui sont impliquées dans le projet « Mise en place de la
solution de sécurité et réseau du Ministère d’agriculture » ou qui vont intervenir pendant le cycle de vie.
1.3 Historique

Version No. Issue Date Status Raison du changement
1.0 Initial Version initiale
1.4 Validation du document
Ministère d’agriculture 3S
Nom et prénom Signature Nom et prénom Signature
Jouda Msolly Akram Allani
Ahmed Boujelbene
Abelmonem Miled Montassar Nsairia
Mohamed Amine Arfaoui
Mohamed Aziz Dhaha
1.5 Objet du document
Ce document « Low Level Design » est rédigé dans le cadre du projet « Mise en place de la solution de
sécurité et réseau du Ministère d’agriculture ». Il a pour objet de documenter les différents détails
techniques de la solution à implémenter.
Audience cible :
Ce document est destiné aux personnes suivantes :
a. Les opérateurs et les managers du Ministère d’agriculture.
b. 3S, qui effectuera la conception et la mise en œuvre de ce projet.
2. Liste de distribution

Nom Société Email
Ehsen Zayen 3S ezayen@3s.com.tn
Akram Allani 3S aallani@3s.com.tn
Montassar Nsairia 3S mnsairia@3s.com.tn
Jouda Msolly Min Agri msolly.jouda@iresa.agrinet.tn
Abdelmonem Miled Min Agri miled.abdelmonem@gmail.com
3. Introduction
Ce document « Low Level Design » est rédigé dans le cadre du projet de « Mise en place de la solution
de sécurité réseaux du Ministère d’agriculture ».

Ce document décrit en détail les informations concernant la mise à niveau de la couche sécurité de la
Ministère et il se focalise principalement sur la configuration des nouveaux équipements (Firewalls et
Fortiswitch) avec la rectification des configurations des anciens équipements.
L’intégration de ces nouveaux équipements doit être effectuée sans interruption de service et sans la
création de point de vulnérabilité.
Le projet inclut l’installation et la configuration des équipements dans tout ce qui concerne les fonctions
de commutation des données ainsi que les aspects de routage et de sécurité.
Ce document est composé des parties suivantes :
 Description technique de la solution

 Architecture générale réseau et sécurité de la solution
 Implementation et configuration
4. Environnement technique et recommandation logistique

4.1 Spécifications techniques des équipements
 Fortigate FG-FW-200F
La solution proposée comporte un équipement de sécurité de type FortiGate :

Figure 1: FG-200F
Les firewalls Fortinet de nouvelle génération, les FortiGate NGFW, proposent une sécurité réseau
avancée, englobant des fonctionnalités intégrées telles que le SD-WAN, la commutation, le sans-fil et la
5G. Ces dispositifs fusionnent vos solutions de sécurité et de mise en réseau, les regroupant entièrement
dans une console de gestion centralisée et conviviale, opérant sous le système d’exploitation unique,
FortiOS. Cette approche simplifie la gestion de votre système informatique. Ces appareils assurent la
protection via le pare-feu, la gestion des VPN, le contrôle du trafic, une administration aisée, une
disponibilité élevée, l'intégration d'un IPS (Système de Prévention des Intrusions), le filtrage des URL,
une défense anti-malware et antivirus, prenant en charge IPSec et CAPWAP, ainsi que le déchargement
de la somme de contrôle pour renforcer la sécurité.
4.2 Spécifications des interfaces

Figure 2: Hardware du Firewall
 2 x GE RJ45 HA/ MGMT Ports

 16 x GE RJ45 Ports
 2 x 10 GE SFP+ Slots
 2 x 10 GE SFP+ FortiLink Slots
 8 x GE SFP Slots
4.3 Interfaces et modules

 GE RJ45 Management / HA 1 / 1
 GE SFP Slots : 8
 10 GE SFP+ FortiLink Slots (par défaut) : 2
 10 GE SFP+ Slots : 2
 USB Port : 1
 Console Port : 1
 Onboard Storage (Stockage embarqué): 0 (1x 480 GB SSD)
 Trusted Platform Module (Module de Plateforme de Confiance - TPM) : Oui
 Bluetooth Low Energy (BLE) : Oui
 Included Transceivers (Transmetteurs inclus) : 0
4.4 Performances du Systèmes
10

