Fortinet UTM - les Fonctionnalités avancéese

Formation Fortinet UTM - Fonctionnalités avancées alphorm.com™©
Yassine MORSLI
Formateur et Consultant
Ingénierie Informatique
Formation
L’UTM Fortigate
Fonctionnalités avancées
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com

Plan
• Présentation du formateur
• Public concerné
• Connaissances requises
• Liens utiles
• Cursus de formation Fortinet

Présentation du formateur
• Yassine MORSLI
• Ingénieur Réseaux Systèmes et Sécurité
• Yassine.morsli@gmail.com
• Mission de conseil, d’audit, intégration d’infrastructure Informatique et formation
• Technologies : Fortinet , vMware, Hyper-V, Citrix XenApp 6.5, NetScaler, Microsoft, Dynamics
CRM, NetApp
• Certifications : MCSA 2008 R2, Fortinet NSE4, NSE5, Sales Netapp, CCA XenApp 5.0
• Profils :
 Linkedin : https://dz.linkedin.com/pub/yassine-morsli/48/987/a45

Public concerné
• Administrateurs Sécurité
• Administrateurs Réseaux
• Ingénieurs Systèmes
• Consultant infrastructure
• DSI

Connaissances requises
• Formation Fortinet Fortigate UTM (NSE4)

Liens utiles
• http://www.fortinet.com
• http://docs.fortinet.com
• http://kb.fortinet.com
• http://support.fortinet.com

Cursus de formation Fortinet
FortiAnalyzerFortiAnalyzer
FortiManagerFortiManager
FortimailFortimail FortiWebFortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6
Fortigate –
Fonctionnalités
avancées
Fortigate –
Fonctionnalités
avancées
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
de base

LET’S GO !

Introduction au
routage des paquets
Yassine MORSLI
Le routage

Plan
• Qu’est ce que le routage IP ?
• Routes statiques
• Routes dynamiques
• Interpréter la table de routage

Qu’est ce que le routage IP ?
• Le routage définit comment les paquets sont envoyés via un chemin
d’une source à une destination :
 La destination est un sous réseau, non connecté directement, le routeur
relaie les paquets à un autre routeur connu dans la table de routage
 Les informations de la table de routage peuvent être configurées
manuellement, automatiquement ou un mix des deux
• Le Fortigate en mode NAT est entre autre un routeur de niveau 3

Routes statiques
• Configurées manuellement par un administrateur
• Adaptation simple des paquets aux routes, basée sur la destination des adresses
IP sur les paquets

Routes dynamiques
• Les chemins (routes) sont découverts automatiquement :
 Le Fortigate communique avec les routeurs voisins pour trouver les meilleures routes pour
leur sous réseau connectés
 Basée sur les adresses IP de destination des paquets
 Le routage s’organise automatiquement
• Le Fortigate supporte :
 Routing Information Protocole (RIP)
 Open Shortest Path First (OSPF)
 Border Gateway Protocol (BGP)
 Intermediate System to Intermediate System (IS-IS)

Table de routage
• Seulement les routes actuellement actives

Composants de la table de routage
• Chaque route de la table de routage dispose de :
 Adresse IP de destination et Mask
 Adresse IP de la passerelle / Interface
 Distance
 Metric
 Priorité

Distance
• Estime la ‘’qualité’’ de chaque protocole de routage et itinéraire statique :
 Une distance moins élevée est considérée plus fiable
 Si routes multiples, celle avec la distance la moins élevée est chargée dans la table de routage
• Valeurs des distances par défaut :
 Directement connecté 0
 Gateway DHCP 5
 Routes statiques 10
 Routes EBGP 20
 Routes OSPF 110
 Routes RIP 120
 Routes IBGP 200

Metric
• Utilisée par le protocole de routage dynamique pour déterminer la meilleure
route vers une destination
 Si routes multiples avec la même distance, celle avec la metric la moins élevée est chargée
dans la table de routage
• La metric est calculée selon le protocole de routage
 Le RIP considère le nombre de sauts
 OSPF utilise les coûts

Priorité
• Utilisée par les routes statiques pour déterminer la meilleure route vers une
destination
• Si de multiples routes statiques ont la même distance :
 Elles seront toutes chargées dans la table de routage
 Seule la route avec la priorité la moins élevée sera utilisée pour le routage

Quelles routes sont chargées ?
Le lien de sortie est-il
UP ? (Pas de route si
l’interface est
désactivée/non
connectée)
Existe-t-il des routes
multiples ? (inclus des
routes avec de plus
petites distance)
Les routes multiples
ont-elles des distances
égales ? (inclus des
routes avec les plus
petites metric)
Les routes multiples
ont-elles la même
metric ? Considérer les
spécifications du
protocole de routage
dynamique

Règles de routage
• Concordance plus sophistiquée que les routes statiques
 Protocole
 Adresse source
 Ports source
 Ports destination
 ToS
• Configurées manuellement
• Prioritaire sur la table de routage

Recherche de route
• Pour chaque session, le Fortigate exécute les règles de routage et la
consultation de la table de routage deux fois :
1. Au premier paquet envoyé
2. Au premier paquet reçu par le répondeur
• Les informations de routage sont écrites dans la table de session
• Tous les autres paquets pour cette session vont utiliser le même chemin
 Exception : Après changement de la topologie OSPF, les informations de routes sont
flushées à partir des sessions et doivent être apprises de nouveau

Ce qu’on a couvert
Eléments de la tables de routage
Comment le Fortigate match chaque paquet avec une route
Routes statiques, règles de routage, routage dynamique

ECMP & Contrôle
de l’état du lien
Yassine MORSLI
Le routage

Plan
• Equal Cost Multi-Path (ECMP)
• Contrôle de l’état des liens

Equal Cost Multiple Path (ECMP)
• Si, plusieurs routes ont :
1. La même distance
2. La même metric
3. La même priorité
4. Et sont des routes statiques/OSPF/BGP
Alors, le Fortigate distribue les paquets via les routes ECMP

Méthodes ECMP
• Basée sur l’IP source (par défaut)
 Les sessions à partir de la même adresse IP source utilisent la même route
• Partage de charge basée sur le poids (Weighted load balance)
 Les sessions sont distribuées sur la base du poids de chaque interface
• Débordement (Spillover)
 Utilise une seule route, jusqu’à atteinte d’un seuil de débordement, si atteint, le Fortigate utilise une
seconde route
• IP Source – IP destination
 Les sessions avec la même paire d’IP source/destination utilisent la même route

Equal Cost Multi-Path
Sous réseau : 192.168.1.0/24
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconnue
Internet
Internet
Routes dans la table de routage :
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local

Contrôle de l’état du lien
• Envoie périodiquement des paquets de sonde à un serveur via une
passerelle
• Si le Fortigate ne reçoit pas de réponse durant le temps imparti au seuil
de basculement, une ou deux des actions suivantes sont prises :
 Toutes les routes utilisant la passerelle sont supprimées de la table de routage
 L’interface du Fortigate est mise à DOWN
• Si des routes secondaires sont disponibles, le Fortigate les charge et les
utilise à la place de la route principale – basculement du routage

Configuration du contrôle de l’état du lien

Equal Cost Multi-Path (ECMP)
Contrôle de l’état du lien

Reverse Path Forwarding
Yassine MORSLI
Le routage

Plan
• Reverse Path Forwarding (RPF)
 Loose
 Strict

Reverse Path Forwarding (RPF)
• Le RPF protège contre les attaques de type spoofing d’adresse IP
• Vérifie l’adresse IP source de tous les paquets
 Si la route retour vers l’adresse IP source ne concorde pas avec le chemin emprunté par le
paquet original, le paquet est considéré comme frauduleux et il est bloqué
• Le RPF est pris en charge seulement sur :
 Le premier paquet de la session, pas sur la réponse
 Le paquet suivant dans la direction d’origine après un changement de route, pas sur la
réponse
• En CLI, affiche les paquets bloquésdiagnose debug flow

Sous réseau : 192.168.1.0/24
0.0.0.0/0.0.0.0 wan1
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
Internet
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
Internet

Sous réseau : 192.168.1.0/24
Routes dans la table de routage
0.0.0.0/0.0.0.0 wan1(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
IP Source : inconuue
Internet
Internet

