Alphorm.com Formation Fortinet UTM

18/02/2016

1

Formation Fortinet UTM alphorm.com™©

Formation L’UTM Fortinet

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Yassine MORSLIFormateur et Consultant Ingénierie Informatique

18/02/2016

2


Plan• Présentation du formateur

• Public concerné

• Connaissances requises

• Présentation du LAB

• Liens utiles

• Cursus de formation Fortinet

18/02/2016

3


Présentation du formateur

• Yassine MORSLI• Ingénieur Réseaux Systèmes et Sécurité

• [email protected]

• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation

• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics CRM, NetApp

• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0

• Profils :

� Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45

18/02/2016

4


Public concerné• Administrateurs Sécurité

• Administrateurs Réseaux

• Ingénieurs Systèmes

• Consultant infrastructure

• DSI

18/02/2016

5


Connaissances requises• Connaissances des protocoles TCP/IP

• Connaissances en Firewalling

• Connaissances sur la sécurité et les types d’attaques

• Notions en cryptologie

18/02/2016

6


Présentation du LAB

18/02/2016

7


Liens utiles• http://www.fortinet.com

• http://docs.fortinet.com

• http://kb.fortinet.com

• http://support.fortinet.com

18/02/2016

8


Cursus de formation Fortinet

Fortigate –Fonctionnalités

de base


avancées

FortiAnalyzer

FortiManager

Fortimail FortiWeb

FirewallingNSE 4

AdministrationNSE 5

MessagerieNSE 6

WAFNSE 6

18/02/2016

9


LET’S GO !

18/02/2016

10


Découverte de la solution Fortigate

Introduction à l’UTM Fortinet



18/02/2016

11


Plan• Solution de sécurité traditionnelle

• Approche Fortinet

• Design de la plateforme

• Service d’abonnement FortiGuard

• Modes de fonctionnement

18/02/2016

12


Solutions de sécurité tradionnelles

Pare-feu

Antivirus

Antispam

Optimisation WAN

Filtrage Web

Contrôle applicatif

IPS

VPN

18/02/2016

13


• Plusieurs systèmes indépendants pour faire face à une variété de menaces

Solutions de sécurité tradionnelles

Pare-feu

Antivirus

Antispam

Optimisation WAN

Filtrage Web


IPS

VPN

18/02/2016

14


Pare-feu

Antivirus

Antispam

Optimisation WAN

Filtrage Web


IPS

VPN

Et plus encore…

Approche Fortinet

18/02/2016

15


Approche Fortinet

Pare-feu

Antivirus

Antispam

Optimisation WAN

Filtrage Web


IPS

VPN

Et plus encore…

• Un seul équipement fournit unesolution de sécurité complète

18/02/2016

16


Design de la plateforme

Hardware

Purpose-driven hardware

FortiOS

Specialized operating system

Firewall AVWeb

FilterIPS …

Security and network-level services

FortiGuard Subscription Services

Automated update service

18/02/2016

17


Services d’abonnement Fortiguard• Requiert un accès Internet et un compte d’accès

• Service fourni par Fortiguard Distribution Network (FDN)

� La plupart des DataCenters sont situés en Europe, en Asie et en Amérique du nord

� Les Fortigate se connectent aux DataCenters situés dans leur zone horaire, mais l’accès est ajusté selon la charge des serveurs

• Mise à jour : Fortiguard Antivirus & IPS

� Update.fortiguard.net

� Port TCP 443 (SSL)

• Requêtes temps réel : Filtrage Web Fortiguard & Antispam

� Service.fortiguard.net

� Protocole propriétaire : UDP 53 ou 8888

18/02/2016

18


Modes de fontionnement

NAT• Fonctionne sur la couche 3 du

modèle OSI

• Adresse IP par interface

• Les paquets sont routés par IP

Transparent• Fonctionne sur la couche 2 du

modèle OSI : Switch ou pont

• Pas d’adresse IP par interface

• Pas de routage de paquets, forward uniquement

18/02/2016

19


Ce qu’on a couvert� La différence entre l’approche traditionnelle et l’approche Fortinet

� Le schéma de la plateforme Appliance de sécurité Fortigate

�Service d’abonnement FortiGuard

� Les deux modes de fonctionnement des boitiers Fortigate

18/02/2016

20


Administration de l’équipement




18/02/2016

21


Plan• Paramètres d’administration par défaut

• Réinitialisation du compte admin

• Port console et méthodes d’administration

• FortiExplorer

18/02/2016

22


Paramètres par défaut• Interface ‘port1’ / ‘internal’, IP : 192.168.1.99/24

• Protocoles d’administration activés : HTTP, HTTPS, PING

• Serveur DHCP activé sur l’interface ‘port1’/’internal’� Ne concerne pas l’ensemble des modèles

• Login par défaut:� User : admin

� Password : (blanc)

• Les deux paramètres sont sensibles à la casse

• Il est important de modifier le mot de passe de l’équipement !

18/02/2016

23


Réinitialisation du compte adminUser : maintainer

Password : bcpb<numéro-de-série>

• Tous les modèles Fortigate et quelques autres boitiers Fortinet

• Après un redémarrage matériel (hard)

� Ne fonctionne pas après un redémarrage soft, pour des soucis de sécurité

• Les informations doivent être tapées durant les 15 à 30 premières secondes après le démarrage

• Uniquement via la console hard

� Requiert un accès physique à l’équipement

� Le compte admin maintainer peut être désactivé (en cas de règles de sécurité compliance restrictive)

config sys globalset admin-maintainer disableend

18/02/2016

24


Port console• Chaque boitier Fortigate est livré avec un câble console

• La connexion à la console requiert un émulateur de terminaux :

� PUTTY

� Tera term

• Les types des ports varient selon les modèles :

� Anciens modèles : port série

� Modèles récents :

• Port RJ-45 à port série

• USB2 à FortiExplorer

18/02/2016

25


Méthodes d’administration

18/02/2016

26


FortiExplorer• Administrer les Fortigate/FortiWifi, FortiSwitch, FortiAP

� Accès GUI & CLI

• Compatible Windows, Mac OS, iPod, iPad, iPhone

� Consulter la liste des versions supportées sur la release note

� Disponible en téléchargement sur support.fortinet.com et sur Apple App Store

• Connexion en câble USB2

� Câble standard 30-pin

� Le FortiExplorer est requis pour administrer en console les boitiers disposants d’un port console en USB2

18/02/2016

27


FortiExplorer

18/02/2016

28


Ce qu’on a couvert�Accès à l’équipement par les paramètres par défaut

�Que faire en cas de perte du mot de passe admin ?

�Méthodes d’administration et accès Console

� FortiExplorer

18/02/2016

29


Compte admin et authentification




18/02/2016

30


Plan• Profils Administrateur : Permissions et Hiérarchies

• Authentification à deux facteurs

• Accès Admin : Source de confiance, Ports, Protocoles

• Interface IP

18/02/2016

31


Profils administrateurs

18/02/2016

32


Profils administrateurs : Permissions

18/02/2016

33


Profils administrateurs : Hiérarchies

18/02/2016

34


Authentification à deux facteurs

18/02/2016

35



18/02/2016

36


Accès admin : Sources de confiance• Le Fortigate refusera les requêtes provenant de sources différentes des

IPs suivants :

18/02/2016

37


Accès admin : Ports• Les numéros de ports sont modifiables

• Il est recommandé d’utiliser les protocoles sécurisés

18/02/2016

38


Accès admin : Protocoles • Chaque accès administratif à une interface donnée s’active individuellement

� IPv4 & IPv6 séparés

� Les options IPv6 sont cachés par défaut

18/02/2016

39


Paramètres cachés par défaut• Quelques paramètres ne sont disponibles qu’en CLI (diagnose debug etc.)

• Quelques modules n’apparaissent pas sur la GUI (cachés)

� Les paramètres cachés ne sont pas désactivés

• Afficher/Cacher via :

� Le Widget sur le tableau de bord (paramètres élémentaires uniquement)

� La liste complète des paramètres via System �Config�Features

18/02/2016

40


Interface IP• En mode NAT, les interfaces sont adressables par IP

� Assignation manuelle

� Via DHCP

� Via PPPoE (CLI uniquement)

• A l’exception du mode one-arm

18/02/2016

41


Ce qu’on a couvert� Les profils administrateurs

� L’authentification à double facteurs

� Les autorisation d’accès administrateur à l’équipement

� Les IP par interface

18/02/2016

42


Le Fortigate comme serveur DHCP




18/02/2016

43


Plan• Serveur DHCP

• Réservation d’IP

• Journaux DHCP

18/02/2016

44


Fortigate Serveur DHCP• Paramètres par interface

18/02/2016

45


Fortigate Serveur DHCP : Réservation d’IP• Permet de réassigner une adresse IP au même hôte

� Pour réserver, sélectionner l’IP ou choisir un bail DHCP existant

� Identifier le type de la réservation :

• Régulière (Ethernet)

• IPSec

� Le Fortigate utilise la MAC adresse de l’hôte pour assigner l’IP dans la table de réservation

18/02/2016

46


Logs DHCP

18/02/2016

47


Ce qu’on a couvert

�Paramètre de serveur DHCP et Activation du service

�La réservation d’IP

�Consultation du journal DHCP

18/02/2016

48


Le Fortigate comme serveur DNS




18/02/2016

49


Plan• Fortigate Serveur DNS

• Comprendre les types des services DNS et les méthodes de résolution

• Configuration des zones DNS

18/02/2016

50


Fortigate Serveur DNS• Résout les requêtes DNS du réseau local

� Activé par interface

� Non recommandé pour la résolution DNS sur Internet

• Une seule base DNS peut être partagée par l’ensemble des interfaces du Fortigate

� Peut être séparée par VDOM

• Méthodes de résolution :

� Transfert au DNS Système : relaie les requêtes au serveur DNS suivant (paramétré dans les options DNS du système)

� Non récursive : Utilise uniquement la base DNS du Fortigate. Les requêtes non résolues sont dropées

� Récursive : Utilise la base DNS du Fortigate. Relaie les requêtes non résolues au DNS suivant paramétré dans les options DNS du système)

18/02/2016

51


Base DNS : Configuration• Ajout des zones DNS

� Chaque zone a son propre nom de domaine

� Format défini par la RFC 1034 et 1035

• Ajout des entrées DNS dans chaque zone

� Nom d’hôte

� Adresse IP à résoudre

� Types supportés

• Adresses IPv4 ou IPv6

• Name Server (NS)

• Canonical Name (CNAME)

• Mail exchange (MX)

• IPv4 (PTR) ou IPv6 (PTR)

18/02/2016

52


Ce qu’on a couvert�Fortigate Serveur DNS

�Comprendre les types des services DNS et les méthodes de résolution

�Configuration des zones DNS

18/02/2016

53


Fichier de configuration et mise à niveau Firmware




18/02/2016

54


Plan• Le fichier de configuration du Fortigate

• Mise à niveau du firmware

• Sauvegarde et restauration de configuration

18/02/2016

55


Fichier de configuration

• La configuration peut être exportée sur un fichier

� Cryptage du fichier optionnel

� Sauvegarde automatique disponible

• Lors de la fermeture de session

• Uniquement sur certains modèles

• Pour restaurer une configuration précédente, charger le fichier

� Provoque un redémarrage du boitier

18/02/2016

56


Format du Fichier de configuration

• Contient uniquement les paramètres modifiés et les paramètres importants (Taille du fichier réduite)

• L’entête contient les détails de l’équipement

� Les lignes qui suivent l’entête ne sont pas lisibles si le fichier est crypté

• Restauration de la configuration

� Cryptée : Même équipement + build + Mot de passe du fichier

� Non cryptée : Même modèle d’équipement requis

• Un build différent est possible si l’upgrade path est respecté

18/02/2016

57


Fichier de configuration par VDOM• Si les domaines virtuels (VDOMs) sont activés, vous pouvez sauvegarder les VDOMs

individuellement (sauvegarde partielle)

18/02/2016

58


Mise à niveau firmware (Upgrade)

1. Sauvegarder la configuration courante

2. Télécharger une copie du firmware

3. Accès physique à l’équipement, via interface web ou console

4. Lire la release note (upgrade path, bugs, informations)

5. Mise à jour

18/02/2016

59


Downgrade

1. Télécharger une copie du firmware

2. Accès physique à l’équipement, via interface web ou console

3. Lire la release note (le downgrade conservera-t-il la configuration ?)

4. Downgrade

5. Si nécessaire, restaurer le fichier de configuration compatible avec la version firmware

18/02/2016

60


Mise à niveau via FortiExplorer

18/02/2016

61


Ce qu’on a couvert�Comment sauvegarder la configuration du boitier

�Sauvegarde par VDOM

�Mise à niveau du firmware

�Downgrade de firmware

�Mise à niveau via FortiExplorer

18/02/2016

62


Comprendre les niveaux de Logs


Journalisation et surveillance


18/02/2016

63


Plan

• Comprendre les journaux de niveau de sévérité (log severitylevel)

18/02/2016

64


Journalisation et supervision

• La journalisation et le monitoring sontdes éléments clés dans la gestion du réseau» Monitorer le traffic réseau et Internet

» Traquer et identifier les problèmes

» Etablir les bases

18/02/2016

65


Niveau de sévérité des journaux

Emergency

Alert

Critical

Error

Warning

Notification

Information

Debug• Les Administrateurs définissent le niveau de gravité de journalisation

• Tous les messages associés au niveau de gravitévont être journalisés» Emergency = Système instable» Alert= Requiert une action immédiate» Critical = Fonctionnalité affectée» Error = Une erreur pouvant affecter une

fonctionnalité» Warning = Une fonctionnalité pourrait être affectée» Notification = Information sur un évènement normal» Information = Information générale sur le système» Debug = Debug de messages de journaux

18/02/2016

66


Types de bases de journaux

Syslog SNMP

Journalisation localeJournalisation distante

18/02/2016

67



• Niveau de sévérité des journaux

18/02/2016

68


Stockage des Logs




18/02/2016

69


Plan• Identifier les options de stockage de journaux

18/02/2016

70


Stockage : FortiAnalyzer/FortiManager

• FAZ/FMG disposent d’une liste de boitiers à gérer• SSL – OFTP sécurisé utilisé pour crypter les communications

FortiAnalyzer/FortiManager

18/02/2016

71


FortiAnalyzer vs FortiManager• FortiAnalyzer : Stockage dédié aux journaux long terme

• FortiManager : Gestion centralisée de plusieurs boitiers Fortigate� Peut également stocker des journaux et générer des rapports

� Identique au FortiAnalyzer, excepté la limitation du stockage des journaux à 2GB/Jour

18/02/2016

72


FortiAnalyzer/FortiManager : Configuration

• Jusqu’à 3 équipements FortiAnalyzer/FortiManager séparés, configurable en CLI� Plusieurs boitiers peuvent être rajoutés pour des besoins de redondance

� La génération et l’envoi de journaux est gourmand en ressources

config log [fortianalyzer | fortianalyzer2 | fortianalyzer3] settingset status enableset server x.x.x.xend

18/02/2016

73


Comprendre la structure des Logs




18/02/2016

74


Plan• Description des types et sous types de log

• Comprendre la structure des journaux

18/02/2016

75


Types et sous types• Traffic Log

� Forward : trafic autorisé/bloqué par les règles de pare-feu

� Local : trafic généré par le Fortigate, ou concerne directement le Fortigate

� Invalid : messages journaux de paquets considérés invalides

� Multicast : journalisation du trafic multicast

• Event Log

� System : Evènements liés au système

� User : évènements d’authentification

� Routeur, VPN, Optimisation WAN, Cache, Wifi

• Security Profile

� Par type de profil de sécurité (Antivirus, Filtrage Web, IPS, etc.)

