{"id":7,"date":"2019-09-04T12:45:51","date_gmt":"2019-09-04T10:45:51","guid":{"rendered":"https:\/\/whatifsecu.tech\/?page_id=7"},"modified":"2020-08-25T12:01:28","modified_gmt":"2020-08-25T10:01:28","slug":"fortinet","status":"publish","type":"page","link":"https:\/\/whatifsecu.tech\/?page_id=7","title":{"rendered":"Fortinet"},"content":{"rendered":"\n
\"\"<\/a><\/figure>\n\n\n\n

Fortinet<\/a> est une marque am\u00e9ricaine cr\u00e9\u00e9e en 2000 qui con\u00e7oit des \u00e9quipements de s\u00e9curit\u00e9 r\u00e9seau. Elle est notamment connue pour ses appliances FortiGate, des firewalls tout-en-un ayant des fonctionnalit\u00e9s de pr\u00e9vention d’intrusion, routage, proxy, filtrage web et mail, VPN.<\/p>\n\n\n\n

Syst\u00e8me<\/h2>\n\n\n\n

En sortie d’usine, le compte admin<\/strong> a un mot de passe vide.<\/p>\n\n\n\n

A partir des versions FortiOS 6.2+, il est obligatoire de configurer un mot de passe \u00e0 la connexion.<\/p>\n\n\n\n

