Upload
alphormcom
View
4.358
Download
22
Embed Size (px)
Citation preview
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©Yassine MORSLIFormateur et Consultant Ingénierie Informatique
FormationL’UTM FortigateFonctionnalités avancées
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Présentation du formateur• Public concerné• Connaissances requises• Liens utiles• Cursus de formation Fortinet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Présentation du formateur• Yassine MORSLI• Ingénieur Réseaux Systèmes et Sécurité• [email protected]• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics CRM, NetApp• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0• Profils :
Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Public concerné• Administrateurs Sécurité• Administrateurs Réseaux• Ingénieurs Systèmes• Consultant infrastructure• DSI
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Connaissances requises• Formation Fortinet Fortigate UTM (NSE4)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens utiles• http://www.fortinet.com• http://docs.fortinet.com• http://kb.fortinet.com• http://support.fortinet.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cursus de formation Fortinet
FortiAnalyzerFortiAnalyzer
FortiManagerFortiManager
FortimailFortimail FortiWebFortiWeb
FirewallingNSE 4 AdministrationNSE 5 MessagerieNSE 6 WAFNSE 6
Fortigate –Fonctionnalités avancéesFortigate –Fonctionnalités avancées
Fortigate –Fonctionnalités de baseFortigate –Fonctionnalités de base
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
LET’S GO !
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Introduction au routage des paquetsYassine MORSLIFormateur et Consultant Ingénierie Informatique
Le routage
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Qu’est ce que le routage IP ?• Routes statiques• Routes dynamiques• Interpréter la table de routage
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Qu’est ce que le routage IP ?• Le routage définit comment les paquets sont envoyés via un chemin d’une source à une destination :
La destination est un sous réseau, non connecté directement, le routeur relaie les paquets à un autre routeur connu dans la table de routage Les informations de la table de routage peuvent être configurées manuellement, automatiquement ou un mix des deux
• Le Fortigate en mode NAT est entre autre un routeur de niveau 3
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Routes statiques• Configurées manuellement par un administrateur• Adaptation simple des paquets aux routes, basée sur la destination des adresses IP sur les paquets
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Routes dynamiques• Les chemins (routes) sont découverts automatiquement :
Le Fortigate communique avec les routeurs voisins pour trouver les meilleures routes pour leur sous réseau connectés Basée sur les adresses IP de destination des paquets Le routage s’organise automatiquement
• Le Fortigate supporte : Routing Information Protocole (RIP) Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) Intermediate System to Intermediate System (IS-IS)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Table de routage• Seulement les routes actuellement actives
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Composants de la table de routage• Chaque route de la table de routage dispose de :
Adresse IP de destination et Mask Adresse IP de la passerelle / Interface Distance Metric Priorité
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Distance• Estime la ‘’qualité’’ de chaque protocole de routage et itinéraire statique :
Une distance moins élevée est considérée plus fiable Si routes multiples, celle avec la distance la moins élevée est chargée dans la table de routage
• Valeurs des distances par défaut : Directement connecté 0 Gateway DHCP 5 Routes statiques 10 Routes EBGP 20 Routes OSPF 110 Routes RIP 120 Routes IBGP 200
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Metric• Utilisée par le protocole de routage dynamique pour déterminer la meilleure route vers une destination
Si routes multiples avec la même distance, celle avec la metric la moins élevée est chargée dans la table de routage• La metric est calculée selon le protocole de routage
Le RIP considère le nombre de sauts OSPF utilise les coûts
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Priorité• Utilisée par les routes statiques pour déterminer la meilleure route vers une destination• Si de multiples routes statiques ont la même distance :
Elles seront toutes chargées dans la table de routage Seule la route avec la priorité la moins élevée sera utilisée pour le routage
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Quelles routes sont chargées ?Le lien de sortie est-ilUP ? (Pas de route si l’interface est désactivée/non connectée)
Existe-t-il des routes multiples ? (inclus des routes avec de plus petites distance)
Les routes multiples ont-elles des distances égales ? (inclus desroutes avec les plus petites metric)
Les routes multiples ont-elles la mêmemetric ? Considérer les spécifications du protocole de routage dynamique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Règles de routage• Concordance plus sophistiquée que les routes statiques
Protocole Adresse source Ports source Ports destination ToS
• Configurées manuellement• Prioritaire sur la table de routage
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Recherche de route• Pour chaque session, le Fortigate exécute les règles de routage et la consultation de la table de routage deux fois :
1. Au premier paquet envoyé2. Au premier paquet reçu par le répondeur
• Les informations de routage sont écrites dans la table de session• Tous les autres paquets pour cette session vont utiliser le même chemin
Exception : Après changement de la topologie OSPF, les informations de routes sont flushées à partir des sessions et doivent être apprises de nouveau
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertEléments de la tables de routageComment le Fortigate match chaque paquet avec une routeRoutes statiques, règles de routage, routage dynamique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
ECMP & Contrôle de l’état du lienYassine MORSLIFormateur et Consultant Ingénierie Informatique
Le routage
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Equal Cost Multi-Path (ECMP)• Contrôle de l’état des liens
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Equal Cost Multiple Path (ECMP)• Si, plusieurs routes ont :
1. La même distance2. La même metric3. La même priorité4. Et sont des routes statiques/OSPF/BGPAlors, le Fortigate distribue les paquets via les routes ECMP
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Méthodes ECMP• Basée sur l’IP source (par défaut)
Les sessions à partir de la même adresse IP source utilisent la même route• Partage de charge basée sur le poids (Weighted load balance)
Les sessions sont distribuées sur la base du poids de chaque interface• Débordement (Spillover)
Utilise une seule route, jusqu’à atteinte d’un seuil de débordement, si atteint, le Fortigate utilise une seconde route• IP Source – IP destination
Les sessions avec la même paire d’IP source/destination utilisent la même route
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Equal Cost Multi-PathSous réseau : 192.168.1.0/24
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconnueInternet
Internet
Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1(static)0.0.0.0/0.0.0.0 wan2(static)10.0.0.0/24 dmz (static)192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Equal Cost Multi-PathSous réseau : 192.168.1.0/24
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconnueInternet
Internet
Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1(static)0.0.0.0/0.0.0.0 wan2(static)10.0.0.0/24 dmz (static)192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Contrôle de l’état du lien• Envoie périodiquement des paquets de sonde à un serveur via une passerelle• Si le Fortigate ne reçoit pas de réponse durant le temps imparti au seuil de basculement, une ou deux des actions suivantes sont prises :
Toutes les routes utilisant la passerelle sont supprimées de la table de routage L’interface du Fortigate est mise à DOWN
• Si des routes secondaires sont disponibles, le Fortigate les charge et les utilise à la place de la route principale – basculement du routage
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration du contrôle de l’état du lien
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertEqual Cost Multi-Path (ECMP)Contrôle de l’état du lien
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Le routage
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Reverse Path Forwarding (RPF)
Loose Strict
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path Forwarding (RPF)• Le RPF protège contre les attaques de type spoofing d’adresse IP• Vérifie l’adresse IP source de tous les paquets
Si la route retour vers l’adresse IP source ne concorde pas avec le chemin emprunté par le paquet original, le paquet est considéré comme frauduleux et il est bloqué• Le RPF est pris en charge seulement sur :
Le premier paquet de la session, pas sur la réponse Le paquet suivant dans la direction d’origine après un changement de route, pas sur la réponse
• En CLI, affiche les paquets bloquésdiagnose debug flow
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path ForwardingSous réseau : 192.168.1.0/24
Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
Internet
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconnueInternet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path ForwardingSous réseau : 192.168.1.0/24
Routes dans la table de routage0.0.0.0/0.0.0.0 wan1(static)10.0.0.0/24 dmz (static)192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconuueInternet
Internet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path ForwardingSous réseau : 192.168.1.0/24
Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
Internet
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconnueInternet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path ForwardingSous réseau : 192.168.1.0/24
