Offre FortiGate Passerelles de sécurité intégrant de façon unique les services : firewall/vpn anti-virus filtrage de contenu anti-spam détection/prévention d intrusion Pour les environnement SOHO, grandes entreprises ou opérateurs de services Alliant les performances de l Asic à la simplicité d administration des appliances Février 2004 Nathalie Rivat nrivat@fortinet.com
Page 2 TABLE DES MATIERES 1. FORTINET LA SOCIETE... 4 1.1. CRÉATION DE FORTINET... 4 1.2. EQUIPE FORTINET... 4 1.3. PRÉSENCE INTERNATIONALE... 4 1.4. OFFRE FORTINET... 4 1.4.1. Gamme FortiGate... 4 1.4.2. Centre de recherche FortiResponse... 5 1.5. CLIENTS... 6 2. POSITIONNEMENT DE L OFFRE FORTINET... 6 2.1. ANALYSE DU MARCHE... 6 2.1.1. Des attaques plus dangereuses sur le contenu applicatif... 6 2.1.2. Approche conventionnelle... 7 2.1.2.1. Un coût prohibitif... 8 2.1.2.2. Une sécurité discutble... 8 2.1.2.3. Des performances inadaptées... 8 2.1.3. Conclusion... 9 2.2. OFFRE FORTINET... 9 3. FONCTIONNALITE DE LA GAMME PRODUIT... 10 3.1. ARCHITECTURE... 10 3.1.1. FortiAsic... 11 3.1.2. FortiOS... 12 3.2. L ELEMENT CLEF: DES FONCTIONNALITES REELLEMENT INTEGREES... 12 3.2.1. Gestion du trafic en entrée... 13 3.2.2. Traitement des données en sortie... 15 3.2.3. Analyse IDS... 15 3.2.4. Conclusion... 15 3.3. FONCTIONNALITES DES PASSERELLES FORTIGATE... 16 3.3.1. Anti-virus... 16 3.3.1.1. Méthode de recherche et d analyse... 16 3.3.1.2. Détection et suppression du virus... 17 3.3.1.2.1. Support de tout type de fichiers... 18 3.3.1.2.2. Particularité des flux SMTP et FTP... 18 3.3.1.3. Mise à jour de la base des signatures... 18 3.3.1.4. Service complémentaire: le filtrage des fichiers... 20 3.3.1.4.1. Filtrage en fonction du nom du fichier... 20 3.3.1.4.2. Filtrage de fichiers et emails en fonction de leur taille...21 3.3.1.5. Messages de remplacement... 22 3.3.1.6. Mise en quarantaine... 23 3.3.1.7. Un service anti-virus transparent pour les utilisateurs... 23 3.3.1.8. Paramétrage des profils... 24 3.3.1.9. Logging et alertes... 25 3.3.2. Filtrage de contenu... 26 3.3.2.1. Différente combinaison de services : les profils... 27 3.3.2.2. Application d un profil à un type de trafic : les règles de flux... 28 3.3.2.3. Création des listes... 28 3.3.2.4. Messages de remplacement... 29 3.3.2.5. Logging et alertes... 30 3.3.2.6. Anti-SPAM... 30 3.3.2.6.1. Deux scénarios de contrôle : POP3/IMAP ou SMTP... 30 3.3.2.6.2. Spécificité SMTP... 31 3.3.2.6.3. Combinaison de services : les profils... 32 3.3.3. Pare-feu... 32 3.3.3.1. Mode transparent ou mode routé... 33 3.3.3.2. Matrice de flux... 33 3.3.3.3. Zones... 34 3.3.3.4. VLANs... 35
Page 3 3.3.3.4.1. VLANs et mode routé... 35 3.3.3.4.2. VLANs en mode transparent... 37 3.3.3.5. Définition des règles firewall... 38 3.3.3.6. Anti-spoofing et MAC binding... 39 3.3.3.7. Gestion de bande passante... 39 3.3.3.8. Authentification... 41 3.3.3.9. Divers : DHCP Server, DHCP relay, PPPoE... 41 3.3.3.10. Routage... 42 3.3.3.11. Logging et alertes... 43 3.3.4. Détection et prévention d intrusion... 43 3.3.4.1. Attaques détectées... 44 3.3.4.2. Méthodes de détection... 44 3.3.4.2.1. Signatures... 45 3.3.4.2.2. Anomalies... 46 3.3.4.3. Prévention d intrusion... 47 3.3.4.4. Activation par règle de flux... 47 3.3.4.5. Logging... 48 3.3.5. Clustering et HA... 48 3.4. SUPPORTED RFCS AND DRAFTS... 49 GAMME FORTIGATE... 52 4. INFRASTRUCTURE FORTIRESPONSE... 53 4.1. FORTIRESPONSE CENTER... 53 4.2. FORTIRESPONSE SECURITY RESPONSE TEAM... 54 4.3. FORTIRESPONSE DISTRIBUTION NETWORK... 54 4.4. ADMINISTRATION... 55 4.4.1. Gestion individuelle des boitiers... 55 4.4.1.1. Administration par commande en ligne... 55 4.4.1.2. Administration graphique... 55 4.4.1.3. Support SNMP... 56 4.4.2. FortiManager... 57 4.4.2.1. Architecture client/serveur... 58 5. CONCLUSION... 60
Page 4 1. FORTINET LA SOCIETE 1.1. CRÉATION DE FORTINET Fortinet, société privée, a été créée en l an 2000 par Ken Xie, fondateur visionnaire et précédemment président et CEO de Netscreen. 1.2. EQUIPE FORTINET Fortinet rassemble une équipe d experts mondialement reconnus dans le secteur de la sécurité réseau et des anti-virus. Font partie de cette équipe : Ken Xie précédemment architecte de Netscreen Joe Wells fondateur de la WildList (www.wildlist.org) et développeur de moteur de recherche anti-virus pour diverses sociétés comme Symantec et Trend Micro, expert reconnu dans le domaine des attaques virales Michael Xie précédemment directeur de la branche Recherche & Développement de Netscreen, et architecte des firewalls Milkway. 1.3. PRÉSENCE INTERNATIONALE Le siège de la société est basé à Santa Clara, en Californie. Fortinet dispose de bureaux en Australie, en Europe (France, Allemagne, Royaume-Uni, Suède, Italie), en Asie (Corée, Chine, Japon, Taiwan, Malaisie) et au Moyen-Orient (UAE/Dubai). Le support technique européen et le centre de formation sont situés en France, à Sophia Antipolis. 1.4. OFFRE FORTINET 1.4.1. Gamme FortiGate Netscreen a ouvert la voie des équipements pare-feu : qui assurent un bon niveau de performance grâce à une accélération matérielle des flux (réalisée par des composants silicium) et au format d appliance, ce qui simplifie considérablement leur exploitation. Le marché a répondu avec enthousiasme à cette innovation. Les fondateurs de Fortinet qui avaient mis au point la technologie Netscreen, en ont repris les principes dans la gamme FortiGate, tout en étendant leurs domaines d application. La passerelle FortiGate a été conçue pour délivrer une gamme complète de service de sécurité, du réseau (parefeu, VPN, détection et prévention d intrusion) au contrôle des données (anti-virus, filtrage de contenu) en une appliance dédiée et particulièrement simple à gérer. Fortinet repousse ainsi les limites de performance des solutions conventionnelles et offre enfin un traitement adapté aux applications exigentes du commerce électronique, ou au trafic temps réel du multi-média et du web. Les passerelles FortiGate détectent et éliminent tous les types d attaque sans dégrader les performances du réseau. Au sein d un même boitier, cette puissance peut être mise au service de l une quelconque des fonctions de sécurité ou de toute combinaison de ces services.
Page 5 Fortinet a mis en place une politque commerciale unique : les passerelles sont commercialisées sans contrainte de licence, indépendamment du nombre d interfaces connectées, d adresses IP ou de postes utilisateurs clients déployés sur le réseau. Une gamme certifiée La passerelle FortiGate a reçu la certification ICSA dans chacun de ses quatre domaines d excellence: pare-feu anti-virus VPN IPsec détection d intrusion. Fortinet a gagné plusieurs prix grâce à sa technologie innovante (consultable sur le site web http://www.fortinet.com/news/news.html). Fortinet a remporté, avec ses produits antivirus/firewall FortiGate, le prix Top Choice Award de VARBusiness Tech Innovators, dans la catégorie sécurité. Fortinet était en compétition avec près de 250 entreprises ayant posé plus de 400 candidatures différentes sur 8 catégories technologiques. La solution FortiGate 400 Antivirus Firewall a remporté le prix de la rédaction du magazine Internet Telephony pour ses performances et son prix compétitif. SC Magazine a attribué à Fortinet en 2003 le trophée Best Buy pour la solution FortiGate 3600 Enterprise Antivirus Firewall. 5 étoiles (sur 5) et des mentions «excellent» lui ont été attribuées pour ses fonctionnalités, sa performance et son prix compétitif. Les quadrants magiques du Gartner positionnent Fortinet parmi les acteurs visionnaires du marché. 1.4.2. Centre de recherche FortiResponse Fortinet a créé un centre de recherche, le FortiResponse qui opére 24h/24h, 7 jours sur 7, pour identifier les attaques et mettre au point les signatures.
Page 6 Il inclut : un réseau de serveurs chargés de distribuer les bases de données (virus/attaques), un portail Web qui fournit en temps réel des bulletins sur l activité du centre, ses recherches et ses mises au point, et met à disposition une large gamme d information, telle une encyclopédie des attaques ou une encyclopédie des virus. 1.5. CLIENTS La très large gamme FortiGate (12 boitiers) est adaptée aux besoins et aux budgets les plus divers, des environnements SOHO, TPE/PME/PMI, à ceux des grandes entreprises et opérateurs Telecom. Les environnements SOHO et TPE/PME/PMI peuvent désormais bénéficier d une sécurité complète, offerte par un boitier unique, particulièrement simple à configurer - là où les offres traditionnelles ne leur proposaient que des déploiements multi-boîtes, inadaptés, excessifs en coûts matériels et en coûts d opération. Les grandes entreprises et opérateurs de service peuvent également accéder, avec une gamme FortiGate qui leur est adaptée, à une architecture de plate-forme de sécurité simplifiée, plus sécurisée. Si l entreprise a déjà mis en place une infrastructure, la passerelle FortiGate sait s inscrire de façon totalement transparente dans l environnement existant, et coexiste avec des pare-feu, des passerelles VPNs ou tout autre équipement de sécurité déjà déployé (mode de fonctionnement dit «transparent»). 2. POSITIONNEMENT DE L OFFRE FORTINET 2.1. ANALYSE DU MARCHE 2.1.1. Des attaques plus dangereuses sur le contenu applicatif Les premières générations d attaques ont ciblé le réseau Si dans les premiers temps de l informatique, la sécurité physique était au coeur des préoccupations pour protéger les données, à l arrivée des réseaux, les pirates ont porté leurs efforts sur les protocoles de communications. Ils ont développé des attaques ciblant les connexions réseau pour accéder ou compromettre les données privées de l entreprise. Leurs méthodes incluaient le «spoofing» d adresses, la recherche de mots de passe, les dénis de services. La prévention de ces attaques a conduit au développement des firewalls, des passerelles VPNs, et des systèmes de détection d intrusion. Les attaques d aujourd hui se basent sur les contenus applicatifs Aujourd hui un nouveau type d attaque s est répandu, plus grave et plus efficace, qui porte sur les couches applicatives.
