Descriptif Technique Aout 2008

difficulthopefulSoftware and s/w Development

Jul 2, 2012 (4 years and 11 months ago)

864 views

Equipement Fortinet
Descriptif technique
GENERIQUE
FROM

:
Anthony Bund
TO

:
Copy :
No
Date

:
08/2008
Reference

:
MMA-GENERIQUE (en cours de mise à jour)
Version

:
1.
1
Broadcast :
CONFIDENTIE

L

Confidentiel
1
Descriptif Technique
Aout 2008
Equipement Fortinet
Descriptif technique
GENERIQUE
1 Préambule
...............................................................................................................................
4
1.1 Création de Fortinet
...................................................................................................................
4
1.2 Equipe Fortinet
...........................................................................................................................
4
1.3 Présence internationale
..............................................................................................................
4
2 Caractéristiques Fonctionnelles
.............................................................................................
5
2.1 Pare-feu
.....................................................................................................................................
11
2.1.1 Définition des règles firewall
................................................................................................................
11
2.1.2 Définition d’objets et de groupes
..........................................................................................................
13
2.1.3 Translation d’adresses
..........................................................................................................................
15
2.1.4 Antispoofing et MAC binding
..............................................................................................................
17
2.1.5 Authentification
....................................................................................................................................
17
2.1.6 Journalisation et alertes
.........................................................................................................................
17
2.2 Détection et prévention d’intrusion
.........................................................................................
20
2.2.1 Detection d’intrusion
............................................................................................................................
20
2.2.2 Prévention d’intrusion
..........................................................................................................................
23
2.2.3 Activation des services par profil de protection
...................................................................................
23
2.2.4 Activation des profils par règle firewall
...............................................................................................
24
2.3 Antivirus
...................................................................................................................................
24
2.3.1 Activation des services par profil de protection
...................................................................................
25
2.3.2 Mise en service des profils par règle firewall
.......................................................................................
25
2.3.3 Un service transparent pour les utilisateurs
..........................................................................................
26
2.3.4 Les services antivirus
............................................................................................................................
26
2.4 Filtrage Web
.............................................................................................................................
35
2.4.1 Les services
...........................................................................................................................................
35
2.4.2 Activation des services dans un profil de protection
............................................................................
38
2.4.3 Activation des profils par règle firewall
...............................................................................................
40
2.4.4 Messages de remplacement
..................................................................................................................
41
2.5 Antispam
...................................................................................................................................
42
2.5.1 Les services
...........................................................................................................................................
42
2.5.2 Marquage / suppression des messages
..................................................................................................
45
2.5.3 Activation des services dans un profil de protection
............................................................................
45
2.5.4 Activation des profils par règle pare-feu
..............................................................................................
46
2.6 VPNs
..........................................................................................................................................
47
2.6.1 VPN IPSec
............................................................................................................................................
47
2.6.2 VPN SSL
..............................................................................................................................................
48
2.7 Protection des messageries instantanées et échanges en peer to peer
...................................
52
2.7.1 Introduction
...........................................................................................................................................
52
2.7.2 A propos des protocoles IM et P2P
......................................................................................................
52
2.7.3 Contrôle par le firewall
.........................................................................................................................
52
2.7.4 Connaissance des IM
............................................................................................................................
53
2.7.5 Contrôle antivirus
.................................................................................................................................
61
2.7.6 Protocoles Peer to Peer
.........................................................................................................................
61
2.8 Mode transparent ou mode routé
............................................................................................
62
2.9 VLANs
.......................................................................................................................................
63
2.9.1 VLANs et mode routé
...........................................................................................................................
63
Confidentiel
2
Equipement Fortinet
Descriptif technique
GENERIQUE
2.9.2 VLANs en mode transparent
................................................................................................................
64
2.10 DHCP
......................................................................................................................................
64
2.11 Gestion de bande passante
.....................................................................................................
65
2.11.1 Policy-based QOS
...............................................................................................................................
65
2.11.2 Traffic shaping
....................................................................................................................................
66
2.12 Interfaçage Niveau 2
...............................................................................................................
67
2.13 Fonctionnalités de routage
.....................................................................................................
67
2.14 Fonctionnalités de chiffrement IPSEC
..................................................................................
68
2.15 Haute Disponibilité
.................................................................................................................
69
2.16 Administration et sécurité
......................................................................................................
71
2.16.1 SNMP
.................................................................................................................................................
71
2.16.2 Syslog
.................................................................................................................................................
72
2.16.3 Sécurité d’accès à l’équipement et authentification forte
...................................................................
73
2.16.4 Ligne de commande
............................................................................................................................
74
2.16.5 Cloisonnement des politiques de sécurité
...........................................................................................
74
2.16.6 Informations complémentaires
...........................................................................................................
75
2.16.7 Sécurtié de l’équipement, Mise à jour, Sauvegarde, Restauration et Gestion des versions
...............
76
2.16.8 Modalité de Support / Maintenance
....................................................................................................
83
2.17 Solutions d’administration
.....................................................................................................
86
2.17.1 Le FortiManager
.................................................................................................................................
86
2.17.2 Le FortiAnalyzer
.................................................................................................................................
99

...............................................................................................................................................
103

...............................................................................................................................................
103

...............................................................................................................................................
103

...............................................................................................................................................
103

...............................................................................................................................................
104

...............................................................................................................................................
104

...............................................................................................................................................
104

...............................................................................................................................................
104

...............................................................................................................................................
104

...............................................................................................................................................
104

...............................................................................................................................................
104

...............................................................................................................................................
104
Confidentiel
3
Equipement Fortinet
Descriptif technique
GENERIQUE
1
Préambule
Avant de détailler les fonctionnalités techniques des produits Fortinet et plus particulièrement

de la gamme FortiGate, il nous semble important de dire quelques mots de la société et de son

approche.
1.1
Création de Fortinet
Fortinet, société privée, a été créée en l’an 2000 par Ken Xie, fondateur visionnaire et précédemment

président et CEO de Netscreen.
1.2
Equipe Fortinet
Fortinet rassemble une équipe d’experts mondialement reconnus dans le secteur de la sécurité réseau

et des antivirus.
Font notamment partie de cette équipe

:

Ken Xie – précédemment architecte de Netscreen

Joe Wells – fondateur de la WildList (
www.wildlist.org
) et développeur de moteur de

recherche antivirus pour diverses sociétés comme Symantec et Trend Micro, expert

reconnu dans le domaine des attaques virales.

Michael Xie – précédemment directeur de la branche Recherche & Développement de

Netscreen, et architecte des firewalls Milkway.
1.3
Présence internationale
Le siège de la société est basé à Sunnyvalle, en Californie.
Confidentiel
4
Equipement Fortinet
Descriptif technique
GENERIQUE
Fortinet dispose de bureaux en Australie, en Europe (France, Allemagne, Royaume-Uni, Suède, Italie,

Espagne, Suisse), en Asie (Corée, Chine, Japon, Taiwan, Malaisie) et au Moyen-Orient (UAE/Dubai).
Le siège européen de Fortinet est situé en France, à Sophia-Antipolis.
C’est également là que se trouvent le centre de support technique et le centre de formation européens

ainsi qu’un laboratoire (anti-virus & sonde IDS).
Fortinet représente actuellement 600 personnes dont 60 pour l’Europe.
Sur les 600 personnes, l’équipe technique (R&D, Développement & Support) représente plus de 400

employés.
En Europe, les ressources techniques représentent plus de 45 personnes, dont 25 à Sophia-Antipolis

(15 personnes au support technique, 5 virus-docteurs, 2 intrusion-docteurs et 3 pour la partie

Formation).
2
Caractéristiques Fonctionnelles
Fortinet propose une approche unique par le biais d’une homogénéisation des capacités fonctionnelles

sur tous les produits des gammes Fortinet. Ainsi les modèles Fortigate sont uniquement différenciés

par leurs caractéristiques physiques.
Les composantes physiques différenciatrices sont donc les suivantes

:
-
Capacité mémoire.
-
Performance/type CPU.
-
Type de composant ASIC.
-
Nombre et type d’interface réseau.
-
Presence Disque dur et capacité.
-
Baie d’accueil pour extension AMC.
Le cœur des équipements FortiGate repose sur un ensemble de standards basé sur des RFC. Certaines

fonctionnalités (comme le NAT Traversal dans IKE) ne possèdent pas d’RFC définies. Fortinet se

base alors sur les Drafts de l’IETF.
La liste ci-dessous indique l’ensemble des RFC et des Drafts utilisés pour la conception de la