Sous réseau : 192.168.1.0/24
0.0.0.0/0.0.0.0 wan1
0.0.0.0/0.0.0.0 wan2
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
Internet
Internet

Sous réseau : 192.168.1.0/24
0.0.0.0/0.0.0.0 wan1(static)
0.0.0.0/0.0.0.0 wan2(static)
10.0.0.0/24 dmz (static)
192.168.1.0/24 local
1.1.1.0/30 local
2.2.2.0/30 local
IP Source : 10.0.0.1/24
dmz
wan1:
1.1.1.1/30
wan2:
2.2.2.1/30
Internet
Internet
Les deux routes par
défaut ont la même
distance et priorité→ ECMP

RPF Strict vs. RPF Loose
• La vérification du RPF peut être configurée pour être plus stricte
• Le paramètre RPF par défaut est Loose
 Vérifie uniquement l’existence d’une route pour l’interface de réception
 Le paquet est redirigé même si un meilleur itinéraire est disponible via une autre interface
• RPF stricte
 Les adresses sources sont vérifiées dans la table de routage pour trouver la meilleure route (plus petit
sous réseau)
 Si le paquet est reçu sur une interface utilisée pour rediriger le trafic vers la source, le paquet est
autorisé
config sys setting
set strict-src-check [disable | enable]
end

Loose RPF
Sous réseau : 10.10.10.0/24
Table de routage :
0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
SYN
SYN ACK
hping –a 10.10.10.5 –p 80 –S 10.10.10.6

Loose RPF
Sous réseau : 10.10.10.0/24
Table de routage :
0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
RST
hping –a 10.10.10.5 –p 80 –S 10.10.10.6

Strict RPF
Sous réseau : 10.10.10.0/24
Table de routage :
0.0.0.0/0 wan1
20.20.20.0/24 wan1
10.10.10.0/24 internal
Sous réseau : 20.20.20.0/24
10.10.10.5
wan1
internal
10.10.10.6
20.20.20.20
SYN
hping –a 10.10.10.5 –p 80 –S 10.10.10.6

Interface de loopback
• Interface ‘’logique’’ toujours UP et disponible
 Utile pour les protocoles de routage dynamique
• Tout le trafic destiné pour le loopback s’arrête au Fortigate

Reverse Path Forwarding loose et stricts

Optimisation des liens
Yassine MORSLI
Le routage

Plan
• Améliorer la bande passante et la disponibilité entre deux équipements
via l’agrégation de liens
• Équilibrer la charge en partageant le trafic via de multiples liens WAN
• Utilisation des routes de blackhole

Aggregation de liens
• Groupe de plusieurs ports physiques à partir d’un canal logique unique avec
une plus grande bande passante
 Augmente la redondance pour la haute disponibilité

Load Balancing de lien Wan
• Un lien WAN virtuel est constitué de plusieurs interfaces connectées à
différents ISPs
 Le Fortigate voit le lien virtuel WAN comme une interface logique unique
 Simplifie la configuration
 Uniquement un lien WAN virtuel par VDOM
Internet
ISP 1
ISP 2
ISP 3
Lien WAN
virtuel

Méthodes de load balancing des liens WAN
• IP Source (par défaut)
 Les sessions provenant de la même adresse IP source utilisent le même lien
• Weighted round robin
 Les sessions sont distribuées selon le poids des interfaces
• Débordement (Spillover)
 Utilise un seul lien jusqu’à atteinte d’un seuil de débordement, utilise après le lien suivant
• IP Source-Destination
 Les sessions avec la même paire d’IP Source/Destination utilisent le même lien
• Volume mesuré
 Distribution des sessions de tel sorte à ce que le volume de trafic soit distribué à travers tous les liens

Configuration du load balancing des liens WAN

Mesure de la qualité du lien WAN
• Le Fortigate peut mesurer la qualité de chaque interface membre, basée
sur soit la latence ou bien l’instabilité du lien

Interface logique du lien WAN
• Une interface logique nommée wan-load-balance est automatiquement
créée
• Ajouter les routes statiques et les règles de sécurité en utilisant
l’interface logique

Routes trou noir (Blackhole routes)
• Type spécial de routes statiques utilisé pour couper tout le trafic concerné
 Prévient les boucles réseau
 Les paquets sont écartées silencieusement, pas de message d’erreur ICMP envoyé
Sous réseau :192.168.1.0/24
Routeur: 192.168.1.1
Route internet par défaut :
0.0.0.0Internet

Agrégation de liens
Interface de loopback et routes de trou noir
Load balancing de liens WAN

Diagnostique
de l’état du lien
Yassine MORSLI
Le routage

Plan
• Diagnostiquer et corriger les problèmes de routage

Commandes de diagnostique de routage
# get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
O* 0.0.0.0/0 [10/0] via 192.168.11.254, wan1, 01:29:24
C 172.16.78.0/24 is directly connected, wan2
O 192.168.1.0/24 [110/200] via 182.168.11.59, internal, 01:30:28
C 192.168.3.0/24 is directly connected, dmz
C 192.168.11.0/24 is directly connected, internal

# get router info kernel
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.210/3
2 pref=0.0.0.0 gwy=0.0.0.0 dev=16(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 192.168.8.111/255.255.255.255/0->8.8
.8.8/32 pref=0.0.0.0 gwy=192.168.8.1 dev=6(dmz)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 81.43.23.44/255.255.255.255/0->8.8
.8.8/32 pref=0.0.0.0 gwy=81.43.23.41 dev=5(wan2)
tab=254 vf=0 scope=0 type=1 proto=14 prio=0 172.17.0.254/255.255.255.255/0->8.8.
8.8/32 pref=0.0.0.0 gwy=172.17.0.1 dev=4(wan1)

# diagnose ip address list
IP=192.168.12.254->192.168.12.254/255.255.255.0 index=3 devname=wan1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=5 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=7 devname=ProviderA
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=9 devname=ProviderB
IP=172.16.78.254->172.16.78.254/255.255.255.0 index=12 devname=wan2
IP=192.168.3.254->192.168.3.254/255.255.255.0 index=13 devname=dmz

# diagnose ip arp list
index=7 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=1835 confirm=55
update=911331 ref=5
index=2 ifname=port1 192.168.1.99 state=00000001 use=174 confirm=916499 update=174
ref=17
index=2 ifname=port1 192.168.1.116 ac:72:89:56:aa:31 state=00000002 use=0 confirm=7
update=12141 ref=2
index=2 ifname=port1 224.0.1.140 01:00:5e:00:01:8c state=00000040 use=911087
confirm=917087 update=911087 ref=1

Moniteur de lien
• Affiche le statut du moniteur de l’état du lien et le load balancing du
lien WAN

Comment diagnostiquer ?

VLANs
Yassine MORSLI
La virtualisation de pare-feu

Plan
• Utiliser les VLANs pour diviser logiquement un réseau de niveau 2 en
multiples segments

VLANs
• Subdivise le réseau physique de couche 2 en plusieurs segments plus petits :
 Chaque segment forme un broadcast de domaine
 Des tags de vlans sont ajoutés aux trames pour identifier leur segment
VLANs
Physical interfaces

Tags de VLANs
• Extension de 4 octets de la trame Ethernet
• Les équipements de niveau 2 peuvent ajouter ou supprimer des tags
• Les équipements de niveau 3 peuvent réécrire les tags avant le routage
 Le Fortigate est de niveau 3, raison pour laquelle il peut réaliser du routage inter-VLANs
Destination
MAC
Source
MAC
Type Data CRC 32
Ethernet frame using VLAN tags
Type
8100
Tag
Control
Info
2 bytes 2 bytes
•Domaine prioritaire de l’utilisateur
•Indicateur de format canonique
•Identificateur VLAN

VLANs on a FortiGate
Destination
MAC
Source
MAC
Type Data CRC 32
Type
8100
Tag
Control
Info
VLAN A
VLAN B

VLANs on a FortiGate
VLAN 100
Branch office
VLAN 200
Headquarters
VLAN 300
Tag: VLAN 100
Tag: VLAN 100
Tag: VLAN 300 Tag: VLAN 300
Router A Router B
Subnet 1 Subnet 2

