Complete FortiGate Firewall Implementation Lab [PDF]

Zitiervorschau

Traduit de Anglais vers Français - www.onlinedoctranslator.com

TABLE DES MATIÈRES 1

Résumé

3

2

Introduction au pare-feu ?

5

2.1 Comment fonctionne le pare-feu ?

5

3

sept

Étapes pour configurer Fortigate

3.2 Télécharger le pare-feu FortiGate Virtual

sept sept

3.3 Configurer les interfaces réseau virtuelles pour FortiGate

9

3.4

3.7 Démonstration de l'interface graphique

11 14 16 18

4

22

3.1 Prérequis

Déploiement de l'image FortiGate VM dans VMWare

3.5 Configuration de l'interface de gestion 3.6 Accès à l'interface graphique du pare-feu FortiGate

Mise en œuvre des politiques de pare-feu

4.9 Créer une politique de sécurité de filtre Web

22 22 26 27 30 34 35 36 38

5

42

4.1 Connecter les périphériques réseau

4.2 Configurer les interfaces réseau 4.3 Ajouter un itinéraire par défaut

4.4 Créer une politique de pare-feu IPV4

4.5 Créer une politique Dos IPv4 4.6 Blocage de Facebook avec un filtre Web

4.7 Activer le filtre Web 4.8 Activer le profil de filtre Web par défaut

Politiques avancées

5.3 Simplifier les politiques avec Zone

42 46 52

6

61

5.1 Bloquer l'ensemble des médias sociaux à l'aide des catégories FortiGuard

5.2 Tunnel VPN IPsec site à site avec deux FortiGates

À propos de nous

www.hackingarticles.in

Page | 2

Résumé

Dans cette publication, vous apprendrez comment connecter et configurer une nouvelle unité FortiGate en mode route NAT pour connecter en toute sécurité un réseau privé à Internet. En mode route NAT, une unité FortiGate est installée en tant que passerelle ou routeur entre deux réseaux. Dans la plupart des cas, il est utilisé entre les réseaux privés et Internet, cela permet au pare-feu de masquer les adresses IP du réseau privé à l'aide de la traduction d'adresses réseau (NAT) et des différentes politiques de pare-feu du pare-feu FortiGate en tant que recette de pare-feu.

www.hackingarticles.in

Page | 3

Introduction au pare-feu ? Dans le langage informatique, un pare-feu est un logiciel ou un matériel de sécurité capable de surveiller et de contrôler le trafic réseau, entrant et sortant. Il établit une sorte de barrière entre les réseaux internes fiables et les réseaux externes inconnus. Par conséquent, un pare-feu, également appelé pare-feu réseau, est capable d'empêcher l'accès non autorisé vers/ depuis les réseaux privés. Un pare-feu réseau est basé sur des règles de sécurité pourJ'accepte,rejeter, ougouttetrafic spécifique. Le pare-feu a pour objectif d'autoriser ou de refuser la connexion ou la demande, en fonction des règles mises en œuvre.

Comment fonctionne le pare-feu ?

Fondamentalement, les pare-feu sont divisés en deux parties

-

Avec état : - Les pare-feu avec état sont capables de surveiller l'ensemble du trafic réseau, y compris leurs canaux de communication. Ces pare-feu sont également appelés filtres de paquets dynamiques car ils filtrent les paquets de trafic en fonction du contexte (il s'agit de métadonnées de paquets, y compris les ports et l'adresse IP appartenant à ce point de terminaison) et de l'état.

-

Proxy : - Le pare-feu proxy peut être défini comme un pare-feu capable de surveiller et de filtrer les communications au niveau de l'application et de protéger les ressources contre le trafic dangereux indésirable. Un pare-feu proxy est également appelé pare-feu de couche application.

Après un certain temps dans une inspection, le pare-feu avec état devient plus sophistiqué et les pare-feu proxy deviennent trop lents. Aujourd'hui, presque tous les pare-feu sont avec état et ils sont divisés en deux types généraux.

-

Pare-feu basés sur l'hôte

Pare-feu réseau

www.hackingarticles.in

Page | 5

Étapes pour configurer Fortigate Conditions préalables Pour configurer le pare-feu virtuel FortiGate sur votre système, certaines conditions préalables sont requises pour l'installation

-

Poste de travail VMWare Image de la machine virtuelle du pare-feu FortiGate

3 NIC (cartes d'interface réseau) ou plus Cartes réseau compatibles E1000 Privilèges root

Télécharger le pare-feu virtuel FortiGate Tout d'abord, nous devons télécharger le pare-feu virtuel FortiGate à partir du portail officiel FortiGate. Pour ce faire, rendezvousici , puis enregistrez-vous ou connectez-vous au compte.

www.hackingarticles.in

Page | sept

En créant un compte ou en vous connectant au compte, accédez à Télécharger> Images VM, comme indiqué dans l'image cidessous.

