SUPPRIMER Accès administratif — Sources de confiance
FortiOS 7.6 · Administration
Accès administratif — Sources de confiance
Restreindre les adresses depuis lesquelles on peut administrer le FortiGate.
Une autre façon de sécuriser le FortiGate consiste à définir les hôtes ou sous‑réseaux considérés comme sources de confiance pour la connexion. Toute tentative depuis une adresse non listée est rejetée.
Que se passe‑t‑il si l’on se connecte depuis une IP absente de toutes les listes de confiance ? La page de connexion ne s’affiche même pas.
Principe des hôtes de confiance
Dans un exemple typique, 10.0.1.10 est configurée comme la seule adresse IP de confiance depuis laquelle l’administrateur peut se connecter. Toute tentative depuis une autre adresse IP entraîne un échec d’authentification.
Si des hôtes de confiance sont configurés pour tous les administrateurs et qu’une connexion est tentée depuis une IP absente de toutes les listes, la page de connexion ne s’affiche même pas.
Configuration par compte
- Laisser une adresse IPv4 à
0.0.0.0/0autorise les connexions depuis n’importe quelle adresse source. C’est la configuration par défaut de l’administrateur, mais il est recommandé de la modifier. - Chaque compte peut définir son hôte ou sous‑réseau de management différemment.
- On peut aussi restreindre un compte au seul provisionnement de comptes invités (nécessite un groupe d’utilisateurs invités).
Attention au NAT
Piège : attention au NAT qui peut se produire entre l’appareil spécifié et le FortiGate. Si l’adresse IP est ensuite traduite (NATée) vers une autre adresse avant d’atteindre le FortiGate, l’administrateur peut être empêché de se connecter — ce qui va à l’encontre du but des hôtes de confiance.
