User Tools

Site Tools


informatique:fortinet:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatique:fortinet:start [2020/12/04 16:09] – [VPN protocols relaying] pteuinformatique:fortinet:start [2024/02/28 14:55] (current) – [Interfaces] MTU / TCP-MSS pteu
Line 7: Line 7:
 ======Système====== ======Système======
  
-En sortie d'usine, le compte **admin** a un mot de passe vide.+En sortie d'usine, le compte **admin** a un mot de passe vide. La configuration du port CONsole est "9600/8-N-1 hardware flow control disabled" ; on peut se connecter aussi au port mgmt(1) qui a son DHCPd (192.168.99.O/24) activé par défaut, mais attention à ne pas le brancher sur le réseau de prod sous peine de préempter les attributions d'IP du DHCPd légitime ! 
 + 
 +On peut lister toutes les commandes disponibles avec la commande ''tree'', et filtrer l'affichage en CLI avec '' | grep'' comme sur un terminal Linux.
  
 <code bash> <code bash>
Line 16: Line 18:
  
 # récupérer la charge du système et son uptime # récupérer la charge du système et son uptime
-get system performance status+(global) get system performance status
  
 # affiche les informations des processus les plus consommateurs en CPU/mem # affiche les informations des processus les plus consommateurs en CPU/mem
Line 136: Line 138:
 # afficher l'utilisation de la mémoire partagée (SHM) # afficher l'utilisation de la mémoire partagée (SHM)
 diagnose hardware sysinfo shm diagnose hardware sysinfo shm
 +</code>
 +
 +====Power/alimentation====
 +
 +Information sur les alimentations :
 +<code bash>
 +diagnose hardware deviceinfo psu
 +PSU 01:
 + Product Manufacturer  : Murata-PS
 + Product Name          : D1U54P-W-450-12-HA4C
 + Product Version       : RJ
 + Product Serial        : X00001
 + Product Extra         : Pri f/w rev: 9151001909-13-01
 + Product Extra         : Sec f/w rev: 9157001909-13-01
 +PSU 02:
 + Product Manufacturer  : Murata-PS
 + Product Name          : D1U54P-W-450-12-HA4C
 + Product Version       : RJ
 + Product Serial        : X00002
 + Product Extra         : Pri f/w rev: 9151001909-13-01
 + Product Extra         : Sec f/w rev: 9157001909-13-01
 +!
 +execute sensor detail
 </code> </code>
  
Line 159: Line 184:
       set mtu-override enable       set mtu-override enable
       set mtu 9000       set mtu 9000
 +   next
 +# modifier la TCP MSS (doit être = MTU - 40 (20 d'entêtes IP et 20 d'entêtes TCP))
 +config system interface
 +   edit "port1"
 +      set tcp-mss 8960
 +   next
 +</code>
 +<WRAP center round tip 80%>
 +Rappel: la MTU IP est de 1500 octets par défaut. Pour la vérifier entre 2 machines, il faut lancer un PING en interdisant la fragmentation (bit "don't fragment" = 1) et en spécifiant sa taille. Pour une MTU par défaut on peut envoyer des PINGs de taille max 1472 (1500 moins les entêtes IP (20) et ICMP (8)), un seul octet de plus (1473) et on ne pourra plus l'envoyer sans fragmenter, donc cela génèrera une erreur.
 +</WRAP>
 +
 +<code bash>
 +# Sous Linux:
 +ping -M do -s 1473 10.10.10.10
 +> ping: local error: Message too long, mtu=1500
 +# Sous Windows:
 +ping -f -l 1473
 +> Le paquet doit être fragmenté mais paramétré DF.
 +# Sous FortiOS :
 +execute ping-options df-bit yes
 +execute ping-options data-size 1473
 +execute ping 10.10.10.10
 +> sendto failed
 </code> </code>
 +//A noter que les erreurs affichées ci-dessus sont locales car détectées directement par ma machine cliente, dans la mesure ou l'on dépasse sa propre MTU. En général ce test est réalisé pour détecter la MTU sur le réseau entre 2 machines distantes quand on suspecte une MTU réduite (< 1500).//
  
 Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus : Afficher les caractéristiques des modules GBIC/SFP* connectés et reconnus :
Line 338: Line 387:
 </code> </code>
  
-Pour lister les IPs/logins bloqués : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :+Pour lister les IPs/logins bloqués (en quarantaine) : dans la GUI, "Monitor> Quarantaine Monitor" ; en CLI :
 <code bash> <code bash>
 diagnose user quarantine list diagnose user quarantine list
 +</code>
 +
 +Et pour débloquer un blocage :
 +<code bash>
 +diagnose user quarantine delete src4 x.x.x.x
 +</code>
 +
 +====Configurer un serveur Radius====
 +
 +Pour centraliser les comptes/mots de passe on peut configurer un serveur Radius qui sera interrogé pour authentifier les administrateurs du Forti. Cela se fait en plusieurs étapes :
 +
 +1) déclarer le serveur Radius sur le VDOM de management (root par défaut) : en GUI c'est dans "User & Authentication > RADIUS servers" ; on précise son nom, son IP et son secret (mot de passe pour s'y connecter, défini dans le clients.conf du serveur Radius) ; en CLI :
 +<code bash>
 +config user radius
 +    edit "rad-srv"
 +        set server "10.0.4.88"
 +        set secret blablabla
 +    next
 +end
 +</code>
 +
 +2) créer le groupe "Admin fortis" dans "User & Authentification > User Groups", nouveau groupe de type "Firewall", et ajouter le serveur RADIUS dans "Remote Groups" :
 +<code bash>
 +config user group
 +    edit "Admin fortis"
 +        set member "rad-srv"
 +    next
 +end
 +</code>
 +
 +3) Créer chaque login en mode global : créer le login dans "System > Administrators", et cocher "Match a user in a remote serveur group", "Admin fortis" dans cet exemple.
 +<code bash>
 +config system admin
 +     edit "admtoto"
 +         set remote-auth enable
 +         set accprofile "super_admin"
 +         set vdom "root"
 +         set remote-group "Admin fortis"
 +         set password ENC MASCARADE
 +     next
 +end
 +</code>
 +
 +NB : on pourra définir un mot de passe de secours pour chaque compte, en cas d'inaccessibilité du serveur RADIUS.
 +
 +Diagnostique :
 +<code bash>
 +diagnose test auth radius pap <user> <mot de passe>
 </code> </code>
 ======Configuration====== ======Configuration======
Line 411: Line 508:
 config system global config system global
  set hostname mon_forti  set hostname mon_forti
 + set timezone 28
 +#28    (GMT+1:00) Brussels, Copenhagen, Madrid, Paris
  
  config system admin  config system admin
Line 470: Line 569:
 ======Routage====== ======Routage======
  
-Afficher la table de routage courante : 
 <code bash> <code bash>
 +# lister toutes les adresses IP du firewall
 +diag ip address list
 +IP=192.168.1.99->192.168.1.99/255.255.255.0 index=4 devname=mgmt1
 +[..]
 +
 +# lister les IPs virtuelles : VIPs et NAT-pools
 +diag firewall iplist list
 +
 +# Afficher la table de routage :
 get router info routing-table details get router info routing-table details
  
Line 509: Line 616:
 </code> </code>
  
 +En webUI on peut voir la table de routage dans le "Routing Monitor" ; depuis la version 6 il faut aller dans "Dashboard> Network", passer le curseur sur le widget "Routing" et cliquer sur "Expand to fullscreen". Pour créer un raccourci direct (à la suite des liens FortView préexistants dans le menu Dashboard), cliquer sur "Save as monitor" (bouton en haut de la fenêtre lorsqu'il est en FullScreen).
 +
 +{{ :informatique:fortinet:routing_monitor_reduc.png?nolink&600 |}}
  