Routes dans la table de routage :0.0.0.0/0.0.0.0 wan10.0.0.0/0.0.0.0 wan2192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconnueInternet
Internet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Reverse Path ForwardingSous réseau : 192.168.1.0/24
Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1(static)0.0.0.0/0.0.0.0 wan2(static)10.0.0.0/24 dmz (static)192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmzwan1:1.1.1.1/30
wan2:2.2.2.1/30
IP Source : inconnue
IP Source : inconnueInternet
Internet
Les deux routes pardéfaut ont la mêmedistance et priorité→ ECMP
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
RPF Strict vs. RPF Loose• La vérification du RPF peut être configurée pour être plus stricte• Le paramètre RPF par défaut est Loose
Vérifie uniquement l’existence d’une route pour l’interface de réception Le paquet est redirigé même si un meilleur itinéraire est disponible via une autre interface
• RPF stricte Les adresses sources sont vérifiées dans la table de routage pour trouver la meilleure route (plus petit sous réseau) Si le paquet est reçu sur une interface utilisée pour rediriger le trafic vers la source, le paquet est autorisé
config sys settingset strict-src-check [disable | enable]end
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Loose RPFSous réseau : 10.10.10.0/24
Table de routage :0.0.0.0/0 wan120.20.20.0/24 wan110.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
SYN SYN ACK
hping –a 10.10.10.5 –p 80 –S 10.10.10.6
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Loose RPFSous réseau : 10.10.10.0/24
Table de routage :0.0.0.0/0 wan120.20.20.0/24 wan110.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
RST
hping –a 10.10.10.5 –p 80 –S 10.10.10.6
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Strict RPFSous réseau : 10.10.10.0/24
Table de routage :0.0.0.0/0 wan1
20.20.20.0/24 wan110.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
SYN
hping –a 10.10.10.5 –p 80 –S 10.10.10.6
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Interface de loopback• Interface ‘’logique’’ toujours UP et disponible
Utile pour les protocoles de routage dynamique• Tout le trafic destiné pour le loopback s’arrête au Fortigate
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertReverse Path Forwarding loose et stricts
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Optimisation des liens
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Le routage
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Améliorer la bande passante et la disponibilité entre deux équipements via l’agrégation de liens• Équilibrer la charge en partageant le trafic via de multiples liens WAN• Utilisation des routes de blackhole
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Aggregation de liens• Groupe de plusieurs ports physiques à partir d’un canal logique unique avec une plus grande bande passante
Augmente la redondance pour la haute disponibilité
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Load Balancing de lien Wan• Un lien WAN virtuel est constitué de plusieurs interfaces connectées à différents ISPs
Le Fortigate voit le lien virtuel WAN comme une interface logique unique Simplifie la configuration Uniquement un lien WAN virtuel par VDOM
InternetISP 1ISP 2ISP 3
Lien WAN virtuel
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Méthodes de load balancing des liens WAN• IP Source (par défaut)
Les sessions provenant de la même adresse IP source utilisent le même lien• Weighted round robin
Les sessions sont distribuées selon le poids des interfaces• Débordement (Spillover)
Utilise un seul lien jusqu’à atteinte d’un seuil de débordement, utilise après le lien suivant• IP Source-Destination
Les sessions avec la même paire d’IP Source/Destination utilisent le même lien• Volume mesuré
Distribution des sessions de tel sorte à ce que le volume de trafic soit distribué à travers tous les liens
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration du load balancing des liens WAN
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mesure de la qualité du lien WAN• Le Fortigate peut mesurer la qualité de chaque interface membre, basée sur soit la latence ou bien l’instabilité du lien
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Interface logique du lien WAN• Une interface logique nommée wan-load-balance est automatiquement créée• Ajouter les routes statiques et les règles de sécurité en utilisant l’interface logique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Routes trou noir (Blackhole routes)• Type spécial de routes statiques utilisé pour couper tout le trafic concerné
Prévient les boucles réseau Les paquets sont écartées silencieusement, pas de message d’erreur ICMP envoyé
Sous réseau :192.168.1.0/24
Routeur: 192.168.1.1
Route internet par défaut :0.0.0.0Internet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertAgrégation de liensInterface de loopback et routes de trou noirLoad balancing de liens WAN
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Diagnostique de l’état du lienYassine MORSLIFormateur et Consultant Ingénierie Informatique
Le routage
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Diagnostiquer et corriger les problèmes de routage
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage# get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate defaultO* 0.0.0.0/0 [10/0] via 192.168.11.254, wan1, 01:29:24C 172.16.78.0/24 is directly connected, wan2O 192.168.1.0/24 [110/200] via 182.168.11.59, internal, 01:30:28C 192.168.3.0/24 is directly connected, dmzC 192.168.11.0/24 is directly connected, internal
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage# get router info kerneltab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.210/3 2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.135.110/3 2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)tab=254 vf=0 scope=0 type=1 proto=14 prio=0 192.168.8.111/255.255.255.255/0->8.8 .8.8/32 pref=0.0.0.0 gwy=192.168.8.1 dev=6(dmz)tab=254 vf=0 scope=0 type=1 proto=14 prio=0 81.43.23.44/255.255.255.255/0->8.8 .8.8/32 pref=0.0.0.0 gwy=81.43.23.41 dev=5(wan2)tab=254 vf=0 scope=0 type=1 proto=14 prio=0 172.17.0.254/255.255.255.255/0->8.8. 8.8/32 pref=0.0.0.0 gwy=172.17.0.1 dev=4(wan1)tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.208/3 1 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage# diagnose ip address listIP=192.168.12.254->192.168.12.254/255.255.255.0 index=3 devname=wan1IP=127.0.0.1->127.0.0.1/255.0.0.0 index=5 devname=rootIP=127.0.0.1->127.0.0.1/255.0.0.0 index=7 devname=ProviderAIP=127.0.0.1->127.0.0.1/255.0.0.0 index=9 devname=ProviderBIP=172.16.78.254->172.16.78.254/255.255.255.0 index=12 devname=wan2IP=192.168.3.254->192.168.3.254/255.255.255.0 index=13 devname=dmz
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Commandes de diagnostique de routage# diagnose ip arp listindex=7 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=1835 confirm=55 update=911331 ref=5index=2 ifname=port1 192.168.1.99 state=00000001 use=174 confirm=916499 update=174 ref=17index=2 ifname=port1 192.168.1.116 ac:72:89:56:aa:31 state=00000002 use=0 confirm=7 update=12141 ref=2index=2 ifname=port1 224.0.1.140 01:00:5e:00:01:8c state=00000040 use=911087 confirm=917087 update=911087 ref=1
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moniteur de lien• Affiche le statut du moniteur de l’état du lien et le load balancing du lien WAN
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertComment diagnostiquer ?
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La virtualisation de pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Utiliser les VLANs pour diviser logiquement un réseau de niveau 2 en multiples segments
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs
• Subdivise le réseau physique de couche 2 en plusieurs segments plus petits : Chaque segment forme un broadcast de domaine Des tags de vlans sont ajoutés aux trames pour identifier leur segment
VLANs
Physical interfaces
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tags de VLANs• Extension de 4 octets de la trame Ethernet• Les équipements de niveau 2 peuvent ajouter ou supprimer des tags• Les équipements de niveau 3 peuvent réécrire les tags avant le routage
Le Fortigate est de niveau 3, raison pour laquelle il peut réaliser du routage inter-VLANs
Destination MAC
Source MAC Type Data CRC 32
Ethernet frame using VLAN tagsType8100
TagControl
Info2 bytes 2 bytes
•Domaine prioritaire de l’utilisateur•Indicateur de format canonique•Identificateur VLAN
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs on a FortiGateDestination
MACSource
MAC Type Data CRC 32Type8100
TagControl
Info
VLAN AVLAN B
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLANs on a FortiGate
VLAN 100
Branch office
VLAN 200
Headquarters
VLAN 300
Tag: VLAN 100Tag: VLAN 100Tag: VLAN 300 Tag: VLAN 300
Router A Router B
Subnet 1 Subnet 2
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VLAN Scenario
• Les ordinateurs des comptables situés dans des sites différents doivent partager des fichiers fréquemment, mais ne devraient pas broadcaster aux voisins• Les Fortigates peuvent traiter les trames de ces ordinateurs comme s’ils étaient sur le même réseau local physique
HeadquartersBranch office
Retail office
PC Comptables
PC Comptables
PC Comptables
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Créer un VLAN
• Les trames envoyées/reçues par le segment de l’interface physique ne sont jamais taguées Appartiennent au VLAN natif
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertVLANs et tags de VLANs
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VDOMs
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La virtualisation de pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Utiliser les VDOMs pour convertir le Fortigate en plusieurs boitiers virtuels• Limiter les ressources allouées globalement et par VDOM• Créer des comptes d’administration globaux et par VDOM
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Virtual Domains
• Fractionne un Fortigate physique en multiples Fortigates virtuels Avec des règles de sécurité indépendantes, tables de routage, etc.