Page 7 Ces attaques plus dangereuses ne requièrent plus le maintien de connexions réseau pour agir. Une fois le virus ou le ver inséminé dans l ordinateur, celui-ci opère indépendamment de l attaquant. Contrer ce type d attaque est impossible si l on se limite au niveau réseau, puisque le ver provient souvent d une connexion légitime, comme un email ou une page web : ces attaques proviennent de codes malicieux contenus dans le trafic Internet. Ils prennent la forme de ver, de virus, de contenu actif de page HTTP, de chevaux de troie qui se disséminent dans les réseaux privés via la simple consultation de pages web ou la réception d emails. Ce mode de propagation assure une puissance d attaque décuplée. Les entreprises ont ainsi été les témoins d une très forte croissance à la fois du nombre des attaques et de leur sévérité. Par exemple, Nimda a été le premier code à modifier des sites web existants et à insérer un code malicieux dans les pages du serveur infecté. Les navigateurs web qui consultent ses pages modifiées sont automatiquement infectés. Le ver se propage ainsi très facilement derrière les réseaux même protégés par des firewalls. Les pirates utilisent de plus en plus des attaques dites combinées («blended threats») qui font appel simultanément aux techniques d attaque réseau et aux techniques d attaques applicatives qui exploitent les vulnérabilités des systèmes d exploitation et de ses logiciels. Ils utilisent souvent des méthodes d intrusion multiples qui permettent aux vers de se propager très rapidement. Etant donné les modes de propagation utilisés, ces attaques se répandent dans les sociétés indépendamment de leur secteur d activité, de leur taille, ou de la valeur de leur données informatiques. Potentiellement, toute société est concernée et peut être victime. Le coût des dommages pour les entreprises est considérable ; il est estimé à 10 milliards de dollars annuellement ; il est en constante augmentation. L année de leur parution, les vers Nimda et Code Red ont été à eux deux responsables de plus de 60% des attaques enregistrées. Les coûts combinés des dommages et des réparations ont été estimés à 5,5 milliards de dollars (source eweek). Garantir un usage approprié des ressources réseau Les entreprises souffrent également de l usage impropre qui sont faits des ressources réseau. Une attention grandissante est portée à ce qu il en soit fait un usage efficace : Les messages SPAM sont en haut de la liste des abus réseau pour une très grande partie des entreprises. AT&T Worldnet estime que 20% des messages reçus sont de ce type. Les opérateurs de service Internet estiment qu ils représentent 50% de leur trafic mail. L usage impropre qui est fait des connexions Internet à des fins de jeux, «chat», recherche de musique, consultation de sites inappropriés, téléchargement de fichiers, monopolise une part conséquente de la bande passante et du temps de travail. La productivité de l entreprise est significativement impactée. 2.1.2. Approche conventionnelle Les éditeurs/constructeurs ont répondu initialement aux attaques internet en développant ponctuellement une série de solutions : les pare-feu, les passerelles VPN, les sondes de détection d intrusion. Afin de contrôler les connexions entrantes sur les réseaux privées, les pare-feu permettent par translation d adresse de prévenir qu un système externe ne cible ses attaques contre une adresse privée. Cette translation a permis de lutter efficacement contre un grand nombre d attaque réseau. Les pare-feu examinent également l en-tête des paquets et contrôlent les adresses IP, les protocoles et les ports UDP/TCP. Les paquets sont acceptés ou rejetés
Page 8 indépendamment du contenu applicatif. Au niveau du trafic web, le pare-feu se contentera d accepter toute connexion sur le port 80. Ces outils pare-feu, IDS, VPN, ne sont pas capables d analyser le contenu des sessions. Ils ne réassemblent pas les données transportés par les paquets. Ils ne s intéressent qu à l enveloppe de ces données, non à leur contenu. Ils restent totalement inefficaces contre les attaques de contenu. Virus, vers et chevaux de troie sont indétectables par les firewalls. Ils ne sont pas plus efficaces pour vérifier si le contenu des données échangées est approprié au contexte de l entreprise (filtrage SPAM, sites pornographiques, etc.). Une collection plus complète de systèmes individuels a donc été développée, pour compléter les services pare-feu, VPNs, IDS/IDP : logiciels anti-virus, logiciels de filtrage d URLs, de filtrage anti-spam, etc. - chacun ne répondant chacun qu à une partie de la problématique. 2.1.2.1. Un coût prohibitif Les entreprises ont été contraintes de déployer des architectures multi-boîtes coûteuses. Chaque composant de la solution représente autant de systèmes à gérer individuellement : multiplication des installations, des paramétrages, des opérations de maintenance diversité des connaissances à acquérir sur chacun des systèmes d exploitation et sur chacun des logiciels. complexité des architectures et multiplication des points de failles et d incidents potentiels. La construction d une plate-forme de sécurité multi-boîtes, son acquisition, son implémentation et son intégration, sa gestion et sa maintenance sont des défis coûteux qu un grand nombre d entreprise de moindre taille ne peuvent se permettre de relever. Elles ont donc longtemps été contraintes de ne répondre qu à une partie de la problématique. Nombre de sites n ont pu s équiper que d une solution de sécurité partielle. 2.1.2.2. Une sécurité discutble Les éléments individuels de la plate-forme de sécurité multi-boîtes sont difficiles à intégrer, et ne sont pas conçus pour interopérer entre eux. Pour répondre efficacement à une attaque qui se répand rapidement, chaque élément doit réagir de concert et en temps réel. 2.1.2.3. Des performances inadaptées Le niveau de performance offert par les solutions conventionnelles est faible. La puissance processeur requise est considérable pour extraire les données de multiples paquets, reconstruire le contenu applicatif original, scanner les données, et déterminer des signes d attaques. Les solutions conventionnelles, majoritairement logicielles, sont incapables de délivrer la puissance nécessaire à un traitement temps réel des flux : le traitement des flux web nécessite la prise en compte très rapide de paquets de petite taille (par opposition au trafic de messagerie). Si un message peut attendre 30s sur une passerelle anti-virus, il n est pas admissible de subir 3 à 5s d attente sur des pages Web. Or aujourd hui 25% des attaques de contenu sont délivrées par des pages webs. Si la majeure partie des sociétés ont déployé des solutions de contrôle de flux messagerie, rares sont celles qui vérifient les flux web, faute de solution abordable et performante.
Page 9 Multiplier les composants d une plate-forme additionne d autant les délais de transmission, augmentant significativement la latence, puisque chaque équipement doit effectuer les mêmes opérations de réassemblage et de reconstitution des données transportées. Un anti-virus reçoit l ensemble des paquets d une session, charge les données en mémoire, en analysant leur contenu par rapport à une base de signatures. Si ce même flux traverse un système de filtrage de contenu, les paquets vont être à nouveau interceptés pour restituer les données qui seront comparées par rapport à une base de mots clefs et d URLs. 2.1.3. Conclusion En conclusion, les solutions de sécurité conventionnelles requièrent une multiplicité d équipements, induisent des coûts d investissement et de gestion élevés, sont difficiles à coordonner et à intégrer, et ne répondent pas aux attentes utilisateurs en terme de performance. Un changement significatif des technologies de l information crèe un nouveau challenge pour les entreprises qui utilisent le commerce électronique et la collaboration en ligne pour offrir leurs services. Les solutions conventionnelles ne sont pas adpatées à leur contrainte de fonctionnement. Une nouvelle approche est donc nécessaire. 2.2. OFFRE FORTINET L unique façon de délivrer des services efficaces de contrôle de contenu serait de réassembler les paquets, reconstruire les données fichiers, programmes, etc. puis de scanner le tout pour rechercher, en seule fois et rapidement (par Asics), les virus, vers, URLs non autorisées et mots interdits. C est exactement ce pourquoi ont été conçues les passerelles FortiGate. Ce sont les premiers équipements à avoir été élaborés pour fournir une protection complète du réseau, au sein d une appliance performante, unique et intégrée. Les données échangées sur le réseau ne subissent qu une seule opération de ré-assemblage et une analyse accélérée puisqu opérée par des composants silicium. Architecturée autour d un système d exploitation, d un matériel dédié, et de l asic FortiAsic développé par Fortinet, les passerelles FortiGate offrent une intelligence applicative complète : pare-feu, VPNs, détection d intrusion, gestion de bande passante, anti-virus, filtrage de contenu, pour des débits pouvant atteindre jusque 4Gb/s (FortiGate 3600). En consolidant l ensemble des services de sécurité, elles permettent de simplifier considérablement les architectures tout en éliminant les goulots d étranglements logiciels. Elles assurent une utilisation optimale des ressources réseau, en améliorent la sécurité sans compromettre les performances, pour un coût toujours inférieur aux solutions conventionnelles. Réduction des coûts matériels et logiciels Un point clef du positionnement de l offre Fortinet, outre la richesse des fonctionnalités de sa gamme, est la suppression de tout concept de licence. Toutes les fonctions sont disponibles quelque soit l équipement. Leur activation ne dépend que des configurations établies par les administrateurs et non de licences logicielles.
Page 10 Ainsi les fonctions d anti-virus, de filtrage de contenu sont implémentables sur l ensemble de la gamme pour un nombre illimité de postes clients ; la fonction firewall gère un nombre illimité d adresses IP, la fonction IDS analyse un nombre quelconque d interfaces. Les élements de la gamme diffèrent entre eux par les débits supportés, les caractéristiques réseau (comme le nombre d interfaces, de VLANs ou la haute disponibilité), ou d autres critères comme la présence d un disque dur local. Réduction des coûts d opération Les coûts d exploitation de la plate-forme de sécurité sont considérablement réduits par la simplification de l architecture. Une passerelle Fortigate est à même de remplacer un nombre impressionnant d équipements réseau si l on tient compte des multiples passerelles firewall, VPNs, anti-virus, filtrage de contenu, sondes de détection d intrusion (une par réseau), répartiteurs de charge, commutateurs de niveaux 2. Le nombre de failles potentielles et d incidents est ramené à son minimum. La présentation des FortiGate sous forme d appliance réduit encore les coûts d exploitation : plus aucun système d exploitation à maîtriser, paramétrer, patcher. Un accent particulier a été mis sur la simplicité de configuration et de gestion des appliances FortiGate. 3. FONCTIONNALITE DE LA GAMME PRODUIT 3.1. ARCHITECTURE La technologie ABACAS (Accelerated Behavior and Content Analysis System) est le fondement de l architecture des FortiGate. Ces composants premiers sont la puce FortiAsic et le système d exploitation FortiOS. Le FortiAsic est un asic développé par Fortinet et spécialisé dans le traitement des contenus applicatifs et la comparaison par rapport à des bases de données, Le FortiOS est un système d exploitation propriétaire, robuste et sécurisé, optimisé pour le traitement des données en temps réel (qui inclut la gestion de files d attente). Cette architecture unique permet aux passerelles d analyser les données applicatives à la vitesse du fil. Les FortiGate couvrent ainsi l ensemble des besoins de sécurité sans impacter les performances du réseau. Elles peuvent être déployées en tant qu anti-virus et filtrage de contenu en complément d un pare-feu et d une passerelle VPN existante, ou bien comme système complet de protection du réseau.