 =====Static===== =====Static=====
Line 527: Line 637:
 >the "priority" parameter is used in situation where a static route needs to be present in order to accept incoming traffic and pass the RPF check (anti-spoofing). >the "priority" parameter is used in situation where a static route needs to be present in order to accept incoming traffic and pass the RPF check (anti-spoofing).
 source : [[http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103|Routing behavior depending on distance and priority for static routes, and Policy Based Routes]] chez kb.fortinet.com source : [[http://kb.fortinet.com/kb/viewContent.do?externalId=FD32103|Routing behavior depending on distance and priority for static routes, and Policy Based Routes]] chez kb.fortinet.com
 +
 =====OSPF===== =====OSPF=====
  
Line 566: Line 677:
     set router-id 10.0.0.15     set router-id 10.0.0.15
     set passive-interface "ico-untrust"     set passive-interface "ico-untrust"
 +    # annoncer sa route statique par défaut dans l'OSPF, et en tant que external 1
 +    set default-information-originate enable
 +    set default-information-metric-type 1
 end end
 </code> </code>
Line 597: Line 711:
 # Debug # Debug
 # #
 +#diagnose ip router ospf packet hello enable
 diagnose ip router ospf all enable diagnose ip router ospf all enable
 diagnose ip router ospf level info diagnose ip router ospf level info
 +diagnose debug cli 0
 +diagnose debug console timestamp enable
 diagnose debug enable diagnose debug enable
 # nettoyage du debug # nettoyage du debug
 diagnose ip router ospf all disable diagnose ip router ospf all disable
 +diagnose debug disable
  
 # redémarrer le processus OSPF # redémarrer le processus OSPF
Line 616: Line 734:
 ====Agrégation de routes==== ====Agrégation de routes====
  
-Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les routeurs ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/23**). En réduisant les annonces on simplifie la table de routage de tous les routeurs, on diminue la charge CPU lors des changements de topologie, et on diminue la charge sur le réseau.+Pour simplifier les tables de routage, on peut agréger les routes sur les ABR (Area Border Router) ou les ASBR (Autonomous System Border Router). Cela consiste, sur ledit routeur, à fusionner plusieurs annonces en une seule, de préfixe plus court (par exemple 10.0.0.0/24 et 10.0.1.0/24 => 10.0.0.0**/23**). En réduisant les annonces on simplifie la table de routage de tous les routeurs, on diminue la charge CPU lors des changements de topologie, et on diminue la charge sur le réseau.
  
-L'agrégation se configure de 2 façons, suivant s'il s'agit d'ABR (LSA de type 3) ou d'ASBR (LSA de type 5) :+L'agrégation se configure de 2 façons, suivant qu'il s'agisse d'ABR (LSA de type 3) ou d'ASBR (LSA de type 5) :
   * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) :   * sur un ABR, pour agréger des routes apprises de l'aire 1 (c'est un exemple) :
 <code bash> <code bash>
 config router ospf config router ospf
-    config area +  config area 
-        edit 0.0.0.1 +    edit 0.0.0.1 
-            config range +      config range 
-                edit 1 +        edit 0 
-                    set prefix 10.0.0.0 255.255.254.0 +          set prefix 10.0.0.0 255.255.254.0
-            end+
         end         end
 +    end
 end     end    
 </code> </code>
  
-  * sur un ASBR, pour agréger des routes statiques redistribuées dans l'OSPF :+  * sur un ASBR, pour agréger des routes redistribuées (connected, statiques, etc..) dans l'OSPF :
 <code bash> <code bash>
 config router ospf config router ospf
-    config summary-address +  config summary-address 
-        edit 1 +    edit 0 
-            set prefix 10.0.0.0 255.255.254.0 +      set prefix 10.0.0.0 255.255.254.0 
-        end+    end
 end end
 </code> </code>
  
-Ces routes sont visibles dans la table de routage sous la forme :+Ces routes sont visibles dans la table de routage de l'ABR/ASBR sous la forme :
 <code bash> <code bash>
 get router info routing-table ospf get router info routing-table ospf
Line 649: Line 767:
 </code> </code>
  