Tableau 1: Performance Système
Fonctionnalité Valeur
Débit IPS 5 Gbps
Débit NGFW 3.5 Gbps
Débit de protection contre les menaces 3 Gbps
4.5 Performances et capacité du système
 Débit du pare-feu IPv4 (1518/512/64 octets, UDP) : 27/27/11 Gbit/s

 Latence du pare-feu (64 octets, UDP) : 4,78 us
 Débit du pare-feu (paquets par seconde) : 16,5 Mpps
 Sessions simultanées (TCP) : 3 millions
 Nouvelles sessions par seconde (TCP) : 280 000
 Nombre de politiques de pare-feu : 10 000
 Débit VPN IPsec (512 octets) : 13 Gbit/s
 Tunnels VPN IPsec de passerelle à passerelle : 2000
 Tunnels VPN IPsec client-passerelle : 16 000
 Débit SSL-VPN : 2 Gbit/s
 Utilisateurs SSL-VPN simultanés (maximum recommandé, mode tunnel) : 500
 Débit d'analyse SSL (IPS, moyenne HTTPS) : 4 Gbit/s
 Taux d'inspection SSL CPS (IPS, moyenne HTTPS) : 3500
 Sessions simultanées d'inspection SSL (IPS, moyenne HTTPS) : 300 000
 Débit de contrôle des applications (HTTP 64K) : 13 Gbit/s
 Débit CAPWAP (HTTP 64K): 20 Gbit/s
 Nombre de domaines virtuels (par défaut/maximum) : 10/10
 Nombre maximal de FortiSwitches pris en charge : 64
 Nombre maximal de FortiAP (Total/Tunnel) : 256/128
 Nombre maximal de FortiTokens: 5 000
 Configurations du Haute disponibilité : Active-Active, Active-Passive, Clustering
11

4.6 Description de la solution
Lors de notre proposition, nous avons pris en compte les besoins exigés par l’équipe IT de la Ministère
en termes de disponibilité, de qualité, de sécurité et de type de services.
Les équipements utilisés dans la solution pour la mise en place de l’infrastructure réseau et sécurité
Les composants des différentes solutions sont représentés dans le tableau ci-dessous :
Tableau 2: Liste des équipements
Equipements Quantités
Firewall FortiGate-200F 2
Fortiswitch 148 F-FPOE 8
Tableau 3: Version des Softs des équipements
VENDOR NAME VERSION DESCRIPTION
Fortinet Fortigate 200F 7.4.1 Firewall Fortinet 200F
Fortinet Fortiswitch 148 F-FPOE 7.0.5 Fortiswitch Fortinet

148 F-FPOE
12

4.7 Architecture existante
Figure 3: Architecture existante
La nouvelle architecture réseau est conçu pour répondre aux besoins des services de l’entreprise en
tenant comptes les critères suivants : performance, redondance, qualité de service, disponibilité et
Sécurité.
13

ISP Module FOR CNI
ISP Module FOR TOPNET
ISP Module FOR IRESA
Internet Link Topnet
IRESA
TOPNET FIREWALL CNI
10GE 2/0/1
172.30.254.253/29
FORTIGATE FIREWALLL
HA
CNI
10.215.0.254(vlan 32 serveur)
172.30.254.255/30
Core Switch SW-OMI

Core 2 Core 1 172.30.254.254/30
PORT9 (Vlan32) server

48
47 Port 34 (vlan 32 server)
PORT16 (Vlan32) server

10.0.55 .254
10 GE 2/0/1
10.0.47 .254
Access SWs Server
Switch d͛accés cabinet Switch d͛accés IRESA Switch d͛accés Disp Switch d͛accés BON
Figure 4 : Architecture cible
4.8 Recommandations logistiques
Conditions environnementales :
14

Il est nécessaire de disposer de l’environnement adéquat pour préserver les équipements en bon état et
avoir la continuité de fonctionnement ; les conditions environnementales de fonctionnement suivantes
sont ainsi recommandées :
 Des armoires adéquates

 Température = 25°C
 Taux d’humidité relative ≤ 50%
Conditions électriques :
En ce qui concerne les conditions électriques, il est nécessaire de disposer de l’alimentation suffisante
pour tous types d’équipements. Par ailleurs, pour les équipements disposant de la redondance des blocs
d’alimentation (les « power supply »), il est fortement recommandé d’avoir chacun de ces blocs
alimentés d’une source électrique indépendante l’une de l’autre.
5 Configuration et Implémentation
5.1 Firmware Upgrade
15

Pour les différents Firewalls FortiGate, on a procédé pour une mise à jour des firmawre pour installer les
dernières versions disponibles recommandées par Fortinet. Pour faire la mise a jours des firmwares
Fortinet on procède comme suit :
1) Téléchargement de firmware image.