Page 11 3.1.1. FortiAsic La puce FortiAsic dispose de quatre moteurs d analyse de contenu qui accélèrent les traitements anti-virus, VPN, pare-feu, IDS et filtrage de contenu. Le moteur de recherche est capable d identifier des donnéees de différents types parmi des milliers de signatures de virus, d attaques, de mots clefs, d URL, d adresse emails, d adresses de serveurs SMTP, etc. Le moteur de chiffrement supporte entre autre les algorithmes AES et 3DES. Un FortiGate peut délivrer un très haut débit VPN, tout en analysant les flux déchiffrés au niveau anti-virus. Enfin, le moteur firewall accélère l analyse des en-têtes réseau, et le moteur de gestion de flux exécute les opérations de «traffic shaping». Mise à jour dynamique des bases de données et des moteurs de l asic La définition des virus et des attaques sous forme de signatures est stockée dans une base logicielle, mise à jour régulièrement et automatiquement, sans interruption de service. L architecture FortiGate est évolutive. Les moteurs d analyse se mettent à jour pour prendre en compte de nouvelles bases de signatures, de nouveaux algorithmes de recherche pour contrer de nouveaux types d attaques (anti-virus, IDS), pour supporter de nouveaux algorithmes de chiffrement, comme AES. Le schéma ci-dessous illustre l architecture matérielle des passerelles FortiGate. Architecture Fortigate
Page 12 La mémoire à partir de laquelle travaille le FortiAsic est dimensionnée de 64Mo à 1 Go en fonction des équipements. 3.1.2. FortiOS Le système d exploitation FortiOS est un système propriétaire mis au point par Fortinet. Il a été développé autour de critères : de sécurité, de performance nécessaire à l analyse temps réel des applications, et de portabilité sur différents type de matériel. Il peut être executé sur des processeurs ARMs (FortiGate entrée de gamme) ou des processeurs Intel (monoprocesseur Intel mileu de gamme et bi-processeurs en haut de gamme). Cette portabilité assure à Fortinet un très large portfolio (12 boitiers aujourd hui) adapté à tous les prérequis en terme de performance et de budgets. Le cœur de ce système d exploitation est un noyau optimisé, sécurisé, temps réel et optimisé au traitement des paquets. Il fournit une ossature et un environnement commun à l ensemble des applications Fortinet. Le FortiOS supporte des APIs permettant l intégration aisée d applications qui tournent sur des systèmes d exploitation standard comme Linux tels Secure Shell, ou serveur Web. Le FortiOS supporte de multiples applications. Aujourd hui les passerelles FortiGate offrent des services pare-feu, VPN, IDS/IDSP, filtrage de contenu, de gestion de bande passante. Dans sa porchaine version logicielle, il supportera encore : une fonctionnalité anti-spam, les réseaux wireless, les pare-feu virtuels. 3.2. L ELEMENT CLEF: DES FONCTIONNALITES REELLEMENT INTEGREES Les appliances FortiGate se distinguent de tout autre type d équipement dit «intégré» par son architecture unique, mise au point dès le départ pour supporter l ensemble des éléments clefs de la sécurité. Elle a été d emblée optimisée pour prendre en compte l ensemble des traitements pare-feu, anti-virus, IDS/IDP, filtrage de contenu. Il ne s agit donc pas d un pare-feu auquel on aurait rajouter des fonctions de détection d intrusion ou de filtrage de contenu. Il ne s agit pas non plus d un système de détection d intrusion qui aurait peu à peu intégré des fonctions de pare-feu. Les passerelles FortiGate ont été conçues, élaborées pour gérer de façon optimisée l ensemble des fonctions de sécurité, des couches réseaux aux couches applicatives. Toutes les applications supportées sont le résultat d un développement Fortinet. L objectif des paragraphes suivant est de montrer en quoi l intégration de fonctions multiples offre un service que les architectures multi-boîtes ne peuvent égaler.
Page 13 3.2.1. Gestion du trafic en entrée Le module de routage Lorsqu un FortiGate reçoit un paquet sur une interface, il le transmet au module de routage : Le module de routage détermine à partir des adresses IP si le paquet est accepté ou non. Son travail dépend du mode de configuration du FortiGate. En mode routé, la passerelle ne prend en compte que les paquets qui lui sont envoyés à son adresse MAC propre. Le module de routage supporte les routes statiques en fonction des adresses de destination, mais également du «policy routing» en fonction des adresses sources, ou des ports TCP/UDP, et du routage dynamique RIP. en mode transparent, la passerelle fonctionne en pont de niveau 2 ; les paquets reçus sur une interface sont transmis à une interface de sortie en fonction de l adresse MAC destination. Si celle-ci n est pas connue, le paquet est floodé. Le paquet est ensuite envoyé au module de déchiffrement. Module de Chiffrement Le module de chiffrement examine si le paquet est chiffré ou non. Si tel est le cas, il identifie la session IPSec à partir de l identifiant SPI, puis déchiffre le paquet.
Page 14 Une fois le paquet déchiffré, il est pris en charge par le module pare-feu. Le module Pare-feu Le module pare-feu examine si le paquet doit être accepté ou rejeté : Si c est un paquet qui n appartient pas à une session existante, il identifie la règle qui doit s appliquer, en tenant compte du calendrier horaire. Sinon, si le pare-feu ayant conservé une table des sessions en cours, il n est plus besoin d identifier la règle qui s applique. Le module TCP et application Si le paquet fait partie d un flux Web ou messagerie (ou certains autres protocoles comme H323), et si la règle firewall indique qu un contrôle de contenu ou un contrôle anti-virus doit être appliqué, le paquet est envoyé au module applicatif. La couche applicative reconstruit les données. Le contenu est copié dans un buffer spécifique pour être ensuite analysé par le FortiAsic. Le moteur anti-virus et le moteur de filtrage de contenu utilisent des signaux de synchronisation avec le moteur firewall pour informer du statut du buffer, de sorte que dès qu un virus est détecté, ou qu un contenu doit être bloqué parce que non autorisé, le pare-feu puisse annuler le transfert et envoyer un message d alerte. Si le module de filtrage de contenu détecte un mot ou une URL interdite, le traitement anti-virus s arrête de concert, et le trafic est bloqué. Et vice versa.
Page 15 3.2.2. Traitement des données en sortie Le processus pour que les données quittent le FortiGate suit le chemin inverse, auquel s ajoute le module de «traffic shaping». Cette fonction est activée en fonction des paramètres de la règle firewall dans lequel s inscrit le flux. 3.2.3. Analyse IDS Le module IDS intervient à tous les niveaux de la vie d un paquet. Il fait appel au FortiAsic pour rapidement analyser les flux à chacune des étapes suivies (réseau, transport, application). Il interagit de façon spécifique avec le module firewall pour bloquer le trafic dès qu il détecte une attaque à n importe quel niveau d analyse. Le module firewall exécutera également toute action complémentaire spécifiée par la signature, comme bloquer un trafic avec un port TCP spécifique, provenant d une source spéficique, et pendant un certain laps de temps. 3.2.4. Conclusion L interaction des différents modules permet l optimisation des traitements. Les modules agissent de concert. Si le module de filtrage de contenu détecte un mot, une URL interdite, ou un spam, l analyse anti-virus est arrêtée, et la session peut être bloquée par le firewall. De même, l IDS pilote le firewall pour prévenir les attaques.
Page 16 3.3. FONCTIONNALITES DES PASSERELLES FORTIGATE 3.3.1. Anti-virus Un système anti-virus efficace requière une architecture dédiée unique et optimisée. Les élements clefs de la solution Fortinet reposent sur : son architecture ABACAS TM. et son centre de support et recherche, l infrastructure FortiResponse 1. La fonction anti-virus des passerelles FortiGate est avant tout basée sur une recherche de signatures, technique qui reste aujourd hui la plus fiable et la plus répandue. Elle implémente aussi des techniques complémentaires comme la recherche macro et la recherche heuristique. La recherche par signatures requière moins de puissance de traitement, les recherches heuristiques étant les plus consommatrices. Le moteur commence par la méthode de recherche la moins consommatrice. D un qu un virus est détecté, la recherche s arrête. Implémenter plusieurs techniques de détection garantit le meilleur service de recherche anti-virus. 3.3.1.1. Méthode de recherche et d analyse Recherche par signature Les passerelles FortiGate disposent d une base de données de signatures (chargée en mémoire) et d un moteur de recherche (exécuté par le FortiAsic). Le moteur examine les données utilisateurs et identifie un virus par comparaison d après la base de signatures. Une signature simple est une chaîne d octets qui correspond à une séquence du code d un virus. Une signature peut se compliquer par incorporation de «wildcard» pour prendre en compte les variations d un virus. Les auteurs de virus ont considérablement compliqué le travail des chercheurs anti-virus en chiffrant le code du virus, ce qui lui donne un caractère aléatoire et rend le développement d une signature beaucoup plus complexe. Ils ont également mis au point des virus polymorphiques, qui se modifient sensiblement à chaque réplication, compliquant encore la génération des signatures. La détection des virus est d autant plus consommatrice en ressources que la base de données des signatures est importante, et que les signatures sont complexes. Face à la croissance des attaques dites combinées («blended attack»), le challenge est à présent d offrir des systèmes qui soient capables d identifier et bloquer les virus en temps réel quelque soient les débits réseaux. Il faut par ailleurs noter que la taille de la base de données des signatures n est en aucun cas un gage de qualité ou d efficacité d une soluton anti-virus, contrairement à ce que certains éditeurs tendent à faire croire. Il n est pas rare de voir des produits afficher une base de 60 000 virus. Si de façon intuitive, l efficacité d une solution anti-virus peut être perçue comme liée au nombre de signatures détectées, la réalité est assez différente. Sur 60 000 virus connus à ce jour, il n en existe que 1 000 effectivement actifs. Cette liste des virus actifs est 1 Voir le paragraphe 4 Infrastructure FortiResponse page 53
Page 17 maintenue à jour par une communauté d experts, regroupés au sein de la «WildList». Parmi les 59 000 virus restants, certains n ont jamais été publié, d autres ont été conçus pour infecter des systèmes d exploitation ou des applications qui n ont plus cours. Un moteur qui rechercherait à identifier des virus en utilisant une telle base de données perdrait en efficacité et impacterait significativement les performances du réseau par des temps de latence accrus. Recherche par Macro La recherche par Macro permet d extraire les macros des fichiers MS Offices, pour détecter les virus connus. Elles sont analysées pour vérifier si leur comportement est suspect, comme importer/exporter du code, écrire dans les registres, tenter de dévalider des fonctions de sécurité. Si l un de ces tests s avère positif, le fichier est considéré comme infecté par un virus macro. Recherche heuristique Les méthodes de détection heuristiques sont appliquées par les FortiGate pour la recherche de virus dans les fichiers exécutables. Elle s adresse aujourd hui essentiellement aux binaires de type PE (Portable Executable). Ce format est utilisé par Microsoft comme standard de fichier exécutable depuis Win95. Les auteurs de virus ont donc adapté leurs techniques pour être capables d infecter ces binaires. En examinant le format de ces fichiers, et en observant certains types de modifications, il est possible d arrêter un virus, alors même qu il n existe pas encore de signature pour ce fichier. Le moteur FortiGate applique donc un certain nombre de tests aux fichiers PE. Le résultat de chaque test produit une note. Les notes sont ensuite pondérées et additionnées, et si le résultat final dépasse un seuil, le moteur indique qu un virus est présent. Recherche contextuelle Le moteur de recherche du FortiAsic analyse les flux de façon contextuelle. En fonction des données bufferisée, il ne consulte en mémoire que les portions appropriées de la base de signatures. 3.3.1.2. Détection et suppression du virus Les FortiGate protège les réseaux de l ensemble des virus actifs et entre autres ceux définis par la WildList. La WildList est la liste qui fait autorité dans l identification des virus en activité. Pour plus d information, on peut consulter la WildList sur www.wildlist.org. La liste des virus détectés, la date de parution des signatures, et la version de la base de données qui permet de lutter contre, est à disposition sur le site web www.fortinet.com. Font par exemple partie des attaques détectées, les attaques de type Cross-Site Scripting. Les attaques de type SQL Injection sont quant à elles bloquées par le moteur IDS. Si un virus est détecté dans un flux HTTP, FTP ou email (IMAP, POP3), le FortiGate supprime le fichier virusé, et le remplace par un message d alerte qui est envoyé à l utilisateur. Quand le FortiGate dispose d un disque dur, une option de quarantaine est disponible.