-source : [[http://kb.fortinet.com/kb/documentLink.do?externalID=FD30329|OSPF route summarization for LSAs Type3 (on ABR) and Type5 (on ASBR)]]+On voit les réseaux dans la database : 
 +<code bash> 
 +get router info ospf database brief 
 +[..] 
 +                Summary Link States (Area 0.0.0.0) 
 + 
 +Link ID         ADV Router      Age  Seq#     CkSum Flag Route 
 +10.0.0.0        10.0.10.1       154  80000092 2570  0031 10.0.0.0/23 
 +[..] 
 + 
 + 
 +get router info ospf database summary lsa 10.0.0.0 
 +[..] 
 +                Summary Link States (Area 0.0.0.0) 
 + 
 +  LS age: 309 
 +  Options: 0x2 (*|-|-|-|-|-|E|-) 
 +  LS Type: summary-LSA 
 +  Link State ID: 10.0.0.0 (summary Network Number) 
 +  Advertising Router: 10.0.10.1 
 +  LS Seq Number: 800002df 
 +  Checksum: 0x60e2 
 +  Length: 28 
 +  Network Mask: /23 
 +        TOS: 0  Metric: 11 
 +</code> 
 + 
 +sources : 
 +  * [[http://kb.fortinet.com/kb/documentLink.do?externalID=FD30329|OSPF route summarization for LSAs Type3 (on ABR) and Type5 (on ASBR)]] 
 +  * https://community.fortinet.com/t5/FortiGate/Technical-Note-OSPF-route-summarization-for-LSAs-Type3-on-ABR/ta-p/198559
  
 ====Redistribution de route==== ====Redistribution de route====
Line 678: Line 825:
 # préciser l'action "permit" est facultatif car c'est celle par défaut # préciser l'action "permit" est facultatif car c'est celle par défaut
 config router route-map config router route-map
-    edit "static-to-ospf" 
-    next 
     edit "rm_static-to-ospf"     edit "rm_static-to-ospf"
         config rule         config rule
Line 743: Line 888:
 diagnose debug enable diagnose debug enable
  
-# ré-établir l'adjacence BGP avec un voisin 
-configure bgp neighbor 10.0.200.92 soft-reset in 
 # clearer toutes les connexions BGP # clearer toutes les connexions BGP
 execute router clear bgp all execute router clear bgp all
 </code> </code>
 +
 +Article plus détaillé : [[informatique:fortinet:bgp|Fortigate BGP]]
 =====PBR===== =====PBR=====
  
Line 778: Line 923:
 =======Sessions====== =======Sessions======
  
-Le terme de session s'applique à chaque connexion traversant ou s'arrêtant au Fortigate, quel que soit le protocole (TCP évidemment mais aussi UDP, ICMP, etc...). Comme c'est un firewall stateful le sens d'ouverture des sessions est important, et les retour sont implicitement permis (à la différence des ACLs en général que l'on doit ouvrir dans les 2 sens).+Le terme de session s'applique à chaque connexion traversant ou s'arrêtant au Fortigate, quel que soit le protocole (TCP évidemment mais aussi UDP, ICMP, etc...). Comme c'est un firewall //stateful// le sens d'ouverture des sessions est important, et les retours sont implicitement permis (à la différence des ACLs en général que l'on doit déclarer dans les 2 sens).
  
 <code bash> <code bash>
Line 791: Line 936:
 <code bash> <code bash>
 # pour afficher les sessions HTTP ouvertes depuis la machine 10.0.0.2 # pour afficher les sessions HTTP ouvertes depuis la machine 10.0.0.2
 +diagnose sys session filter proto 6
 diagnose sys session filter src 10.0.0.2 diagnose sys session filter src 10.0.0.2
 diagnose sys session filter dport 80 diagnose sys session filter dport 80
Line 802: Line 948:
 diagnose sys session filter diagnose sys session filter
  
