Home

Rapport de certification ANSSI-2009/29 Suite logicielle IPS

1. et de configuration R f rence FRUG0901 V1 1 NRMONITOR V8 0 version 1 1 de janvier 2009 NETASQ Guide d utilisation de l interface Reporter NETASQ EVENT REPORTER V8 0 Manuel d utilisation et de configuration R f rence FRUG0901 V1 1 NEREPORTER V8 0 version 1 1 de janvier 2009 NETASQ Page 14 sur 15 CER F 07 5 Suite logicielle IPS Firewall pour bo tiers appliances NETASQ T version 8 0 1 1 Rapport de certification ANSSI 2009 29 l Annexe 3 R f rences li es la certification D cret 2002 535 du 18 avril 2002 relatif l valuation et la certification de la s curit offerte par les produits et les syst mes des technologies de l information CER P 01 Proc dure CER P 01 Certification de la s curit offerte par les produits et les syst mes des technologies de l information DCSSI CC Common Criteria for Information Technology Security Evaluation Part 1 Introduction and general model September 2006 version 3 1 revision 1 ref CCMB 2006 09 001 Part 2 Security functional components September 2007 version 3 1 revision 2 ref CCMB 2007 09 002 Part 3 Security assurance components September 2007 version 3 1 revision 2 ref CCMB 2007 09 003 CEM Common Methodology for Information Technology Security Evaluation Evaluation Methodology September 2007 version 3 1 revision 2 ref CCMB 2007 09 004 CC RA Arrangement on the Recogni
2. cute sur un bo tier appliance connect la station d administration distante au travers d un r seau Le package NETASQ Administration Suite IHM qui s ex cute sur la station d administration est constitu de trois interfaces graphiques NETASQ Unified Manager qui permet l administration et la configuration des firewalls NETASQ NETASQ Real Time Monitor qui permet la supervision et le monitoring d un ou plusieurs firewalls NETASQ Event Reporter qui permet l analyse des traces et le reporting 1 2 4 Cycle de vie Le cycle de vie du produit est le suivant D veloppement d veloppement de la cible d valuation D ploiement mise disposition du produit aux clients Installation conformit aux recommandations fournies par NETASQ Exploitation suivi du produit au jour le jour lorsqu il est en production avec remont e ventuelle de bugs Rebus destruction d un produit obsol te ou d faillant Seules les phases de d veloppement et de d ploiement r alis es par NETASQ ont t valu es Les phases d installation d exploitation et de rebus sont r alis es par le client Le produit a t d velopp sur le site suivant NETASQ 3 rue Archim de 59650 Villeneuve d Ascq France L valuateur a consid r comme administrateurs du produit les personnes r alisant les op rations d administration de la s curit et responsables de leur ex cution conform ment a
3. 7 Libert galit Fraternit R PUBLIQUE FRAN AISE PREMIER MINISTRE Secr tariat g n ral de la d fense nationale Agence nationale de la s curit des syst mes d information Rapport de certification ANSSI 2009 29 Suite logicielle IPS Firewall pour bo tiers appliances NETASQ version 8 0 1 1 Paris le 29 juillet 2009 Pour le directeur g n ral de l agence nationale de la s curit des syst mes d information Le contre amiral Michel Benedittini directeur g n ral adjoint ORIGINAL SIGNE S CURIT ee NOlVI111439 s cunrr i Suite logicielle IPS Firewall pour bo tiers appliances NETASQ l Rapport de certification ANSSI 2009 29 version 8 0 1 1 Avertissement Ce rapport est destin fournir aux commanditaires un document leur permettant d attester du niveau de s curit offert par le produit dans les conditions d utilisation ou d exploitation d finies dans ce rapport pour la version qui a t valu e Il est destin galement fournir l acqu reur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le produit de mani re se trouver dans les conditions d utilisation pour lesquelles le produit a t valu et certifi c est pourquoi ce rapport de certification doit tre lu conjointement aux guides d utilisation et d administration valu s ainsi qu la cible de s curit du produit qui d crit les menaces les hy
