UNIVERSITE SULTAN MOULAY SLIMANE

Faculté des Sciences et Techniques

Beni-Mellal
Centre de Formation Continue

MEMOIRE DE PROJET DE FIN

D’ETUDES :

Présenté en vue de l’obtention de la

Licences Professionnelles d'Université
En Ingénierie Systèmes, Réseaux, et Cloud Computing
(ISRC).

LA MISE EN ŒUVRE D’UN PARE-FEU

FORTIGATE
La nouvelle génération des Firewalls (NGFWs)

Réalisé par : Encadré par :

REDOUANI ABDELHAKIM Mohamed BASLAM

Soutenu le .. juin 2024 devant les membres de jury :

Mr. Mohamed FAKIR Professeur à la FST Béni Mellal

Mr. Rachid EL AYACHI Professeur à la FST Béni Mellal
Mr. Mohamed BASLAM Professeur à la FST Béni Mellal
Mr. Hicham MOUNCIF Professeur à la FP Béni Mellal
Table de matière
La nouvelle généra�on des Firewalls (NGFWs) ................................................................................... 1
Introduction ............................................................................................................................................. 7
Cœur du mémoire .................................................................................................................................... 7
1 Spécifica�ons techniques : ................................................................................................................... 7
1.1 Contraintes liées au projet: ........................................................................................................... 7
1.1.1 Contraintes techniques : ............................................................................................................ 7
1.1.2 Contraintes temporelles : ........................................................................................................... 8
Mise en place du projet : ......................................................................................................................... 8
1 Etude et analyse de l’existant : ............................................................................................................. 8
1.1 Architecture logique de la faculté (Architecture ancienne) .......................................................... 8
1.2 Probléma�que : ............................................................................................................................. 9
2 Mise en place de la solu�on : ............................................................................................................ 10
3 Objec�fs : ........................................................................................................................................... 11
4 Contexte du projet : ........................................................................................................................... 11
5 Méthodologie de travail : ................................................................................................................... 12
5.1 Planifica�on : ............................................................................................................................... 12
Introduction au terme Pare-feu ............................................................................................................. 13
1 Fonc�onnement du pare-feu ............................................................................................................. 14
1.1 Comment fonc�onne un pare-feu ? ............................................................................................ 14
1.2 Avantages d’u�lisa�on du pare-feu :........................................................................................... 15
1.3 Inconvénients d’u�lisa�on du pare-feu :..................................................................................... 16
1.4 Le filtrage ..................................................................................................................................... 16
2 Les deux types de pare-feu ................................................................................................................ 18
ASA Firewall ......................................................................................................................................... 18
1 Les caractéris�ques ASA CISCO : ....................................................................................................... 19
2 Evolu�on ASA Firewall :...................................................................................................................... 22

2
New Generation Firewall (NGFW) ....................................................................................................... 26
1 Qu’est-ce qu’un pare-feu de nouvelle généra�on ............................................................................. 26
1.1 Jus�fica�on du choix de For�Gate : ............................................................................................ 27
1.2 Cer�fica�on ICSA labs : ............................................................................................................... 29
2 - DEFENSE IN DEPTH APPROACH : ...................................................................................................... 30
3 Présenta�on de For�net : .................................................................................................................. 33
3.1 Historique : .................................................................................................................................. 33
4 L’approche For�net UTM :.................................................................................................................. 35
5 Gamme des Produits : ....................................................................................................................... 36
Pare-feu matériel : FORTIGATE .......................................................................................................... 40
1 Présenta�on du produit : ................................................................................................................... 40
2 Fonc�onnalités du For�Gate :............................................................................................................ 41
2.1 For�Gate-VM : ............................................................................................................................. 44
3 Présenta�on du Menu For�Gate : ..................................................................................................... 46
4 Sytème Admin: l’authen�fica�on au FORTIGATE : ............................................................................. 47
Conclusion : .......................................................................................................................................... 54
Annexe ................................................................................................................................................... 55

3
Liste des tableaux
Tableau 1: Livrables ...................................................................................................................... 8
Tableau 2:Etapes de déroulement du projet................................................................................. 12
Tableau 3:Fonctionnalités et capacité de la plate-forme Cisco ASA 5510 .................................. 20
Tableau 4: Fonctionnalités et capacité de la plate-forme Cisco ASA 5520 ................................. 21
Tableau 5:Fonctionnalités et capacité de la plate-forme Cisco ASA 5540 .................................. 22

4
Liste des figures
Figure 0.1:Architecture logique de la faculté ................................................................................ 9
Figure 0.1:Mise en place d’un pare-feu de la nouvelle génération NGFW (FortiGate) .............. 10
Figure 0.1:Pare-feu passerelle entre LAN et WAN. .................................................................... 14
Figure 0.2: DMZ ......................................................................................................................... 15
Figure 0.1:Magic Quadrant for Network Firewalls ..................................................................... 28
Figure 0.1:la création du répertoire pour l’image ISO Fortinet................................................... 56
Figure 0.2:la migration de l’image ISO vers Eve-Ng.................................................................. 57
Figure 0.3:accorder des permissions pour permettre la migration de l’image ISO. .................... 57
Figure 0.4:cette étape consiste à s’authentifier............................................................................ 58
Figure 0.5:éditer la configuration du port 5 pour se connecter à l’interface Web du
FortiGate................................................................................................................................................ 58
Figure 0.6:L’authentification par l’interface graphique. ............................................................. 59
Figure 0.7:Cet interface permet de consulter et modifier la configuration de chaque
port (observez la configuration du port1). ............................................................................................. 60
Figure 0.8:La configuration de la zone DMZ en affectant le role et l’adresse IP+
masque. .................................................................................................................................................. 60
Figure 0.9: La configuration du LAN en affectant le role et l’adresse IP + masque. .................. 61
Figure 0.10:Installation d’Apache puis démarrer le service Apache. .......................................... 61
Figure 0.11:Installation d’Apache puis démarrer le service Apache. .......................................... 62
Figure 0.12:refuser le trafic avec le protocole http entre le LAN (port1) et la zone
DMZ (port4). ......................................................................................................................................... 63
Figure 0.13:autoriser le trafic avec le protocole http entre le LAN (port1) et la zone
DMZ (port4). ......................................................................................................................................... 64
Figure 0.14:autoriser la fonctionnalité du Ping entre LAN (port1) et WAN (port5) ................... 65
Figure 0.15:la configuration du OSPF (ID du routeur, la zone, réseaux, interfaces…)
en précisant les réseaux liés au FortiGate.............................................................................................. 65
Figure 0.16:application de la fonctionnalité Haute Disponibilité pour le port 3 (en
appliquant le mode, changeant la priorité, ajoutant un nom du groupe et un mot de passe). ................ 67

5
 Remerciements

Il est d'usage de débuter ce genre de travail en exprimant ma profonde reconnaissance

à tous ceux qui ont, de près ou de loin, contribué à la réalisation de ce projet. Bien
que la liste soit longue, c'est avec une gratitude sincère que je remercie toutes les
personnes impliquées.

Je souhaite particulièrement remercier Mr. Mohamed BASLAM, mon encadrant à la

Faculté des Sciences et Techniques de Béni Mellal, pour son généreux partage de
connaissances.

Je tiens également à exprimer ma reconnaissance envers tous les enseignants de cette

formation pour la qualité de leur enseignement et leur encadrement tout au long de
notre licence.

Je remercie chaleureusement les membres du jury, Mr. Mohamed FAKIR, Mr. Rachid
EL AYACHI, Mr. Mohamed BASLAM, et Mr. Hicham MOUNCIF, pour avoir
accepté d'évaluer ce travail et pour leurs précieux commentaires.

Enfin, je remercie mes amis, mes collègues et mes proches pour leur soutien moral
et leurs conseils avisés tout au long de cette aventure.

6
Introduction

Étant donné que la majorité des équipements sont désormais connectés à Internet, les attaquants
disposent de nombreuses opportunités pour cibler des victimes. C'est ici qu'intervient le pare-feu, qui
protège l'ensemble du trafic réseau en identifiant et en bloquant les flux indésirables.

Qu'est-ce qu'un pare-feu ? C'est un dispositif de sécurité, souvent inclus dans les meilleurs antivirus du
marché, qui agit comme une barrière protectrice pour votre ordinateur contre les malwares et autres
appareils partageant la même connexion, susceptibles de contaminer le réseau.

Il peut s'agir d'un logiciel ou d'un micro-logiciel intégré à divers périphériques en réseau, qui filtre le
trafic et réduit les risques d'attaques par des logiciels malveillants. Les pare-feu peuvent également être
achetés en tant qu'applications autonomes.

Leur mission est de contrôler le flux d'informations entre votre ordinateur, votre réseau et Internet. Pour
ce faire, le pare-feu examine ces informations et détermine si elles respectent ses règles de filtrage. Si
elles sont conformes, l'accès est autorisé ; sinon, il est refusé. Cette fonction permet de prévenir les vols
d'informations et autres types d'intrusions. Lorsqu'il est placé à la périphérie d'un réseau, le pare-feu offre
une protection de base. Il est donc crucial d'avoir également un antivirus.

Nous allons maintenant souligner les points essentiels de notre travail et aborder la problématique de
l'étude, en présentant un rapport qui analyse différents aspects de la nouvelle génération de pare-feux
(NGFWs).

Cœur du mémoire
1 Spéci�ications techniques :

1.1 Contraintes liées au projet:

La solution du pare-feu de la nouvelle génération (FortiGate) doit répondre aux exigences suivantes :

1.1.1 Contraintes techniques :

7
  Nécessite peu de ressources

 Facilité de mise en place et d’utilisation

 Un simulateur de réseau

1.1.2 Contraintes temporelles :

Le projet doit commencer 03 avril 2022 et doit prendre fin au plus tard le 03 Juillet 2022

Livrable :
Tableau 1: Livrables

Livrable Description

Logiciel EVE-NG Simulateur de réseau EVE-NG

Maquette Schéma du réseau contenant les différents services

réseaux

Rapport du projet de fin d’étude Rapport final détaillant la mise en œuvre du pare -
feu FortiGate

CD de la configuration du pare -feu de la CD contenant la configuration du pa re-feu

nouvelle génération (FortiGate) FortiGate et les différents Outils utilisés.

Mise en place du projet :

1 Etude et analyse de l’existant :

1.1 Architecture logique de la faculté (Architecture ancienne)

8
 Figure 0.1:Architecture logique de la faculté

1.2 Problématique :
Dans le cas existant, chaque équipement connecté à internet est susceptible d'être victime d'une
attaque d'un pirate informatique. Cette schéma va faciliter pour le pirate de scruter le réseau (en
envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à
chercher une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

En effet, notre problématique présente un intérêt professionnel pour la faculté, les PME et les
entreprises multi-sites. Ce propos est justifié dans la mesure où nous allons contribuer à apporter un
plus au sens de la réduction des risques liés à la sécurité de l’information.

Définir la pratique d’une protection avancée contre les menaces favorisant une démarche de
performance.