18/02/2016

76


Structure et comportement• Divisé en 3 sections : Traffic Log, Event Log, Security Log

� Traffic Log � paquets destinés au boitier et traversant l’équipement

� Event Log � Evènements d’activité système et admin

� Security Log � Messages liés aux profils de sécurité sur le trafic traversant le boitier

• La plupart des évènements de sécurité sont consolidés dans Forward Trafic Log

� Consommation CPU réduite

� Exceptions : DLP, Scan d’intrusion (Log de sécurité seulement)

18/02/2016

77


Quels paramètres génèrent des Logs ?

• La journalisation est impactée par l’accélération du trafic

� Le trafic déchargé par le processeur NP n’est pas journalisé

• Peut désactivé l’accélération hardware

• Peut activé le journal des paquets NP (performances NP dégradées)

18/02/2016

78


Ce qu’on a couvert• Types et sous types des journaux

• Structure des journaux et comportement

18/02/2016

79


Stockage : FortiCloud• Service d’abonnement

� Stockage long terme et reporting

� Un mois d’essai gratuit inclus avec Fortigate

18/02/2016

80


Ce qu’on a couvert• Les différents périphériques de stockage des journaux

18/02/2016

81


Navigation dans les Logs




18/02/2016

82


Plan• Décrire comment visualiser les messages de journaux

• Décrire comment rechercher et interpréter un journal

18/02/2016

83


Aperçu des messages de Log (GUI)

18/02/2016

84


Aperçu des messages de journaux (GUI) : Ajout de filtre

• Utiliser le paramètre de filtre pour afficher/cacher

� Réduction du nombre d’entrées de Logs affichés

� Les filtres sont par colonne

18/02/2016

85


Aperçu des messages de journaux (Raw)• Les champs dans chaque message sont disposés en deux sections

� Entête du Log : commun à tous les messages de Log

� Corps du Log

2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dl p pri=notice vd=root

policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190 src_port=1190 srcint=internal dst=“192.168.1.122” d port=80 dst_port=80 dst_int=“wan1” service=“https” status=“detected” hostname=“example.com”url=“/image/trees_pine_forest /”msg=“data leak detected(Data Leak Prevention Rule matched)” rulena me=“All-HTTP” action=“log-only” severity=1

18/02/2016

86


Aperçu des messages de journaux (Raw) : Entête

� Entête du Log

2011-01-08 12:55:06 log_id=32001 type=dlp subtype=dl p pri=notice vd=root level=warning

18/02/2016

87


Aperçu des messages de journaux (Raw) : Corps

� Corps du Log

policyid=1 identidx=0 serial=73855 src=“10.10.10.1” sport=1190 src_port=1190 srcint=internal dst=“192.168.1.122” d port=80 dst_port=80 dst_int=“wan1” service=“https” status=“ detected” hostname=“example.com”url=“/image/trees_pine_forest /”msg=“data leak detected(Data Leak Prevention Rule matched)” r ulename=“All-HTTP” action=“log-only” severity=1

18/02/2016

88


Aperçu des messages de journaux (CLI)exe log display

� D’abord paramétrer les filtres de journaux

exe log filter

FG60C # exe log display205 logs found.10 logs returned.1: date=2015-10-08 time=20:35:40 logid=0000000011 t ype=traffic subtype=forward level=warning vd=root srcip=10.16.20.41 srcport=535 01 srcintf="internal" dstip=172.16.50.111 dstport=18829 dstintf="wlan" dstssid="W ifi" sessionid=32617027 action=ip-conn user="guest" policyid=7 crsco re=10 craction=262144 crlevel=medium

FG60C # exe log filtercategory Category.device Device to get log from.dump Dump current filter settings.field Filter by field.ha-member HA member.max-checklines Maximum number of lines to check.reset Reset filter.start-line Start line to display.view-lines Lines per view.

FG60C # exe log filter

18/02/2016

89


Supervision des journaux• Superviser les Logs est un élément essentiel pour la protection du

réseau

• Trois moyens pour y parvenir :� Alertes mails

� Messages d’alerte de console

� SNMP

18/02/2016

90


Ce qu’on a couvert• Vue des messages de journaux

• Moniteur, lecture et interprétation des messages de Log

18/02/2016

91


Alertes Email et paramètres de Logs




18/02/2016

92


Plan• Alertes Email

• Configurer les paramètres de journal

18/02/2016

93


Alertes Email• Envoi de notficiation lors de la détection d’un

évènement• Identifier le nom du serveur SMTP• Configurer au moins un serveur DNS• Jusqu’à trois destinataires

18/02/2016

94


Alertes Email : Configuration• Configurer d’abord le paramètre du serveur SMTP

• Envoyer à jusqu’à 3 destinatairesconfig system email-server

set type customset reply-to (email)set server (IP or FQDN)set port (connection port)set source-ip (interface-ip)set authenticate [enable | disable]set security [none | starttls | smtps]

end

18/02/2016

95


Console des messages d’alerte• Les messages d’alerte sont visibles sur un widget en GUI

� Les alertes peuvent être acquittées et supprimées de la liste

� Options de personnalisation des alertes

18/02/2016

96


Supervision SNMP

SNMP managerManaged device

SNMP agent Fortinet MIB

• Traps reçues par l’agent, envoyées au serveur SNMP• Configurer l’interface Fortigate pour l’accès SNMP• Compiler et charger les MIBs Fortigate sur le serveur SNMP• Créer des communautés SNMP pour autoriser les connexions

du Fortigate sur le serveur SNMP− SNMP v1/v2 : Texte en clair− SNMP v3 : Crypté

18/02/2016

97


Supervision SNMP : Configuration

� Le SNMP v3 offre une meilleure sécurité

18/02/2016

98


Configuration des paramètres de Log

� Plus il y a de logs, plus il y a de résolution d’IP

• Peut impacter sur les performances CPU

18/02/2016

99


Configuration des paramètres de Log : CLI

� Information de configuration (IP du serveur, nom de user, etc.) spécifique au stockage des Logs

18/02/2016

100


Configuration des paramètres de Log : Règle de sécurité

� La génération du journal de sécurité est déclenchée dans la règle de sécurité �

� L’option « Log Setting » défini ou sera stocké chaque Log �

18/02/2016

101


Ressources de journalisation• Plus le nombre de logs est important, plus le boitier sera gourmand en

ressources CPU, mémoire et espace de stockage

• Les profiles UTM génèrent des journaux d’évènement lorsqu’un trafic est détecté

• les journaux du trafic peuvent être abrégés pour libérer les ressources du pare-feu

config log settingset brief-traffic-format enabledend

18/02/2016

102


Journaux d’évènements : Paramètres� Non provoqués par le trafic passant au travers du boitier

18/02/2016

103


Ce qu’on a couvert• Paramètres des journaux

• Ressources de journalisation

18/02/2016

104



Monitoring des Logs


Site : http://www.alphorm.comBlog : http://blog.alphorm.comForum : http://forum.alphorm.com

18/02/2016

105


Plan• Décrire comment opérer un Monitoring sur les journaux

18/02/2016

106


Moniteur des journaux

� Vue globale du nombre et type des journaux générés

� Zoom avant permet d’avoir une vue détaillée

18/02/2016

107


Moniteur graphique (GUI)

� Exemple : Moniteur des profiles de sécurité

• Inclus toutes les options de sécurité

� Moniteur AV

• Top activité virus

� Moniteur Web

• Top catégories Fortiguard bloquées

� Moniteur d’Application

• Applications les plus utilisées

� Moniteur d’Intrusion

• Attaques récentes

� Moniteur d’Email

• Statistiques de Spams

� Moniteur DLP & Archives

• Activité DLP

� Quota Fortiguard

• Usage du quota par utilisateur

18/02/2016

108


Page Status : Widgets personnalisés

� Les widgets disposent de paramètres pour afficher diverses informations

• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun affichant une option d’information différente

18/02/2016

109


Page Status : Tableau de bord personnalisé� Plusieurs tableaux de bord par défaut

• Widgets inclus configurés pour fournir différents types d’information

• Peuvent être ajouté/modifié/supprimé

• Un widget peut être ajouté au tableau de bord plusieurs fois, chacun affichant une option d’information différente

• La disposition du tableau de bord et des widgets est une préférence des administrateurs

18/02/2016

110


Ce qu’on a couvert• Moniteur

• Lecture et interprétation des messages de Log

18/02/2016

111


Les règles de sécurité

Le Pare-feu



18/02/2016

112


Plan• Comprendre le fonctionnement des règles de sécurité

• Concordance des règles de sécurité� Adresse IP source, périphérique, utilisateur

� Interface ou Zone

• Ordonnancement des règles de sécurité

18/02/2016

113


Qu’est-ce que les règles de sécurité ?• Les règles de sécurité définissent :

� A quel trafic elles correspondent

� Comment traiter le trafic correspondant

• Lorsqu’un paquet d’une nouvelle session arrive, le Fortigate vérifie les règles correspondantes� La première règle dans l’ordre d’affichage

correspondant au paquet est exécutée

� Du haut vers le bas

• Deny Implicite� S’il n’y a aucune règle correspondant au paquet,

ce dernier sera dropé par le Fortigate

18/02/2016

114


Règles de sécurité

Interfaces Source et Destination

Périphériques Source et Destination

Services

Horaires

Action = ACCEPT

Authentification

UTM QoS

Logging

18/02/2016

115


Liste des règles : Vue par section• Policy � Policy � IPv4

• Liste les règles par paires d’interfaces source/destination

18/02/2016

116


Liste des règles : Vue globale• Lorsqu’une règle dispose de multiples interfaces source/destination ou

ANY

18/02/2016

117


Ordonnancement des règles• En CLI, pour identifier une règle, utiliser l’ID de la règle au lieu du numéro de

séquence

• En GUI, glisser déplacer la règle à l’aide de la souris

config firewall policymove <policy_id> {before | after} <policy_id>end

18/02/2016

118


Composants et types de règles• Les objets

� Interfaces/Groupes d’interfaces

� Adresses/Utilisateurs

� Services (port et protocole)

� Horaires

� NAT

� Profiles de sécurité

• Types� IPv4, IPv6

� Proxy Explicit

� DoS

� Multicast

18/02/2016

119


Destination

interface

Source

interface

• Interface d’arrivée (source) : Interface / Zone réceptionnant le trafic• Interface de sortie (destination) : Interface / Zone de destination du trafficZone : Group logique d’interfaces

Interfaces vs. Zones

18/02/2016

120


Concordance par source• Au moins une adresse source doit être spécifiée

• En option, l’un ou les deux éléments suivants :

� Utilisateur source

� Device source

• Adresse source – Objet d’adresse IP

• Utilisateur source – Utilisateur ou groupe d’utilisateur, peut faire référence à :

� Compte utilisateurs firewall local

� Compte utilisateurs distant (exp. Active Directory)

� FSSO

� Certificat personnel (PKI)

• Device source – périphérique identifié ou défini manuellement

� Activer l’identification des périphériques sur l’interface source

18/02/2016

121


Ce qu’on a couvert� Concordance des paquets et des règles de sécurité

� Comment le Fortigate défini la correspondance du trafic

18/02/2016

122


Identification des périphériques

Le Pare-feu



18/02/2016

123


Plan• Notions de périphériques et Fortigate

• Aperçu des périphériques sur l’interface de configuration

• Mode Agent vs. Sans agent

18/02/2016

124


Identification des périphériques• Type de périphérique source – l’identification des périphériques est

activée sur l’interface source de la règle

18/02/2016

125


Identification des périphériques : Agent vs. sans agent

• Techniques d’identification

• Sans agent� Empreintes TCP

� Adresse MAC

� Agent utilisateur HTTP

� Requiert une connectivité directe au Fortigate

• Avec agent� Utilisation du Forticlient

� Indépendant de la localisation et de l’infrastucture

18/02/2016

126


Identification des périphériques : Liste des périphériques (GUI)

• User&Device � Devices � List

18/02/2016

127


Identification des périphériques : Liste des périphériques (GUI)

• Les périphériques sont indexés par MAC et identifiés à partir de sources multiples

18/02/2016

128


Identification des périphériques : Liste des périphériques Forticlient (CLI)

• Les périphériques enregistrés par le Forticlient peuvent être identifiés par leur UID

18/02/2016

129


Ce qu’on a couvert�La gestion des périphériques sur le Fortigate

18/02/2016

130


Contrôle des postes de travail

Le Pare-feu



18/02/2016

131


Plan• Profils de configuration Forticlient

• Gestion des Forticlient par Fortigate

18/02/2016

132


Contrôle des postes• Le Fortigate peut contrôler les paramètres du Forticlient via les profils

• Le pare-feu restreint les clients dotés de Forticlient

• Nécessite l’activation du paramètre FCT-Access sur l’interface du Fortigate

18/02/2016

133


Contrôle des postes• Les Forticlient sont enregistrés sur le Fortigate

18/02/2016

134


Contrôle des postes• Les Forticlient ajoutés à la liste des devices

18/02/2016

135


Contrôle des postes• Profil Forticlient

18/02/2016

136


Contrôle des postes• Les paramètres du profil Forticlient téléchargés sur le device enregistré

18/02/2016

137


Ce qu’on a couvert�La gestion des postes de travail via Forticlient

18/02/2016

138


Concordance des règles

Le Pare-feu



18/02/2016

139


Plan• Comprendre les éléments de concordance des paquets avec les règles

de sécurité

• Comment sont traités les paquets ?