Page 18 La passerelle peut se configurer pour analyser sur des ports non standard les protocoles HTTP, POP3, SMTP et IMAP. Il est par exemple possible de configurer jusqu à 20 ports d écoute HTTP. 3.3.1.2.1. Support de tout type de fichiers Le moteur anti-virus recherche tous les fichiers associés au flux HTTP et messagerie : par exemple, les exécutables (exe, bat, com) les fichiers visual basic (vbs), les fichiers compressés (en gérant jusqu à 12 niveaux de compression), les économiseurs d écrans (scr), les librairies dynamiques (dll), les fichiers Microsoft Office, etc. Nombreux attachements utilisent les formats d extension MIME (Multipurpose Internet Mail Extensions). Le moteur anti-virus est capable d examiner les données MIME pour identifier les fichiers cibles. Une fois les fichiers cibles interceptés, ils sont analysés par le moteur. Afin d optimiser la détection de virus, le moteur de recherche applique une recherche contextuelle : il teste chaque fichier selon la méthode d analyse la plus optimisée, et il adapte sa recherche de virus au type de fichiers. Dans le cas des fichiers Microsoft Office, il vérifiera en particulier les virus macros. SMTP 3.3.1.2.2. Particularité des flux SMTP et FTP Si un virus est détecté dans un flux SMTP, le FortiGate peut intéragir avec la passerelle SMTP de deux façons différentes : le FortiGate intercepte l email, examine la présence de virus, puis si tel est le cas, supprime le fichier qui contient le virus, rajoute un message d avertissement, puis transmet l email modifié au serveur SMTP. le FortiGate transmet l email au serveur SMTP en même temps qu il le reçoit. S il détecte un virus, il arrête la connexion vers le serveur SMTP, et renvoie un message d erreur au destinataire, listant le virus et le nom du fichier infecté. Cette option, plus efficace en terme de débit réseau, ne permet pas au serveur SMTP d envoyer l email à son destinataire. Particularité FTP Deux modes d interaction sont également disponibles entre le FortiGate et les flux FTP. En mode «splice», le FortiGate transmet au réseau le flux FTP en même temps qu il le bufferise. Si un virus est détecté, il arrête le transfert, et supprime le fichier partiellement chargé sur le serveur si les permissions le lui permettent. Utiliser ce mode de transmission permet de réduire les problèmes de timeout FTP lors des transferts de larges fichiers. Lorsque ce mode est désactivé, le FortiGate bufferise la totalité du fichier, effectue son analyse anti-virus, puis transmet le fichier. Si un virus est détecté, le fichier ne sera pas transmis. 3.3.1.3. Mise à jour de la base des signatures Les passerelles FortiGate peuvent être configurées pour télécharger automatiquement les mises à jour de la base. Il est aussi possible de réaliser l opération manuellement.
Page 19 La base de données est maintenue à jour en fonction des nouvelles attaques contrées par le FortiResponse 2. Lorsque la base est modifiée, les serveurs du FortiResponse prennent immédiatement en compte la modification. Ces serveurs sont accessibles 24h/24h par toute passerelle FortiGate qui se soit enregistrée auprès du centre. Cette inscription se fait «online» : Inscription en ligne d un FortiGate auprès du FortiCenter Lorsqu une passerelle se connecte sur un serveur, sa base de données est mise à jour en moins d une minute. Les passerelles peuvent être configurées pour rechercher de façon régulière si la base de signatures doit être mise à jour (interrogation hebdomadaire, journalière, ou toutes les heures). Un second mode de mise à jour est également disponible : le mode dit «push udate». L architecture du FortiResponse permet à ses serveurs d alerter automatiquement les passerelles qu une nouvelle base est disponible. Les serveurs envoient cette information aux passerelles qui ont été paramétrées pour bénéficier de ce service (message envoyé par UDP sur un port spécifique) ; sur réception de ce signal, les FortiGate déclenchent automatiquement la mise à jour de leur base locale. 2 Voir le paragraphe 4 Infrastructure FortiResponse page 53 pour une description détaillée
Page 20 Paramétrage de la mise à jour des signatures 3.3.1.4. Service complémentaire: le filtrage des fichiers Le moteur anti-virus offre également un service d interception de fichiers : en fonction de leur nom, au-delà d une taille limite paramétrable, L interception de fichiers permet de bloquer tous les fichiers qui représentent un risque potentiel. C est la seule protection possible contre un virus pour lequel une signature n aurait pas encore été développée. 3.3.1.4.1. Filtrage en fonction du nom du fichier Tout fichier dont une partie du nom correspond à une des chaînes de caractères configurées est intercepté. Le FortiGate remplace le fichier par un message qui alerte l utilisateur, il inscrit l information dans la log anti-virus, et peut également envoyer un email d alerte à un administrateur. Sur un modèle FortiGate 200 ou supérieur qui dispose d un disque dur, les fichiers bloqués peuvent optionnellement être mis en quarantaine. Par défaut lorsque la fonctionnalité est activée, les passerelles FortiGate bloquent les fichiers suivants: Fichiers exécutables (*.bat, *.com, and *.exe) Filchiers compressés ou archives (*.gz, *.rar, *.tar, *.tgz, and *.zip) Librairies dynamic link (*.dll) Applications HTML (*.hta) Fichiers Microsoft Office (*.doc, *.ppt, *.xl?) Fichiers Microsoft Works (*.wps) Fichiers Visual Basic (*.vb?) Économiseurs d écran (*.scr)
Page 21 Il est bien sûr possible de paramétrer sa propre liste de fichiers. Paramétrage des fichiers automatiquement bloqués 3.3.1.4.2. Filtrage de fichiers et emails en fonction de leur taille La passerelle FortiGate peut être configurée pour utiliser 1 à 15% de la mémoire disponible pour bufferiser les fichiers ou emails au-delà de la taille limite. Cette limite sera portée prochainement à 40% de la mémoire (version 2.5, MR7). Il sera également possible d utiliser le disque dur local pour stocker de façon temporaire les très larges fichiers transférés. Un fichier qui dépasse cette taille peut être automatiquement bloqué par la passerelle qui envoie alors un message de remplacement.
Page 22 La taille limite des fichiers ou emails est paramétrable par l administrateur en fonction des protocoles : Paramétrage de taille de fichiers maximales 3.3.1.5. Messages de remplacement Lorsqu un fichier, une page web, un mail, a été bloqué par le moteur anti-virus (un virus a été détecté, fichier a été bloqué d après sa taille ou la politique de nommage), un message de remplacement est envoyé à l utilisateur. Le contenu de ce message est paramétrable par l administrateur. Paramétrage des messages de remplacement
Page 23 3.3.1.6. Mise en quarantaine Une passerelle Fortigate qui dispose d un disque dur (à partir des FortiGate 200) peut être configurée pour mettre en quarantaine tout message ou fichier bloqué. Les utilisateurs reçoivent alors un message les avertissant de cette mise en quarantaine. L administrateur peut visualiser graphiquement les fichiers en quarantaine, avec des informations sur les status, duplications, et l âge des fichiers en qarantaine. Des options de tri sont également disponibles. L administrateur peut télécharger les fichiers pour les soumettre à l équipe FortiResponse. Le graphe ci-dessous illustre la politique de mise en quarantaine : Paramétrage de la politique de quarantaine En cas d espace disque rempli, l administrateur peut être averti par email. Pour éviter qu une telle situation ne se produise, il est possible, dès que l espace libre disponible atteint une taille critique, d écraser les fichiers en quarantaine les plus anciens par les nouveaux arrivant. Les FortiGate savent également gérer cet espace disque en paramétrant un temps maximum de mise en quarantaine. Au-delà de la limite, les fichiers sont automatiquement supprimés. 3.3.1.7. Un service anti-virus transparent pour les utilisateurs La protection anti-virus des FortiGate est totalement transparente pour les utilisateurs. Aucun proxy n est à paramétrer sur les postes clients. La passerelle FortiGate intercepte les paquets à la volée, quelque soit le protocole. Elle peut donc se connecter dans un environnement existant sans aucune reconfiguration du réseau. Une passerelle FortiGate peut être installée : en mode transparent elle se connecte en coupure de réseau, et agit alors en pont réseau en mode routé la passerelle route entre ses différentes interfaces, mais la fonction antivirus reste toujours transparente pour les utilisateurs (pas de proxy à configurer).
Page 24 Ces caractéristiques garantissent la simplicité des phases de tests, d évaluation et de mise en production des FortiGate. 3.3.1.8. Paramétrage des profils Comme nous l avons vu, le moteur anti-virus offre trois types de services : un service de détection de virus un service d interception de fichiers, un service de mise en quarantaine. Chacun de ces services peut s appliquer : au trafic Web HTTP, HTTPs 3, au trafic de messagerie (IMAP, POP3, SMTP) au trafic FTP natif ou encapsulé dans HTTP. Différente combinaison de services : les profils Des profils spécifiques peuvent être définis en fonction des services activés et des protocoles cibles. Quatre profils sont prédéfinis : «strict», «scan», «web», et «unfiltered». Le profil «web» ne contrôle que les virus web et les met en quarantaine, Le profil «scan» bloque les virus web et mail et les met en quarantaine. Le profil «strict» bloque les virus web et mail, les met en quarantaine, et assure un filtrage de fichiers selon leur nom ou leur taille. Toute autre combinaison est paramétrable, comme l illustre le graphe ci-dessous : Paramétrage des profils 3 Supporté en version 2.8
Page 25 Application d un profil à un type de trafic : les règles de flux Ce profil est ensuite associé à une règle. Une règle identifie le flux auquel doit s appliquer un profil. Les critères de définition des règles permettent de gérer finement quel type de trafic doit subir quel type d analyse. Cela permet notamment de contrôler et optimiser l utilisation des ressources des passerelles FortiGate. Comme l illustre le schéma ci-dessous, les critères de définition d un flux comprennent : les interfaces physiques et logiques (les VLANs) les tunnels VPNs les adresses IP les protocoles et les ports applicatifs. 3.3.1.9. Logging et alertes Illustration d une règle anti-virus Tout événement, et notamment la détection de virus ou l interception de fichiers, peut être enregistré dans une log : locale au FortiGate, ou distante, envoyée alors à travers le réseau au format syslog ou au format Welf. La politique de log est adaptable en fonction de la sévérité des informations (emergency, alerte, critical, error, warning, etc.).
