Histoire

Fortinet a été créée à Sunnyvale (Californie) en 2000 par les frères Ken et Michael Xie2. Les
fondateurs avaient précédemment évolué dans des rôles de management chez NetScreen et
ServGate respectivement3. Initialement baptisée Appligation Inc., la société fut renommée
Appsecure en décembre 2000 puis, plus tard, Fortinet, un nom inspiré de l’expression « Fortified
Networks » signifiant réseaux fortifiés3. Après deux années consacrées à la recherche et le
développement4, l’entreprise a commercialisé son premier produit en 20022.

Introduction
Fortinet est une entreprise américaine spécialisée dans la conception de solutions de
sécurité globale et de haute performance des systèmes d’informations.

Nos missions :

– Assurer un accès unifié et sécurisé au réseau via notre gamme de firewall Next
Generation et UTM (FortiGate), nos offres de réseaux Wifi (Cloud, Integrated &
Infrastructure), nos switches (FortiSwitch) et notre solution d’IPBX (FortiVoice et
FortiFone).

– Apporter une haute protection et une haute disponibilité des réseaux, des
applications, des services web et mail, avec nos solutions de protection d’attaque
DDoS (FortiDDoS), les produits de load balancing d’application (FortiADC) ou de
liens WAN (FortiWAN), notre Web Application Firewall (FortiWeb) et notre offre de
sécurisation des flux de messagerie (FortiMail).

– Détecter et neutraliser les attaques évoluées de type modern malware (APT) via
FortiSandBox et le FortiClient qui assure une sécurisation avancée des postes
clients.

Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale (Californie).
Elle conçoit et commercialise, entre autres, des logiciels, équipements (appliances) et services
de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de
sécurité des terminaux. Elle occupe le quatrième rang mondial des acteurs de la sécurité réseau
en termes de chiffre d’affaires.
le système d'exploitation
FortiOS est le système d'exploitation qui équipe l'équipement Fortinet, basé sur une version
modifiée de noyau Linux et comme ext2 système de fichiers. L'interface d'administration Web
emploie cadre Jinja2 et django, avec back-end python. En Décembre 2003, Fortinet a commencé
à distribuer FortiOS 2.8, intégrant 50 nouvelles fonctionnalités du système d'exploitation.

D'autres produits
Fortinet fournit de nombreux autres produits logiciels et matériels, dont plus d'une douzaine de
produits de commutation, bureau, services de VOIP, DNS, l'authentification des utilisateurs et
d'autres applications.[2][49]
Le logiciel offre des fonctionnalités FortiAnalyzer de rapports pour les produits Fortinet, y compris
l'enregistrement des événements, le reporting et l'analyse de la sécurité.[58] FortiClient est un
produit pour la sécurité des terminaux pour les ordinateurs de bureau, les téléphones intelligents
et d'autres appareils.[59][60] Le logiciel VPN FortiClient a été publié pour la première fois en Avril
2004.[61]
Le logiciel anti-spam FortiGuard et les produits de sécurité pour la messagerie FortiMail a été
lancé en Février 2005.[3] FortiManager, le logiciel Fortinet pour la sécurité des centres de
données, a été introduit en Avril., 2003[62] Fortinet a lancé ses produits pour la sécurité de base
de données sur le marché en 2008.[2][49][63] Les plates-formes de commutation FortiSwitch
Fortinet ont été introduites en 2009,[64] tandis que la distribution du contrôleur en Août 2013
applications.[65] En Octobre 2010, Fortinet a publié les versions de l'appliance virtuelle de
logiciels de leur FortiGate, FortiManager, FortiAnalyzer et FortiMail.[66] En Août mis à jour ici à
2015 la gestion FortiCloud.[67] ont finalement été introduit en Septembre 2015, les produits NRS
(réseau définie par logiciel).[68][69]
Fortinet fabrique et commercialise des versions sans fil de ses produits FortiGate appels
FortiWiFi,[49] lancé pour la première fois sur le marché en Mars 2004.[70][71] Fortinet a mis en
place une nouvelle ligne de points d'accès sans fil basé sur le nuage en Août 2015.[67] La gamme
de produits a été FortiDDoS au lieu introduit en Mars 2014.[72][73]
I. Présentation
Après avoir découvert ce qu’est un Fortinet dans un premier article, je voudrais vous montrer
comment mettre en place une règle de Firewall avec quelques-unes des options de sécurité les plus
utilisées pour la sécurité ou l’optimisation de notre trafic internet.
Il faut savoir qu’il existe une règle implicite par défaut qui bloque tout trafic non autorisé.

Nous allons voir aussi, comment créer un groupe d’adresses IP, un groupe de services nécessaire
pour le fonctionnement des postes et enfin certaines options comme l’antivirus, l’optimisation du
trafic WAN ou encore le filtrage web.

II. La maquette
Tout d’abord, voici le schéma de l’infrastructure :

Quand nous ouvrons les accès à Internet pour nos postes de travail, est-ce nécessaire d’ouvrir tous
les ports ? Un principe de base en sécurité n’est-il pas de n’ouvrir (ou donner accès) qu’a ce qui est
nécessaire ?