9
2 Mise en place de la solution :

Figure 0.1:Mise en place d’un pare-feu de la nouvelle génération NGFW (FortiGate)

En général, la plupart des organisations et même des individus envisagent d'utiliser des pare-feu
pour diverses raisons évidentes. Tant que vous souhaitez une bonne protection contre les cybermenaces,
vous pouvez utiliser un pare-feu comme bouclier.

Il peut vous protéger contre différents types de menaces qui se cachent sous diverses formes sur
Internet. Par exemple, l'un des principaux avantages du pare-feu est la protection qu'il offre contre les
pirates. Fait intéressant, de nombreuses entreprises ne sont pas conscientes des avantages des pare-feu.

Les pare-feux NGFW milieu de gamme FortiGate offrent des performances optimales, une
sécurité multicouche et une visibilité plus précise, autant d'atouts pour se protéger plus simplement des
cyber-attaques. Les pare-feux FortiGate, conçus avec des processeurs de sécurité dédiés, visent
l'excellence en matière de protection contre les menaces et de sécurité du trafic SSL.

En apportant une visibilité granulaire sur les applications, les utilisateurs et les objets connectés,
ces appliances vous aident à identifier les incidents de manière rapide et intuitive. Les services de
sécurité proposés par les FortiGuard Labs offrent une veille permanente sur les menaces et protègent les
organisations contre :

• Les exploits et les malwares chiffrés.

• Les sites web malveillants et les botnets.
• Les ransomwares et les attaques inconnues.

10
Les pare-feux FortiGate milieu de gamme offrent :

• Une sécurité testée et validée par NSS Labs, AV Comparative et Virus Bulletin
• Les performances les plus élevées en matière de protection contre les menaces et d'inspection
des flux SSL
• Une visibilité en profondeur et un contrôle granulaire des applications, des utilisateurs et des
objets connectés
• Une sécurité multicouche plus simple
• Une interface unifiée, pour une administration et un reporting centralisés

3 Objectifs :
• Souligner l’importance de mettre en place un pare-feu pour protéger la totalité du trafic réseau
• Analyser les performances du pare-feu ASA
• Montrer la valeur ajoutée des firewalls de la nouvelle génération.

4 Contexte du projet :
Bien que le pare-feu ait rendu de grands services à la cyber sécurité, il s’agit d’une technologie
dépassée, qui représente une architecture obsolète. Non seulement il date et multiplie les fonctionnalités,
mais il repose en outre sur des notions de confiance archaïques. La mise en place d’un pare-feu suggère
qu’un côté de la connexion est plus sûr que l’autre. Or, rien n’est moins vrai avec le trafic Internet qui
circule des deux côtés. Cette confiance implicite peut même présenter plus de risques qu’elle n’en réduit.

Le pare-feu voulait que les entreprises fassent confiance au réseau et aux adresses IP alors que,
dans le monde actuel, où l’on travaille en tout lieu, les contrôles basés sur le périmètre, comme le
parefeu, deviennent rapidement obsolètes. Les pare-feux NGFW milieu de gamme FortiGate offrent des
performances optimales, une sécurité multicouche et une visibilité plus précise, autant d'atouts pour se
protéger plus simplement des cyber-attaques.

11
5 Méthodologie de travail :

5.1 Plani�ication :

Dans cette partie, nous allons se focaliser sur les points de base pour introduire le présent travail,
pour y arriver, nous parlerons des travaux antérieurs concernant le pare-feu de nouvelle génération
(FortiGate). Permettez-nous de vous rappeler que les informations utilisées dans notre travail
proviennent des recherches sur Internet, des documents et mémoires écrits sur le sujet. Notre travail de
recherche s'est découpé comme suit :

Tableau 2:Etapes de déroulement du projet.

ETAPE DESCRIPTION

1ére étape Documentation et apprentissage

2éme étape Spécification et analyse des besoins

3éme étape Conception

4éme étape Développement

5éme étape Teste et validation

6éme étape Réaction de rapport

12
Introduction au terme Pare-feu

Les données informatiques des entreprises se révèlent précieuses et rien ne leur est épargné en
matière de menaces. Loin de ne concerner que les grands groupes, les petites et moyennes entreprises
figurent dorénavant parmi les cibles privilégiées des pirates informatiques. Ainsi, près d’un tiers des
TPE et PME ont fait l’objet de cyber-attaques au cours de l’année 2020. Et parmi celles-ci, près de 70
% ont vu leur activité déstabilisée suite à la perte de données indispensables. Parmi les solutions de
sécurisation, un pare-feu s’avère indispensable pour protéger son système d’information.
Aujourd’hui, PME et TPE de tous les secteurs sont les premières concernées par les cyberattaques.
Selon l’éditeur de solutions Kaspersky Lab, une attaque par ransomware a lieu toutes les 40 secondes
dans le monde, 42 % des attaques de ce type concernent les petites et moyennes entreprises, 67 % des
TPE et PME concernées par ces cyber-attaques ont perdu des données indispensables pour leur activité.
Les petites et moyennes entreprises sont devenues la cible des cybercriminels car souvent peu ou mal
protégées pour faire face aux attaques. De nombreuses solutions existent pour améliorer la sécurité
informatique (monitoring, antivirus, solution de gestion des accès…) et le pare-feu est un élément
capital pour la protection.
Cisco, plus connu pour ses routeurs, propose des firewalls matériels nommés PIX (Private Internet
eXchange). Ces firewalls sont des plateformes complètes basées sur un noyau propriétaire de Cisco. Ce
sont des firewalls à état stateful.
Le pare-feu est un dispositif de sécurité qui joue le rôle d’un filtre entre le réseau local et tout
autre réseau externe. Lorsque les employés d’une entreprise sont connectés entre eux, ils constituent un
réseau privé. Ce dernier inclut les postes de travail, les serveurs internes et les imprimantes dans
l’entreprise. Quand un employé se connecte sur Internet par contre, il accède à un réseau public qui peut
introduire énormément de risques pour la société.
Le rôle du pare-feu est de servir de barrière afin de protéger le réseau des dangers externes :
virus, attaques par ‘’cheval de Troie’’, divulgation non autorisée d’informations sensibles, suppression
non autorisée de fichiers importants…etc.

13
1 Fonctionnement du pare-feu

Figure 0.1:Pare-feu passerelle entre LAN et WAN.

Jusqu'à ces dernières années, le pare-feu était considéré comme un des composants indispensables
de la sécurité d'un réseau informatique (il perd en importance que les communications basculent vers le
HTTP sur SSL, court-circuitant tout filtrage). Il permet d'appliquer une politique d'accès aux ressources
réseau (serveurs).

1.1 Comment fonctionne un pare-feu ?

Sa mission est de contrôler le flux d’informations qui circule entre votre ordinateur, votre réseau
et Internet. Pour cela, le pare-feu examine l’ensemble de ces informations et évalue si elles sont
conformes à ses règles de filtrage. Selon qu’elles se révèlent l’être ou non, l’accès à votre ordinateur
leur sera autorisé ou refusé. Il est donc efficace aussi pour empêcher les vols d’informations et les autres
types d’intrusion. Lorsqu’il est situé au périmètre d’un réseau, le pare-feu offre cependant une protection
de bas niveau. Il est important d’avoir aussi un antivirus.

Les règles de filtrage du pare-feu sont fixées par l’éditeur mais aussi par vous-même si vous
souhaitez en ajouter. Ces règles permettent au pare-feu de :

• Sélectionner des données confidentielles (codes de CB, mots de passe, etc.)

• Empêcher des sites web d’avoir accès à certaines de vos informations personnelles (adresse
mail, pays de résidence, etc.)

14
 • Interdire aux sites que vous visitez de déposer des cookies et autres éléments sur votre appareil
pour tracer votre activité sur Internet.

Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents
niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion
basé sur le principe du moindre privilège.
Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de
sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance
qu'on leur porte.
La zone DMZ (Zone démilitarisée) est une Zone qui contient des serveurs accessibles Depuis
Internet et le LAN :

Figure 0.2: DMZ

1.2 Avantages d’utilisation du pare-feu :

 Protection des informations privées: définissez les utilisateurs du réseau et les informations que
chacun d'eux obtiendra.
 Optimisation des accès: définissez directement les protocoles à utiliser.
 Protection contre les intrusions: protège contre les intrus externes en limitant l'accès au réseau.
 Enfin le pare-feu permet de relâcher les contraintes de mise à jour rapide de l'ensemble d'un
parc en cas de vulnérabilité sur un service réseau : il est possible de maintenir une certaine
protection des équipements non vitaux au prix de la dégradation du service avec la mise en place
d'un filtrage.

15
1.3 Inconvénients d’utilisation du pare-feu :
 Il ne protège pas contre les attaques qui ne passent pas par le pare-feu.
 Il ne protège pas les menaces et les attaques des utilisateurs négligents.
 Il ne protège pas contre la copie de données importantes en cas d'accès.

1.4 Le �iltrage
Un pare-feu fonctionne sur le principe du filtrage de paquets (. Il analyse les en-têtes de chaque
paquet de données (datagramme) échangé entre une machine du réseau interne et une machine
extérieure.
Selon chaque équipement, des informations sont extraites des flux réseaux depuis une ou
plusieurs des couches 2 à 7 du modèle OSI comparées à un ensemble de règles de filtrage. Un état
peut être mémorisé pour chaque flux identifié, ce qui permet en outre de gérer la dimension
temporelle avec un filtrage en fonction de l'historique du flux.

• Le filtrage simple de paquets : il examine les paquets de manière isolée sans

connaître son contexte.

Lorsqu’un paquet passe par ce type de filtrage, son adresse source, sa destination, son protocole
et son numéro de port de destination sont vérifiés. Il fonctionne principalement sur la couche réseau du
modèle de référence OSI. Il examine chaque paquet indépendamment et ne sait pas si un paquet donné
fait partie d’un flux de trafic existant. Ils sont efficaces, mais comme ils traitent les paquets de manière
isolée, ils sont vulnérables aux usurpations d’adresse IP et ont donc été largement remplacés par les
filtrages de paquets à état.

• Le filtrage de paquets à état (dynamique) : il examine le trafic et détermine si un

paquet est lié à un autre.

Le pare-feu de filtrage de paquets à état garde la trace de toute connexion ouverte dans un
tableau. Lorsqu’un nouveau paquet arrive, il compare les informations contenues à la connexion
ouverte. S’il fait partie d’une connexion existante, il laisse passer, sinon, il est examiné selon les règles
d’un nouveau paquet. Ce type de pare-feu fonctionne sur une période précise et contrôle le flux entrant
et sortant. Ils sont très efficaces, mais vulnérables à certaines attaques comme les attaques par déni de
service.