18/02/2016

140


Correspondance par objet source• Contrôle de correspondance des paquets par adresse source, utilisateur,

et type de Device

18/02/2016

141


Correspondance par objet destination• Identique au match à la source, les objets adresses peuvent être de type

IP ou FQDN

� Les requêtes DNS sont utilisés pour résoudre les FQDN

• L’objet « région géographique » définit les adresses par IPS

� La base est mise à jour périodiquement par le FortiGuard

18/02/2016

142


Correspondance par Horaire• Les règles s’appliquent uniquement durant un temps/jour spécifique

� Exemple : Appliquer moins de restriction en dehors des horaires de travail

� La planification par défaut (Always) s’applique tout le temps

� Récurrent

• S’applique de façon récurrente durant un jour ou plusieurs jours de la semaine

� One-time

• S’applique une seule fois

18/02/2016

143


Correspondance par service

Protocol and port

Packet

Protocol and port

Firewall Policy

=

• Les services déterminent les protocoles de transmission et les numéros de port

• Peuvent être pré-définis ou personnalisés• ALL correspond à tous les ports et protocoles• Le service web-proxy est également disponible si

l’interface source est défini en tant que web-proxy

18/02/2016

144


Usage des objets• Permet un changement rapide des paramètres

• La colonne référence montre si l’objet est utilisé

� Lié directement à l’objet référencé

18/02/2016

145


Comment les paquets sont traités : Etape 1

• Phase 1 – Entrée� Filtre Déni de service (DoS)

� Vérification de l’intégrité des paquets

� Tunnel IPSec

� NAT de destination

� Routage

18/02/2016

146





� Tunnel IPSec


� Routage

• Phase 2 – Inspection à état� Trafic de gestion

� Vérification des règles

• Session tracking

• Session helpers

• SSL VPN

• Authentification utilisateurs

• Traffic shaping

18/02/2016

147





� Tunnel IPSec


� Routage




• Session helpers

• SSL VPN


• Traffic shaping

• Phase 3 – Scan UTM� Inspection Flow-based

• IPS

• Contrôle applicatif

• Filtrage mail

• Filtrage web

• Antivirus

� Inspection Proxy-based

• Inspection VOIP

• DLP

• Filtrage mail

• Filtrage web

• Antivirus

• ICAP

18/02/2016

148





� Tunnel IPSec


� Routage




• Session helpers

• SSL VPN


• Traffic shaping

• Phase 3 – Scan UTM� Inspection Flow-based

• IPS

• Contrôle applicatif

• Filtrage mail

• Filtrage web

• Antivirus

� Inspection Proxy-based

• Inspection VOIP

• DLP

• Filtrage mail

• Filtrage web

• Antivirus

• ICAP

• Phase 4 – Sortie� IPSec

� NAT Source

� Routage

18/02/2016

149


Ce qu’on a couvert�La concordance des paquets avec les règle de sécurité

�Les étapes d’exécution de paquet sur le boitier Fortigate

18/02/2016

150


Journal et analyse

Le Pare-feu



18/02/2016

151


Plan• Activation de la journalisation sur les règles de sécurité

• Paramètres des tables de session

• Diagnostique des informations de session

18/02/2016

152


Traffic Logging

DenyAccept

Log Allowed Traffic Log Violation Traffic

config system settingset ses-denied-traffic enable

18/02/2016

153


Moniteur• Sessions actives, octets ou paquets par règle

• Policy&Objetcs > Moniteur > Politique Moniteur

18/02/2016

154


Table de sessions• Les sessions IP acceptées sont suivies sur la table des sessions

• Enregistre les informations d’état

� Adresses sources et destinations, paire de port, état, timeout

� Interface source et destination

� Action NAT, en source ou en destination

• Métrique de performance

� Sessions concurrentes maximum

� Nouvelles sessions par seconde

18/02/2016

155


TTL de sessions• La réduction de la durée de vie des sessions peut améliorer les performances

lorsque la table est pleine en coupant les sessions prématurément

• TTL par défaut

• Timers à état spécifiques

• Les timers peuvent être appliqués sur les règles et les objets, et avoir des précédences :

� Application Control List > Firewall Services > Firewall Policies > Global Sessions

config system session-ttlset default 3600end

config system globalset tcp-halfclose-timer 120set tcp-halfopen-timer 10set udp-idle-timer 60end

18/02/2016

156


Table de sessions : Exemple

18/02/2016

157


Etats TCP

18/02/2016

158


diagnose sys session• La table de session indique les actions des règles

� Effacer tous les filtres précédents

� Paramétrer le filtre

� Afficher toutes les entrées correspondantes au filtre configuré

� Effacer toutes les entrées correspondantes au filtre configuré

diagnose sys session filter clear

diagnose sys session filter clear ?dport port de destinationdst adresse IP destinationpolicy id de la règlesport port sourcesrc adresse IP source

diagnose sys session list

diagnose sys session clear

18/02/2016

159


diagnose sys session

18/02/2016

160



�Le moniteur des sessions

�La durée de vie des sessions

18/02/2016

161


Translation d’adresses IP

Le Pare-feu



18/02/2016

162


Plan• Choix entre le NAT central ou le NAT source sur une règle de sécurité

� Appliquer le NAT source avec IP pools (overload vs. One-to-one, port fixe et allocation de bloc de ports)

• Configurer les NAT de destination avec les VIPs ou les serveurs virtuels

18/02/2016

163


Translation d’adresses et de ports• Translation d’adresses IP – NAT

� Modification d’adresse au niveau de la couche IP du paquet

• Quelques protocoles comme HTTP disposent également d’adresses sur la couche applicative, requiers session helpers/proxy

� Translation d’adresse source – SNAT

� Translation d’adresse destination – DNAT

• Translation de ports – PAT� Modification du numéro de port au niveau de la couche IP du paquet

Adresse IP SourcePort Source

Adresse IP destinationPort destination

18/02/2016

164


Translation d’adresse IP (NAT)

10.10.10.1

11.12.13.14Règle de sécurité

NAT activéAdresse IP wan1: 200.200.200.200

Adresse IP source:10.10.10.1

Port source: 1025

Adresse IP destination:11.12.13.14

Port destination: 80

Adresse IP source:200.200.200.200Port source: 30912



internal

wan1200.200.200.200

18/02/2016

165


NAT Dynamic IP Pool (Plage IP)

Règle de sécurité

NAT + Plage IP activésPlage IP wan1: 200.200.200.2-200.200.200.10


Port source: 1025



Adresse IP source:200.200.200.2Port source: 30957



10.10.10.1

internal

wan1

11.12.13.14

200.200.200.200

18/02/2016

166


Type de plage IP : One-to-One• Type par défaut : overload

• Type one-to-one associe une adresse IP interne à une IP de la plage sur la base du premier arrivé, premier servi

� La translation de port est désactivée

• Refuse la connexion s’il n’y a aucune adresse non allouée

18/02/2016

167


Type de plage IP : Plage IP à port fixe

• Le type : Range à port fixe, associe une plage d’IP interne à une plage externe

� La translation de port est désactivée

18/02/2016

168


Type de plage IP : Allocation de bloc de ports

• Le type allocation de bloc de ports assigne une taille de bloc & numéro par hôte pour une plage d’adresses IP externes

� Petit bloc 64 et un seul bloc

� En mode overload

18/02/2016

169



Adresse IP virtuelle de destination + NAT statiqueAdresse IP wan1: 200.200.200.200




10.10.10.10

11.12.13.14

internal

wan1

La VIP translate la destination200.200.200.200 -> 10.10.10.10

IPs virtuelles

18/02/2016

170


IPs virtuelles


Adresse IP virtuelle de destination + NAT statiqueAdresse IP wan1: 200.200.200.200




10.10.10.10

11.12.13.14

internal

wan1

La VIP translate la destination200.200.200.200 -> 10.10.10.10

• Objets NAT en destination• NAT statique par défaut

» Peut être en mode “restricted” pour redirigeruniquement certains ports

• En CLI, l’option load-balance ou server-load-balance est disponible

• La VIP doit être routable sur l’interface externe(source) pour le retour de paquets

18/02/2016

171


Central NAT Table• Autorise la création de règles de NAT et la configuration du NAT

mapping par la table globale du pare-feu

• Contrôle la translation de port, au lieu que ce ne soit assignéautomatiquement par le système

18/02/2016

172


Translation d’adresses : Central NAT

18/02/2016

173



�Les mécanismes de translation d’adresses et de ports

18/02/2016

174


Inspection du trafic

Le Pare-feu



18/02/2016

175


Plan• Traffic Shapping

• Profils de sécurité

• Modes d’inspection

• Inspection SSL

18/02/2016

176


Traffic Shapping• La limitation du débit est configurable

� Bande passante entrante et sortante

• Chaque interface physique a 6 files d’attentes d’émission

• Le traffic shapping contrôle quelle règle dispose de la priorité la plus élevée lorsque une quantité de données importante traverse le boitier Fortigate

• Normalise les pics de trafic en priorisant certains flux par rapport à d’autres

18/02/2016

177


Traffic Shapping

Traffic Shapping partagé Traffic Shapping par IP

Bande passante garantie

Bande passante maximum







18/02/2016

178


Profils de sécurité

18/02/2016

179


Proxy vs. Flow : Scan Proxy-based• Le proxy transparent met les fichiers en mémoire tampon

• A la fin de la transmission, le Fortigate examine les fichiers

� Aucune action jusqu’à ce que le tampon soit plein ou l’action est terminée

• La communication se termine sur la couche 4

� Le proxy lance une connexion secondaire après le scan

18/02/2016

180


Option de proxy

18/02/2016

181


Proxy vs. Flow : Scan Flow-based• Le fichier est scané sur la base du flux TCP lorsqu’il transite via le

Fortigate

� Moteur IPS

• Plus rapide que le mode Proxy

• Utilise les mêmes signatures que le mode proxy

• Le trafic d’origine n’est pas altéré

18/02/2016

182


SSL Inspection

18/02/2016

183



�Traffic Shapping

�Les mécanismes d’inspection du trafic

18/02/2016

184


Diagnostiques des règles de sécurité

Le Pare-feu



18/02/2016

185


Plan• Supervision et débogage du trafic

18/02/2016

186


Débogage des règles de sécurité• Comprendre le flux

� Entrant

� Sortant

� Action NAT source

� Action NAT destination

� VPN

� Inspection de contenu proxy/flow

• Quel est le problème ?� Lenteur/retard ?

� Timeout trop court ?

� Echecs de connexion ?

18/02/2016

187


Capture de paquets (CLI)• Utilisée pour trouver d’où un paquet arrive et par où le paquet sort

• Pour une visualisation sur Wireshark, convertir le rendu� Sauvegarder le rendu sur un fichier

� Script Perl sur la KB (ID article : 11186)

InterfaceUtiliser un nom physique ou logique

diag sniff packet interface ‘filter’ level

port1, lan, wan1, ‘any’

Level (1-6)1 : Afficher l’entête des paquets2 : Afficher l’entête et les données IP des paquets3 : Afficher l’entête et les données Ethernet4 : Afficher l’entête des paquets avec le nom d’interface5 : Afficher l’entête et les données IP avec le nom d’interface6 : Afficher l’entête et les données Ethernet avec le nom d’interface

18/02/2016

188


Capture de paquets : Exemples• Ne pas spécifier un hôte qui risque de change d’IP à cause du NAT

• Utiliser l’interface ‘any’ et un niveau de détail à 4 est le plus utilisé

• Exemples :

� IP

� ICMP

� TCP : Paquets avec le paramètre SYN flag

� FTP

• Connexion et données, FTP passif

• Connexion et données, FTP actif

• Si utilisation de SSH, ne pas sniffer vos propres paquets

diag sniff packet any ‘dst host 10.200.1.254’ 4

diag sniff packet any ‘dst host 10.200.1.254 and icmp’ 4diag sniff packet any ‘icmp[icmptype] !=0 and icmp[icmptype] !=8’ 4

diag sniff packet any ‘tcp[13]&2==2’ 4

diag sniff packet any ‘host 10.200.1.254 and (port21 or port ??)’ 4

diag sniff packet any ‘host 10.200.1.254 and (port21 or port 20)’ 4

diag sniff packet any ‘!port 22’ 4

18/02/2016

189


Capture de paquets (GUI)• Les paquets capturés sont automatiquement convertis en format

Wireshark

• Disponible sur les boitiers avec stockage interne (HD ou carte SMC)

18/02/2016

190


Flux des paquets• « diag debug flow » affiche les actions Fortigate au niveau des paquets

Diag debug flow show function enableDiag debug flow show console enableDiag debug flow filter addr 10.200.1.254Diag debug flow filter port 80Diag debug enableDiag debug flow trace start 20

18/02/2016

191


Diagnose debug flow (rendu)

18/02/2016

192


Combiner les traces de paquet et flux• Suivi des paquets à l’arrivée avec des actions FortiOS

