Configurer un accès sécurisé avec Fortigate Firewall

Introduction

Ce document décrit comment configurer l'accès sécurisé avec Fortigate Firewall.

Conditions préalables

• Configurer le provisionnement utilisateur
• Configuration de l'authentification ZTNA SSO
• Configuration de l'accès sécurisé VPN à distance

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Pare-feu version Fortigate 7.4.x
• Accès sécurisé
• Client sécurisé Cisco - VPN
• Client sécurisé Cisco - ZTNA
• ZTNA sans client

Composants utilisés

Les informations contenues dans ce document sont basées sur : 

• Pare-feu version Fortigate 7.4.x
• Accès sécurisé
• Client sécurisé Cisco - VPN
• Client sécurisé Cisco - ZTNA

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Cisco a conçu Secure Access pour protéger et fournir un accès aux applications privées, sur site et dans le cloud. Il protège également la connexion du réseau à Internet. Pour ce faire, plusieurs méthodes et couches de sécurité sont mises en oeuvre, toutes visant à préserver les informations lorsqu'elles y accèdent via le cloud.

Configurer

Configurer le VPN sur un accès sécurisé

Accédez au panneau d'administration de Secure Access.

• Cliquez sur Connect > Network Connections > Network Tunnels Groups

• Sous Network Tunnel Groups cliquez sur + Add

• Configurer Tunnel Group Name, Region et Device Type
• Cliquer Next

• Configurez les Tunnel ID Format et Passphrase
• CliquerNext

• Configurez les plages d'adresses IP ou les hôtes que vous avez configurés sur votre réseau et souhaitez faire passer le trafic par un accès sécurisé
• CliquerSave

Après avoir cliqué sur Save les informations sur le tunnel s'affiche, veuillez enregistrer ces informations pour l'étape suivante, Configure the VPN Site to Site on Fortigate.

Données du tunnel

Configurer le site VPN sur le site Fortigate

Accédez à votre tableau de bord Fortigate.

• Cliquer VPN > IPsec Tunnels

• Cliquer Create New > IPsec Tunnels

• Cliquez sur Custom , configurez un Name et cliquez sur Next.

Dans l'image suivante, vous voyez comment vous devez configurer les paramètres de la Network pièce.

Réseau

• Network
  • IP Version :IPv4
  • Remote Gateway :Adresse IP statique
  • IP Address: Utilisez l'IP de Primary IP Datacenter IP Address,donnée dans l'étape Données de tunnel
  • Interface : choisissez l'interface WAN que vous avez prévu d'utiliser pour établir le tunnel
  • Local Gateway : Désactiver par défaut
  • Mode Config : Désactiver par défaut
  • NAT Traversal :activer
  • Keepalive Frequency :10
  • Dead Peer Detection : à la demande
  • DPD retry count :3
  • DPD retry interval :10
  • Forward Error Correction : ne cochez aucune case. 
  • Advanced...: configurez-la en tant qu'image.

Configurez maintenant le Authenticationrouteur IKE.

Authentification

• Authentication 
  • Method : clé pré-partagée par défaut
  • Pre-shared Key : Utilisez la Passphrasedonnée dans l'étape Données de tunnel
• IKE 
  • Version : choisissez la version 2.

Configurez maintenant le Phase 1 Proposal.

Proposition de phase 1

• Phase 1 Proposal
  • Encryption : sélectionnez AES256
  • Authentication : sélectionnez SHA256
  • Diffie-Hellman Groups : cochez les cases 19 et 20
  • Key Lifetime (seconds) : 86400 par défaut
  • Local ID : Utilisez la commande Primary Tunnel ID, donnée à l'étape Données de tunnel

Configurez maintenant le Phase 2 Proposal.