VLAN Scenario
• Les ordinateurs des comptables situés dans des
sites différents doivent partager des fichiers
fréquemment, mais ne devraient pas
broadcaster aux voisins
• Les Fortigates peuvent traiter les trames de ces
ordinateurs comme s’ils étaient sur le même
réseau local physique
Headquarters
Branch office
Retail office
PC Comptables
PC Comptables
PC Comptables

Créer un VLAN
• Les trames envoyées/reçues par
le segment de l’interface
physique ne sont jamais taguées
 Appartiennent au VLAN natif

VLANs et tags de VLANs

VDOMs
Yassine MORSLI

Plan
• Utiliser les VDOMs pour convertir le Fortigate en plusieurs boitiers
virtuels
• Limiter les ressources allouées globalement et par VDOM
• Créer des comptes d’administration globaux et par VDOM

Virtual Domains
• Fractionne un Fortigate physique en multiples Fortigates virtuels
 Avec des règles de sécurité indépendantes, tables de routage, etc.
• Les paquets sont limités au même VDOM
• Le Fortigate supporte jusqu’à 10 VDOM par défaut
 Il est possible sur quelques modèles d’avoir plus
Domain A Domain B Domain C
One physical FortiGate device Multiple virtual FortiGate devices

Allocation de ressources systèmes
• Ressources globales limitent ce qui est alloué à chaque paramètre sur le
Fortigate global
• Ressources VDOM limitent ce qui est alloué à chaque paramètre dans chaque
VDOM
 Garantit une allocation de ressources minimales par VDOM
 Aucun VDOM ne peut consommer toutes les ressources du boitier

Limites de ressources globales et par VDOM
VDOM 3
Limites de ressources globales
Limites de ressources VDOM

Paramètres globaux
• Affectent tous les domaines virtuels configurés
 Hostname
 Paramètres DNS
 Horloge
 Version Firmware
Domain A
Paramètres globaux

Paramètres par VDOM
• Configurés séparément au niveau de chaque VDOM
 Mode de fonctionnement
 Paramètres de routage
 Paramètres de pare-feu
 Paramètres UTM
 …
Domain A
VDOM
settings

Activer les VDOMs
• En CLI :
config system global
set vdom-admin enable
end

Administrations des VDOMs
• Seuls les comptes nommés ‘’admin’’ ou les comptes avec un profile
‘’super_admin’’ peuvent configurer et sauvegarder tous les VDOMs
super_admin profile

Administrateurs par VDOM
• Les autres administrateurs peuvent accéder uniquement aux VDOMs auxquels
ils sont assignés
 Ne peuvent pas accéder aux paramètres globaux
 Peuvent accéder uniquement aux paramètres du VDOM auquel ils sont assignés

Créer les administrateurs de VDOM

VDOMs
Ressources globales et par VDOM
Comptes administrateurs de VDOM

Liens Inter-VDOMs
Yassine MORSLI

Plan
• Router le trafic entre les VDOMs en utilisant les liens Inter-VDOMs

Liens Inter-VDOM
• Peut connecter différents VDOMs
• Support varie selon le mode de fonctionnement du VDOM
 NAT vers NAT
 NAT vers Transparent / Transparent vers NAT
 Transparent vers Transparent

Liens Inter-VDOMs
• Les liens Inter-VDOMs permettent une communication des VDOMs entre eux
 Il n’est pas requis que le trafic quitte une interface physique, puis rentre de nouveau sur le
Fortigate
 Nécessite moins d’interfaces physiques et moins de cables
• Les règles de sécurité sont requises pour autoriser le trafic à partir d’autres
VDOMs, de la même manière que pour le trafic provenant d’interfaces
physiques
• Les routes sont également requises pour rediriger le trafic d’un VDOM à un
autre

Créer des liens Inter-VDOMs

Moniteur des ressources de VDOM
• Le moniteur des VDOMs affiche:
 L’utilisation CPU
 L’utilisation mémoire
 Nombre de sessions
 Les sessions par seconde

VDOM de management
• Le VDOM de management est le VDOM qui gère tout le trafic de
gestion
• Il doit avoir accès à tous les services requis par le système
 DNS
 NTP
 Mise à jour FortiGuard
 Journalisation vers le FortiAnalyzer ou Syslog
 Alertes Email
 SNMP
• Par défaut, le VDOM de gestion est le VDOM root

Exemples : VDOMs inépendants
Internet
VDOM 1 VDOM 2 VDOM 3
Réseau 1 Réseau 2 Réseau 3
Internet

Exemples : VDOMs inépendants
Internet
Internet
• Plusieurs VDOMs complètement séparés les
uns des autres
• Pas de communication entre les VDOMs
• Chacun a son propre lien de communication
physique vers Internet

Exemple : Routage via le VDOM de Management
Management VDOM
Internet

Exemple : Routage via le VDOM de Management
Management VDOM
Internet
• Le trafic sortant toujours routé via le
VDOM root
 Le VDOM root est connecté à d’autres via les
liens Inter-VDOMs
• Seul le VDOM root est connecté à
Internet via une interface physique

Exemple : Maillage de VDOMs
Réseau 1 Réseau 2
Management VDOM
Internet
VDOM 1 VDOM 2

Exemple : Maillage de VDOMs
Réseau 1 Réseau 2
Management VDOM
Internet
VDOM 1 VDOM 2
• Les VDOMs se connectent entre eux via des liens
Inter-VDOMs
• Il n’est pas requis que le trafic passe via le VDOM
de management sauf pour le trafic Internet
• Seul le VDOM root est connecté à Internet via
une interface physique
• Le routage entre les interfaces virtuelles peut vite
devenir complexe

Liens Inter-VDOMs
Moniteur de ressources par VDOM
Topologies des VDOM

Fortigate en mode
Transparent
Yassine MORSLI
Le mode transparent

Plan
• Choix du meilleur mode de fonctionnement Fortigate
• Segmenter le réseau en plusieurs domaines de redirection
• Prévenir les tempêtes de diffusion et le battement de MAC en utilisant
le jumelage de ports

Modes de fonctionnement
• Définit comment le Fortigate prend en charge le trafic :
 Mode NAT/Route
• Routes selon la niveau 3 du modèle OSI, comme un routeur
• Les interfaces du Fortigate disposent d’adresses IP
 Mode transparent
• Redirige selon le niveau 2 (adresses MAC), comme un pont transparent
• Ne requiert pas de changement d’adresse IP dans le réseau
• Le Fortigate ne dispose pas d’adresse IP, excepté pour la connexion des administrateurs

Mode de fonctionnement – NAT/Route
Internet
wan1
204.23.1.5
internal
192.168.1.99
dmz
10.10.10.1
192.168.1.3
10.10.10.2
Les interfaces disposent
d’adresses IP
Routage basé sur l’IP

Mode de fonctionnement – Transparent
Internet
internal
10.10.10.1
Gateway to
public network
204.23.1.5
wan1
10.10.10.3
Switching, pas de routage
Pas d’IPs par interface
(Management IP)
Les règles de sécurité
contrôlent le trafic entre le
réseau interne et le
réseau externe

Pont Transparent
• Un pont est transparent pour les hôtes de couche IP
• Le Fortigate construit une table pour la redirection du trafic en analysant
l’adresse MAC source des trames entrantes à partir des réseaux rattachés
• Fractionne le réseau en plusieurs domaines de collision :
 Réduit l’occurrence des collisions des domaines individuels
 Peut améliorer le temps de réponse réseau

Redirection de domaine
• Par défaut, toutes les interfaces dans un VDOM appartiennent au même
domaine de broadcast
 Même les interfaces avec des ID de VLANs différents
 S’il contient de multiples interfaces, le domaine de broadcast peut être très large, interfère
avec le STP, et peut causer du flapping d’adresses MAC
• Pour diviser un VDOM en plusieurs domaines de broadcast
 Les interfaces avec le même ID appartiennent au même domaine de broadcast
config system interface
edit <Nom_interface>
set forward-domain <ID_domaine>
end

Domaine de Broadcast
Fortigate en
mode
Transparent
Broadcast ARP sur
VLAN101_wan1
VLAN102_dmz
VLAN104_dmz
Port 1
VLAN101_wan1
VLAN103_dmz
VLAN101_internal
Toutes les interfaces dans
le domaine de forward 0
(par défaut)