FortiGate

:
System (IP, TCP, UDP, ICMP, NTP, DNS, DHCP, RIP)
• RFC 0768, User Datagram Protocol
• RFC 0791, Internet Protocol (STD0005)
Updated by RFC 1349, Type of Service in the Internet Protocol Suite
• RFC 0792, Internet Control Message Protocol (STD0005)
Updated by RFC 0950, Internet Standard Subnetting Procedure (STD0005)
• RFC 0793, Transmission Control Protocol (STD0007)
Updated by RFC 3168, The Addition of Explicit Congestion Notification (ECN
to IP
• RFC 0822, Standard for the format of ARPA Internet text messages
(STD0011)
Obsoleted by RFC 2822, Internet Message Format
• RFC 1035, Domain names, implementation and specification (STD0013)
Updated by RFC 1101, DNS encoding of network names and other types,
RFC 1183, New DNS RR Definitions, RFC 1348, DNS NSAP RRs,
RFC 1876, A Means for Expressing Location Information in the Domain Nam
System, RFC 1982, Serial Number Arithmetic, RFC 1995, Incremental Zone
Transfer in DNS, RFC 1996, A Mechanism for Prompt Notification of Zone
Changes (DNS NOTIFY), RFC 2065, Domain Name System Security
Confidentiel
5
Equipement Fortinet
Descriptif technique
GENERIQUE
Extensions, RFC 2136, Dynamic Updates in the Domain Name System (DNS
UPDATE), RFC 2181, Clarifications to the DNS Specification, RFC 2137,
Secure Domain Name System Dynamic, RFC 2308, Negative Caching of DNS
Queries (DNS NCACHE), RFC 2535, Domain Name System Security
Extensions, RFC 2845, Secret Key Transaction Authentication for DNS
(TSIG), RFC 3425, Obsoleting IQUERY, RFC 3658, Delegation Signer (DS)
Resource Record (RR), RFC 4033, DNS Security Introduction and
Requirements, RFC 4034, Resource Records for the DNS Security
Extensions, RFC 4035, Protocol Modifications for the DNS Security
Extensions, RFC 4343, Domain Name System (DNS) Case Insensitivity
Clarification
• RFC 1112, Host extensions for IP multicasting (STD0005)
Updated by RFC 2236, Internet Group Management Protocol, Version 2
• RFC 1119, Network Time Protocol (Version 2) Specification and
Implementation (STD0012)
Obsoleted by RFC 1305, Network Time Protocol (Version 3) Specification,
Implementation and Analysis
• RFC 1123, Requirements for Internet Hosts - Application and Support
(STD0003)
Updated by RFC 1349, Type of Service in the Internet Protocol Suite, and
RFC 2181, Clarifications to the DNS Specification
• RFC 1191, Path MTU discovery
• RFC 1305, Network Time Protocol (Version 3) Specification, Implementation,
and Analysis (STD0012)
• RFC 1323, TCP Extensions for High Performance
• RFC 1340, Assigned Numbers
Obsoleted by RFC 1700, Assigned Numbers (STD0002)
• RFC 1349, Type of Service in the Internet Protocol Suite
Obsoleted by RFC 2474, Definition of the Differentiated Services Field
(DS Field) in the IPv4 and IPv6 Headers
• RFC 1519, Classless Inter-Domain Routing (CIDR): an Address Assignment
and Aggregation Strategy
Obsoleted by RFC 4632, The Internet Address Assignment and Aggregation
Plan.
• RFC 1577, Classical IP and ARP over ATM
Obsoleted by RFC 2225, Classical IP and ARP over ATM
• RFC 1700, Assigned Numbers (STD0002)
Obsoleted by RFC 3232, Assigned Numbers: RFC 1700 is Replaced by an
On-line Database
• RFC 1812, Requirements for IP Version 4 Routers
Updated by RFC 2644, Changing the Default for Directed Broadcasts in
Routers (BCP 0034)
• RFC 1918, Address Allocation for Private Internets (BCP0005)
• RFC 2131, Dynamic Host Configuration Protocol
Updated by RFC 3396, Encoding Long Options in the Dynamic Host
Configuration Protocol (DHCPv4), and RFC 4361, Node-specific Client
Identifiers for Dynamic Host Configuration Protocol Version Four (DHCPv4)
• RFC 2181, Clarifications to the DNS Specification
Updated by RFC 2535, Domain Name System Security Extensions,
RFC 4033, DNS Security Introduction and Requirements,
RFC 4034, Resource Records for the DNS Security Extensions,
RFC 4035, Protocol Modifications for the DNS Security Extensions,
RFC 4343, Domain Name System (DNS) Case Insensitivity Clarification
• RFC 2225, Classical IP and ARP over ATM
• RFC 2236, Internet Group Management Protocol, Version 2
Obsoleted by RFC 3376, Internet Group Management Protocol, Version 3
Confidentiel
6
Equipement Fortinet
Descriptif technique
GENERIQUE
• RFC 2373, IP Version 6 Addressing Architecture
Obsoleted by RFC 3513, Internet Protocol Version 6 (IPv6) Addressing
Architecture
• RFC 2460, Internet Protocol, Version 6 (IPv6) Specification
• RFC 2461, Neighbor Discovery for IP Version 6 (IPv6)
Updated by RFC 4311, IPv6 Host-to-Router Load Sharing
• RFC 2462, IPv6 Stateless Address Autoconfiguration
• RFC 2474, Definition of the Differentiated Services Field (DS Field) in the IPv4
and IPv6 Headers
Updated by RFC 3168, The Addition of Explicit Congestion Notification (ECN)
to IP, and RFC 3260, New Terminology and Clarifications for Diffserv
• RFC 2535, Domain Name System Security Extensions
Obsoleted by RFC 4033, DNS Security Introduction and Requirements,
RFC 4034, Resource Records for the DNS Security Extensions,
RFC 4035, Protocol Modifications for the DNS Security Extensions
• RFC 2822, Internet Message Format
• RFC 2979, Behaviour of and Requirements for Internet Firewalls
• RFC 3232, Assigned Numbers: RFC 1700 is Replaced by an On-line
Database (STD0002)
• RFC 3376, Internet Group Management Protocol, Version 3
Updated by RFC 4604, Using Internet Group Management Protocol Version 3
(IGMPv3) and Multicast Listener Discovery Protocol Version 2 (MLDv2) for
Source-Specific Multicast.
RFC 3435, Media Gateway Control Protocol (MGCP) Version 1.0
• RFC 3456, Dynamic Host Configuration Protocol (DHCPv4) Configuration of
IPsec Tunnel Mode
• RFC 3513, Internet Protocol Version 6 Address Architecture
Obsoleted by RFC 4291, IP Version 6 Addressing Architecture
• RFC 4291, IP Version 6 Addressing Architecture
• RFC 4604, Using Internet Group Management Protocol Version 3 (IGMPv3)
and Multicast Listener Discovery Protocol Version 2 (MLDv2) for Source-
Specific Multicast.
• RFC 4632, Classless Inter-domain Routing (CIDR): The Internet Address
Assignment and Aggregation Plan (BCP0122).
Router (BGP)
• draft-ietf-bfd-base-06.txt, Bidirectional Forwarding Detection
• draft-ietf-bfd-v4v6-1hop-06.txt, BFD for IPv4 and IPv6 (Single Hop)
• RFC 1771, A Border Gateway Protocol 4 (BGP-4)
Obsoleted by RFC 4271, A Border Gateway Protocol 4
• RFC 1772, Application of the Border Gateway Protocol in the Internet
Obsoletes RFC1655, Application of the Border Gateway Protocol in the
Internet
• RFC 1997, BGP Communities Attribute
• RFC 2439, BGP Route Flap Damping
• RFC 2796, BGP Route Reflection - An Alternative to Full Mesh IBGP
Obsoleted by RFC 4456, BGP Route Reflection: An Alternative to Full Mesh
Internal BGP (IBGP)
• RFC 2842, Capabilities Advertisement with BGP-4
Obsoleted by RFC 3392, Capabilities Advertisement with BGP-4
• RFC 2918, Route Refresh Capability for BGP-4
• RFC 3065, Autonomous System Confederations for BGP
• RFC 3107, Carrying Label Information in BGP-4
• RFC 3392, Capabilities Advertisement with BGP-4
• RFC 4271, A Border Gateway Protocol 4 (BGP-4)
• RFC 4360, BGP Extended Communities Attribute
• RFC 4456, BGP Route Reflection: An Alternative to Full Mesh Internal BGP
Confidentiel
7
Equipement Fortinet
Descriptif technique
GENERIQUE
(IBGP)
• RFC 4724, Graceful Restart Mechanism for BGP
Router (OSPF)
• RFC 1370, Applicability Statement for OSPF
• RFC 1765, OSPF Database Overflow
• RFC 1850, OSPF Version 2 Management Information Base
Obsoleted by RFC 4750 OSPF Version 2 Management Information Base
• RFC 2328, OSPF Version 2 (STD0054)
• RFC 2370, The OSPF Opaque LSA Option
Updated by RFC 3630, Traffic Engineering (TE) Extensions to OSPF Version 2
• RFC 3101, The OSPF Not-So-Stubby Area (NSSA) Option
• RFC 3509, Alternative Implementations of OSPF Area Border Routers
• RFC 3623, Graceful OSPF Restart
From IETF Draft, OSPF Hitless Restart (draft-ietf-ospf-hitless-restart-08)
• RFC 3630, Traffic Engineering (TE) Extensions to OSPF Version 2
Updated by RFC 4203, OSPF Extensions in Support of Generalized Multi-
Protocol Label Switching (GMPLS)
• RFC 4750, OSPF Version 2 Management Information Base
•RFC 4811, OSPF Out-of-Band Link State Database (LSDB) Resynchronization
• RFC 4812, OSPF Restart Signaling
• RFC 4813, OSPF Link-Local Signaling
Router (PIM)
• draft-ietf-pim-sm-bsr-10.txt, Bootstrap Router (BSR) Mechanism for PIM-SM
• RFC 1112, Host Extensions for IP Multicasting (STD0005)
Updated by RFC 2236, Internet Group Management Protocol, Version 2
• RFC 2117, Protocol Independent Multicast-Sparse Mode (PIM-SM): Protocol
Specification
Obsoleted by RFC 2362, Protocol Independent Multicast-Sparse Mode
(PIM-SM): Protocol Specification
• RFC 2236, Internet Group Management Protocol, Version 2
Obsoleted by RFC 3376, Internet Group Management Protocol, Version 3
• RFC 2362, Protocol Independent Multicast-Sparse Mode (PIM-SM): Protocol
Specification
Obsoleted by RFC4601, Protocol Independent Multicast - Sparse Mode
(PIM-SM): Protocol Specification (Revised)
• RFC 3376, Internet Group Management Protocol, Version 3
Updated by RFC 4604, Using Internet Group Management Protocol Version 3
