Passer au contenu
Français
Portail client Se connecter
Contacter le support
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Guide de déblocage et de whitelisting d’URL sur FortiGate/Fortinet

Le filtre web FortiGate de Fortinet peut être configuré pour permettre l’accès aux domaines de phishing et d’atterrissage de BlueSecure. Nous recommandons de mettre BlueSecure sur liste blanche dans le filtre web de Fortigate si vos utilisateurs rencontrent des problèmes pour accéder à nos pages d’atterrissage (après avoir échoué à un test d’hameçonnage).

Les instructions ci-dessous comprennent des informations tirées de l’article sur le filtre d’URL statique de FortiGate. Si vous rencontrez des problèmes pour mettre BlueSecure sur la liste blanche de FortiGate, nous vous recommandons de contacter FortiGate pour obtenir des instructions spécifiques. Vous pouvez également contacter notre équipe de support si vous avez besoin d’aide.

Liste blanche par filtre d’URL statique

Vous pouvez autoriser l’accès à nos domaines de phishing et d’atterrissage en les ajoutant à votre liste de filtre d’URL statique dans votre pare-feu Fortigate. Le filtre web FortiGate autorise les pages web correspondant aux URL que vous spécifiez.

Note : L’inscription sur la liste blanche avec des dérogations au classement Web est une autre méthode d’inscription sur la liste blanche proposée par Fortinet. Cette méthode est destinée aux organisations qui utilisent les catégories Fortiguard. Pour plus d’informations sur cette méthode, veuillez consulter l’article de Fortinet sur les dérogations à la classification Web.

 

  1. Tout d’abord, naviguez vers l’onglet Phishing dans votre console KMSAT. Sélectionnez le sous-onglet Domaines pour voir une liste de nos domaines d’hameçonnage racine.
  2. Connectez-vous à votre compte Fortinet.
  3. Naviguez vers Profils de sécurité > Filtre Web.
  4. Créez un nouveau filtre web ou sélectionnez-en un à modifier.
  5. Développez Filtre URL statique, activez Filtre URL et sélectionnez Créer.
  6. Saisissez les URL, sans le « https ». Par exemple, www.example.com.
  7. Saisissez chaque domaine d’hameçonnage et d’entraînement comme indiqué à l’étape 1.
  8. Sélectionnez Type : Simple
  9. Sélectionnez l’action à entreprendre contre les URL correspondantes : Autoriser
  10. Confirmez que le statut est activé.

 

En cas de blocage : 

Les actions peuvent concerner plusieurs modules FortiGate, notamment :

  • Web Filter
  • DNS Filter
  • SSL/SSH Inspection
  • Application Control
  • IPS
  • Antivirus / File Filter, si activés

Avant toute modification, il est recommandé d’identifier précisément le module responsable du blocage via les logs FortiGate.

1. Informations à autoriser

Veuillez autoriser les domaines listés sur cette page ainsi que le domaine app.bluesecure.fr.

Protocoles généralement nécessaires :

Protocole Port Usage
HTTPS TCP/443 Accès applicatif sécurisé
WSS TCP/443 WebSockets sécurisés, si utilisés par l’application

2. Identifier le module FortiGate qui bloque le trafic

Avant d’ajouter une exception, il est recommandé de vérifier les logs afin d’identifier la cause exacte du blocage.

Vérification dans les logs Web Filter

Dans l’interface FortiGate :

  1. Allez dans Log & Report > Security Events > Web Filter.
  2. Filtrez sur l’un des éléments suivants :
    • URL
    • Domaine
    • Adresse IP de destination
    • Adresse IP du poste utilisateur
  3. Vérifiez les champs suivants :
    • action
    • hostname
    • url
    • category
    • policyid
    • profile

Si aucun événement n’apparaît dans les logs Web Filter, vérifiez également :

  • DNS Filter
  • Application Control
  • IPS
  • Forward Traffic
  • SSL/SSH Inspection

Cette étape permet de confirmer si le blocage vient d’une catégorie FortiGuard, d’un filtre URL statique, du DNS Filter, de l’inspection SSL ou d’un autre profil de sécurité.

3. Vérifier la politique de pare-feu concernée

Les modifications doivent être appliquées sur les profils réellement utilisés par les utilisateurs concernés.