• Mieux !� Paramétrer le debug flow, puis démarrer le sniffer

Fortigate # diagnose sniffer packet any ‘host 10.200.1.254 and port 80’ 4

interface=[any]filters=[host 10.200.1.254 and port 80]51.685869 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn347984709951.937927 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn197822972951.679653 port3 in 10.0.1.10.58376 -> 10.200.1.254.80:syn347984709951.930621 port3 in 10.0.1.10.58378 -> 10.200.1.254.80:syn1978229729

18/02/2016

193



�Traitement des paquets de débogage

�Moniteur GUI

�CLI

18/02/2016

194


Introduction au proxy web

Proxy Explicite



18/02/2016

195


Plan• Activer le proxy web explicite sur le Fortigate

• Utilisation du fichier PAC et du WPAD pour configurer les navigateurs web avec plusieurs proxy web et exceptions

18/02/2016

196


Qu’est-ce qu’un Proxy ?• Le proxy redirige les requêtes pour les clients aux sites web

� Les réponses peuvent être mises en cache

� Si un cache existe, le proxy est un raccourci : réponds lui-même à partir du cache, ne redirige pas les requêtes au site web

• Deux connexions TCP1. Du client au Proxy

2. Du Proxy au serveur

ServerProxy HTTPClient

Connexion 1 Connexion 2

18/02/2016

197


Proxy Implicite (Transparent)• Ne requiert pas de changement de configuration du client

� Les requêtes envoyées à l’IP du serveur, pas au proxy

• Le proxy implicite intercepte les requêtes, même si l’IP de destination n’est pas l’IP du proxy

� Le proxy écoute sur les ports 80 et 443

10.0.0.50:80192.168.0.1:80192.168.0.2

Requêtes envoyé à10.0.0.50:80

Connexion 2

Requêtes envoyé à10.0.0.50:80au lieu de 192.168.0.2

Le client envoie des requêtes à l’IP du serveur+port, pas au

proxy

Le proxy intercepte

18/02/2016

198


Proxy Explicite• Le client envoie des requêtes à l’IP du proxy + Port, pas au site web

directement

• Les clients doivent être spécifiquement configurés

• Le proxy écoute les paquets sur sa propre IP+Port

� Habituellement 8080 ou 443

10.0.0.50:80192.168.0.1:80192.168.0.2

Requête envoyée à192.168.0.1:8080

Connexion 2

Requête envoyée à10.0.0.50:80

Le client envoie des requêtes à l’IP du

PROXY+port, pas au

serveur

18/02/2016

199


Comment configurer le navigateur• Pour utiliser le proxy explicite, le navigateur web doit être configuré

• 3 méthodes :

� Paramètres du navigateur

� Fichier PAC (Proxy Automatic Configuration)

� Découverte automatique du proxy web (WPAD)

18/02/2016

200


Paramètres du proxy du navigateur• Configuration manuelle des navigateurs avec une seule IP de proxy (ou FQDN)

et un numéro de port

• Des exceptions peuvent être configurées

� Autoriser certaines destinations à ne pas passer par le proxy

18/02/2016

201


Proxy Automatic Configuration (PAC)• Supporté pour plus d’un proxy

• Définit comment les navigateurs sélectionnent un proxy

� Habituellement stocké dans un des proxy

� Spécifie quel trafic sera envoyé à quel proxy

• Configurer chaque navigateur avec l’URL d’un fichier PAC

• Par défaut, le Fortigate peut héberger le fichier PAC à :

http://<IP_Fortigate>:<Port>/proxy.pac

18/02/2016

202


Exemple fichier PAC

function FindProxyForURL (url, host) {if (shExpMatch(url,"*.exemple.com/*")) {

return "DIRECT"; }if (shExpMatch(url,"*.exemple.com:*/*")) {

return "DIRECT"; }if (isInNet(host, "10.0.0.0", "255.255.255.0"))

{return "PROXY fastproxy.exemple.com:8080";

}return "PROXY proxy.exemple.com:8080; DIRECT";

}

Connexion à n’importe quel sous domaine/URL/Port de

exemple.com, n’utilise pas le

proxy

Connexion à 10.0.0.0/24

utilise : fastproxy.exemple.com:8080Par ailleurs, tout le trafic restant utilise :

proxy.exemple.com:8080

18/02/2016

203


Web Proxy Auto-Discovery Protocol (WPAD)• Le navigateur requête : « Où est le fichier PAC ? »

• Deux méthodes :

� Requête DHCP

� Requêtes DNS

• Habituellement, les navigateurs essaient d’abord la méthode DHCP

� Si échec, essaient la méthode DNS

� Quelques navigateurs supportent uniquement la méthode DNS

18/02/2016

204


WPAD méthode DHCP1. Le navigateur requête le serveur DHCP (DHCPINFORM)

2. La réponse informe l’URL du fichier PAC

3. Le navigateur télécharge le fichier PAC

4. Le navigateur accède au web via le proxy

Server web

Fortigate /fichier PAC

Server DHCP

1

2

3

4

18/02/2016

205


WPAD méthode DNS1. Le navigateur requête le serveur DNS pour la résolution

2. La réponse informe l’URL du fichier PAC

3. Le navigateur télécharge le fichier PAC

4. Le navigateur accède au web via le proxy

Server web

Fortigate /fichier PAC

Server DNS

1

2

3

4

wpad.<local-domain>

http://<pac-server>:80/wpad.dat

18/02/2016

206



�Qu’est-ce qu’un proxy web explicite ?

�Fichier PAC vs. WPAD

18/02/2016

207


Proxy cache

Proxy Explicite



18/02/2016

208


Plan• Réduire l’utilisation de la bande passante WAN

• Améliorer la qualité de la réponse via le web cache

18/02/2016

209


Proxy avec cache web• Le proxy peut faire fonction de cache

� La fonctionnalité dépend du modèle du boitier

• Lors de la première requête, le cache conserve une copie temporaire du contenu web statique

• Les prochaines requêtes du contenu inchangé reçoivent les réponses du cache

• Améliore

� L’utilisation de la bande passante WAN

� La charge du serveur

� La qualité de la réponse perçue

18/02/2016

210


Cache web (Part 1)• Pour la première requête, la réponse n’est pas encore mise en cache

• Proxy :

� Obtient le contenu du serveur

� L’enregistre en mémoire si le contenu n’est pas dynamique

� Redirige la réponse au clientRéponse en cache ? Non

Premièrerequête

Contenu

Premièrerequête

Contenu

18/02/2016

211


Cache web (Part 2)• Pour les requêtes suivantes, la réponse est habituellement déjà en

cache

� Le proxy redirige une copie du cache vers le client

� Ne télécharge pas de contenu du serveur

� Le contenu dynamique est une exception : il change, le proxy le traite à chaque fois comme une première requête

Réponse en cache ? Oui

Deuxième requête

Contenu

18/02/2016

212


Proxy Explicite (Authentification)• « IP-Based »

� Les sessions IP à partir de la même adresse IP source sont traitées comme un seul utilisateur

� Non recommandé si plusieurs utilisateurs sont derrière un NAT source

• Partage d’accès Internet, Citrix, Terminal Serve, etc.

• « Session-based »� Les sessions HTTP sont traitées comme un seul utilisateur

� Peut différencier plusieurs clients derrière la même adresse IP source

� Après l’authentification, les navigateurs enregistrent les informations de l’utilisateur dans un cookie de session

� Chaque requête suivante contient le cookie de session

� Le cookie est conservé jusqu’à fermeture du navigateur ou suppression du cookie par le client

� Requiert plus de ressources

18/02/2016

213


Authentification par session

Navigateur web Proxy explicite FortigateUser

1. l’utilisateur démarre unenouvelle session

2. Navigateur démarre une nouvelle session avec proxy explicite

3. Le proxy explicite requiteune authentification

4. Le navigateur demande au client de s’authentifier

7. Navigateur envoie les comptesAu proxy explicite

6. Navigateur enregistre les informations d’authentification

5. l’utilisateur saisi les informations d’authentification

8. l’utilisateur démarre uneautre nouvelle session 9. Navigateur démarre une nouvelle

session avec proxy explicite

10. Proxy web explicite demandeune authentification

11. Navigateur envoie authentificationau proxy explicite

18/02/2016

214


Comment configurer le proxy explicite1. Activer le proxy web explicite de façon globale sur le boitier

2. Indiquer sur quelles interfaces le proxy web explicite va écouter

3. Modifier les règles de sécurité pour autoriser le trafic web proxy

4. Configurer chaque navigateur client pour se connecter via le proxy

18/02/2016

215


Afficher les paramètres de proxy explicite• Les paramètres de proxy web explicite sont cachés par défaut en GUI

18/02/2016

216


Activer le Proxy Web Activer le Proxy et le fichier PAC

Port découteTCP

Editer le fichier PAC

Action par défaut pour le trafic Proxy qui ne correspond à

aucune règle de sécurité

18/02/2016

217


Activer le Proxy Web sur l’interface• Spécifier quelle interface écouter pour les connexions Proxy

18/02/2016

218


Proxy explicite : règles de sécurité

Le trafic peut être inspecté

Le cache web est supporté sur

quelques modèles

18/02/2016

219


Ce qu’on a couvert�Comment réduire l’utilisation de la bande passante via le cache ?

�Authentification IP-Based vs. Session-Based

�Configuration Proxy Web explicite

18/02/2016

220


Authentification Proxy

Proxy Explicite



18/02/2016

221


Plan• Authentifier plusieurs utilisateurs web proxy qui partagent la même

adresse IP source

• Appliquer les règles Proxy avec des objets adresses URL

• Moniteur des utilisateurs Proxy

18/02/2016

222


Règle proxy explicite avec authentification

Action est Authentifié

Créer des règles d’authentifications

Sélectionner l’authentification IP ou

session

18/02/2016

223


Règles d’authentification Proxy explicite• Pas de fall-through, contrairement aux autres règles d’authentification

• Indépendamment du statut de l’authentification des utilisateurs, Fortigate utilise la première règle qui match:

� IP source

� IP destination

� Interface destination

• Ne passe pas aux règles suivantes après le premier match

18/02/2016

224


Exemple : Authentification Proxy Explicite• Règle #1 : utilisateurs dans 10.0.1.0/24 doivent s’authentifier

quotidiennement

� A chaque moment, le Fortigate vérifie si le trafic match avec la règle

• Règle #2 : autorise un accès non restreint à partir de 10.0.0.0/8, mais tant que 10.0.1.* match avec la règle #1, la règle #2 ne sera pas atteinte

18/02/2016

225


Utilisateurs invités (Guest Users)• Si un utilisateur n’appartient à aucun groupe utilisateur dans la règle, et

si strict-guest est désactivé, Fortigate les traite comme les membres du groupe SSO_guest_user

config web-proxy explicitset strict-guest disabled

end

18/02/2016

226


Modèle URL Type d’objets• Uniquement pour les règles Proxy Explicite

• Le Fortigate les compare à l’URL des requêtes HTTP GET

� /path/to/file

� N’inclue pas le hostname/IP, qui est dans le header HTTP Host

18/02/2016

227


Exemple : Objet adresse URL• L’authentification n’est pas requise pour accéder à l’FQDN

update.microsoft.com

18/02/2016

228


Méthode de configuration WPAD DNS (Part 1)• La méthode DNS doit résoudre le nom wpad.<domainelocal> à l’IP Proxy

Fortigate

• Dans la configuration Fortigate, un match (correspondance) requiert le nom du fichier PAC et l’utilisation du port 80:

config web-proxy explicitset pac-file-server-status enableset pac-file-server-port 80set pac-file-name wpad.dat

end

18/02/2016

229


Méthode de configuration WPAD DNS (Part 2)• De plus, si le Fortigate est lui-même serveur DNS, configurer le suffixe du

domaine local

18/02/2016

230


Moniteur des utilisateurs de Proxy• A partir de la GUI

� User&Device > Monitor > Firewall

� A partir de la ligne de commande (CLI)

� Pour supprimer tous les sessions d’authentification Proxy courantes

# diagnose wad user listStudent 10.0.1.10 id:40 VD:root, duration: 18

# diagnose wad user clear

18/02/2016

231


Ce qu’on a couvert�Règles d’authentification Web Proxy

�Modèles d’objet URL

�Moniteur des utilisateurs Web Proxy explicite

18/02/2016

232


Méthodes d’authentification

Authentification



18/02/2016

233


Plan• Expliquer l’authentification pare-feu

• Décrire les différentes méthodes d’authentification disponibles sur les équipements Fortigate

18/02/2016

234


Authentification• Confirme l’identité d’un utilisateur ou d’un device

• Une fois le user/device identifié par le Fortigate, le Fortigate applique la règle de sécurité correspondante pour autoriser ou interdire l’accès aux ressources réseau

18/02/2016

235


Méthodes d’authentificationLes méthodes d’authentification suivantes peuvent être utilisées :

• Authentification locale

• Authentification distante


� Activé en seconde authentification, additionnelle à une authentification existante

� Requiert un élément connu (le mot de passe) et un élément en votre possession (le token)

18/02/2016

236


Authentification locale• L’authentification locale est basée sur les comptes utilisateurs locaux

stockés dans le Fortigate

� Pour chaque compte, un nom d’utilisateur et mot de passe est stocké

Nom d’utilisateur

et mot de passe

Fortigate

1

2

18/02/2016

237


Authentification distante• Les comptes sont stockés sur un serveur d’authentification externe

• Les administrateurs peuvent� Créer un compte utilisateur local et spécifier le serveur distant pour vérifier le mot de passe ou

� Ajouter le serveur d’authentification au groupe d’utilisateurs

• Tous les utilisateurs de l’objet serveur vont être membres de ce groupe

Nom d’utilisateur

et mot de passe

Fortigate

1

2

4OK

Nom d’utilisateur

et mot de passe

3

18/02/2016

238


Authentification distante - Protocoles

LDAPTACACS+POP3

DirectoryServices

FSSO,NTLMRADIUS

RSSORADIUS

Single Sign On

18/02/2016

239


Authentification distante - SSO• Les utilisateurs qui s’authentifient à un domaine peuvent tirer partie de

cette authentification pour s’authentifier sur le pare-feu

• Les utilisateurs saisissent leurs mots de passe une seule fois, et accèdent à plusieurs ressources réseau sans besoin de s’authentifier une nouvelle fois

• Grâce au Fortigate, le SSO peut être implémenté en utilisant l’une des deux méthodes suivantes :

� FSSO : Environnement de communication Fortinet pour collecter et rediriger les informations d’authentification des utilisateurs, au Fortigate

� RSSO : Environnement de communication pour envoyer les paquets RADIUS au Fortigate, contenant les évènements login, logoff

18/02/2016

240


Authentification distante – POP3• La plupart des protocoles d’authentification utilisent une combinaison

de nom d’utilisateur et mot de passe

� RADIUS, FSSO, etc.