(IGMPv3) and Multicast Listener Discovery Protocol Version 2 (MLDv2) for
Source-Specific Multicast
• RFC 3973, Protocol Independent Multicast - Dense Mode (PIM-DM): Protocol
Specification (Revised)
• RFC 4601, Protocol Independent Multicast - Sparse Mode (PIM-SM): Protocol
Specification (Revised)
From IETF Draft draft-ietf-pim-sm-v2-new-12.txt, Protocol Independent
Multicast - Sparse Mode (PIM-SM): Protocol Specification (Revised)
Router (RIP)
• RFC 1058, Routing Information Protocol
Updated by RFC 1388, RIP Version 2 Carrying Additional Information,
RFC 1723, RIP Version 2 - Carrying Additional Information (STD0056)
• RFC 1388, RIP Version 2 Carrying Additional Information
Obsoleted by RFC 1723, RIP Version 2 - Carrying Additional Information
(STD0056)
• RFC 1723, RIP Version 2 - Carrying Additional Information (STD0056)
Obsoleted by RFC 2453, RIP Version 2 (STD0056)
• RFC 1724, RIP Version 2 MIB Extension
• RFC 2082, RIP-2 MD5 Authentication
Confidentiel
8
Equipement Fortinet
Descriptif technique
GENERIQUE
Obsoleted by RFC 4822, RIPv2 Cryptographic Authentication
• RFC 2453, RIP Version 2 (STD0056)
Updated by RFC 4822, RIPv2 Cryptographic Authentication
• RFC 4822, RIPv2 Cryptographic Authentication
Interface (PPPoE, Ethernet)
• RFC 0894, Standard for the transmission of IP datagrams over Ethernet
networks (STD0041)
• RFC 1661, The Point-to-Point Protocol (PPP) (STD0051)
Updated by RFC 2153, PPP Vendor Extensions
• RFC 2364, PPP Over AAL5
• RFC 2516, A Method for Transmitting PPP Over Ethernet (PPPoE)
Access (HTTP, TELNET, TFTP, FTP)
• RFC 1866, Hypertext Markup Language, - 2.0
Obsoleted by RFC 2854, The 'text/html' Media Type
• RFC 1867, Form-based File Upload in HTML
Obsoleted by RFC 2854, The 'text/html' Media Type
• RFC 1945, Hypertext Transfer Protocol -- HTTP/1.0
• RFC 2068, Hypertext Transfer Protocol -- HTTP/1.1
Obsoleted by RFC 2616, Hypertext Transfer Protocol -- HTTP/1.1
• RFC 2616, Hypertext Transfer Protocol -- HTTP/1.1
Updated by RFC 2817, Upgrading to TLS Within HTTP/1.1
SNMP
• RFC 1155, Structure and Identification of Management Information for TCP/IP-
based Internets (STD0016)
• RFC 1156, Management Information Base for network management of
TCP/IP-based internets (HISTORIC)
• RFC 1157, Simple Network Management Protocol (SNMP) (STD0015)
(HISTORIC)
• RFC 1212, Concise MIB definitions (STD0016) (applies to MIB files only)
• RFC 1213, Management Information Base for Network Management of
TCP/IP-based internets:MIB-II (STD0017)
Updated by RFC 2011, SNMPv2 Management Information Base for the
Internet Protocol using SMIv2, RFC 2012, SNMPv2 Management Information
Base for the Transmission Control Protocol using SMIv2, and
RFC 2013, SNMPv2 Management Information Base for the User Datagram
Protocol using SMIv2
• RFC 1215, Convention for defining traps for use with the SNMP (applies to
MIB files only)
• RFC 2011, SNMPv2 Management Information Base for the Internet Protocol
using SMIv2
Obsoleted by RFC 4293, Management Information Base for the Internet
Protocol (IP)
• RFC 2012, SNMPv2 Management Information Base for the Transmission
Control Protocol using SMIv2
Obsoleted by RFC 4022, Management Information Base for the Transmission
Control Protocol (TCP)
• RFC 2013, SNMPv2 Management Information Base for the User Datagram
Protocol using SMIv2
Obsoleted by RFC 4113, Management Information Base for the User
Datagram Protocol (UDP)
• RFC 2233, The Interfaces Group MIB using SMIv2
Obsoleted by RFC 2863, The Interfaces Group MIB
• RFC 2358, Definitions of Managed Objects for the Ethernet-like Interface
Types
Obsoleted by RFC 2665, Definitions of Managed Objects for the Ethernet-like
Interface Types
Confidentiel
9
Equipement Fortinet
Descriptif technique
GENERIQUE
• RFC 2578, Structure of Management Information Version 2 (SMIv2)
(STD0058)
• RFC 2665, Definitions of Managed Objects for the Ethernet-like Interface
Types
Obsoleted by RFC 3635, Definitions of Managed Objects for the Ethernet-like
Interface Types
• RFC 2863, The Interfaces Group MIB
• RFC 3416, Version 2 of the Protocol Operations for the Simple Network
Management Protocol (SNMP)(STD0062) (no support for modification values
via SNMP)
• RFC 3417, Transport Mappings for the Simple Network Management Protocol
(SNMP) (STD0062) (UDP only)
• RFC 3635, Definitions of Managed Objects for the Ethernet-like Interface
Types
• RFC 4022, Management Information Base for the Transmission Control
Protocol (TCP) (partial support only)
• RFC 4113, Management Information Base for the User Datagram Protocol
(UDP)
• RFC 4133, Entity MIB (Version 3)
• RFC 4293, Management Information Base for the Internet Protocol (IP)
(mandatory functionality supported)
User (RADIUS, LDAP)
• RFC 1777, Lightweight Directory Access Protocol
Obsoleted by RFC 3494, Lightweight Directory Access Protocol version 2
(LDAPv2) to Historic Status
• RFC 2251, Lightweight Directory Access Protocol (v3)
Obsoleted by RFC 4510, Lightweight Directory Access Protocol (LDAP):
Technical Specification Road Map,
RFC 4511, Lightweight Directory Access Protocol (LDAP): The Protocol,
RFC 4513, Lightweight Directory Access Protocol (LDAP): Authentication
Methods and Security Mechanisms, and
RFC 4512, Lightweight Directory Access Protocol (LDAP): Directory
Information Models
• RFC 2865, Remote Authentication Dial In User Service (RADIUS)
Updated by RFC 2868, RADIUS Attributes for Tunnel Protocol Support, and
RFC 3575, IANA Considerations for RADIUS (Remote Authentication Dial In
User Service)
• RFC 3494, Lightweight Directory Access Protocol version 2 (LDAPv2) to
Historic Status
• RFC 4510, Lightweight Directory Access Protocol (LDAP): Technical
Specification Road Map
• RFC 4511, Lightweight Directory Access Protocol (LDAP): The Protocol
• RFC 4512, Lightweight Directory Access Protocol (LDAP): Directory
Information Models
• RFC 4513, Lightweight Directory Access Protocol (LDAP): Authentication
Methods and Security Mechanisms
VPN (IPSec, PPTP, L2TP)
• RFC 1321, The MD5 Message-Digest Algorithm
• RFC 1631, The IP Network Address Translator (NAT)
Obsoleted by RFC 3022, Traditional IP Network Address Translator (Traditional
NAT)
• RFC 1829, The ESP DES-CBC Transform
Obsoleted by RFC 2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
• RFC 2104, HMAC: Keyed-Hashing for Message Authentication
RFC 2401, Security Architecture for the Internet Protocol
• RFC 2403, The Use of HMAC-MD5-96 within ESP and AH
Confidentiel
10
Equipement Fortinet
Descriptif technique
GENERIQUE
• RFC 2404, The Use of HMAC-SHA-1-96 within ESP and AH
• RFC 2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
• RFC 2406, IP Encapsulating Security Payload (ESP)
• RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP
• RFC 2408, Internet Security Association and Key Management Protocol
• RFC 2409, The Internet Key Exchange (IKE)
• RFC 2411, IP Security Document Roadmap
• RFC 2412, The OAKLEY Key Determination Protocol
• RFC 2459, Internet X.509 Public Key Infrastructure Certificate and CRL Profile
Obsoleted by RFC 3280, Internet X.509 Public Key Infrastructure Certificate
and Certificate Revocation List (CRL) Profile
• RFC 2631, Diffie-Hellman Key Agreement Method
• RFC 2637, Point-to-Point Tunneling Protocol
• RFC 2661, Layer Two Tunneling Protocol “L2TP”
• RFC 3022, Traditional IP Network Address Translator (Traditional NAT)
• RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List (CRL) Profile
Updated by RFC 4325, Internet X.509 Public Key Infrastructure Authority
Information Access Certificate Revocation List (CRL) Extension and
RFC 4360, BGP Extended Communities Attribute
• RFC 3706, A Traffic-Based Method of Detecting Dead Internet Key Exchange
(IKE) Peers
• RFC 3715, IPsec-Network Address Translation (NAT) Compatibility
Requirements
• RFC 3947, Negotiation of NAT-Traversal in the IKE
• RFC 3948, UDP Encapsulation of IPsec ESP Packets
• RFC 4325, Internet X.509 Public Key Infrastructure Authority Information
Access Certificate Revocation List (CRL) Extension
• RFC 4360, BGP Extended Communities Attribute
Filters (Web, Email, NIDS)
• RFC 2267, Network Ingress Filtering: Defeating Denial of Service Attacks
which employ IP Source Address Spoofing
Obsoleted by RFC 2827, Network Ingress Filtering: Defeating Denial of
Service Attacks which employ IP Source Address Spoofing (BCP0038)
• RFC 2827, Network Ingress Filtering: Defeating Denial of Service Attacks
which employ IP Source Address Spoofing (BCP0038)
Updated by RFC 3704, Ingress Filtering for Multihomed Networks (BCP0084)
Cryptography (VPN)
• PKCS #7:Cryptographic Message Syntax Version 1.5
• RFC 2315, PKCS #7: Cryptographic Message Syntax Version 1.5
• PKCS #10: Certification Request Syntax Standard
• RFC 2986, PKCS #10: Certification Request Syntax Specification Version 1.7
• PKCS #12: Personal Information Exchange Syntax Standard
2.1
Pare-feu
Les équipements FortiGate implémentent un firewall de type stateful inspection.
Quand le pare-feu reçoit un paquet, il analyse les adresses IP sources et destination, le protocole et les

