Sécurité FortiGate : 7 bonnes pratiques de configuration

Sécurité FortiGate : 7 bonnes pratiques de configuration

Image by: Pixabay

Désactiver les protocoles non sécurisés

Saviez-vous que près de 35% des incidents de sécurité impliquant des pare-feu découlent de protocoles réseau obsolètes ou vulnérables activés par défaut ? Votre FortiGate, en première ligne de défense, ne doit pas devenir un vecteur d’attaque. La première étape pour sécuriser votre pare-feu FortiGate consiste impérativement à identifier et désactiver ces services risqués. Par défaut, certains protocoles comme Telnet, HTTP non sécurisé, SSLv3, ou des versions anciennes de SSH (SSHv1) peuvent être activés pour des raisons de compatibilité, offrant aux attaquants des portes d’entrée exploitables par des attaques de type man-in-the-middle ou par déni de service.

Accédez à l’interface d’administration (en privilégiant HTTPS sécurisé) et naviguez vers Système > Paramètres d’administration. Sous l’onglet Services d’administration :

  • Désactivez HTTP, Telnet et FTP : Privilégiez exclusivement HTTPS (sur un port personnalisé si possible, pas 443) et SSHv2 pour l’accès administratif.
  • Renforcez les paramètres SSH : Exigez la version 2 uniquement, désactivez l’authentification par mot de passe (utilisez des clés SSH) et limitez les algorithmes de chiffrement aux plus robustes (ex: aes256-ctr, hmac-sha2-512).
  • Désactivez les protocoles SSL/TLS vulnérables : Dans Système > Paramètres > Protocoles SSL, désélectionnez SSLv3, TLS 1.0 et TLS 1.1. Imposez TLS 1.2 minimum, idéalement TLS 1.3. Utilisez des suites de chiffrement fortes (ECDHE, AES-GCM).
  • Contrôlez les services réseau (SNMP, NTP, DNS) : Dans Système > Paramètres > Service, désactivez SNMP v1/v2c (utilisez v3 avec chiffrement et authentification forte). Restreignez l’accès NTP et DNS aux serveurs internes légitimes uniquement.

Cette réduction drastique de la surface d’attaque au niveau des services exposés est fondamentale. Comme le souligne le NIST dans ses guides de durcissement, « la désactivation des services inutiles est la première et la plus efficace des contre-mesures ».

Durcir les comptes administrateurs avec MFA et LDAP

Un seul compte administrateur compromis peut mener à la prise de contrôle totale du FortiGate. Le durcissement des accès privilégiés est non négociable. Évitez absolument le compte « admin » par défaut. Créez des comptes individuels pour chaque administrateur dans Système > Administrateurs, en appliquant le principe du moindre privilège. Attribuez des profils restreints (comme « prof-admin » pour la gestion basique, excluant les réglages critiques comme les certificats ou les firmware).

L’intégration avec un annuaire LDAP (comme Active Directory) centralise et sécurise l’authentification :

  1. Configurez un serveur LDAP sous Utilisateur et Authentification > Serveurs LDAP.
  2. Créez un groupe d’utilisateurs FortiGate mappé au groupe AD approprié.
  3. Assignez ce groupe au profil d’administrateur adéquat lors de la création des comptes.

Le véritable renfort vient de l’authentification multifacteur (MFA). Intégrez FortiToken (physique ou mobile) ou un fournisseur tiers compatible (RADIUS). Sous Système > Administrateurs, pour chaque utilisateur ou groupe, activez l’option « Authentification à deux facteurs » et sélectionnez la méthode (FortiToken, Email, SMS). Pour une sécurité maximale, combinez MFA et certificats utilisateurs. Cette couche supplémentaire rend l’usurpation de compte extrêmement difficile, même si le mot de passe est volé. Consultez notre guide sur l’intégration FortiAuthenticator pour une gestion centralisée avancée.