• Les paquets sont limités au même VDOM• Le Fortigate supporte jusqu’à 10 VDOM par défaut
Il est possible sur quelques modèles d’avoir plus
Domain A Domain B Domain C
One physical FortiGate device Multiple virtual FortiGate devices
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Allocation de ressources systèmes• Ressources globales limitent ce qui est alloué à chaque paramètre sur le Fortigate global• Ressources VDOM limitent ce qui est alloué à chaque paramètre dans chaqueVDOM
Garantit une allocation de ressources minimales par VDOM Aucun VDOM ne peut consommer toutes les ressources du boitier
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Limites de ressources globales et par VDOMVDOM 3
Limites de ressources globales
Limites de ressources VDOM
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Paramètres globaux
• Affectent tous les domaines virtuels configurés Hostname Paramètres DNS Horloge Version Firmware
Domain A
Paramètres globaux
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Paramètres par VDOM
• Configurés séparément au niveau de chaque VDOM Mode de fonctionnement Paramètres de routage Paramètres de pare-feu Paramètres UTM …
Domain A
VDOMsettings
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Activer les VDOMs
• En CLI :config system globalset vdom-admin enableend
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Administrations des VDOMs• Seuls les comptes nommés ‘’admin’’ ou les comptes avec un profile ‘’super_admin’’ peuvent configurer et sauvegarder tous les VDOMs
Domain A Domain B Domain C
super_admin profile
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Administrateurs par VDOM• Les autres administrateurs peuvent accéder uniquement aux VDOMs auxquels ils sont assignés
Ne peuvent pas accéder aux paramètres globaux Peuvent accéder uniquement aux paramètres du VDOM auquel ils sont assignés
Domain A Domain B Domain C
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Créer les administrateurs de VDOM
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertVDOMsRessources globales et par VDOMComptes administrateurs de VDOM
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens Inter-VDOMs
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La virtualisation de pare-feu
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Router le trafic entre les VDOMs en utilisant les liens Inter-VDOMs
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens Inter-VDOM
• Peut connecter différents VDOMs• Support varie selon le mode de fonctionnement du VDOM
NAT vers NAT NAT vers Transparent / Transparent vers NAT Transparent vers Transparent
Domain A Domain B Domain C
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liens Inter-VDOMs• Les liens Inter-VDOMs permettent une communication des VDOMs entre eux
Il n’est pas requis que le trafic quitte une interface physique, puis rentre de nouveau sur le Fortigate Nécessite moins d’interfaces physiques et moins de cables
• Les règles de sécurité sont requises pour autoriser le trafic à partir d’autresVDOMs, de la même manière que pour le trafic provenant d’interfacesphysiques• Les routes sont également requises pour rediriger le trafic d’un VDOM à un autre
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Créer des liens Inter-VDOMs
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moniteur des ressources de VDOM• Le moniteur des VDOMs affiche:
L’utilisation CPU L’utilisation mémoire Nombre de sessions Les sessions par seconde
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
VDOM de management• Le VDOM de management est le VDOM qui gère tout le trafic de gestion• Il doit avoir accès à tous les services requis par le système
DNS NTP Mise à jour FortiGuard Journalisation vers le FortiAnalyzer ou Syslog Alertes Email SNMP
• Par défaut, le VDOM de gestion est le VDOM root
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemples : VDOMs inépendantsInternet
VDOM 1 VDOM 2 VDOM 3
Réseau 1 Réseau 2 Réseau 3
Internet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemples : VDOMs inépendantsInternet
VDOM 1 VDOM 2 VDOM 3
Réseau 1 Réseau 2 Réseau 3
Internet
• Plusieurs VDOMs complètement séparés les uns des autres• Pas de communication entre les VDOMs• Chacun a son propre lien de communication physique vers Internet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Routage via le VDOM de Management
Réseau 1 Réseau 2 Réseau 3
Management VDOM
Internet
VDOM 1 VDOM 2 VDOM 3
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Routage via le VDOM de Management
Réseau 1 Réseau 2 Réseau 3
Management VDOM
Internet
VDOM 1 VDOM 2 VDOM 3• Le trafic sortant toujours routé via le VDOM root
Le VDOM root est connecté à d’autres via les liens Inter-VDOMs• Seul le VDOM root est connecté à Internet via une interface physique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Maillage de VDOMs
Réseau 1 Réseau 2
Management VDOM
Internet
VDOM 1 VDOM 2
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Maillage de VDOMs
Réseau 1 Réseau 2
Management VDOM
Internet
VDOM 1 VDOM 2
• Les VDOMs se connectent entre eux via des liens Inter-VDOMs• Il n’est pas requis que le trafic passe via le VDOM de management sauf pour le trafic Internet• Seul le VDOM root est connecté à Internet via une interface physique• Le routage entre les interfaces virtuelles peut vitedevenir complexe
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertLiens Inter-VDOMsMoniteur de ressources par VDOMTopologies des VDOM
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Fortigate en mode Transparent
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Le mode transparent
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Choix du meilleur mode de fonctionnement Fortigate• Segmenter le réseau en plusieurs domaines de redirection• Prévenir les tempêtes de diffusion et le battement de MAC en utilisant le jumelage de ports
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Modes de fonctionnement• Définit comment le Fortigate prend en charge le trafic :
Mode NAT/Route• Routes selon la niveau 3 du modèle OSI, comme un routeur• Les interfaces du Fortigate disposent d’adresses IP
Mode transparent• Redirige selon le niveau 2 (adresses MAC), comme un pont transparent• Ne requiert pas de changement d’adresse IP dans le réseau• Le Fortigate ne dispose pas d’adresse IP, excepté pour la connexion des administrateurs
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mode de fonctionnement – NAT/Route
Internet
wan1204.23.1.5
internal192.168.1.99
dmz10.10.10.1
192.168.1.3
10.10.10.2
Les interfaces disposentd’adresses IP
Routage basé sur l’IP
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mode de fonctionnement – Transparent
Internet
internal10.10.10.1
Gateway topublic network
204.23.1.5
wan110.10.10.3
Switching, pas de routagePas d’IPs par interface
(Management IP)
Les règles de sécuritécontrôlent le trafic entre le
réseau interne et le réseau externe
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Pont Transparent• Un pont est transparent pour les hôtes de couche IP• Le Fortigate construit une table pour la redirection du trafic en analysant l’adresse MAC source des trames entrantes à partir des réseaux rattachés• Fractionne le réseau en plusieurs domaines de collision :
Réduit l’occurrence des collisions des domaines individuels Peut améliorer le temps de réponse réseau
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Redirection de domaine• Par défaut, toutes les interfaces dans un VDOM appartiennent au mêmedomaine de broadcast
Même les interfaces avec des ID de VLANs différents S’il contient de multiples interfaces, le domaine de broadcast peut être très large, interfèreavec le STP, et peut causer du flapping d’adresses MAC
• Pour diviser un VDOM en plusieurs domaines de broadcast
Les interfaces avec le même ID appartiennent au même domaine de broadcast
config system interfaceedit <Nom_interface>set forward-domain <ID_domaine>end
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Domaine de BroadcastFortigate en
mode Transparent
Broadcast ARP surVLAN101_wan1
VLAN102_dmzVLAN104_dmz
Port 1
VLAN101_wan1
VLAN103_dmz
VLAN101_internalToutes les interfaces dans
le domaine de forward 0(par défaut)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Transfert de domaineFortigate en
mode Transparent
Broadcast ARP surVLAN101_wan1
VLAN102_dmzVLAN104_dmz
Port 1
VLAN101_wan1
VLAN103_dmz
VLAN101_internal
config sys interfaceedit VLAN101_wan1set forward-domain 101end
config sys interfaceedit VLAN101_internalset forward-domain 101end
VLAN101_internalVLAN101_wan1Forwarding domain 101
config sys interfaceedit VLAN101_wan1set forward-domain 101end
config sys interfaceedit VLAN101_internalset forward-domain 101end
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Jumelage de Ports (Port Pairing)• Lier logiquement deux ports dans un Fortigate en mode Transparent
Habituellement, un port interne et un port externe• Le trafic est capturé entre ces ports
Le trafic entrant sur un port est tout le temps redirigé vers l’autre port• Evite la complexité comme les tempêtes de diffusion, et les MAC flapping
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Port PairingFortigate en
mode Transparent
Port1
Internet
Port2
Port3
Wan1Port Pair → Trafic exclusif
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertMode NAT vs. Mode TransparentPont TransparentRedirection de domainesJumelage de ports (Port Pairing)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
La cryptographie
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Les certificats
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Sécurisation du trafic• Comprendre la cryptographie symétrique• Comprendre la cryptographie asymétrique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Comment sécuriser le trafic ?• Sécurise la communication entre deux personnes ou deux périphériques• Les éléments inclus:
La confidentialité des données L’intégrité des données L’authentification La non répudiation
Internet
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie : Confidentialité des données• Le cryptage brouille les données qui transitent dans le réseau :
Les données sont privées lorsqu’elles transitent Seuls les destinataires légitimes de la donnée peuvent la déchiffrer
?