services (numéro de port et nature du protocole TCP/UDP). Cette analyse est accélérée par une puce

FortiAsic. Cet examen matériel accélère considérablement l’analyse des en-têtes IP, et se traduit

notamment par un nombre d’acquisition de nouvelles sessions à la seconde très largement supérieur

aux solutions CPU traditionnelles.
Confidentiel
11
Equipement Fortinet
Descriptif technique
GENERIQUE
2.1.1
Définition des règles firewall
Les règles firewall sont regroupées en fonction des interfaces sur lesquelles les flux sont reçus et émis.

Dans le cas où des VLANs ont été configurés, ceux-ci apparaissent comme des interfaces, au même

titre que les interfaces physiques.
Liste séquentielle de règles firewall
Les critères disponibles pour l’analyse des paquets sont

:

les interfaces physique et logique (VLANs
/interface VPN) source/destination

les adresses IP source/destination

les protocoles

les ports TCP/UDP.

L’heure
d’analyse (possibilité de plannifier l’activation d’une règle)
Une fois le type de flux identifié par un règle firewall, le pare-feu applique l’action configurée

:

accepter ou rejeter

authentifier l’utilisateur avant d’autoriser la connexion

appliquer un traitement VPN IPSEC ou SSL (chiffrer ou déchiffrer)

translater les adresses

gérer la bande passante occupé par le flux (bande passante garantie, maximum, niveau de

priorité)
Il est également possible d’associer un profil de protection à chaque règle firewall. Un profil définit la

politique de contrôle antivirus, filtrage Web, filtrage antispam et IPS (détection et prévention des

intrusions).
La figure ci-dessous illustre la création des règles firewall.
Confidentiel
12
Equipement Fortinet
Descriptif technique
GENERIQUE
Définition des règles firewall
Chaque règle firewall est valide sur une plage définie de calendrier, récurrente ou ponctuelle, en

fonction des minutes, heures, mois et années.
Lorsque la translation d’adresses est sélectionnée, une règle many-to-one (Port Address Translation)

s’applique par défaut automatiquement – de sorte que les réseaux sont cachés derrière l’adresse IP de

l’interface du firewall. Tout autre type de translation est paramétrable (many-to-many, many-to-one en

utilisant une autre adresse IP que celle de l’interface).
2.1.2
Définition d’objets et de groupes
2.1.2.1
Adresses IP/FQDN
Le pare-feu contrôle les adresses IP source et destination. Des adresses de type host/réseau/plages

peuvent être définies mais également des adresses de type FQDN (Fully Qualifed Domain Name)
Des objets regroupant une combinaison de ces adresses peuvent également être définis.
En cas d’utilisation de FQDN l’équipement effectuera les résolutions DNS à chaque utilisation de

l’objet.
2.1.2.2
Interfaces et zones
Il est possible de regrouper un ensemble d’interfaces en zone pour simplifier la gestion des règles

firewall. Les interfaces d’une même zone héritent automatiquement des règles paramétrées sur la zone.

Les zones regroupent des interfaces physiques ou des interfaces logiques (VLANs ou interface VPN).
Les zones sont la possibilité de traiter
Confidentiel
13
Equipement Fortinet
Descriptif technique
GENERIQUE
2.1.2.3
Services
Le pare-feu contrôle les connexions en fonction des ports TCP/UDP utilisés. Plus de 50 services sont

pré-définis, mais des services personnalisés peuvent être ajoutées manuellement.
Des groupes rassemblant des services prédéfinis ou personnalisés peuvent également être créés.
2.1.2.4
Plages horaires
Les règles pare-feu peuvent être activées en fonction de plages horaires, ponctuelles ou récurrentes.
Les plages horaires ponctuelles font référence à une période précise dans le temps.
Les plages récurrentes font référence à un calendrier périodique journalier ou hebdomadaire

:
Confidentiel
14
Equipement Fortinet
Descriptif technique
GENERIQUE
2.1.3
Translation d’adresses
Les règles de firewall peuvent être configurées pour translater les adresses IP. Les FortiGate

supportent de la translation NAT one-to-one (NAT statique) et many-to-one ou many-to-many (NAT

dynamique).
Concrètement il est possible de modifier une adresse destination par une autre. En fonction d’un port

et d’un protocole (TCP/UDP) si nécessaire (Port Forwarding), ainsi une seule adresse peux être

translatée en fonction du port destination vers plusieurs adresses destination différentes.
D’autres part, il est possible au travers de ce mécanisme de translation de mettre en place une

répartition de charge et/ou une redondance de service.
Une dernière fonctionnalité liée à la translation d’adresse concerne la possibilité de multiplexer les

requètes http, ainsi plusieurs requètes provenant de sources différentes vont être intégrées dans une

session http unique.
2.1.3.1
NAT statique
La translation NAT statique permet de translater l’adresse de host par une autre. Ce type de translation

est configuré dans un FortiGate par la définition d’une adresse IP virtuelle

:
Adresse IP virtuelle et NAT statique
2.1.3.2
NAT dynamique - many-to-many, many-to-one
La translation many-to-many translate une adresse source par une autre adresse appartenant à un pool.
Confidentiel
15
Equipement Fortinet
Descriptif technique
GENERIQUE
Le pool d’adresse en question pourra contenir une ou plusieurs ips, dans ce cas un mécanisme de

round robin déterminera l’ip à utiliser.
2.1.3.3
Port Address Translation (port forwarding)
La translation many-to-one (Port Address Translation) translate un ensemble d’adresses source par une

même adresse IP et les ports TCP/UDP par des ports dynamiquement choisis. Les sessions NAT sont

identifiées par les ports TCP/UDP sources.
Exemple de configuration PAT
2.1.3.4
Server Load Balancing (Load balancing
La translation many-to-one (Port Address Translation) translate un ensemble d’adresses source par une

même adresse IP et les ports TCP/UDP par des ports dynamiquement choisis. Les sessions NAT sont

identifiées par les ports TCP/UDP sources.
Confidentiel
16
Equipement Fortinet
Descriptif technique
GENERIQUE
2.1.4
Antispoofing et MAC binding
Les fonctionnalités IP/MAC binding permettent au FortiGate de prévenir les attaques IP de type

spoofing. Ces attaques tentent d’accéder au réseau privé de l’entreprise en utilisant une adresse IP

source qui serait vue comme une adresse de confiance.
Le FortiGate permet de définir des associations statiques d’adresses MAC / adresses IP.
2.1.5
Authentification
Le FortiGate peut être configuré pour authentifier les flux utilisateurs qui le traversent. La passerelle

dispose d’une base de données locale, mais peut aussi authentifier les utilisateurs en interrogeant un

serveur externe RADIUS, LDAP ou Active Directory.
Il est possible de définir plusieurs serveurs d’authentification et d’assigner des serveurs distincts par

utilisateurs.
En cas de non réponse d’un serveur RADIUS, les autres serveurs de la liste RADIUS peuvent être

interrogés à leur tour.
La fonction d’authentification des FortiGate peut être utilisée

:

pour les flux qui traversent le firewall en clair – pour les protocoles HTTP, FTP et Telnet. Il est

possible de forcer une authentification pour d’autres protocoles (comme IMAP, POP3). Dans ce

cas, les utilisateurs s’authentifieront par une connexion FTP, Telnet ou HTTP auprès du

FortiGate avant de pouvoir utiliser le service.

pour l’authentification des tunnels VPNs IPSec (avec ou sans fonction Xauth), VPNs SSL, PPTP

et L2TP.

ou également faire du SSO (Single Sign On) via le FSAE (FortiClient Server

Authentication

Extension).
Remarque : le FSAE est un logiciel Fortinet qui s’installe sur un ou plusieurs domaines AD

et qui permet de remonter les informations de connexion/déconnexion des utilisateurs

dans le(s) domaine(s) vers des FortiGate. Cela permet de faire de l’authentification

transparente basé sur Active Directory.
2.1.6
Journalisation et alertes
Lorsqu’un flux est filtré par les politiques pare-feu, le FortiGate peut journaliser l’information dans

une log

:
Confidentiel
17
Equipement Fortinet
Descriptif technique
GENERIQUE

locale au boîtier, sur le disque dur optionnel (l’enregistrement de ce type d’évévement ne se fait

pas en mémoire),

ou sur un serveur distant (boîtier FortiAnalyzer, ou Syslog).
La politique de journalisation est adaptable en fonction du niveau de sévérité des informations

(emergency, alerte, critical, error, warning, etc.).
Lorsque les logs sont stockées localement sur le disque dur, la gestion de l’espace disque est effectué

en activant la rotation des logs en fonction d’une taille de fichier maximale ou d’un âge limite atteint

par les événements enregistrés.
Les fichiers de logs générés sur disque dur peuvent être automatiquement téléchargés sur un serveur

FTP.
Les événements qui doivent êtres tracés sont paramétrables pour chaque type de logs et dans profil de

protection, permettant ainsi de ne loguer des événements d’anti-virus que sur une règle de sécurité où

l’anti-virus est appliqué :
Confidentiel
18
Equipement Fortinet
Descriptif technique
GENERIQUE
L’inscription des événements dans le journal est défini individuellement au niveau de chaque règle

pare-feu

:

Une fois la journalisation paramétrée, les événements pare-feu sont enregistrés

; les logs indiquent

:

la date,

l’heure,

les adresses IP source et destination,

les ports source et destination,

les interfaces sources et destination,

l’action (accepte ou rejète) pris par le pare-feu

l’indice de la règle pare-feu qui a rejeté ou accepté le paquet
Confidentiel
19
Equipement Fortinet
Descriptif technique
GENERIQUE
2.2
Détection et prévention d’intrusion
Le moteur IPS (Intrusion Prevention System) des FortiGate assure des fonctions de détection et

prevention d’intrusion.
2.2.1
Detection d’intrusion
Le moteur IDS délivre des performances temps réel, et ce pour une détection des attaques jusqu’au

niveau applicatif.
2.2.1.1
Analyse des attaques : du réseau au niveau applicatif
Le caractère unique de l’architecture FortiGate permet au moteur IDS de s’insérer à tous les niveaux

de l’analyse des flux

:

au niveau routage,

au niveau firewall (pour un examen stateful des attaques),

au niveau des contenus.
C’est ce qu’illustre le graphe ci-dessous

:
De l’IPS réseau à l’IPS applicatif
2.2.1.2
Recherche contextuelle
De plus, pour une meilleure optimisation des ressources, l’analyse IPS est contextuelle. En fonction de

la nature des données analysées, le moteur IPS n’applique que les recherches qui lui sont associées.