4. LA CERTIFICATION ssssssssseenesessennnsee 15 Page 5 sur 15 s cunrr i Suite logicielle IPS Firewall pour bo tiers appliances NETASQ l Rapport de certification ANSSI 2009 29 version 8 0 1 1 1 Le produit 1 1 Pr sentation du produit Le produit valu est la Suite logicielle IPS Firewall pour bo tiers appliances NETASQ version 8 0 1 1 d velopp e par la soci t NETASQ Ce produit offre des fonctionnalit s de type firewall regroupant filtrage d tection d attaques gestion de la bande passante gestion de la politique de s curit audit imputabilit et authentification forte des utilisateurs Il offre galement des fonctionnalit s VPN Virtual Private Network R seau Priv Virtuel chiffrement et authentification impl mentant le protocole ESP Encapsuling Security Payload en mode tunnel du standard IPSec s curisant ainsi la transmission de donn es entre des sites distants 1 2 Description du produit La cible de s curit ST d finit le produit valu ses fonctionnalit s de s curit valu es et son environnement d exploitation 1 2 1 Identification du produit Les l ments constitutifs du produit sont identifi s dans la liste de configuration CONF Une tiquette coll e sur chacun des bo tiers indique son mod le son num ro de s rie le code d activation web du client et un code barre contenant ce m me num ro de s rie Une autre tiquette coll e sur le ca
5. e Uni Singapour la Su de et la Turquie Page 12 sur 15 CER F 07 5 version 8 0 1 1 Suite logicielle IPS Firewall pour bo tiers appliances NETASQ S CURIT Rapport de certification ANSSI 2009 29 l Annexe 1 Niveau d valuation du produit EAL EA 1 Classe Famille er ADV_ARC ADV_FSP ADV ADV_IMP D veloppement ADV_INT ADV_SPM ADV_TDS AGD AGD_OPE Guides d utilisation AGD_PRE ALC_CMC ALC_CMS ALC ALC_DEL r sn an ALC FLR ALC_LCD ALC_TAT ASE CCL ASE_ECD ASE ASE_INT Evaluation de la ASE_OBJ cible de s curit ASE_REQ ASE_SPD ASE_TSS ATE_COV ATE ATE_DPT Tests ATE_FUN ATE_IND AVA Estimation des AVA_VAN vuln rabilit s Composants par niveau Niveau d assurance retenu d assurance IL pour le produit EAL EAL E ee Intitul du composant 3 5 7 3 p 1 1 1 1 Security architecture description Functional specification with 3 5 6 3 complete summary 1 2 2 3 1 2 4 6 2 Architectural design 1 1 1 1 Operational user guidance 1 1 1 1 Preparative procedures 3 4 4 3 3 4 5 5 1 1 1 1 Delivery procedures 1 1 2 1 Identification of security measures 1 1 2 1 Developer defined life cycle model 2 3 1 1 1 1 Conformance claims Extended components 1 1 1 1 Nes definition 1 1 1 1 ST introduction 2 2 2 2 Security objectives 2 2 2 2 Derived security requirements 1 1 1 1 Security prob
6. eneuve d Ascq France Commanditaire NETASQ 3 rue Archim de 59650 Villeneuve d Ascq France Centre d valuation Silicomp AQL 1 rue de la ch taigneraie CS 51766 35513 Cesson S vign Cedex France T l 33 0 2 99 12 50 00 m l cesti aql fr Accords de reconnaissance applicables CCRA SOG IS IT Page 3 sur 15 s cunrr i Suite logicielle IPS Firewall pour bo tiers appliances NETASQ l Rapport de certification ANSSI 2009 29 version 8 0 1 1 Pr face La certification La certification de la s curit offerte par les produits et les syst mes des technologies de l information est r gie par le d cret 2002 535 du 18 avril 2002 publi au Journal officiel de la R publique fran aise Ce d cret indique que e L agence nationale de la s curit des syst mes d information labore les rapports de certification Ces rapports pr cisent les caract ristiques des objectifs de s curit propos s Ils peuvent comporter tout avertissement que ses r dacteurs estiment utile de mentionner pour des raisons de s curit Ils sont au choix des commanditaires communiqu s ou non des tiers ou rendus publics article 7 e Les certificats d livr s par le Premier ministre attestent que l exemplaire des produits ou syst mes soumis valuation r pond aux caract ristiques de s curit sp cifi es Ils attestent galement que les valuations ont t conduites conform men