• Le filtrage applicatif (pare-feu de type proxy) : il inspecte les paquets au niveau de

la couche application du modèle de référence OSI

16
 Contre les attaques de réseau de plus en plus nombreuses, il devint évident de les protéger au
niveau de la couche d’application, car les pare-feux de filtrage de paquets, et de filtrage de paquets à
état ne peuvent pas distinguer les données et les trafics malveillants encapsulés dans un trafic de
protocole apparemment valide. Les proxys peuvent, eux, faire la distinction. C’est une approche
beaucoup plus fine et efficace. Un serveur proxy est une machine servant d’intermédiaire entre les
appareils d’un réseau et d’un autre réseau. Il permet de filtrer les logiciels malveillants et certains
contenus web indésirables.

• Le NGFW ou Next Generation Firewall : il utilise une approche multicouche pour

intégrer les fonctionnalités de pare-feu d’entreprise à un système de prévention des
intrusions (IPS) et au contrôle des applications.

Les connexions étant de plus en plus complexes (de serveurs à serveurs et non plus de client à
serveur), les pare-feux doivent s’architecturer différemment. Ce changement a amené certains experts
de la cyber sécurité à prévenir que, si les pare-feux ont encore un rôle important à jouer dans la sécurité
réseau, les réseaux modernes ont tellement de points d’entrée et différents types d’utilisateurs qu’un
accès de contrôle et de sécurité plus fort est indispensable.

Ce sont les pare-feux de nouvelle génération (NGFW). Ils intègrent 3 actifs clé : les
fonctionnalités d’un pare-feu traditionnel, la connaissance des applications et un IPS. Ils apportent une
couche supplémentaire de contrôle au processus de prise de décision du pare-feu.

Ils combinent les fonctionnalités classiques avec les fonctionnalités de qualité de service (QoS)
et d’autres que l’on ne retrouve pas dans les produits pare-feu classiques. Ces produits incluent
l’inspection Secure Sockets Layer (SSL) et Secure Shell (SSH), l’inspection approfondie des paquets
(DPI) et la détection des logiciels malveillants.

Les listes de contrôle d’accès (ACL) :

Access Control List (ACL), liste de contrôle d'accès en désigne en sécurité informatique en
réseau, une liste des adresses et ports autorisés ou interdits par un pare-feu. Une ACL est une liste
d’Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits d'accès
à une personne ou un groupe.

Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autorisés ou
interdits par le dispositif de filtrage. Les Access Control List sont divisés en trois grandes catégories,
l'ACL standard, l'ACL étendue et la nommée-étendue.

17
• L'ACL standard ne peut contrôler que deux ensembles : l'adresse IP source et une partie de l'adresse
IP source, au moyen de masque générique.

• L'ACL étendue peut contrôler l'adresse IP de destination, la partie de l'adresse de destination (masque
générique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP, etc.), le port source et de destination,
les flux TCP, IP TOS (Type of service) ainsi que les priorités IP.

• L'ACL nommée-étendue est une ACL étendue à laquelle on a affecté un nom.

2 Les deux types de pare-feu

Deux types de firewall existent : le pare-feu matériel et le pare-feu logiciel. En fonction de la

situation, il est possible d’installer l’un ou l’autre, ou de cumuler les deux pour accroître la sécurité du
réseau.

Le pare-feu matériel. Ce type de firewall est installé à l’entrée et à la sortie du réseau local. Son
installation est généralement plus coûteuse que le firewall logiciel, mais il garantit davantage de
protection en termes de sécurité. Cette solution est notamment privilégiée pour les réseaux comportant
plusieurs ordinateurs, par exemple dans le cadre de sociétés privées (le pare-feu matériel se révèle alors
moins onéreux qu’un pare-feu logiciel, et il assure une plus grande protection pour le réseau).
Le pare-feu logiciel. Installé directement sur l’ordinateur, le pare-feu logiciel joue un rôle
similaire au pare-feu matériel mais de façon locale. Il contrôle les paquets de données entrants et sortants
et peut les bloquer si nécessaire. Son prix est moins élevé qu’un pare-feu matériel, et son utilisation est
privilégiée lorsqu’il s’agit de protéger uniquement un ordinateur.

ASA Firewall

En 2015, Cisco a dévoilé l’Adaptive Security Appliance (ASA) 5500, un dispositif de sécurité
intégré et le dernier d’une longue gamme d’appareils unifiés de gestion des menaces.

18
 Début mai, Cisco a dévoilé sa nouvelle ‘’famille d’appareils multifonctions pour la défense des
menaces adaptatives’’ lors de la conférence et de l’exposition Interop à Las Vegas. Baptisée Adaptive
Security Appliance (ASA) 5500, la nouvelle offre combine de nombreuses fonctions de sécurité,
auparavant disponibles uniquement sous forme de produits distincts, en une seule boîte.

Le fait que le dernier appareil de Cisco effectue plusieurs fonctions n’est pas nouveau; les routeurs
Cisco sont en vedette la détection et la prévention des intrusions, les capacités de pare-feu et les services
VPN depuis un certain temps.

1 Les caractéristiques ASA CISCO :

La gamme Adaptive Security Appliance (ASA) 5500 comprend des solutions de sécurité
multifonctions permettant de bloquer les attaques avant qu'elles ne se répandent par le réseau.

La gamme ASA 5500 contrôle le trafic des applications et du réseau, assure une connectivité VPN
flexible et réduit les coûts opérationnels, la complexité et les déploiements généralement associés à un
tel niveau de sécurité.

La série ASA 5500 a les modèles suivants :

• Cisco ASA 5505 • Cisco ASA 5510

• Cisco ASA 5520

• Cisco ASA 5540

• Cisco ASA 5550

• Cisco ASA 5580-20

• Cisco ASA 5580-40

Elle s'inscrit dans la phase Adaptive Threat Defense de la stratégie Self-Defending Network
(SDN) de Cisco, et comprend les modèles ASA 5510, 5520 et 5540. Conçus pour couvrir les besoins
des entreprises de toute taille, ces innovations offrent une administration unifiée et des capacités
d'évolution pour le fonctionnement de services simultanés.

19
 Il est ainsi possible d'utiliser simultanément plusieurs opérations de services de sécurité haute
performance sans augmenter la complexité de l'ensemble.
Les ASA 5500 apportent des services de défense adaptative contre les menaces et comprennent des
défenses Anti-X, la sécurité d'application et le confinement ainsi que le contrôle réseau. Elles
assurent ainsi une protection unifiée et approfondie des ressources critiques. Les défenses réseau Anti-
X protègent contre les vers, les virus, les pirates, le spyware et l'adware.
Elles assurent une micro-inspection du trafic réseau de même que la prévention des intrusions et des
attaques par déni de service, la mise en corrélation des événements de sécurité se faisant au niveau de
l'appliance.

La gamme Cisco ASA 5500 Series offre de nombreux avantages en termes de coûts et d'efficacité
de déploiement de sécurité. Cela inclut des services d'extensibilité fournis par des modules logiciels et
matériels, une plate-forme de standardisation depuis plusieurs emplacements, un fonctionnement
simplifié grâce à un service de gestion et de surveillance commun à de nombreux services de sécurité
et une plus grande simplicité de localisation des pannes.

Serveur de sécurité adapta�f Cisco Asa 5510 :

Le serveur de sécurité adaptatif Cisco ASA 5510 propose des services évolués de réseau et de
sécurité aux PME et aux filiales et agences des grandes entreprises, sous la forme d’une solution
économique et facile à déployer.
Tableau 3:Fonctionnalités et capacité de la plate-forme Cisco ASA 5510

Fonction Description

Débit du pare-feu Jusqu’à 300 Mbits/s

Débit de protection simultanée contre les Jusqu’à 150 Mbits/s avec l’AIP-SSM-10
menaces (pare-feu + services IPS)

Débit du VPN Jusqu’à 170 Mbits/s

Connexions 50 000 ; 130 000
Homologues VPN IPSec 250
Niveaux de licence des homologues VPN SSL 10, 25, 50, 100 ou 250
Contextes de sécurité Non pris en charge
Interfaces 3 ports Fast Ethernet + 1 port de gestion ; 5 ports
Fast Ethernet
Interfaces virtuelles (VLAN) 0 ; 25
Haute disponibilité Non prise en charge ; mode actif/veille

20
Serveur de sécurité adapta�f Cisco Asa 5520 :

Le serveur de sécurité adaptatif Cisco ASA 5520 fournit des services de sécurité à haute
disponibilité de type actif/actif et une connectivité Gigabit Ethernet pour les réseaux des PME, dans
une solution modulaire ultraperformante.

Tableau 4: Fonctionnalités et capacité de la plate-forme Cisco ASA 5520

Fonction Description
Débit du pare-feu Jusqu’à 450 Mbits/s
Débit de protection simultanée contre les Jusqu’à 225 Mbits/s avec l’AIP-SSM-10
menaces (pare-feu + services IPS) Jusqu’à 375
Mbits/s avec l’AIP-SSM-20
Débit du VPN Jusqu’à 225 Mbits/s
Connexions 280 000
Homologues VPN IPSec 750
Niveaux de licence des homologues VPN SSL 10, 25, 50, 100, 250, 500 ou 750
Contextes de sécurité Jusqu’à 20

Serveur de sécurité adaptatif Cisco Asa 5540 :

Le serveur de sécurité adaptatif Cisco ASA 5540 fournit des services de sécurité hautes
performances et haute densité, avec une haute disponibilité de type actif/actif et une connectivité Gigabit
Ethernet. Il est destiné aux réseaux des grandes et moyennes entreprises et des fournisseurs d’accès,
dans une solution modulaire et fiable. Grâce à quatre interfaces Gigabit Ethernet et à la prise en charge
de 200 VLAN, le Cisco ASA 5540 permet aux entreprises de segmenter leur réseau en plusieurs zones,
pour une plus grande sécurité

21
 Tableau 5:Fonctionnalités et capacité de la plate-forme Cisco ASA 5540

2 Evolution ASA Firewall :

Cisco ASA, la gamme de dispositifs de sécurité réseau de
Cisco lancée en mai 2005 qui a succédé à trois gammes
existantes de produits Cisco populaires :

• Cisco PIX , qui fournissait des fonctions de pare -feu

et de traduction d'adresses réseau (NAT), a cessé sa
vente le 28 juillet 2008.
• Cisco IPS 4200 Series, qui fonctionnait comme
système de prévention des intrusions (IPS).
• Les concentrateurs de la gamme Cisco VPN 3000, qui fournissaient un réseau privé virtuel
(VPN).

22
ASA-X (Adaptive Security Appliance – X) a été introduit en février 2012

• Successeur de l’ASA

• ASA traditionnel avec FirePower Services en

haut

• Blocage géo IP

• Filtrage des URL

• IPS

• AMP

• Séries : 5506-X ,5512-X ,5545-X, 5585-X

ASA-SM (Adaptive Security Appliance –Service Module).

• Toutes les fonctions d’ASA

• Pas de FirePower.

• Plateforme prise en charge: Cisco c6500

series

• Gestion via : CLI or GUI (ASDM)

ASA-V (Adaptive Security Appliance –Virtual).