2) Upload de l’image et mis à jour.
La mise à jour vers une version bien définie nécessite le suivie d’un upgrade path.
Ci-dessous une capture d’écran montrant l’étape de la mise à jour vers 7.4.1 du firewall.
Figure 5: : Firmware du firewall
5.2 Configuration des routes statiques
16

La mise en place des routes statiques est nécessaire pour assurer le routage de traffic. La configuration
des routes statiques se fait :
Network → Static Routes → Create New
La configuration des routes statiques mises en place pour le Firewall est illustré dans la figure ci-dessous.
Figure 6: Configuration des routes statiques
5.3 Configuration des politiques

Les politiques de sécurité jouent un rôle central dans un pare-feu en dictant les règles et les actions
appliquées au trafic réseau. Ces politiques définissent les permissions et les restrictions pour le flux de
données entrant et sortant du réseau, contrôlant ainsi les connexions, les utilisateurs, les applications et
17

les ressources accessibles. La mise en place des policies est nécessaire pour assurer le contrôle du traffic.
La configuration des policies se fait comme suit :
Policy & Objects  Firewall Policy  Create new
Figure 7: Exemple des politiques firewall
18

5.4 Configuration du high-availability
La haute disponibilité (HA) dans un firewall FortiGate représente la capacité de maintenir un niveau de
service continu en cas de défaillance matérielle ou logicielle. En mettant en place une configuration HA,
deux appareils FortiGate sont synchronisés pour fonctionner en mode active-passive, assurant ainsi une
redondance et une continuité opérationnelle. En cas de panne d'un appareil, l'autre prend
immédiatement le relais sans interruption du service, garantissant ainsi une protection constante du
réseau.
La configuration du HA se fait comme suit :
System  HA
Figure 8: Config HA
La figure ci-dessous montre les 2 Firewall primaire et secondaire qui sont synchronisés :
19

Figure 9: Synchronisation HA
5.5 Journalisation du Firewall
Ce journal enregistre toutes les activités, événements et actions importantes liées au pare-feu, comme
les connexions réseau, les règles de pare-feu appliquées, les tentatives d'intrusion, les activités des
utilisateurs, etc.
Figure 10: Log du firewall
5.6 Configuration du SD-WAN
Le mode SD-WAN (Software-Defined Wide Area Network) entre les liaisons IRESA et Topnet permet de
créer un réseau optimisé, en utilisant une approche logicielle pour gérer intelligemment le trafic entre
ces deux connexions. En intégrant les liaisons IRESA et Topnet dans une zone SD-WAN, les politiques de
routage et de gestion du trafic sont définies dynamiquement en fonction des critères comme la
disponibilité, les performances, ou les besoins spécifiques des applications. Cela permet de fournir une
redondance en cas de défaillance d'une liaison.
20

Figure 11: Vue générale de la zone SD-WAN
5.7 Configuration du Fortinet Single Sign On (FSSO)
La jointure de l'agent FSSO (Fortinet Single Sign-On) avec Active Directory est une intégration essentielle
pour la gestion centralisée des identités et des accès au sein d'un réseau.
En reliant l'agent FSSO à Active Directory, les informations d'authentification des utilisateurs stockées
dans le répertoire Active Directory sont utilisées pour permettre l'accès aux ressources et applications
sécurisées par le pare-feu Fortinet.
Cette liaison permet une authentification transparente, simplifiant la gestion des utilisateurs et
renforçant la sécurité du réseau en assurant un contrôle d'accès précis et en temps réel basé sur les
identités des utilisateurs.
21

