Cahier D'exercices Fortigate N1 V6.X

Cahier d’exercices Fortigate N1 V6.
1. Premier démarrage (optionnelle)............................................................................................................3

2. Présentation de l’architecture des TPs et de l’adressage IP...................................................................9
3. Paramétrage des interfaces et création d’une première politique.........................................................10
Paramétrage des interfaces « LAN, WAN et DMZ » :................................................................................10
Configuration de l’interface WAN.......................................................................................................11
Configuration de l’interface DMZ........................................................................................................12
Paramétrage de la passerelle par défaut...................................................................................................15
Création d’une première politique...........................................................................................................16
Réalisation d’un backup...........................................................................................................................17
4. Création de plusieurs règles dans la politique de filtrage.....................................................................19
Création de l’objet « PC admin » :...........................................................................................................19
Création de la règle « Admin surf » :.......................................................................................................20
Création de la règles d’accès au « SRV DMZ » depuis le réseau privée.................................................22
Création de la règle d’accès au « SRV DMZ » pour le poste admin.......................................................24
Contrôle et test, de l’exercice :.................................................................................................................25
5. Publication du serveur WEB de la DMZ..............................................................................................26
Création de l’objet VIP Virtual IP :.........................................................................................................26
Création de la règle d’accès a la DMZ depuis le réseau publique :.........................................................27
6. Filtrage AntiViral & déchiffrement rechiffrèrent de sessions SSL/TLS..............................................29
Activation de la gestion des profils :........................................................................................................29
Création d’un profil « AntiVirus » :.........................................................................................................29
Affectation d’un profil à une règle :.........................................................................................................31
HSTS Strict Transport Sécurity :.............................................................................................................34
Exportation du certificat « Fortinet_CA_SSL »de votre fortigate :.........................................................36
Importation du « Fortinet_CA_SSL » du fortigate dans Firefox :...........................................................37
7. Filtrage applicatif..................................................................................................................................39
Création d’un profil « Application Control » :.........................................................................................39
Contrôle et test de l’exercice :..................................................................................................................41
Démonstration du formateur : Blocage du « SIP » (Optionnel) :...........................................................42
8. Filtrage web..........................................................................................................................................43
Création d’un profil « Web Filter » :.......................................................................................................43
1
Cahier d’exercices Fortigate N1 V6.X
9. Protection d’un serveur web IPS..........................................................................................................47
Création d’un profil « IPS » :...................................................................................................................47
10. Mise en œuvre d’un VPN SSL pour les clients nomades.................................................................53
Création de l’utilisateurs :......................................................................................................................53
Création du groupe :.................................................................................................................................54
Edition du SSL-VPN Portal :...................................................................................................................55
Configuration du SSL-VPN :...................................................................................................................56
Création de la règle :................................................................................................................................57
Contrôle et test de l’exercice :..................................................................................................................58
Test avec un Smartphone en « Web-Portal » :.....................................................................................58
11. Mise en œuvre d’un VPN IPSEC site à site......................................................................................59
Paramétrage initial des « Fortigates » :....................................................................................................59
Configurez le VPN site à site en mode Wizard en trois étapes :..............................................................61
12. Debug :..............................................................................................................................................63
Correction de l’erreur volontaire !...........................................................................................................63
Quelques commandes :.........................................................................................................................64
Vérifications de la configuration des VPN :.........................................................................................64
Visualisation du détail des « VPN » :................................................................................................65
Visualisez les « drivers » de chiffrement utilisés et leur stats :............................................................66
Suppression des « Sas » de phase 2 :....................................................................................................67
Suppression des « Sas » de phase 1 :....................................................................................................68
« Challenge » (Optionnel) :......................................................................................................................69
Création d’un problème de monter du VPN :.......................................................................................69
Observation du paramétrage par défaut des VPN Fortigate :...............................................................69
Phase 1 :................................................................................................................................................70
Phase 2 :................................................................................................................................................71
13. Analyse d’un fichier de backup (optionnelle)...................................................................................72
14. FortiView :........................................................................................................................................74
2
1. Premier démarrage (optionnelle)

La procédure «de mise en route » est coller sur le boitier :
Votre PC doit être en DHCP, il obtiendra une adresse ip en 192.168.1 .110. Ouvrez un navigateur pour se connecter sur
Https://192.168.1.99.
Une alerte de sécurité s’affiche, car le fortigate présente un certificat autosigné, il faut l’accepter pour pouvoir monter la
session sécuriser !
Ensuite il faut vous identifier avec le Username Password par défaut admin « blanc » :
Il est préférable de changer le mot de passe pour en prendre un plus fort ! Et ce dès le début pour éviter le moindre problème si
le fortigate est connecter à votre architecture !
3
Après l’identification avec votre compte admin, il vous est demandé d’enregistrer le boitier.
Procédez à l’enregistrement : pour cela il vous faut un compte chez fortinet, si ce n’est pas le cas vous pouvez le créer pendant
la phase d’enregistrement.
Observez la version du firmware et l’heure. Le produit n’est pas en 6.X et le boitier n’est pas à l’heure.
Configuration de l’heure system : Positionnez vous sur la date du system et faire un clic, puis choisissez « Configure setting in
system ». Vous allez arriver dans Setting, là il faut choisir la zone « Brussels, Copenhague, Madrid, faites apply ».
4
Réalisez un clique sur « Dasboard>Main », afin de vérifier la modification de l’heure du boitier.

Mise à jour du boitier :
Allez cliquer sur la version du Firmware, puis cliquez sur « Update in System > Firmware ».
Avant toute mise à jour, il est préférable de réaliser un backup de la configuration en cas de retour à la version de départ. De
manière générale, il est préférable de réaliser les mises à jour en prenant compte des paliers signalés par fortinet. Nous allons
passer directement à la version 6.0.1 (sans backup : c’est le démarrage !)
Ouvrez la zone FortiOS 6.0.1., en faisant un clic sur le « + », cela va fermer la zone FortisOS v5.6.7.
5
Exécutez la mise à jour en cliquant sur « Upgrade » puis « Continue ».
6
La mise à jour est téléchargée, puis installée et le system redémarre.
La mise à jour et le reboot du fortigate prend au moins 5 minutes. Reconnectez-vous à l’interface d’administration
Https:/192.168.1.99 avec admin, et password.
Allez dans « Dashboard>main », observez la version. Il est possible de passer en version 6.0.3.
Rappels : 6 représente la version majeur, 0 représente une version mineur et 1 représente une correction de bugs. Effectuez la
mise à jour en V6.0.3
La mise à jour est téléchargée, puis installée et le system redémarre.