• Les serveurs POP3 authentifient les utilisateurs sur la base de leur adresse email

� Utilisateur : jsmith@<domain>.com

� Mot de passe : <password>

18/02/2016

241



�Authentification

�Méthodes d’authentification

�Protocoles d’authentification

18/02/2016

242



Authentification



18/02/2016

243


Plan

• Expliquer l’authentification à deux facteurs

18/02/2016

244


Authentification deux facteurs (2FA)• L’authentification à deux facteurs (2FA) est une authentification forte qui

garantie la sécurité en empêchant des attaques liées à l’utilisation des mots de passes statiques seuls

• 2FA nécessite deux moyens indépendants pour identifier un utilisateur :� Un élément connu : comme un mot de passe

� Un élément que vous possédez : un Token ou un certificat PKI

• En général, l’algorithme OTP (One-Time-Password) peut être basé sur le temps ou sur un évènement� OTP Fortinet est basé sur le temps (time-based) il est donc important d’utiliser l’horloge Fortigate pour

plus de précision

• Les codes Token sont time-based, par conséquent, n’apparaissent qu’une seule fois

18/02/2016

245


2FA – Mot de passe unique• FortiToken / FortiToken mobile :

� Chaque 60 secondes, le token génère un code à 6 caractères basé sur un seed unique et l’horloge GMT

• FortiToken matériel

• FortiToken mobile : disponible sur Android et iOS

• Méthodes alternatives

� Email : Un mot de passe unique est envoyé par email à l’utilisateur

� SMS : Un mot de passe unique est envoyé via email au fournisseur SMS de l’utilisateur.

18/02/2016

246


2FA – Tokens

246

SeedTime

080485

FortiGate

Token

Algorithm

SeedTime

080485

Algorithm

Same Seed

Same Time

2

1

4

3

Validation des informations

d’indentification

18/02/2016

247


Ajouter un FortiToken

18/02/2016

248



�Authentification à deux facteurs

18/02/2016

249


Types et règles d’authentification

Authentification



18/02/2016

250


Plan• Décrire les types d’authentification (active et passive)

• Créer des règles d’authentification

• Configurer un portail captif et les disclaimers

• Configurer les timeout d’authentification

18/02/2016

251


Types d’authentification• Active :

� L’utilisateur reçoit un prompt de login et doit entrer ses informations manuellement pour s’authentifier

� Utilisé avec LDAP, RADIUS, Local et TACACS+

• Passive :

� L’utilisateur ne reçoit pas de prompt de login et les informations d’authentification sont déterminées automatiquement

• Les méthodes varient selon le type d’authentification utilisé

� Utilisé avec FSSO, RSSO et NTLM

18/02/2016

252


Déclencheurs de l’authentification active• L’authentification utilisateur active est déclenchée via un des protocoles

suivants :� HTTP

� HTTPS

� FTP

� Telnet

• Le protocole d’authentification doit être autorisé par la règle avec l’authentification activée

• Tous les autres services ne seront pas autorisés jusqu’à ce que l’utilisateur soit authentifié la première fois avec succès via un des protocoles précédents

18/02/2016

253


Types d’authentification : ordres d’opération• Lorsque l’authentification active et passive sont activés, la première

méthode qui permet de déterminer le nom d’utilisateur est utilisée

• Si les informations d’authentification de l’utilisateur ne sont pas déterminées d’abord via la méthode passive, la méthode active est employée

18/02/2016

254


Règle de sécurité : Source

• Les règles de sécurité peuventinclurent les users ou groupes ensource

• Une authentification est réussielorsqu’un utilisateur saisie des informations correspondants à cellesspécifiées en source de la règle

? Règle Source

18/02/2016

255


Règle de sécurité : DNS• Le trafic DNS est permis grâce à une règle d’authentification même si

l’utilisateur n’est pas encore authentifié

� La résolution de nom est souvent requise pour recevoir le trafic HTTP/HTTPS/FTP/Telnet via lesquels un utilisateur peut actuellement s’authentifier

� Le service DNS doit être explicitement listé en tant que service dans la règle

18/02/2016

256


Combiner les règles• Activer l’authentification sur une seule règle ne force pas toujours un

prompt d’authentification

• 2 options :

� Activer l’authentification sur chaque règle qui pourrait matcher avec le trafic

� Activer un portail captif sur l’interface d’entrée du trafic

18/02/2016

257


Portail captif• Activer un portail captif sur une interface force la page

d’authentification à apparaitre lorsque un trafic d’authentification est reçu

Port1 Port2

Portail

captif

activé ici

18/02/2016

258


Portail captive : Exceptions• Si le portail captif est activé, mais vous ne souhaitez pas qu’il soit

appliqué pour quelques devices spécifiques…

� Imprimantes, fax, console de jeux peuvent ne pas être activés pour utiliser l’authentification active, mais nécessitent d’être autorisés par la règle de sécurité

#config firewall policy#edit <policy_id>#set captive-portal-exempt enable#end #config user security-exempt-list

#edit <list_name>#config rule#edit <rule_id>#set srcaddr <address_object>#next#end

18/02/2016

259


Disclaimer

#config firewall policy#edit <policy_id>#set disclaimer enable#end

• Affiche la pages des termes et accords

disclaimer avant que l’utilisateur ne

s’authentifie

• L’utilisateur doit accepter le disclaimer

pour poursuivre avec le processus

d’authentification

• L’utilisateur est dirigé vers la destination

originale (ou la page d’authentification)

Règle

18/02/2016

260


Modifier le Disclaimer• Tous les disclaimers n’ont pas besoin d’être identiques

� Le texte peut être modifié

� Des images peuvent être ajoutées (en HTML)

18/02/2016

261


Timeout d’authentification#config user setting#set auth-timeout-type [idle-timeout | hard-timeout | new-session]#end

• Le timeout spécifie combien de temps un utilisateur peut

rester idle avant qu’il ne soit obligé de s’authentifier une

nouvelle fois

• 5 minutes par défaut

• 3 options :

• Idle (par défaut) – il ne doit pas y avoir de trafic pour

la durée définie

• Hard – valeur absolue. L’authentification expire après

la durée définie

• Nouvelle session – si aucune session n’est créée

18/02/2016

262


Ce qu’on a couvert�Types d’authentification

�Règles d’authentification

�Portail captif et disclaimer

�Timeout d’authentification

18/02/2016

263


Utilisateurs et groupes

Authentification



18/02/2016

264


Plan• Décrire et configurer les utilisateurs et les groupes

� LDAP, RADIUS

� Fortigate

18/02/2016

265


Utilisateurs et groupe d’utilisateurs• Ajout d’utilisateurs à un serveur externe

� LDAP

� RADIUS

• Créer des utilisateurs et des groupes d’utilisateurs pour l’authentification pare-feu sur le Fortigate

18/02/2016

266


Vue d’ensemble LDAP• LDAP est un protocole d’application pour accéder et maintenir les

informations distribuées des serveurs d’annuaire

• La structure est semblable à un arbre

� Contient des entrées (objets) sur chaque branche

• Chaque entrée a un ID unique, le Distanguished Name (DN)

• Chaque entrée dispose également d’attributs

• Chaque attribut a un nom et un ou plusieurs valeurs

• Les attributs sont définis dans le schéma Active Directory

18/02/2016

267


Hiérarchie LDAP• L’arbre LDAP a généralement tendance à correspondre à la hiérarchie

de l’organisation du client

• La racine représente l’organisation elle-même, tel qu’elle est définie en tant que composant du domaine (dc), tels que :� dc=exemple, dc=com

• Des niveaux additionnels sont inclus : � C (country)

� OU (Organizational Unit)

� O (Organization)

• Les comptes utilisateurs ou groupes disposent généralement de noms d’éléments comme ‘uid’ (ID user) ou ‘cn’ (common name)

18/02/2016

268


Configuration de la requête LDAP

Nom d’attribut qui identifie chaque user

Branche parent où sont

localisés tous les users

Informations d’authentification d’un admin LDAP

18/02/2016

269


Test d’une requête LDAP• En CLI

• Exemple de résultat

#diagnose test authserver ldap <server_name> <user><password>

#diagnose test authserver ldap Lab jsmith fortinet

Authenticate ‘jsmith’ against ‘Lab’ succeeded!Group membership(s)CN=SSLVPN,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=comCN=TAC,CN=Users,DC=TAC,DC=ottawa,DC=fortinet,DC=com

18/02/2016

270


Vue d’ensemble RADIUS• Protocole standard qui fournit les services d’Authentification,

d’Autorisation et Accounting (AAA)

UserServeur

RADIUSFortigate

Accès - Requêtes

Accès - Accepté

ou

Accès - Rejeté

ou

Accès - Challenge

18/02/2016

271


Configuration RADIUS

Adresse IP ou FQDN du

serveur RADIUS

Le ‘secret’ doit correspondre à

la clé du serveur

18/02/2016

272


Tester les requêtes RADIUS• A partir de la CLI

• Les schémas supportés sont :

� chap

� pap

� mschap

� mschap2

#diagnose test authserver radius <server_name> <scheme><user> <password>

18/02/2016

273


Utilisateurs

18/02/2016

274


Types de groups d’utilisateurs

Active

Directory RADIUSParis Visiteurs

Utilisateurs

locauxUtilisateurs

invitésFSSO RSSO

• Un groupe est d’un des 4 types : local, FSSO, Invité, RSSO• Les groups locaux fournissent un accès aux règles de sécurité qui requièrent une authentification• FSSO et RSSO sont utilisés pour l’authentification unique et silencieuse

18/02/2016

275


Types de groupes d’utilisateurs

• Plus communément utilisé dans les réseaux sans fils

• Les groupes invités contiennent des comptes temporaires

18/02/2016

276


Configuration des groupes d’utilisateurs

Sélectionner les utilisateurs

locaux

Sélectionner les serveurs

d’authentification distants contenant des

utilisateurs qui appartiennent au

groupe

18/02/2016

277


Configurer les règles de sécurité• Sur une règle de sécurité, la définition du trafic source peut inclure

l’adresse IP et/ou le compte utilisateur

18/02/2016

278



�Utilisateurs et groupes d’utilisateurs

�LDAP, RADIUS

�Fortigate

18/02/2016

279


Supervision des utilisateurs

Authentification



18/02/2016

280


Plan

• Superviser les utilisateurs

18/02/2016

281


Moniteurs des utilisateurs

• Affiche les utilisateurs authentifiés, les groupes, la durée de connexion, les IP sources, la quantité de trafic envoyé, ainsi que le type d’authentification

• Utilisé également pour terminer une session d’authentification

18/02/2016

282


Moniteurs des utilisateurs via Event log• Une authentification réussie ne génère pas d’évènement de Log

� Journaux&Alertes > Evènement > User est principalement pour analyser le comportementutilisateurs entre le Fortigate et les serveurs distants (RADIUS, LDAP, etc.)

� Les détails de l’utilisateur sont intégrés dans la plupart des logs lorsque l’utilisateur estauthentifié

18/02/2016

283



�Superviser les utilisateurs

18/02/2016

284


Comprendre le VPN SSL Fortigate

VPN SSL



18/02/2016

285


Plan• Comprendre et configurer les différents modes d’opération SSL VPN

18/02/2016

286


Virtual Private Networks (VPN)• Permet aux utilisateurs un accès distant à des ressources réseaux,

semblable à une connexion locale

• Utilisé lorsqu’il est nécessaire de transmettre des données privées dans un réseau public

• Fournit une connexion cryptée point à point, par conséquent les données ne peuvent être interceptées par des utilisateurs non autorisés

• Différentes méthodes de sécurité pour assurer que seuls les utilisateurs autorisés peuvent accéder au réseau privé

18/02/2016

287


FortiGate VPN

• Utilisé pour sécuriser les transactions Web

• Tunnel HTTPS créé pour transmettre des données applicatives de manièresécurisée

• Les clients s’authentifient sur une page Web sécurisée (Portail VPN SSL) sur le Fortigate

VPN

SSL VPN• Correspond pour les applications enréseau

• Tunnel sécurisé construit entre deuxboitiers hôtes IPSec

• Le VPN IPSec peut être construit entre un boitier Fortigate et la pluparts des périphériques compatibles IPSec

IPSec VPN

18/02/2016

288


SSL VPN – Mode Web

1. Connexion d’un utilisateur distant au portailVPN SSL (site web HTTPS)

2. Authentification utilisateur3. Le portail SSL VPN est présenté4. Accéder aux ressources sur le portail VPN SSL

via les raccourcis ou l’outil de connexion

18/02/2016

289


SSL VPN Tunnel Mode

1. Connexion d’un utilisateur distant au portailVPN SSL (site web HTTPS)

2. Authentification utilisateur3. Le portail SSL VPN est présenté4. Le tunnel est créé5. Accès aux ressources (Trafic IP encapsulé en

HTTPS)

18/02/2016

290


INTERNET

Mode tunnel – Split tunneling• Split tunneling désactivé :

� Tout le trafic IP est routé via le tunnel VPN SSL (inclus le trafic Internet)