# afficher les informations du syst\u00e8me<\/em>\nget system status\n# d'autres informations notamment sur le logging<\/em>\nget mgmt-data status\n \n# r\u00e9cup\u00e9rer la charge du syst\u00e8me et son uptime<\/em>\nget system performance status\n \n# affiche les informations des processus les plus consommateurs en CPU\/mem<\/em>\n# \u00e9quivalent de : get system performance top<\/em>\ndiagnose sys top\n# on peut pr\u00e9ciser X et Y qui sont le d\u00e9lais de refresh et le nombre de ligne affich\u00e9, par ex :<\/em>\ndiagnose sys top 1 20\n# - premi\u00e8re ligne : U \u2014 % user CPU, S - % system CPU, I \u2014 % CPU idle, T \u2014 Total memory in kB, F \u2014 free memory in kB<\/em>\n# - desc des colonnes : process name, pid, running status, CPU usage, memory usage. (Sleeping, Running, Zombie, < - High priority, N \u2014 Low priority)<\/em>\n# on peut classer par CPU usage (Shift+P) ou par mem usage (Shift+M)<\/em>\n \n# version plus user-friendly (-h pour afficher l'aide)<\/em>\ndiagnose sys top-summary\n   CPU [|                                       ]   4.5%\n   Mem [|||||||||||||||||||||||||               ]  63.0%  2494M\/3954M\n   Processes: 20 (running=1 sleeping=99)\n   [..]\n \n# et quand un processus plante, prend trop de CPU ou de m\u00e9moire, on peut le killer :<\/em>\ndiagnose sys kill<\/strong> 11 <PID><\/pre>\n\n\n\n
Syst\u00e8me<\/h1>\n\n\n\n
En sortie d’usine, le compte admin<\/strong> a un mot de passe vide.<\/p>\n\n\n\n
# afficher les informations du syst\u00e8me<\/em>\nget system status\n# d'autres informations notamment sur le logging<\/em>\nget mgmt-data status\n \n# r\u00e9cup\u00e9rer la charge du syst\u00e8me et son uptime<\/em>\nget system performance status\n \n# affiche les informations des processus les plus consommateurs en CPU\/mem<\/em>\n# \u00e9quivalent de : get system performance top<\/em>\ndiagnose sys top\n# on peut pr\u00e9ciser X et Y qui sont le d\u00e9lais de refresh et le nombre de ligne affich\u00e9, par ex :<\/em>\ndiagnose sys top 1 20\n# - premi\u00e8re ligne : U \u2014 % user CPU, S - % system CPU, I \u2014 % CPU idle, T \u2014 Total memory in kB, F \u2014 free memory in kB<\/em>\n# - desc des colonnes : process name, pid, running status, CPU usage, memory usage. (Sleeping, Running, Zombie, < - High priority, N \u2014 Low priority)<\/em>\n# on peut classer par CPU usage (Shift+P) ou par mem usage (Shift+M)<\/em>\n \n# version plus user-friendly (-h pour afficher l'aide)<\/em>\ndiagnose sys top-summary\n   CPU [|                                       ]   4.5%\n   Mem [|||||||||||||||||||||||||               ]  63.0%  2494M\/3954M\n   Processes: 20 (running=1 sleeping=99)\n   [..]\n \n# et quand un processus plante, prend trop de CPU ou de m\u00e9moire, on peut le killer :<\/em>\ndiagnose sys kill<\/strong> 11 <PID><\/pre>\n\n\n\n
Pour red\u00e9marrer ou \u00e9teindre le syst\u00e8me :<\/p>\n\n\n\n
execute reboot\nexecute shutdown<\/pre>\n\n\n\n
Ordre de traitement d’un paquet sur un Fortigate :<\/p>\n\n\n\n
Step #1 - Ingress<\/em>\n1. Denial of Service Sensor\n2. IP integrity header checking\n3. IPsec connection check\n4. Destination NAT\n5. Routing\n \nStep #2 - Stateful inspection engine<\/em>\n1. Session Helpers\n2. Management Traffic\n3. SSL VPN\n4. User Authentication\n5. Traffic Shaping\n6. Session Tracking\n7. Policy lookup\n \nStep #3 - Security profiles scanning process<\/em>\n1. Flow-based Inspection Engine\n2. IPS\n3. Application Control\n4. Data Leak Prevention\n5. Email Filter\n6. Web Filter\n7. Anti-virus\n8. Proxy-based Inspection Engine\n9. VoIP Inspection\n10. Data Leak Prevention\n11. Email Filter\n12. Web Filter\n13. Anti-virus\n14. ICAP\n \nStep #4 - Egress<\/em>\n1. IPsec\n2. Source NAT\n3. Routing<\/pre>\n\n\n\n
MAJ d’apr\u00e8s la doc officielle Fortinet : Parallel Path Processing (Life of a Packet) v5.6.6<\/a><\/p>\n\n\n\n
\"\"\/<\/a><\/figure>\n\n\n\n
Hardware<\/h2>\n\n\n\n