• Version virtuelle d’ASA

• ASA-v ne prend pas en charge les fonctions ASA suivantes : Clustering / Multiple
context mode / Active / Active failover / Etherchannels / Shared AnyConnect Premium Licences

23
 • Plateformes prises en charge: VMware vSphere / ESXI 5.5 and 6.0 / QEMU /KVM /
AWS / Azure

Modules de services de sécurité :

La gamme Cisco ASA 5500 permet aux réseaux de franchir un nouveau palier en matière de
sécurité intégrée, grâce à son architecture matérielle multiprocesseurs et de services AIM exceptionnels.
Cette architecture permet aux entreprises d’adapter et d’élargir le profil de services de sécurité hautes
performances de la gamme Cisco ASA 5500. Les clients peuvent ajouter des services de sécurité hautes
performances supplémentaires à l’aide des modules de services de sécurité associés à des coprocesseurs
de sécurité dédiés. Ils peuvent également personnaliser les règles propres aux flux à l’aide d’une
infrastructure extrêmement souple de définitions des règles. Cette architecture adaptable permet aux
entreprises de déployer de nouveaux services de sécurité dès qu’elles en ont besoin.

 Module adaptatif de prévention et d’inspection :

Le module Cisco ASA 5500 AIP-SSM est une solution réseau en ligne conçue pour
identifier avec précision, classifier et bloquer le trafic malveillant, avant qu’il n’entraîne des
répercussions sur votre l’activité. Utilisant le logiciel IPS pour Cisco ASA 5500, le module AIP-
SSM combine les services de prévention en ligne et des technologies innovantes. Cela permet
une confiance totale vis-à-vis de la protection offerte par la solution IPS déployée, sans crainte
de suppression du trafic légitime. Le module AIP-SSM propose également une protection
complète du réseau grâce à sa capacité exceptionnelle à collaborer avec d’autres ressources de
sécurité, générant une approche proactive de la protection du réseau. Il utilise des technologies
précises de prévention en ligne, qui permettent de prendre des mesures préventives vis-à- vis
d’un panel plus vaste de menaces, sans risque de suppression du trafic légitime. Ces
technologies exceptionnelles génèrent une analyse intelligente, automatisée et contextuelle des
données, permettant de s’assurer que les entreprises exploitent au maximum leurs solutions de
prévention des intrusions. Le module AIP-SSM utilise également une identification des
menaces liées à l’attaque multi vectrice pour protéger le réseau contre les violations de règles,
l’exploitation des vulnérabilités et les activités anormales, grâce à une inspection minutieuse du
trafic sur les couches 2 à 7. Le tableau 5 détaille les deux modèles AIP-SSM proposés, ainsi que
leurs caractéristiques physiques et leurs performances respectives.

 Module de contrôle et de sécurité du contenu :

24
 Le module CSC-SSM de la gamme Cisco ASA 5500 offre le meilleur service du marché
en matière de contrôle du contenu et de protection contre les menaces à la périphérie d’Internet.
Cette solution facile à administrer comporte des fonctions complètes d’antivirus, d’anti-
logiciels espions, de blocage de fichiers, d’Anti-spam, d’anti-phishing, de blocage et filtrage
d’URL et de filtrage du contenu. Le module CSC-SSM comprend les fonctionnalités de sécurité
performantes de la gamme Cisco ASA 5500, offrant aux clients une protection supplémentaire
et le contrôle du contenu de leurs communications d’entreprise. Ce module procure une
souplesse et un choix supplémentaire vis-à-vis du fonctionnement et du déploiement des
serveurs de la gamme Cisco ASA 5500. Les options de licence permettent aux entreprises de
personnaliser les fonctionnalités conformément aux besoins de chaque groupe, grâce à des
fonctions incluant des services de contenu évolués et une capacité utilisateur accrue. Le module
CSC-SSM est livré avec un ensemble de fonctions par défaut offrant des services d’antivirus,
d’anti-logiciels espions et de blocage des fichiers. Une licence haut de gamme «Plus» est
disponible pour chaque module CSCSSM, entraînant une majoration du tarif. Cette licence
permet de bénéficier de fonctionnalités d’Anti-spam, d’antiphishing, de blocage et de filtrage
d’URL et de contrôle du contenu. Pour augmenter la capacité utilisateur du module CSC-SSM,
les entreprises peuvent acheter et installer des licences utilisateur supplémentaires. Le tableau
ci-dessous contient la liste détaillée de ces options, que vous retrouverez également dans la fiche
technique du module CSC-SSM.

 Module Gigabit Ethernet 4 ports Cisco ASA :

Le module de services de sécurité Gigabit Ethernet 4 ports de Cisco ASA permet aux
responsables de sécurité de mieux segmenter le trafic réseau et de créer des zones de sécurité
séparées, chacune étant associée à son propre ensemble de règles de sécurité personnalisées.
Ces séparations peuvent aller d’Internet aux sites/services internes d’entreprise, en passant par
les zones démilitarisées (DMZ). Ce module ultraperformant prend en charge les options de
connexion cuivre et optique via la sélection des quatre ports RJ-45 cuivre 10/100/1000 standard
ou des quatre ports compacts enfichables (SFP, Small Form-Factor Pluggable) pour le SFP
optique Gigabit Ethernet. Il offre une grande flexibilité pour la connectivité des centre de
données, des campus ou à la périphérie de l’entreprise. Il est possible de configurer un mélange
de types de port cuivre ou optique (jusqu’à 4 ports). Ce module étend le profil d’E/S de la
gamme Cisco ASA 5500 à un total de cinq ports Fast Ethernet et quatre ports Gigabit Ethernet
sur le Cisco ASA 5510, huit ports Gigabit Ethernet et un port Fast Ethernet sur les serveurs
Cisco ASA 5520 et 5540.

25
New Generation Firewall (NGFW)

1 Qu’est-ce qu’un pare-feu de nouvelle génération

Un pare-feu de nouvelle génération (NGFW) est un dispositif de sécurité réseau qui fournit des
fonctionnalités au-delà d’un pare-feu traditionnel et stateful. Bien qu’un pare-feu traditionnel assure
généralement une inspection étatique du trafic réseau entrant et sortant, un pare-feu de nouvelle
génération comprend des fonctionnalités supplémentaires telles que la sensibilisation et le contrôle des
applications, la prévention intégrée des intrusions et l’intelligence de menace fournie par le Cloud.

Un pare-feu traditionnel permet une inspection étatique du trafic réseau. Il permet ou bloque le
trafic en fonction de l’état, du port et du protocole, et filtre le trafic en fonction des règles définies par
l’administrateur.

Un pare-feu de nouvelle génération (NGFW) le fait, et bien plus encore. En plus du contrôle
d’accès, les NGFW peuvent bloquer les menaces modernes telles que les logiciels malveillants avancés
et les attaques de couche d’application. Selon la définition de Gartner, un pare-feu de nouvelle
génération doit comprendre :

• Capacités standard de pare-feu comme l’inspection stateful.

• Prévention intégrée des intrusions.
• Sensibilisation et contrôle des applications pour voir et bloquer les applications risquées.
• Sources de renseignement sur les menaces.
• Mettre à niveau les chemins pour inclure les flux d’informations futurs.
• Techniques pour faire face à l’évolution des menaces à la sécurité.

26
 Les meilleurs pare-feu de nouvelle génération offrent cinq avantages essentiels aux organisations,
des PME aux entreprises.

• Prévention des atteintes et sécurité avancée.

• Visibilité complète du réseau.
• Options flexibles de gestion et de déploiement.
• Temps le plus rapide à la détection.
• Automatisation et intégration de produits.

1.1 Justi�ication du choix de FortiGate :

Magic Quadrant Gartner :

Gartner n’approuve aucun fournisseur, produit ou service décrit dans ses publications de
recherche, et ne conseille pas aux utilisateurs de la technologie de sélectionner uniquement les
fournisseurs ayant les cotes les plus élevées ou d’autres désignations. Les publications de recherche de
Gartner se composent des opinions de l’organisation de recherche de Gartner et ne doivent pas être
interprétées comme des déclarations de fait. Gartner décline toutes les garanties, exprimées ou
implicites, à l’égard de cette recherche, y compris toute garantie de marchandité ou d’aptitude à des fins
particulières.

Les pare-feux réseau évoluent pour sécuriser les nouveaux cas d’utilisation, y compris le Cloud
et le passage soudain à une main-d’œuvre distante croissante. Les fournisseurs de pare-feu ont tardé à
répondre à la croissance des réseaux hybrides en raison d’un manque d’offres de produits appropriées
et d’un soutien connexe.

27
 Figure 0.1:Magic Quadrant for Network Firewalls

Les pare-feux réseau FortiGate, également connus sous le nom de pare-feu de nouvelle génération
ou NGFWs, permettent l’approche de réseautage axée sur la sécurité, qui protège n’importe quel bord
à n’importe quelle échelle. En utilisant les pare-feux réseau FortiGate dans le cadre du tissu de sécurité
Fortinet, les clients réalisent les principaux avantages suivants :

Gérer les risques opérationnels et de sécurité. Maintenez les opérations en cours d’exécution avec
une visibilité totale et une protection de première race sur toute la surface d’attaque.

Réduisez les coûts et la complexité. Obtenez le meilleur TCO et la meilleure défense en profondeur
grâce à la segmentation et à l’accès fiable aux applications.

28
Améliorer l’efficacité opérationnelle. Rationaliser les opérations grâce à des workflows simplifiés à
l’échelle de l’entreprise à l’aide d’un seul volet de gestion du verre.

1.2 Certi�ication ICSA labs :

L’objectif des tests de certification ICSA Labs est d’accroître la confiance des utilisateurs et des
entreprises dans les produits et solutions de sécurité de l’information. Depuis près de 30 ans, ICSA Labs,
une division indépendante de Verizon, fournit des tests et des certifications
de produits de sécurité crédibles, indépendants et tiers pour plusieurs des
meilleurs développeurs de produits de sécurité et fournisseurs de services au
monde. Les entreprises du monde entier comptent sur ICSA Labs pour définir
et appliquer des critères objectifs de test et de certification mesurant la
sécurité, la conformité et la performance des produits.

Après de rigoureux tests de sécurité du pare-feu chez ICSA Labs, le

FortiGate VM04 a satisfait à toutes les exigences de test de sécurité des
normes de base d’ICSA Labs et d’ICSA Labs. Par conséquent, le produit FortiGate VM04 et toute la
gamme de produits Fortinet Consolidated Security Platforms ont obtenu la certification ICSA Labs
Firewall après avoir satisfait à toutes les exigences de test.

29
2 - DEFENSE IN DEPTH APPROACH :

Defense in Depth (DiD) est une approche de la cybersécurité dans laquelle une série de
mécanismes défensifs sont superposés afin de protéger des données et des informations précieuses. Si
un mécanisme échoue, un autre intervient immédiatement pour contrecarrer une attaque. Cette

30
approche à plusieurs niveaux avec redondances intentionnelles augmente la sécurité d’un système dans
son ensemble et s’attaque à de nombreux vecteurs d’attaque différents. Defense in Depth est
communément appelé « l’approche du château » parce qu’il reflète les défenses superposées d’un
château médiéval. Avant de pouvoir pénétrer dans un château, vous êtes confronté aux douves,
remparts, pont-pont, tours, remparts et ainsi de suite.