Transfert de domaine
Fortigate en
mode
Transparent
Broadcast ARP sur
VLAN101_wan1
VLAN102_dmz
VLAN104_dmz
Port 1
VLAN101_wan1
VLAN103_dmz
VLAN101_internal
config sys interface
edit VLAN101_wan1
set forward-domain 101
end
edit VLAN101_internal
end
VLAN101_internalVLAN101_wan1
Forwarding domain 101
edit VLAN101_wan1
end
edit VLAN101_internal
end

Jumelage de Ports (Port Pairing)
• Lier logiquement deux ports dans un Fortigate en mode Transparent
 Habituellement, un port interne et un port externe
• Le trafic est capturé entre ces ports
 Le trafic entrant sur un port est tout le temps redirigé vers l’autre port
• Evite la complexité comme les tempêtes de diffusion, et les MAC flapping

Port Pairing
Fortigate en
mode
Transparent
Port1
Internet
Port2
Port3
Wan1
Port Pair → Trafic exclusif

Mode NAT vs. Mode Transparent
Pont Transparent
Redirection de domaines
Jumelage de ports (Port Pairing)

La cryptographie
Yassine MORSLI
Les certificats

Plan
• Sécurisation du trafic
• Comprendre la cryptographie symétrique
• Comprendre la cryptographie asymétrique

Comment sécuriser le trafic ?
• Sécurise la communication entre deux personnes ou deux périphériques
• Les éléments inclus:
 La confidentialité des données
 L’intégrité des données
 L’authentification
 La non répudiation
Internet

Cryptographie : Confidentialité des données
• Le cryptage brouille les données qui transitent dans le réseau :
 Les données sont privées lorsqu’elles transitent
 Seuls les destinataires légitimes de la donnée peuvent la déchiffrer
?

Cryptographie : Intégrité des données
• Les destinataires vérifient que la donnée n’a pas été modifiée durant le transit
sur le réseau :
 Le cheksum des données en réception correspond au cheksum en émission
Données créées (Cheksum) Données réçues (Cheksum)
Match

Authentification
• Le récepteur peut vérifier l’identité des expéditeurs de confiance
 Permet de confirmer l’origine des données
Information d’identité
annexée à la donnée
Indentité de l’expéditeur vérifiée
et approuvée

Non-Repudiation
• L’expéditeur ne peut pas nier sa participation à l'opération à une date ultérieure
• Les informations d’identité lient l’expéditeur aux données échangées
Information d’identité
annexée à la donnée
L’expéditeur ne peut pas nier
sa participation à l’échange

Chryptographie symétrique
Algorithme Algorithme
Texte plein Algorithme
symétrique
Texte crypté Algorithme
asymétrique
Texte plein
A l’expéditeur Au récepteur
Numéro aléatoire
entre 40 et 256 bits
Le même numéro

Cryptographie symétrique
• La clé utilisée pour le chiffrement est la même que celle utilisée pour le déchiffrement
• Doit être partagée par l’expéditeur et le destinataire
 La clé doit être remise au destinataire en toute sécurité avant de pouvoir déchiffrer la donnée
 Avoir une clé découverte ou divulguée compromet toutes les communications basées sur cette clé
• La conversion de la donnée en cryptée et inversement est rapide
 Adaptée pour le chiffrement des données en bloc
• Problèmes de gestion de clés
 Le nombre de clés devant être gérés augmente avec la taille de la communauté

Cryptographie asymétrique
• Utilise deux clés différentes : publique et privée
• Les deux clés sont mathématiquement liées
• Extrêmement difficile de deviner la clé publique de la clé privée
• Ce qui a été chiffré par une clé ne peut être déchiffré en utilisant l’autre clé
Grand nombre
aléatoire
Grand nombre
aléatoire
Générateur de
clé
Générateur de
clé
Clé privée
Clé publique

Asymmetric Cryptography
• Les clés publiques sont disponibles pour les destinataires via la PKI ou autre méthodes
• Les clés privées doivent être enregistrées de façon sécurisée, accessibles uniquement pour les propriétaires de
clés
• Elles doivent être protégées pour empêcher les accès non autorisés
Public
Private
PKI
Public
Private
Public
Private

Exemple : Cryptographie asymétrique
Algorithme Algorithme
Texte plein Algorithme
asymétrique
Texte chiffré Algorithme
asymétrique
Texte plein
A l’expéditeur Au récepteur
Publique Privée

Sécuriser le trafic
Cryptographie symétrique
Cryptographie asymétrique

Les certificats
digitaux
Yassine MORSLI
Les certificats

Plan
• Authentifier les utilisateurs avec des certificats personnels
• Créer et soumettre une requête de certificat

Certificat digital
• Identifie une identité finale (utilisateur ou service réseau)
• Contient des informations de l’entité, inclus sa clé publique
• Publié et signé par une autorité de certification (CA)
 Le CA certifie que les informations sont valides et vraies
• Les autorités de certification publiques sont publiquement connues comme
fournisseurs de certificats
 GoDaddy, Verisign, etc.

Types de certificats digitaux
• La plupart des types des certificats communs :
 Certificats CA : Valide l’autorité de certification (CA) et contient la clé publique du CA
 Certificats service local : identifie les services réseau, comme les portails web HTTPS.
Contiennent une clé publique du service réseau
 Certificats utilisateur : Identifie un utilisateur et contient la clé publique de l’utilisateur
• Les certificats ‘Utilisateurs’ et ‘Service local’ sont également appelés Certificat
d’entité finale (End-entity certificate)

Champs des certificats digitaux
• Quelques champs dans un certificat digital :
 Numéro de série : ID unique
 Sujet : l’entité identifiée
 Algorithme de signature : l’algorithme utilisé pour créer la
signature
 Signature : la signature CA chiffrée avec la clé privée du CA
 Emetteur : L’autorité qui a émis et signé le certificat
 Valid-From : la date à partir de laquelle le certificat a
commencé à être valide
 Valid-To : la date d’expiration
 Key-Usage : but de la clé publique
 Clé publique : La clé publique de l’entité identifiée

Authentifiation utilisateur par certificat
• La signature du certificat utilisateur a été cryptée en utilisant la clé privée du
CA1
• Le serveur d’authentification doit avoir le certificat CA1, contenant la clé
publique du CA1, pour déchiffrer et valider la signature du certificat utilisateur
Certificat utilisateur
Signé par CA1
Chiffré par CA1
Clé privée
Certificat utilisateur
Signé par CA1
Chiffré par CA1
Clé privée
Certificat CA1
Clé publique de
CA1
Certificat CA1
Clé publique de
CA1
Serveur
d’authentification Utilisateur

Service de validation de certificat
• Lorsqu’un serveur requête une page web HTTPS, il reçoit le propre certificat du
site web, qui a été signé par un CA
• Le navigateur doit faire confiance au CA pour authentifier le certificat :
 Les certificats CA, contenant la clé publique du CA, pour chiffrer et valider la signature dans
le certificat, doivent exister sur la liste du navigateur des CA de confiance
Certificat CA1
Clé publique de
CA1
Certificat CA1
Clé publique de
CA1
Certificat du site web
Signé par CA1
Chiffré par CA1
Clé privée
Certificat du site web
Signé par CA1
Chiffré par CA1
Clé privée
Site Web
Utilisateur

Secure Socket Layer Security
Hello
HTTPS://
Issued by trusted CA?
Still valid?
Has it been revoked?
Public
Secret
Encrypted
Secret
Private
Secret
Symmetric key Symmetric key

Secure Socket Layer Security
Hello

Génération du certificat digital
• La clé publique est soumise à l’autorité de certification
 Le fichier est habituellement un *.CSR (Certifiate Signing Request)
 L’information utilisateur et la donnée sont vérifiées
• La donnée est publiée dans un format standard et le certificat digital du CA est appliqué
• La signature garantie l’intégrité de la donnée et qu’elle a été vérifiée par une partie de confiance
• Le certificat digital est publié dans une base de certificats publique
Autorité de
certification
Base de données
publique
Privée
Publique

Générer une requête de certificat
• Remplisser le formulaire de demande de certificat sur le Fortigate pour générer une demande PCKS#10
 Le fichier va inclure la clé publique du Fortigate
• Le fichier est alors soumis à une autorité de certification de confiance
• Le status du certificat sera listé sur le Fortigate comme Pending
Request submitted to
Certification Authority
Private
Public
+
PKCS#10 Certificate Request

Télécharger une demande de signature de certificat

Importer un certificate

Liste de révocation de certificats
• La Liste des certificats révoqués (CRL) contient les numéros de série de tous les certificats jugés indignes de
confiance
• Le CRL sera toujours vérifié avant qu’un certificat soit utilisé pour s’assurer qu’il est encore de confiance
• Le CRL doit être tenu à jour sur le Fortigate
 Doit être copié régulièrement, à partir de l’autorité de certification, manuellement sur le boitier Fortigate
Autorité de certification
Numéro de série: 764926
CRL
Numéro de série: 764926 ?