Reconnectez-vous à l’interface d’administration « Https:/192.168.1.99 » avec admin, et password. Allez dans
« Dashboard>main », observez la version, il est possible de passer en version 6.0.4…..
Pour visualiser le déroulement des mises à jour, il est possible d’avoir une connexions en terminal sur le port série avec le
paramétrage par défaut.
Puis exécutez la mise à jour en cliquant sur « Upgrade » puis « Continuez », pour passer à la V6.0.4……
Voici des copies d’écran du terminale pendant une mise à jour :
7
8
2. Présentation de l’architecture des TPs et de l’adressage IP.
L’architecture globale :
Pour chaques groupes :

Le X correspond au numéro du groupe :
Le login est admin et le mot de passe password. Le mot de passe est faible mais dans le cadre des travaux pratiques cela est
préférable.
1)
9
3. Paramétrage des interfaces et création d’une première politique.
Votre PC doit être en DHCP, il obtiendra une adresse ip en 192.168.1.110. Ouvrez un navigateur pour vous connectez sur
l’URL Https://192.168.1.99.
Une alerte de sécurité s’affiche car le fortigate présente un certificat autosigné qu’il faut accepter pour pouvoir monter la
session sécurisée !
Identifiez vous avec Username = admin & Password = « blanc ».
Puis changer de mode de passe, allez cliquer sur le logo « admin », puis sur « Change Password », saisisez password (pour
simplifier le déroulement des exercices) deux fois et validez.
Vous allez être deconecté. Identifiez-vous à nouveau avec Username = admin & Password = password.
Paramétrage des interfaces « LAN, WAN et DMZ » :
Reportez-vous à la « présentation de l’architecture des TPs et de l’adressage IP » en tenant compte de votre numéro de groupe
« X » dans le cahier d’exercices. Nous prenons le groupe 1 comme exemple !
Il y a trois possibilités : la première est de réaliser le paramétrage en interface graphique, la seconde en mode CLI, et la
troisième est de demander un fichier de sauvegarde au formateur (51E_Back_start_6X_TPN1).
Aller dans Network> Interfaces :
Observez les interfaces. Vous pouvez visualiser que le port 1 est membre de la « switch fabric », et qu’il y a un serveur DHCP
paramétré par défaut dans le « Lan », avec un « range » par défaut de 192.168.1.99 255.255.255.0. L’interface WAN1 a pris
une adresse ip dynamique en 192.168.254.ZZZ 255.255.255.0. Dans le cas ou les interfaces soient DOWN ,vérifiez la
connectique.
10
Configuration de l’interface WAN :
Attention ! tenez compte de votre numéro de group « X ». Editez l’interface WAN1 puis modifiez l’adresse wan en
192.168.254.X0, activez le « https » (dans le cadre des exercices pour le formateur ) en plus du «ping» et du « FMG-Acces »
(pour prévoir l’utilisation du « fortimanager », à cocher si nécessaire en exploitation).
Allez faire un clic droit sur l’interface WAN 1,puis choisir Edit afin d’éditer l’interface (un double clic est également
possible).
Cliquez sur Manual pour activer le paramétrage manuel de l’adresse IP, saisir l’adresse qui correspond à votre groupe , puis
cochez HTTPS, «PING», FMG-Access. Validez votre paramétrage en cliquant sur le bouton « OK ».
11
Configuration de l’interface DMZ :
Pour configurer une interface DMZ, il va falloir sortir un port de la « switch fabric » pour le transformer en interface de niveau
trois et lui donner un rôle de DMZ, puis paramètrez son adresse IP.
Allez dans « Interfaces », puis double cliquez sur l’icone « Lan » dans Hardware switch pour éditer la « switch fabric ».
Cliquez sur la croix de l’objet « Lan2 » pour le sortir, ensuite validez en cliquant sur « OK ».
Observez la modification. Le port2 apparait dans « Physical » comme une interface de niveau trois.
12
Allez faire un double clic sur « Lan 2 » afin d’éditer l’interface . Donnez un alias DMZ à l’interface. Sélectionnez le rôle
DMZ, puis paramétrez l’adresse ip en fonction de votre numéro de groupe 192.168.XX.254 /24. Validez en cliquant sur
« OK ». Contrôlez l’affichage dans l’écran Interfaces.
Configuration de l’interface « LAN » :
Il va falloir modifier l’adresse ip de l’interface « Lan » en fonction de votre numéro de groupe, configurez un serveur DHCP
pour les stations de votre « Lan ».
Allez double cliquez sur l’objet « Lan » afin de l’éditer.
13
Une fois l’interface éditée, modifiez l’adresse ip en 192.168.X0.254, conservez le masque /24, puis descendez dans l’écran de
configuration jusqu’ à l’onglet DHCP, pour modifier le « range ».
Cliquez sur le bouton « édit », pour pouvoir saisir les adresses ip de début et de fin de votre « range » puis verifiez bien votre
saisie. Validez : ATTENTION ! vous allez être déconnecter de l’interface d’administration !
vous allez devoir ouvrir un cmd.exe pour réaliser un ipconfig /release, puis ipconfig /renew avant de vous reconnectez. Vous
devriez prendre l’adresse :192.168.X0.1 sur votre interface. A ce momment, vous pouvez vous reconnecter en utilisant
https://192.168.X0.254. Vous aurez une alerte de sécurité sur la connexecion car le certificat a été changé ! Acceptez le.
14
Paramétrage de la passerelle par défaut :