Figure 12: Jointure du FSSO avec active directory
22

La capture d'écran du journal (log) FSSO détaille les activités d'authentification des utilisateurs, offrant
ainsi une visibilité précieuse sur les connexions et les événements relatifs à l'identification au sein du
réseau.
Figure 13: LOG du FSSO
23

5.8 Configuration du Virtual IP (VIP)
La fonction VIP (Virtual IP) sur FortiGate offre une solution cruciale pour la gestion du trafic réseau en
permettant la redirection transparente des connexions entrantes vers des adresses IP internes
spécifiques.
Elle agit comme une interface entre les flux externes et les ressources internes du réseau en associant
une adresse IP publique à une adresse IP privée ou à un ensemble de ports.
Voici une capture d’écran détaille la configuration du VIP.
Figure 14: Configuration du VIP
24

Voici une capture d'écran de la policy VIP sur le Fortigate :
Figure 15: Policy VIP
25

LLD-3S-Min Agri Final Version

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LLD-3S-Min Agri Final Version

Transféré par

Droits d'auteur :

Formats disponibles

3S Advanced Services

Mise en place de la solution de sécurité et

Standard Sharing Software

Liste des figures

3S Confidential. A printed copy of this document is considered uncontrolled.

Liste des tableaux

3S Confidential. A printed copy of this document is considered uncontrolled.

3S Confidential. A printed copy of this document is considered uncontrolled.

3S/ Dhaha Mohamed Aziz

1.2 Confidentialité des informations

3S Confidential. A printed copy of this document is considered uncontrolled.

1.0 Initial Version initiale

1.4 Validation du document

Nom et prénom Signature Nom et prénom Signature

Jouda Msolly Akram Allani

Abelmonem Miled Montassar Nsairia

Mohamed Amine Arfaoui

Mohamed Aziz Dhaha

1.5 Objet du document

Ce document est destiné aux personnes suivantes :

a. Les opérateurs et les managers du Ministère d’agriculture.

b. 3S, qui effectuera la conception et la mise en œuvre de ce projet.

3S Confidential. A printed copy of this document is considered uncontrolled.

Ehsen Zayen 3S ezayen@3s.com.tn

Akram Allani 3S aallani@3s.com.tn

Montassar Nsairia 3S mnsairia@3s.com.tn

Jouda Msolly Min Agri msolly.jouda@iresa.agrinet.tn

Abdelmonem Miled Min Agri miled.abdelmonem@gmail.com

3S Confidential. A printed copy of this document is considered uncontrolled.

Ce document est composé des parties suivantes :

 Description technique de la solution

4. Environnement technique et recommandation logistique

3S Confidential. A printed copy of this document is considered uncontrolled.

4.2 Spécifications des interfaces

3S Confidential. A printed copy of this document is considered uncontrolled.

 2 x GE RJ45 HA/ MGMT Ports

4.3 Interfaces et modules

 10 GE SFP+ FortiLink Slots (par défaut) : 2

 Onboard Storage (Stockage embarqué): 0 (1x 480 GB SSD)

 Trusted Platform Module (Module de Plateforme de Confiance - TPM) : Oui

 Bluetooth Low Energy (BLE) : Oui

 Included Transceivers (Transmetteurs inclus) : 0

4.4 Performances du Systèmes

3S Confidential. A printed copy of this document is considered uncontrolled.

Débit IPS 5 Gbps

Débit NGFW 3.5 Gbps

Débit de protection contre les menaces 3 Gbps

4.5 Performances et capacité du système

 Débit du pare-feu IPv4 (1518/512/64 octets, UDP) : 27/27/11 Gbit/s

3S Confidential. A printed copy of this document is considered uncontrolled.

Tableau 2: Liste des équipements

Fortiswitch 148 F-FPOE 8

Tableau 3: Version des Softs des équipements

VENDOR NAME VERSION DESCRIPTION

Fortinet Fortigate 200F 7.4.1 Firewall Fortinet 200F

Fortinet Fortiswitch 148 F-FPOE 7.0.5 Fortiswitch Fortinet

3S Confidential. A printed copy of this document is considered uncontrolled.

Figure 3: Architecture existante

3S Confidential. A printed copy of this document is considered uncontrolled.

ISP Module FOR IRESA

Internet Link Topnet

TOPNET FIREWALL CNI

Core Switch SW-OMI