• Perspective
Publié le 25 juillet 2022

FORTINET XPERTS SUMMITS in Madrid

Alors que de nouvelles cybermenaces sophistiquées continuent d'avoir un impact sur la sécurité des entreprises du monde entier, il est crucial que les organisations disposent du soutien nécessaire pour se défendre contre elles. Cela inclut les partenaires sur lesquels ils comptent pour leur expertise en matière de sécurité. Fortinet organise des événements annuels EMEA XPERTS Summit organisés au niveau régional pour ses partenaires afin de s'assurer qu'ils sont à jour sur les dernières technologies et solutions Fortinet et qu'ils maintiennent leur expertise en matière de cybersécurité.

Cet événement organisé par Fortinet a lieu tous les ans dans une ville différente en Europe.
Cette année l’évènement a eu lieu à Madrid.

Le concept de cet évènement est de faire participer tous les participants de manière active sur les différentes technologies de Fortinet, après une courte présentation. 4 jours de sessions découpés en une le matin et une l’après-midi. Les différentes sessions présentent une solution cybersécurité suivi d’un lab pratique d’une durée de 3h environ. Ce qui nous permet de travailler d’une manière pratique sur le sujet cybersécurité proposé par Fortinet.
Ce peut être un sujet connu, mais dans sa toute nouvelle version ou un nouveau sujet qui attire notre intérêt technique.
Pour pouvoir y participer, il faut avoir un partenariat avec Fortinet et être au moins certifié NSE 4.
La plupart des gens que j’ai rencontrés sont des intégrateurs.
Mais, je pense qu’en tant que consultant, nous y avons aussi notre place, car des nouvelles solutions arrivant sur le marché peuvent être intéressantes pour nos clients.

L’événement débute par une session plénière avec les explications sur le déroulement de la semaine, suivie d’un buffet.
L’évènement s’est terminé sur le circuit de Jarama où se sont affrontés les finalistes du Fortinet Fabric Challenge. Les finalistes avaient plusieurs configurations à effectuer dans les domaines suivants :

  • Wan-Remediation
  • BGP Self Healing
  • Fabric Orchestration
  • SASE – SIA
  • SASE – ZTNA

L’ensemble de ce chalenge touche plusieurs technologies transverse de Fortinet comme FortiNAC, FortiClient, SSO, SAML login, SD-WAN, BGP routing, SASE and Zero Trust Network Access (ZTNA), Fortinet Identity and Access Management (IAM), FortiManager, FortiGate, FortiSwitch, etc…

Ce chalenge auquel nous avons pu assister s’est clôturé par un repas où nous étions tous conviés.
Je me suis ainsi retrouvé à ma table avec des Suisses avec lesquels j’ai pu converser (en allemand), ce qui m’a fait prendre connaissance qu’il y avait beaucoup d’intégrateurs à l’événement, et aussi beaucoup de NSE 8.

Le déroulement de mes sessions :

Day1 : Building an MSSP SD-WAN Service Portal
First Inline Protection with the New FortiDDoS F-Series (DPDK)

Day 2 : Wired LAN Edge Simplified Security
Threat Hunting with FortSIEM and FortSOAR

Day 3 : Here’s why Fortinet Continues to Move Up and Right in the Gartner WLAN MQ
FEX update : New Products and New usages

1. Building an MSSP SD-WAN Service Portal

Cette présentation permettait d’avoir un aperçu sur le nouveau produit de Fortinet, FortiPortal.

C’est un portail self-service utilisateur permettant de gérer la sécurité des FortiManager, FortiGate, VM, VDOM, FortiWifi, VPN, SD-WAN à travers un seul portail utilisateur.

Mode de fonctionnement :

  • Toutes les configurations/updates sont envoyés directement sur le FortiPortal qui les réplique sur le FortiManager via une API à tous les MSSP (Managed Security Service Provider) Admins, puis les FortiGate sont mis à jour depuis le FortiManager.
  • Les logs sont eux, soit envoyés directement au FortiPortal, soit au FortiAnalyzer qui les envoie au FortiPortal, avec un compte MSSP Admins.
  • Les différentes connexions VPN, SD-WAN peuvent être configurées directement sur le FortiPortal
  • Analyse WiFi au travers du portail FortiPortal
  • Gestion au FortiPortal des accès SAML, SSO

Avantages :

  • FortiPortal permet des configurations FortiManager sans avoir besoin d’avoir des accès ADOM
  • FortiManager au travers de FortiPortal n’est pas exposé au réseau public
  • Une seule interface pour administrer tous les équipements gérer par le FortiManager et FortiAnalyzer
  • Avoir une visibilité et une analyse de tous les équipements de sécurité

Lab :

Fournir FortiPortal, FortiManager et FortiAnalyzer pour qu'ils se comportent en tant que fournisseur de services SAML afin d'authentifier vos administrateurs Fortinet auprès de FortiAnthenticator.

2. First Inline Protection with the New FortiDDoS F-Series (DPDK)

Mes premiers pas en Cybersécurité chez Fortinet.