� Le Fortigate devient la passerelle par défaut des host

• Split tunneling activé

� Seul le trafic destiné au réseau privé est routé via le tunnel SSL VPN

Réseauinterne

Mode tunnel

Split Tunneling activé

Split Tunneling désactivé

18/02/2016

291


Comment se connecter au SSL VPN tunnel• Via le navigateur

� Le portail Web VPN SSL affiche le status du contrôle ActiveX SSL VPN

� La page du portail SSL VPN doit rester ouverte pour que le tunnel puisse continuer à fonctionner

• Utiliser le VPN SSL Forticlient

� Le client doit rester fonctionnel durant la connexion au VPN

� Un nouveau adaptateur réseau virtuel fortissl est créé sur le poste client

• Le Fortigate assigne à l’adaptateur virtuel une adresse IP à partir du pool IP réservé

18/02/2016

292


SSL VPN : port forward• Le port forward est une extension du mode web qui simule le fonctionnement

du mode tunnel

� Option intéressante lorsque les clients n’ont pas les droits d’administrateurs pour installer le logiciel client

• Le port forward utilise un applet Java pour étendre le nombre d’applications supportées par le mode Web

� L’applet écoute les ports locaux sur les postes clients. Il crypte et redirige au Fortigate tout le trafic qu’il reçoit (similaire au mode tunnel)

� Des raccourcis spécifiques pour les utilisateurs sont créés et agissent comme un tunnel

• L’utilisateur doit configurer les applications sur l’ordinateur pour pointer sur le proxy local au lieu de pointer sur l’application Server

18/02/2016

293


Ce qu’on a couvert�VPN

�SSL VPN vs. IPSec VPN

�Mode Web et mode tunnel

�Port forwarding

�Méthodes de connexion au tunnel SSL VPN

18/02/2016

294


Options et sécurité VPN SSL

VPN SSL



18/02/2016

295


Plan• Configurer les options VPN SSL, tel que les Bookmarks

• Configurer la sécurité additionnelle pour les accès VPN SSL

• Monitorer les utilisateurs VPN SSL connectés

18/02/2016

296


SSL VPN Access Modes

Mode Web

• Pas de soft client requis

(navigateur web

uniquement)

• Reverse Proxy pour

HTTP, HTTPS, FTP,

SAMBA (CIFS)

• Applets Java pour RDP,

VNC, TELNET, SSH

Mode Tunnel

• Requiert un logiciel

Fortigate spécifique à

télécharger sur le PC

(ActiveX ou Java applet)

• Requiert des privileges

admin/root pour installer

l’adaptateur du tunnel

niveau 3

Mode Port Forward

• Applet Java fonctionne

comme un proxy local

pour intércepter des ports

TCP spécifiques, puis les

chiffrer en SSL

• Téléchargé sur le poste

client et installé sans

besoin de privileges

admin

• L’application client doit

pointer vers l’Applet Java

18/02/2016

297


Bookmarks utilisateurs• La capacité de l’utilisateur à créer ses propres bookmarks est

activée/désactivée par l’administrateur sur le portail (par défaut activée)

• Les administrateurs peuvent afficher et supprimer les bookmarks utilisateurs à partir de la GUI, cependant, en CLI, il n’est possible que de créer les bookmarks

18/02/2016

298


Bookmarks utilisateurs – Configuration

• ‘apptype’ dispose de différents sous-paramètres

� Par exemple, « URL » pour « web », « répertoire » pour « ftp », etc.

• Les bookmarks portforwarding sont valables pour trois types spécifiques :

� Citrix

� Portforward

� rdpnative

config vpn ssl web user-bookmarkedit [Nom user]config bookmarksedit [Titre bookmark]set apptype [citrix|ftp|portforward|rdp|rdpnative|smb|ssh|telnet|vnc|web]set description [entrer une description]set sso [disable|auto]……end

18/02/2016

299


Bookmarks sur le portail• Les administrateurs peuvent ajouter des bookmarks sur les portails

• Les bookmarks seront disponibles pour tous les utilisateurs du portail

18/02/2016

300


Sécuriser les accès VPN SSL• Vérification de l’intégrité du client

• Restriction des adresses de connexion des hôtes

• Requiert des certificats spécifiques


• Téléchargement de Forticlient

18/02/2016

301


Sécuriser les accès : vérification d’intégrité• Le Fortigate vérifie le système du client

� Compatible uniquement avec les clients Microsoft Windows

• Détecte les applications de sécurité du clients reconnues par le centre de sécurité Windows (Antivirus et Pare-feu)

• Vérifie le status des applications via GUID (identifiant unique)

• Détermine l’état des applications (active/inactive, numéro de version courante, mise à jour de signatures)

18/02/2016

302


Vérification d’intégrité : Configuration• Repose sur des solutions soft tiers pour assurer l’intégrité du client

• Vérifie si le bon logiciel est installé sur le PC, autrement la tentative de connexion VPN SSL est rejetée

• Configuration CLI :config vpn ssl web portal

edit [Nom_portail]set host-check {none|av|fw|av-fw|custom}set host-check-interval <secondes>

endconfig vpn ssl web host-check-software

show

18/02/2016

303


Sécuriser les accès : Restriction des IPs hôtes• Par défaut, tous les IPs sont autorisées à se connecter

� Pas tous les hôtes externes ont besoin de se connecter

� Des hôtes spécifiques peuvent être spécifiés

• La liste complète peut être déniée en CLI

� Tous les IPs sont autorisées exceptées celles listées

config vpn ssl settingset source-address-negate [enable|disable]set source-address6-negate [enable|disable]end

18/02/2016

304


Moniteur SSL VPNUtilisateur mode Web

La colonne ‘sous-session’ indique que

c’est un mode tunnel

Adresse IP SSL VPN pour le user fortinet

18/02/2016

305


VPN SSL règle De-Authentification• La session pare-feu d’authentification est associée avec la session

tunnel VPN SSL

• Force l’expiration de la session d’authentification pare-feu, lorsque la session tunnel VPN SSL est terminée

� Empêche la réutilisation des règles de pare-feu SSL VPN (pas encore expirées) par un autre utilisateur après que l’utilisateur initial ait terminé la session tunnel SSL VPN

• L’authentification SSL VPN n’est pas soumise au paramètre de timeout de l’authentification pare-feu

� Paramètre IDLE séparé pour le VPN SSL

18/02/2016

306


Ce qu’on a couvert�Portail et Bookmark

�Sécuriser les accès VPN SSL

�Monitorer les accès VPN SSL

18/02/2016

307


Configuration du VPN SSL

VPN SSL



18/02/2016

308


Plan• Configurer les règles de sécurité et l’authentification pour le VPN SSL

18/02/2016

309


Etapes de configuration1. Paramétrer des comptes utilisateurs et groupes

2. Configurer le portail

3. Configurer les paramètres VPN SSL généraux

4. Créer des règles de sécurité pour l’authentification

5. Créer des règles de sécurité pour le trafic vers le réseau interne

18/02/2016

310


Etape 1 : Comptes users et groupes• Le SSL VPN supporte les méthodes d’authentification suivantes :

� Authentification locale

� Authentification distante :

• LDAP

• RADIUS

• TACACS+

• POP3

• L’authentification à deux facteurs est également supportée

Nom d’utilisateur et mot de passe (un seul facteur)

+Code Token (deux facteurs)

18/02/2016

311


Etape 2 : Configurer le portail

Mode tunnel

Bookmarks

• Les portails fournissent un accès utilisateur aux ressources requises� Bookmark, mode tunnel, etc

18/02/2016

312


Portail VPN SSL : Exemple

18/02/2016

313


Etape 3 : Paramètres de connexionInterface de connexion au portail VPN

SSL

Numéro de port portail

web

Timeout de session fermée

Certificat présenté aux

clients

18/02/2016

314


Login VPN SSL vs. Login admin

• Par défaut, l’accès à l’interface d’administration du boitier et au portail VPN SSL utilisent le même port HTTPS

� Configuration valide

• L’accès admin peut ne pas être disponible via toutes les interfaces

• Le login VPN SSL peut ne pas être disponible via toutes les interfaces

• Si les deux utilisent le même port sur la même interface, seul le login au portail VPN SSL apparaitra

18/02/2016

315


Mode tunnel : Paramètres du client

Paramètre trafic DNS dans le

tunnel

Pool IP assigné au tunnel

18/02/2016

316


Etape 3 : Mappage au portail d’authentification

• La règle par défaut « All other Users/Groups » est requise

� Pour la règle par défaut, seul le portail peut être changé

18/02/2016

317


Etape 4 : Règles de sécurité à/de l’interface VPN SSL

• L’interface tunnel est appelée ssl.<vdom>� ‘root’ est le VDOM par défaut

� L’interface de sortie doit être l’interface d’écoute

18/02/2016

318


Exemple : Règle de sécurité

• ssl.root > wan1 active l’authentification utilisateur et le portail

• L’accès aux ressources via wan1 est également activé

edit 5set srcint ‘’ssl.root’’set dstint ‘’wan1’’set srcaddr ‘’all’’set dstaddr ‘’SSLVPN_TUNNEL_ADDR1’’set action acceptset schedule ‘’always’’set sevice ‘’ALL’’set groups ‘’Accountants’’ ‘’Students’’ ‘’Teachers’’set nat enable

next

wan1 internal

18/02/2016

319


Etape 5 : Règles pour le trafic vers le réseau interne

• Tout le trafic généré par l’utilisateur quitte l’interface ssl.<vdom>

• Appliquée au mode web et tunnel

edit 11set srcint ‘’ssl.root’’set dstint ‘’dmz’’set srcaddr ‘’SSLVPN_TUNNEL_ADDR1’’set dstaddr ‘’Mail_Server’’set action acceptset schedule ‘’always’’set sevice ‘’ALL’’set groups ‘’Accountants’’ ‘set nat enable

next

wan1 internal

edit 12set srcint ‘’ssl.root’’set dstint ‘’internal’’set srcaddr ‘’SSLVPN_TUNNEL_ADDR1’’set dstaddr ‘’Records_Server’’set action acceptset schedule ‘’always’’set sevice ‘’ALL’’set groups ‘’Accountants’’ ‘’Teachers’’set nat enable

next

DMZ

Exchange

StudentRecords

18/02/2016

320



�Configuration du VPN SSL

18/02/2016

321


Introduction au VPN IPSec

VPN IPSec



18/02/2016

322


Plan• Définition des composants architecturaux du VPN IPSec

• Comparer le mode route (interface) et le mode tunnel

18/02/2016

323


Qu’est ce que le VPN ?• Appelé également « tunnels »

• Transmission des données privées sur des réseaux non sûrs

• Sécuriser les accès, comme pour le réseau local

� Autorise les accès

� Les clients externes obtiennent une adresse IP privée

� Cryptage

• Ne peuvent être lus / Altérés en cas d’interception

• Types

� PPTP

� L2TP

� VPN SSL

� IPSec

18/02/2016

324


IPSec VPN• Joindre des hôtes et réseaux distants en

un seul réseau privé

• Fournit� Authentification

� Intégrité des données (inviolables)

� Confidentialité des données (Cryptage)

Réseau privé

Emetteur

authentifié

Inviolable

Données

confidentielles

?

18/02/2016

325


Qu’est ce que le protocole IPSec• En fait, plusieurs protocoles

� AH fournit l’intégrité mais pas le cryptage… Bien que ce soit définit dans la RFC, n’est pas utilisé par le Fortigate

• Numéro de port/Encapsulation varient par NAT

18/02/2016

326


Mode règle vs. mode route• En général, les VPN en mode route, offrent :

� Un meilleur contrôle

� Plus de flexibilité

18/02/2016

327


Mode règle vs. mode route• Mode route (mode interface)

� Le trafic doit être routé vers l’interface virtuelle IPSec

� Deux règles de sécurité avec action ACCEPT sont requises

� Depuis FortiOS 5.2, créé par un assistant

• Les routes et les règles sont ajoutées automatiquement

• Mode règle (mode tunnel)

� Une règle avec action IPSec requise

� Masquée par défaut sur l’interface graphique. Pour l’afficher :

config system globalset gui-policy-based-ipsec enableend

18/02/2016

328


Ce qu’on a couvert�Apports du VPN

�Comment fonctionne le VPN

�Numéros de ports et NAT

�Encapsulation

18/02/2016

329


Configuration VPN IPSec

VPN IPSec



18/02/2016

330


Plan• Identifier les phases IKE

• Comparer les VPN policy-based et route-based

• Déployer un VPN site à site entre deux Fortigate

18/02/2016

331


Configuration via Assistant1. Choix du Template

� Paramètres Phase1 et Phase2 pré configurés

� Pour de multiples Phases2, terminer l’assistant, puis utiliser les paramètres avancés

2. Définir la clé partagée, l’interface de connexion et l’IP du boitier distant

3. Si en mode route (interface) définir les réseaux locaux et distants

� Routes et autoriser le trafic vers l’interface virtuelle IPSec

18/02/2016

332


Résultat de l’assistant

18/02/2016

333


Phase 11. Authentification des boitiers

� Exemple : clé partagée (sécurité moyenne) ou Signature (sécurité élevée)

2. Négociation d’une SA temporaire

� Dans la IKE v1, deux options possibles :

• Main mode : 6 paquets échangés

• Agressive mode : 3 paquets échangés

� Tunnel temporaire crypté pour DH

3. Échange Diffie-Hellman pour les clés

18/02/2016

334


NAT-Traversal• Détecte si des périphériques de NAT existent sur le chemin

� Si oui, le Fortigate applique l’encapsulation UDP 4500

� Recommandé si l’initiateur ou le responder est derrière un NAT

18/02/2016

335


Phase 21. Négociation de la SA

2. Lorsque le SA IPSec arrive à expiration, renégociation

3. Optionnellement, plus d’échanges Diffie-Hellman

� Si Perfect Forward Secrecy (PFS) est activé, une nouvelle clé commune secrète est recalculée en Quick Mode à chaque fois que la clé de session expire

� Même si l’ancienne clé est piratée, les nouveaux messages sont protégés

• Plusieurs phases 2 par phase 1

18/02/2016

336


Quick Mode Selectors• Si plusieurs phases 2 existent, rediriger le trafic vers la bonne phase 2