-# pour supprimer toutes les sessions **matchant notre filtre**+# pour supprimer toutes les sessions **matchant le filtre courant**
 diagnose sys session clear diagnose sys session clear
-# ! inutile de préciser qu'on pète tout si on n'utilise pas de filtre !+# ! inutile de préciser qu'on flush toutes les sessions si on n'utilise pas de filtre !
 </code> </code>
  
 Les flags : Les flags :
-  * ''may_dirty'' indique qu'une session a ouverte car acceptée par la politique de sécurité ; si cette dernière vient à être modifiée, toutes les sessions ''may_dirty'' sont également flagguées ''dirty'' ce qui signifit qu'elles doivent être revalidées par la nouvelle politique. C'est ce que fera le firewall lorsqu'il recevra le prochain paquet de la session :+  * ''may_dirty'' indique qu'une session a ouverte car acceptée par la politique de sécurité ; si cette dernière vient à être modifiée, toutes les sessions ''may_dirty'' sont également flagguées ''dirty'' ce qui signifie qu'elles doivent être revalidées par la nouvelle politique. C'est ce que fera le firewall lorsqu'il recevra le prochain paquet de la session :
     * si celle-ci est toujours valide, il supprime le flag ''dirty''     * si celle-ci est toujours valide, il supprime le flag ''dirty''
     * sinon il la flag ''block'', ce qui provoque le drop de tous les prochains paquets. Les sessions ''block'' restent dans la table de sessions jusqu'à leur expiration (leur timeout est diminué).     * sinon il la flag ''block'', ce qui provoque le drop de tous les prochains paquets. Les sessions ''block'' restent dans la table de sessions jusqu'à leur expiration (leur timeout est diminué).
  
 +Pour modifier les timeouts par défaut (3600 secondes = 1 heure par défaut) :
 +<code bash>
 +config system session-ttl
 +    set default 1800
 +end
 +</code>
  
 +Modifier le timeout d'un type de session, par exemple des flux HTTP :
 +<code bash>
 +config system session-ttl
 +    config port
 +        edit 80
 +            set protocol 6
 +            set start-port 80
 +            set end-port 80
 +            set timeout 1800
 +        next
 +    end
 +end
 +</code>
 +
 +Enfin, il est aussi possible de personnaliser le TTL de sessions dans les objets service du firewall (ici ports tcp/80 et 8080) :
 +<code bash>
 +config firewall service custom
 +    edit "HTTP_custom"
 +        set tcp-portrange 80 8080
 +        set session-ttl 1800
 +    next
 +end
 +</code>
 =======Firewall====== =======Firewall======
  
Line 1150: Line 1325:
 # générer des messages de log pour test : # générer des messages de log pour test :
 diagnose log test diagnose log test
 +</code>
 +
 +Pour debugguer le process de gestion des logs, miglogd :
 +<code bash>
 +diagnose debug application miglogd -1
 +diagnose debug enable
 </code> </code>
  
Line 1280: Line 1461:
 </code> </code>
  
 +=====update via webproxy=====
  
 +Pour les Fortigate qui n'ont pas un accès direct à Internet, on peut configurer l'usage d'un proxy web :
 +<code bash>
 +config system autoupdate tunneling
 +    set status enable
 +    set address "10.0.178.10"
 +    set port 3128
 +end
 +# éventuellement, spécifier l'IP source à utiliser pour cela :
 +config system fortiguard
 +    set source-ip 10.0.178.1
 +end
 +</code>
 +src: https://kb.fortinet.com/kb/documentLink.do?externalID=FD36587
 +
 +Si le Fortiguard ne se met pas à jour, on peut diagnostiquer avec :
 +<code bash>
 +# depuis le VDOM d'admin (root par defaut)
 +execute ping update.fortiguard.net
 +
 +diagnose test update info
 +
 +diagnose debug enable
 +diagnose debug application update 255
 +execute update-ase
 +execute update-av
 +execute update-ips
 +</code>
 ======Diagnostique et debug====== ======Diagnostique et debug======
  
Line 1292: Line 1501:
 # ~get tech : diagnostique complet à envoyer au support aussi # ~get tech : diagnostique complet à envoyer au support aussi
 diagnose debug report diagnose debug report
 +execute tac report
  