Ensuite, sélectionnez le produit : FortiGate > sélectionnez la plate-forme : VMWare ESXi, comme indiqué dans l'image ci-dessous. Par défaut, vous n'avez aucune licence associée à votre image virtuelle, vous pouvez donc utiliser la version d'essai ou acheter la licence selon vos besoins.

www.hackingarticles.in

Page | 8

Après avoir téléchargé le fichier FortiGate VM compressé, vous devez extraire le fichier Zip compressé en utilisant votre extracteur préféré et le fichier Zip extrait ressemble de la même manière à l'image ci-dessous

Configurer les interfaces réseau virtuelles pour FortiGate Configurons les adaptateurs réseau virtuels selon vos besoins. Pour ce faire, ouvrez VMware, puis accédez à Édition> Éditeur de réseau virtuel, comme indiqué dans l'image ci-dessous.

www.hackingarticles.in

Page | 9

De plus, il ouvrira une autre invite qui vous permettra de modifier la configuration du réseau. Pour apporter des modifications à la configuration du réseau, il a besoin des privilèges d'administrateur pour fournir des privilèges d'administrateur, cliquez sur modifier les paramètres comme indiqué ci-dessous

Ou vous pouvez également accéder directement à l'application de l'éditeur de réseau virtuel en cliquant sur le bouton Démarrer de Windows et en recherchant l'éditeur de réseau virtuel. Si vous utilisez Linux (c'est-à-dire Ubuntu), vous pouvez taper la commande cidessous pour ouvrir Virtual Network Editor.

sudo vmware-netcfg Par défaut, il n'y a que deux interfaces réseau virtuelles, c'est-à-direVMNet1etVMNet8. Alors, cliquez sur Ajouter un réseau et rendez votre interface virtuelle uniquement hôte. Après cela, vous devez fournir une adresse IP unique de périphériques réseau à chaque interface réseau.

Par exemple, je vais utiliser 192.168.200.0/24 pour l'interface vmnet0 et ainsi de suite… Utilisez l'IP de vos périphériques réseau ou quoi que ce soit selon vos besoins. De même, vous pouvez ajouter autant d'interfaces réseau que vous le souhaitez, mais souvenez-vous d'une chose que toute la configuration réseau doit être configurée sur l'hôte uniquement et vous pouvez activer ou désactiver le service DHCP selon les exigences de votre système.

www.hackingarticles.in

Page | dix

Déploiement de l'image FortiGate VM dans VMWare Il est maintenant temps de déployer le pare-feu virtuel FortiGate dans VMWare Workstation. Ouvrez simplement la station de travail VMWare et accédez àDes dossiers>>Ouvert(Ctrl+O) ou allez dans l'onglet Accueil et sélectionnez ouvrir une machine virtuelle. Sélectionnez le fichier FortiGate-VM64.ovf que vous avez téléchargé sur le site officiel de FortiGate comme indiqué cidessous

Ensuite, après qu'il ouvrira une autre invite du contrat de licence utilisateur final, acceptez-le et passez au suivant

www.hackingarticles.in

Page | 11

À l'invite suivante, attribuez un nom à la nouvelle machine virtuelle et un chemin de stockage, puis sélectionnez l'importation comme indiqué ci-dessous.

Ce processus va prendre un certain temps, alorspatience. Après la réussite de ce processus, Il est maintenant temps de configurer les ressources du pare-feu virtuel en cliquant sur Modifier les paramètres de la machine virtuelle. modifiez simplement les interfaces réseau virtuelles, la mémoire et le processeur attribués en accédant à Modifier la machine virtuelle.

www.hackingarticles.in

Page | 12

Dans mon cas, je donne 2 Go de RAM, 30 Go de disque dur, 1 processeur et 6 interfaces réseau virtuelles différentes (VMNet2, VMNet3, VMNet4, VMNet11, VMnet11, VMnet12 à différents adaptateurs réseau. Vérifiez l'image ci-dessous pour référence.

www.hackingarticles.in

Page | 13

Configuration de l'interface de gestion Nous venons de terminer le processus de déploiement du pare-feu FortiGate sur le poste de travail VMWare. Configurons une adresse IP à l'interface de gestion. Afin d'attribuer d'abord une adresse IP à l'interface de gestion, nous devons nous connecter au système avec les informations d'identification par défaut Utilisateur de connexion: – Administrateur

Mot de passe:–Dans ce cas, nous ne connaissons pas le mot de passe par défaut, appuyez sur Entrée et modifiez le mot de passe comme indiqué ci-dessous

Vérifions les interfaces système en exécutant la commande suivante afficher l'interface système

www.hackingarticles.in

Page | 14

Le port 1 sera pour l'interface de gestion, donc, attribuez une adresse IP unique au port de gestion et définissez le mode statique. Dans cet exemple, notre adresse IP sera 192.168.200.128/24, donc la passerelle par défaut sera 192.168.200.1. Pour attribuer une adresse IP au port de gestion, exécutez la commande suivante, comme indiqué ci-dessous

interface système de configuration

modifier le port1

définir le mode statique

définir l'adresse IP 192.168.200.128 255.255.255.0

définir allowaccess http https telnet ssh ping

fin

En outre, nous pouvons vérifier les modifications apportées aux interfaces système en exécutant la commande suivante

afficher l'interface système

www.hackingarticles.in

Page | 15

Accéder à l'interface graphique du pare-feu FortiGate Vérifions notre configuration de pare-feu en accédant à l'interface graphique du pare-feu FortiGate. Avant d'accéder d'abord à l'interface graphique, nous allons vérifier la connectivité à notre pare-feu à l'aide de l'utilitaire ping en exécutant la commande suivante

exécuter le ping 192.268.200.128

Comme nous pouvons le voir, l'adresse IP est accessible, ce qui signifie qu'elle fonctionne correctement maintenant, nous allons accéder à l'interface graphique du pare-feu FortiGate en utilisant son adresse IP d'interface de gestion.