Cette présentation parle de la façon dont FortiDDoS F-Series ou comment l’architecture d’apprentissage massif automatique permet de combattre les attaques DDoS tout en offrant la latence la plus avancée et la plus faible.

Atténuation des attaques DDoS sur le marché aujourd'hui, sans compromis sur les performances normalement associées aux systèmes basés sur CPU.

Application utilisée : FortiDDoS

FortiDDoS protègent toutes les attaques de toutes les couches du modèle OSI.

Bénéfices et avantages de la solution FortiDDoS :

FortiDDoS ne s'appuie pas sur des fichiers de signature qui doivent être mis à jour avec les dernières menaces, vous êtes donc protégé contre les menaces connues et inconnues attaques "zero-day". Par exemple : pas de signatures ou Regex pour les protocoles – tous les 256 protocoles sont surveillés pour chaque paquet.

>230 000 paramètres surveillés dans chaque direction dans chacun des 4 à 16

Profils de protection. (Pourquoi aucune signature n'est requise ci-dessus)

Contrairement aux concurrents, chaque paquet de chaque flux est inspecté. Des millions de connexions avec des milliers de paramètres surveillés par connexion. Certaines attaques peuvent être arrêtées au PREMIER paquet. Toutes les mesures d'atténuation < 2 secondes. D'autres vendeurs vont jusqu'à 18s. FAI généralement 5 minutes ou plus.

Minimise le risque de détection de « faux positifs » en réévaluant l'attaque toutes les 15 à 60 secondes pour s'assurer que le "bon" trafic n'est pas perturbé

FortiDDoS conçu pour les plus petits paquets, les taux de pps les plus élevés pour les linerates cité. Par exemple, le pps théorique le plus élevé pour 2x10GE est 30Mpps. FDD-1200B testé à > 40 Mpps. (Notez que les séries E et F ont plus de limites).

FortiDDoS apprend en continu les modèles de trafic pour des millions de paramètres et adapte automatiquement les paramètres importants pour la saisonnalité.

L'atténuation est entièrement autonome et aucune intervention de l'utilisateur n'est attendue.

Les rapports peuvent être effectués par attaque (B/E) ou à intervalles réguliers.

With massively parallel behavioral algorithms, FortiDDoS can detect and mitigate simultaneous DDoS attacks from basic Bulk Volumetric to sophisticated Layer 7 SSL-based attacks

Lab :

Comment FortiDDoS inspecte 100 % des flux entrants et sortantspaquets de couches 3, 4 et 7 et atténue les attaques multi-vecteurs enutiliser l'apprentissage automatique autonome pour créer des lignes de base adaptativesde centaines de milliers de paramètres.

3. Wired LAN Edge Simplified Security

Cette présentation basée sur le switching de Fortinet était répartie en trois parties :

  • La sécurisation d’un réseau LAN & WLAN
  • FortiLink v. 7.2
  • FortiSwitch v. 7.2

La sécurisation d’un réseau LAN :

  • Visibilité de la sécurité
  • Segmentation (LAN & WLAN, Priorisation SD-WAN, Contrôle du SD-Branch)
  • Micro-segmentation du réseau LAN & WLAN
    o Blocage du trafic Intra-VLAN
    o Blocage du trafic Intra-SSID
  • Profile avancés
    o LLDP
    o 801.1X authentication
    o QoS
  • Isolation des équipements inconnus vers un segment du réseau Guest
  • Mise en quarantaine des équipementvs compromis
  • Prévention dynamique des équipements inconnus d’atteindre le réseau
  • Sécurisation des bornes wifi (FortiAP), switches (FortiSwitch), Firewall (FortiGate) et Contrôleurs Wifi au travers d’un seul lien dynamique, FortiLink
  • Sécurisation SD-Branch (Switch, AP, Firewall), FEX) améliorée avec la solution FortiNAC (Network Admission Control)
  • Zero Touch Deployment pour tous les équipements envoyés dans une filiale ou un télétravailleur (FortiManager pousse la configuration de tous les équipements depuis FortiZTP)

FortiLink v. 7.2 :

  • Diagnostique amélioré pour FortiSwitch (PortHealth, MCLAG ICL Health, Port Statistics, Clients)
  • Amélioration des ports FortiSwitch (en termes de colonnes pour une meilleure visibilité et diagnostique)
    o Dynamic VLAN and Transceiver power
    o Option pour mettre à zéro les compteurs
    o Trunks (LACP mode)
  • VxLAN – FortiLink L3

FortiSwitch v. 7.2 :

  • Tunnel VxLAN (FSW)
  • Wake-on-LAN (WoL)

Lab :

  • Pre-Autorisation FortiSwitch en utilisant une wildcard
  • Créer une topologie MCLAG
  • Politique du contrôles des accès (NAC) FortiSwitch (segmentation par VLAN)
  • Gestion des FortiSwitches en utilisant des interfaces VXLAN