Les passerelles gagnent encore en performance et efficacité.
2.2.1.3
Détection temps réel, accélération ASIC
Les performances uniques du moteur de détection d’intrusion sont dues à l’architecture ASIC des

boîtiers FortiGate. La comparaison des flux par rapport à la base de connaissance est accélérée par le

FortiAsic, afin de fournir une détection des attaques en temps réel.
2.2.1.4
Attaques détectées
Le FortiGate est capable d’analyser quelques 1500 attaques. Ces attaques sont de type

:
Confidentiel
20
Equipement Fortinet
Descriptif technique
GENERIQUE

DDOS

par flooding (dont smurf, SYN flood, UDP flood, ICMP flood, etc.)

ou par malformation (ping of death, chargen, tear and drop, land, winnuke, etc).

Reconnaissance qui vise à obtenir de l’information sur les ordinateurs afin d’en exploiter les

vulnérabilités (fingerprint, ping sweep, port scan, buffer overflows incluant SMTP, POP3, FTP,

recherche de comptes utilisateurs, identification de système d’exploitation, etc.)

Exploits, qui tentent de tirer avantages des fonctionnalités ou bugs pour s’infiltrer dans un

ordinateur

attaques «

brute force

»

CGI scripts comme Phf, EWS, info2www, TextCounter, GuestBook, Count.cgi, handler,

Webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail, etc.

attaques Web Server

attaques Web Browser (par URL, HTTP, HTML, JavaScript, Frames, Java, ActiveX)

attaques SMTP (SendMail)

attaques IMAP/POP

attaques buffer overflow

attaques DNS (BIND et Cache inclus)

IP spoofing

chevaux de troie (BackOrifice 2K, IniKiller, Netbus, NetSpy, Priority, Ripper, Striker,

SubSeven, etc.)

et les techniques de contournement des IDS ou «

evasion attack

» (signatures spoofing,

signatures encodées, fragmentation IP, découpage TCP/UDP).
2.2.1.5
Méthodes de détection
Deux méthodes de détection sont implémentées.
2.2.1.5.1
Signatures
La première méthode fait appel aux signatures. Elles sont regroupées en familles

:
apache
backdoor
cgi
coldfusion
ddos
dns
dos
exploit
finger
frontpg
ftp
icmp
iis
imap
misc
netbios
netscape
php
policy
pop2
pop3
rlogin
rpc
scan
shell
smtp snmp
sql
telnet
tftp
Web-misc
http-decoder
rpc-decoder
tcp-decoder
ip-decoder
udp-decoder
icmp-decoder
im
p2p
back_orifice
tfn
Les signatures sont individuellement activables/désactivables, ou peuvent l’être par groupe. Mais ces

signatures possédent également un niveau de sévérité. Ce niveau permet de n’activer dans le profil de

protection que les signatures possédant le même niveau de sévérité permettant ainsi d’analyser

seulement les signatures de même niveau de sévérité.
2.2.1.5.1.1
Signatures personnalisées
Le FortiGate permet aux administrateurs de définir eux-mêmes leurs signatures et de les incorporer à

la liste existante.
Un existant de signatures snort - par exemple - peut être facilement importé par fichier texte dans un

boitier FortiGate (moyennant quelques adaptations de syntaxes).
Confidentiel
21
Equipement Fortinet
Descriptif technique
GENERIQUE
2.2.1.5.2
Anomalies
La deuxième méthode d’identification des attaques se base sur la détection d’anomalies dans les

comportements réseau.
Anomalies statistiques
Lorsque la détection d’anomalies est activée pour un flux TCP, UDP ou ICMP, le FortiGate déclenche

des compteurs.

Pour les attaques de type flooding : déclenchement d’une alerte sur dépassement d’un nombre

de sessions à la seconde pour une même destination.

Pour les attaques de type scan : déclenchement d’une alerte sur dépassement d’un nombre de

sessions à la seconde pour une même source,

etc.
2.2.1.5.2.1
Malformation – anomalies protocolaires
Les attaques correspondant à des paquets qui ne sont par conformes aux RFCs et standard Internet sont

classées dans les anomalies protocolaires.
Confidentiel
22
Equipement Fortinet
Descriptif technique
GENERIQUE
Exemple d’anomalies détectées
syn_flood
portscan
syn_fin
tcp_no_flag
fin_no_ack
tcp_src_session
winnuke
tcp_land
invalid_url
tcp_ftp_overflow
tcp_smtp_overflow
tcp_pop3_overflow
tcp_dst_session
icmp_flood
ping_death
large_icmp
icmp_sweep
icmp_src_session
icmp_land
icmp_dst_session
udp_flood
udp_src_session
udp_land
udp_dst_session
udp_scan
ip_record_route
ip_strict_src_record_route
ip_loose_src_record_route
ip_stream_option
ip_security_option
ip_timestamp_option
ip_unkn_proto
ip_unkn_option
ip_land
2.2.2
Prévention d’intrusion
Le FortiGate peut également prévenir toutes les tentatives d’intrusion IP, ICMP, UDP, TCP. La

prévention est activable/désactivable individuellement par attaque. Des seuils de déclenchement sont

proposés par défaut et sont paramétrables.
Mais ces signatures possédent également un niveau de sévérité. Ce niveau permet de n’activer dans le

profil de protection que les signatures possédant le même niveau de sévérité permettant ainsi

d’analyser seulement les signatures de même niveau de sévérité.
Les techniques de prévention incluent

: la suppression des paquets, la réinitialisation de connexion, le

blocage d’adresse IP source, etc.
Exemple de paramétrage de seuil pour une prévention d’intrusion
2.2.3
Activation des services par profil de protection
Les services IPS activés sont définis dans un profil de protection et activés par niveau de sévérité

:
Confidentiel
23
Equipement Fortinet
Descriptif technique
GENERIQUE
Activation du service IPS dans un profil de protection
2.2.4
Activation des profils par règle firewall
Les profils de protection paramétrés sont ensuite appliqués au trafic réseau en fonction des règles pare-
feu

: la définition de chaque règle firewall inclut la sélection d’un profil.

Le trafic reçu par le FortiGate et correspondant aux critères de la règle firewall bénéficiera alors

des contrôles activés dans le profil sélectionné.

Si aucun profil n’est sélectionné, les seuls contrôles assurés seront ceux du moteur firewall.
Ce mode de paramétrage permet de gérer finement les contrôles appliqués pour chaque type de trafic.

Il assure également une utilisation optimisée des ressources FortiGate.
Activation du service IPS par règle firewall
2.3
Antivirus
Un système antivirus efficace requière une architecture dédiée unique et optimisée.
Les éléments clefs de la solution Fortinet reposent sur

:

son architecture ABACAS
TM.
Confidentiel
24
Equipement Fortinet
Descriptif technique
GENERIQUE

et son centre de support et recherche, l’infrastructure FortiProtect.
Le moteur antivirus offre trois types de services

:

un service de détection de virus

un service d’interception de fichiers (en fonction de la taille ou du nommage)

un service de mise en quarantaine.
Chacun de ces services peut s’appliquer

:

au trafic Web HTTP,

au trafic de messagerie (IMAP, POP3, SMTP)

au trafic FTP natif ou encapsulé dans HTTP.
La passerelle peut se configurer pour analyser sur des ports non standard les protocoles HTTP, POP3,

SMTP et IMAP. Il est par exemple possible de configurer jusqu’à 20 ports d’écoute HTTP.
2.3.1
Activation des services par profil de protection
Les services antivirus activés sont définis dans un profil de protection

:
Activation des services antivirus par profil
2.3.2
Mise en service des profils par règle firewall
Les services du profil de protection sont ensuite appliqués au trafic réseau en fonction des règles pare-
feu
1

: la définition de chaque règle firewall inclut la sélection d’un profil.

Le trafic reçu par le FortiGate et correspondant aux critères de la règle firewall bénéficiera alors

des contrôles activés dans le profil sélectionné.

Si aucun profil n’est sélectionné, les seuls contrôles assurés seront ceux du moteur firewall.
1
Se reporter au chapitre pare-feu pour plus de détail sur la définition des règles pare-
feu.
Confidentiel
25
Equipement Fortinet
Descriptif technique
GENERIQUE
Ce mode de paramétrage permet de gérer finement les contrôles appliqués pour chaque type de trafic.

Il assure une utilisation optimisée des ressources des FortiGate.
Mise en service de la protection antivirus par règle firewall
2.3.3
Un service transparent pour les utilisateurs
La protection antivirus assurée par les FortiGate est totalement transparente pour les utilisateurs du

réseau

:

Aucun chaînage de proxy ou de relais n’est à configurer sur l’infrastructure existante. Les

navigateurs Web, serveurs de messagerie, proxy-cache, etc. n’ont pas à êtres reconfigurés. La

passerelle FortiGate intercepte les paquets à la volée, quelque soit le protocole.

La passerelle FortiGate supporte également le mode pont (en plus du mode traditionnel routé).

En mode pont, elle se connecte en coupure de réseau et agit en pont réseau. Il n’est alors

nullement besoin de redéfinir la moindre adresse IP lorsqu’on connecte un FortiGate sur le

réseau.

en mode routé – la passerelle route entre ses différentes interfaces.
Ces caractéristiques (mode pont et sans proxy) garantissent la simplicité des phases de tests,

d’évaluation et de mise en production des FortiGate qui peuvent se connecter dans un environnement

existant sans aucune reconfiguration du réseau.
2.3.4
Les services antivirus
Le moteur antivirus offre trois types de services

:

un service de détection de virus

un service d’interception de fichiers (en fonction de la taille ou du nommage)

un service de mise en quarantaine.
Confidentiel
26
Equipement Fortinet
Descriptif technique
GENERIQUE
Chacun de ces services peut s’appliquer

:
au trafic Web HTTP,
au trafic de messagerie (IMAP, POP3, SMTP),
au trafic FTP natif ou encapsulé dans http,
au trafic d’IM (Instant Messaging).
2.3.4.1
Détection de virus
La liste des virus détectés, la date de parution des signatures, et la version de la base de données qui

permet de lutter contre, est à disposition sur le site Web
www.fortinet.com
.
2.3.4.1.1
Méthode de recherche et d’analyse
La fonction antivirus des passerelles FortiGate est avant tout basée sur une recherche de signatures,

technique qui reste aujourd’hui la plus fiable et la plus répandue.
Elle implémente aussi des techniques complémentaires comme la recherche de virus macro et la

recherche heuristique.
La recherche par signatures requière moins de puissance de traitement, les recherches heuristiques

étant les plus consommatrices. Le moteur commence par la méthode de recherche la moins

consommatrice. Dès qu’un virus est détecté, la recherche s’arrête.
Implémenter plusieurs techniques de détection garantit le meilleur service de recherche antivirus.
2.3.4.1.1.1
Recherche par signature – puissance de l’Asic
Accélération Asic
Les passerelles FortiGate disposent d’une base de données de signatures (chargée en mémoire) et d’un

moteur de recherche. Le moteur examine les données utilisateurs et identifie un virus par comparaison

d’après la base de signatures. Ce travail de comparaison est exécuté par le FortiAsic, délivrant des

performances 5 à 10 fois supérieures à ce que fournirait un traitement CPU traditionnel.
La détection des virus est d’autant plus consommatrice en ressources que la base de données des

signatures est importante, et que les signatures sont complexes.