Le monde numérique a révolutionné notre façon de vivre, de travailler et de jouer. Cependant,

c’est un monde numérique qui est constamment ouvert à l’attaque, et parce qu’il y a tant d’attaquants
potentiels, nous devons nous assurer d’avoir la bonne sécurité en place pour empêcher les systèmes et
les réseaux d’être compromis. Malheureusement, il n’existe pas de méthode unique qui puisse protéger
avec succès contre chaque type d’attaque. C’est là qu’une architecture de défense en profondeur entre
en jeu.

Les Éléments de Defense In Depth:

Avec un paysage sans cesse croissant de menaces à la sécurité à affronter, les sociétés de sécurité
développent continuellement de nouveaux produits de sécurité pour protéger les réseaux et les systèmes.
Voici quelques-uns des éléments de sécurité les plus courants trouvés dans une stratégie Defense in
Depth :

 Sécurité du réseau Contrôles:

La première ligne de défense lors de la sécurisation d’un réseau est l’analyse du trafic réseau.
Les pare-feux empêchent l’accès à des réseaux non autorisés et permettront ou bloqueront le trafic en
fonction d’un ensemble de règles de sécurité. Les systèmes de protection contre les intrusions
fonctionnent souvent en tandem avec un pare-feu pour identifier les menaces potentielles à la sécurité
et y répondre rapidement.

 Logiciel an�virus

Les logiciels antivirus sont essentiels à la protection contre les virus et les logiciels malveillants.
Cependant, de nombreuses variantes reposent souvent fortement sur la détection basée sur la signature.
Bien que ces solutions offrent une forte protection contre les logiciels malveillants, les produits basés
sur la signature peuvent être exploités par des cybercriminels intelligents. Pour cette raison, il est sage
d’utiliser une solution antivirus qui inclut des fonctionnalités heuristiques qui scannent les modèles et
l’activité suspects.

31
  Analyse de l’intégrité des données:

Chaque fichier sur un système a ce qu’on appelle un checksum. Il s’agit d’une représentation
mathématique d’un fichier qui montre la fréquence de son utilisation, sa source et qui peut être utilisé
pour vérifier contre une liste connue de virus et d’autres code malveillants. Si un fichier entrant est
complètement unique au système, il peut être marqué comme suspect. Les solutions d’intégrité des
données peuvent également vérifier l’adresse IP source pour s’assurer qu’elles proviennent d’une source
connue et fiable.

 Analyse comportementale:

Les comportements des fichiers et des réseaux fournissent souvent un aperçu pendant qu’une
violation est en cours ou s’est produite. Si l’analyse comportementale e !st activée, cela signifie que le
pare-feu ou les solutions de protection contre les intrusions ont échoué. L’analyse comportementale
prend le relais et peut soit envoyer des alertes, soit exécuter des contrôles automatiques qui empêchent
une violation de continuer davantage.

 La meilleure première ligne de défense :

Comme mentionné précédemment, c’est le pare-feu qui fournit la première ligne de défense dans
la stratégie Defense in Depth de l’organisation. Pour cette raison, il est logique de choisir une solution
qui offre une gamme de fonctionnalités conçues pour se protéger contre un paysage de menaces en
constante évolution et les besoins changeants de l’entreprise moderne d’aujourd’hui.

Le pare-feu de nouvelle génération (NGFW) défend les organisations contre les logiciels
malveillants émergents et autres exploits qui menacent l’intégrité du réseau et des données. Avec NGFW
en place, on peut répondre aux incidents en quelques minutes, et non en quelques heures, et voir et
comprendre immédiatement ce qui se passe sur le réseau.

Etude de CAS : For�Gate–WebFilter

32
3 Présentation de Fortinet :

Fortinet conçoit et commercialise des logiciels, équipements et services de cyber sécurité tels que
des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux.

Fortinet est le leader mondial selon l'institut IDC dans le segment des Appliances UTM (Unified
Threat Management - solution de sécurité tout en un) avec plus de 16,8 % de part de marché dans le
monde.

Fortinet est le leader du marché en matière d'UTMs, offrant des solutions clefs en main qui
améliorent les performances, renforcent la sécurité et réduisent les coûts. Fortinet sécurise les réseaux
de plus de 125.000 clients à travers le monde. Les plus importantes organisations internationales
s'appuient sur la technologie Fortinet pour protéger leurs réseaux et données.

3.1 Historique :
Fortinet a été créée en 2000. 2004 a également marqué le début d’un litige récurrent entre Fortinet
et Trend Micro. Tout au long des années 2000, Fortinet a diversifié sa gamme de produits en y intégrant
des points d’accès WiFi, une technologie de sandbox (permet l'exécution de logiciel avec moins de
risques pour le système d'exploitation) et des solutions de sécurité de la messagerie électronique
notamment.

Selon Fortinet, Son premier programme à l’intention du réseau de distribution en octobre 2003.
Les produits FortiGate ont été distribués au Canada suivie par le Royaume-Uni. En 2004, Fortinet était

33
déjà présente, via ses bureaux, en Asie, en Europe et en Amérique du Nord. Le programme revendeurs
a été réorganisé en janvier 2006 sous le nom de « SOC in à BOX ».

En octobre 2005, une étude réalisée a révélé que les équipements Fortinet étaient utilisés pour
censurer Internet. Fortinet a déclaré que ses produits étaient vendus par des revendeurs tiers.

Fortinet a procédé à une refonte de son programme revendeurs en juillet 2013, en y intégrant des
offres de financement et d’autres services à l’intention des petits fournisseurs de services de sécurité
managés. Récemment, certains revendeurs se sont plaints que Fortinet était en concurrence avec ses
propres revendeurs, alors que l’entreprise affirme ne procéder à aucune vente directe.

Fortinet a créé la Cyber Thread Alliance en 2014 pour permettre aux fournisseurs de partager et
mettre en commun leurs données sur les menaces de sécurité. McAfee et Symantec ont rejoint l’alliance
cette même année. Fin 2015, des chercheurs en sécurité Fortinet ont démontré l’existence d’un piratage
de Fitbit via Bluetooth permettant d’accéder aux dispositifs synchronisés avec les produits de la marque.

En juin 2016, Fortinet a pris le contrôle d’AccelOps, un éditeur de logiciels de sécurité, de

surveillance et de traitement analytique, la société était avant tout connue pour ses produits SIEM
(Security Information and Event Management), des produits qui analysent les alertes et logs de sécurité
provenant d’équipements et de logiciels.

En 2020 l'acquisition d’OPAQ, contrairement aux autres fournisseurs de sécurité du Cloud,

Fortinet tiendra les promesses suivantes :

Le meilleur de l'évolutivité, des performances et de la sécurité par rapport à tout autre fournisseur
de sécurité dans le Cloud.

Une vaste suite intégrée de solutions de sécurité dans le Cloud offrant une véritable sécurité zero-
trust, contrairement aux autres fournisseurs de ZTNA qui laissent de nombreuses lacunes non protégées
sur la surface d'attaque.

Une solution ZTNA unique en son genre, avec une innovation continue en matière de sécurité à
l'échelle, qui s'appuie sur les compétences de pointe de Fortinet en matière de R&D La sécurité et le
réseau sont entièrement intégrés, y compris le SD-WAN de Fortinet, leader du secteur, ce qui renforce
l'approche de la société en matière de réseau Security-Driven.

L'offre ZTNA la plus conviviale du marché, qui reste fidèle à l'engagement continu de Fortinet
envers ses précieux partenaires.

34
4 L’approche Fortinet UTM :

Les systèmes de gestion unifiée des menaces (UTM ou Unified Threat Management) sont
actuellement les outils les plus couramment utilisés de l'arsenal de sécurité de l'information.

Le concept de gestion unifiée des menaces (UTM ou Unified Threat Management) est à la mode.
En effet, il propose de nombreuses technologies de sécurité intégrées sur une seule plate-forme et
fournies par un seul éditeur.

Tous les spécialistes conviennent que les entreprises, quelle que soit leur taille, doivent adopter
une solide stratégie de protection de leurs systèmes et données informatiques en utilisant différentes
technologies de sécurité. En effet, les entreprises doivent aujourd'hui faire face à un nombre sans
précédent des menaces persistantes avancées et des attaques mixtes (par exemple, les virus et les
chevaux de Troie, les téléchargements passifs des sites compromis, les injections SQL et autres attaques
sur les applications Web ou encore surveiller les communications fil).

En réponse à toutes ces menaces, les entreprises doivent être capables d'implémenter et de gérer
plusieurs technologies de sécurité, un défi difficile à relever. Une solution est de déployer plusieurs
produits de différents éditeurs. Toutefois, cette approche nécessite non seulement d'installer et d'intégrer
plusieurs solutions, mais aussi de se familiariser avec plusieurs consoles d'administration de plusieurs
éditeurs.

Une autre solution est de déployer un système de gestion unifiée des menaces, c'est-à-dire un
ensemble de technologies de sécurité intégrées et implémentées sur une seule plate-forme physique (ou
dans le Cloud), avec une seule interface d'administration.

On distingue quelques avantages du système UTM : Un déploiement simplifié avec beaucoup

moins d'étapes au niveau de l'installation et de la configuration. Et aussi une administration facilitée car
il n'y a qu'une seule console d'administration et un seul processus de mise à jour. En plus une résolution
plus rapide des problèmes car il y a moins de possibilités de conflits entre les modules et le support est
assuré par un seul et même éditeur. Et enfin des rapports intégrés qui regroupent toutes les données des
différentes technologies à un seul endroit.

For�OS :

35
 FortiOS, le système d’exploitation qui pilote les plateformes matérielles de Fortinet, utilise, en
tant que noyau, une version modifiée du noyau Linux ainsi que ext2 en tant que filesystem. L’interface
d’administration web utilise les moteurs jinja2 et django avec Python en backend.

En décembre 2003, Fortinet a sorti la version FortiOS 2.8 qui a intégré 50 nouvelles
fonctionnalités au système d’exploitation.

FortiOS est disponible sur les serveurs de support de Fortinet. Les principales nouvelles fonctions
sont les suivantes :

• Proxy et cache (pour les modèles équipées de disque dur).

• Optimisation WAN (compression de données, QoS).

• Filtrage au niveau des applications (yahoo mail, Google,mail..etc.)

• Filtrage des protocoles chiffrés (HTTPS par exemple).

• Prévention de la fuite de données réseaux (Data Leak Prevention).