Afin de pouvoir faire sortir le « Lan », il va falloir configurer un passerelle par défaut à votre firewall !
L’adresse sera pour tout les groupes 192.168.254.254 /24
Allez dans « Network>Static Routes », vous devriez voir aucune route ! Puis cliquez sur le bouton « Create New ».
Une nouvelle route statique a paramétrer s’affiche. Allez dans « Interface » choisir « Wan1 » puis saisir 192.168.254.254 et
validez en cliquent sur le bouton « OK ».
Contrôlez votre affichage par rapport à celui-ci :
15
Création d’une première politique :
Avant d’ajouter ou de modifier une règle de filtrage, testez l’existant en réalisant un « »ping» » depuis votre station.
Il y a une réponse car il y a une régle ! Si pendant le 1er démarrage, le lien « Wan » est actif une régle est crée
automatiquement. Pour visualisez la politique de filtrage, vous devez aller dans « Policy & Objects> IPv4 Policy », la regle 1
laisse tout passer au niveau des adresses IPs, mais aussi des services, et en plus elle réalise de la translation d’adresse.
La règle implicite « Deny » ne protège que des tentatives d’entrèe depuis l’exterieur. Mais attention elle ne « log » pas les
paquets rejetés ce qui serait des plus utiles dans le cas de « débug », d’analyse…
Pour activez le « log » sur la règle « Implicit Deny », allez dans la colonne « Log », faire un clic droit sur le « Disable »
déplacez-vous sur « Log>Enable ».
16
Création ou modification d’une politique acceptant la sortie de toutes les sources pour les services (http https dns) vers
Internet.
Allez dans « Policy & Objects > IPv4 Policy » double cliquez sur la règle 1 pour l’éditer. Donnez lui le nom de « Lan surf »,
puis ajouter les services : « DNS, HTTP, HTTPS » dans les options de « Log » choisir « ALL Session ». Dans « comment »,
placez votre trigrame plus la date de creation de la règle et comme raison TK1 (ticket N°1°). Validez en cliquant sur « OK ».
Vous pouvez voir des indications sur l’utilisation (Hit) de la règle, en temp reel.
Lancez un «ping» 8.8.8.8 depuis votre station, puis allez sur www.sfr.Fr. Après la génération de ce trafic, allez visualiser les
« logs ». Cliquez sur « Log & Reports > Forward Traffic », il doit y avoir les traces du «ping» et de la connection au site
www.sfr.fr.
(En observant les logs si dessus, vous pouvez voir des traces d’evernote, de kspersky et de microsoft…)
17
Réalisation d’un backup :
Vous allez réaliser un premier « backup » afin de conserver un état de l’avancement des exercices .
Pour réaliser le « backup », allez cliquer à droite de l’écran sur le menu « admin »puis deplacez-vous sur « configuration » et
ensuite « Backup ». Validez en cliquant sur « OK »
Le fortigate donne un nom automatiquement , cliquez sur « OK » pour lancer le « backup » qui sera stocké dans le répertoire
« Téléchargement ».
18
4. Création de plusieurs règles dans la politique de filtrage :
Vous allez réaliser la politique de sécurité suivante :
Dans un premier temp vous conservez la règle « Lan surf », puis vous allez créer la règle « admin surf ». Elle va permettre à
l’administrateur d’aller sur internet avec tous les protocoles.
Création de l’objet « PC admin » :
Allez sur « User & Device » puis déplacez-vous sur « Custom Devices & Groups » pour cliquer sur « Cérate New »
« Device ». Vous pouvez voir qu’il existe trois groups, dont « Mobile Devises » qui sera utilisé plus tard.
Ensuite, remplissez les champs « Aliase » par admin, « Mac adress » par votre mac adresse obtenue par un ipconfig/all (puis
copier/coller. Attention au format, les octets sont séparés par des « : ») et « comments » par sortie pc admin, puis validez en
19
cliquant sur « OK ».
Création de la règle « Admin surf » :
Allez dans « Policy & Objects » puis « IPv4 Policy » et « Créate New »
Placez les informations suivantes : « Name » : admin surf, « Incoming Interface » : Lan, « Outgoing Interface » : wan1,
« Source » : all, plus le « device » : admin, « Destination » : all, « Service » : all, gardez l’« Action » : ACCEPT, et le
« NAT » : activé.
N’activez pas de filtrage « Web Filter », « DNS Filter », …. Paramétrez «Log Allowed Traffic » : All Sessions, placer votre
20
trigramme, la date et TK 2, dans le champ « Comments » puis validez en cliquant sur « Ok ».
Testez en allant vous connecter, sur l’adresse 192.168.254.254 en « »ssh» » et/ou en réalisant un « »ping» » sur 8.8.8.8, La
machine « admin » arrivera à accrocher le « login «ssh» » et à réaliser le «ping» ! Changez de machine, prenez celle de votre
binôme ou celle d’un autre binôme. Ces machines ne pourront pas accrocher le « login du «ssh» » ou réaliser le « »ping» » sur
8.8.8.8.
Le « »ping» » et le « »ssh» » doivent fonctionner depuis le PC admin.
Pour observer les « logs », allez dans « Log & Report » puis « Forward Traffic », pour observer seulement le passage des flux.
« »ping» » et « »ssh» ». Il est possible d’établir un filtre en cliquent sur « Add Filter », puis ensuite en sélectionnant
« service » et renseignez « »ssh» », « »ping» ». (sans la virgule le filtre ne fonctionne pas).
Le « »ping» » et le « »ssh» » ne doivent pas fonctionner depuis un pc différent de celui de l’admin !
21
Pour observer les « logs », allez dans « Log & Report » puis « Forward Traffic », pour observer le passage des flux.
Création de la règles d’accès au « SRV DMZ » depuis le réseau privée :
Vous allez réaliser la politique de filtrage, qui permettra aux Pc de votre « Lan » d’accéder en « http, https ,ftp » au « SRV
DMZ » et de permettre le « »ping» » et le « »ssh» » depuis votre poste « admin » ver le « SRV DMZ ».
Avant de réaliser les deux règles, vous allez créer l’Object « SRV DMZ ». Pour cela, allez dans « Policy & Objects »,
« Addresses » puis « Create New ».
22
Donnez les informations suivantes « Name » : SRV DMZ, « Color » : rouge, « Type » : IP Range, « Subnet/IP Range » :
prendre l’adresse IP correspondant à votre Groupe 192.168.XX.1, « Interface » : DMZ (Lan2), « Commets » : serveur DMZ
privé.
Observez l’objet ajouter.
23
Création de la règle d’accès au « SRV DMZ » pour le poste admin

Réalisez la règle suivante pour permettre l’administration du « SRV DMZ » depuis le poste admin :
A partir de la règle ci-dessus, réalisez celle qui va donner accès au « SRV DMZ » en « ftp, http, https » depuis toutes les
machines de votre « Lan ».
24
Contrôle et test, de l’exercice :

Comparez votre politique avec celle ci-dessous :
Testez en lançant un «ping» depuis votre PC admin sur l’adresse 192.168.XX.1, celui-ci doit répondre. Ensuite tentez une
connexion en «ssh» vers 192.168.XX.1, celle-ci doit fonctionner. Testez également la connexion en http, celle-ci doit aussi
fonctionner.
Testez maintenant avec un autre PC (binôme ou autre groupe) en lançant un «ping» sur l’adresse 192.168.XX.1, celui-ne doit
pas répondre. Tentez une connexion en «ssh» vers 192.168.XX.1, celle-ci ne doit pas fonctionner. Testez également la
connexion en http, celle-ci doit fonctionner.
Vous pouvez contrôler également en observant les « logs » de « Forward Traffic ».
25
5. Publication du serveur WEB de la DMZ
Vous allez rendre accessible le serveur Web de la DMZ depuis « Internet ». Il va falloir réaliser une translation sur l’interface
« Wan » qui va modifier l’ adresse IP destination du paquet publique 192.168.254.XX pour placer l’adresse IP privée
192.168.XX.1, puis autoriser le service « http ».
Création de l’objet VIP Virtual IP :

Allez dans : « Policy&Objects >VirtualsIPs », puis « Create New », « Virtual IP ».
Donnez les informations suivantes : « Name » : Vip_SRV_DMZ , « Comments » : IP publique du SRV DMZ, « Color » : vert,
Interface : « Wan1 ». C’est par cet interface que les paquets « publiques » arrivent, « External IP Adress » : 192.168.254.XX
(XX représente deux fois le numéro de votre groupe). « Mapped IP adress » : représente l’adresse privée de la « DMZ » soit
192.168.XX.1.
26
Contrôlez le bon paramétrage, en visualisant l’adresse Vip et l’adresse « Privée » dans la colonne « Détails ».
C’est l’usage de l’objet VIP dans une règle de translation qui permet la « publication » !
Création de la règle d’accès a la DMZ depuis le réseau publique :
Vous allez réaliser la mise en œuvre de la politique de sécurité suivante :
Création de la règle :
Allez dans « Policy & Objects », « IPv4 Policy », puis « Create New ».
27
Saisir les valeurs suivantes : « Name » : publication web dmz, « Incoming Interface » : wan1, « Outgoing Interface » : DMZ,
« Source » : all, « Destination » : l’objet Vip_SRV_DMZ, « Service » : http, « NAT » : décoché (off), « Log Allowed Traffic
» : All Sessions, « Comments » : votre trigramme la date et TK4, puis validez en cliquant sur « OK ».
Testez en demandant à un autre groupe (ou au formateur) d’accéder au serveur en « DMZ » avec l’adresse VIP
192.168 .254.XX (X étant le numéro de votre groupe).
Contrôlez en allant dans « Log & Report » puis « Forward Traffic », observez la colonne « Destination », aidez-vous en
réalisant un filtre. Pour cela cliquez sur « Add filter », puis sur « Destination » saisir l’adresse IP de destination
192.168.254.XX (IP « publique d’un autre groupe » ou 192.168.254.253 (adresse PC formateur).
Réalisation d’un backup :
Vous allez réaliser un « backup » afin de conserver un état de l’avancement des exercices .
Pour réaliser le « backup »allez cliquer à gauche de l’écran sur le menu « admin »puis deplacez vous sur « configuration »
puis « Backup ». validez en cliquant sur « OK ».
Le fortigate donne un nom automatiquement , cliquez sur « OK » pour lancer le « backup » qui sera stocker dans le répertoire
« Téléchargement ».
28
6. Filtrage AntiViral & déchiffrement rechiffrèrent de sessions SSL/TLS.
Le paramétrage des fonctions UTM repose sur le principe suivant :