� Permet une sécurité granulaire pour chaque LAN

� Si le trafic ne match pas un selector IPSec, la session est coupée

� Dans les VPNs point à point, les selecteurs doivent matcher

• La source sur un Fortigate, est la destination sur le boitier distant

• Sélectionner quel SA appliquer :

� Adresses IP source et destination

� Numéro de protocole

� Ports source et destination

18/02/2016

337


Phase 1 personnalisée

18/02/2016

338


Phase 2 personnalisée

18/02/2016

339


Règle de sécurité VPN (Policy-based)

18/02/2016

340


2 règles de sécurité (Route-based)

Interface virtuelle IPSecmatch le nom de la Phase1

18/02/2016

341


Trafic de routage (Route-based VPN)

Sous réseau distant

Interface virtuelle

IPSec

18/02/2016

342


Ce qu’on a couvert�IKE & Diffie-Hellman

�Phase 1

�Phase 2

�Policy-based vs. Route-based VPN

�Comment configurer un VPN point à point

18/02/2016

343


Monitoring VPN IPSec

VPN IPSec



18/02/2016

344


Plan

• Monitorer les tunnels VPN

18/02/2016

345


Moniteur VPN IPSec• Moniteur des tunnels VPN IPSec

� Arrêter et démarrer les tunnels

� Afficher les adresses, IDs Proxy, information de timeout

• La flèche verte indique que la négociation est réussie et que le tunnel est UP

• La flèche rouge indique que le tunnel est DOWN ou pas utilisé

18/02/2016

346


Exemple : Moniteur VPN IPSec

Nom Phase1

Durée de vie de la

clé

Quick mode selector local

Statut

18/02/2016

347


Déclencher un tunnel VPN

Route-based1. Route lookup : chercher

l’interface de sortie

• Si l’interface virtuelle Phase1 est UP, route via l’interface virtuelle : virtual

2. Policy lookup : paire d’interface

� Srcint=internal, dstintf=virtual

3. Si l’action est ACCEPT, les paquets sont cryptées

Policy-based1. Route lookup : chercher

l’interface de sortie

• Route par défaut via wan1

2. Policy lookup : paire d’interface

� Srcint=internal, dstintf=wan1

� Si l’action est IPSec, les paquets sont cryptées

• Le Phase1 Dialup match seulement si l’IP match la route

• diag vpn ike route list

� Si l’action est ACCEPT, les paquets sont envoyés en clair sur wan1

18/02/2016

348



�Monitoring des tunnels VPN

18/02/2016

349


Topologies VPN

VPN IPSec



18/02/2016

350


Plan• Choix d’une topologie VPN appropriée

18/02/2016

351


Authentification (XAuth)• L’authentification Phase1 par clé partagée est généralement faible

• Xauth fournit plus de sécurité, spécialement pour les utilisateurs mobiles (username+password)

18/02/2016

352


Type de paires distantes• Adresse IP statique

� IP statique : prévisible

� Peut être l’initiateur ou le répondeur

• DNS dynamique� IP dynamique mais le domaine DNS est statique : la requête DNS est utilisée pour résoudre l’adresse IP

courante, rendant ainsi l’IP connue

� Peut être l’émetteur ou le récepteur

• Dialup� IP dynamique : non prévisible

� Peut être un initiateur, mais pas un répondeur – les initiateurs ne sauraient où envoyer les requêtes de connexion VPN

18/02/2016

353


Topologies VPN• Point à point

� Appelé également « site à site »

• Dialup (point à multi-points)

• Hub and Spoke

• Full Meshed (maillage complet)

• Partial Mesh (maillage partiel)

18/02/2016

354


VPN Dialup

Réseau privé

? IP de destination inconnue

Utilisateur mobile

IP destination connue,

Paramètre VPN

18/02/2016

355


Headquarters

Branch office

Branch office

Branch office

Branch office

Hub and Spoke

18/02/2016

356


Full Mesh / Partial Mesh

Full MeshPartial Mesh

18/02/2016

357


Comparaison des topologies VPN

18/02/2016

358


Ce qu’on a couvert�Xauth

�Paires statiques vs. Dynamiques

�Bénéfices des topologies VPN

18/02/2016

359


VPN Dialup

VPN IPSec



18/02/2016

360


Plan• Déploiement d’un VPN Dialup entre deux Fortigate

• Déploiement d’un VPN Dialup entre un Forticlient & Fortigate

18/02/2016

361


Configuration : VPN Dialup• Sur chaque Fortigate, créer

1. Phase 1

2. Au moins une Phase 2

3. Règles de sécurité

4. Si nécessaire, des routes statiques et dynamiques pour les IPs VPN

• A noter:

� La configuration du routage n’est pas requise en mode VPN policy-based

� Route-based VPN requiert deux règles de sécurité : une dans chaque sens du trafic

� Policy-based VPN requiert une seule règle de sécurité (prend en charge les deux directions)

18/02/2016

362


Phase 1 - Hub

Passerelle distante doit être :

« Dialup User »

NAT Traversalest recommandési les utilisateurs

sont mobiles

Peer Option avec mode

‘’agressive’’ si deux ou plus VPN dialup

18/02/2016

363


Phase 1 - Hub (Suite)

Optionnellement, activer XAuth

18/02/2016

364


Phase 2 - Hub

Optionnellement, activer XAuth

Quick mode selector

0.0.0.0/0 pour matcher toutes

les adresses

18/02/2016

365


Assistant de configuration VPN Forticlient

• Simplifie la configuration des Phases 1 & 2 Forticlient

18/02/2016

366



�Configuration du VPN Dialup

18/02/2016

367


VPNs redondants

VPN IPSec



18/02/2016

368


Plan• Configuration du VPN redondant entre deux Fortigates

18/02/2016

369


VPNs redondants• Supportés uniquement dans le cas de VPN mode interface (route-

based)

• Si le tunnel VPN principal tombe, le Fortigate redirige le trafic via le tunnel secondaire

• Redondance partielle : Une paire a deux connexions

• Redondance complète : les deux paires ont deux connexionsSite distant Site Central

Wan1Wan1

Wan2

Site distant Site Central

Wan1 Wan1

Wan2 Wan2

18/02/2016

370


Configuration VPN redondant1. Ajouter une configuration Phase 1 pour chaque tunnel. Dead Peer

Detection (DPD) doit être activé des deux côtés

2. Ajoute au moins une Phase 2 pour chaque Phase 1

3. Ajouter une route statique pour chaque chemin. Utiliser la ‘’Distance’’ pour prioriser les routes primaires par rapport aux routes secondaires. (possibilité également d’utiliser le routage dynamique)

4. Deux règles de sécurité par interface IPSec, une pour chaque direction du trafic

Site distant Site Central

Distance=5

Distance=10

Distance=5

Distance=10

VPN primaire

VPN secondaire

18/02/2016

371


Configuration : VPN redondant FOS 5.2• Dans les anciennes versions d’OS, il n’était pas possible de sélectionner

plusieurs interfaces sur une règle de sécurité

• Avec FortiOS 5.2, après la fin de l’assistant, éditer la règle

• Cliquer sur l’icône ‘’+’’ et ajouter des interfaces d’entrées et sorties

18/02/2016

372



�VPNs redondants

18/02/2016

373


Troubleshooting

VPN IPSec



18/02/2016

374


Plan• Diagnostique des tunnels VPN IPSec

18/02/2016

375


Troubleshooting• La plupart des connexions échouent en raison de mauvaise configuration

� Paramètres de mode (Main ou Agressive)

� Méthodes d’authentification

� Clés

• Exécuter la majorité des commandes de ‘’diagnose’’ sur le boitier répondeur et non pas l’initiateur

• Si le tunnel est UP, mais le trafic ne passe pas, utiliser ‘’exe ping’’ et ‘’exetraceroute’’

� Vérifier que les routes sur chaque pair est correcte

� Si le routage dynamique est utilisé, vérifier que les options sont configurées pour se propager via le

protocole de routage dynamique

18/02/2016

376


Troubleshooting• Commandes CLI pour les diagnostiques IPSec

• Le résultat peut être composé de plusieurs lignes, il est recommandé de l’enregistrer sous un fichier sur le disque

• Affiche les détails des négociations Phase 1 et Phase 2

diagnose debug resetdiagnose vpn ike log-filter ?diagnose debug application ike 255diagnose debug enable

18/02/2016

377


Diagnostic de flux de paquetsFGT # diagnose debug flow filter addr 192.168.255.254FGT # diagnose debug flow function enableFGT # diagnose debug flow show console enableFGT # diagnose debug flow trace start 10FGT # diagnose debug enable

id=36871 trace_id=1 msg=‘’vd-root received a packet(proto=1, 10.185.0.30:38926->192.168.255.254:8) from internal’’id=36871 trace_id=1 msg=‘’allocate a new session-0000004f’’id=36871 trace_id=1 msg=‘’find a route: gw-172.31.227.254 via wan1’’id=36871 trace_id=1 msg=‘’Allowed by Policy-1: encrypt’’id=36871 trace_id=1 msg=‘’enter IPSec tunnel-toHQ’’id=36871 trace_id=1 msg=‘’encrypted, and sent to 172.31.16.30 and to 172.31.224.125’’id=36871 trace_id=1 msg=‘’send to 172.31.227.254 via intf-wan1’’

Adresse IP du boitier distant

Les paquets sont cryptés

Et envoyés via le tunnel nommé

‘HQ’

18/02/2016

378



�Troubleshooting

18/02/2016

379


Antivirus

UTM



18/02/2016

380


Plan• Catégoriser les malwares

• Décrire les techniques antivirales Fortigate

• Différentier entre le scan Proxy et Flow

• Mise à jour antivirus via FortiGuard

• Inspection de contenu

18/02/2016

381


Malware• Un malware est une catégorie de logiciel capable de se copier de lui-même et a des effets néfastes

tel que corrompre le système ou détruire des données

• Virus

� Comportement calqué sur les virus biologiques

• Injecte du code dans les fichiers, comme les virus biologiques injectent leur ADN dans les cellules

• Ne requiert pas de permissions utilisateurs, ou bien ruse avec les utilisateurs pour obtenir une permission

• Infecte et se répand par lui-même

� Très petite taille

• Grayware

� La permission de l’utilisateur est requise pour l’installation

• Spyware, logiciels libres… etc.

� Taille variable

18/02/2016

382


Techniques antivirales

18/02/2016

383


Scan Antivirus

• Détecte et élimine les malwares en temps réel� Empêche la propagation des menaces

� Préserve la réputation de votre IP publique

• Scans :� HTTP

� FTP

� SMTP

� POP3

� IMAP

� Autres…

Antivirus

18/02/2016

384


Grayware

• Activé par défaut

• Techniquement pas un virus, un grayware reste un malware

� Détectable par scan antiviral

� Les actions antivirus sont appliquées

# config antivirus setting# set grayware { enable | disable }# end

18/02/2016

385


Scan Heuristic

Virus-like attribute

+ Virus-like attribute


> Heuristic threshold

Suspect

18/02/2016

386


Scan Heuristic

Virus-like attribute



> Heuristic threshold

Suspect

• Recherche de codes se comportant comme un virus (Exemple : modification de register)

• Totalise les attributs des comportementssimilaires aux virus

• Si plus grand qu’au seuil, le fichier est suspicieux• Faux positifs possibles

18/02/2016

387


Scan Heuristic : Configuration

• Pass (par défaut)� Active le scan heuristic

� Log

� Autorise le fichier suspicieux

• Block� Active le scan heuristic

� Log

� Bloque les fichiers suspicieux

• Désactiver

# config antivirus heuristic# set mode {pass | block | disable}# end

18/02/2016

388


Scan proxy vs Scan flow

18/02/2016

389


Analyse Proxy1. Le proxy de chaque protocole intercepte la connexion, bufferise le

fichier

2. Ne retransmet qu’à la fin du scan

� Plus grande latence perçue

3. Une fois la transmission complète, le scan examine le fichier

� Scan tout le fichier, jusqu’au maximum de la taille de la mémoire tampon

� Pas de faux positifs

4. Transmet le trafic sain et bloque le trafic malsain

� Peut notifier le client avec un message

18/02/2016

390


Analyse Flow1. Bufferise et transmet simultanément

� Les paquets ne sont pas retardés par le scan, à l’exception du dernier paquet

� Accélération ASIC

� Latence perçue moins importante

2. Si un virus est détecté, le dernier paquet est dropé, la connexion est réinitialisée

� Pas de page de blocage, jusqu’à ce que le client essaie de télécharger une nouvelle fois

18/02/2016

391


Gros fichiers : bloquer ou non ?• Plus grand que la mémoire tampon ? Ne peut être complètement scané

pour les virus

• Traitement ajusté

� Journaliser si le fichier est trop grand ? (Oui par défaut)

� Bloquer si le fichier est trop grand ? (Non par défaut)

# config firewall profile-protocol-options# edit <profile-name># set oversize [l-<model-limit>]# set oversize-log {enable | disable}# config {http | ftp | imap | mapi | pop3 | smtp}# set options oversize# end

18/02/2016

392


Mises à jour Fortiguard• Les mises à jour automatiques sont plus rapides

• Les mises à jour peuvent être téléchargées manuellement à partir du https://support.fortinet.com puis uploadé

18/02/2016

393


Profil antivirus

18/02/2016

394


Options d’inspection SSL/TLS• Partielles

� Validation du certificat seulement (pas d’inspection de charge, les virus peuvent passer)

� Plus rapide

• Complète

� Le Fortigate représente la terminaison SSL/TLS (valide les certificats et inspecte la charge lors du déchiffrement)

� Plus lent, mais le contenu est scanné contre les virus

18/02/2016

395


Ce qu’on a couvert�Quels sont les types de malware ?