https://192.168.200.128 utilisez les mêmes identifiants de connexion que nous avons configurés sur CLI Nom d'utilisateur:–administrateur

Mot de passe: – 123

www.hackingarticles.in

Page | 16

En vous connectant au pare-feu, il ouvrira une invite de configuration dans laquelle nous devons spécifier le nom d'hôte, modifier le micrologiciel de mise à niveau du mot de passe et configurer le tableau de bord.

Par défaut, ce FortiGate utilisera le numéro de série/modèle comme nom d'hôte. Pour le rendre plus identifiable, définissez un nom d'hôte descriptif comme indiqué ci-dessous

Nous avons déjà changé le mot de passe dans Firewall CLI et aussi, nous avons déjà téléchargé la dernière version du pare-feu, donc il vous passe automatiquement à la dernière étape de la configuration du tableau de bord. Sélectionnez-le sur Optimal ou Complet selon vos besoins

www.hackingarticles.in

Page | 17

Après avoir sélectionné le type de tableau de bord, cliquez sur OK et terminez la configuration.

Démonstration de l'interface graphique

L'interface graphique contient les menus principaux suivants, qui permettent d'accéder aux options de configuration pour la plupart des fonctionnalités de FortiOS :

Tableau de bord: -Le tableau de bord affiche divers widgets qui affichent des informations importantes sur le système et vous permettent de configurer certaines options du système.

www.hackingarticles.in

Page | 18

Tissu de sécurité : –Accédez à la topologie physique, à la topologie logique, à l'audit et aux paramètres de Fortinet Security Fabric. FortiView : –Une collection de tableaux de bord et de journaux qui donnent un aperçu du trafic réseau, indiquant quels utilisateurs créent le plus de trafic, de quel type de trafic il s'agit, quand le trafic se produit et quel type de menace le trafic peut représenter pour le réseau. Réseau: -Options de mise en réseau, y compris la configuration des interfaces système et des options de routage. Système: -Configurez les paramètres système, tels que les administrateurs, FortiGuard et les certificats. Politique et objets : –Configurez les politiques de pare-feu, les options de protocole et le contenu de prise en charge des politiques, y compris les horaires, les adresses de pare-feu et les régulateurs de trafic.

Profils de sécurité : –Configurez les fonctionnalités de sécurité de votre FortiGate, notamment l'antivirus, le filtre Web et le contrôle des applications.

VPN : –Configurez les options pour les réseaux privés virtuels (VPN) IPsec et SSL. Utilisateur et appareil : –Configurez les comptes d'utilisateurs, les groupes et les méthodes d'authentification, y compris l'authentification externe et l'authentification unique (SSO).

Contrôleur Wi-Fi et commutateur : –Configurez l'unité pour agir en tant que contrôleur de réseau sans fil, gérant la fonctionnalité de point d'accès (AP) sans fil des unités FortiWiFi et FortiAP. Sur certains modèles FortiGate, ce menu comporte des fonctionnalités supplémentaires permettant aux unités FortiSwitch d'être gérées par le FortiGate. Journal et rapport : –Configurez la journalisation et l'e-mail d'alerte ainsi que les rapports.

Moniteur: -Affichez une variété de moniteurs, y compris le moniteur de routage, les moniteurs VPN pour IPsec et SSL, les moniteurs liés aux réseaux sans fil, et plus encore.

Démonstration du tableau de bord Les tableaux de bord FortiGate peuvent avoir un centre d'opérations réseau (NOC) ou une mise en page réactive.

-

Sur un tableau de bord réactif, le nombre de colonnes est déterminé par la taille de l'écran. Les widgets ne peuvent être redimensionnés qu'horizontalement, mais le tableau de bord s'adaptera à toutes les tailles d'écran.

-

Sur un tableau de bord NOC, le nombre de colonnes est explicitement défini. Les widgets peuvent être redimensionnés verticalement et horizontalement, mais le tableau de bord s'affichera mieux sur la taille d'écran pour laquelle il est configuré.

Plusieurs tableaux de bord des deux types peuvent être créés, à la fois pour les VDOM individuels et globalement.

-

Les widgets sont interactifs ; cliquer ou survoler la plupart des widgets affiche des informations supplémentaires ou des liens vers des pages pertinentes.

-

Les widgets peuvent être réorganisés en cliquant dessus et en les faisant glisser sur l'écran.

Quatre tableaux de bord sont disponibles par défaut : État, Réseau, Sécurité et Événements système

Le tableau de bord État inclut par défaut les widgets suivants : Informations système : –Le widget Informations système répertorie les informations relatives au système FortiGate, notamment le nom d'hôte, le numéro de série et le micrologiciel. Cliquer sur le widget fournit des liens pour configurer les paramètres système et mettre à jour le micrologiciel de l'appareil.