Activation de la « feature multiprofils » (pour gérer plusieurs profils).
Activation de la « feature UTM » souhaitée (pour modifier l’interface graphique).
Réalisation du profil UTM (AntiVirus, Filtrage d’URL, …).
Puis affectation du profil à une règle de la politique de sécurité.
Activation de la gestion des profils :

Allez observer la gestion de(s) « Security Profils ». Cliquez sur « Security Profils », puis « AntiVirus ».Vous avez pour seul
choix le profil « default ». Pour y remédier activez la gestion des profils multiples, « Multiple Security Profils »,.
Pour activez l’option « Multiple Security Profils », cliquez sur « system », puis « Feature Visibility ».
Activez la coche « Multiple Security Profils » et validez en cliquant sur « Ok »
29
Création d’un profil « AntiVirus » :
Allez cliquer sur « Security Profils », puis « AntiVirus », le profil « default » est afficher. Il est en édition, puis cliquez sur le
bouton « + » afin de créer un nouveau profil.
30
Paramétrez le profil de la manière suivante : « Name » : utilisateur, « Scan Mode » : Full, « Detection Viruses » : Block,
« Treat Windows Executables In Email Attachement as Viruses » : désactiver (il n’y a pas de flux de messagerie à traiter),
« Use Virus Outbreak Prevention Database » : activer, « Include Mobile Malware Protection » : désactiver.
« Use Virus Outbreak Prevention Database » : est une protection supplémentaire qui protège votre réseau contre les
nouveaux logiciels malveillants. Des épidémies de virus rapides peuvent infecter un réseau avant que des signatures ne
puissent être développées pour les arrêter. L’option « Virus Outbreak Prevention » arrête ces épidémies virales jusqu'à ce
que les signatures deviennent disponibles dans FortiGuard.
« Include Mobile Malware Protection » : est une protection dédiée aux mobiles pour détecter les menaces
ciblant ces appareils.
31
Affectation d’un profil à une règle :
L’affectation du profil à une règle permet d’activer l’analyse « AntiVirus » au flux qui passe à travers une règle.
Allez cliquer sur « Policy & Object », « IPv4 Policy », sélectionnez la règle « Lan surf ». Elle apparait en surbrillance et un
bouton « + » est maintenant visible dans la colonne « Security Profils ». Cliquez sur ce bouton, les profils apparaissent.
Sélectionnez le profil « AV utilisateur » ainsi que le profil « « deep- inspection » (afin de pouvoir réaliser du déchiffrement/
re-chiffrement de session).
Observez la modification :
Utilisation du fichier « Eicar » allez sur l’URL http://www.eicar.org , puis cliquez sur « DONWLOAD ».
,
Sélectionnez dans un premier temp « eicar.com » en http.
32
Juste après avoir cliqué sur « eicar.com », vous avez la montée d’une alerte sur votre navigateur « High Security Alert ! ».
Maintenant sélectionnez le fichier « eicar.com » en https. Le navigateur envoie une alerte relative à l’utilisation du certificat du
fortigate ! Il va falloir accepter l’exception pour autoriser notre client a avoir une connexion https avec le fortigate. Le fortigate
pourra visualiser les données en clair et les rechiffrer pour le serveur www.eicar.org.
Sélectionnez à nouveau le fichier « eicar.com » en https cette fois juste après avoir cliquez sur « eicar.com ». Vous avez la
montée d’une alerte sur votre navigateur « High Security Alert ! ». Observez l’URL le https est visible !
33
Contrôlez en allant dans « Log & Report » puis « Forward Traffic », ensuite, observez la colonne « Security Events ». Aidez-
vous en réalisant un filtre, pour cela cliquez sur « Add filter » puis sur « Security Action » et saisir « Blocked ».
34
HSTS Strict Transport Sécurity :
Lorsque la politique HSTS est active pour un site web, l'agent utilisateur compatible opère comme suit :
1. Remplace automatiquement tous les liens non sécurisés par des liens sécurisés. Par exemple,
http://www.exemple.com/une/page/ est automatiquement remplacé par
https://www.exemple.com/une/page/ avant d'accéder au serveur.
2. Si la sécurité de la connexion ne peut être assurée (par exemple, le certificat TLS est auto-signé), celui-ci affiche un
message d'erreur et interdit à l'utilisateur l'accès au site à cause de cette erreur.
La politique HSTS aide à protéger les utilisateurs de sites web contre quelques attaques réseau passives (écoute clandestine) et
actives. Une attaque du type man-in-the-middle ne peut pas intercepter de requête tant que le HSTS est actif pour ce site.
(Wikipedia)
Exemples :
https://www.ssi.gouv.fr/
Il y a besoin d’insérer le certificat « Fortinet_CA_SSL » pour permettre le déchiffrement/re-chiffrement, de cession.
35
36
Exportation du certificat « Fortinet_CA_SSL »de votre fortigate :
Pour gérer les certificats du fortigate, il faut tout d’abord activer une « feature Certificates ». Allez cliquer dans « system » puis
« Feature Visibility », allez cocher « Certificates ».
Pour que l’interface graphique prenne en compte la modification, il faut vous déconnectez puis vous reconnectez.
Exportation du certificat « Fortinet_CA_SSL » :
Allez dans « System », puis « certificates ». sélectionnez le « Fortinet_CA_SSL », puis allez cliquer sur le bouton
« download ». Validez l’enregistrement du fichier dans le répertoire « Téléchargements ».
Il est possible de vérifier la présence du fichier en allant avec l’explorateur de fichier dans le répertoire de « téléchargement ».
37
Importation du « Fortinet_CA_SSL » du fortigate dans Firefox :
Allez dans « Outils » puis cliquez sur « vie privée et sécurité » descendez jusqu’à « Sécurité » puis cliquez sur le bouton
« Afficher les certificats ». Cliquez sur le bouton « Importer », puis rechercher dans le répertoire « Téléchargements » le fichier
« Fortinet_CA_SSL.cer » précédemment exporter depuis l’interface graphique du fortigate.
Affectez l’utilisation du certificat, cochez « Confirmer cette AC pour identifier des sites web » puis validez en cliquant sur le
bouton « OK ».
Contrôlez l’importation en recherchant le certificat.
Maintenant les nouveaux sites en « https » ne vous demanderont plus de valider des exceptions de sécurité, car Firefox pourra
valider les certificats générés par le boitier fortigate avec la clé privée relative à la clé publique du certificat
« Fortinet_CA_SSL.cer ».
Vous pouvez tester en vous connectant sur n’importe quel site en https à partir de Firefox. Si vous utilisez un autre navigateur
les alertes s’afficheront ! Firefox à son propre magasin des certificats qu’il ne partage pas avec les autres navigateurs.
Utilisez « edge » pour aller sur « www.google.com », vous obtiendrez une alerte, bloquante.
38
Google utilise le « HSTS », « edge » ne donne pas la possibilité à l’utilisateur d’accepter le certificat généré par le Fortigate,
contrairement à Firefox. Il faut faire apprendre le certificat « Fortinet_CA_SSL ».
Utilisez « edge » pour aller sur « www.sfr.fr », vous obtiendrez une alerte également bloquante mais sans « HSTS ».
Solution : faire apprendre le certificat « Fortinet_CA_SSL ».
39
7. Filtrage applicatif
Création d’un profil « Application control », « min_user » pour permettre d’interdire certains usages des utilisateurs. L’
utilisation d’outils comme « teamwiver », ou d’application de contournement de filtrage d’url (proxy,..), ou encore l’utilisation
d’application de « Voip », ou de jeux .
Pour vous aider dans l’administration, voici la liste des catégories « Application Control » gérer par Fortinet
https://fortiguard.com/appcontrol/categories
Création d’un profil « Application Control » :
Allez dans « Security Profils », puis « Application Control », puis cliquez sur le boutton « + » pour créer un nouveau profil.
Nommez le : « min_users ». Bloquez les catégories : « Game », « P2P », « Proxy », « Update », « Storage.Backup »
« Collaboration », « Mobile », « Remote Acces », « Video/Audio », « Social Media », « VoIP », puis validez en cliquant sur le
bouton « OK ».
Il va falloir affecter le profil « Application Control » dans la règle : « Lan surf ».
40
Allez dans « Policy & Objects > IPv4 Policy » puis double-cliquez sur la règle « Lan surf ».
Activez l’ « Application control » et affectez le profil « min_users ». Validez en cliquant sur le bouton « OK ».
41
Contrôle et test de l’exercice :