Page 26 Afin de gérer l espace disque, il est possible d activer la rotation des logs en fonction d une taille maximale ou d un âge limite atteint par les évenements enregistrés. Les logs virus sont activées en fonction des types d événements (détection de virus, ou interception de fichiers suite à un dépassement de taille ou de filtrage sur son nom) : 3.3.2. Filtrage de contenu Le FortiGate permet de : filtrer les contenus des pages web et les URLs non autorisées, bloquer les applets Java, les cookies et les scripts ActiveX.
Page 27 Le FortiGate offre également un service de filtrage mail : POP3, SMTP, IMAP : il bloque les mails en fonction d un contenu non autorisé, ou il les valide en fonction de l adresse des émetteurs. Lorsque le FortiGate identifie que l émetteur est indésirable, il rajoute un tag dans le sujet de l email (par exemple «unwanted email»), il inscrit l information dans la log, puis transmet l email au destinataire. L utilisateur peut alors utiliser son client de messagerie pour filtrer le message reçu. Cette fonctionnalité fournit un service anti-spam de premier niveau un moteur anti-spam complet étant disponible en version 2.8. 3.3.2.1. Différente combinaison de services : les profils Des profils spécifiques peuvent être définis en fonction des services de filtrage activés. Quatre profils sont prédéfinis : «strict», «scan», «web», et «unfiltered». Le profil «web» filtre les URLs, le contenu des pages web et les scripts (Java, cookies, ActiveX). Le profil «scan» n apporte pas de filtrage de contenu (ni web, ni mail). Le profil «strict» filtre les URLs, contrôle le contenu des pages web, bloque les scripts (Java, cookies, ActiveX), et filtre le contenu des emails POP3, SMTP, IMAP. Toute autre combinaison de services est paramétrable, comme l illustre le graphe cidessous : Paramétrage des profils
Page 28 3.3.2.2. Application d un profil à un type de trafic : les règles de flux Les profils ainsi définis sont ensuite associés à une règle. La règle identifie le flux pour lequel doit s appliquer le profil. Les critères pris en compte permettent de définir finement les flux impactés par le filtrage. Ils comprennent : les interfaces physiques les interfaces logiques les VLANs les tunnels VPNs les adresses IP (réseaux, hosts, ou tout groupement) les protocoles et les ports applicatifs. Illustration d une règle de filtrage de contenu web 3.3.2.3. Création des listes Le trafic Web et mail est filtré par le FortiGate selon 6 listes, qui sont définies manuellement ou importées par fichier texte. 5 langues sont disponibles : western, chinois simplifié, chinois traditionnel, japonais et coréen. Le service Web dispose des trois listes suivantes : la liste des mots ou phrases non autorisés la liste des URLs bloqués (URL complètes, ou blocs d URL comme «badsites.*») la liste des exceptions cela permet d autoriser une page web qui aurait normalement été filtrée. Il existe plusieurs sources référencées de listes d URLs et de mots clefs qui peuvent être importées dans un FortiGate : SquidGuard (www.squidguard.com) fournit gratuitement des listes d URLs, disponibles sur Internet et téléchargeables par HTTP ou FTP. Les listes sont classées par catégories. DansGuardian (dansguardian.org) fournit gratuitement des listes de mots clefs. urlblacklist.com www.spamcop.net
Page 29 Le FortiGate supporte également le filtrage d URL Cerberian (www.cerberian.com). Le service Mail dispose des trois listes suivantes : la liste des mots ou phrases non autorisés la liste des adresses expéditeurs non souhaités (adresses individuelles comme sender@abccompany.com ou adresses de domaine, par exemple mail.abccompany.com) la liste des exceptions (cette liste permet de légitimer un email qui aurait normalement été taggué ou bloqué d après les règles de contenu). 3.3.2.4. Messages de remplacement Lorsqu une page Web ou un email a été intercepté par le moteur de filtrage, un message de remplacement est envoyé à l utilisateur. Celui-ci est paramétrable par l utilisateur : paramétrage des messages de remplacement
Page 30 3.3.2.5. Logging et alertes Les logs de filtrage de contenu sont activées en fonction des types d événements : Activation des logs A chaque évenement, un email d alerte peut également être envoyé à un administrateur. 3.3.2.6. Anti-SPAM En complément du filtrage par mot clefs déjà disponible sur les courriers électroniques 4, Fortinet introduit une fonction complète anti-spam dans sa version 2.8 (prévue pour mars/avril 2004). Un message SPAM est un email à large diffusion, non sollicité, qui outre les désagréments causés à celui qui le reçoit, crèe une importante charge inutile au niveau des serveurs de messageries. Les passerelles FortiGate détectent les messages SPAM, et préviennent les transmissions de serveurs mail manifestement connus pour distribuer ce type de messages ou suspectés de le faire. 3.3.2.6.1. Deux scénarios de contrôle : POP3/IMAP ou SMTP Le filtrage SPAM disponible pour les protocoles POP3, IMAP et SMTP est implémenté à deux niveaux : dans le premier scénario, le FortiGate effectue son contrôle anti-spam sur les flux utilisateurs qui téléchargent leurs emails. Ces messages ont déjà été interceptés par un serveur MTA (Mail Transfert Agent). Dans le deuxième scénario, le FortiGate agit avant que le MTA ne reçoivent les messages SPAM. Lorsqu un message SPAM est détecté au cours de son transfert, du serveur SMTP distant vers les serveur SMTP local, le FortiGate peut bloquer le courrier avant qu il ne soit totalement transmis. Si la connexion SMTP est originaire d un serveur reconnu pour la distribution de SPAM, celle-ci peut être bloquée au 4 Voir le paragraphe 3.3.2.1 Différente combinaison de services : les profils page 27
Page 31 niveau TCP optimisant ainsi la protection du réseau et les ressources de la passerelle. Ce type de fonctionnalité est rendu possible par l intégration des moteurs pare-feu et anti-spam. Le moteur anti-spam interagit avec le moteur firewall pour bloquer les sessions. Scénarios de filtrage anti-spam Les messages SPAM peuvent être soit supprimés (dans le cas des connexions SMTP), soit marqués d un tag paramétrable dans le sujet du message. L action prise en compte peut être logguée dans la log dédiée anti-spam des FortiGate. 3.3.2.6.2. Spécificité SMTP Filtrage des serveurs SMTP Le FortiGate peut bloquer toute connexion SMTP qui soit initiée à partir d un serveur listé non autorisé. Il supporte la définition de serveurs autorisés et de serveurs autorisés (gestion de «black list» ou «white list»). Ces listes peuvent être : maintenues statiquement par l administrateur FortiGate. Il est alors responsable de définir les adresses ou les nom IP des serveurs SMTP acceptés/interdits. ou maintenues dynamiquement par listes RBL (Real-Time Blackhole List) et par vérification ORDB (Open Relay DataBase). Le FortiGate interroge des bases de données (RBL et ORDB) de serveurs publiquement accessibles. Une liste de serveurs est prédéfinie, et peut être modifiée par l administrateur (ajout, suppression, etc.). Reverse DNS Lookup Une vérification par «reverse DNS lookup» est exécutée sur réception d une commande HELO du client SMTP. Cette commande inclut un nom de domaine, objet de la vérification par reverse DNS. La réponse est ensuite comparée avec l adresse IP de l émetteur. Filtrage au niveau messages Les destinataires et émetteurs des messages sont vérifiés par consultation de listes de type «black list» et «white list» d une façon similaire à celle des serveurs SMTP. Le FortiGate vérifie que le domaine email de retour a bien été renseigné dans le champ MX et/ou A.
Page 32 Il vérifie que les en-têtes des messages ne contiennent pas de malformations SPAM spécifiques. Il vérifie que les en-têtes, sujets et corps de messages ne contiennent pas de mots interdits, la liste des mots étant définie en local par l administrateur. 3.3.2.6.3. Combinaison de services : les profils Les fonctionnalités anti-spam du FortiGate sont activées en fonction des profils. Les profils permettent d activer tout ou partie des fonctions SPAM comme indiqué par le schéma ci-dessous : Création de profils anti-spam Les profils sont ensuite activés par définition de règles firewall. 3.3.3. Pare-feu Le pare-feu FortiGate analyse le trafic réseau au niveau transport et réseau. Les règles firewall définissent la politique de contrôle. Quand le pare-feu reçoit un paquet, il analyse les adresses IP sources et destination, le protocole et les services (ports TCP/UDP). Cette analyse est réalisée par le moteur firewall du FortiAsic. L examen hardware des paquets accélère considérablement l identification du flux auquel appartient un paquet. Les critères disponibles pour l analyse des paquets sont : les interfaces physique et logique (VLANs) source/destination les adresses IP source/destination les protocoles les ports TCP/UDP.
Page 33 Une fois le type de flux identifié, le pare-feu applique la règle firewall correspondante. Les actions sont au choix : accepter ou rejeter authentifier l utilisateur avant d autoriser la connexion appliquer un traitement VPN (chiffrer ou déchiffrer) translater les adresses gérer la bande passante occupé par le flux (bande passante garantie, maximum, niveau de priorité) ou toute combinaison de ces actions. Il est également possible d associer un profil à chaque règle firewall. Un profil définit la politique de contrôle anti-virus et de filtrage de contenu pour les trafics web (HTTP, HTTPs), email (POP3, IMAP, SMTP) et FTP (natif ou encapsulé dans HTTP). Les actions exécutées par le pare-feu peuvent dépendre d un calendrier. Le pare-feu peut ainsi appliquer différentes règles en fonction de l heure, du jour, du mois ou de l année. Le FortiGate gère la translation d adresses «many-to-one» ou «Port Address Translation» et la translation «many-to-many» par création de pool d adresses IP. Le pare-feu FortiGate se distingue des acteurs traditionnels de ce marché, par son extrème simplicité de configuration qui n affecte en aucun cas la richesse de fonctionnalités (gestion de zones, de bande passante, mode transparent ou routé, etc.). 3.3.3.1. Mode transparent ou mode routé Une caractéristique unique des passerelles FortiGate est de supporter indifféremment les deux modes de fonctionnement: routé ou transparent, et d être capable d offrir les mêmes niveaux de services pare-feu, anti-virus, contrôle de contenu, IDS/IDP, etc. En mode routé, le FortiGate agit comme un équipement de niveau 3, et opère les fonctions de routage entre ses interfaces (interfaces physique ou logiques). En mode transparent, le FortiGate agit comme un équipement de niveau 2 de type pont réseau. Ses interfaces n ont pas besoin d avoir d adresse IP (hormis pour le management). Dans ce mode, le FortiGate peut venir s intercaler sur un lien réseau de façon complètement transparente pour les utilisateurs et les autres équipements du réseau, ce qui simplifie considérablement les phases de tests, d évaluation ou de mise en production. 3.3.3.2. Matrice de flux Les règles firewall sont regroupées en fonction des interfaces sur lesquelles les flux sont reçus et émis. Elles sont présentées sous forme d une matrice, ce qui offre simplicité et convivialité de configuration.