4. Threat Hunting with FortiSIEM and FortiSOAR

Cette présentation fut ma seconde incursion dans la Cybersécurité. Présentation des dernières nouveautés de la dernière version de FortiSIEM Manager et FortiSOAR.Petit rappel sur le SIEM (Security Information Event Management) dont le but est :·

Collecte et stockage des données des événements de sécurité des périphériques réseau pour une analyse plus approfondie de la cause de l'événement·

permettre aux organisations de détecter plus tôt les menaces et les violations·

fournir les informations nécessaires pour remédier et prévenir les menaces futures·

Analyse en temps réel·

une plate-forme transparente qui effectue des opérations de réseau et de sécurité automatisées et peut corréler les données d'événements de sécurité avec les données de performances du réseau et de l'infrastructure pour fournir des analyses SOC et NOC en temps réel

FortiSIEM dans sa nouvelle version 6.5 inclut une console de management (FortiSIEM Manager). ·         Surveillance centralisée jusqu’à 50 instances FortiSIEM à distance·         Afficher, effacer, modifier, et ajouter des commentaires aux incidents·         Exécutez FortiSOAR, runbook et connecteurs FortiSOAR (Security Orchestration, Automation, and Response) est un module complémentaire à FortiSIEM. FortiSOAR est une solution dédiée aux SOC modernes, avec de nombreuses fonctionnalités : gestion des files d’attente du SOC, gestion des vulnérabilités, gestion des ressources hors bande (OOB), référentiel d’indicateurs, reporting professionnel, suivi des SLA et plus encore.

FortiSOAR facilite l’investigation des alertes par les analystes en sécurité (compréhension, analyse et gestion des données).

  • Gestion des listes d’alertes et d’incidents sous forme de grille avec filtrage des informations
  • Mini tableau de bord pour chaque grille pour une visibilité élargie et une meilleure identification des tendances
  • Définition de nouveaux modules et personnalisation des champs, vues et autorisations
  • Définition des vues clients, des modèles de données, des champs et des grilles à l’aide de l’éditeur graphique

La dernière version de FortiSOAR 7.2.0 propose les nouvelles fonctionnalités suivantes :

  • Content Hub
  • Threat Intelligence Management
  • ML Phishing classifier

Lab :

  • Configurer le collecteur sur le superviseur FortiSIEM
  • Installer l’agent FSM Server
  • Configurer Netflow sur le FortiGate
  • Exercice de scénario de chasse aux menaces (phishing)

5. Here’s why Fortinet Continues to Move Up and Right in the Gartner WLAN MQ

Incursion dans le mode du réseau sans fil vu par Fortinet. Cette présentation m’a permis de voir ce que propose Fortinet comparé à ce que propose Cisco AireOS, IOS XE ou encore Cisco Meraki.

La première force de Fortinet est de converger la partie Firewall, Switching, WiFi et NAC en une seule console à l’intérieur du FortiGate.Les principales nouveautés réseau sans fil dans la version 7.0.4 sont : ·

  • Améliorations DARRP·
  • Prise en charge de la bande passante du canal·
  • Prise en charge de plusieurs profils DARRP·
  • Planification optimisée par profil·
  • Prise en charge de FortiWifiWPA3·
  • Prend en charge l'attribution dynamique de VLAN en nom de tag·
  • Optimiser la diffusion/multidiffusion sur AP·
  • Amélioration 802.1X ·
  • Ajout d’un serveur Syslog à l’intérieur d’un profil FortiAP·
  • Filtrage de MAC Address client ·
  • Mise à jour automatique des firmwares FortiAP·
  • 802.1ax BSS coloring·
  • Profile de sécurité sur les FortiAP

Lab :Utiliser FortiGate comme un vrai contrôleur wifi (WLC)

6. FEX update : New Products and New usages

Sans doute la partie réseau sans fil la moins connue pour ma part.

FEX (FortiExtender) sont des équipements d’extension d’un réseau LAN, WAN grâce à un module 4G/5G.

Comment fonctionne-t-il ?

  • Le FortiGate est généralement situé dans le back-office ou les baies IT
  • Ce n'est pas bien situé pour une réception 3G/4G optimale
  • Pour surmonter ce problème, FortiExtender est utilisé pour éviter la perte de signal et se rapprocher de la tour cellulaire, tout en restant à l'INTÉRIEUR

Extensions WAN (FortiExtender)

  • Connexion principale
  • Connexion secondaire
    • Toujours actif
    • À la demande
    • Règles SD-WAN
  • Liaisons multiples

Trois possibilités pour le management de FortiExtender :

  • FortiGate-managed (utilisation principale)
    • FEX est directement connecté au FortiGate
  • Stand-Alone (FEX est administré au travers d’une console GUI)
    • Uniquement FEX
  • Administration au travers de FortiExtender Cloud via LTE Internet
    • Un équipement est connecté au FortiExtender qui se connecte en LTE Internet pour joindre FortiExtender Cloud

Nous n’avons pas eu de lab sur cette session, juste des démos comment configurer le FEX, soit sur un FortiGate soit en passant par la solution Cloud.

Auteur

Patrice Beau

Article rédigé par
Tristan Loret