Contrôlez vous-même votre politique de filtrage puis testez.
Testez l’ « Application control » en allant sur https://youtube.com (lancez une vidéo) et avec votre PC admin, et avec un autre
PC (ou en changeant l’adresse Mac).
Contrôlez les « logs », allez dans « Log & Report », puis « Forward Traffic ». Réalisez des filtres pour visualiser les « logs »
des applications. Cliquez sur le bouton « Add Filter », puis choisir « Application Name » et saisir le nom de l’application a
contrôler.
Filtre sur « Application Name», « Youtube » :
Le site « Youtube » est bien « blocked », observez la colonne « Result ».
Filtre sur « Application Name», « Twitter » :
Le site « Youtube » est bien « blocked », observez la colonne « Result ».

42
Démonstration du formateur : Blocage du « SIP » (Optionnel) :

Modifiez le profil « Application Control », « default », pour bloquer la VoiP.
Affectez le profil à la règle « admin surf ».
Test du formateur avec un appel depuis le logiciel « eyebeam » vers un portable. Cela ne doit pas être possible !
Puis autorisez le « SIP » grâce à une exception par «Application over ride ». Editez la règle « admin surf », Filtrage « VoIP »
et ajoutez « SIP ».
Log après avoir passé une communication :
L’application « SIP » est bien autorisé par la règle « admin surf », grâce à l’ « Application Overrides » du profil « min_users ».
43
8. Filtrage web
Réalisation d’un filtrage URLs de type liste banche, tout sera interdit sauf les sites « General Interest – Buisness » pour les
utilisateurs. Pour l’administrateur, utilisez le filtrage du profil « Default ».
Pour vous aider dans l’administration, voici la liste des catégories « Web Filter » gérée par Fortinet
https://fortiguard.com/webfilter/categories .
Création d’un profil « Web Filter » :
Allez dans « Security Profils » puis « Web Filter». Cliquez sur le bouton « + » pour créer un nouveau profil.
Paramétrez le profil : Name : « min_users », «FortiGuard category based Filter » : actif, « Pre-configured filters » : en Custom.
Placez toutes les catégories en « block » sauf « Genral Interest – Buisness » en « allow », puis validez en cliquant sur le bouton
« OK ».
44
Allez dans « Policy & Objects > IPv4 Policy »puis double-cliquez sur la règle « Lan surf ».
Activez le « Web Filter » et affectez le profil « min_users », validez en cliquant sur le bouton « OK ».
Allez dans « Policy & Objects > IPv4 Policy »puis double-cliquez sur la règle « admin surf ».
45
Activez le « Web Filter » et affectez le profil « default ». Validez en cliquant sur le bouton « OK ».
Testez la mise en place des profils d’abord pour « un utilisateur », pour cela prenez un autre PC ou
modifiez votre adresse mac (voir avec le formateur). Pour les tests, utilisez les URLs suivantes :
www.victoriassecret.com, www.lequipe.fr, www.amazon.com www.pmu.fr. Vous pouvez également vérifier la
connexion à des sites autorisés : www.lcl.fr, www.impots.gouv.fr.
46
Pour tester la mise en place du profil « Default » de l’« admin», prenez un autre PC ou modifiez votre
adresse mac (voir avec le formateur). Testez les URLs suivante : www.victoriassecret.com, www.lequipe.fr,
www.amazon.com www.pmu.fr.
Vous pouvez également vérifier la connexion à des sites autorisés : www.lcl.fr, www.impots.gouv.fr.
Après les tentatives de connexions, allez dans « Log & Report », puis « Forward Traffic ». Le site bloqué
n’apparait pas de manière très explicite !!!
Allez dans « Log & Report », les Logs sont plus explicites !
Pour les sites www.amazon.fr, www.lequipe.fr, les accès ne sont pas bloqués, mais ils n’apparaissent pas dans les « Logs »
avec le profil « Default » ! Pour qu’ils soient « Loger », il faut utiliser l’action « Monitor » dans le profil .
47
9. Protection d’un serveur web IPS.
Vous allez mettre en place la protection du serveur Web en DMZ contre les attaques de l’extérieur. Le
profil devra tenir compte du fait que le serveur est un « Linux ».
Création d’un profil « IPS » :
Activez la « Feature », allez dans « System », « Feature Visibility », puis activez « Intrusion Prevention »
et validez en cliquant sur « OK ».
Allez dans « Security Profils », puis « Intrusion Prevention », et choisir le profil