Sauvegarde et restauration de certificats
• Les clés et les certificats peuvent être
sauvegardés
• Un serveur TFTP est requis pour l’Import/Export
execute vpn certificate local import tftp <file-name_str>
<tftp_ip>
execute vpn certificate local export tftp
<certificate-name_str> <file-name_str> <tftp_ip>
• Les clés et les certificats sont stockés dans
un fichier PKCS#12
• Une sauvegarde de configuration contient
également les clés et les certificats
Certificat du Fortigate
CA
Vérification du certificat
Par le CA
Private
Fichier PKCS#12 protégé
par mot de passe

Les certificats digitaux
Authentification utilisateur par certificat
Échanges SSL
Générer un certificat
Importer un certificat
Gérer la liste de révocation

Inspection du contenu
SSL
Yassine MORSLI
Les certificats

Plan
• Activer l’inspection du contenu SSL sur le Fortigate

Inspection du contenu SSL
• Le Fortigate requiert une clé privée pour déchiffrer et inspecter le trafic SSL
 Intercepte le trafic provenant des serveurs et « re-signe » avec son certificat et
clé
• Le certificat fourni par le Fortigate doit être délivré au nom de domaine de
destination
 Le Fortigate agit comme un sous CA
• Process de communication SSL standard

Inspection du contenu SSL : Limitations Certificat
• L’inspection SSL nécessite un certificat qui autorise le Fortigate à délivrer des
certificats (et des clés privées) à la volée à n’importe quel site web
 Conditions
• CA=True ou
• Key Usage=KeyCertSign
• Les Fortigate ont un certificat local par défaut pour ce type
 ‘Fortinet_CA_SSLProxy’, qui est délivré par une CA privée appelée ‘’Fortigate CA’’
 Pas un certificat public

Avertissement certificate durant une inspection SSL
• Lors d’une inspection SSL, le navigateur affiche un message d’avertissement lorsqu’il ne fait pas
confiance au CA
• Pour éviter l’avertissement, trois options possibles :
 Utiliser le certificat ‘Fortinet_CA_SSLProxy’, et installer le certificat racine ‘Fortigate CA’ sur tous les navigateurs
 Générer un nouveau certificat SSL Proxy en utilisant une CA privée, et installer le certificat racine CA correspondant
sur tous les navigateurs
 Acheter un certificat adéquat pour signer d’autres certificat d’une CA que le navigateur connait déjà
• SSL a été conçu pour sécuriser les communications point à point
 Lire le contenu est supposé être compliqué

Configuration : Profil Inspection SSL
• Définit comment le trafic chiffré sera traité :
 Quel protocol de chiffrement prendre en charge (HTTPS, SMTPS, …)
 Comment traiter l’inspection (Inspection SSL, Inspection CA)
 Quand dispenser de l’inspection SSL
Certificat
Proxy SSL
Certificat
Proxy SSL

Configuration : Dispenser un trafic de l’inspection SSL
• L’inspection SSL de certain type de trafic peut être illégale
 Vérifier les lois en vigueur
Trafic à dispenser
d’une inspection
SSL
Trafic à dispenser
d’une inspection
SSL

Configuration : Règle de sécurité
• Le profil d’inspection SSL doit être assigné à une règle de sécurité
 Définit comment le trafic chiffré doit être traité

Inspection de contenu SSL
Avertissement de certificat
Configuration

Introduction à la HA
Yassine MORSLI
La haute disponibilité (HA)

Plan
• Choisir le bon mode de haute disponibilité HA

Haute Disponibilité (HA)
Deux Fortigate ou
plus fonctionnent
en Cluster HA
Si un boitier tombe
en panne, un autre
prend le relai

Haute Disponibilité – Actif-Passif
Boitier primaire
Actif-Passif
Boitier primaire
Les secondaires restent
en attente
La configuration du Maitre est
synchronisée avec les boitiers
secondaires
Si le principal tombe en panne, le
secondaire prend le relai
Boitiers secondaires

Haute Disponibilité – Actif-Actif
Le boitier principal
traite le trafic
Les boitiers secondaires
traitent également le trafic
Si le boitier principal tombe, un
autre secondaire prend
immédiatement sa place
Le boitier principal
partage les sessions
avec les secondaires
Actif-Passif

Election du boitier Maître
Fortigate
Principal
Fortigate
Secondaire

Tâches du Fortigate principal
• Echange des paquets Hello heartbeat avec tous les boitiers secondaires
• Synchronise sa table de routage et sa configuration avec tous les boitiers
secondaires
• Peut synchroniser certaines informations de trafic de sessions pour un
basculement transparent
• En mode Actif-Actif seulement :
 Distribue le trafic à tous les devices du Cluster

Tâches du Fortigate secondaire
• Monitore le boitier principal pour des indications de panne via Hello, ou via le
monitoring de ports
 Si un problème est détecté avec le boitier principal, le secondaire élisent un nouveau Maitre
• En mode Actif-Actif seulement :
 Traite le trafic distribué par le Maitre

Mode Actif-Actif vs. Mode Actif-Passif
Comment le HA élit le Maitre

Failover d’équipement
Yassine MORSLI

Plan
• Device Failover

Adresses MAC virtuelles et Failover
• Sur le Maitre, chaque interface lui est attribuée a une adresse MAC
virtuelle (à l’exception de l’interface de heartbeat HA)
• Après le basculement, le Maitre nouvellement élu adopte les mêmes
adresses MAC virtuelles que l’ancien
Adresses MAC
virtuelle
Ancien Maitre
Nouveau Maitre

Panne d’un Fortigate secondaire
• Le Maitre met à jour la
liste des Fortigate
secondaires disponibles
liste des Fortigate
Actif-PassifActif-Passif
liste des Fortigate
• Redistribue la charge
aux autres boitiers
liste des Fortigate
• Redistribue la charge
aux autres boitiers
Actif-ActifActif-Actif

Charge
• Le Maitre reçoit et traite
tout le trafic
• Le boitier secondaire
attend passivement
• Le Maitre reçoit et traite
tout le trafic
• Le boitier secondaire
attend passivement
Actif-PassifActif-Passif
• Le Maitre reçoit tout le
trafic
• Redirige certains trafic
au boitier secondaire
• Le Maitre reçoit tout le
trafic
• Redirige certains trafic
au boitier secondaire
Actif-ActifActif-Actif

Partage de charge Actif-Actif
1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 80
2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80
3a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dsport 80
3b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy)

4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 80
5. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80

6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 80
7. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 80
8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80

Failover
• Plusieurs déclencheurs possibles
 Panne matérielle
 Crash software
 Câble réseau déconnecté, etc.
• Journaux d’évènements, traps SNMP, alertes mail enregistrent les
évènements du failover

Types de Failover
• Failover d’équipement
 Si le Maitre arrête d’envoyer des paquets heartbeat, un autre Fortigate prend sa place
automatiquement
• Failover de lien
 Le Cluster peut monitorer certaines interfaces afin de déterminer si elles fonctionnent et
connectées
 Si une interface monitorée du Fortigate Maitre tombe, le Cluster élit un nouveau Maitre

Partage de charge Actif-Actif
HA Failover

La synchronisation entre
les équipements
Yassine MORSLI

Plan
• Découvrir le protocole FGCP
• Synchronisation de la configuration
• Synchronisation des sessions

Protocole de Clustering Fortigate
• Le Cluster utilise le protocole FGCP (FortiGate Clustering Protocol) pour :
 La découverte d’autres Fortigate qui font partie du même groupe HA
 L’élection du Maître
 Synchroniser la configuration et autres données
 Détecter lorsqu’un Fortigate tombe en panne
• Fonctionne sur les liens heartbeat uniquement
• Utilise le port TCP 703

