Fortinet UTM - les Fonctionnalités avancéese

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©Yassine MORSLIFormateur et Consultant Ingénierie Informatique

FormationL’UTM FortigateFonctionnalités avancées

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©

Plan• Présentation du formateur• Public concerné• Connaissances requises• Liens utiles• Cursus de formation Fortinet


Présentation du formateur• Yassine MORSLI• Ingénieur Réseaux Systèmes et Sécurité• [email protected]• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics CRM, NetApp• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0• Profils :

Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45


Public concerné• Administrateurs Sécurité• Administrateurs Réseaux• Ingénieurs Systèmes• Consultant infrastructure• DSI


Connaissances requises• Formation Fortinet Fortigate UTM (NSE4)


Liens utiles• http://www.fortinet.com• http://docs.fortinet.com• http://kb.fortinet.com• http://support.fortinet.com


Cursus de formation Fortinet

FortiAnalyzerFortiAnalyzer

FortiManagerFortiManager

FortimailFortimail FortiWebFortiWeb

FirewallingNSE 4 AdministrationNSE 5 MessagerieNSE 6 WAFNSE 6

Fortigate –Fonctionnalités avancéesFortigate –Fonctionnalités avancées

Fortigate –Fonctionnalités de baseFortigate –Fonctionnalités de base


LET’S GO !


Introduction au routage des paquetsYassine MORSLIFormateur et Consultant Ingénierie Informatique

Le routage



Plan• Qu’est ce que le routage IP ?• Routes statiques• Routes dynamiques• Interpréter la table de routage


Qu’est ce que le routage IP ?• Le routage définit comment les paquets sont envoyés via un chemin d’une source à une destination :

La destination est un sous réseau, non connecté directement, le routeur relaie les paquets à un autre routeur connu dans la table de routage Les informations de la table de routage peuvent être configurées manuellement, automatiquement ou un mix des deux

• Le Fortigate en mode NAT est entre autre un routeur de niveau 3


Routes statiques• Configurées manuellement par un administrateur• Adaptation simple des paquets aux routes, basée sur la destination des adresses IP sur les paquets


Routes dynamiques• Les chemins (routes) sont découverts automatiquement :

Le Fortigate communique avec les routeurs voisins pour trouver les meilleures routes pour leur sous réseau connectés Basée sur les adresses IP de destination des paquets Le routage s’organise automatiquement

• Le Fortigate supporte : Routing Information Protocole (RIP) Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) Intermediate System to Intermediate System (IS-IS)


Table de routage• Seulement les routes actuellement actives


Composants de la table de routage• Chaque route de la table de routage dispose de :

Adresse IP de destination et Mask Adresse IP de la passerelle / Interface Distance Metric Priorité


Distance• Estime la ‘’qualité’’ de chaque protocole de routage et itinéraire statique :

Une distance moins élevée est considérée plus fiable Si routes multiples, celle avec la distance la moins élevée est chargée dans la table de routage

• Valeurs des distances par défaut : Directement connecté 0 Gateway DHCP 5 Routes statiques 10 Routes EBGP 20 Routes OSPF 110 Routes RIP 120 Routes IBGP 200


Metric• Utilisée par le protocole de routage dynamique pour déterminer la meilleure route vers une destination

Si routes multiples avec la même distance, celle avec la metric la moins élevée est chargée dans la table de routage• La metric est calculée selon le protocole de routage

Le RIP considère le nombre de sauts OSPF utilise les coûts


Priorité• Utilisée par les routes statiques pour déterminer la meilleure route vers une destination• Si de multiples routes statiques ont la même distance :

Elles seront toutes chargées dans la table de routage Seule la route avec la priorité la moins élevée sera utilisée pour le routage


Quelles routes sont chargées ?Le lien de sortie est-ilUP ? (Pas de route si l’interface est désactivée/non connectée)

Existe-t-il des routes multiples ? (inclus des routes avec de plus petites distance)

Les routes multiples ont-elles des distances égales ? (inclus desroutes avec les plus petites metric)

Les routes multiples ont-elles la mêmemetric ? Considérer les spécifications du protocole de routage dynamique


Règles de routage• Concordance plus sophistiquée que les routes statiques

Protocole Adresse source Ports source Ports destination ToS

• Configurées manuellement• Prioritaire sur la table de routage


Recherche de route• Pour chaque session, le Fortigate exécute les règles de routage et la consultation de la table de routage deux fois :

1. Au premier paquet envoyé2. Au premier paquet reçu par le répondeur

• Les informations de routage sont écrites dans la table de session• Tous les autres paquets pour cette session vont utiliser le même chemin

Exception : Après changement de la topologie OSPF, les informations de routes sont flushées à partir des sessions et doivent être apprises de nouveau


Ce qu’on a couvertEléments de la tables de routageComment le Fortigate match chaque paquet avec une routeRoutes statiques, règles de routage, routage dynamique


ECMP & Contrôle de l’état du lienYassine MORSLIFormateur et Consultant Ingénierie Informatique

Le routage



Plan• Equal Cost Multi-Path (ECMP)• Contrôle de l’état des liens


Equal Cost Multiple Path (ECMP)• Si, plusieurs routes ont :

1. La même distance2. La même metric3. La même priorité4. Et sont des routes statiques/OSPF/BGPAlors, le Fortigate distribue les paquets via les routes ECMP


Méthodes ECMP• Basée sur l’IP source (par défaut)

Les sessions à partir de la même adresse IP source utilisent la même route• Partage de charge basée sur le poids (Weighted load balance)

Les sessions sont distribuées sur la base du poids de chaque interface• Débordement (Spillover)

Utilise une seule route, jusqu’à atteinte d’un seuil de débordement, si atteint, le Fortigate utilise une seconde route• IP Source – IP destination

Les sessions avec la même paire d’IP source/destination utilisent la même route


Equal Cost Multi-PathSous réseau : 192.168.1.0/24

IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30

IP Source : inconnue

IP Source : inconnueInternet

Internet

Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1(static)0.0.0.0/0.0.0.0 wan2(static)10.0.0.0/24 dmz (static)192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local


Equal Cost Multi-PathSous réseau : 192.168.1.0/24

IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30



Internet



Contrôle de l’état du lien• Envoie périodiquement des paquets de sonde à un serveur via une passerelle• Si le Fortigate ne reçoit pas de réponse durant le temps imparti au seuil de basculement, une ou deux des actions suivantes sont prises :

Toutes les routes utilisant la passerelle sont supprimées de la table de routage L’interface du Fortigate est mise à DOWN

• Si des routes secondaires sont disponibles, le Fortigate les charge et les utilise à la place de la route principale – basculement du routage


Configuration du contrôle de l’état du lien


Ce qu’on a couvertEqual Cost Multi-Path (ECMP)Contrôle de l’état du lien


Reverse Path Forwarding

Yassine MORSLIFormateur et Consultant Ingénierie Informatique

Le routage



Plan• Reverse Path Forwarding (RPF)

Loose Strict


Reverse Path Forwarding (RPF)• Le RPF protège contre les attaques de type spoofing d’adresse IP• Vérifie l’adresse IP source de tous les paquets

Si la route retour vers l’adresse IP source ne concorde pas avec le chemin emprunté par le paquet original, le paquet est considéré comme frauduleux et il est bloqué• Le RPF est pris en charge seulement sur :

Le premier paquet de la session, pas sur la réponse Le paquet suivant dans la direction d’origine après un changement de route, pas sur la réponse

• En CLI, affiche les paquets bloquésdiagnose debug flow


Reverse Path ForwardingSous réseau : 192.168.1.0/24

Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local

Internet

IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30





Routes dans la table de routage0.0.0.0/0.0.0.0 wan1(static)10.0.0.0/24 dmz (static)192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local

IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30


IP Source : inconuueInternet

Internet



Routes dans la table de routage :0.0.0.0/0.0.0.0 wan1192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local

Internet

IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30





Routes dans la table de routage :0.0.0.0/0.0.0.0 wan10.0.0.0/0.0.0.0 wan2192.168.1.0/24 local1.1.1.0/30 local2.2.2.0/30 local

IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30



Internet




IP Source : 10.0.0.1/24

dmzwan1:1.1.1.1/30

wan2:2.2.2.1/30



Internet

Les deux routes pardéfaut ont la mêmedistance et priorité→ ECMP


RPF Strict vs. RPF Loose• La vérification du RPF peut être configurée pour être plus stricte• Le paramètre RPF par défaut est Loose

Vérifie uniquement l’existence d’une route pour l’interface de réception Le paquet est redirigé même si un meilleur itinéraire est disponible via une autre interface

• RPF stricte Les adresses sources sont vérifiées dans la table de routage pour trouver la meilleure route (plus petit sous réseau) Si le paquet est reçu sur une interface utilisée pour rediriger le trafic vers la source, le paquet est autorisé

config sys settingset strict-src-check [disable | enable]end


Loose RPFSous réseau : 10.10.10.0/24

Table de routage :0.0.0.0/0 wan120.20.20.0/24 wan110.10.10.0/24 internal

Sous réseau : 20.20.20.0/24

10.10.10.5

wan1

internal

10.10.10.6

20.20.20.20

SYN SYN ACK

hping –a 10.10.10.5 –p 80 –S 10.10.10.6


Loose RPFSous réseau : 10.10.10.0/24

Table de routage :0.0.0.0/0 wan120.20.20.0/24 wan110.10.10.0/24 internal

Sous réseau : 20.20.20.0/24

10.10.10.5

wan1

internal

10.10.10.6

20.20.20.20

RST

hping –a 10.10.10.5 –p 80 –S 10.10.10.6


Strict RPFSous réseau : 10.10.10.0/24

Table de routage :0.0.0.0/0 wan1

20.20.20.0/24 wan110.10.10.0/24 internal

Sous réseau : 20.20.20.0/24

10.10.10.5

wan1

internal

10.10.10.6

20.20.20.20

SYN

hping –a 10.10.10.5 –p 80 –S 10.10.10.6


Interface de loopback• Interface ‘’logique’’ toujours UP et disponible

Utile pour les protocoles de routage dynamique• Tout le trafic destiné pour le loopback s’arrête au Fortigate


Ce qu’on a couvertReverse Path Forwarding loose et stricts


Optimisation des liens


Le routage



Plan• Améliorer la bande passante et la disponibilité entre deux équipements via l’agrégation de liens• Équilibrer la charge en partageant le trafic via de multiples liens WAN• Utilisation des routes de blackhole


Aggregation de liens• Groupe de plusieurs ports physiques à partir d’un canal logique unique avec une plus grande bande passante

Augmente la redondance pour la haute disponibilité


Load Balancing de lien Wan• Un lien WAN virtuel est constitué de plusieurs interfaces connectées à différents ISPs

Le Fortigate voit le lien virtuel WAN comme une interface logique unique Simplifie la configuration Uniquement un lien WAN virtuel par VDOM

InternetISP 1ISP 2ISP 3

Lien WAN virtuel


Méthodes de load balancing des liens WAN• IP Source (par défaut)

Les sessions provenant de la même adresse IP source utilisent le même lien• Weighted round robin

Les sessions sont distribuées selon le poids des interfaces• Débordement (Spillover)

Utilise un seul lien jusqu’à atteinte d’un seuil de débordement, utilise après le lien suivant• IP Source-Destination

Les sessions avec la même paire d’IP Source/Destination utilisent le même lien• Volume mesuré

Distribution des sessions de tel sorte à ce que le volume de trafic soit distribué à travers tous les liens


Configuration du load balancing des liens WAN


Mesure de la qualité du lien WAN• Le Fortigate peut mesurer la qualité de chaque interface membre, basée sur soit la latence ou bien l’instabilité du lien


Interface logique du lien WAN• Une interface logique nommée wan-load-balance est automatiquement créée• Ajouter les routes statiques et les règles de sécurité en utilisant l’interface logique


Routes trou noir (Blackhole routes)• Type spécial de routes statiques utilisé pour couper tout le trafic concerné

Prévient les boucles réseau Les paquets sont écartées silencieusement, pas de message d’erreur ICMP envoyé

Sous réseau :192.168.1.0/24

Routeur: 192.168.1.1

Route internet par défaut :0.0.0.0Internet


Ce qu’on a couvertAgrégation de liensInterface de loopback et routes de trou noirLoad balancing de liens WAN


Diagnostique de l’état du lienYassine MORSLIFormateur et Consultant Ingénierie Informatique

Le routage



Plan• Diagnostiquer et corriger les problèmes de routage


Commandes de diagnostique de routage# get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate defaultO* 0.0.0.0/0 [10/0] via 192.168.11.254, wan1, 01:29:24C 172.16.78.0/24 is directly connected, wan2O 192.168.1.0/24 [110/200] via 182.168.11.59, internal, 01:30:28C 192.168.3.0/24 is directly connected, dmzC 192.168.11.0/24 is directly connected, internal


Commandes de diagnostique de routage# get router info kerneltab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.210/3 2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.135.110/3 2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)tab=254 vf=0 scope=0 type=1 proto=14 prio=0 192.168.8.111/255.255.255.255/0->8.8 .8.8/32 pref=0.0.0.0 gwy=192.168.8.1 dev=6(dmz)tab=254 vf=0 scope=0 type=1 proto=14 prio=0 81.43.23.44/255.255.255.255/0->8.8 .8.8/32 pref=0.0.0.0 gwy=81.43.23.41 dev=5(wan2)tab=254 vf=0 scope=0 type=1 proto=14 prio=0 172.17.0.254/255.255.255.255/0->8.8. 8.8/32 pref=0.0.0.0 gwy=172.17.0.1 dev=4(wan1)tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.208/3 1 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)


Commandes de diagnostique de routage# diagnose ip address listIP=192.168.12.254->192.168.12.254/255.255.255.0 index=3 devname=wan1IP=127.0.0.1->127.0.0.1/255.0.0.0 index=5 devname=rootIP=127.0.0.1->127.0.0.1/255.0.0.0 index=7 devname=ProviderAIP=127.0.0.1->127.0.0.1/255.0.0.0 index=9 devname=ProviderBIP=172.16.78.254->172.16.78.254/255.255.255.0 index=12 devname=wan2IP=192.168.3.254->192.168.3.254/255.255.255.0 index=13 devname=dmz


Commandes de diagnostique de routage# diagnose ip arp listindex=7 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=1835 confirm=55 update=911331 ref=5index=2 ifname=port1 192.168.1.99 state=00000001 use=174 confirm=916499 update=174 ref=17index=2 ifname=port1 192.168.1.116 ac:72:89:56:aa:31 state=00000002 use=0 confirm=7 update=12141 ref=2index=2 ifname=port1 224.0.1.140 01:00:5e:00:01:8c state=00000040 use=911087 confirm=917087 update=911087 ref=1


Moniteur de lien• Affiche le statut du moniteur de l’état du lien et le load balancing du lien WAN


Ce qu’on a couvertComment diagnostiquer ?


VLANs


La virtualisation de pare-feu



Plan• Utiliser les VLANs pour diviser logiquement un réseau de niveau 2 en multiples segments


VLANs

• Subdivise le réseau physique de couche 2 en plusieurs segments plus petits : Chaque segment forme un broadcast de domaine Des tags de vlans sont ajoutés aux trames pour identifier leur segment

VLANs

Physical interfaces


Tags de VLANs• Extension de 4 octets de la trame Ethernet• Les équipements de niveau 2 peuvent ajouter ou supprimer des tags• Les équipements de niveau 3 peuvent réécrire les tags avant le routage

Le Fortigate est de niveau 3, raison pour laquelle il peut réaliser du routage inter-VLANs

Destination MAC

Source MAC Type Data CRC 32

Ethernet frame using VLAN tagsType8100

TagControl

Info2 bytes 2 bytes

•Domaine prioritaire de l’utilisateur•Indicateur de format canonique•Identificateur VLAN


VLANs on a FortiGateDestination

MACSource

MAC Type Data CRC 32Type8100

TagControl

Info

VLAN AVLAN B


VLANs on a FortiGate

VLAN 100

Branch office

VLAN 200

Headquarters

VLAN 300

Tag: VLAN 100Tag: VLAN 100Tag: VLAN 300 Tag: VLAN 300

Router A Router B

Subnet 1 Subnet 2


VLAN Scenario

• Les ordinateurs des comptables situés dans des sites différents doivent partager des fichiers fréquemment, mais ne devraient pas broadcaster aux voisins• Les Fortigates peuvent traiter les trames de ces ordinateurs comme s’ils étaient sur le même réseau local physique

HeadquartersBranch office

Retail office

PC Comptables

PC Comptables

PC Comptables


Créer un VLAN

• Les trames envoyées/reçues par le segment de l’interface physique ne sont jamais taguées Appartiennent au VLAN natif


Ce qu’on a couvertVLANs et tags de VLANs


VDOMs





Plan• Utiliser les VDOMs pour convertir le Fortigate en plusieurs boitiers virtuels• Limiter les ressources allouées globalement et par VDOM• Créer des comptes d’administration globaux et par VDOM


Virtual Domains

• Fractionne un Fortigate physique en multiples Fortigates virtuels Avec des règles de sécurité indépendantes, tables de routage, etc.