Une signature simple est une chaîne d’octets qui correspond à une séquence du code d’un

virus. Une signature peut se compliquer par incorporation de «

wildcard

» pour prendre en

compte les variations d’un virus.

Les auteurs de virus ont considérablement compliqué le travail des chercheurs antivirus en

chiffrant le code du virus, ce qui lui donne un caractère aléatoire et rend le développement

d’une signature beaucoup plus complexe. Ils ont également mis au point des virus

polymorphiques, qui se modifient sensiblement à chaque réplication, compliquant encore la

génération des signatures.
Face à la croissance des attaques dites combinées («

blended attack

»), le challenge est à présent

d’offrir des systèmes qui soient capables d’identifier et bloquer les virus en temps réel quelque soient

les débits réseaux. Le FortiAsic remplit cet objectif en accélérant l’identification des virus, et délivrant

des performances temps réel.
Efficacité de la recherche contextuelle
Le moteur de recherche antivirus analyse les flux de façon contextuelle. En fonction des données

bufferisées, il ne consulte en mémoire que les portions appropriées de la base de signatures.
Confidentiel
27
Equipement Fortinet
Descriptif technique
GENERIQUE
Taille de la base de connaissance
Il faut par ailleurs noter que la taille de la base de données des signatures n’est en aucun cas un gage

de qualité ou d’efficacité d’une solution antivirus, contrairement à ce que certains éditeurs tendent à

faire croire. Il n’est pas rare de voir des produits afficher une base de 60 000 virus.

Si de façon intuitive, l’efficacité d’une solution antivirus peut être perçue comme liée au nombre

de signatures détectées, la réalité est assez différente. Sur 60

000 virus connus à ce jour, il n’en

existe que 1 000 effectivement actifs. Cette liste des virus actifs est maintenue à jour par une

communauté d’experts, regroupés au sein de la «

WildList

». Parmi les 59

000 virus restants,

certains n’ont jamais été publiés, d’autres ont été conçus pour infecter des systèmes

d’exploitation ou des applications qui n’ont plus cours.

Un moteur qui rechercherait à identifier des virus en utilisant une telle base de données perdrait

en efficacité et impacterait significativement les performances du réseau par des temps de

latence accrus.
Les FortiGate protège les réseaux de l’ensemble des virus actifs – et entre autres ceux définis par la

WildList. La WildList est la liste qui fait autorité dans l’identification des virus en activité. Pour plus

d’information, on peut consulter la WildList sur
www.wildlist.org
.
2.3.4.1.1.2
Recherche de virus macro
La recherche par Macro permet d’extraire les macros des fichiers MS Offices, pour détecter les virus

connus.
Le FortiGate analyse les macros et vérifie si leur comportement est suspect, comme importer/exporter

du code, écrire dans les registres, tenter de désactiver des fonctions de sécurité. Si les tests s’avèrent

positifs, le fichier est considéré comme infecté.
2.3.4.1.1.3
Recherche heuristique
La recherche heuristique est mise en œuvre par les FortiGate sur les fichiers exécutables. Elle

s’adresse aujourd’hui essentiellement aux binaires de type PE (Portable Executable). Ce format est

utilisé par Microsoft comme standard de fichier exécutable depuis Win95.
Le moteur FortiGate applique un certain nombre de tests aux fichiers PE. Le résultat de chaque test

produit une note. Les notes sont ensuite pondérées et additionnées, et si le résultat final dépasse un

seuil, le test antivirus s’avère positif.
La recherche heuristique rend possible l’arrêt de virus, alors même qu’une signature n’a pas encore été

développée.
2.3.4.1.2
Support de tout type de fichiers
Le moteur antivirus gère tous les fichiers

: par exemple, les exécutables (exe, bat, com) les fichiers

visual basic (vbs), les fichiers compressés (en gérant jusqu’à 12 niveaux de compression), les

économiseurs d’écrans (scr), les librairies dynamiques (dll), les fichiers Microsoft Office, etc.
Nombreux attachements utilisent les formats d’extension MIME (Multipurpose Internet Mail

Extensions). Le moteur antivirus est capable d’examiner les données MIME pour identifier les fichiers

cibles.
Une fois les fichiers cibles interceptés, ils sont analysés par le moteur.
Afin d’optimiser la détection de virus, le moteur de recherche applique une recherche contextuelle

: il

teste chaque fichier selon la méthode d’analyse la plus optimisée, et il adapte sa recherche de virus au

type de fichiers. Dans le cas des fichiers Microsoft Office, il vérifiera en particulier les virus macros.
Confidentiel
28
Equipement Fortinet
Descriptif technique
GENERIQUE
2.3.4.1.3
Mise à jour de la base des signatures
Le moteur antivirus et la base de connaissance antivirus se mettent à jour dynamiquement à partir des

serveurs de l’infastructure FDN, FortiProtect Distribution Network.
Lorsque les données antivirus sont mises à jour par les laboratoire de recherche Fortinet, les serveurs

FDN reflètent immédiatement les modifications, et sont accessibles 24h/24h par toute passerelle

FortiGate qui dispose d’un contrat de maintenance.
Deux modes de mise à jour automatique sont disponibles et peuvent être activés simultanément

:

le mode “pull”
Les passerelles se connectent régulièrement, à une fréquence paramétrable, sur

l’infrastructure FortiProtect pour déterminer si une mise à jour est disponible

(interrogation hebdomadaire, journalière ou horaire). Le téléchargement des données est

sécurisé par SSL.

le mode “push”
Les serveurs FDN émettent une alerte UDP vers les boîtiers FortiGate qui ont été

paramétrés pour recevoir ce service, les avertissant qu’une mise à jour est disponible.

Sur réception de ce signal, les FortiGate initient une connexion vers l’infrastructure

FortiProtect et téléchargent par SSL les nouvelles données.
Paramétrage des mises à jour moteur & base de connaissance
L’opération de mise à jour peut aussi être réalisée manuellement, à la demande.
2.3.4.2
Mise en quarantaine
Une passerelle FortiGate qui dispose d’un disque dur en option (à partir du FortiGate 200A) peut être

configurée pour mettre en quarantaine tout message ou fichier bloqué. Les utilisateurs reçoivent alors

un message les avertissant de cette mise en quarantaine.
Confidentiel
29
Equipement Fortinet
Descriptif technique
GENERIQUE
Il est également possible pour les modèles sans disque dur d’envoyer leur quarantaine sur un

FortiAnalyzer. La FortiGate aura alors accès à sa quarantaine à travers le FortiAnalyzer (mais en

utilisant son WebUI).
L’administrateur peut visualiser graphiquement les fichiers en quarantaine, avec des informations sur

les statuts, duplications de virus, et âge des fichiers en quarantaine. Des options de tri sont également

disponibles.
L’administrateur peut télécharger les fichiers pour les soumettre à l’équipe FortiProtect.
Le service de mise en quarantaine est activé dans le profil de protection

:

Gestion de l’espace disque
En cas d’espace disque rempli, l’administrateur peut être averti par email. Pour éviter qu’une telle

situation ne se produise, il est possible, dès que l’espace libre disponible atteint une taille critique,

d’écraser les fichiers en quarantaine les plus anciens par les nouveaux arrivant.
Confidentiel
30
Equipement Fortinet
Descriptif technique
GENERIQUE
Les FortiGate savent également gérer cet espace disque en paramétrant un temps maximum de mise en

quarantaine. Au-delà de la limite, les fichiers sont automatiquement supprimés.
Paramétrage de la politique de quarantaine
2.3.4.3
Filtrage des fichiers
Le moteur antivirus offre également un service d’interception de fichiers

:

en fonction du nom,

au-delà d’une taille limite paramétrable.
L’interception de fichiers permet de bloquer ou d’autoriser tous les fichiers qui représentent un risque

potentiel ou non. C’est un mode de protection possible contre les virus pour lesquels une signature

n’aurait pas encore été développée.
Le filtrage des fichiers est activé dans le profil de protection

:

Confidentiel
31
Equipement Fortinet
Descriptif technique
GENERIQUE
2.3.4.3.1
Filtrage en fonction du nom
Tout fichier dont le nom est configuré avec une action «

Bloquer

» est intercepté. La configuration de

la liste noire supporte les expressions wildcard.
Tout fichier dont le nom est configuré avec une action «

Autoriser

» n’est pas analysé. La

configuration de la liste blanche supporte les expressions wildcard.
Le FortiGate remplace le fichier intercepté par un fichier/message paramétrable qui alerte l’utilisateur

Web, le client FTP, le destinataire mail.
Sur un modèle FortiGate 200A ou supérieur qui dispose d’un disque dur en option, les fichiers bloqués

peuvent optionnellement être mis en quarantaine.
Par défaut, lorsque la fonctionnalité est activée, les passerelles FortiGate bloquent les fichiers suivants:

Fichiers exécutables (*.bat, *.com, and *.exe)

Filchiers compressés ou archives (*.gz, *.rar, *.tar, *.tgz, and *.zip)

Librairies dynamic link (*.dll)

Applications HTML (*.hta)

Fichiers Microsoft Office (*.doc, *.ppt, *.xl?)