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie : Intégrité des données• Les destinataires vérifient que la donnée n’a pas été modifiée durant le transit sur le réseau :
Le cheksum des données en réception correspond au cheksum en émissionDonnées créées (Cheksum) Données réçues (Cheksum)Match
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Authentification
• Le récepteur peut vérifier l’identité des expéditeurs de confiance Permet de confirmer l’origine des données
Information d’identitéannexée à la donnée Indentité de l’expéditeur vérifiée
et approuvée
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Non-Repudiation
• L’expéditeur ne peut pas nier sa participation à l'opération à une date ultérieure• Les informations d’identité lient l’expéditeur aux données échangées
Information d’identitéannexée à la donnée L’expéditeur ne peut pas nier
sa participation à l’échange
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Chryptographie symétrique
Algorithme Algorithme
Texte plein Algorithmesymétrique
Texte crypté Algorithmeasymétrique
Texte plein
A l’expéditeur Au récepteur
Numéro aléatoireentre 40 et 256 bits Le même numéro
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie symétrique• La clé utilisée pour le chiffrement est la même que celle utilisée pour le déchiffrement • Doit être partagée par l’expéditeur et le destinataire
La clé doit être remise au destinataire en toute sécurité avant de pouvoir déchiffrer la donnée Avoir une clé découverte ou divulguée compromet toutes les communications basées sur cette clé
• La conversion de la donnée en cryptée et inversement est rapide Adaptée pour le chiffrement des données en bloc
• Problèmes de gestion de clés Le nombre de clés devant être gérés augmente avec la taille de la communauté
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Cryptographie asymétrique• Utilise deux clés différentes : publique et privée• Les deux clés sont mathématiquement liées• Extrêmement difficile de deviner la clé publique de la clé privée• Ce qui a été chiffré par une clé ne peut être déchiffré en utilisant l’autre clé
Grand nombre aléatoireGrand nombre aléatoire Générateur de cléGénérateur de clé
Clé privée
Clé publique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Asymmetric Cryptography
• Les clés publiques sont disponibles pour les destinataires via la PKI ou autre méthodes• Les clés privées doivent être enregistrées de façon sécurisée, accessibles uniquement pour les propriétaires de clés
• Elles doivent être protégées pour empêcher les accès non autorisés
Public
Private
PKI
Public
Private
Public
Private
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exemple : Cryptographie asymétrique
Algorithme Algorithme
Texte plein Algorithmeasymétrique
Texte chiffré Algorithmeasymétrique
Texte plein
A l’expéditeur Au récepteur
Publique Privée
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertSécuriser le traficCryptographie symétriqueCryptographie asymétrique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Les certificats digitauxYassine MORSLIFormateur et Consultant Ingénierie Informatique
Les certificats
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Authentifier les utilisateurs avec des certificats personnels• Créer et soumettre une requête de certificat
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Certificat digital• Identifie une identité finale (utilisateur ou service réseau)• Contient des informations de l’entité, inclus sa clé publique• Publié et signé par une autorité de certification (CA)
Le CA certifie que les informations sont valides et vraies• Les autorités de certification publiques sont publiquement connues comme fournisseurs de certificats
GoDaddy, Verisign, etc.
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Types de certificats digitaux• La plupart des types des certificats communs :
Certificats CA : Valide l’autorité de certification (CA) et contient la clé publique du CA Certificats service local : identifie les services réseau, comme les portails web HTTPS. Contiennent une clé publique du service réseau Certificats utilisateur : Identifie un utilisateur et contient la clé publique de l’utilisateur
• Les certificats ‘Utilisateurs’ et ‘Service local’ sont également appelés Certificat d’entité finale (End-entity certificate)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Champs des certificats digitaux• Quelques champs dans un certificat digital :
Numéro de série : ID unique Sujet : l’entité identifiée Algorithme de signature : l’algorithme utilisé pour créer la signature Signature : la signature CA chiffrée avec la clé privée du CA Emetteur : L’autorité qui a émis et signé le certificat Valid-From : la date à partir de laquelle le certificat a commencé à être valide Valid-To : la date d’expiration Key-Usage : but de la clé publique Clé publique : La clé publique de l’entité identifiée
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Authentifiation utilisateur par certificat• La signature du certificat utilisateur a été cryptée en utilisant la clé privée du CA1• Le serveur d’authentification doit avoir le certificat CA1, contenant la clé publique du CA1, pour déchiffrer et valider la signature du certificat utilisateur
Certificat utilisateur
Signé par CA1Chiffré par CA1Clé privée
Certificat utilisateur
Signé par CA1Chiffré par CA1Clé privée
Certificat CA1
Clé publique de CA1
Certificat CA1
Clé publique de CA1
Serveur d’authentification Utilisateur
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Service de validation de certificat• Lorsqu’un serveur requête une page web HTTPS, il reçoit le propre certificat du site web, qui a été signé par un CA• Le navigateur doit faire confiance au CA pour authentifier le certificat :
Les certificats CA, contenant la clé publique du CA, pour chiffrer et valider la signature dans le certificat, doivent exister sur la liste du navigateur des CA de confiance
Certificat CA1
Clé publique de CA1
Certificat CA1
Clé publique de CA1
Certificat du site web
Signé par CA1Chiffré par CA1Clé privée
Certificat du site web
Signé par CA1Chiffré par CA1Clé privée
Site Web Utilisateur
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Secure Socket Layer Security
HelloHTTPS://Issued by trusted CA?Still valid?
Has it been revoked?Public
SecretEncryptedSecret
Private
SecretSymmetric key Symmetric key
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Secure Socket Layer Security
Hello
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Génération du certificat digital
• La clé publique est soumise à l’autorité de certification Le fichier est habituellement un *.CSR (Certifiate Signing Request) L’information utilisateur et la donnée sont vérifiées
• La donnée est publiée dans un format standard et le certificat digital du CA est appliqué• La signature garantie l’intégrité de la donnée et qu’elle a été vérifiée par une partie de confiance
• Le certificat digital est publié dans une base de certificats publique
Autorité de certification
Base de donnéespublique
Privée
Publique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Générer une requête de certificat• Remplisser le formulaire de demande de certificat sur le Fortigate pour générer une demande PCKS#10
Le fichier va inclure la clé publique du Fortigate• Le fichier est alors soumis à une autorité de certification de confiance• Le status du certificat sera listé sur le Fortigate comme Pending
Request submitted toCertification Authority
Private
Public +
PKCS#10 Certificate Request
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Télécharger une demande de signature de certificat
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Importer un certificate
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Liste de révocation de certificats
• La Liste des certificats révoqués (CRL) contient les numéros de série de tous les certificats jugés indignes de confiance• Le CRL sera toujours vérifié avant qu’un certificat soit utilisé pour s’assurer qu’il est encore de confiance• Le CRL doit être tenu à jour sur le Fortigate
Doit être copié régulièrement, à partir de l’autorité de certification, manuellement sur le boitier Fortigate
Autorité de certification Numéro de série: 764926
CRL
Numéro de série: 764926 ?