« protection_http_serveur ».
48
Allez cliquer sur « Edit Filter », observez le nombre d’empreintes concernant les applications web sous
« Windows » et « Linux ». Il y en a 64 / 3174.
Allez dans le filtre pour ajouter le critaire « OS », puis renseignez le par « Linux ».
Observez le nombre d’empreintes concernant les applications « Web » sous « Linux ». Il y en a 36/ 3174.
Le paramétrage est optimisé. Il n’y a que les types de vulnérabilité redoutés qui seront surveillés !
49
Allez dans « Policy & Objects », puis « IPv4 Policy », et ensuite « Edit ».
Activez le profil IPS « protect_http_server » et validez en cliquant sur le bouton « OK ».
Observez la prise en compte de la modification.
50
51
Pour tester la mise en place du profil « Intrution Prevention », le formateur ou d’autres stagiaires vont réaliser des tests de
vulnérabilité vers le serveur web publique « 192.168.254 .XX ». En utilisant une vulnérabilité cve-2013-0333 avec « Métasploit » sur
une vm « Kalie-linux ».
La vm doit être bridgée avec la carte réseau Ethernet « branchée » sur un Pc connecté sur le réseau publique 192.168.254.0/24.
Lancez la machine VM « kali-linux » avec « Vmware Player », Login : root, Password toor. Vérifiez l’adressage ip, ouvrez un
terminal et utilisez ifconfig. Vous devez obtenir sur « eth0 », une adresse en 192.168.254. ??? via dhcp.
Si ce n’est pas le cas vérifier la connectique, sinon demandez au formateur.
Faire un «ping» 192.168.254.254 depuis la VM « Kali-linux », si il y a une réponse, vous pouvez continuer.
Lancez « Metasploit » (un clic sur le bouclier Bleu avec le M blanc)
Une fenêtre s’affiche en signallant le nombre d’exploits, de payloads,… dont dispose Metasploit :
52
Lire le mode opératoire et regarder la copie d’écran.
Mode opératoire :
searche CVE-2013-0333 « validez » Pour rechercher une vulnérabilité dans la base metasploit.
copier sélectionner le chemin de l’exploit (clic-Droit) copier Pour obtenir le chemin ou est stocker l’exploit.
use « Coller » le chemin (clic Droit) « validez » Pour sélectionner l’exploit à utiliser.
show options « validez » Pour visualiser les paramètres à saisir.
set rhost 192.168.254 .VV « validez » Pour donner l’adresse de la sible (VIP du serveur WEB).
exploit « validez » Pour executer l’exploit sur le site web testé.
Copie d’écran de la réalisation du test sur le serveur web :
L’exploit a bien été envoyé, mais la machine cible n’est pas vulnérable et/ou le « Fortigate » a fait son travail.
53
Allez dans « Log & Report », puis « Intrusion Prévention », le test de la CVE-2013-0333 a dû faire l’objet d’un « Log » .
Pour visualiser le numéro de CVE, vous devez faire un double clic sur « Attack Name » Ruby.On.Rails.XML.Processor.
54
10. Mise en œuvre d’un VPN SSL pour les clients nomades.
Vous allez autoriser les utilisateurs distants à accéder au serveur « SRV-DMZ » de l’entreprise à l'aide
d'un VPN SSL en se connectant soit en mode Web à l'aide d'un navigateur, soit en mode tunnel à l'aide du
« Forticlient ».
Pour mettre en place un « VPN SSL », il va falloir d’abord créer un utilisateur et un groupe, puis créer le
portail SSL, pour ensuite configurer le « VPN SSL ». Et enfin ajoutez des adresses IP pour les clients
distants, puis créer la règle d’autorisation.
Création de l’utilisateurs :
Allez dans « User&Device », ensuite « User Definition », puis « Create New ». Remplissez les variables « User » : UserX (X
étant le numéro de votre groupe), « Password » : password1, « Mail » : UserX@formation.fr, « Password » : Fortinet1,
« Mail » : UserX@formation.fr.
Suivre les quatre étapes suivantes :
55
Visualisation de l’utilisateur créer :
Création du groupe :
Allez dans « User & Device », puis « User Groups », et ensuite « Create New », pour créer un groupe « SSL-VPN-users ».
Affectez le compte utilisateur au groupe.
56
Contrôlez le résultat :
Edition du SSL-VPN Portal :
Allez cliquer sur « VPN », puis « SSL-VPN Portals. », et éditez « full-access » pour contrôle et observation.
Le « Split Tunneling » est le système où seules les données au sein du réseau d’entreprise sont
transmises à travers le VPN. Pas la sortie sur internet de l’utilisateur.
57
Configuration du SSL-VPN :
Allez dans « VPN », puis « SSL-VPN Settings », placez l’interface « Wan1 » dans « Listen on
Interface(s) ». Prendre le port 10443 « Listen on Port », et pour finir faire le mappage entre le groupe et
le portail.
Allez dans « Authentification/Portal Mapping». Cliquez sur « Create New », affectez le groupe
« VPN-SSL-users » au « portal », «Full-access », puis cliquez sur le bouton « OK »
!!!!!!!!!!!!!!!!!!
58
Création de la règle :
Allez dans « IPv4 Policy » puis « Create New ». Saisir les paramètres suivantes « Name » : vpn-ssl-dmz, « Incoming
Interface » : SSL-VPN tunnel interface (ssl.root), « Source » : SSLVPN-TUNNEL-ADDR1 + user1, « Destination » : SRV
DMZ, « Service » : http, pas de NAT, « Log Allowed traffic » : All sessions, validez en cliquant sur le bouton « OK ».
Vérifiez la règle « vpn-ssl-dmz » comme ci-dessous :
59
Contrôle et test de l’exercice :
Il est possible de tester avec un SmartPhone, ou un autre PC, stagiaire ou formateur, soit avec le
« FortiClient » ou un navigateur.
Test avec un Smartphone en « Web-Portal » :
Connectez le Smartphone en Wifi au réseau « ROUTEUR-FORM », « PSK » : ROUTEURFORM2020.

Ouvrez une connexion sur le « SRV DMZ » https://192.168.XX.X0 :10443
Visualisation des vpn ssl utilisées. Allez dans « Monitor », « SSL-VPN MONITOR ».
Il est possible de fermer une connexion vpn ssl en faisant clic droit sur l’utilisateur puis « End Session ».
60
11. Mise en œuvre d’un VPN IPSEC site à site.

Vous allez créer un tunnel VPN IPSEC « route-based » pour permettre une communication entre deux réseaux
situés derrière des FortiGates différents. Le VPN sera créé sur les deux FortiGates à l'aide du modèle « Site to
Site » de l'assistant VPN.
Paramétrage initial des « Fortigates » :

Vous pouvez repartir de la fin des TP UTM ou partir d’un « factoryreset ».
Si vous repartez du début, suivez les instructions suivantes :
Nommez le « Fortigate » : USER-X (votre numéro de groupe), puis placez la bonne « Time-Zone » :
Brussels,Copenagen, Madrid, Paris, puis validez en cliquant sur le bouton « Apply ». Comme sur l’écran
ci-dessous.
61
62
Contrôlez le paramétrage des interfaces et de l’ « IPV4 Policy » et de la route par défaut avec les écrans
ci- dessous :
63
Configurez le VPN site à site en mode Wizard en trois étapes :
Allez dans « VPN> IPsec Wizard ». Remplir le champ « Name » : Branche1-center, puis cliquez sur le
bouton « Next ».
Attention !!!! erreur volontaire .10 (normalement .1)
Remplir les champs suivants : « IP Address » : 192.168.254.10, « Outgoing » : wan1, « Preshared Key » :
passwordvpn. Cliquez sur le bouton « Next ».
Remplir les champs suivants : « Local Interface » : Lan, « Local Subnets » : 192.168.X0.0/24, « Remote
Subnets » : 192.168.253.0/24 »
Pour valider les écrans de saisie cliquez sur le bouton « Create».

64
Le Fortigate, vous montre les objets qu’il a créé, ainsi que la route et les règles de filtrage.
Cliquez sur le bouton « Show Tunnel List ».
Visualisez si le VPN est monté. Allez dans « Monitor>IPsec Monitor », les VPN paramétrés sont
visibles :
Pour monter un VPN, sélectionnez le VPN en question et faire une clic droit « Bring UP » pour le monter.
Sinon un «ping» à destination d’une machine distante permet la monter du VPN :
«ping» 192.168.253.200 (machine formateur).
65
12. Debug :
Correction de l’erreur volontaire !
Observez les « Logs » du groupe 1 X=10, puis allez dans « Log & Report> VPN EVENTS ».
L’adresse IP du « Remote » est celle du Fortigate Locale.