Licences : –Le widget Licence répertorie l'état de diverses licences, telles que FortiCare Support et IPS. Le nombre de FortiTokens utilisés et disponibles est également affiché. Cliquer sur le widget fournit un lien vers la page des paramètres de FortiGuard.

Machine virtuelle: -Le widget VM (affiché par défaut dans le tableau de bord d'un appareil FortiOS VM) comprend :

-

État et type de licence Allocation et utilisation du vCPU Allocation et utilisation de la RAM Informations sur la licence VMX (si la VM prend en charge VMX)

www.hackingarticles.in

Page | 19

Cliquer sur un élément du widget fournit un lien vers la page FortiGate VM License, où les fichiers de licence peuvent être téléchargés.

Nuage FortiGate :–Ce widget affiche l'état de FortiGate Cloud et FortiSandbox Cloud. Tissu de sécurité : –Le widget Security Fabric affiche un résumé visuel des appareils dans Fortinet Security Fabric. Cliquer sur l'icône d'un produit fournit un lien vers une page pertinente pour ce produit. Par exemple, cliquer sur FortiAnalyzer affiche un lien vers les paramètres de journalisation.

Cote de sécurité : –Le widget Évaluation de sécurité affiche l'évaluation de sécurité de votre Security Fabric. Il peut afficher le centile de notation actuel, ou le score de notation de sécurité historique ou les graphiques de centiles. Administrateurs : –Ce widget vous permet de voir les administrateurs connectés, les administrateurs connectés et les protocoles utilisés par chacun. Cliquer dans le widget fournit des liens pour afficher les sessions administrateur actives et pour ouvrir la page FortiExplorer sur l'App Store. CPU: -Ce widget affiche l'utilisation du processeur en temps réel sur la période sélectionnée. Survoler n'importe quel point du graphique affiche le pourcentage de puissance du processeur utilisé à ce moment précis. Il peut être étendu pour occuper tout le tableau de bord.

Mémoire: -Ce widget affiche l'utilisation de la mémoire en temps réel sur la période sélectionnée. Survoler n'importe quel point du graphique affiche le pourcentage de la mémoire utilisée à ce moment précis. Il peut être étendu pour occuper tout le tableau de bord.

Séances : –Ce widget affiche le nombre actuel de sessions sur la période sélectionnée. Survoler n'importe quel point du graphique affiche le nombre de sessions à ce moment précis. Il peut être étendu pour occuper tout le tableau de bord. Le tableau de bord de sécurité inclut par défaut les widgets suivants :

-

Principaux hôtes compromis par verdict : -Ce widget répertorie les hôtes compromis par verdict. Un FortiAnalyzer est nécessaire. Il peut être étendu pour occuper tout le tableau de bord.

-

Principales menaces par niveau de menace : –Ce widget répertorie les principales menaces par niveau de menace, l de FortiView. Il peut être étendu pour occuper tout le tableau de bord.

-

Vulnérabilités détectées par FortiClient : –Ce widget affiche le nombre de vulnérabilités détectées par FortiClient. FortiClient doit être activé. Cliquer sur le widget fournit un lien pour afficher les informations dans FortiView. Résumé de l'analyse de l'hôte : –Ce widget répertorie le nombre total d'hôtes. Cliquer sur le widget fournit des liens pour afficher les appareils vulnérables dans FortiView, le moniteur FortiClient et l'inventaire des appareils.

-

Principaux terminaux vulnérables par vulnérabilités détectées : -Ce widget répertorie les principaux terminaux vulnérables par les vulnérabilités détectées, à partir de FortiView. Il peut être étendu pour occuper tout le tableau de bord.

Le tableau de bord des événements système inclut les widgets suivants par défaut :

-

Principaux événements système par événements : –Ce widget répertorie les principaux événements système, triés par nombre d'événements. Il peut être étendu pour occuper tout le tableau de bord. Double-cliquez sur un événement pour afficher le journal des événements spécifique.

-

Principaux événements système par niveau : –Ce widget répertorie les principaux événements système, triés par niveaux d'événements. Il peut être étendu pour occuper tout le tableau de bord. Double-cliquez sur un événement pour afficher le journal des événements spécifique.

www.hackingarticles.in

Page | 20

Mise en œuvre des politiques de pare-feu Connecter les périphériques réseau Tout d'abord, vous devez connecter un pare-feu physique ou FortiGate à votre configuration réseau. Au lieu d'un pare-feu physique, nous utilisons un pare-feu virtuel FortiGate pour mettre la main à la pâte.

Connectez l'interface Internet FortiGate, généralement WAN1, à l'équipement fourni par votre FAI et connectez le PC à FortiGate à l'aide d'un port interne, généralement le port 1 ou selon vos besoins. Allumez l'équipement ISP, le pare-feu et le PC et ils sont maintenant dans le réseau interne.