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Sauvegarde et restauration de certificats• Les clés et les certificats peuvent êtresauvegardés
• Un serveur TFTP est requis pour l’Import/Exportexecute vpn certificate local import tftp <file-name_str> <tftp_ip>execute vpn certificate local export tftp<certificate-name_str> <file-name_str> <tftp_ip>
• Les clés et les certificats sont stockés dansun fichier PKCS#12• Une sauvegarde de configuration contientégalement les clés et les certificats
Certificat du Fortigate
CAVérification du certificatPar le CA
Private
Fichier PKCS#12 protégé par mot de passe
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertLes certificats digitauxAuthentification utilisateur par certificatÉchanges SSLGénérer un certificatImporter un certificatGérer la liste de révocation
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Inspection du contenu SSL
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Les certificats
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Activer l’inspection du contenu SSL sur le Fortigate
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Inspection du contenu SSL• Le Fortigate requiert une clé privée pour déchiffrer et inspecter le trafic SSL
Intercepte le trafic provenant des serveurs et « re-signe » avec son certificat et clé• Le certificat fourni par le Fortigate doit être délivré au nom de domaine de destination
Le Fortigate agit comme un sous CA• Process de communication SSL standard
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Inspection du contenu SSL : Limitations Certificat• L’inspection SSL nécessite un certificat qui autorise le Fortigate à délivrer des certificats (et des clés privées) à la volée à n’importe quel site web
Conditions• CA=True ou• Key Usage=KeyCertSign
• Les Fortigate ont un certificat local par défaut pour ce type ‘Fortinet_CA_SSLProxy’, qui est délivré par une CA privée appelée ‘’Fortigate CA’’ Pas un certificat public
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Avertissement certificate durant une inspection SSL• Lors d’une inspection SSL, le navigateur affiche un message d’avertissement lorsqu’il ne fait pas confiance au CA
• Pour éviter l’avertissement, trois options possibles : Utiliser le certificat ‘Fortinet_CA_SSLProxy’, et installer le certificat racine ‘Fortigate CA’ sur tous les navigateurs Générer un nouveau certificat SSL Proxy en utilisant une CA privée, et installer le certificat racine CA correspondant sur tous les navigateurs Acheter un certificat adéquat pour signer d’autres certificat d’une CA que le navigateur connait déjà
• SSL a été conçu pour sécuriser les communications point à point Lire le contenu est supposé être compliqué
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration : Profil Inspection SSL• Définit comment le trafic chiffré sera traité :
Quel protocol de chiffrement prendre en charge (HTTPS, SMTPS, …) Comment traiter l’inspection (Inspection SSL, Inspection CA) Quand dispenser de l’inspection SSL
Certificat Proxy SSLCertificat Proxy SSL
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration : Dispenser un trafic de l’inspection SSL• L’inspection SSL de certain type de trafic peut être illégale
Vérifier les lois en vigueur
Trafic à dispenser d’une inspection SSLTrafic à dispenser d’une inspection SSL
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration : Règle de sécurité• Le profil d’inspection SSL doit être assigné à une règle de sécurité
Définit comment le trafic chiffré doit être traité
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertInspection de contenu SSLAvertissement de certificatConfiguration
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Introduction à la HA
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Choisir le bon mode de haute disponibilité HA
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Haute Disponibilité (HA)Deux Fortigate ouplus fonctionnenten Cluster HA
Si un boitier tombeen panne, un autreprend le relai
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Haute Disponibilité – Actif-Passif
Boitier primaire
Actif-Passif
Boitier primaire
Les secondaires restenten attenteLa configuration du Maitre est
synchronisée avec les boitierssecondaires
Si le principal tombe en panne, le secondaire prend le relai
Boitiers secondaires
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Haute Disponibilité – Actif-Actif
Le boitier principal traite le trafic
Les boitiers secondairestraitent également le trafic
Si le boitier principal tombe, un autre secondaire prendimmédiatement sa place
Le boitier principal partage les sessions avec les secondaires
Actif-Passif
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Election du boitier Maître
FortigatePrincipal FortigateSecondaire
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tâches du Fortigate principal• Echange des paquets Hello heartbeat avec tous les boitiers secondaires• Synchronise sa table de routage et sa configuration avec tous les boitiers secondaires• Peut synchroniser certaines informations de trafic de sessions pour un basculement transparent• En mode Actif-Actif seulement :
Distribue le trafic à tous les devices du Cluster
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Tâches du Fortigate secondaire• Monitore le boitier principal pour des indications de panne via Hello, ou via le monitoring de ports
Si un problème est détecté avec le boitier principal, le secondaire élisent un nouveau Maitre• En mode Actif-Actif seulement :
Traite le trafic distribué par le Maitre
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertMode Actif-Actif vs. Mode Actif-PassifComment le HA élit le Maitre
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Failover d’équipement
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Device Failover
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Adresses MAC virtuelles et Failover• Sur le Maitre, chaque interface lui est attribuée a une adresse MAC virtuelle (à l’exception de l’interface de heartbeat HA)• Après le basculement, le Maitre nouvellement élu adopte les mêmes adresses MAC virtuelles que l’ancien
Adresses MAC virtuelle
Ancien Maitre
Nouveau Maitre
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Panne d’un Fortigate secondaire
• Le Maitre met à jour laliste des Fortigatesecondaires disponibles• Le Maitre met à jour laliste des Fortigatesecondaires disponibles
Actif-PassifActif-Passif• Le Maitre met à jour laliste des Fortigatesecondaires disponibles• Redistribue la chargeaux autres boitiers
• Le Maitre met à jour laliste des Fortigatesecondaires disponibles• Redistribue la chargeaux autres boitiers
Actif-ActifActif-Actif
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Charge
• Le Maitre reçoit et traite tout le trafic• Le boitier secondaire attend passivement
• Le Maitre reçoit et traite tout le trafic• Le boitier secondaire attend passivement
Actif-PassifActif-Passif• Le Maitre reçoit tout le trafic• Redirige certains trafic au boitier secondaire
• Le Maitre reçoit tout le trafic• Redirige certains trafic au boitier secondaire
Actif-ActifActif-Actif
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Partage de charge Actif-Actif
1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 802. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 803a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dsport 803b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Partage de charge Actif-Actif
4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 805. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Partage de charge Actif-Actif
6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 807. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 808. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Failover• Plusieurs déclencheurs possibles
Panne matérielle Crash software Câble réseau déconnecté, etc.
• Journaux d’évènements, traps SNMP, alertes mail enregistrent les évènements du failover
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Types de Failover• Failover d’équipement
Si le Maitre arrête d’envoyer des paquets heartbeat, un autre Fortigate prend sa place automatiquement• Failover de lien
Le Cluster peut monitorer certaines interfaces afin de déterminer si elles fonctionnent et connectées Si une interface monitorée du Fortigate Maitre tombe, le Cluster élit un nouveau Maitre
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertPartage de charge Actif-ActifHA Failover
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
La synchronisation entre les équipements
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Découvrir le protocole FGCP• Synchronisation de la configuration• Synchronisation des sessions
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Protocole de Clustering Fortigate• Le Cluster utilise le protocole FGCP (FortiGate Clustering Protocol) pour :
La découverte d’autres Fortigate qui font partie du même groupe HA L’élection du Maître Synchroniser la configuration et autres données Détecter lorsqu’un Fortigate tombe en panne
• Fonctionne sur les liens heartbeat uniquement• Utilise le port TCP 703
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Adresses IP des interfaces heartbeat• Le Cluster attribue une adresse IP virtuelle aux interfaces de heartbeatsur la base du numéro de série de chaque Fortigate :
169.254.0.1 : pour le plus grand numéro de série 169.254.0.2 : pour le second plus grand numéro de série 169.254.0.3 : pour le troisième numéro de série le plus grand …etc.