En 2005, le projet [Link] révéla des preuves que Fortinet aurait utilisées du code sous
GPL sans respecter la licence et aurait utilisé des outils de cryptage pour cacher cette violation de la
licence. Cette violation aurait eu lieu dans le système FortiOS qui selon le projet [Link]
contenait du code du noyau de linux. Un tribunal émis une injonction contre l'entreprise lui interdisant
de vendre des produits jusqu'à ce qu'elle soit en accord avec les termes de la licence. Fortinet a été
obligée de fournir une version libre compatible avec la licence GPL de FortiOS.

5 Gamme des Produits :

Fortinet dispose de 8 certifications ICSA (Parefeux, Antivirus, Antispam, IDS/IPS, Filtrage URL,Vpn
SSL, Vpn IPSEC, FIPS-2). Elle est le seul acteur de la sécurité à en disposer autant. Elle maîtrise
l'ensemble des technologies proposées matérielles et logicielles.

• For�Gate :

Est une gamme de boitiers de sécurité UTM (équipement sécurité tout en un) comprenant les
fonctionnalités firewall, Antivirus, système de prévention d'intrusion (IPS), VPN (IPSec et SSL),
filtrage Web, Antispam et d'autres fonctionnalités: QoS, virtualisation, compression de données,
routage, policy routing, etc. Les récents modèles comportent des ports accélérés parASIC qui permettent

36
d'optimiser le trafic au niveau des ports. Les boitiers de cette gamme sont iso fonctionnels s'adaptant à
chaque besoin.

• For�Mail :

FortiMail Plate-forme de Sécurisation de Messagerie, fournit une analyse heuristique puissante et

flexible, de même que des rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail
met en oeuvre des techniques fiables et hautement performantes pour détecter et bloquer les mails non
désirés. Construit sur base des technologies primées FortiOS et FortiASIC, FortiMail utilise ses pleines
capacités d’inspection de contenu afin de détecter les menaces les plus avancées dans les courriers
électroniques. Ce boitier assure la protection de la messagerie avec les techniques Antivirus et Antispam
les plus pointues, mise en quarantaine et suppression de spam et leurs attachements. Le boitier Fortimail
peut se mettre en mode serveur pour jouer en même temps le rôle de serveur de messagerie et d'outil de
protection.

• For�Analyzer :

FortiAnalyser fournit aux administrateurs réseaux les informations nécessaires qui permettent d’assurer
une meilleure protection du réseau, une plus grande sécurité contre-attaques et vulnérabilités.
FortiAnalyser permet:

• De centraliser les journaux des équipements Fortinet (FortiGate, FortiMail, FortiManager et

FortiClient)
• De générer des centaines de rapports à partir des données collectées
• De scanner le réseau et générer des rapports de vulnérabilités sur l'activité réseaux et sécurité.
• De stocker les fichiers mis en quarantaine par FortiGate

FortiAnalyser peut également être configuré en réseau et capturer en temps réel le trafic intercepté.
FortiAnalyser est utilisé comme lieu de stockage où les utilisateurs peuvent accéder et partager des
données, telles que des rapports et journaux conservés sur son disque dur.

• For�Manager :

FortiManager est conçu pour répondre aux besoins des grandes entreprises responsables du déploiement
et du maintien de dispositifs de sécurité à travers un parc d’équipements FortiGate. FortiManager permet
de configurer et de contrôler les statuts de plusieurs boîtiers FortiGate et aussi de consulter leurs
journaux en temps réel et leurs historiques.

37
Une gamme de boitiers qui permettent la supervision et l'administration centralisée des équipements
Fortinet (FortiGate, FortiAnalyzer et FortiClient). FortiManager facilite le travail des administrateurs
en procédant à des mises à jour en masse : configuration, migration de firmware, mise à jour de
signatures, changement de règles de sécurité.

• For�Client:

Le logiciel FortiClient offre un environnement informatique sécurisé et fiable aux utilisateurs

d’ordinateurs de bureau et d’ordinateurs portables munis des systèmes d’exploitation les plus répandus
de Microsoft Windows et Smartphones. Il permet de protéger ces équipements contre les virus, les
intrusions, les spam, les spywares. En outre, il intègre un Firewall et un système de filtrage URL.

FortiClient offre de nombreuses fonctionnalités, y compris:

• Un accès VPN pour se connecter aux réseaux distants.

• Un antivirus temps réel.
• Une protection contre des modifications du registre Windows.
• Une recherche des virus sur tout ou partie du disque dur.

• For�DB :

FortiBD est une gamme de produits spécialisés dans la supervision et l'audit sécurité des bases de
données. Les produits de cette gamme permettent de renforcer la sécurité des bases de données et leur
conformité aux différents politiques de sécurité.

• For�Web:

FortiWeb est une nouvelle gamme annoncée en Fevrier 2009. Le premier produit de cette gamme le
FortiWeb 1000B se présente comme un boitier de sécurité spécialisé pour les applications Web et
XML. Ce boitier offre le partage de charge (load-balancing) entre plusieurs serveurs ainsi que
l'accélération du flux vers ces mêmes serveurs grâce à des processeurs spécialisés dans le chiffrement
et le déchiffrement des flux XML et SSL. Ce boitier représente le premier firewall applicatif de la société
Fortinet.

• For�Bridge:

38
FortiBridge permet d’assurer une continuité de connexion réseau même en cas de panne électrique d’un
système FortiGate. Le FortiBridge connecté en parallèle au FortiGate dévie le flux réseau lorsqu'il
détecte une panne sur le boîtier et reçoit alors le trafic pour éviter toute coupure réseau. On peut
programmer à l’avance les actions que FortiBridge mettra en place en cas de panne de courant ou de
panne dans le système FortiGate.

• For�Wifi (point d’accès autonome):

FortiWiFi intègre toutes les fonctionnalités d’un point d’accès complet et une protection exhaustive de
qualité entreprise. Chaque plateforme FortiWiFi active jusqu’à 7 SSID ou points d’accès virtuels, pour
déployer plusieurs réseaux sans fil à partir d’un seul équipement.

• For�Wifi (point d’accès léger):

Les points d’accès FortiAP sont économiques et compatibles 802.11n. Les FortiAP utilisent les
technologies Wi-Fi les plus récentes, avec des débits allant jusqu’à 300 Mbps par cœur radio et une
couverture radio jusqu’à deux fois plus importante que le 802.11 a/b/g.

• For�Scan :

Gestion des vulnérabilités sur postes clients, évaluation de la conformité des ressources, gestion des
patchs, audit et reporting. Analyse jusqu’à 5 000 agents et 60 instances de base de données.

• For�Authen�cator :

Gestion des identités utilisateurs, Authentification des utilisateurs, authentification à deux facteurs,
vérification de l’identité et accès réseau. Gère l’identité de jusqu’à 2 000 utilisateurs finaux.

• For�DNS :

39
Système DNS robuste, est un système DNS robuste et sécurisé pour remplacer les outils existants et
simplifier les déploiements DNS. Gère jusqu’à 60 000 requêtes par seconde.

Pare-feu matériel : FORTIGATE

1 Présentation du produit :

La gamme FortiGate d’appliances physiques et virtuelles dédiées à la gestion unifiée des menaces
consolide plusieurs fonctions de sécurité telles que pare-feu, la prévention d’intrusion, le filtrage web,
ainsi que la protection anti-malware et anti-spam. Cette gamme propose des produits pour petites
entreprises et sites distants, ainsi que des plateformes pour grandes entreprises, centres de données et
fournisseurs de services Internet. Fortinet commercialise également des pare-feux de nouvelle
génération (Next Generation Firewall, ou NGFW) qui est définit comme un produit regroupant un pare-
feu, un VPN et une prévention d’intrusion, entre autres fonctions de sécurité.

Le premier produit de Fortinet, le FortiGate 3000, sorti en octobre 2002, proposait des
performances de 3 giga-octets par seconde (Gbps). La gamme 5000 a été commercialisée deux ans plus
tard. Selon The International Directory of Company Histories, les premiers produits Fortinet pour petites
entreprises et succursales ont été accueillies favorablement sur le marché.

En début d’année 2013, Fortinet a ajouté une fonctionnalité de pare-feu à l’appliance FortiGate,
conçue pour les réseaux internes et reposant sur des processeurs ASIC spécifiques. La version
virtualisée de FortiGate a ensuite été intégrée à Amazon Web Services en 2014. En avril 2016, Fortinet
annonçait la Fortinet Security Fabric, destinée à permettre à des dispositifs tiers de partager des
informations avec les appliances et logiciels Fortinet via des API. Elle a également lancé le parefeu
FortiGate 6040E 320Gbps, équipé du nouveau processeur ASIC CP9. Ce dernier assume certaines
tâches habituellement attribuées au processeur principal de traitement, et est réutilisé dans les versions
ultérieures de FortiGate.

40
2 Fonctionnalités du FortiGate :

FortiGate solution de sécurité consolidée et unifiée de gestion de menaces (UTM), offre une
sécurité et des performances inégalées tout en simplifiant l'administration quotidienne de réseau.
FortiGate tourne sous le système d'exploitation FortiOS ™ sur les processeurs FortiASIC ™ et des
CPU de dernière génération pour garantir une sécurité optimale du réseau de l’entreprise. Chaque
FortiGate inclut une large gamme de fonctions de sécurité et réseaux, incluant:

Firewall :

Règles de filtrage simples pour n'accepter que les flux autorisés. La technologie de firewall
combine l’analyse “ASIC accelerated Stateful Inspec�on ‘’ permet d’iden�fier et bloquer les menaces
complexes.

IPS :

La technologie de prévention d’intrusion, disponible sur toutes les plateformes FortiGate,

embarquée dans les équipements protège les applications critiques contre les attaques internes ou
externes. FortiGate IPS associe une base de données paramétrable de plusieurs milliers de menaces
connues afin de bloquer les attaques non reconnues par un firewall traditionnel et un système d’analyse

41
comportemental reconnaissant les menaces pas encore répertoriées par le moteur de signatures. Cette
combinaison de protection contre les menaces permet de se prémunir contre les attaques critiques.

Vpn IPSec et SSL :

La fonction vpn IPSec permet de mettre en place des tunnels chiffrés vers d’autres sites ou bien
pour des nomades.

La fonction vpn SSL permet l’accès chiffrés pour les nomades, en mode tunnel ou portail web
(seul un navigateur suffit).

La technologie IPSec et SSL VPN des plateformes FortiGate est intégré avec les autres
fonctionnalités de sécurité tels que les pare-feux, antivirus, filtrage web et prévention d’intrusion
fournissant un niveau de sécurité supérieur à des équipements VPN standard. La solution FortiGate
VPN assure un niveau de performance nécessaire aux entreprises de toute taille, aussi bien des petites
entreprises que des grandes organisations ou encore des fournisseurs de services Internet.

Antivirus réseau :

Cette technologie combine la détection par signatures avancées et moteurs heuristiques afin de
fournir une protection multi-niveaux en temps réel contre les nouveaux virus, spyware, et malware
propagés par le web, les emails et le transfert de fichiers.

Filtre antiviral de flux web (HTTP, HTTPS, FTP) et de messagerie (SMTP, SMTPS, IMAP,
IMAPS, POP3, POP3S).