Configurer les interfaces réseau Vous devez maintenant configurer les interfaces réseau du FortiGate. Allez dans réseau > Interfaces

www.hackingarticles.in

Page | 22

et modifiez l'interface Internet, définissez le mode d'adressage sur manuel et l'adresse IP/netmask sur l'adresse IP publique fournie par votre FAI. Ici, dans mon cas, je considère port2 comme une interface Internet. Fournir un accès administratif selon vos besoins au réseau

www.hackingarticles.in

Page | 23

Enregistrez ensuite la configuration, puis modifiez de la même manière l'interface LAN qui peut être appelée réseau interne. Définissez le rôle des interfaces sur le LAN ou le WAN, puis définissez le mode d'adressage sur manuel et définissez l'IP/masque de réseau sur l'adresse IP privée que vous souhaitez attribuer au FortiGate

www.hackingarticles.in

Page | 24

Si vous avez besoin que votre FortiGate fournisse des adresses IP aux appareils connectés au réseau interne, activez le serveur DHCP, puis enregistrez la configuration comme indiqué ci-dessous.

Changer l'IP par défaut de vos interfaces est recommandé pour les mesures de sécurité. Mais vous êtes connecté au FortiGate via cette interface, le FortiGate vous déconnectera et vous devrez naviguer vers la nouvelle adresse IP attribuée à l'interface et vous reconnecter.

www.hackingarticles.in

Page | 25

Ajouter un itinéraire par défaut Allez maintenant dans Réseau > Routes statiques et créez une nouvelle route pour permettre à votre FortiGate d'accéder à Internet

Définissez la destination sur le sous-réseau et entrez l'IP/masque de réseau de huit zéros. Définissez la passerelle sur l'adresse IP de la passerelle fournie par votre FAI et les interfaces sur l'interface Internet, puis enregistrez la route.

www.hackingarticles.in

Page | 26

Créer une politique de pare-feu IPV4 Politique de pare-feu conçue de manière à examiner le trafic réseau à l'aide d'énoncés de politique pour bloquer l'accès non autorisé tout en autorisant les communications autorisées.

Allez dans Politique & Objets > Politique de pare-feu et créez une nouvelle politique qui autorise le trafic Internet via le FortiGate.

www.hackingarticles.in

Page | 27

Nommez la politique "Trafic Internet" ou ce que vous voulez. Définissez l'interface entrante sur "l'interface interne" et l'interface sortante sur l'interface Internet. Réglez le reste pour autoriser "TOUT" le trafic ou vous pouvez sélectionner plusieurs règles en sélectionnant l'icône + et l'action pour "Accepter" activer le "NAT" et assurez-vous que "Utiliser l'adresse d'interface sortante est activé"

www.hackingarticles.in

Page | 28

Faites défiler vers le bas pour afficher les options de journalisation pour enregistrer et suivre Internettrafic "activez Log Allowed Traffic et sélectionnez All session"

Après l'avoir enregistré, vous pouvez vérifier que votre politique enregistrée revient à une politique de pare-feu

Comme vous pouvez le voir, la politique a été activée avec succès.

www.hackingarticles.in

Page | 29

Créer une stratégie Dos IPv4 La stratégie Dos est une fonction de détection des anomalies de trafic permettant d'identifier le trafic réseau qui ne correspond pas aux modèles de trafic connus ou courants. Les politiques Dos sont utilisées pour appliquer des vérifications d'anomalies Dos au trafic réseau basé sur l'interface FortiGate. Un exemple courant de trafic anormal est l'attaque Dos (Denial of Service). Un déni de service se produit lorsqu'un système attaquant démarre un nombre anormalement élevé de sessions avec le système cible et qu'un grand nombre de sessions ralentit ou désactive le système cible. Pour configurer la politique IPV4

-

Accédez à Politique et objets > Politique Dos IPv4 Pour créer une nouvelle stratégie, sélectionnez l'icône Créer nouveau dans le coin supérieur gauche de la fenêtre de droite.

Définissez le paramètre d'interface entrante en utilisant le menu déroulant pour sélectionner une seule interface.

Définissez l'adresse source, l'adresse de destination et le service sur"TOUT". Des options simples ou multiples peuvent être sélectionnées selon vos besoins. Définissez les paramètres pour différents types d'anomalies de trafic. Le tableau de répartition des anomalies de trafic est divisé en 2 parties.

-

Anomalies L3 Anomalies L4

www.hackingarticles.in

Page | 30

Voici la liste des profils d'anomalies qui comprend : Anomalies L3

-

Ip_src_session

Ip_dst_session

Anomalies L4

-

tcp_syn_flood tcp_port_scan tcp_src_session tcp_dst_session udp_flood udp_scan udp_src_session udp_dst_session

icmp_flood icmp_sweep icmp_src_session

www.hackingarticles.in

Page | 31

-

sctp_flood scan_sctp sctp_src_session

sctp_dst_session

www.hackingarticles.in

Page | 32

C'est à vous de choisir d'activer ou non cette politique et la valeur par défaut est activée. Ici, dans notre cas, nous avons bloqué certaines des actions avec les valeurs de seuil limitées pour vérifier si ces politiques fonctionnent ou non.