• Le Fortigate conserve son adresse IP virtuelle de heartbeat même en cas de changement de son rôle dans le Cluster (Maitre ou esclave) Les adresses IP changent uniquement lorsqu’un boitier rejoint ou quitte un Cluster
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation de la configuration HA
Maître
Esclave
Config
Config
1. Un nouveau boitiersecondaire est ajouté au
Cluster2. Le Maitre compare la
configuration du secondaire. Si différente, il lui envoie sa
configuration
Synchronisation complète
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation de la configuration HA
Maître
Esclave
Config
Config
2. Le changement estsynchroniser avec le
secondaire
1. La configuration du Maître change
Synchronisation incrémentale
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation de la configuration HA• La synchronisation incrémentale inclus :
Les données dynamiques tel que les baux DHCP, les mises à jour de la table de routage, les informations de session, etc.• Périodiquement, HA vérifie les synchronisations
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Réservation d’interface de management HA• Réserver une interface de gestion HA permet une connexion séparée à chaque équipement du Cluster en CLI et GUI
Configurer une IP différente pour cette interface pour chaque Fortigate Les changements de configuration de cette interface HA ne sont pas synchronisées avec les autres équipements
• Egalement non synchronisé : Exception HA Le cluster virtuel HA et les priorités des équipements Les noms d’hôtes
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Synchronisation des sessions• La table de session est synchronisée pour la plupart des sessions VPN IPSec et TCP
Seules les sessions qui n’ont pas été traitées par un proxy UTM peuvent être synchronisées
• Les sessions UDP et ICMP peuvent également être synchronisées
• Les sessions SSL VPN et Multicast ne sont pas synchronisées
config system haset session-pickup enableend
config system haset session-pickup enableset session-pickup-connectionless enableend
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertFGCPSynchronisation de la configurationSynchronisation des sessions
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Les options de Clustering
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Utiliser le Clustering virtuel pour la haute disponibilité par VDOM• Mettre à jour le firmware d’un Cluster HA• Configurer le FGSP (Fortigate Session Life Support Protocol)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Clustering virtuel• Fonctionne seulement en mode Actif-Passif
Domain A Domain B Domain C Domain A Domain D Domain E
HA Actif-Passif
Maitre Secondaire
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Clustering virtuel• Failover entre les VDOMs pour deux Fortigate
Fonctionne en mode Actif-Passif• Utilisé pour fournir le load balancing de trafic
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
FGSP (Fortigate Session Life Support Protocol)• Synchronisation des sessions par VDOM entre deux Fortigate en mode standalone (non HA)
Alternative au mode Actif-Passif• Par défaut, seules les sessions TCP sont synchronisées :
Les sessions UDP et ICMP, les sessions NAT et la configuration peuvent également être synchronisées Seulement pour les sessions du trafic pas pris en charge par le Proxy UTM
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
FGSP (Fortigate Session Life Support Protocol)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Configuration FGSP• Sur chaque Fortigate :
config system interfaceedit ‘’port2’’set vdom ‘’root’’set ip 192.168.8.3 255.255.255.0endconfig system session-syncedit 1 set peerip 192.168.8.4set peervd ‘’root’’set syncvd ‘’VDT1’’end
Adresse IP duFortigate partenaire
Nom du VDOM où l’interface port2 est situéNom du VDOM pour lequel synchroniser les sessions
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Paramètres FGSP optionnels• Pour synchroniser les sessions UDP, ICMP et NAT :
• Pour synchroniser la configuration :
config sys haset session-pickup enableset session-pickup-connectionless enableset session-pickup-nat enableend
config sys haset session-pickup enableset standalone-config-sync enableend
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Mise à jour de firmware• Pour mettre à jour un Cluster HA, il est suffisant de charger le firmwaresur le Maître :
1. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est désactivé2. Le Cluster met à jour le firmware d’abord sur tous les boitiers secondaires3. Un nouveau Maître est élu4. Le Cluster met à jour le firmware sur l’ancien Maître5. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est réactivé
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
HA Full Mesh
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
HA Full Mesh• Réduit le nombre de SPOF
Disponible sur certains modèles de Fortigate• Utilise des agrégats et des interfaces redondantes pour une connexion robuste entre toutes les composantes réseau
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Vérification du status de la HA en GUI
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertClustering virtuelMise à jour FirmwareFGSP (Fortigate Session Life Support Protocol)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Le diagnostic du HA
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
La haute disponibilité (HA)
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Vérifier les opérations du Cluster HA• Connaitre quelques commandes de diagnostique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Vérification du statut de la HA en CLI# diagnose sys ha statusHA informationStatisticstraffic.local = s:0 p:1632326319 b:412621090464traffic.total = s:0 p:1635192199 b:412689100664activity.fdb = c:0 q:0Model=1000, Mode=2 Group=0 Debug=0nvcluster=1, ses_pickup=1, delay=0HA group member information: is_manage_master=1.FGT1KDXXXXXXXXXX, 0. Master:128 FGT2FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:FGT1KDXXXXXXXXXX, 0. Master:128 FGT2 (prio=0, rev=0)FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1 (prio=1, rev=255)
Priorités HA du Maitre et de l’esclave
Numéros de série des deux boitiers
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Connexion en CLI au second boitier• En CLI, via le Maître, il est possible de se connecter au boitier secondaire :
• Pour lister les numéros d’index de chaque Fortigate, utiliser le ‘’point d’interrogation’’ :
# execute ha manage <HA_unit_index>
# execute ha manage ?<id> please input peer box index.<0> Subsidary unit FGVM0100XXXXXXXX
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Vérification de la synchronisation de la configuration• Exécuter la commande suivante sur tous les membres du Cluster :
• Chaque Fortigate doit avoir les mêmes séquences des numéros de checksum
# diagnose sys ha showcsumis_manage_master()=1, is_root_master()=1debugzoneglobal: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 ccroot: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36checksumglobal: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 ccroot: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertVérification du status du Cluster HA
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Comprendre l’état normal
Yassine MORSLIFormateur et Consultant Ingénierie Informatique
Outils de diagnostics
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Identifier le comportement réseau à l’état normal
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Avant l’apparition des problèmes• Savoir ce qui est normal :
Consommation CPU Consommation mémoire Volume du trafic Direction du trafic Numéros de ports et protocoles Modèle de trafic et distrubtion
• Pourquoi ? Un comportement anormal est difficile à déterminer, à moins que vous sachiez relativement ce qui est normal ?
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Diagrammes de réseau• Pourquoi ?