Fichiers Microsoft Works (*.wps)

Fichiers Visual Basic (*.vb?)

Économiseurs d’écran (*.scr)
Il est bien sûr possible de paramétrer sa propre liste de fichiers.
Paramétrage des fichiers automatiquement bloqués
2.3.4.3.2
Filtrage en fonction de la taille
Le FortiGate peut être paramétré pour bloquer les fichiers dépassant une taille limite. Par défaut la

passerelle utilise sa mémoire pour bufferiser les fichiers qui sont analysés. De 1 à 12% de la mémoire

est disponible pour ce travail. La mémoire des FortiGate varie d’un modèle à l’autre (de 64 Mo à

plusieurs Go).
Confidentiel
32
Equipement Fortinet
Descriptif technique
GENERIQUE
La taille maximale autorisée pour le transfert des fichiers (dans la mesure de la mémoire disponible)

est paramétrable par l’administrateur en fonction des protocoles

dans le profil de protection :
Paramétrage de la taille maximale autorisée
Un fichier qui dépasse cette taille peut être automatiquement bloqué par la passerelle qui envoie alors

un message de remplacement.
Il est aussi possible de configurer la passerelle pour transmettre sans analyse les fichiers qui dépassent

cette taille limite. Ce comportement est également configuré dans le profil de protection.
2.3.4.4
Messages de remplacement
Lorsqu’un fichier ou une page Web ont été bloqués par le moteur antivirus, un message de

remplacement est envoyé à l’utilisateur.
Le contenu de ce message est paramétrable par l’administrateur. Chaque type d’événement dispose de

son propre message

:
Paramétrage des messages de remplacement
2.3.4.5
Gestion des timeout FTP, SMTP et HTTP
Lorsque les données transmises sont trop longues à bufferiser (taille trop importante des fichiers en

regard du débit Internet), les connexions SMTP ou FTP peuvent être interrompues le temps de la

bufferisation des données sur le FortiGate.
Pour éviter ces interruptions, le mode «

splice

» est disponible

: les premiers octets des fichiers sont

alors transmis au destinataire.
Le mode splice est activé par commande en ligne dans le profil de protection. Il peut donc être mis en

service de manière différenciée en fonction des types de flux et des règles firewall.
Confidentiel
33
Equipement Fortinet
Descriptif technique
GENERIQUE
SMTP
Si un virus est détecté dans un flux SMTP, le FortiGate peut interagir avec la passerelle SMTP de

deux façons différentes

:

le FortiGate intercepte l’email, examine la présence de virus, puis si tel est le cas, supprime le

fichier qui contient le virus, rajoute un message d’avertissement, puis transmet l’email modifié

au serveur SMTP (mode «

splice

» désactivé). Le destinataire d’un message contaminé est

averti du virus, l’émetteur ne le sera pas.

le FortiGate transmet l’email au serveur SMTP en même temps qu’il le reçoit (à moindre

vitesse). Ce mode dit «

splice

» permet d’éviter d’éventuel problèmes de timeout SMTP. Si le

FortiGate détecte un virus, il arrête la connexion vers le serveur SMTP, et renvoie un message

d’erreur à l’émetteur, listant le virus et le nom du fichier infecté. Cette option, plus efficace en

terme de débit réseau, ne permet pas au serveur SMTP d’envoyer l’email à son destinataire.
Particularité FTP
Deux modes d’interaction sont également disponibles entre le FortiGate et les flux FTP.

En mode «

splice

», le FortiGate transmet au réseau le flux FTP en même temps qu’il le

bufferise. Si un virus est détecté, il arrête le transfert, et supprime le fichier partiellement

chargé sur le serveur – si les permissions le lui permettent.
Utiliser ce mode de transmission permet de réduire les problèmes de timeout FTP lors

des transferts de larges fichiers.

Lorsque ce mode est désactivé, le FortiGate bufferise la totalité du fichier, effectue son analyse

antivirus, puis transmet le fichier. Si un virus est détecté, le fichier ne sera pas transmis, mais

remplacé par un message d’avertissement.
HTTP et FTP
En HTTP et FTP (download), il est possible d’utiliser l’option confort client.
Le confort client permet d’envoyer des paquets à intervalles réguliers au client web qui a

lancé le téléchargement. Cela permet de ne pas figer la barre de progression de

téléchargement du navigateur et d’avoir un comportement traditionnel à savoir une barre

de progression en «

mouvement

».
La taille du paquet ainsi que l’intervalle d’envoie sont configurable dans chaque profil de

protection.

Confidentiel
34
Equipement Fortinet
Descriptif technique
GENERIQUE
2.3.4.6
Label d’avertissement
Une signature peut être rajoutée à la fin des emails analysés par la passerelle. Ce message peut être

utilisé pour avertir le destinataire du service rendu par le FortiGate.
La signature est paramétrable dans le profil de protection. On peut donc imaginer des signatures

différentes en fonction des types de trafic et des règles firewall.

2.4
Filtrage Web
Le FortiGate permet

:

de filtrer les pages Web d’après leurs contenus ou d’après les adresses URLs - une page de

remplacement personnalisable est alors présentée à l’utilisateur en lieu et place de la page

filtrée,

de bloquer les applets Java, les cookies et les scripts ActiveX.
2.4.1
Les services
Le filtrage d’URL est réalisé à partir d’une base de données statique, configurée en local sur le

FortiGate, ou à partir d’une base de données mise à jour dynamiquement et disponible en consultation

sur Internet

: le service FortiGuard.
2.4.1.1
Filtrage Web par catégories (FortiGuard)
FortiGuard, le service de filtrage Web proposé par Fortinet, est basé sur des requêtes adressées à

l’infrastructure Fortinet.
Les politiques de filtrage sont stockées sur les FortiGate qui autorisent ou interdisent l’accès aux sites

Web en fonction des catégories validées parmi les 56 disponibles.
Si une page n’a pas encore été référencée dans la base FortiGuard, les administrateurs FortiGate

peuvent soumettre en ligne les nouvelles pages à classer

:
Confidentiel
35
Equipement Fortinet
Descriptif technique
GENERIQUE
Fonctionnement du filtrage FortiGuard
Le boîtier FortiGate intercepte les requêtes des utilisateurs Web et détermine s’ils sont en droit de

consulter la page. Les serveurs FortiGuard maintiennent une base de données de plusieurs millions de

pages.
Lorsqu’un navigateur Web interroge une URL, la requête est traitée par le réseau comme suit

:
1.
Le FortiGate intercepte la requête sur le réseau local.
2.
Si le FortiGate a déjà en cache le nom de la catégorie correspondant à la page Web, ce nom est

immédiatement comparé à ceux des catégories autorisées. Si cette catégorie est autorisée, la

requête Web est transmise au site cible (3a).
3.
Si le nom de la catégorie n’est pas en cache, la requête Web est transmise au site cible (3a), et

une demande de classification est transmise simultanément à un serveur FortiGuard (3b).
4.
Le FortiGate reçoit du serveur FortiGuard le nom de la catégorie à laquelle appartient la page

(4a). Cette catégorie est comparée à la liste des catégories autorisée. En parallèle, le FortiGate

reçoit les données du site Web interrogé (4b).
5.
Si la politique est d’autoriser la consultation de cette page, la réponse du site Web est

transmise à l’utilisateur. Sinon, un message de remplacement personnalisable lui est envoyé,

et l’événement est enregistré en log.
Le mécanisme est illustré par le schéma suivant

:
Confidentiel
36
Equipement Fortinet
Descriptif technique
GENERIQUE
Fonctionnement du service FortiGuard
Bénéfices
La gestion des serveurs qui fournissent la base de données des pages Web classifiées est effectuée par

Fortinet et n’est plus à la charge de l’entreprise. On s’affranchit ainsi de l’installation d’un serveur sur

le réseau local, de son exploitation et de sa maintenance.
La problématique de haute disponibilité du service est également prise en charge par l’infrastructure

FortiGuard, qui dispose de nombreux serveurs répartis mondialement.
La politique commerciale de ce service est indépendant du nombre d’utilisateurs connectés au réseau

local. Il s’agit d’une souscription annuelle fixe dont le montant ne dépend que du modèle FortiGate. Il

n’est nullement besoin de recenser et maintenir à jour une liste d’utilisateurs.
2.4.1.2
Filtrage Web par listes statiques
Le boîtier FortiGate permet également de filtrer les pages Web à partir d’une base de données stockée

localement, renseignée et mise à jour manuellement.
2.4.1.2.1
Mots/phrases clefs
Les pages Web qui contiennent certains mots ou phrases clefs peuvent être automatiquement bloquées

par le FortiGate.

Les entrées de la liste des mots interdits peuvent être définies manuellement une par une, ou

importées par fichier texte.

Ces mots/phrases peuvent être de type wildcard, ou contenir des expressions régulières.
2.4.1.2.2
Listes d’URLs
Le filtrage des pages peut également être réalisé à partir d’une liste statique d’URLs bloquées. La liste

est stockée localement. Elle peut contenir des adresses IP, des URLs complètes ou définies par

expression wildcard ou régulière.
Les entrées sont créées une par une, manuellement, ou par importation d’un fichier texte.
Confidentiel
37
Equipement Fortinet
Descriptif technique
GENERIQUE
Liste noire des URLs, définie localement sur le FortiGate
Des listes disponibles gratuitement sur Internet peuvent être utilisées comme un point de départ.

SquidGuard, par exemple, fournit les listes suivantes

:
http://www.squidguard.org/blacklist/
Une liste blanche peut être définie afin de légitimer des pages qui auraient normalement été filtrées.
2.4.1.3
Filtrage des scripts
Le FortiGate peut être configuré pour filtrer les cookies, java, et active X par profil de protection.
2.4.2
Activation des services dans un profil de protection
La liste des contrôles Web activés est définie dans un profil de protection

:
Confidentiel
38
Equipement Fortinet
Descriptif technique
GENERIQUE

2.4.2.1
Filtrage par catégories (listes dynamiques)
Le menu «

Filtrage Web par catégories

» du profil de protection permet d’activer et de configurer le

service FortiGuard (si un abonnement a été souscrit) en définissant les catégories Web autorisées,

bloquées ou surveillées

:

On peut également rajouter à ces catégories ces propres catégories locales avec ces urls.
Confidentiel
39
Equipement Fortinet
Descriptif technique
GENERIQUE
2.4.3
Activation des profils par règle firewall
Les profils de protection paramétrés sont ensuite appliqués au trafic réseau en fonction des règles pare-
feu

: la définition de chaque règle firewall inclut la sélection d’un profil.