Adresses IP des interfaces heartbeat
• Le Cluster attribue une adresse IP virtuelle aux interfaces de heartbeat
sur la base du numéro de série de chaque Fortigate :
 169.254.0.1 : pour le plus grand numéro de série
 169.254.0.2 : pour le second plus grand numéro de série
 169.254.0.3 : pour le troisième numéro de série le plus grand
 …etc.
• Le Fortigate conserve son adresse IP virtuelle de heartbeat même en cas
de changement de son rôle dans le Cluster (Maitre ou esclave)
 Les adresses IP changent uniquement lorsqu’un boitier rejoint ou quitte un Cluster

Synchronisation de la configuration HA
Maître
Esclave
Config
Config
1. Un nouveau boitier
secondaire est ajouté au
Cluster
2. Le Maitre compare la
configuration du secondaire. Si
différente, il lui envoie sa
configuration
Synchronisation complète

Maître
Esclave
Config
Config
2. Le changement est
synchroniser avec le
secondaire
1. La configuration du
Maître change
Synchronisation incrémentale

• La synchronisation incrémentale inclus :
 Les données dynamiques tel que les baux DHCP, les mises à jour de la table de routage, les
informations de session, etc.
• Périodiquement, HA vérifie les synchronisations

Réservation d’interface de management HA
• Réserver une interface de gestion HA permet une connexion séparée à
chaque équipement du Cluster en CLI et GUI
 Configurer une IP différente pour cette interface pour chaque Fortigate
 Les changements de configuration de cette interface HA ne sont pas synchronisées avec les
autres équipements
• Egalement non synchronisé :
 Exception HA
 Le cluster virtuel HA et les priorités des équipements
 Les noms d’hôtes

Synchronisation des sessions
• La table de session est synchronisée pour la plupart des sessions VPN IPSec et
TCP
 Seules les sessions qui n’ont pas été traitées par un proxy UTM peuvent être synchronisées
• Les sessions UDP et ICMP peuvent également être synchronisées
• Les sessions SSL VPN et Multicast ne sont pas synchronisées
config system ha
set session-pickup enable
end
config system ha
set session-pickup-connectionless enable
end

FGCP
Synchronisation de la configuration
Synchronisation des sessions

Les options de Clustering
Yassine MORSLI

Plan
• Utiliser le Clustering virtuel pour la haute disponibilité par VDOM
• Mettre à jour le firmware d’un Cluster HA
• Configurer le FGSP (Fortigate Session Life Support Protocol)

Clustering virtuel
• Fonctionne seulement en mode Actif-Passif
Domain A Domain B Domain C Domain A Domain D Domain E
HAActif-Passif
Maitre Secondaire

Clustering virtuel
• Failover entre les VDOMs pour deux Fortigate
 Fonctionne en mode Actif-Passif
• Utilisé pour fournir le load balancing de trafic

FGSP (Fortigate Session Life Support Protocol)
• Synchronisation des sessions par VDOM entre deux Fortigate en mode
standalone (non HA)
 Alternative au mode Actif-Passif
• Par défaut, seules les sessions TCP sont synchronisées :
 Les sessions UDP et ICMP, les sessions NAT et la configuration peuvent
également être synchronisées
 Seulement pour les sessions du trafic pas pris en charge par le Proxy UTM

FGSP (Fortigate Session Life Support Protocol)

Configuration FGSP
• Sur chaque Fortigate :
config system interface
edit ‘’port2’’
set vdom ‘’root’’
set ip 192.168.8.3 255.255.255.0
end
config system session-sync
edit 1
set peerip 192.168.8.4
set peervd ‘’root’’
set syncvd ‘’VDT1’’
end
Adresse IP du
Fortigate partenaire
Nom du VDOM où
l’interface port2 est
situé
Nom du VDOM pour
lequel synchroniser
les sessions

Paramètres FGSP optionnels
• Pour synchroniser les sessions UDP, ICMP et NAT :
• Pour synchroniser la configuration :
config sys ha
set session-pickup-connectionless enable
set session-pickup-nat enable
end
config sys ha
set standalone-config-sync enable
end

Mise à jour de firmware
• Pour mettre à jour un Cluster HA, il est suffisant de charger le firmware
sur le Maître :
1. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est désactivé
2. Le Cluster met à jour le firmware d’abord sur tous les boitiers secondaires
3. Un nouveau Maître est élu
4. Le Cluster met à jour le firmware sur l’ancien Maître
5. Si le Cluster fonctionne en mode Actif-Actif, le partage de charge du trafic est réactivé

HA Full Mesh

HA Full Mesh
• Réduit le nombre de SPOF
 Disponible sur certains modèles de Fortigate
• Utilise des agrégats et des interfaces redondantes pour une connexion
robuste entre toutes les composantes réseau

Vérification du status de la HA en GUI

Clustering virtuel
Mise à jour Firmware
FGSP (Fortigate Session Life Support Protocol)

Le diagnostic du HA
Yassine MORSLI

Plan
• Vérifier les opérations du Cluster HA
• Connaitre quelques commandes de diagnostique

Vérification du statut de la HA en CLI
# diagnose sys ha status
HA information
Statistics
traffic.local = s:0 p:1632326319 b:412621090464
traffic.total = s:0 p:1635192199 b:412689100664
activity.fdb = c:0 q:0
Model=1000, Mode=2 Group=0 Debug=0
nvcluster=1, ses_pickup=1, delay=0
HA group member information: is_manage_master=1.
FGT1KDXXXXXXXXXX, 0. Master:128 FGT2
FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1
vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:
FGT1KDXXXXXXXXXX, 0. Master:128 FGT2 (prio=0, rev=0)
FGT1KDYYYYYYYYYY, 1. Slave:255 FGT1 (prio=1, rev=255)
Priorités HA du
Maitre et de
l’esclave
Numéros de série
des deux boitiers

Connexion en CLI au second boitier
• En CLI, via le Maître, il est possible de se connecter au boitier secondaire :
• Pour lister les numéros d’index de chaque Fortigate, utiliser le ‘’point
d’interrogation’’ :
# execute ha manage <HA_unit_index>
# execute ha manage ?
<id> please input peer box index.
<0> Subsidary unit FGVM0100XXXXXXXX

Vérification de la synchronisation de la configuration
• Exécuter la commande suivante sur tous les membres du Cluster :
• Chaque Fortigate doit avoir les mêmes séquences des numéros de
checksum
# diagnose sys ha showcsum
is_manage_master()=1, is_root_master()=1
debugzone
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36
checksum
global: e3 6c 28 cb b4 34 21 b9 85 8d 1c 2a 38 4f 83 cc
root: ac e7 ab 11 32 99 05 15 dd f9 6b 58 55 a4 a6 55
all: 96 4d 74 96 ad 89 19 10 73 78 9b ea 62 73 20 36

Vérification du status du Cluster HA

Comprendre l’état normal
Yassine MORSLI
Outils de diagnostics

Plan
• Identifier le comportement réseau à l’état normal

Avant l’apparition des problèmes
• Savoir ce qui est normal :
 Consommation CPU
 Consommation mémoire
 Volume du trafic
 Direction du trafic
 Numéros de ports et protocoles
 Modèle de trafic et distrubtion
• Pourquoi ?
 Un comportement anormal est difficile à déterminer, à moins que vous sachiez relativement
ce qui est normal ?