Si nous prenons exemple pour un poste de travail classique, pour accéder à Internet il a besoin du
HTTP et bien sûr du HTTPS, du FTP éventuellement. En entreprise, ce sont les serveurs DNS
internes qui s’occupent de la résolution de nom et les serveurs de courriel interne pour l’envoi et la
réception de courriel.

III. La configuration des adresses

La première étape va donc être de créer à travers notre interface de gestion web les adresses IP de
nos postes de travail.
Ici nous mettons la même plage d’adresses IP que notre serveur DHCP qui est relié à une interface
(ici le port1) sur notre Fortinet.

IV. Configuration des services

Par défaut, notre Fortinet connait les principaux services (associer à des ports et protocoles) utilisés
(HTTP – TCP 80, DNS – UDP 53, etc…) ce qui facilite la création des objets. Toujours sur notre
interface, allez dans Service et Groupe.
Nous allons réaliser la création d’un nouveau groupe nommé "Web Access" contenant les services
voulus : ici le trafic HTTP et HTTPS ainsi que le trafic ICMP et FTP).

Ceci n’est pas une obligation de créer des groupes, mais cela facilite la vie pour la gestion des
règles par la suite.

V. La configuration des profils de sécurités

Anti-Virus
Toujours sur notre Interface de gestion, allez dans l’onglet profil de l’antivirus
Nous pouvons créer un nouveau profil :

Comme toujours, nous devons donner un nom au profil, et simplement déterminer le trafic qui sera
scanné par l’antivirus :
Dans le mode d’inspection, nous n’utilisons pas de proxy comme le nom pourrait le faire penser,
mais simplement baser sur le flux, c’est une inspection paquet par paquet alors qu’en mode proxy,
le Fortinet crée un buffer pour l’inspection.

Filtrage web
Pour le filtrage de contenu, c’est comme pour le reste, allons dans le profil du filtrage web :

Là encore, nous pouvons créer un nouveau profil

Attention, afin que les catégories et leurs contenus soient mises à jour, il faut avoir une licence
valide.

Ici on choisit encore les catégories que l’on souhaite bloquer ou surveiller. Par défaut, toutes les
catégories sont autorisées.

Bien sûr, il est tout à fait possible de créer sa propre catégorie ou de classifier un site dans une
catégorie différente, comme le montrent les copies d’écran ci-dessous avec l'exemple "Facebook".
Contrôle applicatif
Notre Fortinet nous permet aussi de faire un filtrage par application afin d’empêcher
certains logiciels comme uTorrent ou encore Adobe update.

Toujours dans la section profil de sécurité, mais dans l’onglet senseur applicatif.
Création d’un nouveau profil applicatif ou nous pouvons faire une recherche sur les applications
que l’on souhaite et l’action qui l’on veut (bloquer ou logger).

Par défaut, toutes les applications sont autorisées

Filtrage de messagerie
Si nos postes de travail reçoivent leurs emails via un service externe (pop3, imap) et envoient
directement les emails, nous pouvons activer le service antispam.

Fuite d’informations
Afin de contrer les fuites d’informations sensibles (comme les numéros de carte de crédits par
exemple) nous avons la possibilité d’activer cette fonctionnalité.
Nous pouvons choisir le trafic qui sera inspecté (ici HTTP, SMTP, POP3 et IMAP) et l’action
désirée comme le loguer ou l’interdire.

Optimisation trafic
Enfin le fortinet nous permet d’optimiser le trafic vers le web vers le lien WAN.
Dans l’onglet "Opt. Wan & cache", on choisit le trafic qui sera optimisé :

VI. La création de règles de Firewall

Pour finir, nous arrivons à la fin, à savoir la création de la règle de pare-feu qui permettra d’autoriser
le trafic pour nos postes de travail.
Nous allons dans l’onglet policy et dans règles et création d’une nouvelle règle

Pour la configuration de notre règle, nous allons reprendre un peu tous les éléments configurés
tout au long de cet article. Certains éléments sont obligatoires (la partie du haut de notre règle et
d’autres en options (tout ce qui se trouve sous profils de sécurité.
C’est une règle de pare-feu que l’on souhaite :

- Interface d’entrée : Selon votre configuration

- Les adresses sources : Configuré en partie III ici
- L’interface de destination : Votre port WAN
- Les adresses de destinations : Vers Internet 0.0.0.0
- Les services : Configuré en partie IV ici
- L’action : Ici on autorise
Il faut penser à cocher le NAT puisque notre trafic sera bien "naté" sur Internet. Maintenant les
options que l’on peut activer et que nous avons configurées dans cet article :

- L’antivirus
- Le filtrage web

- Le contrôle applicatif

- Filtrage de messagerie

- Fuite d’informations (DLP sensor)

Après, il nous reste plus qu’à déterminer si l’on souhaite active l’optimiseur de WAN (ici) et la
cache (non montré dans cet article).

VII. Résultat
Après, il ne vous reste plus qu’à tester à partir d’un poste de travail si l’accès internet fonctionne !

Pour le trafic FTP également :