• Les paquets sont limités au même VDOM• Le Fortigate supporte jusqu’à 10 VDOM par défaut

Il est possible sur quelques modèles d’avoir plus

Domain A Domain B Domain C

One physical FortiGate device Multiple virtual FortiGate devices


Allocation de ressources systèmes• Ressources globales limitent ce qui est alloué à chaque paramètre sur le Fortigate global• Ressources VDOM limitent ce qui est alloué à chaque paramètre dans chaqueVDOM

Garantit une allocation de ressources minimales par VDOM Aucun VDOM ne peut consommer toutes les ressources du boitier


Limites de ressources globales et par VDOMVDOM 3

Limites de ressources globales

Limites de ressources VDOM


Paramètres globaux

• Affectent tous les domaines virtuels configurés Hostname Paramètres DNS Horloge Version Firmware

Domain A

Paramètres globaux


Paramètres par VDOM

• Configurés séparément au niveau de chaque VDOM Mode de fonctionnement Paramètres de routage Paramètres de pare-feu Paramètres UTM …

Domain A

VDOMsettings


Activer les VDOMs

• En CLI :config system globalset vdom-admin enableend


Administrations des VDOMs• Seuls les comptes nommés ‘’admin’’ ou les comptes avec un profile ‘’super_admin’’ peuvent configurer et sauvegarder tous les VDOMs


super_admin profile


Administrateurs par VDOM• Les autres administrateurs peuvent accéder uniquement aux VDOMs auxquels ils sont assignés

Ne peuvent pas accéder aux paramètres globaux Peuvent accéder uniquement aux paramètres du VDOM auquel ils sont assignés



Créer les administrateurs de VDOM


Ce qu’on a couvertVDOMsRessources globales et par VDOMComptes administrateurs de VDOM


Liens Inter-VDOMs





Plan• Router le trafic entre les VDOMs en utilisant les liens Inter-VDOMs


Liens Inter-VDOM

• Peut connecter différents VDOMs• Support varie selon le mode de fonctionnement du VDOM

NAT vers NAT NAT vers Transparent / Transparent vers NAT Transparent vers Transparent



Liens Inter-VDOMs• Les liens Inter-VDOMs permettent une communication des VDOMs entre eux

Il n’est pas requis que le trafic quitte une interface physique, puis rentre de nouveau sur le Fortigate Nécessite moins d’interfaces physiques et moins de cables

• Les règles de sécurité sont requises pour autoriser le trafic à partir d’autresVDOMs, de la même manière que pour le trafic provenant d’interfacesphysiques• Les routes sont également requises pour rediriger le trafic d’un VDOM à un autre


Créer des liens Inter-VDOMs


Moniteur des ressources de VDOM• Le moniteur des VDOMs affiche:

L’utilisation CPU L’utilisation mémoire Nombre de sessions Les sessions par seconde


VDOM de management• Le VDOM de management est le VDOM qui gère tout le trafic de gestion• Il doit avoir accès à tous les services requis par le système

DNS NTP Mise à jour FortiGuard Journalisation vers le FortiAnalyzer ou Syslog Alertes Email SNMP

• Par défaut, le VDOM de gestion est le VDOM root


Exemples : VDOMs inépendantsInternet

VDOM 1 VDOM 2 VDOM 3

Réseau 1 Réseau 2 Réseau 3

Internet


Exemples : VDOMs inépendantsInternet



Internet

• Plusieurs VDOMs complètement séparés les uns des autres• Pas de communication entre les VDOMs• Chacun a son propre lien de communication physique vers Internet


Exemple : Routage via le VDOM de Management


Management VDOM

Internet



Exemple : Routage via le VDOM de Management


Management VDOM

Internet

VDOM 1 VDOM 2 VDOM 3• Le trafic sortant toujours routé via le VDOM root

Le VDOM root est connecté à d’autres via les liens Inter-VDOMs• Seul le VDOM root est connecté à Internet via une interface physique


Exemple : Maillage de VDOMs

Réseau 1 Réseau 2

Management VDOM

Internet

VDOM 1 VDOM 2


Exemple : Maillage de VDOMs

Réseau 1 Réseau 2

Management VDOM

Internet

VDOM 1 VDOM 2

• Les VDOMs se connectent entre eux via des liens Inter-VDOMs• Il n’est pas requis que le trafic passe via le VDOM de management sauf pour le trafic Internet• Seul le VDOM root est connecté à Internet via une interface physique• Le routage entre les interfaces virtuelles peut vitedevenir complexe


Ce qu’on a couvertLiens Inter-VDOMsMoniteur de ressources par VDOMTopologies des VDOM


Fortigate en mode Transparent


Le mode transparent



Plan• Choix du meilleur mode de fonctionnement Fortigate• Segmenter le réseau en plusieurs domaines de redirection• Prévenir les tempêtes de diffusion et le battement de MAC en utilisant le jumelage de ports


Modes de fonctionnement• Définit comment le Fortigate prend en charge le trafic :

Mode NAT/Route• Routes selon la niveau 3 du modèle OSI, comme un routeur• Les interfaces du Fortigate disposent d’adresses IP

Mode transparent• Redirige selon le niveau 2 (adresses MAC), comme un pont transparent• Ne requiert pas de changement d’adresse IP dans le réseau• Le Fortigate ne dispose pas d’adresse IP, excepté pour la connexion des administrateurs


Mode de fonctionnement – NAT/Route

Internet

wan1204.23.1.5

internal192.168.1.99

dmz10.10.10.1

192.168.1.3

10.10.10.2

Les interfaces disposentd’adresses IP

Routage basé sur l’IP


Mode de fonctionnement – Transparent

Internet

internal10.10.10.1

Gateway topublic network

204.23.1.5

wan110.10.10.3

Switching, pas de routagePas d’IPs par interface

(Management IP)

Les règles de sécuritécontrôlent le trafic entre le

réseau interne et le réseau externe


Pont Transparent• Un pont est transparent pour les hôtes de couche IP• Le Fortigate construit une table pour la redirection du trafic en analysant l’adresse MAC source des trames entrantes à partir des réseaux rattachés• Fractionne le réseau en plusieurs domaines de collision :

Réduit l’occurrence des collisions des domaines individuels Peut améliorer le temps de réponse réseau


Redirection de domaine• Par défaut, toutes les interfaces dans un VDOM appartiennent au mêmedomaine de broadcast

Même les interfaces avec des ID de VLANs différents S’il contient de multiples interfaces, le domaine de broadcast peut être très large, interfèreavec le STP, et peut causer du flapping d’adresses MAC

• Pour diviser un VDOM en plusieurs domaines de broadcast

Les interfaces avec le même ID appartiennent au même domaine de broadcast

config system interfaceedit <Nom_interface>set forward-domain <ID_domaine>end


Domaine de BroadcastFortigate en

mode Transparent

Broadcast ARP surVLAN101_wan1

VLAN102_dmzVLAN104_dmz

Port 1

VLAN101_wan1

VLAN103_dmz

VLAN101_internalToutes les interfaces dans

le domaine de forward 0(par défaut)