Toutes les anomalies ont les paramètres suivants qui peuvent être définis par anomalie ou par colonne

-

État : – à partir de ce menu, vous pouvez activer ou désactiver le profil indiqué. Journalisation : – Activez ou désactivez le suivi et la journalisation du profil indiqué en cours de déclenchement. Action : – choisissez de laisser passer ou de bloquer le trafic lorsqu'il atteint le seuil limite. Seuil : – C'est le nombre de paquets anormaux détectés avant de déclencher l'action.

Et enfin, sélectionnez le bouton ok et enregistrez la stratégie.

Comme nous pouvons le voir, Dos-protection-Policy est déployé avec succès.

Vérifions que ces politiques protègent vraiment le réseau contre les attaques Dos ou non. Hum, sortie

Faisons-le

Lancez Attacker Machine kali Linux et exécutez la commande suivante

hping -c 15000 -d 120 -S -w 64 -p 80 –flood – rand-source 192.168.200.128

où 192.168.200.128 est l'IP de gestion de FortiGate

Comme nous pouvons le voir, il bloque tout le trafic, ce qui signifie qu'il fonctionne correctement.

www.hackingarticles.in

Page | 33

Bloquer Facebook avec un filtre Web Dans cette partie, nous allons vous expliquer comment utiliser un filtre d'URL statique pour bloquer l'accès à Facebook et à son sousdomaine dans notre réseau.

Avec l'aide de l'inspection SSL, vous pouvez également vous assurer que Facebook et ses sous-domaines sont également bloqués chaque fois qu'ils seront accessibles via HTTPS.

www.hackingarticles.in

Page | 34

Activer le filtre Web Aller àsystème > fonctionnalité Visibilitéet activez la fonction de filtrage Web

www.hackingarticles.in

Page | 35

Activer le profil de filtre Web par défaut Aller àProfils de sécurité > Filtre Webet modifier le profil de filtre Web par défaut

Allez maintenant dans Filtre d'URL statique, sélectionnez le filtre d'URL, puis sélectionnez "créer”.

www.hackingarticles.in

Page | 36

Plus loin

alors

RéglerURLà "facebook.com", PositionnerTaperà "Caractère générique", PositionnerActionà "Bloquer" et

Positionnerstatutà "Activer”.

enregistrez-le en sélectionnant OK

Vous avez maintenant activé avec succès le filtre Web pour bloquer Facebook.

www.hackingarticles.in

Page | 37

Créer une stratégie de sécurité de filtre Web

Aller àPolitique et objets > Politique de pare-feuetCréer une nouvelle politique.

Donnez le nom à la politique « No-Facebook-Internet-Access » pour la rendre identifiable.

RéglerInterface entranteau réseau interne et réglezInterface sortanteà l'interface Internet. Réglez le reste pour autoriser"TOUT"Trafic ou vous pouvez sélectionner plusieurs règles en sélectionnant l'icône + et l'action à"Accepter"activer le"NAT”et assurez-vous"Utiliser l'adresse de l'interface sortante est activé"

www.hackingarticles.in

Page | 38

Sous Profils de sécurité, activez "Filtre Web" et sélectionnez le profil de filtre Web par défaut.

Nous avons maintenant déployé avec succès la politique qui empêche l'utilisateur de visiter Facebook et ses sous-domaines. Mais n'oubliez pas une chose importante, cette politique ne fonctionnera pas tant qu'elle ne figurera pas en haut de la liste des politiques déployées. Confirmez-le en consultant les politiques "Par séquence”.

www.hackingarticles.in

Page | 39

Pour déplacer la politique vers le haut ou vers le bas, sélectionnez la politique et faites-la glisser vers le haut ou vers le bas selon vos besoins, comme indiqué cidessous

Maintenant, cette stratégie est en vigueur et activée avec succès.

www.hackingarticles.in

Page | 40

Politiques avancées Bloquer l'ensemble des médias sociaux à l'aide des catégories FortiGuard Dans cette partie, nous allons vous expliquer comment bloquer l'accès aux sites Web de médias sociaux à l'aide des catégories FortiGuard.

Doit rappeler une chose qu'une licence active du service de filtrage Web FortiGuard est nécessaire pour utiliser ce type de fonction.

La filtration Web avec les catégories FortiGuard vous permet d'agir contre un groupe de sites Web, tandis qu'un filtre d'URL statique est destiné à bloquer ou à surveiller une URL spécifique.

Activer le filtre Web Aller àsystème > fonctionnalité Visibilitéet activer leFonction de filtre Web

www.hackingarticles.in

Page | 42

Modifier le profil de filtre Web par défaut Aller àProfils de sécurité > Filtre Webet modifiez le profil de filtre Web par défaut et assurez-vous que "FortiGuard basé sur la catégorie” le service de filtrage est activé. Faites un clic droit surIntérêt généralCatégorie FortiGuard. faites défiler jusqu'àRéseaux sociauxsous-catégorie et sélectionnez l'action pour "Bloquer"comme indiqué ci-dessous.