Mettre en place des politiques de filtrage strictes

La puissance d’un FortiGate réside dans sa capacité à appliquer des règles granulaires. Adoptez une approche « deny by default » : aucune communication n’est autorisée sauf si explicitement permise par une politique. Structurez vos politiques en utilisant des zones de sécurité (Interne, DMZ, WAN) plutôt que des interfaces individuelles pour plus de flexibilité.

  • Application Control : Bloquez les applications à risque (P2P, proxies anonymes, jeux) et limitez l’accès aux applications métier nécessaires.
  • Web Filtering : Bloquez les catégories de sites malveillants (phishing, malware) et imposez le filtrage HTTPS via l’inspection SSL profonde (après avoir déployé les certificats nécessaires).
  • IPS (Intrusion Prevention System) : Activez des signatures spécifiques aux menaces actuelles et ajustez les seuils pour minimiser les faux positifs. Utilisez les profils prédéfinis « Protection stricte » comme base.
  • Moindre Privilège : Autorisez uniquement les ports/protocoles indispensables (ex: HTTP/HTTPS pour le web, SMTP/SMTPS pour le mail). Utilisez des plages IP sources et destinations précises.
  • Logging Complet : Activez le logging pour toutes les politiques (trafic autorisé et refusé) et envoyez les logs vers un FortiAnalyzer ou un SIEM externe pour analyse.

Exemple de politique stricte pour un serveur web en DMZ :

Source Destination Service Action Protections Actives
Any (Internet) IP du Serveur Web HTTP (tcp/80), HTTPS (tcp/443) ACCEPT IPS (Profil Web Server), Web Filtering, Antivirus
Réseau Admin IP du Serveur Web SSH (tcp/22), RDP (tcp/3389 – si Windows) ACCEPT IPS
Any Any Any DENY Logging activé

Automatiser les sauvegardes de configuration

Une erreur de configuration, une panne matérielle ou un ransomware ciblant le FortiGate peut avoir des conséquences désastreuses. Des sauvegardes régulières et automatisées sont votre filet de sécurité ultime. N’attendez pas un incident pour découvrir que votre dernière sauvegarde date de 6 mois !

FortiGate offre plusieurs méthodes :

  • Sauvegarde locale : La plus simple (Menu Système > Sauvegarder) mais vulnérable si l’appareil est compromis.
  • Sauvegarde vers FTP/SCP/SFTP : Plus sécurisée. Configurez un compte dédié en lecture seule sur un serveur sécurisé hors site ou sur un espace de stockage cloud compatible.
  • FortiCloud : Solution managée par Fortinet (stockage limité gratuit, options payantes). Pratique mais assurez-vous de la conformité de vos données.

L’automatisation est clé via les scripts CLI :

config system auto-script
edit « BackupNightly »
set interval 1440 # Exécution quotidienne (24h * 60min)
set script « execute backup config ftp Backup_${FGTSN}_${DATE}.conf ftp://user:password@ftpserver/path/ »
next
end

Chiffrez toujours vos sauvegardes (option disponible lors de l’export). Testez régulièrement la restauration dans un environnement isolé pour garantir l’intégrité des backups. Complétez avec des sauvegardes hors ligne archivées. Pour une stratégie de reprise complète, découvrez nos solutions de sauvegarde réseau.

Surveiller et maintenir à jour

La sécurité n’est pas un état, mais un processus continu. Une configuration durcie reste vulnérable si elle n’est pas surveillée et maintenue à jour. Exploitez pleinement les capacités de supervision du FortiGate :

  • Dashboard & Logs : Consultez régulièrement le tableau de bord pour détecter des pics de trafic suspects ou des alertes. Analysez les logs système, de sécurité et de trafic (via FortiView).
  • Alertes par email/SMS : Configurez des alertes pour les événements critiques (échecs de login admin, modification de configuration, CPU/mémoire élevée, signatures IPS déclenchées) sous Système > Paramètres > Alertes.
  • FortiGuard : Vérifiez que les abonnements (IPS, AV, Web Filter, App Control) sont actifs et se mettent à jour automatiquement.