Transfert de domaineFortigate en

mode Transparent

Broadcast ARP surVLAN101_wan1

VLAN102_dmzVLAN104_dmz

Port 1

VLAN101_wan1

VLAN103_dmz

VLAN101_internal

config sys interfaceedit VLAN101_wan1set forward-domain 101end

config sys interfaceedit VLAN101_internalset forward-domain 101end

VLAN101_internalVLAN101_wan1Forwarding domain 101

config sys interfaceedit VLAN101_wan1set forward-domain 101end

config sys interfaceedit VLAN101_internalset forward-domain 101end


Jumelage de Ports (Port Pairing)• Lier logiquement deux ports dans un Fortigate en mode Transparent

Habituellement, un port interne et un port externe• Le trafic est capturé entre ces ports

Le trafic entrant sur un port est tout le temps redirigé vers l’autre port• Evite la complexité comme les tempêtes de diffusion, et les MAC flapping


Port PairingFortigate en

mode Transparent

Port1

Internet

Port2

Port3

Wan1Port Pair → Trafic exclusif


Ce qu’on a couvertMode NAT vs. Mode TransparentPont TransparentRedirection de domainesJumelage de ports (Port Pairing)


La cryptographie


Les certificats



Plan• Sécurisation du trafic• Comprendre la cryptographie symétrique• Comprendre la cryptographie asymétrique


Comment sécuriser le trafic ?• Sécurise la communication entre deux personnes ou deux périphériques• Les éléments inclus:

La confidentialité des données L’intégrité des données L’authentification La non répudiation

Internet


Cryptographie : Confidentialité des données• Le cryptage brouille les données qui transitent dans le réseau :

Les données sont privées lorsqu’elles transitent Seuls les destinataires légitimes de la donnée peuvent la déchiffrer

?


Cryptographie : Intégrité des données• Les destinataires vérifient que la donnée n’a pas été modifiée durant le transit sur le réseau :

Le cheksum des données en réception correspond au cheksum en émissionDonnées créées (Cheksum) Données réçues (Cheksum)Match


Authentification

• Le récepteur peut vérifier l’identité des expéditeurs de confiance Permet de confirmer l’origine des données

Information d’identitéannexée à la donnée Indentité de l’expéditeur vérifiée

et approuvée


Non-Repudiation

• L’expéditeur ne peut pas nier sa participation à l'opération à une date ultérieure• Les informations d’identité lient l’expéditeur aux données échangées

Information d’identitéannexée à la donnée L’expéditeur ne peut pas nier

sa participation à l’échange


Chryptographie symétrique

Algorithme Algorithme

Texte plein Algorithmesymétrique

Texte crypté Algorithmeasymétrique

Texte plein

A l’expéditeur Au récepteur

Numéro aléatoireentre 40 et 256 bits Le même numéro


Cryptographie symétrique• La clé utilisée pour le chiffrement est la même que celle utilisée pour le déchiffrement • Doit être partagée par l’expéditeur et le destinataire

La clé doit être remise au destinataire en toute sécurité avant de pouvoir déchiffrer la donnée Avoir une clé découverte ou divulguée compromet toutes les communications basées sur cette clé

• La conversion de la donnée en cryptée et inversement est rapide Adaptée pour le chiffrement des données en bloc

• Problèmes de gestion de clés Le nombre de clés devant être gérés augmente avec la taille de la communauté


Cryptographie asymétrique• Utilise deux clés différentes : publique et privée• Les deux clés sont mathématiquement liées• Extrêmement difficile de deviner la clé publique de la clé privée• Ce qui a été chiffré par une clé ne peut être déchiffré en utilisant l’autre clé

Grand nombre aléatoireGrand nombre aléatoire Générateur de cléGénérateur de clé

Clé privée

Clé publique


Asymmetric Cryptography

• Les clés publiques sont disponibles pour les destinataires via la PKI ou autre méthodes• Les clés privées doivent être enregistrées de façon sécurisée, accessibles uniquement pour les propriétaires de clés

• Elles doivent être protégées pour empêcher les accès non autorisés

Public

Private

PKI

Public

Private

Public

Private


Exemple : Cryptographie asymétrique

Algorithme Algorithme

Texte plein Algorithmeasymétrique

Texte chiffré Algorithmeasymétrique

Texte plein

A l’expéditeur Au récepteur

Publique Privée


Ce qu’on a couvertSécuriser le traficCryptographie symétriqueCryptographie asymétrique


Les certificats digitauxYassine MORSLIFormateur et Consultant Ingénierie Informatique

Les certificats



Plan• Authentifier les utilisateurs avec des certificats personnels• Créer et soumettre une requête de certificat


Certificat digital• Identifie une identité finale (utilisateur ou service réseau)• Contient des informations de l’entité, inclus sa clé publique• Publié et signé par une autorité de certification (CA)

Le CA certifie que les informations sont valides et vraies• Les autorités de certification publiques sont publiquement connues comme fournisseurs de certificats

GoDaddy, Verisign, etc.


Types de certificats digitaux• La plupart des types des certificats communs :

Certificats CA : Valide l’autorité de certification (CA) et contient la clé publique du CA Certificats service local : identifie les services réseau, comme les portails web HTTPS. Contiennent une clé publique du service réseau Certificats utilisateur : Identifie un utilisateur et contient la clé publique de l’utilisateur

• Les certificats ‘Utilisateurs’ et ‘Service local’ sont également appelés Certificat d’entité finale (End-entity certificate)


Champs des certificats digitaux• Quelques champs dans un certificat digital :

Numéro de série : ID unique Sujet : l’entité identifiée Algorithme de signature : l’algorithme utilisé pour créer la signature Signature : la signature CA chiffrée avec la clé privée du CA Emetteur : L’autorité qui a émis et signé le certificat Valid-From : la date à partir de laquelle le certificat a commencé à être valide Valid-To : la date d’expiration Key-Usage : but de la clé publique Clé publique : La clé publique de l’entité identifiée


Authentifiation utilisateur par certificat• La signature du certificat utilisateur a été cryptée en utilisant la clé privée du CA1• Le serveur d’authentification doit avoir le certificat CA1, contenant la clé publique du CA1, pour déchiffrer et valider la signature du certificat utilisateur

Certificat utilisateur

Signé par CA1Chiffré par CA1Clé privée

Certificat utilisateur


Certificat CA1

Clé publique de CA1

Certificat CA1


Serveur d’authentification Utilisateur


Service de validation de certificat• Lorsqu’un serveur requête une page web HTTPS, il reçoit le propre certificat du site web, qui a été signé par un CA• Le navigateur doit faire confiance au CA pour authentifier le certificat :

Les certificats CA, contenant la clé publique du CA, pour chiffrer et valider la signature dans le certificat, doivent exister sur la liste du navigateur des CA de confiance

Certificat CA1


Certificat CA1


Certificat du site web


Certificat du site web


Site Web Utilisateur


Secure Socket Layer Security

HelloHTTPS://Issued by trusted CA?Still valid?

Has it been revoked?Public

SecretEncryptedSecret

Private

SecretSymmetric key Symmetric key


Secure Socket Layer Security

Hello


Génération du certificat digital

• La clé publique est soumise à l’autorité de certification Le fichier est habituellement un *.CSR (Certifiate Signing Request) L’information utilisateur et la donnée sont vérifiées

• La donnée est publiée dans un format standard et le certificat digital du CA est appliqué• La signature garantie l’intégrité de la donnée et qu’elle a été vérifiée par une partie de confiance

• Le certificat digital est publié dans une base de certificats publique

Autorité de certification

Base de donnéespublique

Privée

Publique


Générer une requête de certificat• Remplisser le formulaire de demande de certificat sur le Fortigate pour générer une demande PCKS#10

Le fichier va inclure la clé publique du Fortigate• Le fichier est alors soumis à une autorité de certification de confiance• Le status du certificat sera listé sur le Fortigate comme Pending

Request submitted toCertification Authority

Private

Public +

PKCS#10 Certificate Request


Télécharger une demande de signature de certificat


Importer un certificate


Liste de révocation de certificats

• La Liste des certificats révoqués (CRL) contient les numéros de série de tous les certificats jugés indignes de confiance• Le CRL sera toujours vérifié avant qu’un certificat soit utilisé pour s’assurer qu’il est encore de confiance• Le CRL doit être tenu à jour sur le Fortigate

Doit être copié régulièrement, à partir de l’autorité de certification, manuellement sur le boitier Fortigate

Autorité de certification Numéro de série: 764926

CRL

Numéro de série: 764926 ?