Ajouter un profil de filtre Web à la stratégie d'accès à Internet Accédez à Politique et objets > Politique de pare-feu et créez une nouvelle politique

www.hackingarticles.in

Page | 43

Donnez le nom à la politique « Blocking-social-media » pour la rendre identifiable. Définissez l'interface entrante sur le réseau interne et l'interface sortante sur l'interface Internet. Réglez le reste pour autoriser "TOUT" le trafic ou vous pouvez sélectionner plusieurs règles en sélectionnant l'icône + et l'action "Accepter" activer le "NAT" et assurez-vous que "Utiliser l'adresse de l'interface sortante est activé". Faites défiler jusqu'à Profils de sécurité activer le filtre Web et sélectionnez le profil de filtre Web par défaut et enregistrez la configuration.

www.hackingarticles.in

Page | 44

Vous avez maintenant activé avec succès la politique de blocage des médias sociaux pour déplacer cette politique en haut de la liste afin de la rendre efficace.

www.hackingarticles.in

Page | 45

Tunnel VPN IPsec site à site avec deux FortiGates Dans cette partie, nous allons configurer un tunnel VPN IPsec site à site pour permettre la communication entre deux réseaux situés derrière différents FortiGates.

Nous allons créer un tunnel VPN IPsec entre deux FortiGates l'un s'appelle HQ (Headquarter) l'autre s'appelle Branch.

www.hackingarticles.in

Page | 46

Configurer le VPN IPsec sur le siège Sur HQ FortiGate, allez dans l'assistant VPN > IPsec et créez un nouveau tunnel. Dans la section, la configuration VPN décrit un nom VPN pour le rendre identifiable, définissez le type de modèle sur Site-to-Site, définissez la configuration NAT sur NO NAT entre les sites et définissez le type de périphérique distant sur FortiGate.

Dans la section Authentification, définissez l'adresse IP sur l'adresse IP publique de la succursale FortiGate.

Après avoir saisi l'adresse IP, une interface est affectée à l'interface sortante. Vous pouvez modifier l'interface par le menu déroulant selon vos besoins. Définissez une sécuritéPré-partagéclé utilisée pour la connexion et la vérification pour les deux FortiGates.

www.hackingarticles.in

Page | 47

Dans la section Politique et routage, définissez l'interface locale sur "LAN" dans mon cas, "Port1" est dédié au réseau local et les sous-réseaux locaux s'ajouteront automatiquement, puis définissez "Sous-réseaux distants" sur le réseau de la succursale et définissez l'accès Internet sur "Aucun" comme indiqué ci-dessous

Passez en revue le récapitulatif de configuration que vous avez configuré et qui affiche les interfaces, les adresses de pare-feu, les routes et les stratégies après l'avoir vérifié, sélectionnez Créer une icône

www.hackingarticles.in

Page | 48

Après avoir créé le VPN, vous pouvez vérifier les détails comme indiqué ci-dessous.

Configurer le VPN IPsec sur une succursale Sur Branch FortiGate, ALLEZ dans VPN > Assistant IPsec et créez un nouveau tunnel. Dans la section, la configuration VPN décrit un nom VPN pour le rendre identifiable, définissez le type de modèle sur Site à site, définissez la configuration NAT sur "PAS DE NAT”entre les sites et définissez le type d'appareil distant sur FortiGate.

www.hackingarticles.in

Page | 49

Dans la section Authentification, définissez l'adresse IP sur l'adresse IP publique de la succursale FortiGate.

Après avoir saisi l'adresse IP, une interface est affectée à l'interface sortante. Vous pouvez modifier l'interface par le menu déroulant selon vos besoins. Définissez une sécuritéPré-partagéclé qui a été utilisée sur le VPN de HQ FortiGate.

Passez en revue le récapitulatif de configuration que vous avez configuré et qui affiche les interfaces, les adresses de pare-feu, les itinéraires et les stratégies après l'avoir vérifié, sélectionnez l'icône de création

www.hackingarticles.in

Page | 50

Après avoir créé le VPN, vous pouvez vérifier les détails comme indiqué ci-dessous.

Vous pouvez également vérifier que les utilisateurs du siège social (HQ) peuvent accéder aux ressources sur le réseau interne de la succursale et ainsi de suite Vice Versa. Pour tester la connexion, envoyez une requête ping à l'interface LAN HQ à partir du réseau interne de la succursale de l'appareil.

Ou vous pouvez également vérifier les événements LOG du VPN en allant dans Log & Report > Events > VPN Events et où vous pouvez voir tous les journaux uniques de VPN.

www.hackingarticles.in

Page | 51

Simplifier les politiques avec Zone Dans cette partie, nous allons expliquer comment regrouper plusieurs interfaces dans une zone pour simplifier les politiques de pare-feu.

En créant plusieurs VLAN, nous allons les ajouter dans une zone, de sorte que nous puissions simplement utiliser l'objet de zone unique comme interface source dans notre politique de pare-feu, plutôt que d'avoir à référencer chaque interface séparément.