# information sur le mat\u00e9riel<\/em>\nget hardware status<\/pre>\n\n\n\n
# partitionnement du disque dur (au sens Linux, c\u00e0d bas niveau)<\/em>\ndiagnose hardware deviceinfo disk\n# lister les partitions (gestion des images de fortiOS)<\/em>\ndiagnose sys flash list\n \n# info sur les CPU (~ \/proc\/cpuinfo)<\/em>\ndiagnose hardware sysinfo cpu\n \n# ~lspci<\/em>\ndiagnose hardware pciconfig\n \n# allocation de la m\u00e9moire<\/em>\ndiagnose hardware sysinfo memory\n \n# afficher l'allocation des slabs (espaces m\u00e9moire pr\u00e9-allou\u00e9 pour les sessions par ex)<\/em>\ndiagnose hardware sysinfo slab\n \n# afficher l'utilisation de la m\u00e9moire partag\u00e9e (SHM)<\/em>\ndiagnose hardware sysinfo shm<\/pre>\n\n\n\n
Interfaces<\/h3>\n\n\n\n
# affiche le tableau des compteurs d'interface (bytes, packets, errs, drop, etc...)<\/em>\ndiagnose netlink device list\n \n# affichage des infos \"bas niveau\" d'une interface (port1 ici) :<\/em>\n#(notamment les compteurs d'interface, la MTU, son adresse MAC, etc...)<\/em>\ndiagnose netlink interface list port1\n# pour clearer les compteurs d'interface (\"bas niveau\", \u00e7a ne met pas \u00e0 jour les compteur de la premi\u00e8re commande d'en haut !) :<\/em>\ndiagnose netlink interface clear<\/strong> port1\n \n# informations d\u00e9taill\u00e9es sur un port (en mode global)<\/em>\n# \u00e9quivaut \u00e0 : get hardware nic <port><\/em>\ndiagnose hardware deviceinfo nic <port>\n \n# modifier la MTU d'une interface<\/em>\nconfig system interface\n   edit \"port1\"\n      set mtu-override enable\n      set mtu 9000<\/pre>\n\n\n\n
Afficher les caract\u00e9ristiques des modules GBIC\/SFP* connect\u00e9s et reconnus :<\/p>\n\n\n\n
get sys interface transceiver port13\nInterface port13 - SFP\/SFP+\n  Vendor Name  :            Intel Corp\n  Part No.     :            FTLX8571D3BCVIT\n  Serial No.   :            XYZ\n  Measurement  Unit         Value        High Alarm   High Warning Low Warning  Low Alarm\n  ------------ ------------ ------------ ------------ ------------ ------------ ------------\n  Temperature  (Celsius)     42.6         78.0         73.0         -8.0        -13.0\n  Voltage      (Volts)       3.32         3.70         3.60         3.00         2.90\n  Tx Bias      (mA)          8.07        13.20        12.60         3.00         2.00\n  Tx Power     (dBm)         -2.0          0.0         -1.0         -7.0         -8.0\n  Rx Power     (dBm)         -1.9          0.0         -1.0        -18.0        -20.0\n    ++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.<\/pre>\n\n\n\n
Port d’admin d\u00e9di\u00e9<\/h4>\n\n\n\n
Cette fonctionnalit\u00e9, qui est pr\u00e9-configur\u00e9e pour les firewalls disposant de port nomm\u00e9s mgmt*<\/code>, permet de d\u00e9dier une interface au management du Fortigate. Cela a pour effet d’interdire la cr\u00e9ation de r\u00e8gle de s\u00e9curit\u00e9 les incluant, de cr\u00e9er une route \u201cconnected\u201d dans la table de routage, et d’ajouter un menu permettant de filtrer les IPs pouvant se connecter dessus (ce qui outrepasse les directives trusted host<\/em> d\u00e9finies dans les comptes utilisateur).<\/p>\n\n\n\n
Il est conseill\u00e9 de ne pas router de trafic utilisateur par ces interfaces.<\/p>\n\n\n\n
config system interface\n  edit \"mgmt2\" \n    set dedicated-to management\n  end\nend<\/pre>\n\n\n\n
Cr\u00e9ation d’un agr\u00e9gat<\/h4>\n\n\n\n
En webUI il suffit de cr\u00e9er une nouvelle interface de type \u201c802.3ad Aggregate\u201d, qui correspond \u00e0 un agr\u00e9gat de type LACP en mode active \/ slow avec une r\u00e9partition \u201cL4\u201d (hash de l’adresse IP et du port).<\/p>\n\n\n\n
Exemple de configuration en CLI avec les ports physiques 13 et 14 :<\/p>\n\n\n\n
config system interface\n    edit \"ag-extra\"\n        set type aggregate\n        set member \"port13\" \"port14\"\n    next\nend\n \n# en CLI on a acc\u00e8s aux param\u00e8tres avanc\u00e9s suivants :<\/em>\nset lacp-mode active | passive | static\nset lacp-speed slow | fast\nset algorithm L2 | L3 | L4<\/pre>\n\n\n\n
attention les param\u00e8tres de l’agr\u00e9gat doivent concorder avec la configuration de l’\u00e9quipement d’en face !<\/p>\n\n\n\n
Cr\u00e9ation d’un switch logique<\/h4>\n\n\n\n
Pour cr\u00e9er un bridge (un switch logique) entre plusieurs ports d’un Fortigate :<\/p>\n\n\n\n
config system switch-interface\n   edit mon-switch-soft\n   set members port1 port2 port3 port4\nend<\/pre>\n\n\n\n
NB :<\/p>\n\n\n\n