Sauvegarde et restauration de certificats• Les clés et les certificats peuvent êtresauvegardés

• Un serveur TFTP est requis pour l’Import/Exportexecute vpn certificate local import tftp <file-name_str> <tftp_ip>execute vpn certificate local export tftp<certificate-name_str> <file-name_str> <tftp_ip>

• Les clés et les certificats sont stockés dansun fichier PKCS#12• Une sauvegarde de configuration contientégalement les clés et les certificats

Certificat du Fortigate

CAVérification du certificatPar le CA

Private

Fichier PKCS#12 protégé par mot de passe


Ce qu’on a couvertLes certificats digitauxAuthentification utilisateur par certificatÉchanges SSLGénérer un certificatImporter un certificatGérer la liste de révocation


Inspection du contenu SSL


Les certificats



Plan• Activer l’inspection du contenu SSL sur le Fortigate


Inspection du contenu SSL• Le Fortigate requiert une clé privée pour déchiffrer et inspecter le trafic SSL

Intercepte le trafic provenant des serveurs et « re-signe » avec son certificat et clé• Le certificat fourni par le Fortigate doit être délivré au nom de domaine de destination

Le Fortigate agit comme un sous CA• Process de communication SSL standard


Inspection du contenu SSL : Limitations Certificat• L’inspection SSL nécessite un certificat qui autorise le Fortigate à délivrer des certificats (et des clés privées) à la volée à n’importe quel site web

Conditions• CA=True ou• Key Usage=KeyCertSign

• Les Fortigate ont un certificat local par défaut pour ce type ‘Fortinet_CA_SSLProxy’, qui est délivré par une CA privée appelée ‘’Fortigate CA’’ Pas un certificat public


Avertissement certificate durant une inspection SSL• Lors d’une inspection SSL, le navigateur affiche un message d’avertissement lorsqu’il ne fait pas confiance au CA

• Pour éviter l’avertissement, trois options possibles : Utiliser le certificat ‘Fortinet_CA_SSLProxy’, et installer le certificat racine ‘Fortigate CA’ sur tous les navigateurs Générer un nouveau certificat SSL Proxy en utilisant une CA privée, et installer le certificat racine CA correspondant sur tous les navigateurs Acheter un certificat adéquat pour signer d’autres certificat d’une CA que le navigateur connait déjà

• SSL a été conçu pour sécuriser les communications point à point Lire le contenu est supposé être compliqué


Configuration : Profil Inspection SSL• Définit comment le trafic chiffré sera traité :

Quel protocol de chiffrement prendre en charge (HTTPS, SMTPS, …) Comment traiter l’inspection (Inspection SSL, Inspection CA) Quand dispenser de l’inspection SSL

Certificat Proxy SSLCertificat Proxy SSL


Configuration : Dispenser un trafic de l’inspection SSL• L’inspection SSL de certain type de trafic peut être illégale

Vérifier les lois en vigueur

Trafic à dispenser d’une inspection SSLTrafic à dispenser d’une inspection SSL


Configuration : Règle de sécurité• Le profil d’inspection SSL doit être assigné à une règle de sécurité

Définit comment le trafic chiffré doit être traité


Ce qu’on a couvertInspection de contenu SSLAvertissement de certificatConfiguration


Introduction à la HA


La haute disponibilité (HA)



Plan• Choisir le bon mode de haute disponibilité HA


Haute Disponibilité (HA)Deux Fortigate ouplus fonctionnenten Cluster HA

Si un boitier tombeen panne, un autreprend le relai


Haute Disponibilité – Actif-Passif

Boitier primaire

Actif-Passif

Boitier primaire

Les secondaires restenten attenteLa configuration du Maitre est

synchronisée avec les boitierssecondaires

Si le principal tombe en panne, le secondaire prend le relai

Boitiers secondaires


Haute Disponibilité – Actif-Actif

Le boitier principal traite le trafic

Les boitiers secondairestraitent également le trafic

Si le boitier principal tombe, un autre secondaire prendimmédiatement sa place

Le boitier principal partage les sessions avec les secondaires

Actif-Passif


Election du boitier Maître

FortigatePrincipal FortigateSecondaire


Tâches du Fortigate principal• Echange des paquets Hello heartbeat avec tous les boitiers secondaires• Synchronise sa table de routage et sa configuration avec tous les boitiers secondaires• Peut synchroniser certaines informations de trafic de sessions pour un basculement transparent• En mode Actif-Actif seulement :

Distribue le trafic à tous les devices du Cluster


Tâches du Fortigate secondaire• Monitore le boitier principal pour des indications de panne via Hello, ou via le monitoring de ports

Si un problème est détecté avec le boitier principal, le secondaire élisent un nouveau Maitre• En mode Actif-Actif seulement :

Traite le trafic distribué par le Maitre


Ce qu’on a couvertMode Actif-Actif vs. Mode Actif-PassifComment le HA élit le Maitre


Failover d’équipement





Plan• Device Failover


Adresses MAC virtuelles et Failover• Sur le Maitre, chaque interface lui est attribuée a une adresse MAC virtuelle (à l’exception de l’interface de heartbeat HA)• Après le basculement, le Maitre nouvellement élu adopte les mêmes adresses MAC virtuelles que l’ancien

Adresses MAC virtuelle

Ancien Maitre

Nouveau Maitre


Panne d’un Fortigate secondaire

• Le Maitre met à jour laliste des Fortigatesecondaires disponibles• Le Maitre met à jour laliste des Fortigatesecondaires disponibles

Actif-PassifActif-Passif• Le Maitre met à jour laliste des Fortigatesecondaires disponibles• Redistribue la chargeaux autres boitiers

• Le Maitre met à jour laliste des Fortigatesecondaires disponibles• Redistribue la chargeaux autres boitiers

Actif-ActifActif-Actif


Charge

• Le Maitre reçoit et traite tout le trafic• Le boitier secondaire attend passivement

• Le Maitre reçoit et traite tout le trafic• Le boitier secondaire attend passivement

Actif-PassifActif-Passif• Le Maitre reçoit tout le trafic• Redirige certains trafic au boitier secondaire

• Le Maitre reçoit tout le trafic• Redirige certains trafic au boitier secondaire

Actif-ActifActif-Actif


Partage de charge Actif-Actif

1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 802. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 803a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dsport 803b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy)



4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 805. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80



6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 807. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 808. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80


Failover• Plusieurs déclencheurs possibles

Panne matérielle Crash software Câble réseau déconnecté, etc.

• Journaux d’évènements, traps SNMP, alertes mail enregistrent les évènements du failover


Types de Failover• Failover d’équipement

Si le Maitre arrête d’envoyer des paquets heartbeat, un autre Fortigate prend sa place automatiquement• Failover de lien

Le Cluster peut monitorer certaines interfaces afin de déterminer si elles fonctionnent et connectées Si une interface monitorée du Fortigate Maitre tombe, le Cluster élit un nouveau Maitre


Ce qu’on a couvertPartage de charge Actif-ActifHA Failover


La synchronisation entre les équipements





Plan• Découvrir le protocole FGCP• Synchronisation de la configuration• Synchronisation des sessions


Protocole de Clustering Fortigate• Le Cluster utilise le protocole FGCP (FortiGate Clustering Protocol) pour :

La découverte d’autres Fortigate qui font partie du même groupe HA L’élection du Maître Synchroniser la configuration et autres données Détecter lorsqu’un Fortigate tombe en panne

• Fonctionne sur les liens heartbeat uniquement• Utilise le port TCP 703


Adresses IP des interfaces heartbeat• Le Cluster attribue une adresse IP virtuelle aux interfaces de heartbeatsur la base du numéro de série de chaque Fortigate :

169.254.0.1 : pour le plus grand numéro de série 169.254.0.2 : pour le second plus grand numéro de série 169.254.0.3 : pour le troisième numéro de série le plus grand …etc.