�Scan antiviral heuristic et grayware

�Scan Proxy vs. Flow

�Scan du trafic chiffré

18/02/2016

396


Filtrage web

UTM



18/02/2016

397


Plan• Identifier les mécanismes du filtrage web Fortigate

• Choisir un mode de filtrage web approprié

• Créer des filtres URLs statiques

• Appliquer des profils filtrage web

18/02/2016

398


Filtrage web mode proxy• La solution filtrage web mode proxy intercepte les communications client

serveur

• Intercepte l’URL complète et fournit des pages de blocage personnalisables

• Gourmand en ressources, latence réseau plus importante que le mode flow

• Plus d’options d’inspection possibles

18/02/2016

399


Filtrage web mode flow• Solution non-proxy qui utilise le moteur IPS pour effectuer une inspection

• Débit de traitement plus rapide

• Inspecte l’URL complète

• Permet une personnalisation des messages de blocage

• Moins flexible que le mode proxy

� Actions URL limitées

� Pas tous les paramètres filtrage web disponibles

18/02/2016

400


Filtrage web mode DNS• Solution de proxy-DNS qui utilise les requêtes DNS pour décider des accès

• Les requêtes DNS sont redirigées vers les serveurs Fortiguard SDNS

• Requêtes très légères

• L’inspection SSL n’est jamais requise (DNS est en texte plein)

• Supporte seulement le filtrage URL et la catégorisation FortiGuard

• Pas de pages de blocage individuelles

18/02/2016

401


Configuration du mode d’inspection• Sélectionner le mode d’inspection dans le profil filtrage web

• Les ports des protocoles sont basés sur les paramètres sur le profil d’option de proxy

18/02/2016

402


Comparatif des différents modes• Mode Proxy

� Le trafic est mis en cache

� Supporte toutes les options de filtrage web

• Mode Flow� Débit plus rapide qu’en mode Proxy

� Les données ne sont pas mises en cache (lors de la transmission)

� Ne supporte pas toutes les options de filtrage web

• Mode DNS� Très léger (moins de consommation CPU et RAM)

� Moins granulaire que le mode flow et proxy (seulement le hostname et l’adresse IP)

� Ne supporte pas la plupart des options de filtrage des sites web

18/02/2016

403


Filtrage web static• Contrôle les accès web en autorisant ou bloquant des URLs

� Simple, caractères spéciaux ou expressions régulières peuvent être utilisées pour définir les modèles d’URL

� Si aucune URL ne correspond à la liste, va au prochain contrôle activé

� Les entrées dans la liste sont activées dans l’ordre

• Les actions filtrage URL statiques possibles sont :

� Autoriser

� Monitorer

� Bloquer

� Exempter

18/02/2016

404


Filtrage web par catégorie• Déclinées en plusieurs catégories et sous catégories

• La catégorisation change périodiquement selon l’évolution de l’Internet

• De nouvelles catégories et sous catégories sont développées et compatibles avec les mises à jour firmware

� Les anciens firmwares ont de nouvelles valeurs mappées aux catégories existantes

• Les actions FortiGuard possibles

� Autoriser

� Monitorer

� Bloquer

• Une connexion directe au FortiGuard et un contrat actif sont requis

� Période de grâce de 7 jours à l’expiration des services

� Un Fortimanager peut faire office de fournisseur de service FortiGuard pour les scénarios large déploiement

� Exempter

� Avertir

� Authentifier

18/02/2016

405


Filtrage web par catégorie

URL: www.mypage.com

Block

Allow

Monitor

Authenticate

Categories

Warning

www.mypage.com

18/02/2016

406


Filtrage web par catégorie : Configuration• Activé dans le profile filtrage web

� Sélectionner l’action en clique droit

� Un avertissement va s’afficher si le contrat a expiré

18/02/2016

407


Actions filtrage web par catégorie : Avertir

Action = Avertir (bouton droit en GUI)

Page d’avertissement filtrage web

18/02/2016

408


Actions filtrage web par catégorie : Authentifier

www.hackthissite.org

Marketing

18/02/2016

409


Actions URL : Autoriser, bloquer, monitorer• Ces actions sont disponibles pour le filtrage statique et se comportent

de la même façon que pour le filtrage par catégorie

• Autoriser

� Autorise le site web/catégorie et ne crée aucun évènement de Log

• Monitorer

� Autorise le site web/catégorie et crée un journal évènement

• Bloquer

� Le site web/catégorie n’est pas autoriser à passer

� Affiche une page de blocage et crée un journal évènement

18/02/2016

410


Profil filtrage web

• Le filtrage URL statique, le filtrageweb FortiGuard et d’autres options sont activés via les profils filtrageweb

• Le profil est par la suite appliqué à la règle de sécurité

� Tout trafic examiné par la règle de sécurité aura le filtrage d’URL appliqué

18/02/2016

411


Ce qu’on a couvert�Aperçu filtrage web

�Types de filtrage web

�Filtrage URL static

�Filtrage web par catégorie

�Actions filtrage static et FortiGuard

18/02/2016

412


IPS applicative

UTM



18/02/2016

413


Plan• Choisir des signatures IPS appropriées

• Déterminer si les mises à jour IPS FortiGuard sont disponibles

• Paramétrer des signatures IPS personnalisées

18/02/2016

414


Exploits vs. Anomalies

Anomalie

• Peut être des erreurs/attackszero-day

• Détectées par des analyseurs de comportement

� Statistiques et heuristiques

• Exemples :

� DoS/Flood

� Commandes inappropriées du réseau

Exploits

• Une attaque connue, confirmée

• Détectée lorsque les paquets correspondent au modèle de signature :

� Filtres et signatures basées sur des modèles en GUI

� Similaire aux signatures antivirus

18/02/2016

415


Intrusion Prevention System

• Mise à jour via FortiGuard

• Détecte et bloque

� Exploits connus qui correspondent aux signatures

� Flood de traffic

� Erreurs réseau ou autres anomalies

Intrusion Prevention System

?

18/02/2016

416


Mise à jour automatique via IPS FortiGuard

18/02/2016

417


Liste des signatures IPS

Les Logs vont noter l’action par :

Status=’’detected’’ ou Status=’’blocked’’ …

18/02/2016

418


Signatures personnalisées

Signatures prédéfinies

Signatures personnalisées

Attaquesconnues

0-day ouapplications

spéciales/rares

18/02/2016

419


Signatures personnalisées : Syntaxe

F-SBID(--KEYWORD VALUE)

Value

Valeur du paramètre qui correspond à la signature

Header

Toutes les signatures personnalisées requierent

le header F-SBID

Keyword

Identifie les paramètres

F-SBID(--KEYWORD VALUE)F-SBID(--KEYWORD VALUE)F-SBID(--KEYWORD VALUE)

18/02/2016

420


Signatures personnalisées : Exemples

F-SBID( --name "Ping.Death"; --protocol icmp; --data_size >32000; )

F-SBID( --attack_id 1842; --name "Ping.Death"; --protocol icmp; --data_size >32000; )

F-SBID( --name "Ping.Death"; --protocol icmp; --data_size >32000; )

F-SBID( --name "Block.HTTP.POST"; --protocol tcp; - -service HTTP; --flow from_client; --pattern "POST " ; --context uri; --within 5,context; )

F-SBID( --attack_id 1842; --name "Ping.Death"; --protocol icmp; --data_size >32000; )

18/02/2016

421


Configuration sonde IPS

1. Créer une signature personnalisée (si requis)

2. Ajouter les signatures/filtres à la sonde IPS

3. Sélectionner la sonde dans la règle de sécurité

Predefined signature

Predefined signature

Custom signature

SensorFirewall

Policy

18/02/2016

422


Filtre IPS : Exemple

18/02/2016

423


Activation IPS

18/02/2016

424



�Attaques vs. Anomalies

�Signatures IPS FortiGuard

�Syntaxe des signatures personnalisées

�Configuration IPS

18/02/2016

425


Protection DoS

UTM



18/02/2016

426


Plan

• Configurer la protection contre les attaques DoS

18/02/2016

427


Attaques DoS

Web Server

Internet

• Les sessions des pirates consomment toutesles ressources

• Réduit les capacités / Désactive le serveurjusqu’à ce qu’il ne puisse plus répondre aux requêtes légitimes

• Les ISP doivent apporter une solution aux attaques

18/02/2016

428


Attaques DoS

Web Server

Internet

DoS Sensor

• Les règles DoS appliquent l’action lorsque le seuil est dépassé

§ Adresses source, adresses destination, ports, etc…

• Des sondes multiples peuvent détecterdifférentes anomalies

18/02/2016

429


Règle DoS

18/02/2016

430


Règle DoS

18/02/2016

431


Attaques TCP SYN Flood

Serveur Web

Internet

Table de connexion

• Les pirates innondent la cible avec des connexionsTCP/IP incomplètes – requête une connexion maisne confirme jamais la réception

• Le Fortigate agit comme un pseudo proxy TCP SYN et bloque les demandes de session flood

18/02/2016

432


ICMP Sweep

• Les pirates envoient des signaux ICMP pour identifier des cibles (tel des SONAR)

• Écoute des réponses

• Attaquent les IPs qui répondent

• IPS détecte plusieurs types de sweep ICMP

18/02/2016

433



�Attaques DoS

18/02/2016

434



UTM



18/02/2016

435


Plan• Choisir une signature contrôle applicatif qui sera déclenchée par un

trafic spécifique

• Mise à jour de la base de données contrôle applicatif via FortiGuard

• Configurer et appliquer les profils contrôle applicatif

• Traffic shaping

18/02/2016

436


Qu’est ce que le contrôle applicatif ?• Détecte et agit sur le trafic des applications réseau

� Facebook, Gmail, Skype, etc.

� Supporte plusieurs applications et catégories… inclut P2P

� Même si encapsulé par d’autres protocoles

• L’encapsulation chiffrée requiert l’inspection SSL/TLS/SSH

• Actions supportées

� Trafic shaping par IP et partagé

� Blocage

• Se base sur le moteur IPS

� Analyse Non Proxy

� Peut détecter même si les utilisateurs essaient de contourner via un Proxy externe

� Commence à la couche OSI niveau 2

18/02/2016

437


Détection des applications P2PPourquoi le trafic P2P est si difficile à détecter ?

• Les protocoles traditionnels (HTTP, FTP, …) ont une architecture client-serveurs

� Serveur unique à forte bande passante pour plusieurs clients

� Exige des numéros de ports prévisibles, la connaissance de l’emplacement du serveur pour le NAT, redirection de port, et règles de sécurité

• Les protocoles P2P (Bit-torrent, Skype, …) ont une architecture distribuée

� Chaque paire est un serveur avec une petite bande passante pour le partage

� Difficile de gérer plusieurs règles de sécurité

� Ne dépend pas de la redirection de ports, etc.

• Utilisent des techniques d’évasion pour contourner ces limitations

18/02/2016

438


Architecture Client-Serveur

• Traditionnellement» 1 Client

» 1 Serveur

» Numéro de port connu

» Facilement bloqué par les règles de sécurité

18/02/2016

439


Architecture Peer to Peer• Téléchargement Peer-to-Peer

» 1 Client

» Plusieurs serveurs

» Numéros de ports dynamiques

» Chiffrement dynamique

» Difficile à bloquer avec les anciennes technologies de pare-feu – exige des UTM sophistiqués

18/02/2016

440


Comment fonctionne le contrôle applicatif ?

?

18/02/2016

441


Comment fonctionne le contrôle applicatif ?

?

• Compare le trafic aux modèles d’application connus• Reporte seulement les paquets qui correspondent

au modèle sélectionné• Scan non-Proxy… flow-based

• N’analyse pas les PC client pour les logiciels installés

18/02/2016

442


Mise à jour des signatures applicatives• Via IPS FortiGuard

• Des signatures applicatives additionnelles sont contenus dans la base de données IPS étendue

18/02/2016

443


Profile contrôle applicatif• Détecte les catégories

• Configure l’action du Fortigate

• Applique le profil via la règle de sécurité

18/02/2016

444


Ordres des opérations1. Le moteur IPS identifie l’application

2. Le contrôle applicatif applique l’action 2. Appliquer l’action de la catégorie

1. Applications

18/02/2016

445


Actions• Autoriser

� Continue avec le filtre suivant

� Pas de journal

• Monitor� Autorise mais journalise

� Intéressant pour une connaissance initiale du réseau

• Bloquer� Drop les paquets et journalise

• Réinitialiser� Envoie des connexions de réinitialisation au client, et journalise

• Traffic shaping� Limite de bande passante d’application et journalise

18/02/2016

446


Traffic shaping avec contrôle applicatif• Contrôle granulaire de l’utilisation de la bande passante

• Seul le trafic qui correspond aux signatures est optimisé

� N’interfère pas avec les autres applications sur le même port/protocole

� Utile pour la gestion des applications gourmandes en bande passante

• Peut appliquer différemment par IP source :

� Partagé – analyse chaque client derrière un NAT, applique des limites individuelles

• Petite baisse de performance

� Par-IP – applique une seule limite indépendamment du nombre de clients derrière le NAT

18/02/2016

447


Exemple : Traffic Shaping Youtube• L’action override s’applique avant celle de la catégorie globale

• Peut bloquer/limiter la bande passante de l’application

� Exemple : Chat OK, limiter les transfert de fichiers MP3

18/02/2016

448


Ce qu’on a couvert�Comment fonctionne le contrôle applicatif

�Quand le contrôle applicatif est nécessaire ?

�Configurer un profile contrôle applicatif

�Actions, inclus le traffic shaping

18/02/2016

449


Conclusion de la formationL’UTM Fortigate



18/02/2016

450


Ce qu’on a couvert�Introduction à l’UTM Fortigate

�Journalisation et surveillance

�Le pare-feu

�Proxy explicite

�Authentification

�VPN SSL

�VPN IPSec

�L’UTM

18/02/2016

451


Suite


de base


avancées

FortiAnalyzer

FortiManager

Fortimail FortiWeb

FirewallingNSE 4

AdministrationNSE 5

MessagerieNSE 6

WAFNSE 6

18/02/2016

452


Fonctionnalités avancées

�Le routage

�La virtualisation de pare-feu (VDOM)

�Le mode transparent

�Les certificats

�La haute disponibilité (HA)

�Les outils de diagnostics

�Dimensionnement et support

18/02/2016

453


QUESTIONS [email protected]

Alphorm.com Formation Fortinet UTM

Technology