# Scan de conformité FortiGate avec Tenable ## CIS L1 + CIS L2 + Tenable Best Practices --- ## Objectif Réaliser un **audit de conformité avancé** d’un firewall **FortiGate en FortiOS 7.4.x** via **Tenable / Nessus**, combinant : - CIS FortiGate **Level 1** - CIS FortiGate **Level 2** - Tenable **FortiOS Best Practices** Ce scan permet : - d’évaluer le niveau de durcissement (baseline → renforcé) - de détecter les écarts de configuration - de préparer des audits sécurité / RSSI / conformité --- ## Périmètre du scan | Élément | Valeur | |------|------| | Équipement | FortiGate | | OS | FortiOS 7.4.x | | Type de scan | Policy Compliance Auditing | | Référentiels | CIS L1 / CIS L2 / Tenable Best Practices | | Mode | Lecture seule | --- ## Impact sur la production ✅ **Aucun impact fonctionnel** Le scan est : - 100 % **read-only** - sans modification de configuration - sans coupure réseau - sans redémarrage - sans modification des politiques firewall ### Impact potentiel - Légère charge CPU temporaire - Connexions admin visibles dans les logs - Aucun impact utilisateur ✅ Scan adapté à la **production** --- ## Différence entre les audits activés ### CIS FortiGate 7.4.x – Level 1 (L1) - Bonnes pratiques de base - Sécurité sans impact opérationnel - Recommandé en production ### CIS FortiGate 7.4.x – Level 2 (L2) - Sécurité renforcée - Contrôles plus stricts - Peut révéler plus de FAIL (volontairement) ⚠️ L2 est **plus exigeant**, mais **ne change pas la configuration** ### Tenable FortiOS Best Practices v2.0.0 - Vision pragmatique - Complémentaire à CIS - Bon équilibre sécurité / exploitation --- ## Prérequis techniques ### Côté FortiGate - Accès SSH et/ou API depuis Nessus - Compte administrateur dédié - Droits suffisants pour lecture de configuration - Accès à l’interface de management ### Côté Nessus - Plugins à jour - Credentials configurés - Scan de type **Policy Compliance Auditing** --- ## Configuration du scan ### 1. Template - New Scan - Policy Compliance Auditing ### 2. Onglet Compliance Cocher : - ✅ CIS FortiGate 7.4.x v1.0.1 **L1** - ✅ CIS FortiGate 7.4.x v1.0.1 **L2** - ✅ TNS FortiGate FortiOS Best Practices v2.0.0 --- ## Paramètres CIS (valeurs attendues) Les audits CIS nécessitent des **valeurs de référence organisationnelles** afin de comparer la configuration réelle du FortiGate à la politique attendue. ⚠️ Ces paramètres : - **n’imposent aucune configuration** - servent uniquement à la comparaison PASS / FAIL --- ### DNS ```text DNS Server 1 : DNS principal de l’organisation DNS Server 2 : DNS secondaire de l’organisation ```` *** ### WAN ```text WAN Port : interface WAN réelle (ex: port9) ``` *** ### Bannières légales ```text Pre-login banner text : texte légal affiché avant connexion Post-login banner text : texte légal affiché après connexion ``` Exemple recommandé : ```text All unauthorized activity is monitored and logged ``` *** ### Timezone ```text device timezone : valeur configurée sur le FortiGate (ex: 12) ``` *** ### NTP ```text NTP Server 1 : serveur NTP principal NTP Server 2 : serveur NTP secondaire ``` *** ### Politique de mot de passe ```text Minimum password length : 14 Password scope : admin-password ipsec-preshared-key Admin lockout threshold : [1-3] ``` *** ### Paramètres spécifiques CIS L2 #### Content Disarm and Reconstruction (CDR) ```text CDR AV Policy : default ``` Vérifie l’activation du CDR pour certains types de fichiers. *** #### DNS Filter ```text DNS Filter profile : default Firewall Policy ID : 3 ``` Contrôle l’utilisation des profils DNS Filter sur les politiques firewall. *** #### Syslog ```text Syslog Server : IP du serveur Syslog central ``` Exemple : ```text 10.6.4.138 ``` *** ## Bonnes pratiques d’exécution * Utiliser **uniquement des valeurs réelles** * Vérifier la configuration avec : ```bash show system global show system dns show system ntp show system password-policy show log syslogd setting ``` * Analyser les FAIL avant toute remédiation *** ## Interprétation des résultats | Résultat | Signification | | -------- | ---------------------------- | | PASS | Conforme | | FAIL | Écart au référentiel | | INFO | Information | | MANUAL | Vérification humaine requise | ⚠️ Les FAIL L2 sont souvent **acceptables selon le contexte métier**   *** ## Recommandations * ✅ L1 + Best Practices : baseline sécurité * ✅ L2 : analyse avancée / audit * ❌ Ne pas corriger automatiquement sans validation * ✅ Prioriser selon le risque réel *** ## Conclusion Ce scan combiné fournit : * une vision complète du niveau de sécurité * un support d’audit solide * une base de travail pour l’amélioration continue ✅ Scan sûr ✅ Conforme production ✅ Aligné bonnes pratiques sécurité