 # debugguer une fonction (~un process) # debugguer une fonction (~un process)
Line 1353: Line 1563:
 diagnose debug cli 0 diagnose debug cli 0
 diagnose debug flow show console enable diagnose debug flow show console enable
 +# bonus: encore plus verbeux
 +diagnose debug flow show function-name enable
 +diagnose debug flow show iprope enable
  
 # filtrer sur une adresse (source, dest) # filtrer sur une adresse (source, dest)
Line 1367: Line 1580:
 diagnose debug flow trace stop diagnose debug flow trace stop
 diagnose debug disable diagnose debug disable
- 
-# bonus 
-diagnose debug flow show function-name enable 
-diagnose debug flow show iprope enable 
 </code> </code>
  
Line 1488: Line 1697:
 </WRAP> </WRAP>
  
 +=====iperf=====
 +
 +Les fortigates intègrent un client iperf (accessible à partir du mode global), qui permet de réaliser des tests de débit entre 2 interfaces du même forti, ou avec un serveur externe.
 +<code bash>
 +conf global
 +# test avec un serveur iperf externe
 +diagnose traffictest client-intf wan1
 +diagnose traffictest port 5201
 +diagnose traffictest run -c 10.0.1.24
 +
 +# test entre l'interfaces wan1 et wan2 du même forti
 +diagnose traffictest client-intf wan1
 +diagnose traffictest server-intf wan2
 +diagnose traffictest run
 +</code>
 +Malheureusement il n'est pas possible de l'utiliser en mode serveur à partir d'autres clients que celui local.
 +
 +La plupart des options classiques d'iperf sont disponibles, on peut les afficher avec ''diagnose traffictest run -h''
 +
 +
 +=====Mécanismes de protection=====
 +
 +====Conserve mode====
 +
 +Le **conserve mode** est un mécanisme de protection qui est enclenché lorsque le système n'a plus assez de mémoire partagée disponible. Cela a pour conséquence de désactiver l'AV et les changements de configuration, afin de consommer moins de ressources. Il peut être invoqué également si la mémoire libre passe en dessous d'un seuil critique (red threshhold=88% par défaut). Si le seuil extrême est atteint (extrem threshold=95%) le firewall bloque les nouvelles sessions. Ce mécanisme se désactive lorsque l'on passe en dessous du seuil vert (green threshold=82%).
 +
 +On peut configurer l'action à faire avec l'antivirus:
 +<code bash>
 +config system global
 +set av-failopen {off | pass | one-shot | idledrop}
 +</code>
 +  * off : les sessions ouvertes continent mais les nouvelles sont bloquées ; si une session ouverte nécessite l'AV-proxy elle sera bloquée car toute nouvelle allocation de ressource est bloquée
 +  * pass : bypass l'AV-proxy (default)
 +  * one-shot : pareil que "pass" mais l'AV-proxy est définitievement désactivé pour les sessions ouvertes PENDANT le conserve mode.
 +  * idledrop : le forti va chercher a libérer de la mémoire en coupant les sessions du host qui en a le plus d'ouvertes, jusqu'à sortir du conserve mode. C'est utile en cas de malware par ex, mais pas si le forti est à genoux par du trafic légitime.
 +
 +====Session removal====
 +
 +Le **session removal** est un mode qui s'enclenche lorsque le kernel ne peut plus allouer de mémoire il va couper les sessions les plus anciennes. Ce mode plus critique arrive après le passage en conserve mode. Le nombre de sessions coupées est visible dans le paramètre "memory_tension".
 +
 +Commandes de debug:
 +<code bash>
 +diagnose hardware sysinfo shm
 +SHM counter:      9237843
 +SHM allocated:   29618182
 +SHM total:     1337155584
 +conservemode:           2 # <- 0=OK ; 1=conserve mode ; 2=kernel session fail mode
 +shm last entered:     n/a
 +system last entered:  Tue Dec  1 11:48:23 2020
 +SHM FS total:  1368051712
 +SHM FS free:   1337192448
 +SHM FS avail:  1337192448
 +SHM FS alloc:    30859264
 +
 +get sys perf stat | grep Memory
 +Memory states: 86% used         # <- raison du conserve mode
 +
 +diag sys top
 +
 +diag hardware sysinfo memory
 +</code>
 +
 +Tuning pour optimiser la mémoire :