Proposition de phase 2

• New Phase 2
  • Name : défini par défaut (ce nom provient du nom de votre VPN)
  • Local Address : Laisser par défaut (0.0.0.0/0.0.0.0)
  • Remote Address : Laisser par défaut (0.0.0.0/0.0.0.0)
• Advanced
  • Encryption : sélectionnez AES128
  • Authentication : sélectionnez SHA256
  • Enable Replay Detection : Laisser par défaut (Activé)
  • Enable Perfect Forward Secrecy (PFS) : décochez la case
  • Local Port : Laisser par défaut (Activé)
  • Remote Port: Laisser par défaut (Activé)
  • Protocol : Laisser par défaut (Activé)
  • Auto-negotiate : laissé par défaut (non marqué)
  • Autokey Keep Alive : laissé par défaut (non marqué)
  • Key Lifetime : Laisser par défaut (secondes)
  • Seconds : laissé par défaut (43200)

Ensuite, cliquez sur OK. Vous voyez après quelques minutes que le VPN a été établi avec un accès sécurisé, et vous pouvez passer à l'étape suivante, Configure the Tunnel Interface.

Configuration de l'interface du tunnel

Une fois le tunnel créé, vous remarquerez qu'une nouvelle interface se trouve derrière le port que vous utilisez comme interface WAN pour communiquer avec Secure Access. 

Pour vérifier cela, accédez à Network > Interfaces.

Développez le port que vous utilisez pour communiquer avec Secure Access ; dans ce cas, l'WAN interface.

• Cliquez sur votre Tunnel Interface et sur Edit

• Vous devez configurer l'image suivante

• Interface Configuration 
• IP : configurez une adresse IP non routable que vous n'avez pas sur votre réseau (169.254.0.1)
• Remote IP/Netmask : configurez l'adresse IP distante en tant qu'adresse IP suivante de l'interface IP et avec le masque de réseau 30 (169.254.0.2 255.255.255.252)

Après cela, cliquez sur OK  pour enregistrer la configuration et passer à l'étape suivante, Configure Policy Route (routage basé sur l'origine).

Configurer le routage de stratégie

À ce stade, votre VPN est configuré et défini sur Accès sécurisé ; vous devez à présent réacheminer le trafic vers Accès sécurisé pour protéger votre trafic ou l'accès à vos applications privées derrière votre pare-feu FortiGate.

• Naviguez jusqu'à Network > Policy Routes

• Configurer la stratégie

• If Incoming traffic matches
  • Incoming Interface : choisissez l'interface à partir de laquelle vous prévoyez de réacheminer le trafic vers l'accès sécurisé (origine du trafic)
• Source Address
  • IP/Netmask : utilisez cette option si vous routez uniquement un sous-réseau d'une interface
  • Addresses : utilisez cette option si l'objet est créé et que la source du trafic provient de plusieurs interfaces et sous-réseaux
• Destination Addresses 
  • Addresses: Choisir all
  • Protocol: Choisir ANY
• Then 
  • Action: Choose Forward Traffic
• Outgoing Interface : Choisissez l'interface de tunnel que vous avez modifiée à l'étape Configurer l'interface de tunnel
• Gateway Address: configurez l'adresse IP distante configurée à l'étape RemoteIPNetmask
• Status : sélectionnez Activé

Cliquez OK pour enregistrer la configuration. Vous êtes maintenant prêt à vérifier si le trafic de vos périphériques a été réacheminé vers Secure Access. 

Vérifier

Afin de vérifier si le trafic de votre machine a été réacheminé vers l'accès sécurisé, vous avez deux options : vous pouvez vérifier sur Internet et rechercher votre adresse IP publique, ou vous pouvez exécuter la commande suivante avec curl : 

C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

La plage publique d'où vous pouvez voir votre trafic est :

Min Host:151.186.176.1

Max Host :151.186.207.254

Si vous voyez le changement de votre IP publique, cela signifie que vous êtes protégé par un accès sécurisé, et maintenant vous pouvez configurer votre application privée sur le tableau de bord d'accès sécurisé pour accéder à vos applications à partir de VPNaaS ou ZTNA.