Diagrammes de réseau
• Pourquoi ?
 Expliquer / Analyser des réseaux complexes est difficile et prend du temps
• Diagramme physique
 Inclus des câbles, ports, et des périphériques de réseau
 Niveau 1/2/3
• Diagramme logique
 Inclus des sous-réseaux, routeurs, périphériques virtuels (VDOM) et UTM
 Niveau 3 et plus

Suivi du flux de traffic et l’utilisation des ressources
• Obtenir des données à l’état normal avant l’apparition des problèmes
• Un comportement anormal est difficile à déterminer – à moins de savoir ce qui
est normal :
 Consommation CPU
 Consommation RAM
 Applications autorisées
 Bande passante IN/OUT
• Outils :
 SNMP
 Alertes Mails
 Logging/Syslog
 Fortianalyzer ou mécanisme de SIEM
 Tableau de bord get system status

Polling Fortigate via SNMP

Réception des notifications via SNMP
DestinationDestination
Evènements
déclencheurs de
traps SNMP
Evènements
déclencheurs de
traps SNMP

Informations Systèmes et utilisation de ressources
# get system status
Version: FortiGate-VM64 v5.2.4,build0688,150722 (GA)
Virus-DB: 30.00334(2015-11-08 15:41)
Extended DB: 30.00334(2015-11-08 15:42)
Extreme DB: 1.00000(2012-10-17 15:47)
IPS-DB: 5.00555(2014-10-07 01:21)
IPS-ETDB: 6.00725(2015-11-06 02:55)
Serial-Number: FGVM040000025212
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000009
License status: Valid
VM Resources: 1 CPU/4 allowed, 969 MB RAM/6144 MB
allowed
Hostname: STUDENT
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 688
Release Version Information: GA
FortiOS x86-64: Yes
System time: Mon Nov 9 21:40:50 2015
# get sys perf stat
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 2% system 0% nice 98% idle
Memory states: 60% used
Average network usage: 17457 kbps in 1 minute,
28245 kbps in 10 minutes, 24122 kbps in 30 minutes
Average sessions: 5142 sessions in 1 minute, 6350
sessions in 10 minutes, 6239 sessions in 30 minutes
Average session setup rate: 50 sessions per second in
last 1 minute, 48 sessions per second in last 10
minutes, 46 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 29 days, 7 hours, 37 minutes

Plus d’outils
• CLI
• Dashboard
• Traps SNMP
• Alertes mail
• Logs
Get system status
Get system performance status
Diagnose sys top
Diagnose sys top-summary
Diagnose hardware sysinfo memory
Diagnose hardware sysinfo shm
Diagnose netlink device list
Diagnose hardware deviceinfo nic port1
Diagnose firewall statistics show
…

Pourquoi vous avez besoin de comprendre ce qu’est l’état
normal ?

Diagnostic
et Troubleshooting
Yassine MORSLI
Outils de diagnostique

Plan
• Comprendre la table des sessions
• Diagnostique des problèmes de ressources, tel que une haute
consommation CPU et mémoire
• Tests d’images de firmware sans sauvegarder sur disque

Troubleshooting niveau réseau : Routes
#execute ping-options ?
data-size Integer value to specify datagram size in bytes.
df-bit Set DF bit in IP header <yes | no>.
interval Integer value to specify seconds between two
pings.
pattern Hex format of pattern, e.g. 00ffaabb.
repeat-count Integer value to specify how many times to repeat
PING.
source Auto | <source interface IP>.
timeout Integer value to specify timeout in seconds.
tos IP type-of-service option.
ttl Integer value to specify time-to-live.
validate-reply Validate reply data <yes | no>.
view-settings View the current settings for PING option.
#execute ping <ipv4_address>
#execute traceroute { <ipv4_address> | <host_fqdn> }

Troubleshooting niveau réseau : Sessions
1. Effacer les filtres précédents
2. Paramétrer le filtre
3. Lister toutes les entrées associées au filtre configuré
4. Effacer toutes les entrées associées au filtre configuré
# diagnose sys session filter
clear
# diagnose sys session filter ?
dport destination port
dst destination IP address
policy policy id
sport source port
src source ip address
# diagnose sys session list
# diagnose sys session clear

Table des sessions : Exemple TCP
#diagnose sys session list
session info: proto=6 proto_state=65 duration=25 expire=9 timeout=3600 flags=00000000
sockflag=00000000 sockport=443 av_idx=9 use=5
origin-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bps
reply-shaper=guarantee-100kbps prio=2 guarantee 12800Bps max 1342177Bps
per_ip_shaper=
ha_id=0 policy_dir=0 tunnel=/
state=may_dirty ndr npu
statistic(bytes/packets/allow_err): org=476/8/1 reply=1376/8/1 tuples=2
orgin->sink: org pre->post, reply pre->post dev=37->52/52->37 gwy=172.16.0.20/192.168.0.15
hook=pre dir=org act=snat 192.168.1.110:57995->74.201.86.29:443(0.0.0.0:0)
hook=post dir=reply act=dnat 74.201.86.29:443->172.17.87.16:4168(192.168.1.110:57999)
src_mac=70:ca:9b:4e:fd:00
misc=0 policy_id=17 auth_info=0 chk_client_info=0 vd=0
serial=cb545a86 tos=ff/ff ips_view=12 app_list=0 app=0
dd_type=0 dd_mode=0
npu_state=00000000
npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0,
npuid=0/0, onpuid=0/0
ProtocoleProtocole Statut de
connexion
Statut de
connexion
TTL restantTTL restant
Port
destination
Port
destination
Traffic ShapingTraffic Shaping
NATNAT
Accélération
matérielle
Accélération
matérielle

Options de capture de paquets avancées
• <count> nombre de paquets à capturer
• <tsformat> modifie le format d’horodatage
 a – Temp UTC absolu
 l – temps local
# diag sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>

Lenteurs
• Haute consommation CPU
• Haute consommation mémoire
• Quelle est l’utilisation du processeur ? Pourquoi ?
# get system performance status
# diagnose sys top 1

Troubleshooting CPU
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle
Memory states: 59% used
Average network usage: 37764 kbps in 1 minute, 33587 kbps in 10 minutes, 24275 kbps in 30 minutes
Average sessions: 6076 sessions in 1 minute, 6421 sessions in 10 minutes, 6271 sessions in 30 minutes
Average session setup rate: 100 sessions per second in last 1 minute, 86 sessions per second in last 10
minutes, 82 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 30 days, 8 hours, 37 minutes
Consommation
CPU
Consommation RAM
Utilisation réseau

Exécuter un nouveau Firmware
• Un nouveau firmware peut contenir de nouvelles fonctionnalités et des
changements de fonctionnement :
 Va-t-il interférer avec le fonctionnement du trafic critique ?
• Chargement temporaire d’une nouvelle image (sans enregistrer sur le
disque) est une méthode plus sûre de tester avant de mettre à jour
 Tester en environnement de lab durant une maintenance
 Un redémarrage retourne le Fortigate à l’ancien firmware et configuration
 Bien se documenter sur la release note
• Il est également possible de charger des logiciels de diagnostic
Save as Default firmware/Run image without saving: [D/R]

Chargement d’une image temporaire
• Possible seulement via le port console
Press any key to display the configuration menu…
[G] : Get firmware image from TFTP server.
[F] : Format boot device.
[Q] : Quit menu and continue to boot with default firmware.
[H] : Display this list of options.
Enter G,F,Q, or H ( Press ‘G’ here.)
Enter TFTP server address [192.168.1.168]: xxx.xxx.xxx.xxx
Enter local address [192.168.1.188]: xxx.xxx.xxx.xxx
Enter firmware image file name [image.out]: xxxxxxxxxxxxxxx
MAC:00:09:0f:0a:1a:7c #########
Total 10643362 bytes data downloaded.
Verifying the intergrity of the firmware image. Total 28000kB
unzipped.
Save as Default firmware/Run image without saving: [D/R]

Monitoring de l’utilisation réseau et ressources de système
Troubleshooting physique
Troubleshooting réseau
Tests matériel
Comment charger un firmware en RAM, pas en disque

Dimensionnement
et support
Yassine MORSLI

Plan
• Le support Fortinet
• Le licensing Fortigate
• Les performances des boitiers

Le Support Fortinet
• Les 2 types de support :
 FortiCare 8x5
• Support email et web du lundi au vendredi de 9h à 18h
• Remplacement matériel après réception du matériel défectueux par Fortinet
 FortiCare 24x7
• Support téléphonique, email et web 24h/24 7J/7
• Remplacement anticipé du matériel (J+1)
• Le support Fortinet est accessible via :
• http://support.fortinet.com
• 0 800 910 652/ +33 4 8987 0555

Le Licensing Fortigate
• Pas de licence par utilisateur
• Licences uniquement pour le filtrage de contenu :
 Anti-Virus
 Filtrage d’URLs
 Anti-Spam
 IPS/App. Control
• Toutes les autres fonctionnalités sont incluses de base (VPN
IPSEC/SSL, Optimisation WAN, QoS, VDOM)