La gestion des vulnérabilités est primordiale :

  1. Mises à jour de Firmware (FortiOS) : Suivez les avis de sécurité Fortinet (PSIRT). Planifiez la mise à jour vers les versions critiques immédiatement après tests en pré-production. Évitez les versions non supportées.
  2. Mises à jour des signatures : Laissez-les en automatique, mais vérifiez leur application.
  3. Audits réguliers : Utilisez l’outil intégré Système > Audit ou des outils externes (comme OWASP ZAP ou Nessus) pour scanner votre FortiGate et détecter d’éventuelles faiblesses de configuration ou vulnérabilités résiduelles.

Frequently asked questions

Quelle est l’erreur de configuration la plus courante compromettant un FortiGate ?

L’erreur la plus fréquente et dangereuse est de laisser le compte « admin » par défaut actif, souvent avec un mot de passe faible ou inchangé, combiné à l’accès administratif exposé sur l’interface WAN sans restriction d’adresse IP source ou sans MFA. Cela offre une cible facile pour les attaques par force brute ou par dictionnaire.

Puis-je utiliser n’importe quel fournisseur MFA avec FortiGate ?

FortiGate prend nativement en charge FortiToken. Cependant, il supporte également les standards ouverts comme RADIUS et TACACS+. Cela signifie que vous pouvez l’intégrer avec la plupart des solutions MFA du marché (Microsoft Authenticator, Google Authenticator, Duo Security, RSA SecurID) en configurant un serveur RADIUS (ex: NPS sur Windows Server) qui fait l’interface entre le FortiGate et le service MFA.

À quelle fréquence dois-je sauvegarder la configuration de mon FortiGate ?

Une sauvegarde quotidienne automatisée est un minimum absolu. Cependant, il est crucial d’effectuer une sauvegarde manuelle IMMÉDIATEMENT avant et après toute modification significative de la configuration (mise à jour du firmware, changement de topologie réseau, déploiement de nouvelles politiques complexes). Conservez plusieurs versions de sauvegardes (7 derniers jours par exemple) et des archives mensuelles hors ligne.

L’inspection SSL profonde impacte-t-elle les performances ? Comment la gérer ?

Oui, le déchiffrement/rechiffrement SSL/TLS est une opération processeur intensive. L’impact dépend du modèle FortiGate, du volume de trafic et de la puissance de chiffrement des clés. Pour optimiser :

  • Appliquez l’inspection SSL uniquement aux politiques nécessitant une haute sécurité (ex: accès utilisateur sortant, serveurs web internes). Excluez les flux sensibles (banque, santé) si la politique le permet.
  • Utilisez du matériel dédié (accélérateurs SSL comme les modèles CP ou SoC3).
  • Priorisez les algorithmes modernes (AES-GCM) plus efficaces.
  • Surveillez la charge CPU et montez en gamme si nécessaire.

Conclusion

Sécuriser et durcir un pare-feu FortiGate n’est pas une option, mais une nécessité absolue pour protéger le cœur de votre infrastructure réseau. En suivant ces meilleures pratiques – désactivation des protocoles vulnérables, durcissement radical des comptes administrateurs via MFA/LDAP, mise en œuvre de politiques de filtrage strictes fondées sur le « moindre privilège », automatisation fiable des sauvegardes et maintenance vigilante – vous réduirez considérablement la surface d’attaque de votre équipement. Rappelez-vous que la sécurité est un cycle continu : configurez, surveillez, auditez, mettez à jour. Ne laissez pas votre dernier rempart devenir votre plus grande faille. Agissez dès aujourd’hui : planifiez un audit complet de la configuration de votre FortiGate en utilisant ce guide comme référence et consultez la documentation officielle Fortinet pour approfondir chaque point. Votre réseau mérite cette rigueur.