Antispam :

Une fonction pour les flux de messagerie. La technologie antispam offre des fonctionnalités de
détection, tag, mise en quarantaine et de blocage des spam et de leurs attachements malicieux.

Filtrage URL :

Filtrage des accès WEB. Avec une authentification ldap (active directory et edirectory sont
supportés en mode d'authentification transparente), possibilité de mettre en place une politique d'accès
par type de population.

Cette technologie bloque les accès vers les sites web nocifs, inappropriés et dangereux contenant,
par exemple, des attaques de type phishing/pharming, malware/spyware ou des contenus répréhensibles

42
exposant l’entreprises à des poursuites judiciaires. Composé de bases de données reconnues et
constamment mises à jour par FortiGuard Web Filtering Service. Le Web Filtering aide les organisations
dans leur démarche de conformité légale et renforce l’utilisation appropriée d’Internet.

Détection d'intrusions :

Sécurisation des accès entrants et sortants. La base, remise à jour automatiquement, répertorie
plus de 3 000 attaques connues.

Cette fonction permet d’identifier et de se prémunir contre la fuite d’informations sensibles vers
l’extérieur du réseau de l’entreprise.

Contrôle applicatif :

Filtrage direct des applications afin de maitriser avec une très forte granularité votre politique de
sécurité. Aujourd'hui, plus de 1 000 applications sont reconnues (Bittorent, MSN, Facebook, Edonkey,
ICQ, Yahoo Msg...).

Cette fonction assure la reconnaissance et la mise en œuvre d’actions sur les communications en
fonction de l’application à l’ origine du flux au lieu de se baser sur un numéro de service ou un protocole.
Cette solution renforce la politique de sécurité en appliquant une reconnaissance et un contrôle sur le
protocole applicatif (indépendamment du port).

Optimisation Wan :

Optimisation des liaisons WAN pour économiser de la bande passante. Seuls les modèles
FortiGate disposant d'un espace de stockage supportent cette fonction.

Cette technologie permet d’optimiser les flux des applications communiquant au travers d’un
réseau étendu tout en assurant une sécurité contre les différentes formes de menaces.

Inspection SSL :

Déchiffrage des flux pour analyser le contenu et contrer les attaques malware. Seuls les modèles
les plus récents permettent ce traitement.

Cette technologie permet d’augmenter la sécurité et le contrôle de contenu en inspectant

l’intérieur des flux chiffrés.

43
2.1 FortiGate-VM :
FortiGate-VM est une solution de Virtual Appliance pour les environnements VMware qui offre
une intégration pour sécuriser les charges de travail dans les réseaux et les infrastructures logicielles
définies dynamiques sans protection et de conformité des lacunes.

FortiGate-VM est basée sur la dernière version de FortiOS de Fortinet , un système d'exploitation
construit à cet effet une sécurité renforcée

Se connecter à FortiGate pour la première fois :

Apres l’installation du FORTIGATE (version 5.6.1) comme Appliance sous EVE-NG, la première
étape consiste à s’authentifier :

Ensuite la configuration pour se connecter à l’interface web du FortiGate :

44
L’authentification par l’interface graphique :

45
3 Présentation du Menu FortiGate :

Main : Les informations du system ,les licences ,Forticloud ,security fabric , virtuel machine ,
Administrateurs .

Security Fabric : Configurer les paramètres du système, tels que physical & logical topology FortiGate
Telemetry, FortiAnalyzer Logging ,HTTP Service, SMTP Service – FortiMail .

System : contient des informations sur l’administration de FortiGate et la configuration du système.

Policy & object: Configuration des politiques du pare-feu, et le contenu de support pour les politiques
, y compris la planification, services, shapers du trafic, les adresses IP virtuelles, et l'équilibrage de
charge.

Security Profiles : Configurer antivirus et de filtrage de messagerie, filtrage web, protection contre les
intrusions, les données de prévention des fuites, le contrôle des applications, VOIP, ICAP et la réputation
du client.

VPN : Configurer IPsec et SSL virtual private networking.

User & Device : Configurer les comptes d'utilisateurs et l'authentification des utilisateurs, y compris le
menu de l'authentification externe comprend également des fonctions de sécurité des terminaux, tels
que la configuration de FortiClient et les modèles de détection d'application.

WiFi &Switch Controller: Configurer l'appareil pour agir en tant que contrôleur de réseau sans fil, la
gestion de la fonctionnalité de point d'accès sans fil (AP) de FortiWiFi et FortiAP unités.

46
Log & Report : Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir les messages
du journal et des rapports.

4 Sytème Admin: l’authenti�ication au FORTIGATE :

L’onglet Network :

Cette partie décrit comment configurer votre FortiGate pour opérer sur votre réseau. Les
paramètres réseaux de base comprennent la configuration des interfaces FortiGate et des paramètres
DNS. La configuration plus avancée comprend l’ajout de sous-interfaces VLAN et de zones à la
configuration réseau du FortiGate.

• Routes sta�ques :

47
 On configure des routes statiques en définissant l'adresse IP de destination et le masque de réseau
des paquets qu’on souhaite que le FortiGate intercepte et en spécifiant une adresse IP (passerelle) pour
ces paquets. L'adresse de passerelle spécifie le routeur du prochain saut auquel le trafic doit être routé.

Politique : Une stratégie de routage permet de rediriger le trafic loin d'une route statique. On peut
utiliser le protocole de trafic entrant, l'adresse ou l'interface source, l'adresse de destination ou le
numéro de port pour déterminer où envoyer le trafic.

• Routes dynamiques :

Cette section explique comment configurer des protocoles dynamiques pour acheminer le trafic
via des réseaux importants ou complexes. Les protocoles de routage dynamique permettent de partager
automatiquement des informations sur les routes avec les routeurs voisins et d'en apprendre d’avantage
sur les routes et les réseaux annoncés par eux. L'unité FortiGate prend en charge ces protocoles de
routage dynamique: Routing Information Protocol (RIP) ; Open Shortest Path First (OSPF) ; Border
Gateway Protocol (BGP).

Protocole RIP : Le protocole d'information de routage (RIP) est un protocole de routage à vecteur
distance destiné à de petits réseaux relativement homogènes. Le FortiGate diffuse des requêtes de
mises à jour RIP depuis chacune de ses interfaces RIP. Les routeurs voisins répondent avec des
informations provenant de leurs tables de routage.

Protocole OSPF : Ouvrir le chemin le plus court (OSPF) est un protocole de routage d'état de liaison
qui est le plus souvent utilisé dans de grands réseaux pour partager des informations de routage entre
routeurs dans le même système autonome.

Protocole BGP : Border Gateway Protocol (BGP) est un protocole de routage Internet généralement
utilisé par les FAI pour échanger des informations de routage entre différents réseaux ISP. Lorsque
BGP est activé sur une interface, FortiGate envoie des mises à jour de table de routage aux systèmes
autonomes voisins connectés à cette interface chaque fois qu'une partie de la table de routage
FortiGate change.

Protocole Multicast : Une unité FortiGate peut fonctionner comme un routeur de la version 2 de
protocole de multidiffusion indépendante (PIM) dans le domaine virtuel racine. Les applications de
serveur de multidiffusion utilisent une adresse de multidiffusion (Class D) pour envoyer une copie d'un
paquet à un groupe de récepteurs. Les routeurs PIM du réseau s'assurent qu'une seule copie du paquet
est acheminée par le réseau jusqu'à ce qu'elle atteigne une destination de point final. À la destination de
point final, les copies du paquet ne sont effectuées que lorsque cela est nécessaire pour fournir les

48
informations aux applications clientes de multidiffusion qui demandent le trafic destiné à l'adresse de
multidiffusion.

Policy& Object (Poli�ques de sécurité):

• IPv4 Policy :

Les unités de FortiGate sont employées pour commander l'accès entre l'Internet et un réseau,
permettant typiquement à des utilisateurs sur le réseau de se relier à l'Internet tout en protégeant le réseau
contre l'accès non désiré de l'Internet. Ainsi une unité de FortiGate doit savoir ce que l'accès devrait être
admis et ce qui devrait être bloqué. Aucun trafic ne peut passer par une unité de FortiGate à moins que
spécifiquement ait permis par une politique de sécurité.

Une fois qu'on permet le trafic, pratiquement toutes les caractéristiques de FortiGate sont
appliquées au trafic permis par des politiques de sécurité. D'une politique de sécurité, on peut contrôler
la translation d'adresse, commander les adresses et les services employés par le trafic, et appliquer des
caractéristiques telles qu'UTM, authentification, et VPNs.

Tout ce qui est exigé est une politique de sécurité simple qui permet au trafic du réseau interne de
se relier à l'Internet. Tant qu’on n'ajoute pas une politique de sécurité pour permettre le trafic de l'Internet
sur le réseau interne, ce réseau est protégé. Quand un utilisateur se relie à l'Internet, ils s'attendent à une
réponse pour une page web par exemple.

En effet, une politique simple permet le trafic bidirectionnel, mais le trafic entrant est seulement
permis en réponse aux demandes envoyées.

Security Profiles :

49
• An�virus :

Ce module examine le trafic réseau pour les virus, les vers, les chevaux de Troie et les logiciels
malveillants. Le moteur d'analyse antivirus a une base de données des signatures de virus qu'il utilise
pour identifier les risques de sécurité. En fonction de l'unité de FortiGate, il est en mesure de choisir
entre une base de données de virus régulière, une version étendue contenant "virus qui ne sont plus
observées dans des études de virus récents", et une version extrême qui est capable de filtrer les virus
qui ont été en sommeil pendant une longue période. Il y a aussi une option pour vérifier graywares
(applications ou fichiers non classées comme des virus qui peuvent encore affecter négativement la
performance des ordinateurs).

La méthode la plus fiable pour détecter les virus est pour le pare-feu pour télécharger un fichier
entier et le scanner une fois que la transmission est terminée. Un message de remplacement sera envoyé
si le fichier est infecté. Le client devra attendre jusqu'à ce que le balayage antivirus soit terminé.
Cependant, pour les gros fichiers, cela pourrait impliquer un long temps d'attente et l'utilisateur pourrait
essayer de relancer le téléchargement. Pour éviter un tel scénario, FortiGate dispose d'une fonctionnalité
appelée client réconfortant qui transfère lentement le fichier en parties pour maintenir le téléchargement
"actif" sur le côté client. Dès que la vérification antivirus est terminée, l'utilisateur recevra le dossier
complet ou le téléchargement sera interrompu si le fichier est infecté par un virus.

Les profils antivirus sont des configurations que sont en mesure d'appliquer une politique de pare-
feu et de définir ce que l'antivirus va contrôler et comment le moteur antivirus de gérer les risques de
sécurité. Profils antivirus sont gérés en naviguant dans les profils de sécurité | Antivirus | Menu Profil.

• Web Filtre:

Le filtrage Web est utilisé pour contrôler le type de contenu (sites Web) que nos utilisateurs sont
en mesure d'accéder sur http et https protocole sur l'Internet. Le menu dédié à ce type de contrôle est le
volet Web Filter dans le menu Profils de sécurité.