Page 34 Par exemple, dans le cas d un FortiGate disposant de deux interfaces interne/externe, la matrice des règles firewall se présente comme : Matrice des règles firewall Dans le cas où des VLANs ont été configurés, ceux-ci apparaissent comme une interface, au même titre que les interfaces physiques. 3.3.3.3. Zones Toujours pour simplifier les opérations de configuration, il est possible de regrouper un ensemble d interfaces en zone pour simplifier la gestion des règles firewall. Les interfaces d une même zone héritent automatiquement des règles paramétrées sur la zone. Les zones regroupent des interfaces physiques ou des interfaces logiques (VLANs). Le graphe suivant illustrent l utilisation de ces zones logiques : Définition de polices par zones Ce type de vue facilite le paramétrage, la gestion et la consultation des règles firewall. Les zones permettent également d adapter la configuration des passerelles FortiGate en environnement opérateur : utiliser un équipement unique pour offrir des services dédiés à chacun des clients. Les zones correspondent alors à des compartiments logiques, chaque compartiment pouvant être associé à un client particulier. Le FortiGate bloque
Page 35 alors toute communication entre les zones. Et le Service Provider peut définir la granularité des services offerts à chaque client : service de pare-feu, d IDS, de filtrage de contenu, etc. Utilisation des zones dans un environnement Service Provider 3.3.3.4. VLANs Grâce au support des VLANs, un FortiGate (à partir du modèle FortiGate 200) peut fournir des services de sécurité entre différents domaines logiques, chaque domaine étant identifié par son ID VLAN. Le FortiGate sait reconnaître un ID VLAN et appliquer les règles de sécurité qui lui sont associées. Suivant le mode de fonctionnement qui est activé sur le FortiGate (transparent ou routé), la passerelle s insère différemment dans les architectures VLANs. 3.3.3.4.1. VLANs et mode routé En mode routé, l interface interne de la passerelle FortiGate est classiquement connectée à un commutateur de niveau 2 par une interface trunk, sur lequel elle reçoit l ensemble des VLANs, tandis que l interface externe est connectée à un routeur qui fournit l accès Internet.
Page 36 Le FortiGate est alors capable de sécuriser les communications entre les différents VLANs mais également entre les VLANs et l Internet. Le schéma suivant illustre ce type de topologie : Exemple de topologie VLAN en mode routé
Page 37 Le support des VLANs est disponible sur l ensemble des interfaces des FortiGate. Le schéma ci-dessous est un autre exemple d application VLAN : Exemple de déploiement FortiGate avec VLAN On peut définir le même VLAN ID sur deux interfaces physiques distinctes. Deux interfaces logiques de même VLAN ID ne communiquent pas entre elles. Il est possible de configurer plusieurs VLANs avec la même adresse de réseau. Le FortiGate sait gérer le recouvrement d adresses IP. 3.3.3.4.2. VLANs en mode transparent En mode transparent, le FortiGate fonctionne en équipement de niveau 2 qui contrôle les flux entre segments d un même VLAN. La passerelle est alors insérée dans un lien Trunk de façon complètement transparente pour le réseau, et peut offrir un service de sécurité spécifique au trafic reçu au niveau de chacun des VLANs. Elle peut être utilisée pour appliquer des règles de contrôle différentes par VLANs.
Page 38 Exemple de topologie VLANs en mode transparent En mode transparent, le nombre de VLANs supportés dépend des modèles de la gamme FortiGate : Nombre de VLANs supportés par modèle FortiGate en mode transparent 3.3.3.5. Définition des règles firewall Le graphe ci-dessous illustre la création des règles firewall. Définition des règles firewall
Page 39 Les critères sur les adresses IP source/destination peuvent inclure toute combinaison d adresse Host ou de réseaux. Chaque règle firewall est valide sur une plage définie de calendrier, récurrente ou ponctuelle, en fonction des minutes, heures, mois, et années. Toute combinaison de services (les ports TCP/UDP, les protocoles) peut être associée à la règle (service unique, plage de services, ou tout groupe de services et de plages). Les actions associées à un règle de flux sont : accepter/rejeter/chiffrer. Lorsque la translation d adresses est sélectionnée, une règle many-to-one (Port Adresse Translation) s applique par défaut automatiquement de sorte que les réseaux sont cachés derrière l adresse IP de l interface du firewall. Tout autre type de translation est paramétrable (many-to-many, many-to-one en utilisant une autre adresse IP que celle de l interface). 3.3.3.6. Anti-spoofing et MAC binding Les fonctionnalités IP/MAC binding permettent au FortiGate de prévenir les attaques IP de type spoofing. Ces attaques tentent d accéder au réseau privé de l entreprise en utilisant une adresse IP source qui serait vue comme une adresse de confiance. Le FortiGate permet de définir des associations statiques d adresses MAC / adresses IP. 3.3.3.7. Gestion de bande passante Le FortiGate est à même de gérer la qualité de service. Une solution de gestion de qualité de service complète est capable d identifier les flux et de les traiter prioritairement. L administrateur doit tout d abord qualifier les flux importants pour le réseau, ceux qui utilisent une bande passante conséquente, ceux qui sont sensibles aux délais. Il peut par exemple identifier les flux liés au commerce électronique de l entreprise, les flux multimédia, et les flux voix. Le FortiGate implémente deux techniques afin d assurer la gestion de la bande passante : Le «traffic shaping», la gestion de files d attente et de niveaux de priorité. Traffic shaping Il s agit de techniques de bufferisation et de lissage pour réguler le trafic selon un débit particulier. Les paquets qui dépassent un seuil sont mis en attente dans des buffers. Contrairement à une police stricte, le traffic shapping tente d éviter que les paquets ne soient rejetés lorsque les débits sont trop importants. Il ajoute un temps de latence aux données en stockant les paquets dans des buffers avant leur envoi sur le réseau. Le «traffic shaping» utilise une technique de panier de jetons (ou «token bucket») pour garantir et limiter la bande passante. Cette technique permet de ralentir les données issues de pics de trafic (les «bursts») qui dépassent un seuil limite.
Page 40 Le panier de jeton agit en régulateur de trafic. Les jetons sont rajoutés au panier selon un débit fixe (R). Le panier a une capacité limite. Chaque jeton représente une certaine quantité d octets à transmettre sur le réseau. Par exemple avec des jetons de 500 octets, la fonction de régulateurs peut demander l utilisation de 3 jetons, pour transmettre un paquet de 1500 octets, et un jeton pour un paquet de 500 octets. Lorsque le panier est rempli, les nouveaux jetons qui arrivent sont rejetés. Le pic de trafic maximum autorisé correspond ainsi à la taille du panier. Pour permettre la transmission d un paquet sur le réseau, le régulateur du panier demande le nombre de jetons correspondant à la taille du paquet. S il n y a pas assez de jetons disponibles, le paquet est bufferisé dans une file d attente jusqu à ce que suffisamment de jetons soient disponibles. Ainsi le débit du trafic transmis sur le réseau ne peut pas dépasser la vitesse de remplissage du panier. La gestion de bande passante est disponible pour tous les protocoles, incluant par exemple H323, SIP, TCP, UDP, ICMP, ESP. Bande passante garantie et bande passante maximale La bande passante maximale ou garantie définie par une règle firewall est la bande passante totale que peut utiliser l ensemble des flux identifiés par la règle. Gestion des files d attente et niveaux de priorité Le FortiGate est également capable de gérer plusieurs niveaux de files d attente. Les files d attente, constituées de buffers, détermine la priorité des paquets qui sont transmis. Trois niveaux de priorité sont disponibles : haute, moyenne, et basse. Un trafic de haute priorité est traité avant un trafic de moyenne ou basse priorité. Les files d attente sont gérées par l algorithme «weighted fair queuing». Définir des niveaux de priorité permet de gérer la transmission des paquets en fonction de leur importance en cas d engorgement. Cette fonction de qualité de service adresse les problématiques de temps de latence des applications sensibles aux délais.
Page 41 Le FortiGate fournit de la bande passante au trafic de basse priorité lorsque les applications de haute priorité ne demande pas de bande passante. Par exemple, on peut définir une bande passante garantie pour la voix et le commerce électronique. On peut ensuite assigner une haute priorité au trafic voix et une priorité moyenne au trafic du commerce électronique. Pendant les périodes de charge, si les deux trafics requièrent une bande passante qui n est pas disponible, le trafic voix sera transmis prioritairement. 3.3.3.8. Authentification Le FortiGate peut être configuré pour authentifier les flux utilisateurs qui le traversent. La passerelle dispose d une base de données locale, mais peut aussi authentifier les utilisateurs en interrogeant un serveur externe RADIUS ou LDAP. Il est possible de définir plusieurs serveurs d authentification et d assigner des serveurs distincts par utilisateurs. En cas de non réponse d un serveur RADIUS, les autres serveurs de la liste RADIUS peuvent être interrogés à leur tour. La fonction d authentification des FortiGate peut être utilisée : pour les flux qui traverse le firewall en clair pour les protocoles HTTP, FTP et Telnet. Il est possible de forcer une authentification pour d autres protocoles (comme IMAP, POP3). Dans ce cas, les utilisateurs s authentifieront par une connection FTP, Telnet ou HTTP auprès du FortiGate avant de pouvoir utiliser le service. ou pour l authentification des tunnels VPNs IPSec (avec ou sans fonction Xauth), PPTP et L2TP. 3.3.3.9. Divers : DHCP Server, DHCP relay, PPPoE Les passerelles FortiGate offrent également des services de relais DHCP et de serveur DHCP. Ces services sont disponibles sur chaque interface.