• Le Fortigate conserve son adresse IP virtuelle de heartbeat même en cas de changement de son rôle dans le Cluster (Maitre ou esclave) Les adresses IP changent uniquement lorsqu’un boitier rejoint ou quitte un Cluster


Synchronisation de la configuration HA

Maître

Esclave

Config

Config

1. Un nouveau boitiersecondaire est ajouté au

Cluster2. Le Maitre compare la

configuration du secondaire. Si différente, il lui envoie sa

configuration

Synchronisation complète


Synchronisation de la configuration HA

Maître

Esclave

Config

Config

2. Le changement estsynchroniser avec le

secondaire

1. La configuration du Maître change

Synchronisation incrémentale


Synchronisation de la configuration HA• La synchronisation incrémentale inclus :

Les données dynamiques tel que les baux DHCP, les mises à jour de la table de routage, les informations de session, etc.• Périodiquement, HA vérifie les synchronisations


Réservation d’interface de management HA• Réserver une interface de gestion HA permet une connexion séparée à chaque équipement du Cluster en CLI et GUI

Configurer une IP différente pour cette interface pour chaque Fortigate Les changements de configuration de cette interface HA ne sont pas synchronisées avec les autres équipements

• Egalement non synchronisé : Exception HA Le cluster virtuel HA et les priorités des équipements Les noms d’hôtes


Synchronisation des sessions• La table de session est synchronisée pour la plupart des sessions VPN IPSec et TCP

Seules les sessions qui n’ont pas été traitées par un proxy UTM peuvent être synchronisées

• Les sessions UDP et ICMP peuvent également être synchronisées

• Les sessions SSL VPN et Multicast ne sont pas synchronisées

config system haset session-pickup enableend

config system haset session-pickup enableset session-pickup-connectionless enableend


Ce qu’on a couvertFGCPSynchronisation de la configurationSynchronisation des sessions


Les options de Clustering





Plan• Utiliser le Clustering virtuel pour la haute disponibilité par VDOM• Mettre à jour le firmware d’un Cluster HA• Configurer le FGSP (Fortigate Session Life Support Protocol)


Clustering virtuel• Fonctionne seulement en mode Actif-Passif

Domain A Domain B Domain C Domain A Domain D Domain E

HA Actif-Passif

Maitre Secondaire


Clustering virtuel• Failover entre les VDOMs pour deux Fortigate

Fonctionne en mode Actif-Passif• Utilisé pour fournir le load balancing de trafic


FGSP (Fortigate Session Life Support Protocol)• Synchronisation des sessions par VDOM entre deux Fortigate en mode standalone (non HA)

Alternative au mode Actif-Passif• Par défaut, seules les sessions TCP sont synchronisées :

Les sessions UDP et ICMP, les sessions NAT et la configuration peuvent également être synchronisées Seulement pour les sessions du trafic pas pris en charge par le Proxy UTM


FGSP (Fortigate Session Life Support Protocol)


Configuration FGSP• Sur chaque Fortigate :

config system interfaceedit ‘’port2’’set vdom ‘’root’’set ip 192.168.8.3 255.255.255.0endconfig system session-syncedit 1 set peerip 192.168.8.4set peervd ‘’root’’set syncvd ‘’VDT1’’end

Adresse IP duFortigate partenaire

Nom du VDOM où l’interface port2 est situéNom du VDOM pour lequel synchroniser les sessions


Paramètres FGSP optionnels• Pour synchroniser les sessions UDP, ICMP et NAT :

• Pour synchroniser la configuration :

config sys haset session-pickup enableset session-pickup-connectionless enableset session-pickup-nat enableend

config sys haset session-pickup enableset standalone-config-sync enableend


Mise à jour de firmware• Pour mettre à jour un Cluster HA, il est suffisant de charger le firmwaresur le Maître :

1. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est désactivé2. Le Cluster met à jour le firmware d’abord sur tous les boitiers secondaires3. Un nouveau Maître est élu4. Le Cluster met à jour le firmware sur l’ancien Maître5. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est réactivé


HA Full Mesh


HA Full Mesh• Réduit le nombre de SPOF

Disponible sur certains modèles de Fortigate• Utilise des agrégats et des interfaces redondantes pour une connexion robuste entre toutes les composantes réseau


Vérification du status de la HA en GUI


Ce qu’on a couvertClustering virtuelMise à jour FirmwareFGSP (Fortigate Session Life Support Protocol)


Le diagnostic du HA





Plan• Vérifier les opérations du Cluster HA• Connaitre quelques commandes de diagnostique


Vérification du statut de la HA en CLI# diagnose sys ha statusHA informationStatisticstraffic.local = s:0 p:1632326319 b:412621090464traffic.total = s:0 p:1635192199 b:412689100664activity.fdb = c:0 q:0Model=1000, Mode=2 Group=0 Debug=0nvcluster=1, ses_pickup=1, delay=0HA group member information: is_manage_master=1.FGT1KDXXXXXXXXXX, 0. Master:128 FGT2FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:FGT1KDXXXXXXXXXX, 0. Master:128 FGT2 (prio=0, rev=0)FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1 (prio=1, rev=255)

Priorités HA du Maitre et de l’esclave

Numéros de série des deux boitiers


Connexion en CLI au second boitier• En CLI, via le Maître, il est possible de se connecter au boitier secondaire :

• Pour lister les numéros d’index de chaque Fortigate, utiliser le ‘’point d’interrogation’’ :

# execute ha manage <HA_unit_index>

# execute ha manage ?<id> please input peer box index.<0> Subsidary unit FGVM0100XXXXXXXX


Vérification de la synchronisation de la configuration• Exécuter la commande suivante sur tous les membres du Cluster :

• Chaque Fortigate doit avoir les mêmes séquences des numéros de checksum

# diagnose sys ha showcsumis_manage_master()=1, is_root_master()=1debugzoneglobal: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 ccroot: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36checksumglobal: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 ccroot: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36


Ce qu’on a couvertVérification du status du Cluster HA


Comprendre l’état normal


Outils de diagnostics



Plan• Identifier le comportement réseau à l’état normal


Avant l’apparition des problèmes• Savoir ce qui est normal :

Consommation CPU Consommation mémoire Volume du trafic Direction du trafic Numéros de ports et protocoles Modèle de trafic et distrubtion

• Pourquoi ? Un comportement anormal est difficile à déterminer, à moins que vous sachiez relativement ce qui est normal ?


Diagrammes de réseau• Pourquoi ?

Expliquer / Analyser des réseaux complexes est difficile et prend du temps• Diagramme physique

Inclus des câbles, ports, et des périphériques de réseau Niveau 1/2/3

• Diagramme logique Inclus des sous-réseaux, routeurs, périphériques virtuels (VDOM) et UTM Niveau 3 et plus


Suivi du flux de traffic et l’utilisation des ressources• Obtenir des données à l’état normal avant l’apparition des problèmes• Un comportement anormal est difficile à déterminer – à moins de savoir ce qui est normal :

Consommation CPU Consommation RAM Applications autorisées Bande passante IN/OUT

• Outils : SNMP Alertes Mails Logging/Syslog Fortianalyzer ou mécanisme de SIEM Tableau de bord get system status


Polling Fortigate via SNMP


Réception des notifications via SNMPDestinationDestination

Evènements déclencheurs de traps SNMPEvènements déclencheurs de traps SNMP


Informations Systèmes et utilisation de ressources# get system statusVersion: FortiGate-VM64 v5.2.4,build0688,150722 (GA)Virus-DB: 30.00334(2015-11-08 15:41)Extended DB: 30.00334(2015-11-08 15:42)Extreme DB: 1.00000(2012-10-17 15:47)IPS-DB: 5.00555(2014-10-07 01:21)IPS-ETDB: 6.00725(2015-11-06 02:55)Serial-Number: FGVM040000025212Botnet DB: 1.00000(2012-05-28 22:51)BIOS version: 04000009License status: ValidVM Resources: 1 CPU/4 allowed, 969 MB RAM/6144 MB allowedHostname: STUDENTOperation Mode: NATCurrent virtual domain: rootMax number of virtual domains: 10Virtual domains status: 1 in NAT mode, 0 in TP modeVirtual domain configuration: disableFIPS-CC mode: disableCurrent HA mode: standaloneBranch point: 688Release Version Information: GAFortiOS x86-64: YesSystem time: Mon Nov 9 21:40:50 2015