Créer des interfaces VLAN Allez dans Réseau > interfaces et créez une nouvelle interface

www.hackingarticles.in

Page | 52

Entrez le nom de l'interface VLAN10 ou ce que vous voulez, sélectionnez le type de VLAN, sélectionnez Interface vers LAN, entrez l'ID VLAN, entrez l'ID VRF. attribuez le rôle au réseau local, définissez le mode d'adressage sur manuel, entrez l'adresse IP/le masque de réseau fourni par votre FAI et sélectionnez l'accès administratif à HTTPS, PING

Activez le serveur DHCP et attribuez davantage la plage d'adresses, puis enregistrez la configuration.

www.hackingarticles.in

Page | 53

Ensuite, créez-en une autre en faisant les mêmes sélections… Allez dans Réseau > interfaces et créez une nouvelle interface. Entrez le nom de l'interface VLAN20 ou ce que vous voulez, sélectionnez le type de VLAN, sélectionnez Interface vers LAN, entrez l'ID VLAN, entrez l'ID VRF. attribuez le rôle au réseau local, définissez le mode d'adressage sur manuel, entrez l'adresse IP/le masque de réseau fourni par votre FAI et sélectionnez l'accès administratif à HTTPS, PING

Activez le serveur DHCP et attribuez davantage la plage d'adresses, puis enregistrez la configuration.

www.hackingarticles.in

Page | 54

Pour terminer,créer un 3rdVLANen faisant la même sélection Allez dans Réseau > interfaces et créez une nouvelle interface. Entrez le nom de l'interface VLAN30 ou ce que vous voulez, sélectionnez le type de VLAN, sélectionnez Interface vers LAN, entrez l'ID VLAN, entrez l'ID VRF. attribuez le rôle au réseau local, définissez le mode d'adressage sur manuel, entrez l'adresse IP/le masque de réseau fourni par votre FAI et sélectionnez l'accès administratif à HTTPS, PING

Activez le serveur DHCP et attribuez davantage la plage d'adresses, puis enregistrez la configuration.

www.hackingarticles.in

Page | 55

Passez en revue la liste des interfaces pour voir les VLAN que vous avez créés

Créer une zone d'interface ALLEZ auRéseau > Interfaceset sélectionnezcréer une nouvelle zone

www.hackingarticles.in

Page | 56

Nommez la zone « Zone VLAN » pour la rendre identifiable et ajoutez-y les VLAN nouvellement créés, comme indiqué ci-dessous.

Passez en revue la liste des zones pour voir les VLAN que vous avez ajoutés.

Créer une stratégie de pare-feu de zone Accédez à Politique et objets > Politique de pare-feu et créez une nouvelle politique qui permettra à tout VLAN de la zone que nous avons créée d'accéder à Internet.

www.hackingarticles.in

Page | 57

Attribuez un nom à "Stratégie de zone VLAN” le rendre identifiable, définirl'interface Entrant vers votre Zoneet leinterface sortante vers l'interface Internet. configurez le reste selon vos besoins ou selon vos besoins.

Sélectionnez les profils de sécurité selon vos besoins et enregistrez la configuration en sélectionnant OK.

www.hackingarticles.in

Page | 58

Pour rendre cette politique efficace, déplacez cette politique en haut de la liste en fonction de votre environnement, quelle politique doit être en haut.

De même, vous pouvez créer autant de règles que vous le souhaitez.

Références: -

https://www.hackingarticles.in/firewall-lab-setup-fortigate/ https:// www.hackingarticles.in/implementation-of-firewall-policies-fortigate-part-1/ https:// www.hackingarticles. dans/implementation-of-firewall-policies-fortigate-part-2/

www.hackingarticles.in

Page | 59

À propos de nous "Une formation simple fait du Deep Learning"

"IGNITE" est un nom mondial dans le domaine informatique. Comme nous fournissons des services de formation et de conseil en cybersécurité de haute qualité qui répondent aux exigences des étudiants, du gouvernement et des entreprises.

Nous travaillons à la vision de "Développer l'Inde en tant que pays cyber-sécurisé". Avec une portée à plus de quatrevingt mille étudiants et plus d'un millier de grands collèges, Ignite Technologies s'est démarquée comme une marque de confiance dans la structure de l'éducation et de la sécurité de l'information. Nous offrons une formation et une éducation dans le domaine du piratage éthique et de la sécurité de l'information aux étudiants des écoles et des collèges ainsi qu'au monde de l'entreprise. La formation peut être dispensée chez le client ou même au centre de formation d'Ignite. Nous avons formé plus de 10 000 personnes à travers le monde, allant des étudiants aux experts en sécurité de différents domaines. Nos formateurs sont reconnus comme Security Researcher par les meilleures entreprises comme

- Facebook, Google, Microsoft, Adobe, Nokia, Paypal, Blackberry, AT&T et bien d'autres. Même les étudiants formés sont placés dans un certain nombre de grandes multinationales du monde entier. De plus, nous avons une expérience internationale de formation de plus de 400 personnes. Les deux marques, Ignite Technologies & Hacking Articles, travaillent en collaboration depuis plus de 10 ans avec environ plus de 100 chercheurs en sécurité, qui ont eux-mêmes été reconnus par plusieurs organismes de publication d'articles de recherche, les sociétés The Big 4, les programmes de recherche Bug Bounty et de nombreux autres. Suite.

Parallèlement à toutes ces choses, tous les principaux organismes de certification recommandent la formation d'Ignite pour ses ressources et ses conseils. La recherche d'Ignite a fait partie d'un certain nombre d'instituts et de collèges mondiaux, et même une multitude de documents de recherche partagent les chercheurs d'Ignite dans leur référence.

www.hackingarticles.in

Page | 61