Page 42 Le serveur DHCP peut être paramétré pour configurer les clients DHCP avec 3 adresses de serveurs WINs, deux adresses de serveur DNS, le routeur par défaut, etc. Les adresses allouées sont définies par pool par listes d adresses réservées ou par listes d exclusion. 3.3.3.10. Routage Le FortiGate supporte le routage statique et RIP v1 et v2 pour le routage dynamique. Pour chaque route définie statiquement, il est possible de paramétrer jusque deux gateways. Si la première passerelle n est plus disponible, le FortiGate utilisera automatiquement la deuxième gateway. Paramétrage de multiple gateways pour chaque route statique
Page 43 L accessiblité de la gateway primaire est déterminée par un ping configurable. L administrateur peut choisir la destination que les pings doivent atteindre pour valider la disponiblité ou non de la gateway. Un cas d application de cette fonctionnalité est celui d un FortiGate disposant de deux liens PPPoE redondants pour accéder à Internet via deux opérateurs distincts. La route par défaut est configurée sur un des liens. Si ce lien n est plus disponible, suite aux pings restés sans réponse, le trafic bascule alors automatiquement sur le lien alternatif. Le FortiGate gère également le source routing ou le policy routing (par exemple, définir une route en fonction des ports TCP/UDP). 3.3.3.11. Logging et alertes Le trafic identifié par une règle firewall peut être enregistré dans une log locale si le FortiGate dispose d un disque dur (à partir du modèle FortiGate 200). Le FortiGate permet de visualiser séparément les logs des services pare-feu, anti-virus, filtrage de contenu Web, filtrage de contenu Mail, et détection d intrusion. Les logs locales peuvent être téléchargées au format texte ou CVS. Les événements peuvent également être envoyés à des serveurs syslog externes, ou des serveurs de type Webtrend au format Welf. 3.3.4. Détection et prévention d intrusion Le moteur NIDS des FortiGate comprend : la détection d intrusion la prévention d intrusion la gestion des messages du module de réponse. Le caractère unique de l architecture FortiGate permet au moteur IDS de s insérer à tous les niveaux de l analyse des flux : au niveau du module de routage, au niveau du module firewall (pour un examen stateful des attaques), au niveau de la gestion des contenus. C est ce qu illustre le graphe ci-dessous : De l IDS réseau à l IDS applicatif
Page 44 De plus, pour une meilleure optimisation des ressources, l analyse IDS est contextuelle. En fonction de la nature des données analysées, le moteur IDS n applique que les recherches qui lui sont associées. Les passerelles gagnent encore en performance et efficacité. 3.3.4.1. Attaques détectées Le FortiGate est capable d analyser quelques 1500 attaques. Ces attaques sont de type : DDOS par flooding (dont smurf, SYN flood, UDP flood, ICMP flood, etc.) ou par malformation (pont ping of death, chargen, tear and drop, land, winnuke, etc). Reconnaissance qui vise à obtenir de l information sur les ordinateurs afin d en exploiter les vulnérabilités (fingerprint, ping sweep, port scan, bufferoverflows incluant SMTP, POP3, FTP, recherche de comptes utilisateurs, identification de système d exploitation, etc.) Exploits, qui tentent de tirer avantages des fonctionnalités ou bugs pour s infiltrer dans un ordinateur attaque «brute force» CGI scripts comme Phf, EWS, info2www, TextCounter, GuestBook, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail, etc. attaque Web Server attaque Web Browser (par URL, HTTP, HTML, JavaScript, Frames, Java, ActiveX) attaque SMTP (SendMail) attaque IMAP/POP buffer overflow attaque DNS (BIND et Cache inclus) IP spoofing chevaux de troie (BackOrifice 2K, IniKiller, Netbus, NetSpy, Priority,Ripper, Striker, SubSeven, etc.) et les techniques de contournement des IDS ou «evasion attack» (signatures spoofing, signatures encodées, fragmentation IP, désassemblage TCP/UDP). 3.3.4.2. Méthodes de détection Deux méthodes de détection sont implémentées.
Page 45 3.3.4.2.1. Signatures La première méthode fait appel aux signatures. Elles sont regroupées en familles comme l illustre le graphe ci-dessous :
Page 46 A titre d exemple, la catégorie web-iss donne accès aux signatures individuelles cidessous : Example de signatures IIS Les signatures sont individuellement activables/désactivables. Signatures manuelles Le FortiGate permet aux administrateurs de définir eux-même leurs signatures et de les incorporer à la liste existante. Ces signatures peuvent également faire l objet d une prévention d intrusion. 3.3.4.2.2. Anomalies La deuxième méthode d identification des attaques se base sur la détection d anomalies dans les comportements réseau. Lorsque la détection d anomalie est activée pour un flux TCP, UDP ou ICMP, le FortiGate déclenche des compteurs. Pour les attaques de type flooding : déclenchement d une alerte sur dépassement d un nombre de sessions à la seconde pour une même destination. Pour les attaques de type scan : déclenchement d une alerte sur dépassement d un nombre de sessions à la seconde pour une même source, etc. False-positive Les tests de certification ICSA inclut une période de tests intensif sur 24h, au cours desquels le FortiGate n a généré aucun false-positive.
Page 47 3.3.4.3. Prévention d intrusion Le FortiGate peut également prévenir toutes les tentatives d intrusion IP, ICMP, UDP, TCP. La prévention est activable/désactivable individuellement par attaque. Des seuils de déclenchement sont proposés par défaut et sont paramétrables. Les techniques de prévention incluent : la suppression des paquets, la réinitialisation de connexion, le bloquage d adresse IP source, etc. Exemple de paramétrage de seuil pour une prévention d intrusion 3.3.4.4. Activation par règle de flux Pour activer le module IDS/IDP, il suffit de créer un profil dans lequel le service sera validé, puis de définir une règle firewall identifiant le trafic sur lequel appliquer le profil. Exemple de profil sur lequel le service IDS/IDP est activé
Page 48 3.3.4.5. Logging Activation du profil sur un flux Une fois qu une tentative d intrusion est détectée, l information est conservée dans la log des attaques (en local ou sur un serveur distant par syslog ou au format Webtrend), et un message d alerte peut être envoyé par email à l administrateur. 3.3.5. Clustering et HA Des passerelles FortiGate (de même modèle) peuvent être configurées en cluster. Ce mode de fonctionnement assure une redondance matérielle, mais aussi un partage de charge. Jusque 32 unités peuvent être associées à un même cluster. Les passerelles FortiGate disposent donc nativement de mécanismes de partage de charge anti-virus, pare-feu, filtrage de contenu, etc. Si une unité s avère indisponible, ses sessions firewall sont alors prises en charge de façon transparente par les autres unités ; ses sessions VPN basculent également de façon transparente. Les utilisateurs n ont pas à réinitialiser les sessions. Les passerelles d un cluster communiquent entre elles selon le protocole FGCP (FortiGate Control Protocol) à partir une interface Ethernet dédiée. Le protocole est utilisé pour échanger des informations de status et de charge. Toute modification de configuration opérée sur une unité est automatiquement synchronisée sur les autres passerelles. Le cluster est vu du réseau comme un unique boitier.
Page 49 Un cluster peut être configuré en mode actif-actif ou actif-passif. En mode actif-passif, une des unités est passerelle primaire et filtre l ensemble trafic réseau. Elle est secourue par une ou plusieurs passerelles secondaires qui, elles, ne traitent pas de flux réseau. En mode actif-actif le cluster dispose de même d une passerelle maître et de passerelles secondaires, mais la charge de traitement est répartie entre les unités du cluster. La passerelle maître est responsable de la distribution du trafic et de l exécution de l algorithme de load-balancing. Différents algorithmes de répartition de charge sont disponibles : répartition des flux en fonction des adresses IP en fonction des adresses IP et des ports en fonction du nombre de sessions en cours round robin weighted round robin random Les deux types de fonctionnement actif-actif et actif-passif supportent le mode routé ou le mode transparent. Les passerelles se partagent les mêmes adresse IP, les mêmes adresses MAC virtuelles. 3.4. SUPPORTED RFCS AND DRAFTS System (IP, TCP, UDP, ICMP, NTP, DNS, DHCP, RIP, SMTP) RFC 1119, Network Time Protocol (Version 2) Specification and Implementation RFC 1305, Network Time Protocol (Version 3) Specification, Implementation RFC 793, Transmission Control Protocol RFC 1918, Address Allocation for Private Internets RFC 822, Standard for the format of ARPA Internet text messages RFC 1700, Assigned Numbers RFC 791, Internet Protocol RFC 1112, Host extensions for IP multicasting RFC 1035, Domain names, implementation and specification RFC 2131, Dynamic Host Configuration Protocol RFC 768, User Datagram Protocol RFC 792, Internet Control Message Protocol RFC 1191, Path MTU discovery RFC 1323, TCP Extensions for High Performance RFC 1058, Routing Information Protocol RFC 2453, RIP Version 2 RFC 1812, Requirements for IP Version 4 Routers RFC 1340, Assigned Numbers RFC 1519, Classless Inter-Domain Routing (CIDR): an Address Assignment and Aggregation Strategy RFC 1009, Requirements for Internet Gateways RFC 2460, Internet Protocol, Version 6 (IPv6) Specification RFC 2373, IP Version 6 Addressing Architecture RFC 2474, Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) RFC 1869, SMTP Service Extensions
Page 50 Interface (PPPoE, Ethernet) RFC 894, Standard for the transmission of IP datagrams over Ethernet (STD0041) Access (HTTP, TELNET, TFTP, FTP, SNMP) RFC 2516, A Method for Transmitting PPP Over Ethernet (PPPoE) Access (HTTP, TELNET, TFTP, FTP, SNMP) RFC 2616, Hypertext Transfer Protocol -- HTTP/1.1 RFC 2068, Hypertext Transfer Protocol -- HTTP/1.1 RFC 1945, Hypertext Transfer Protocol -- HTTP/1.0 RFC 1866, Hypertext Markup Language, - 2.0 RFC 1867, Form-based File Upload in HTML RFC 854, Telnet Protocol Specification RFC 959, File Transfer Protocol RFC 1350, TFTP Protocol (revision 2) SNMP RFC 1155, Structure and Identification of Management Information for TCP/IP basedinternets RFC 1156, Management Information Base for network management of TCP/IP basedinternets RFC 1157, Simple Network Management Protocol (SNMP) RFC 1212, Concise MIB definitions RFC 1213, Management Information Base for Network Management of TCP/Ip based internets:mib-ii RFC 1215, Convention for defining traps for use with the SNMP RFC 1573, Evolution of the Interfaces Group of MIB-II RFC 1650, Definitions of Managed Objects for the Ethernet-like Interface Types using SMIv2 RFC 1902, Structure of Management Information for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1905, Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1906, Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) User (RADIUS, LDAP) RFC 2865, Remote Authentication Dial In User Service (RADIUS) RFC 2251, Lightweight Directory Access Protocol (v3) VPN (IPSec, PPTP, L2TP) IETF Draft, IPSec-NAT Compatibility Requirements IETF Draft, Negotiation of NAT Traversal in IKE IETF Draft, UDP Encapsulation of IPSec Packets IETF Draft, Extended Authentication within IKE (XAUTH) (XAuth version 4) RFC 2401, Security Architecture for Internet Protocol Filters (Web, Email, NIDS) RFCs and Drafts Supported by FortiGate Antivirus Firewalls Technical Note 5 RFC 2409, The Internet Key Exchange (IKE)
Page 51 RFC 2410, The NULL Encryption Algorithm and its Use With IPSec RFC 2411, IP Security Document Roadmap RFC 1321, The MD5 Message-Digest Algorithm RFC 2401, Security Architecture for the Internet Protocol RFC 2403, The Use of HMAC-MD5-96 within ESP and AH RFC 2104, HMAC: Keyed-Hashing for Message Authentication RFC 1631, The IP Network Address Translator (NAT) RFC 2406, IP Encapsulating Security Payload (ESP) RFC 2408, Internet Security Association and Key Management Protocol (ISAKMP) RFC 2459, Internet X.509 Public Key Infrastructure Certificate and CRL Profil RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP RFC 2412, The OAKLEY Key Determination Protocol RFC 2404, The Use of HMAC-SHA-1-96 within ESP and AH RFC 2405, The ESP DES-CBC Cipher Algorithm With Explicit IV RFC 2631, Diffie-Hellman Key Agreement Method RFC 1829, The ESP DES-CBC Transform RFC 1661, The Point-to-Point Protocol (PPP) RFC 2637, Point-to-Point Tunneling Protocol RFC 2661, Layer Two Tunneling Protocol L2TP Filters (Web, Email, NIDS) RFC 2267, Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing
Page 52 GAMME FORTIGATE La spécificité de l offre Fortinet est également liée à la richesse de sa gamme produit, qui se décline en 12 boitiers, le dernier né de la gamme étant le FortiGate 4000 (correspondant à 10 unités FortiGate 3600 en châssis). Avec des modèles adressant le marché SOHO comme le marché des grandes entreprises et des opérateurs, la gamme Fortigate couvre l ensemble des besoins.