# get sys perf statCPU states: 0% user 0% system 0% nice 100% idleCPU0 states: 0% user 2% system 0% nice 98% idleCPU1 states: 0% user 0% system 0% nice 100% idleCPU2 states: 0% user 1% system 0% nice 99% idleCPU3 states: 1% user 1% system 0% nice 98% idleCPU4 states: 0% user 0% system 0% nice 100% idleCPU5 states: 1% user 0% system 0% nice 99% idleCPU6 states: 0% user 0% system 0% nice 100% idleCPU7 states: 0% user 0% system 0% nice 100% idleMemory states: 60% usedAverage network usage: 17457 kbps in 1 minute, 28245 kbps in 10 minutes, 24122 kbps in 30 minutesAverage sessions: 5142 sessions in 1 minute, 6350 sessions in 10 minutes, 6239 sessions in 30 minutesAverage session setup rate: 50 sessions per second in last 1 minute, 48 sessions per second in last 10 minutes, 46 sessions per second in last 30 minutesVirus caught: 0 total in 1 minuteIPS attacks blocked: 0 total in 1 minuteUptime: 29 days, 7 hours, 37 minutes


Plus d’outils• CLI

• Dashboard• Traps SNMP• Alertes mail• Logs

Get system statusGet system performance statusDiagnose sys topDiagnose sys top-summaryDiagnose hardware sysinfo memoryDiagnose hardware sysinfo shmDiagnose netlink device listDiagnose hardware deviceinfo nic port1Diagnose firewall statistics show…


Ce qu’on a couvertPourquoi vous avez besoin de comprendre ce qu’est l’état normal ?


Diagnosticet TroubleshootingYassine MORSLIFormateur et Consultant Ingénierie Informatique

Outils de diagnostique



Plan• Comprendre la table des sessions• Diagnostique des problèmes de ressources, tel que une haute consommation CPU et mémoire• Tests d’images de firmware sans sauvegarder sur disque


Troubleshooting niveau réseau : Routes#execute ping-options ?data-size Integer value to specify datagram size in bytes.

df-bit Set DF bit in IP header <yes | no>.interval Integer value to specify seconds between two pings.pattern Hex format of pattern, e.g. 00ffaabb.repeat-count Integer value to specify how many times to repeat PING. source Auto | <source interface IP>.timeout Integer value to specify timeout in seconds.tos IP type-of-service option.ttl Integer value to specify time-to-live.validate-reply Validate reply data <yes | no>.view-settings View the current settings for PING option.

#execute ping <ipv4_address> #execute traceroute { <ipv4_address> | <host_fqdn> }


Troubleshooting niveau réseau : Sessions1. Effacer les filtres précédents

2. Paramétrer le filtre

3. Lister toutes les entrées associées au filtre configuré

4. Effacer toutes les entrées associées au filtre configuré

# diagnose sys session filterclear

# diagnose sys session filter ?dport destination portdst destination IP addresspolicy policy idsport source portsrc source ip address

# diagnose sys session list

# diagnose sys session clear


Table des sessions : Exemple TCP#diagnose sys session listsession info: proto=6 proto_state=65 duration=25 expire=9 timeout=3600 flags=00000000 sockflag=00000000 sockport=443 av_idx=9 use=5origin-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bpsreply-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bpsper_ip_shaper=ha_id=0 policy_dir=0 tunnel=/state=may_dirty ndr npustatistic(bytes/packets/allow_err): org=476/8/1 reply=1376/8/1 tuples=2orgin->sink: org pre->post, reply pre->post dev=37->52/52->37 gwy=172.16.0.20/192.168.0.15hook=pre dir=org act=snat 192.168.1.110:57995->74.201.86.29:443(0.0.0.0:0)hook=post dir=reply act=dnat 74.201.86.29:443->172.17.87.16:4168(192.168.1.110:57999)src_mac=70:ca:9b:4e:fd:00misc=0 policy_id=17 auth_info=0 chk_client_info=0 vd=0serial=cb545a86 tos=ff/ff ips_view=12 app_list=0 app=0dd_type=0 dd_mode=0npu_state=00000000npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0, npuid=0/0, onpuid=0/0

ProtocoleProtocole Statut deconnexionStatut deconnexion

TTL restantTTL restant

Port destination

Port destination

Traffic ShapingTraffic Shaping

NATNAT

Accélération matérielle

Accélération matérielle


Options de capture de paquets avancées

• <count> nombre de paquets à capturer• <tsformat> modifie le format d’horodatage

a – Temp UTC absolu l – temps local

# diag sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>


Lenteurs• Haute consommation CPU• Haute consommation mémoire• Quelle est l’utilisation du processeur ? Pourquoi ?

# get system performance status# diagnose sys top 1


Troubleshooting CPU# get system performance statusCPU states: 0% user 0% system 0% nice 100% idleCPU0 states: 0% user 3% system 0% nice 97% idleCPU1 states: 1% user 0% system 0% nice 99% idleCPU2 states: 0% user 2% system 0% nice 98% idleCPU3 states: 2% user 0% system 0% nice 98% idleMemory states: 59% usedAverage network usage: 37764 kbps in 1 minute, 33587 kbps in 10 minutes, 24275 kbps in 30 minutesAverage sessions: 6076 sessions in 1 minute, 6421 sessions in 10 minutes, 6271 sessions in 30 minutesAverage session setup rate: 100 sessions per second in last 1 minute, 86 sessions per second in last 10 minutes, 82 sessions per second in last 30 minutesVirus caught: 0 total in 1 minuteIPS attacks blocked: 0 total in 1 minuteUptime: 30 days, 8 hours, 37 minutes

Consommation CPUConsommation RAM

Utilisation réseau


Exécuter un nouveau Firmware• Un nouveau firmware peut contenir de nouvelles fonctionnalités et des changements de fonctionnement :

Va-t-il interférer avec le fonctionnement du trafic critique ?• Chargement temporaire d’une nouvelle image (sans enregistrer sur le disque) est une méthode plus sûre de tester avant de mettre à jour

Tester en environnement de lab durant une maintenance Un redémarrage retourne le Fortigate à l’ancien firmware et configuration Bien se documenter sur la release note

• Il est également possible de charger des logiciels de diagnostic

Save as Default firmware/Run image without saving: [D/R]


Chargement d’une image temporaire• Possible seulement via le port console

Press any key to display the configuration menu…[G] : Get firmware image from TFTP server.[F] : Format boot device.[Q] : Quit menu and continue to boot with default firmware.[H] : Display this list of options.Enter G,F,Q, or H ( Press ‘G’ here.)Enter TFTP server address [192.168.1.168]: xxx.xxx.xxx.xxxEnter local address [192.168.1.188]: xxx.xxx.xxx.xxxEnter firmware image file name [image.out]: xxxxxxxxxxxxxxxMAC:00:09:0f:0a:1a:7c #########Total 10643362 bytes data downloaded.Verifying the intergrity of the firmware image. Total 28000kB unzipped.Save as Default firmware/Run image without saving: [D/R]


Ce qu’on a couvertMonitoring de l’utilisation réseau et ressources de systèmeTroubleshooting physiqueTroubleshooting réseau Tests matérielComment charger un firmware en RAM, pas en disque


Dimensionnement et support

Yassine MORSLIFormateur et Consultant Ingénierie InformatiqueSite : http://www.alphorm.comBlog : http://blog.alphorm.com


Plan• Le support Fortinet• Le licensing Fortigate• Les performances des boitiers


Le Support Fortinet• Les 2 types de support :

FortiCare 8x5• Support email et web du lundi au vendredi de 9h à 18h• Remplacement matériel après réception du matériel défectueux par Fortinet

FortiCare 24x7• Support téléphonique, email et web 24h/24 7J/7• Remplacement anticipé du matériel (J+1)

• Le support Fortinet est accessible via :• http://support.fortinet.com• 0 800 910 652/ +33 4 8987 0555