Dans FortiGate :

  1. Allez dans Policy & Objects > Firewall Policy.
  2. Identifiez la règle qui autorise le trafic des utilisateurs vers Internet.
  3. Notez les profils associés à cette règle :
    • Web Filter
    • SSL/SSH Inspection
    • DNS Filter
    • Application Control
    • IPS
    • Antivirus / File Filter, si activés

Si plusieurs règles, groupes d’utilisateurs, VDOM ou profils sont utilisés, l’autorisation devra être appliquée à chaque profil concerné.

4. Déblocage via Web Filter

Option recommandée : Web Rating Override

Cette méthode est recommandée si le blocage provient d’une catégorisation FortiGuard.

Elle permet de classer nos domaines dans une catégorie locale autorisée, sans désactiver inutilement les autres contrôles de sécurité.

Étapes

  1. Allez dans Security Profiles > Web Rating Overrides.
  2. Créez une catégorie personnalisée, par exemple :
Services autorisés - <Nom de votre société>
  1. Ajoutez nos domaines à cette catégorie.
  2. Allez dans Security Profiles > Web Filter.
  3. Éditez le profil Web Filter appliqué à la politique de pare-feu concernée.
  4. Autorisez la catégorie personnalisée créée précédemment.
  5. Sauvegardez le profil.

Option alternative : Static URL Filter

Cette méthode permet d’ajouter explicitement nos domaines dans le filtre URL statique du profil Web Filter.

Étapes

  1. Allez dans Security Profiles > Web Filter.
  2. Éditez le profil appliqué à la politique de pare-feu des utilisateurs concernés.
  3. Dans la section Static URL Filter, activez URL Filter si ce n’est pas déjà fait.
  4. Cliquez sur Create New.
  5. Ajoutez les entrées nécessaires.

Exemple de configuration :

Champ Valeur
URL <domaine-principal.tld>
Type Simple
Action Allow ou Exempt
Status Enable

Ajoutez également une entrée pour les sous-domaines :

Champ Valeur
URL *.<domaine-principal.tld>
Type Wildcard
Action Allow ou Exempt
Status Enable

5. Choisir entre Allow et Exempt

Le choix de l’action est important.

Allow

L’action Allow autorise l’accès à l’URL, tout en continuant à appliquer les autres contrôles de sécurité configurés sur la politique.

À privilégier lorsque l’objectif est simplement d’autoriser l’accès au domaine sans contourner les autres protections.

Exempt

L’action Exempt permet de contourner certains contrôles appliqués à l’URL concernée.

À utiliser si l’URL reste bloquée malgré l’action Allow, notamment dans les cas suivants :

  • Blocage persistant par catégorisation FortiGuard
  • Faux positif du Web Filter
  • Blocage lié à une inspection de contenu

Attention : dans l’interface graphique FortiGate, l’action Exempt peut contourner plusieurs Security Profiles pour l’URL concernée. Elle doit donc être utilisée avec précaution.

Si vous souhaitez limiter l’exemption au filtrage FortiGuard uniquement, il est préférable de le faire en CLI.

Exemple CLI :

config webfilter urlfilter
    edit <urlfilter_id>
        config entries
            edit <entry_id>
                set action exempt
                set exempt fortiguard
            next
        end
    next
end

6. Supprimer ou désactiver les anciens blocages

Si nos domaines avaient été bloqués auparavant, il est important de vérifier qu’aucune ancienne règle de blocage n’est encore active.

Veuillez contrôler les emplacements suivants :

  • Security Profiles > Web Filter > Static URL Filter
  • Security Profiles > Web Rating Overrides
  • Security Profiles > DNS Filter
  • Profils appliqués à d’autres politiques de pare-feu
  • FortiManager, si la configuration est centralisée

Une ancienne entrée en Block dans un profil encore appliqué peut continuer à bloquer l’accès, même si une autorisation a été ajoutée ailleurs.

7. Exemption de l’inspection SSL

Cette étape est nécessaire uniquement si votre politique utilise un profil SSL/SSH Inspection en mode inspection complète, aussi appelé Full SSL Inspection ou deep-inspection.

Si vous utilisez uniquement le mode certificate-inspection, cette étape peut ne pas être nécessaire.