Page 53 4. INFRASTRUCTURE FORTIRESPONSE L infrastructure FortiResponse est un élément clef de la solution FortiGate. Elle fournit des informations à jour contre les dernières attaques de sécurité et assure à l ensemble des passerelles déployées une mise à jour permanente et automatique de la base de données des signatures. Le FortiResponse comprend : le FortiResponse Center, un portail web qui fournit les dernières informations contre les nouveaux virus, attaques et vulnérabilités, le FortiResponse Security Team, une équipe d experts sécurité provenant de Trend Micro, Symantec, Network Associates, Check Point, dédiés à la recherche contre les nouveaux virus, qui développent et mettent à jour la base de données des signatures, le FortiResponse Distribution Network, un réseau de serveurs qui distribuent automatiquement les mises à jour de la base des signatures. 4.1. FORTIRESPONSE CENTER Le FortiResponse Center est un portail web, accessible sur www.fortinet.com ; il fournit une vue des attaques courantes, fournit des informations spécifiques sur les virus et vulnérabilités, décrit en détail les dernières attaques. Le FortiResponse est mis à jour chaque jour, sa navigation est aisée. C est un point d accès unique pour toute information clef liée aux attaques et virus. Il reflète l engagement de Fortinet de fournir les meilleurs services de protection. Il contient les sections suivantes : Status Summary Cette page liste et décrit brièvement les derniers virus, attaques et vulnérabilités identifiés. Virus Encyclopedia et Attack Encyclopedia Cette encyclopédie des virus fournit une description détaillée des virus, vers, chevaux de troie et autres attaques actives sur le réseau. Elle donne un niveau de sévérité, la date de découverte et la version de la base de données qui permet de lutter contre. Vulnerability List Cette liste fournit des liens vers des sites web où sont publiés des bulletins d alerte de vulnérabilité. Ressources Cette page fournit une liste complète de documents et white paper Fortinet sur le thème de la sécurité. Submit Virus Sample Cette page décrit comment soumettre un nouveau virus à Fortinet. Le FortiResponse Center permet également de s inscrire pour recevoir le FortiResponse bulletin, émis chaque jour, qui fournit un résumé des événements clefs qui ont eu lieu au cours des 24 dernières heures. Il indique également si les FortiGate ont été mis à jour avec une nouvelle base d information.
Page 54 4.2. FORTIRESPONSE SECURITY RESPONSE TEAM L équipe Security Response Team est un composant majeur de l infrastructure FortiResponse. Elle recherche et développe les informations de sécurité délivrées par Fortinet. Mobilisée 24h/24h, elle identifie les attaques, collecte et analyse les virus, développe les signatures et crèe les mises à jour des bases anti-virus et IDS qui seront ensuite distribuées sur les FortiGate. Elle fournit la réponse la plus rapide possible aux attaques émergentes. Cette équipe de spécialistes est dirigée par Joe Wells, également fondateur et président de la WildList, qui contribue à la recherche anti-virus depuis 1988. Grâce à son équipe, le FortiGate est l unique passerelle anti-virus qui mette en œuvre une technologie d accélération hardware (Asic) à être certifiée ICSA. 4.3. FORTIRESPONSE DISTRIBUTION NETWORK Le rôle du FortiResponse Distribution Center est de fournir en temps utile les mises à jour de la base de données des signatures, et de façon sécurisée. Il garantit à l ensemble des passerelles FortiGate déployée un service de distribution efficace et sans faille des signatures anti-virus et IDS. Pour garantir une disponibilité de service, plusieurs serveurs du FortiCenter sont déployés en Amérique du Nord, Europe et Asie. Chaque FortiGate peut être configuré pour communiquer avec deux serveurs FortiCenter, et les serveurs peuvent re-router les demandes vers d autres serveurs en cas de pic de charge. Répartition géographique des serveurs du FortiCenter Le réseau de distribution est hiérarchique : un centre primaire (FSRT) et plusieurs centres secondaires (FDC). Chaque centre est équipé d un ou plusieurs serveurs de distribution FortiResponse. En fonctionnement normal, les FortiGate consultent à intervalle régulier la disponibilité d une nouvelle base. En cas d alerte grave comme celle provoquée par Nimda, Fortinet avertit ses clients de procéder au plus vite à la mise à jour.
Page 55 Le réseau de distribution peut également être paramétré pour avertir automatiquement les FortiGate qu il leur faut exécuter une mise à jour. Ce mode dit «push» assure en cas d attaque critique une fenêtre de vulnérabilité réduite au minimum. Architecture du réseau de distribution Un partage de charge dynamique est effecté entre les serveurs de distribution. Si un serveur est trop sollicité, il peut rediriger les demandes de mises à jour vers un serveur moins chargé. La sécurité des communications entre serveurs est assurée par SSL. 4.4. ADMINISTRATION 4.4.1. Gestion individuelle des boitiers 4.4.1.1. Administration par commande en ligne Les FortiGate peuvent être entièrement configurés par commande en ligne. L accès depuis la console d administration est sécurisée par SSH. 4.4.1.2. Administration graphique Le FortiGate est administrable graphiquement par navigateur web. Les connexions sont sécurisées par SSL.
Page 56 L interface permet de configurer l équipement et de visualiser les statistiques de fonctionnement, comme les taux CPU, mémoire, logs, etc. 4.4.1.3. Support SNMP Les FortiGate supportent également SNMP (v1 et v2c) pour l envoi de traps en cas d événements particuliers, et de MIBs propriétaires pour les statistiques de fonctionnement. Pour des questions de sécurité, aucun paramétrage ddes FortiGate n est possible en SNMP. L accès est en lecture seule. Mibs SNMP supportées Le tableau suivant liste les MIBs standards et propriétaires supportées par les FortiGate.
Page 57 Mibs SNMP supportées Traps supportés Le FortiGate peut émettre des traps SNMP pour tout événement significatif, par exemple : cold start system down interface up/down Utilisation CPU supérieure à 90% Utilisation mémoire supérieure à 90% Utilisation disque supérieure à 90% HA cluster défaillant Les moteurs pare-feu, anti-virus, filtrage de contenu, IDS, VPN peuvent également émettre des alertes SNMP : Tunnel up/down Attaque de type flooding Attaque de type scan de port Virus detecté Log remplie 4.4.2. FortiManager FortiManager est une plate-forme intégrée destinée à l administration centralisée des FortiGate. FortiManager permet de configurer de multiples boitiers, surveiller leur statut, et avoir une vue temps réel ou historique des logs. FortiManager peut administrer plusieurs milliers de boitiers. Il est destiné aux grandes entreprises et aux fournisseurs de services managés. L architecture de FortiManager est
Page 58 caractérisée par sa robustesse, son évolutivité, sa facilité d usage, et de possibles intégrations avec des systèmes tierces. Le système FortiManager permet de gérer les unités FortiGate tout au long de leur cycle de vie. Configuration Une fois une nouvelle passerelle déployée sur site avec une configuraton minimum, le reste du paramétrage peut être réalisé depuis le FortiManager. Celui-ci sait également récupérer dynamiquement les configurations d un parc FortiGate et les stocker dans sa base de données. Les modifications de configuration se font ensuite «offline». Les paramètres de configuration peuvent aussi bien porter sur les règles firewall, les adresses IP, etc. Monitoring Le FortiManager monitore l activité des boitiers, les attaques, les événements. Il forunit l historique des logs et une vue en temps réel. Mises à jour FortiManager permet également de gérer les versions logicielles des parcs FortiGate et de distribuer les nouveaux firmware. 4.4.2.1. Architecture client/serveur FortiManager est caractérisé par son architecture client/serveur : la console de visualisation, le serveur FortiManager, les passerellesfortigate. Console FortiManager La Console FortiManager, basée sur des applets Java, peut être installée sur un PC Windows 2000, Windows XP Home et Windows XP Professionnel, ou linux. La Console FortiManager dispose de 2 modes de fonctionnement : mode démonstration ou mode réel.
Page 59 La Console est activée en mode démonstration pour décrouvrir ses différentes fonctionnalités sans avoir besoin de se connecter à un serveur FortiManager. En mode réel, la Console est utilisée pour administrer les unités FortiGate, visualiser les différentes configurations, leurs statuts, l historique des logs ou les logs en temps réel. La console d administration dispose de plusieurs niveaux d administration (jusque 7 niveaux). Les droits et les accès aux unités FortiGate peuvent être fixés individuellement pour chaque administrateur ajouté à la Console. Les administrateurs avec des droits de lecture/écriture peuvent visualiser les configurations, leurs états et les logs, et peuvent modifier les unités FortiGate dont ils ont la responsabilité. Ces administrateurs peuvent également upgrader à distance les firmware, les signatures de virus et d attaques. Les administrateurs avec un accès en lecture seule peuvent visualiser les configurations, leurs états et les logs des unités FortiGate dont ils ont la responsabilité. Il est possible de définir des droits d accès plus élaborés, comme des droits qui limitent l accès aux règles firewalls seules, qui permettent de créer un administrateur particulier pour une fonctionnalité donnée. Le Serveur FortiManager Le Serveur FortiManager est une plate-forme hardware robuste, sécurisée dont l installation est simple. Ce serveur gère les communications entre les unités FortiGate et la Console FortiManager. Architecture FortiManager
Page 60 Sécurisation des connexions Les communications entre les unités FortiGate et le Serveur FortiManager, ainsi qu entre la Console et le Serveur sont authentifiées et chiffrées. Le Serveur FortiManager communique avec les clients FortiGate en utilisant SSH pour visualiser et mettre à jour les configurations. Les communications entre le Serveur FortiManager et les Consoles sont sécurisées par SSL. L interface Corba du System FortiManager est utilisée pour les communications entre la Console et le Serveur. Cette interface standard du marché facilite l intégration au sein de systèmes de management existants. 5. CONCLUSION Les passerelles FortiGate intègrent de façon unique les différentes fonctionnalités parefeu, anti-virus, filtrage de contenu, IDS, VPN et offrent les performances de l Asic à chacune d elles. Elle supporte nativement la répartition de charge de l ensemble de ces fonctions entre les unités d un même cluster. D administration particulièrement simple, elle simplifie encore exploitation et maintenance par ses caractéristiques d «appliance». La gamme produit couvre l ensemble des besoins du monde SOHO aux environnements opérateurs.