Le Licensing Fortigate• Pas de licence par utilisateur• Licences uniquement pour le filtrage de contenu :

Anti-Virus Filtrage d’URLs Anti-Spam IPS/App. Control

• Toutes les autres fonctionnalités sont incluses de base (VPN IPSEC/SSL, Optimisation WAN, QoS, VDOM)


Entrée de gamme Fortigate: ComparaisonFG-30D FG-60D FG-70D FG80D FG-90D FG-92D

Firewall (1518/512/64 byte UDP)800 / 800 / 800 Mbps 1.5 /1.5 /1.5Gbps 3.5 /3.5 /3.5 Gbps 1.3 Gbps 3.5 /3.5 /3.5Gbps 2 Gbps

Concurrent Sessions 200,000 500,000 2 Mil 1.5 Mil 2 Mil 1.5 MilNew Sessions/Sec 3,500 4,000 4,000 22, 000 4,000 22,000IPSec VPN 350 Mbps 1 Gbps 1 Gbps 200 Mbps 1 Gbps 130 MbpsIPS (HTTP) 150 Mbps 200 Mbps 275 Mbps 800 Mbps 275 Mbps 950 MbpsAntivirus (Proxy based) 30 Mbps 35 Mbps 35 Mbps 250 Mbps 35 Mbps 300 MbpsInterfaces(LAN, WAN & DMZ) 5 x GE RJ45 10 x GE RJ45 16 x GE RJ45 4x GE RJ45 16 x GE RJ45 16 x GE RJ45

Storage - - - 16 GB 32GB 16 GBVariants WiFi, PoE WiFi, PoE - - WiFi, PoE, high port density WiFi


Entrée de gamme Fortigate: ComparaisonFG-30D FG-60D FG-70D FG80D FG-90D FG-92D FG-94D-POEFG-98D-POE

Recommended #users 1-5 5-25 20-50Storage - - - ✔ ✔✔ ✔ ✔✔WiFi Variant ✔ ✔ - - ✔ ✔ -POE Variant (1x GE) (2x GE) - - (4x GE) - 24x FE Firewall & VPN Performance ✔✔ ✔✔ ✔✔✔ ✔ ✔✔✔ ✔ ✔✔✔UTM Performance ✔ ✔ ✔✔ ✔✔✔ ✔✔ ✔✔✔ ✔✔Port Density ✔✔ ✔✔ ✔✔ ✔ ✔✔ ✔✔ ✔✔✔

Ideal Use Cases

Small branchoffices , Kiosks Small branchoffices Small branch offices Small offices Small branch offices Small offices Small branch offices

Site-Site VPN Site-Site VPN Site-Site VPN Limited VPN Site-Site VPN, WAN opt. Limited VPN Site-Site VPN, WAN opt. limited UTM & features, central logging

limited UTM, central logging UTM, central loggingFull UTM, Cloud based logging

UTM,local log & reportingFull UTM, Cloud based logging

UTM , high PoE ports desired


FWF30D FWF30E FWF50E FWF60D FWF90D/92DThick AP ✔ ✔ ✔ ✔ ✔Wireless Controller Yes (CLI) Yes (CLI) Yes Yes Yes#of WiFi radios 1 1 1 1 1Supported Std a/b/g/n a/b/g/n a/b/g/n a/b/g/n a/b/g/n802.11n 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMOMax wireless association rate total 300Mbps 300Mbps 300Mbps 300Mbps 300MbpsSSID’s (incl. reserved) 8 8 8 8 8Max nP (Total/ Local Bridge) 2 / 2 2 / 2 10 / 5 10 / 5 32 / 16

Entrée de gamme Fortigate: Comparaison


Moyenne gamme Fortigate : ComparaisonFGT-100D FGT-140D FGT-200D FGT-240D FGT-280D-POE

Firewall (1518/512/64 byte UDP) 2500* Mbps 2500* Mbps 3 / 3 / 3 Gbps 4 / 4 / 4 Gbps 4 / 4 / 4 GbpsConcurrent Sessions 3 Mil 3 Mil 3.2 Mil 3.2 Mil 3.2 MilNew Sessions/Sec 22,000 22,000 77,000 77,000 77,000IPSec VPN 450 Mbps 450 Mbps 1.3 Gbps 1.3 Gbps 1.3 GbpsIPS (HTTP) 950 Mbps 950 Mbps 1.7 Gbps 2.1 Gbps 2.1 GbpsAntivirus(Proxy Based) 300 Mbps 300 Mbps 600 Mbps 600 Mbps 600 Mbps

Interfaces(LAN, WAN & DMZ) 20 x GE RJ45,2 x GE SFP 40x GE RJ45,2x GE SFP 18 x GE RJ45,2 x GE SFP 42 x GE RJ45,2 x GE SFP54 x GE RJ45,32 x GE PoE RJ45,4 x GE SFP

Storage 32GB 32GB 64 GB 64 GB 64 GBVariants LENC, T1 port, PoE PoE PoE -


Moyenne gamme Fortigate : ComparaisonFGT-300C FGT-300D FGT-400D FGT-500D

Firewall (1518/512/64 byte UDP) 8 / 8 / 8 Gbps 8 / 8 / 8Gbps 16 / 16 / 16 Gbps 16 / 16 / 16 GbpsConcurrent Sessions 2 Mil 6 Mil 5.5 Mil 6 MilNew Sessions/Sec 50,000 200,000 200,000 250,000IPSec VPN 4.5 Gbps 7 Gbps 14 Gbps 14 GbpsIPS (HTTP) 1.4 Gbps 2.8 Gbps 2.8 Gbps 4.7 GbpsAntivirus (Proxy Based) 200 Mbps 1.4 Gbps 1.4 Gbps 1.7 Gbps

Interfaces(LAN, WAN & DMZ) 10 x GE RJ45 6 x GE RJ45, 4 x GE SFP 10 x GE RJ45, 8 x GE SFP 10 x GE RJ45, 8 x GE SFPStorage 16 GB 120 GB - 120 GBVariants LENC LENC - -


Moyenne gamme Fortigate : ComparaisonFG-600C FG-600D FG-800C FG-900D

Firewall (1518/512/64 byte UDP) 16 / 16 /16 Gbps 36 / 36 / 24 Gbps 20 / 20 / 20 Gbps 52 / 52 / 33 GbpsConcurrent Sessions 3 Mil 5.5 Mil 7 Mil 11 MilNew Sessions/Sec 70,000 270,000 190,000 280,000IPSec VPN 8 Gbps 20 Gbps 8 Gbps 25 GbpsIPS (HTTP) 3 Gbps 7 Gbps 6 Gbps 8 GbpsAntivirus (Proxy Based) 1.3 Gbps 3 Gbps 1.7 Gbps 3.5 Gbps

Interfaces(LAN, WAN & DMZ)18x GE RJ45, 4 x Shared port pairs, 2 x bypass Pairs

2x 10GE SPF+ , 8x GE SFP, 8x GE RJ452 x 10GE SFP+,14 x GERJ45,8 x Shared port pairs, 2 x bypass Pairs

2x 10GE SPF+ , 16x GE SFP,18x GE RJ45Storage 64 GB 120 GB 64 GB 256 GBVariants DC, LENC - - -


Ce qu’on a couvertLe supportLe licensingLa performance des boitiers


Conclusion de la formation L’UTM FortigateFonctionnalités avancées

Site : http://www.alphorm.comBlog : http://blog.alphorm.comYassine MORSLIFormateur et Consultant Ingénierie Informatique


Ce qu’on a couvertLe routageLa virtualisation de pare-feuLe mode transparentLes certificatsLa haute disponibilité (HA)Les outils de diagnosticsDimensionnement et support


Formation suivante

Fortigate –Fonctionnalités avancéesFortigate –Fonctionnalités avancées FortiManagerFortiManager

FortimailFortimail FortiWebFortiWeb

FirewallingNSE 4 AdministrationNSE 5 MessagerieNSE 6 WAFNSE 6

Fortigate –Fonctionnalités de baseFortigate –Fonctionnalités de base

Formation suivante

FortiAnalyzerFortiAnalyzer


QUESTIONS [email protected]

Technology

Fortinet UTM - les Fonctionnalités avancéese