Le trafic reçu par le FortiGate et correspondant aux critères de la règle firewall bénéficiera alors

des contrôles activés dans le profil sélectionné.

Si aucun profil n’est sélectionné, les seuls contrôles assurés seront ceux du moteur firewall.
Ce mode de paramétrage permet de gérer finement les contrôles appliqués pour chaque type de trafic.

Il assure également une utilisation optimisée des ressources FortiGate.
Mise en service du filtrage Web par règle firewall
Il est possible d’associer différents profil de protection en fonction des communautés d’utilisateurs.

Dans ce cas, le service d’authentification est activé sur la règle firewall

:
Confidentiel
40
Equipement Fortinet
Descriptif technique
GENERIQUE
Activation d’un contrôle différencié par groupe utilisateurs
Le groupe utilisateur (test dans cet exemple) bénéficient d’une protection Web qui leur est propre par

l’association d’un profil spécifique à chacun d’eux

:

Configuration d’un profil de protection spécifique à chaque groupe
2.4.4
Messages de remplacement
Lorsqu’une page Web a été interceptée par le moteur de filtrage, une page de remplacement est

présentée à l’utilisateur. Celle-ci est paramétrable par l’administrateur en fonction des événements

:
Confidentiel
41
Equipement Fortinet
Descriptif technique
GENERIQUE

2.5
Antispam
Un message SPAM est un email à large diffusion, non sollicité, qui outre les désagréments causés à

celui qui le reçoit, crèe une importante charge inutile au niveau des serveurs de messagerie.
Les passerelles FortiGate détectent les messages SPAM, et préviennent les transmissions de serveurs

mail manifestement connus pour distribuer ce type de message ou suspectés de le faire.
2.5.1
Les services
Le service antispam des FortiGate assure deux niveaux de contrôle

:

filtrage de la source d’un message,

filtrage du contenu du message.
Les services antispam
Confidentiel
42
Equipement Fortinet
Descriptif technique
GENERIQUE
2.5.1.1
Filtrage de la source
Le FortiGate peut contrôler l’adresse mail source d’un message ainsi que l’adresse IP du serveur qui

transmet le message.
2.5.1.1.1
Filtrage des adresses mail
Un message SPAM peut être identifié par le FortiGate si l’adresse mail source appartient à la liste

noire d’adresses mail maintenues localement sur le boîtier

:
Les entrées de la liste peuvent être créées manuellement une par une, ou être importées par fichier

texte.
La définition des adresses peut se faire par expression wildcard ou expression régulière.
L’action paramétrée peut être de tagger le message ou de l’affranchir d’un contrôle antispam

(inscription en liste blanche).
2.5.1.1.2
Filtrage des adresses IP
Les adresses IP sont contrôlées par

:

listes statiques définies et maintenues localement sur le boîtier

Listes dynamiques (real-time DNS blacklists, disponibles sur Internet)

Helo DNS lookup (SMTP)
2.5.1.1.2.1
Listes statiques
Le FortiGate peut contrôler toute connexion initiée à partir d’un serveur dont l’adresse IP a été définie

dans une liste locale.
Lorsqu’une connexion est repérée provenant d’une adresse listée, l’action prise par le FortiGate peut

être de marquer le message par un tag, de rejeter la connexion, ou d’affranchissement le mail de ce test

(inscription en liste blanche)

:
Confidentiel
43
Equipement Fortinet
Descriptif technique
GENERIQUE
Les entrées de la liste blanche et de la liste noire peuvent être créées manuellement une par une, ou

importées à partir d’un fichier texte.
2.5.1.1.2.2
Helo DNS Lookup
Une vérification par requête DNS est exécutée sur réception d’une commande HELO SMTP. Cette

commande inclut un nom de domaine, objet de la vérification DNS. La réponse est ensuite comparée à

l’adresse IP de l’émetteur.
2.5.1.2
Filtrage du contenu
2.5.1.2.1
Listes de mots clefs
Le FortiGate vérifie que les sujets et/ou corps de messages ne contiennent pas de mots interdits, la liste

des mots étant définie en local par l’administrateur.
L’action paramétrable pour chaque mot clef est le marquage du message par un tag ou

l’affranchissement de tout contrôle antispam (inscription en liste blanche).
La définition des adresses peut se faire par expression wildcard ou expression régulière. Par exemple,

l’expression régulière suivante permet de capturer de nombreuses variantes d’écriture du terme

«

viagra

»

:
/v.?[iíl;1'!\|].?[a@àâäå0].?[gq].?r.?[a@àâäå0]/i
Confidentiel
44
Equipement Fortinet
Descriptif technique
GENERIQUE
Les entrées de la liste peuvent être créées manuellement une par une, ou importées à partir d’un fichier

texte.
2.5.2
Marquage / suppression des messages
Les messages SPAM peuvent être soit supprimés (en SMTP seulement), soit marqués d’un tag

paramétrable dans le sujet ou l’en-tête MIME.

Dans le premier scénario, le FortiGate agit avant que le MTA local ne reçoivent les messages

SPAM. Lorsqu’un message SPAM est détecté par contrôle de contenu, ou que la connexion

SMTP est originaire d’un serveur reconnu pour la distribution de SPAM, le FortiGate peut

bloquer la connexion SMTP, ou tagger le courrier avant qu’il ne soit transmis.
Scénarios de filtrage antispam

Dans le deuxième scénario, le FortiGate effectue le contrôle antispam sur les flux utilisateurs qui

téléchargent leurs emails. Ces messages ont déjà été interceptés par un serveur MTA (Mail

Transfert Agent). La seule option disponible est alors le tag du message par un label

personnalisable.
2.5.3
Activation des services dans un profil de protection
Les services antispam activés sont définis dans un profil de protection

:
Confidentiel
45
Equipement Fortinet
Descriptif technique
GENERIQUE
Création de profils antispam
2.5.4
Activation des profils par règle pare-feu
Les profils de protection paramétrés sont ensuite appliqués au trafic réseau en fonction des règles pare-
feu

: la définition de chaque règle firewall inclut la sélection d’un profil.

Le trafic reçu par le FortiGate et correspondant aux critères de la règle firewall bénéficiera alors

des contrôles activés dans le profil sélectionné.

Si aucun profil n’est sélectionné, les seuls contrôles assurés seront ceux du moteur firewall.
Ce mode de paramétrage permet de gérer finement les contrôles appliqués pour chaque type de trafic.

Il assure également une utilisation optimisée des ressources FortiGate.
Confidentiel
46
Equipement Fortinet
Descriptif technique
GENERIQUE
2.6
VPNs
2.6.1
VPN IPSec
Les FortiGate supportent les tunnels VPN IPSec, mode ESP, qui permet l'authentification et/ou

l'encryption des données. La gestion de l'authentification et des clefs de chiffrement des données est

réalisée par le protocole IKE.
Le chiffrement utilise au choix par les algorithmes DES, 3DES, AES128, AES192 et AES256 et

bénéficie d'une accélération matérielle.
L'authentification utilisateur est réalisée par mot de passe (pre-shared key), ou par certificats digitaux.

Dans le cas d'une authentification par mot de passe, le secret doit être configuré à l'identique de part et

d'autre du tunnel VPN, et peut être différent d'un tunnel à l'autre.
Dans le cas d'une authentification par certificats digitaux, il n'y a plus de gestion de mots de passe par

tunnel. Une autorité de certification (CA, installé sur un serveur tierce) délivre les certificats. Ceux-ci

sont ensuite importés dans la configuration des FortiGate avec le certificat digital du CA. Au moment

de l'établissement du tunnel, les extrémités du tunnel s'échangent leur certificats digitaux pour

s'authentifier (quelque soit le tunnel).
L'authentification des données une fois le tunnel établi est réalisée paquet par paquet par algorithme de

hachage SHA1 ou MD5.
Les FortiGate accepte les connexions tunnels initiés par une autre gateway VPN (mode site à site), ou

par un client logiciel IPSec installé sur un poste de travail (mode client à site).
Une fois les données IPSec configurées (algorithme de chiffrement, authentification), des règles

firewalls peuvent être appliquées pour contrôler les flux encapsulés dans les tunnels.
Tout type d'architecture est supportée, des architecture en étoiles aux architecture "full mesh". Dans le

cadre des architectures en étoile, on peut restreindre les sites distants à ne communiquer qu'avec le site

concentrateur, ou les autoriser à accéder aux autres sites distants via le site concentrateur.
Dans le cadre du mode client à Site, Fortinet fournit pour un client IPSec complet destiné au

plateforme windows. Pour les autres plateformes, la plupart des clients VPN IPSec suivant la norme

(ce qui n’est ni le cas du client checkpoint ni celui du client cisco) fait l’affaire. A ce titre,
Confidentiel
47
Equipement Fortinet
Descriptif technique
GENERIQUE
le client Freeswan sous environement linux et le client VPN Tracker sous environement Mac OS ont

été testé et validé par Fortinet pour fonctionner avec un FortiGate.
FortiClient présente l’avantage de ne pas être qu’un client VPN IPSec, la version actuelle permet les

fonctionalitées suivantes

:
Le FortiClient
VPN IPSec

en mode ESP avec les mêmes algorythme de chiffrage que le FortiGate. La fonction VPN

supporte le mode secret partagé et le mode certificat X509.
De nombreuses options sont disponibles parmi lesquelles on retrouve la possibilité de fixer l’adresse

IP du client ou de la récupérer via DHCP, le support du nat traversal, de Xauth et du split tunneling .
Un antivirus poste de travail (scan + protection temps réél) permettant également une protection de la

base de registre, de la messagerie et contre les spywares. Le moteur étant capable d’interdire l’accès à