Modifiez l’adresse « Remote ». Allez dans « VPN> IPsec Tunnels » et double cliquez sur votre « VPN » pour aller dans la partie
« Network ». Cliquez sur le bouton « Edit ».
Allez remplacer le dernier octet de l’adresse IP « 10 » par le « 1 ».
66
Retournez dans « Monitor> IPsec Monitor », faites un clic droit, puis « Bring UP » pour monter le « VPN ».
Si il ne monte pas, vous avez une erreur non volontaire 😉.
Quelques commandes :
Les copies d’écrans sont prises du Fortigate du formateur « center ».
Vérifications de la configuration des VPN :
show vpn ipsec phase1-interface :
config vpn ipsec phase1-interface

edit "center-branche"
set interface "wan2"
set peertype any
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: center-branche 1(Created by VPN wizard)"
set wizard-type static-fortigate
set remote-gw 192.168.254.10
set psksecret ENC
KINnZgACeidjd+k+H2Od1XuuzAoYu3ov2Y2GNVoZ04p773Cbw27Xs0wFPjgywAYy
/k9CyW2CuhmudHuPbkNfO…… /AufHoWEwfw==
next
end
show vpn ipsec phase2-interface :
config vpn ipsec phase2-interface

edit "center-branche"
set phase1name "center-branche"
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256
set comments "VPN: center-branche (Created by VPN wizard)"
set src-addr-type name
set dst-addr-type name
set src-name "center-branche_local"
set dst-name "center-branche_remote"
next
end
67
Visualisation du détail des « VPN » :

get vpn ipsec tunnel details
gateway
name: 'center-branche'
type: route-based
local-gateway: 192.168.254.1:0 (static)
remote-gateway: 192.168.254.10:0 (static)
mode: ike-v1
interface: 'wan2' (6)
rx packets: 256 bytes: 0 errors: 0
tx packets: 256 bytes: 0 errors: 0
dpd: on-demand/negotiated idle: 20000ms retry: 3 count: 0
selectors
name: 'center-branche'
auto-negotiate: disable
mode: tunnel
src: 0:192.168.253.0/255.255.255.0:0
dst: 0:192.168.10.0/255.255.255.0:0
SA
Lifetime/rekey: 43200/39944
mtu: 1438
tx-esp-seq: 6b1
replay: enabled
inbound
spi: b2e019fa
enc: aes-cb b65ae3459b01c4e553bfc7ae138ee4cd
auth: sha1 4805f7d49b49aa66cf614c4de5844806f123b0f1
outbound
spi: 6e0112df
enc: aes-cb 914cced75f1b6d551c6a8400e69482aa
auth: sha1 ed11b7b7476a64e21c971a5c50a508eccaf71ea1
NPU acceleration: encryption(outbound) decryption(inbound)
68
Visualisation du détail des tunnels plus synthétique :
diagnose vpn tunnel list [ name <nom_du_tunnel> ]

diagnose vpn tunnel list name center-branche
Ou
diagnose vpn tunnel list (pour voir la totalité des VPN)°
list ipsec tunnel by names in vd 0
------------------------------------------------------
name=center-branche ver=1 serial=1 192.168.254.1:0->192.168.254.10:0
bound_if=6 lgwy=static/1 tun=intf/0 mode=auto/1 encap=none/8 options[0008]=npu
proxyid_num=1 child_num=0 refcnt=7 ilast=0 olast=0 ad=/0
stat: rxp=768 txp=768 rxb=131412 txb=65601
dpd: mode=on-demand on=1 idle=20000ms retry=3 count=0 seqno=3
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=center-branche proto=0 sa=1 ref=2 serial=1
src: 0:192.168.253.0/255.255.255.0:0
dst: 0:192.168.10.0/255.255.255.0:0
SA: ref=6 options=10226 type=00 soft=0 mtu=1438 expire=39433/0B replaywin=1024
seqno=880 esn=0 replaywin_lastseq=00000480 itn=0
life: type=01 bytes=0/0 timeout=42928/43200
dec: spi=b2e019fa esp=aes key=16 b65ae3459b01c4e553bfc7ae138ee4cd
ah=sha1 key=20 4805f7d49b49aa66cf614c4de5844806f123b0f1
enc: spi=6e0112df esp=aes key=16 914cced75f1b6d551c6a8400e69482aa
ah=sha1 key=20 ed11b7b7476a64e21c971a5c50a508eccaf71ea1
dec:pkts/bytes=1155/262636, enc:pkts/bytes=2966/168673
npu_flag=03 npu_rgwy=192.168.254.10 npu_lgwy=192.168.254.1 npu_selid=0
get vpn ipsec tunnel summary
Visualisez les « drivers » de chiffrement utilisés et leur stats :

diagnose vpn ipsec status :
All ipsec crypto devices in use:

npl:
Encryption (encrypted/decrypted)
null : 0 0
des : 0 0
3des : 0 0
aes : 2304 1408
aes-gcm : 0 0
aria : 0 0
seed : 0 0
Integrity (generated/validated)
null : 0 0
md5 : 0 0
sha1 : 2304 1408
sha256 : 0 0
sha384 : 0 0
sha512 : 0 0
NPU HARDWARE:
null : 0 0
des : 0 0
3des : 0 0
aes : 828 0
aes-gcm : 0 0
aria : 0 0
seed : 0 0
null : 0 0
md5 : 0 0
sha1 : 828 0
sha256 : 0 0
sha384 : 0 0
sha512 : 0 0
CP0:
null : 0 0
des : 0 0
3des : 0 0
69
aes : 1 3
aes-gcm : 0 0
aria : 0 0
seed : 0 0
null : 0 0
md5 : 0 0
sha1 : 1 3
sha256 : 0 0
sha384 : 0 0
sha512 : 0 0
SOFTWARE:
null : 0 0
des : 0 0
3des : 0 0
aes : 0 0
aes-gcm : 0 0
aria : 0 0
seed : 0 0
null : 0 0
md5 : 0 0
sha1 : 0 0
sha256 : 0 0
sha384 : 0 0
sha512 : 0 0
La sortie d’écran ci-dessus nous montre l’utilisation de l’« asic » pour le chiffrement/déchiffrement dans
le « VPN » ainsi que les algorithmes utiliser en chiffrement et en intégrité.
# Afficher tous les tunnels UP (qui ont des SA)

diagnose vpn tunnel dumpsa
# Couper ou lancer le tunnel IPSec spécifié

diagnose vpn tunnel [ up | down ] phase2-itf-name
Suppression des « Sas » de phase 2 :

Il y a donc une coupure du VPN :
diagnose vpn tunnel flush <nom_du_tunnel>
diagnose vpn tunnel flush center-branche

Si il y a un «ping» continu dans le « VPN », vous constaterez une perte dans votre «ping»,
pendant que votre tunnel remonte.
Supprimer les SAs d'un « VPN » et reset la conf « NAT-T » et « DPD »

(dead peer detection).
diagnose vpn tunnel reset <nom_du_tunnel>

diagnose vpn ike errors
70
Suppression des « Sas » de phase 1 :
diagnose vpn ike restart supprimera les SA de phase 1.
diagnose vpn ike ? (voici tous les paramètres de la commande )

gateway IKE gateways.
status IKE status.
log IKE debug log.
log-filter Alias for log filter.
routes IKE routes.
config IKE configuration.
restart Restart IKE.
errors IKE statistics.
stats IKE statistics.
counts IKE object counts.
crypto IKE crypto diagnostics.
filter IKE filter.
diagnose vpn ike status
connection: 1/1
IKE SA: created 1/1 established 1/1 times 20/20/20 ms
IPsec SA: created 1/1 established 1/1 times 30/30/30 ms
IKE SA nombre de SA actives/crées