 +  * [[https://www.cyrill-gremaud.ch/fortigate-conserve-mode-investigations/|cyrill-gremaud.ch / Conserve mode investigations]]
 +  * [[https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-troubleshooting-52/Common_questions.htm?Highlight=Conserve%20mode#How3|Help Fortinet : How to check CPU and memory resources]]
 +<code>
 +config system global
 +set tcp-halfclose-timer 60   --> default 120 s
 +set tcp-halfopen-timer 5     --> default 10 s
 +set tcp-timewait-timer 0     --> default 1 s
 +set udp-idle-timer 60        --> default 180 s
 +!
 +config ips global
 +set socket-size 4            --> default 32 MB
 +set engine count 2           --> default 0 = infinite
 +!
 +config system dns
 +set dns-cache-limit 300      --> default 1800 s
 +!
 +config system session-ttl
 +set default 300              --> default 3600 s
 +</code>
 ======MAJ du firmware====== ======MAJ du firmware======
 +
 +=====Choisir le bon=====
 +
 +Ces quelques lignes non contractuelles vous donnerons des pistes pour déterminer la bonne version à installer dans votre environnement.
 +
 +Il est globalement recommandé, en 2022+, de mettre à jour régulièrement les équipements sensibles comme les firewalls, afin qu'ils intègrent tous les correctifs de sécurité des failles connues. "Tant que ça marche, on n'y touche pas" est un raisonnement désuet aujourd'hui sur ce type de matériel connecté.
 +
 +A la différence d'autres constructeurs, Fortinet ne publie pas (à ma connaissance) de liste de versions recommandées par modèle. Globalement, toutes les versions de FortiOS sont portées sur tous les modèles (récents).
 +
 +Plus une version (majeure = les 2 premier chiffres dans le numéro de version, par exemple 7.2) est récente, plus elle dispose de fonctionnalités mais plus elle risque de comporter des bugs. De ce fait il est officieusement recommandé de ne pas installer en production des versions "trop jeunes", c'est à dire parues il y a moins de 6 mois et/ou avant la publication des 3-4 premières versions mineures (appelées "New Feature Releases"), ceci afin d'attendre la correction des plus gros bugs.
 +
 +Pour accéder aux outils Fortinet, on se log sur le portail [[https://support.fortinet.com]] ;
 +
 +  * "Support > Ressources" ; puis "Product Life cycle" permet de connaitre les dates de fin de vente / développement / support des produits Fortinet, autant le hardware (appliances) que le software (firmwares FortiOS).
 +
 +  * "Support > Firmware Download" donne accès aux release notes et aux images de firmware. Le premier onglet indique les release notes des dernières versions supportées ; sur le second, "Download", on a l'historique de toutes les versions de FortiOS parues ; le 3ème onglet, "Upgrade Path", est un outil qui permet, à partir d'un modèle, de sa version actuelle et de la version cible, de connaitre la liste des versions intermédiaires à installer. C'est à suivre à la lettre pour éviter les mauvaises surprises comme la perte de configuration...
 +
 +Les versions **NPI** (New Product Integration) possèdent  des numéros de build différents de la majorité des autres images ; elles correspondent aux développements d'une version à un nouveau modèle qui vient de sortir. Toutes les versions ne sont pas adaptées aux nouveau modèles, et celles-ci sont moins stables que les builds courants.
 +
 +Depuis la version 7.2, les versions même mineures sont tagguées en **Feature ou Mature release** ; ces flags sont indiqués dans le nom de l'image, juste après le numéro de version (par ex: FGT_100F-v7.0.7.__**F**__-build0367-FORTINET.out) et sont un indicateur de nouveautés fonctionnelles ou stabilité de la version.
 +
 +Une fois la bonne version trouvée, jetez un œil aux release notes de celle-ci afin d'être sûrs qu'aucun bug ne touche votre modèle ou une des fonctionnalité que vous utilisez. Elles comportent parfois des contre-indications pour certaines configurations.
 +
 +
 +=====Mise en œuvre=====
  