Expliquer / Analyser des réseaux complexes est difficile et prend du temps• Diagramme physique
Inclus des câbles, ports, et des périphériques de réseau Niveau 1/2/3
• Diagramme logique Inclus des sous-réseaux, routeurs, périphériques virtuels (VDOM) et UTM Niveau 3 et plus
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Suivi du flux de traffic et l’utilisation des ressources• Obtenir des données à l’état normal avant l’apparition des problèmes• Un comportement anormal est difficile à déterminer – à moins de savoir ce qui est normal :
Consommation CPU Consommation RAM Applications autorisées Bande passante IN/OUT
• Outils : SNMP Alertes Mails Logging/Syslog Fortianalyzer ou mécanisme de SIEM Tableau de bord get system status
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Polling Fortigate via SNMP
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Réception des notifications via SNMPDestinationDestination
Evènements déclencheurs de traps SNMPEvènements déclencheurs de traps SNMP
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Informations Systèmes et utilisation de ressources# get system statusVersion: FortiGate-VM64 v5.2.4,build0688,150722 (GA)Virus-DB: 30.00334(2015-11-08 15:41)Extended DB: 30.00334(2015-11-08 15:42)Extreme DB: 1.00000(2012-10-17 15:47)IPS-DB: 5.00555(2014-10-07 01:21)IPS-ETDB: 6.00725(2015-11-06 02:55)Serial-Number: FGVM040000025212Botnet DB: 1.00000(2012-05-28 22:51)BIOS version: 04000009License status: ValidVM Resources: 1 CPU/4 allowed, 969 MB RAM/6144 MB allowedHostname: STUDENTOperation Mode: NATCurrent virtual domain: rootMax number of virtual domains: 10Virtual domains status: 1 in NAT mode, 0 in TP modeVirtual domain configuration: disableFIPS-CC mode: disableCurrent HA mode: standaloneBranch point: 688Release Version Information: GAFortiOS x86-64: YesSystem time: Mon Nov 9 21:40:50 2015
# get sys perf statCPU states: 0% user 0% system 0% nice 100% idleCPU0 states: 0% user 2% system 0% nice 98% idleCPU1 states: 0% user 0% system 0% nice 100% idleCPU2 states: 0% user 1% system 0% nice 99% idleCPU3 states: 1% user 1% system 0% nice 98% idleCPU4 states: 0% user 0% system 0% nice 100% idleCPU5 states: 1% user 0% system 0% nice 99% idleCPU6 states: 0% user 0% system 0% nice 100% idleCPU7 states: 0% user 0% system 0% nice 100% idleMemory states: 60% usedAverage network usage: 17457 kbps in 1 minute, 28245 kbps in 10 minutes, 24122 kbps in 30 minutesAverage sessions: 5142 sessions in 1 minute, 6350 sessions in 10 minutes, 6239 sessions in 30 minutesAverage session setup rate: 50 sessions per second in last 1 minute, 48 sessions per second in last 10 minutes, 46 sessions per second in last 30 minutesVirus caught: 0 total in 1 minuteIPS attacks blocked: 0 total in 1 minuteUptime: 29 days, 7 hours, 37 minutes
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plus d’outils• CLI
• Dashboard• Traps SNMP• Alertes mail• Logs
Get system statusGet system performance statusDiagnose sys topDiagnose sys top-summaryDiagnose hardware sysinfo memoryDiagnose hardware sysinfo shmDiagnose netlink device listDiagnose hardware deviceinfo nic port1Diagnose firewall statistics show…
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertPourquoi vous avez besoin de comprendre ce qu’est l’état normal ?
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Diagnosticet TroubleshootingYassine MORSLIFormateur et Consultant Ingénierie Informatique
Outils de diagnostique
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Comprendre la table des sessions• Diagnostique des problèmes de ressources, tel que une haute consommation CPU et mémoire• Tests d’images de firmware sans sauvegarder sur disque
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Troubleshooting niveau réseau : Routes#execute ping-options ?data-size Integer value to specify datagram size in bytes.
df-bit Set DF bit in IP header <yes | no>.interval Integer value to specify seconds between two pings.pattern Hex format of pattern, e.g. 00ffaabb.repeat-count Integer value to specify how many times to repeat PING. source Auto | <source interface IP>.timeout Integer value to specify timeout in seconds.tos IP type-of-service option.ttl Integer value to specify time-to-live.validate-reply Validate reply data <yes | no>.view-settings View the current settings for PING option.
#execute ping <ipv4_address> #execute traceroute { <ipv4_address> | <host_fqdn> }
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Troubleshooting niveau réseau : Sessions1. Effacer les filtres précédents
2. Paramétrer le filtre
3. Lister toutes les entrées associées au filtre configuré
4. Effacer toutes les entrées associées au filtre configuré
# diagnose sys session filterclear
# diagnose sys session filter ?dport destination portdst destination IP addresspolicy policy idsport source portsrc source ip address
# diagnose sys session list
# diagnose sys session clear
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Table des sessions : Exemple TCP#diagnose sys session listsession info: proto=6 proto_state=65 duration=25 expire=9 timeout=3600 flags=00000000 sockflag=00000000 sockport=443 av_idx=9 use=5origin-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bpsreply-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bpsper_ip_shaper=ha_id=0 policy_dir=0 tunnel=/state=may_dirty ndr npustatistic(bytes/packets/allow_err): org=476/8/1 reply=1376/8/1 tuples=2orgin->sink: org pre->post, reply pre->post dev=37->52/52->37 gwy=172.16.0.20/192.168.0.15hook=pre dir=org act=snat 192.168.1.110:57995->74.201.86.29:443(0.0.0.0:0)hook=post dir=reply act=dnat 74.201.86.29:443->172.17.87.16:4168(192.168.1.110:57999)src_mac=70:ca:9b:4e:fd:00misc=0 policy_id=17 auth_info=0 chk_client_info=0 vd=0serial=cb545a86 tos=ff/ff ips_view=12 app_list=0 app=0dd_type=0 dd_mode=0npu_state=00000000npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0, npuid=0/0, onpuid=0/0
ProtocoleProtocole Statut deconnexionStatut deconnexion
TTL restantTTL restant
Port destination
Port destination
Traffic ShapingTraffic Shaping
NATNAT
Accélération matérielle
Accélération matérielle
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Options de capture de paquets avancées
• <count> nombre de paquets à capturer• <tsformat> modifie le format d’horodatage
a – Temp UTC absolu l – temps local
# diag sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Lenteurs• Haute consommation CPU• Haute consommation mémoire• Quelle est l’utilisation du processeur ? Pourquoi ?
# get system performance status# diagnose sys top 1
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Troubleshooting CPU# get system performance statusCPU states: 0% user 0% system 0% nice 100% idleCPU0 states: 0% user 3% system 0% nice 97% idleCPU1 states: 1% user 0% system 0% nice 99% idleCPU2 states: 0% user 2% system 0% nice 98% idleCPU3 states: 2% user 0% system 0% nice 98% idleMemory states: 59% usedAverage network usage: 37764 kbps in 1 minute, 33587 kbps in 10 minutes, 24275 kbps in 30 minutesAverage sessions: 6076 sessions in 1 minute, 6421 sessions in 10 minutes, 6271 sessions in 30 minutesAverage session setup rate: 100 sessions per second in last 1 minute, 86 sessions per second in last 10 minutes, 82 sessions per second in last 30 minutesVirus caught: 0 total in 1 minuteIPS attacks blocked: 0 total in 1 minuteUptime: 30 days, 8 hours, 37 minutes
Consommation CPUConsommation RAM
Utilisation réseau
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Exécuter un nouveau Firmware• Un nouveau firmware peut contenir de nouvelles fonctionnalités et des changements de fonctionnement :
Va-t-il interférer avec le fonctionnement du trafic critique ?• Chargement temporaire d’une nouvelle image (sans enregistrer sur le disque) est une méthode plus sûre de tester avant de mettre à jour