IPSec nombre de SA actives//crées
Pour tester : diagnose vpn tunnel flush center-branche supprimera les SA DE phase 2.
71
« Challenge » (Optionnel) :
Création d’un problème de monter du VPN :
Vous allez travailler en groupe de binome. Chaque binome va faire un Backup de sa configuration. Ensuite
vous allez convertir votre « VPN » en « Custom Tunnel » dans un premier temps pour observer les
paramètrages. Puis produire une seule erreur (la noter sur papier).
Enfin échanger les Fortigates entre groupes et rechercher la seule et unique erreur, puis corrigez la !!!
Observation du paramétrage par défaut des VPN Fortigate :
Passez en mode custom, allez dans VPN puis editez votre VPN et cliquez sur « Convert To Custom Tunnel »
72
Détail du paramétrage :
Phase 1 :
« Network » :
« Authentification » :
Phase 1 « Proposal » (Crypto graphie de phase 1)
73
Phase 2 :
« Xauth » :
« Selectors » :
Phase 2 « Proposal » :
74
13. Analyse d’un fichier de backup (optionnelle)

diag sys logdisk status
diag sys logdisk usage
# execute formatlogdisk
REPRENDRE FORTIVIEW POUR APP CTRL
« admintimeout »
config system global
set admintimeout 480
set alias "FGT51E5618006483"
set hostname "admin"
set proxy-auth-timeout 5
set switch-controller enable
set timezone 28
end
192.168.254.254 DG
« config firewall policy » dans le backup
config firewall policy
edit 1
set name "lan surf"
set uuid bc6426d4-d510-51e8-0eff-6267f36467ac
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "DNS" "HTTP" "HTTPS"
set logtraffic all
set fsso disable
set nat enable
next
edit 2
set name "admin surf"
set uuid 9fcd0c7c-2dfb-51e9-fd70-ff11064e9c01
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set service "ALL"
set logtraffic all
set fsso disable
set devices "admin"
set nat enable
next
edit 3
set name "admin dmz"
set uuid 00693c34-2e08-51e9-fda2-60e413f07713
set srcintf "lan"
set dstintf "lan2"
set srcaddr "all"
set dstaddr "SRV DMZ"
75
set action accept
set service "ALL_ICMP" "«SSH»"
set logtraffic all
set fsso disable
set devices "windows-pc"
set comments "pafr 12/12/2020 TK3"
next
edit 4
set name "lan dmz"
set uuid 06444dbe-2e09-51e9-e0d5-4fef6fd5c983
set srcintf "lan"
set dstintf "lan2"
set srcaddr "all"
set dstaddr "SRV DMZ"
set action accept
set service "FTP" "HTTP" "HTTPS"
set logtraffic all
set fsso disable
set comments "pafr 12/12/2020 surf DMZ privé"
next
edit 5
set name "publication web dmz"
set uuid 8cd25f34-2e1c-51e9-d782-55769e67fa9e
set srcintf "wan1"
set dstintf "lan2"
set srcaddr "all"
set dstaddr "Vip_SRV_DMZ"
set action accept
set service "HTTP"
set logtraffic all
set fsso disable
set comments "pafr 13/12/2020 TK 4"
next
end
« pc admin » définition device

config user device
edit "admin"
set mac ca:fe:00:00:de:ad
set comment "sortis pc admin"
set type windows-pc
set category windows-device
next
end
« dhcp server »
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.10.254
set netmask 255.255.255.0
set interface "lan"
config ip-range
edit 1
set start-ip 192.168.10.1
set end-ip 192.168.10.200
next
76
end
set timezone-option default
next
end
14. FortiView :
Pour visualiser ce qui traverse le fortigate et/ou des statistiques sur les sites « web » visités, vous utiliserez « FortiView », il est plus
rapide à l’affichage que les « Logs » et il donne certaines stats, et graphiques.
Observez l’ensemble des sites visités cette dernière heure. Allez dans « FortiView », puis « WebSites » et cliquez sur le bouton « Web
Sites », puis choisir les données sur la dernière heure.
Observez l’ensemble des « Web Catégories » visité cette dernière heure. Allez dans « « FortiView », puis « WebSites » et cliquez sur
le bouton « Web Categories », puis choisir les données sur la dernière heure.
77
78

Cahier D'exercices Fortigate N1 V6.X

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cahier D'exercices Fortigate N1 V6.X

Transféré par

Droits d'auteur :

Formats disponibles

Cahier d’exercices Fortigate N1 V6.

1. Premier démarrage (optionnelle)............................................................................................................3

1. Premier démarrage (optionnelle)

Réalisez un clique sur « Dasboard>Main », afin de vérifier la modification de l’heure du boitier.

Exécutez la mise à jour en cliquant sur « Upgrade » puis « Continue ».

La mise à jour est téléchargée, puis installée et le system redémarre.

La mise à jour est téléchargée, puis installée et le system redémarre.

Voici des copies d’écran du terminale pendant une mise à jour :

2. Présentation de l’architecture des TPs et de l’adressage IP.

Pour chaques groupes :

3. Paramétrage des interfaces et création d’une première politique.

Identifiez vous avec Username = admin & Password = « blanc ».

Aller dans Network> Interfaces :

Configuration de l’interface WAN :

Configuration de l’interface « LAN » :

Allez double cliquez sur l’objet « Lan » afin de l’éditer.

Paramétrage de la passerelle par défaut :

Contrôlez votre affichage par rapport à celui-ci :

Création d’une première politique :

4. Création de plusieurs règles dans la politique de filtrage :

Vous allez réaliser la politique de sécurité suivante :

Création de l’objet « PC admin » :

Création de la règle « Admin surf » :

Le « »ping» » et le « »ssh» » doivent fonctionner depuis le PC admin.

Le « »ping» » et le « »ssh» » ne doivent pas fonctionner depuis un pc différent de celui de l’admin !

Création de la règles d’accès au « SRV DMZ » depuis le réseau privée :

Observez l’objet ajouter.

Création de la règle d’accès au « SRV DMZ » pour le poste admin

Contrôle et test, de l’exercice :

Vous pouvez contrôler également en observant les « logs » de « Forward Traffic ».

5. Publication du serveur WEB de la DMZ

Création de l’objet VIP Virtual IP :

Création de la règle d’accès a la DMZ depuis le réseau publique :

Vous allez réaliser la mise en œuvre de la politique de sécurité suivante :

Contrôle et test, de l’exercice :

Réalisation d’un backup :

6. Filtrage AntiViral & déchiffrement rechiffrèrent de sessions SSL/TLS.

Le paramétrage des fonctions UTM repose sur le principe suivant :

Activation de la gestion des profils :

Affectation d’un profil à une règle :

Contrôle et test, de l’exercice :

HSTS Strict Transport Sécurity :

Il y a besoin d’insérer le certificat « Fortinet_CA_SSL » pour permettre le déchiffrement/re-chiffrement, de cession.

Exportation du certificat « Fortinet_CA_SSL »de votre fortigate :

Contrôlez l’importation en recherchant le certificat.

Solution : faire apprendre le certificat « Fortinet_CA_SSL ».

Création d’un profil « Application Control » :

Il va falloir affecter le profil « Application Control » dans la règle : « Lan surf ».

Affectation d’un profil à une règle :

Contrôle et test de l’exercice :

Filtre sur « Application Name», « Youtube » :

Le site « Youtube » est bien « blocked », observez la colonne « Result ».

Filtre sur « Application Name», « Twitter » :

Le site « Youtube » est bien « blocked », observez la colonne « Result ».

Démonstration du formateur : Blocage du « SIP » (Optionnel) :

Affectez le profil à la règle « admin surf ».

Log après avoir passé une communication :

Création d’un profil « Web Filter » :

Affectation d’un profil à une règle :

Contrôle et test, de l’exercice :

9. Protection d’un serveur web IPS.

Création d’un profil « IPS » :

Allez dans « Security Profils », puis « Intrusion Prevention », et choisir le profil