Création des objets FQDN

  1. Allez dans Policy & Objects > Addresses.
  2. Créez un nouvel objet adresse :
Champ Valeur
Name <nom-service-fqdn>
Type FQDN
FQDN <domaine-principal.tld>
Interface any
  1. Créez un second objet si nécessaire pour les sous-domaines :
Champ Valeur
Name <nom-service-wildcard-fqdn>
Type FQDN
FQDN *.<domaine-principal.tld>
Interface any

Ajout dans le profil SSL/SSH Inspection

  1. Allez dans Security Profiles > SSL/SSH Inspection.
  2. Éditez le profil appliqué à la politique de pare-feu concernée.
  3. Allez dans la section Exempt from SSL Inspection.
  4. Ajoutez les objets FQDN créés précédemment.
  5. Sauvegardez le profil.

Lorsque cela est possible, activez les logs d’exemption SSL afin de faciliter le diagnostic en cas de blocage persistant.

8. Vérifier le DNS Filter

Si le DNS Filter est activé, il peut bloquer la résolution DNS avant même que le Web Filter n’intervienne.

Il est donc important de vérifier que nos domaines ne sont pas bloqués à ce niveau.

Étapes

  1. Allez dans Security Profiles > DNS Filter.
  2. Éditez le profil DNS Filter appliqué à la politique concernée.
  3. Vérifiez le Local Domain Filter.
  4. Ajoutez nos domaines en Allow ou Monitor, selon votre politique interne.
  5. Supprimez ou désactivez toute ancienne entrée en Block.

Domaines à vérifier :

<domaine-principal.tld>
*.<domaine-principal.tld>
<sous-domaine-1.tld>
<sous-domaine-2.tld>

9. Tests de validation

Après modification, veuillez effectuer les tests suivants depuis un poste utilisateur concerné.

Test d’accès

  1. Ouvrez un navigateur.
  2. Accédez à l’application ou au service concerné.
  3. Vérifiez que les pages et fonctionnalités se chargent correctement.

Nettoyage du cache DNS local

Si le blocage persiste, videz le cache DNS du poste utilisateur.

Windows

ipconfig /flushdns

macOS

sudo dscacheutil -flushcache
sudo killall -HUP mDNSResponder

Il peut également être utile de :

  • Redémarrer le navigateur
  • Tester en navigation privée
  • Vérifier depuis un autre poste utilisateur
  • Tester depuis un autre réseau, si possible

10. Diagnostic en cas de blocage persistant

Si l’accès reste bloqué après ces modifications, veuillez consulter à nouveau les logs FortiGate.

Les informations suivantes permettront d’identifier la cause du blocage :

Information Description
policyid Identifiant de la règle de pare-feu utilisée
profile Profil de sécurité responsable du blocage
action Action appliquée : blocked, reset, dns, etc.
hostname Domaine concerné
url URL appelée
category / catdesc Catégorie FortiGuard appliquée
Module concerné Web Filter, DNS Filter, SSL Inspection, Application Control, IPS, etc.
IP source Adresse IP du poste utilisateur
IP destination Adresse IP du service contacté

Merci de nous transmettre une capture ou un export du log correspondant au blocage afin que nous puissions vous aider à identifier précisément la cause.

Résumé des actions recommandées

  1. Identifier le module responsable du blocage via les logs.
  2. Vérifier la politique de pare-feu réellement utilisée par les postes concernés.
  3. Autoriser les domaines dans le Web Filter.
  4. Vérifier qu’aucune ancienne règle Block n’est encore active.
  5. Ajouter une exemption SSL si le mode deep-inspection est utilisé.
  6. Vérifier le DNS Filter.
  7. Tester l’accès et analyser les logs en cas d’échec.

 

Après avoir suivi cet article, nous vous recommandons de mettre en place une campagne d’hameçonnage de test pour 2 ou 3 utilisateurs afin de vous assurer que votre liste blanche a réussi.

 

 

 

 

 

 

 

En dernier recours, nous vous suggérons de demander de l’aide à votre fournisseur de services. Consultez la section Aide à l’établissement de listes blanches par des tiers de notre article Données d’établissement de listes blanches et informations anti-spam pour obtenir un modèle d’e-mail que vous pouvez envoyer à votre fournisseur de services.