Entrée de gamme Fortigate: Comparaison
FG-30D FG-60D FG-70D FG80D FG-90D FG-92D
Firewall
(1518/512/64
byte UDP)
800 / 800 / 800
Mbps
1.5 /1.5 /1.5
Gbps
3.5 /3.5 /3.5
Gbps
1.3 Gbps
3.5 /3.5 /3.5
Gbps
2 Gbps
Concurrent
Sessions
200,000 500,000 2 Mil 1.5 Mil 2 Mil 1.5 Mil
New
Sessions/Sec
3,500 4,000 4,000 22, 000 4,000 22,000
IPSec VPN 350 Mbps 1 Gbps 1 Gbps 200 Mbps 1 Gbps 130 Mbps
IPS (HTTP) 150 Mbps 200 Mbps 275 Mbps 800 Mbps 275 Mbps 950 Mbps
Antivirus (Proxy
based)
30 Mbps 35 Mbps 35 Mbps 250 Mbps 35 Mbps 300 Mbps
Interfaces
(LAN, WAN &
DMZ)
5 x GE RJ45 10 x GE RJ45 16 x GE RJ45 4x GE RJ45 16 x GE RJ45 16 x GE RJ45
Storage - - - 16 GB 32GB 16 GB
Variants WiFi, PoE WiFi, PoE - -
WiFi, PoE, high
port density
WiFi

FG-30D FG-60D FG-70D FG80D FG-90D FG-92D
FG-94D-POE
FG-98D-POE
Recommended
#users
1-5 5-25 20-50
Storage - - - ✔ ✔✔ ✔ ✔✔
WiFi Variant ✔ ✔ - - ✔ ✔ -
POE Variant (1x GE) (2x GE) - - (4x GE) - 24x FE
Firewall & VPN
Performance
✔✔ ✔✔ ✔✔✔ ✔ ✔✔✔ ✔ ✔✔✔
UTM
Performance
✔ ✔ ✔✔ ✔✔✔ ✔✔ ✔✔✔ ✔✔
Port Density ✔✔ ✔✔ ✔✔ ✔ ✔✔ ✔✔ ✔✔✔
Ideal Use Cases
Small branch
offices , Kiosks
Small branch
offices
Small branch
offices
Small offices
Small branch
offices
Small offices
Small branch
offices
Site-Site VPN Site-Site VPN Site-Site VPN Limited VPN
Site-Site VPN,
WAN opt.
Limited VPN
Site-Site
VPN, WAN
opt.
limited UTM &
features,
central logging
limited UTM,
central logging
UTM,
central logging
Full UTM,
Cloud based
logging
UTM,
local log &
reporting
Full UTM,
Cloud based
logging
UTM , high PoE
ports desired

FWF30D FWF30E FWF50E FWF60D FWF90D/92D
Thick AP ✔ ✔ ✔ ✔ ✔
Wireless Controller Yes (CLI) Yes (CLI) Yes Yes Yes
#of WiFi radios 1 1 1 1 1
Supported Std a/b/g/n a/b/g/n a/b/g/n a/b/g/n a/b/g/n
802.11n 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO 2x2 MIMO
Max wireless
association rate
total
300Mbps 300Mbps 300Mbps 300Mbps 300Mbps
SSID’s (incl.
reserved)
8 8 8 8 8
Max nP (Total/
Local Bridge)
2 / 2 2 / 2 10 / 5 10 / 5 32 / 16

Moyenne gamme Fortigate : Comparaison
FGT-100D FGT-140D FGT-200D FGT-240D FGT-280D-POE
Firewall
(1518/512/64 byte UDP)
2500* Mbps 2500* Mbps
3 / 3 / 3
Gbps
4 / 4 / 4
Gbps
4 / 4 / 4
Gbps
Concurrent Sessions 3 Mil 3 Mil 3.2 Mil 3.2 Mil 3.2 Mil
New Sessions/Sec 22,000 22,000 77,000 77,000 77,000
IPSec VPN 450 Mbps 450 Mbps 1.3 Gbps 1.3 Gbps 1.3 Gbps
IPS (HTTP) 950 Mbps 950 Mbps 1.7 Gbps 2.1 Gbps 2.1 Gbps
Antivirus
(Proxy Based)
300 Mbps 300 Mbps 600 Mbps 600 Mbps 600 Mbps
Interfaces
(LAN, WAN & DMZ)
20 x GE RJ45,
2 x GE SFP
40x GE RJ45,
2x GE SFP
18 x GE RJ45,
2 x GE SFP
42 x GE RJ45,
2 x GE SFP
54 x GE RJ45,
32 x GE PoE RJ45,
4 x GE SFP
Storage 32GB 32GB 64 GB 64 GB 64 GB
Variants LENC, T1 port, PoE PoE PoE -

FGT-300C FGT-300D FGT-400D FGT-500D
Firewall
(1518/512/64 byte UDP)
8 / 8 / 8
Gbps
8 / 8 / 8
Gbps
16 / 16 / 16
Gbps
16 / 16 / 16
Gbps
Concurrent Sessions 2 Mil 6 Mil 5.5 Mil 6 Mil
New Sessions/Sec 50,000 200,000 200,000 250,000
IPSec VPN 4.5 Gbps 7 Gbps 14 Gbps 14 Gbps
IPS (HTTP) 1.4 Gbps 2.8 Gbps 2.8 Gbps 4.7 Gbps
Antivirus
(Proxy Based)
200 Mbps 1.4 Gbps 1.4 Gbps 1.7 Gbps
Interfaces
(LAN, WAN & DMZ)
10 x GE RJ45 6 x GE RJ45, 4 x GE SFP
10 x GE RJ45,
8 x GE SFP
10 x GE RJ45,
8 x GE SFP
Storage 16 GB 120 GB - 120 GB
Variants LENC LENC - -

FG-600C FG-600D FG-800C FG-900D
Firewall
(1518/512/64 byte UDP)
16 / 16 /16 Gbps 36 / 36 / 24 Gbps 20 / 20 / 20 Gbps 52 / 52 / 33 Gbps
Concurrent Sessions 3 Mil 5.5 Mil 7 Mil 11 Mil
New Sessions/Sec 70,000 270,000 190,000 280,000
IPSec VPN 8 Gbps 20 Gbps 8 Gbps 25 Gbps
IPS (HTTP) 3 Gbps 7 Gbps 6 Gbps 8 Gbps
Antivirus
(Proxy Based)
1.3 Gbps 3 Gbps 1.7 Gbps 3.5 Gbps
Interfaces
(LAN, WAN & DMZ)
18x GE RJ45, 4 x
Shared port pairs, 2 x
bypass Pairs
2x 10GE SPF+ , 8x GE
SFP, 8x GE RJ45
2 x 10GE SFP+,14 x GE
RJ45,
8 x Shared port pairs, 2
x bypass Pairs
2x 10GE SPF+ , 16x GE
SFP,
18x GE RJ45
Storage 64 GB 120 GB 64 GB 256 GB
Variants DC, LENC - - -

Le support
Le licensing
La performance des boitiers

Conclusion de la formation
L’UTM Fortigate
Fonctionnalités avancées
Yassine MORSLI

Le routage
La virtualisation de pare-feu
Le mode transparent
Les certificats
La haute disponibilité (HA)
Les outils de diagnostics
Dimensionnement et support

Formation suivante
Fortigate –
Fonctionnalit
és avancées
Fortigate –
Fonctionnalit
és avancées
FortiManagerFortiManager
FortimailFortimail FortiWebFortiWeb
Firewalling
NSE 4
Administration
NSE 5
Messagerie
NSE 6
WAF
NSE 6
Fortigate –
Fonctionnalités
de base
Fortigate –
Fonctionnalités
de base
Formation suivante
FortiAnalyzerFortiAnalyzer

QUESTIONS ?
YASSINE.MORSLI@GMAIL.COM

Fortinet UTM - les Fonctionnalités avancéese

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Fortinet UTM - les Fonctionnalités avancéese

Ähnlich wie Fortinet UTM - les Fonctionnalités avancéese (20)

Mehr von Alphorm

Mehr von Alphorm (20)

Fortinet UTM - les Fonctionnalités avancéese