Tester en environnement de lab durant une maintenance Un redémarrage retourne le Fortigate à l’ancien firmware et configuration Bien se documenter sur la release note
• Il est également possible de charger des logiciels de diagnostic
Save as Default firmware/Run image without saving: [D/R]
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Chargement d’une image temporaire• Possible seulement via le port console
Press any key to display the configuration menu…[G] : Get firmware image from TFTP server.[F] : Format boot device.[Q] : Quit menu and continue to boot with default firmware.[H] : Display this list of options.Enter G,F,Q, or H ( Press ‘G’ here.)Enter TFTP server address [192.168.1.168]: xxx.xxx.xxx.xxxEnter local address [192.168.1.188]: xxx.xxx.xxx.xxxEnter firmware image file name [image.out]: xxxxxxxxxxxxxxxMAC:00:09:0f:0a:1a:7c #########Total 10643362 bytes data downloaded.Verifying the intergrity of the firmware image. Total 28000kB unzipped.Save as Default firmware/Run image without saving: [D/R]
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertMonitoring de l’utilisation réseau et ressources de systèmeTroubleshooting physiqueTroubleshooting réseau Tests matérielComment charger un firmware en RAM, pas en disque
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Dimensionnement et support
Yassine MORSLIFormateur et Consultant Ingénierie InformatiqueSite : http://www.alphorm.comBlog : http://blog.alphorm.com
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Plan• Le support Fortinet• Le licensing Fortigate• Les performances des boitiers
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Le Support Fortinet• Les 2 types de support :
FortiCare 8x5• Support email et web du lundi au vendredi de 9h à 18h• Remplacement matériel après réception du matériel défectueux par Fortinet
FortiCare 24x7• Support téléphonique, email et web 24h/24 7J/7• Remplacement anticipé du matériel (J+1)
• Le support Fortinet est accessible via :• http://support.fortinet.com• 0 800 910 652/ +33 4 8987 0555
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Le Licensing Fortigate• Pas de licence par utilisateur• Licences uniquement pour le filtrage de contenu :
Anti-Virus Filtrage d’URLs Anti-Spam IPS/App. Control
• Toutes les autres fonctionnalités sont incluses de base (VPN IPSEC/SSL, Optimisation WAN, QoS, VDOM)
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Entrée de gamme Fortigate: ComparaisonFG-30D FG-60D FG-70D FG80D FG-90D FG-92D
Firewall (1518/512/64 byte UDP)800 / 800 / 800 Mbps 1.5 /1.5 /1.5Gbps 3.5 /3.5 /3.5 Gbps 1.3 Gbps 3.5 /3.5 /3.5Gbps 2 Gbps
Concurrent Sessions 200,000 500,000 2 Mil 1.5 Mil 2 Mil 1.5 MilNew Sessions/Sec 3,500 4,000 4,000 22, 000 4,000 22,000IPSec VPN 350 Mbps 1 Gbps 1 Gbps 200 Mbps 1 Gbps 130 MbpsIPS (HTTP) 150 Mbps 200 Mbps 275 Mbps 800 Mbps 275 Mbps 950 MbpsAntivirus (Proxy based) 30 Mbps 35 Mbps 35 Mbps 250 Mbps 35 Mbps 300 MbpsInterfaces(LAN, WAN & DMZ) 5 x GE RJ45 10 x GE RJ45 16 x GE RJ45 4x GE RJ45 16 x GE RJ45 16 x GE RJ45
Storage - - - 16 GB 32GB 16 GBVariants WiFi, PoE WiFi, PoE - - WiFi, PoE, high port density WiFi
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Entrée de gamme Fortigate: ComparaisonFG-30D FG-60D FG-70D FG80D FG-90D FG-92D FG-94D-POEFG-98D-POE
Recommended #users 1-5 5-25 20-50Storage - - - ✔ ✔✔ ✔ ✔✔WiFi Variant ✔ ✔ - - ✔ ✔ -POE Variant (1x GE) (2x GE) - - (4x GE) - 24x FE Firewall & VPN Performance ✔✔ ✔✔ ✔✔✔ ✔ ✔✔✔ ✔ ✔✔✔UTM Performance ✔ ✔ ✔✔ ✔✔✔ ✔✔ ✔✔✔ ✔✔Port Density ✔✔ ✔✔ ✔✔ ✔ ✔✔ ✔✔ ✔✔✔
Ideal Use Cases
Small branchoffices , Kiosks Small branchoffices Small branch offices Small offices Small branch offices Small offices Small branch offices
Site-Site VPN Site-Site VPN Site-Site VPN Limited VPN Site-Site VPN, WAN opt. Limited VPN Site-Site VPN, WAN opt. limited UTM & features, central logging
limited UTM, central logging UTM, central loggingFull UTM, Cloud based logging
UTM,local log & reportingFull UTM, Cloud based logging
UTM , high PoE ports desired
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
FWF30D FWF30E FWF50E FWF60D FWF90D/92DThick AP ✔ ✔ ✔ ✔ ✔Wireless Controller Yes (CLI) Yes (CLI) Yes Yes Yes#of WiFi radios 1 1 1 1 1Supported Std a/b/g/n a/b/g/n a/b/g/n a/b/g/n a/b/g/n802.11n 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMOMax wireless association rate total 300Mbps 300Mbps 300Mbps 300Mbps 300MbpsSSID’s (incl. reserved) 8 8 8 8 8Max nP (Total/ Local Bridge) 2 / 2 2 / 2 10 / 5 10 / 5 32 / 16
Entrée de gamme Fortigate: Comparaison
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moyenne gamme Fortigate : ComparaisonFGT-100D FGT-140D FGT-200D FGT-240D FGT-280D-POE
Firewall (1518/512/64 byte UDP) 2500* Mbps 2500* Mbps 3 / 3 / 3 Gbps 4 / 4 / 4 Gbps 4 / 4 / 4 GbpsConcurrent Sessions 3 Mil 3 Mil 3.2 Mil 3.2 Mil 3.2 MilNew Sessions/Sec 22,000 22,000 77,000 77,000 77,000IPSec VPN 450 Mbps 450 Mbps 1.3 Gbps 1.3 Gbps 1.3 GbpsIPS (HTTP) 950 Mbps 950 Mbps 1.7 Gbps 2.1 Gbps 2.1 GbpsAntivirus(Proxy Based) 300 Mbps 300 Mbps 600 Mbps 600 Mbps 600 Mbps
Interfaces(LAN, WAN & DMZ) 20 x GE RJ45,2 x GE SFP 40x GE RJ45,2x GE SFP 18 x GE RJ45,2 x GE SFP 42 x GE RJ45,2 x GE SFP54 x GE RJ45,32 x GE PoE RJ45,4 x GE SFP
Storage 32GB 32GB 64 GB 64 GB 64 GBVariants LENC, T1 port, PoE PoE PoE -
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moyenne gamme Fortigate : ComparaisonFGT-300C FGT-300D FGT-400D FGT-500D
Firewall (1518/512/64 byte UDP) 8 / 8 / 8 Gbps 8 / 8 / 8Gbps 16 / 16 / 16 Gbps 16 / 16 / 16 GbpsConcurrent Sessions 2 Mil 6 Mil 5.5 Mil 6 MilNew Sessions/Sec 50,000 200,000 200,000 250,000IPSec VPN 4.5 Gbps 7 Gbps 14 Gbps 14 GbpsIPS (HTTP) 1.4 Gbps 2.8 Gbps 2.8 Gbps 4.7 GbpsAntivirus (Proxy Based) 200 Mbps 1.4 Gbps 1.4 Gbps 1.7 Gbps
Interfaces(LAN, WAN & DMZ) 10 x GE RJ45 6 x GE RJ45, 4 x GE SFP 10 x GE RJ45, 8 x GE SFP 10 x GE RJ45, 8 x GE SFPStorage 16 GB 120 GB - 120 GBVariants LENC LENC - -
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Moyenne gamme Fortigate : ComparaisonFG-600C FG-600D FG-800C FG-900D
Firewall (1518/512/64 byte UDP) 16 / 16 /16 Gbps 36 / 36 / 24 Gbps 20 / 20 / 20 Gbps 52 / 52 / 33 GbpsConcurrent Sessions 3 Mil 5.5 Mil 7 Mil 11 MilNew Sessions/Sec 70,000 270,000 190,000 280,000IPSec VPN 8 Gbps 20 Gbps 8 Gbps 25 GbpsIPS (HTTP) 3 Gbps 7 Gbps 6 Gbps 8 GbpsAntivirus (Proxy Based) 1.3 Gbps 3 Gbps 1.7 Gbps 3.5 Gbps
Interfaces(LAN, WAN & DMZ)18x GE RJ45, 4 x Shared port pairs, 2 x bypass Pairs
2x 10GE SPF+ , 8x GE SFP, 8x GE RJ452 x 10GE SFP+,14 x GERJ45,8 x Shared port pairs, 2 x bypass Pairs
2x 10GE SPF+ , 16x GE SFP,18x GE RJ45Storage 64 GB 120 GB 64 GB 256 GBVariants DC, LENC - - -
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertLe supportLe licensingLa performance des boitiers
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Conclusion de la formation L’UTM FortigateFonctionnalités avancées
Site : http://www.alphorm.comBlog : http://blog.alphorm.comYassine MORSLIFormateur et Consultant Ingénierie Informatique
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Ce qu’on a couvertLe routageLa virtualisation de pare-feuLe mode transparentLes certificatsLa haute disponibilité (HA)Les outils de diagnosticsDimensionnement et support
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Formation suivante
Fortigate –Fonctionnalités avancéesFortigate –Fonctionnalités avancées FortiManagerFortiManager
FortimailFortimail FortiWebFortiWeb
FirewallingNSE 4 AdministrationNSE 5 MessagerieNSE 6 WAFNSE 6
Fortigate –Fonctionnalités de baseFortigate –Fonctionnalités de base
Formation suivante
FortiAnalyzerFortiAnalyzer
Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
QUESTIONS [email protected]