 On peut récupérer la version courante en mode global : On peut récupérer la version courante en mode global :
Line 1570: Line 1886:
 execute usb-disk list execute usb-disk list
  2019-07-23 16:07:14   43664535 image.out  2019-07-23 16:07:14   43664535 image.out
 +</code>
 +
 +Et, si la conf/l'image n'est pas chargée au démarrage, il est toujours possible de la charger en CLI :
 +<code bash>
 +execute restore image usb <filename>
 +execute restore config usb <filename>
 </code> </code>
 ======Métrologie/supervision====== ======Métrologie/supervision======
Line 1843: Line 2165:
  
 Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN, ou, dans certains cas, de débloquer le changement de mot de passe sur un domaine. Pour rappel le DHCP permet la découverte et l'attribution des paramètres réseau pour le client VPN (son IP, masque réseau, passerelle, DNS, NTP et serveurs WINs) et le NetBIOS permet de faire passer les flux vers les serveurs WINS. Cela permet par exemple un ersatzt de DNS dynamique car les clients Windows s'annoncent auprès des WINS quand ils se connectent en VPN, ou, dans certains cas, de débloquer le changement de mot de passe sur un domaine.
 +
 +=====Auto filesystem check=====
 +
 +Après une coupure électrique les Fortigate affichent un message d'alerte invitant l'utilisateur à rebooter et réaliser un filesystem check pour contrôler l'intégrité du système de fichier. Depuis les version 6 il est possible de réaliser automatiquement ce check au démarrage , via le menu : System> Settings> Start Up, "Auto file system check" ; ou en CLI:
 +<code bash>
 +config system global
 +   set autorun-log-fsck enable
 +end
 +</code>
 +
 +C'est toutefois non-recommander car 1) ça prend du temps donc il vaut mieux le planifier en heure non ouvrée et 2) en cas d'incident électrique le courant peut ne pas être stable et donc recouper le Forti pendant son check -> dangereux.
 +
 +=====SSH sortant impossible=====
 +
 +Contexte : Utiliser le client SSH de la CLI du Forti pour se connecter sur un autre équipement, dont les paramètres SSH ne sont pas compatibles car jugés pas assez sécurisés. Depuis le forti :
 +<code bash>
 +forti (root) # execute ssh admin@10.0.0.1
 +Unable to negotiate with 10.0.0.1: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
 +</code>
 +
 +Cela signifie que l’équipement cible propose des paramètres SSH non acceptés par le Forti, et que donc la connexion SSH ne peut s'établir. Il faut donc agir sur l'un ou l'autre des équipement, dans cet exemple on va assouplir le Forti en lui permettant d'accepter l'algo **diffie-hellman-group14-sha1** réclamé par l’équipement distant.
 +
 +Pour modifier les paramètres SSH acceptés par le forti, qui ont été durcis avec certaines versions :
 +<code bash>
 +config global
 +   config system global
 +      set strong-crypto disable
 +      append ssh-kex-algo diffie-hellman-group14-sha1
 +   end
 +end
 +</code>
 +Cela permet d'assouplir les paramètres négociés à l'établissement de la connexion SSH, ce n'est pas recommandé sans bonne raison.
 +
 +<WRAP center round important 60%>
 +NB : tuner ces paramètres impacte les protocoles chiffrés : HTTPS/SSH/TLS/SSL
 +</WRAP>
 +
 ======Liens utiles====== ======Liens utiles======
  
   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]   * [[http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_enhance_security.html|Enhancing FortiGate Security (fortinet.com)]]
informatique/fortinet/start.1607098140.txt.gz · Last modified: 2020/12/04 16:09 by pteu