50
 La gamme de menaces que les filtres Web est plus grande que le blocage des logiciels malveillants
et inclut des contrôles utilisés pour éviter des problèmes tels que l'exposition des informations
confidentielles et d'éviter les problèmes juridiques liés à l'utilisation illégitime des ressources Internet.

Pour obtenir ce type de protection, il y a cinq niveaux de dépistage suivants, tous gérés en
naviguant dans les profils de sécurité | Web Filter | Menu Profil:

• Filtrage URL: On peut bloquer l'accès à des URL spécifiques ou IPS publics en les
ajoutant à la liste de filtres.
• Filtre web FortiGuard: Il est un service d'abonnement qui classe des milliards de
pages Web pour le rendre plus facile à autoriser ou de bloquer des catégories entières
de sites Web.
• Filtrage de contenu Web: Il bloque les pages Web contenant des mots ou des
expressions spécifiques.
• Filtrage de script Web: On peut configurer l'unité de FortiGate pour bloquer les
applets Java, les cookies et les scripts ActiveX à partir des pages Web HTML.

• Applica�on Control :

Les modifications suivantes ont été apportées pour améliorer la convivialité dans le gestionnaire
basé sur le Web.

On peut bloquer l'utilisation de certaines applications en bloquant les ports qu'ils utilisent pour
les communications, de nombreuses applications ne pas utiliser les ports standards pour communiquer.

Le contrôle des applications peut détecter le trafic réseau de plus de 1000 applications,
l'amélioration du contrôle sur la communication de l'application.

• Intrusion protection (protection contre les intrusions) :

Le système de protection contre les intrusions FortiGate (IPS) protège le réseau interne contre le
piratage et d'autres tentatives d'exploitation des vulnérabilités des systèmes. Plus de 3000 signatures
sont capables de détecter les exploits contre divers systèmes d'exploitation, les types d'accueil, les
protocoles et applications. Ces exploits peuvent être arrêtés avant qu'ils atteignent le réseau interne.

• System Virtual Private Network VPN :

Permet aux utilisateurs un accès distant à des ressources réseaux, semblable à une connexion
locale. Ce module est utilisé lorsqu’il est nécessaire de transmettre des données privées dans un réseau

51
public ; il fournit une connexion cryptée point à point, par conséquent les données ne peuvent être
interceptées par des utilisateurs non autorisés. Différentes méthodes de sécurité pour assurer que seuls
les utilisateurs autorisés peuvent accéder au réseau privé.

• IPSec VPN :
FortiOS supporte les tunnels VPN IPSec dont la phase1 est basée sur le protocole IKE
ainsi que les fonctions de NAT Traversal pour la configuration des paramètres du tunnel,
l'authentification, la génération des clefs de chiffrement des données et l’établissement du tunnel
et le protocole ESP pour la transmission des données (ip-protocol 50). Toutes ces fonctions sont
réalisées aux travers des ASIC implantés dans les équipements et bénéficient ainsi de
l'accélération matérielle et d'un niveau de performance accru. Les standards IPSec sont bien
entendu respectés tout en conservant une configuration par le support de différents modes de
configuration (IKE mode config, mode Policy server pour les tunnels dialup des utilisateurs
nomades, fourniture automatisée des adresses au travers du tunnel -DHCP over IPSec-).
Le module VPN IPSec permet de configurer les réseaux privés en fonction des contraintes
opérationnelles et autorise l'implémentation des différentes topologies rencontrées
:
Site à site : cette architecture permet de relier deux sites distants par un lien public en le
sécurisant. Un tunnel est créé entre les deux sites et les données sont encapsulées. Deux clients
situés sur deux sites distants peuvent alors communiquer simplement sans aucune modification
ou ajout sur aucun des postes. Le type de passerelle distante supportée peut être en adressage IP
statique ou en DNS dynamique.

Maillage complet (full mesh) : il s'agit d'une variante du cas précédent, lorsqu'il y a plus
de 2 sites en cause, il est possible de concevoir une architecture où chaque site est connecté à
l'ensemble des autres réduisant au minimum l'impact de la perte d'un lien.
Concentrateur (hub and spoke) : cette architecture est adaptée aux sites multiples
également. Un site central établit des liaisons VPN avec plusieurs sites distants qui ne sont pas
reliés entre eux. Le site central qui agrège tous les VPN peut servir de concentrateur pour
relayer les données d’un site à un autre. Ainsi les sites distants sont virtuellement reliés entre
eux. Ainsi, une fois le tunnel VPN monté, deux clients situés sur des réseaux distants peuvent
communiquer comme s’ils étaient situés sur le même réseau LAN. Un client peut naviguer sur
internet en utilisant la connexion internet du site distant.
Client à site : Cette architecture permet de relier un client connecté à l'Internet à distance
au site principal. Le poste client obtient une adresse virtuelle qui peut faire partie du LAN
protégé par la passerelle simulant sa place sur le LAN. La phase1 doit être configurée avec le

52
 type 'utilisateur dialup' car l’adresse IP du client n’est pas connue la plupart du temps. Un client
Dialup peut naviguer sur internet en utilisant le filtrage du Fortigate.
 SSL VPN :

Ce module est utilisé pour sécuriser les transactions Web, tunnel HTTPS créé pour transmettre
des données applicatives de manière sécurisée, les clients s’authentifient sur une page Web sécurisée
(Portail VPN SSL).

Cette fonction se décline en deux modes distincts et non exclusifs : le mode web et le mode tunnel.
En mode web tous les flux sont encapsulés dans un flux SSL ne nécessitant ainsi qu'un navigateur web
afin d'initier et d'utiliser le réseau privé virtuel ainsi constitué. Dans ce mode les données ne sont pas
encapsulées dans un tunnel mais reposent uniquement sur le protocole https sécurisé par la couche SSL.
Certaines applications non compatibles avec le protocole http ne peuvent pas fonctionner. Dans ce cas,
le portail SSL prend le relais qui assure la redirection et l'encapsulation.
Les flux supportés par cette méthode sont : http, https, ftp, rdp, smb/cifs, ssh, telnet, vnc et ping.

Le mode tunnel, n'impose aucune restriction sur les applications utilisables à travers le lien
sécurisé puisque l’ensemble du trafic émis par le poste client est encapsulé dans le tunnel SSL avant
d’être remis en clair par le FortiGate. Une pile IP virtuelle chiffrant tout le trafic est utilisée nécessitant
l’installation d'un client sur le poste nomade, il nécessite en revanche de disposer des droits
d'administration locaux sur le poste. Ce mode fonctionne avec l’attribution d’une adresse IP spécifique
au client. Afin de facilité l'administration du tunnel, une interface virtuelle est créée. Une route statique
ajoutée sur l’interface virtuelle destination du client permet une communication d’un client
VPN SSL en mode tunnel à un autre, l’établissement d’une session depuis un client sur le LAN vers

un client rattaché au réseau par un tunnel VPN SSL. La navigation sur l'Internet depuis un client VPN
SSL passe par défaut par le boîtier ce qui permet de profiter des fonctionnalités de filtrage offertes par
le FortiGate.

53
Conclusion :
Un pare-feu aura essentiellement ces configurations :

Interface :

Où le pare-feu communique avec d'autres périphériques du réseau. Il peut s'agir de LAN interne,
extranet ou Internet. En gros, on va allouer des adresses IP pour ces interfaces.

Table de routage :

Où envoyer les paquets. On peut voir une table de routage sur presque tous les périphériques pris
en charge par le réseau, tels que le routeur ADSL, le routeur sans fil, les routeurs, le pare-feu et même
sur le PC (Mac, Windows, Linux, ...).

54
Politique de pare-feu :

Quel type de trafic est autorisé ou refusé de passer par le pare-feu. Il s'agit de la partie principale
d'un pare-feu où on peut contrôler l'accès par IP / sous-réseau. Sur les pare-feu avancés, on peut trouver
des composants de stratégie où il est utilisé pour créer une stratégie de pare-feu, comme le planificateur,
la limitation de la bande passante, l'adresse, le service, etc.

Mode de fonctionnement (NAT ou Transparent) :

Si on utilise le FortiGate comme un pare-feu entre un réseau privé et réseau public, NAT /
Route est pour cette situation. Si on place le pare-feu derrière un autre pare-feu ou dans le réseau
interne, le mode Transparent pourrait être utilisé.

Comme on peut le constater, les firewalls possèdent de multiple capacités qui peuvent différer en
fonction de leurs types. Cette multitude de solutions impose donc une étude rigoureuse de la sécurité
devant être mise en place. En effet, le système informatique d'une centrale nucléaire n'aura pas les
mêmes besoin en terme de sécurité qu'un particulier et aura donc par conséquent des équipements
différents.

Toutes ces technologies sont et seront en pleine évolution, car la base même de tout cela est de
jouer au chat et à la souris entre les hackers et les programmeurs de firewall ainsi que les administrateurs.
Une grande bataille d’imagination qui n’aura certainement jamais de fin.

Annexe

55
Figure 0.1:la création du répertoire pour l’image ISO Fortinet

56
 Figure 0.2:la migration de l’image ISO vers Eve-Ng

Figure 0.3:accorder des permissions pour permettre la migration de l’image ISO.

57
 Figure 0.4:cette étape consiste à s’authentifier

Figure 0.5:éditer la configuration du port 5 pour se connecter à l’interface Web du FortiGate.

58
Figure 0.6:L’authentification par l’interface graphique.

59
 Figure 0.7:Cet interface permet de consulter et modifier la configuration de chaque port (observez la configuration
du port1).

Figure 0.8:La configuration de la zone DMZ en affectant le role et l’adresse IP+ masque.

60
Figure 0.9: La configuration du LAN en affectant le role et l’adresse IP + masque.

Figure 0.10:Installation d’Apache puis démarrer le service Apache.

61
Figure 0.11:Installation d’Apache puis démarrer le service Apache.

62
 Figure 0.12:refuser le trafic avec le protocole http entre le LAN (port1) et la zone DMZ (port4).

Après avoir refusé le trafic entre le réseau local et la zone DMZ, nous allons l’autoriser de nouveau pour
qu’on puisse observer la différence entre les deux cas.

63
Figure 0.13:autoriser le trafic avec le protocole http entre le LAN (port1) et la zone DMZ (port4).

64
 Figure 0.14:autoriser la fonctionnalité du Ping entre LAN (port1) et WAN (port5)

Figure 15 : autoriser la fonc�onnalité du Ping entre LAN (port1) et WAN (port5)

Figure 0.15:la configuration du OSPF (ID du routeur, la zone, réseaux, interfaces…) en précisant les réseaux liés au
FortiGate.

65
La haute disponibilité (HA)

66
 Figure 0.16:application de la fonctionnalité Haute Disponibilité pour le port 3 (en appliquant le mode, changeant la
priorité, ajoutant un nom du groupe et un mot de passe).

67