7. esquels le produit tablit des tunnels VPN doivent tre prot g s de mani re quivalente aux bo tiers appliances les stations d administration distance doivent tre s curis es maintenues jour de toutes les vuln rabilit s connues install es dans des locaux acc s prot g et doivent tre exclusivement d di es l administration de la cible d valuation et au stockage des donn es les postes sur lesquels s ex cutent les clients VPN des utilisateurs autoris s doivent tre prot g s de mani re quivalente aux stations d administration distantes les mots de passe des utilisateurs et des administrateurs doivent tre g r s par une politique de cr ation et de contr le des mots de passe les administrateurs doivent tre des personnes de confiance comp tentes et form es disposant des moyens n cessaires l accomplissement de leurs t ches le super administrateur doit tre le seul tre habilit se connecter via la console locale sur les bo tiers la politique de contr le des flux d informations mettre en oeuvre doit tre d finie pour tous les quipements des r seaux de confiance prot ger de mani re compl te stricte correcte et non ambigu la cible d valuation ne doit pas d pendre de services externes en ligne pour l application de la politique de contr le des flux d information part l application des fonctions de s curit les b
8. lem definition 1 1 1 1 TOE summary specification 2 2 3 2 Analysis of coverage 1 3 4 1 Testing basic design 1 1 2 1 Functional testing 2 2 3 2 Independent testing sample 2 3 4 5 Page 13 sur 15 li Rapport de certification ANSSI 2009 29 Suite logicielle IPS Firewall pour bo tiers appliances NETASQ version 8 0 1 1 Annexe 2 R f rences documentaires du produit valu ST Cible de s curit de r f rence pour l valuation Firewalls NETASQ Cible de s curit Suite logicielle IPS Firewall Version 8 R f rence NA _ ASE ciblesec_v8 version 1 4 du 15 04 2009 NETASQ RTE Rapport technique d valuation Projet JOCELYNE R f rence NTQ004 Jocelyne RTE version 4 01 du 24 07 2009 Silicomp AQL ANA CRY1 Cotation de m canismes cryptographiques Projet JOCELYNE R f rence 1644 SGDN DCSSI ACE du 26 juin 2009 SGDN DCSSI EXP CRY Analyse des m canismes cryptographiques Projet JOCELYNE R f rence NTQ004 AMC version 1 02 du 24 07 2009 Silicomp AQL CONF Liste en configuration R f rence NA_ALC_sources_liste_v8 version 1 0 du 12 01 2009 NETASQ GUIDES Guide d utilisation de l interface Manager NETASQ UNIFIED MANAGER V8 0 Manuel d utilisation et de configuration R f rence FRUG0907 V1 2 NUMANAGER V8 0 version 1 2 de juillet 2009 NETASQ Guide d utilisation de l interface Monitor NETASQ REALGTIME MONITOR V8 0 Manuel d utilisation
9. les flux IPSec utiliser la protection en int grit HMAC SHAI dans les flux IPSec utiliser des moyens d authentification cl s pr partag es cl s publiques suivant les r gles et recommandations de REF CRY pour l authentification des changes de cl s dans le cadre de l ex cution du protocole IKE Internet Key Exchange Pour l authentification des utilisateurs si une base LDAP externe est utilis e le serveur distant h bergeant la base LDAP doit tre prot g suivant l tat de l art Plus pr cis ment on cherchera assurer la confidentialit des informations v hicul es par le protocole LDAP en chiffrant les communications entre l annuaire LDAP et l IPS Firewall au moyen du protocole SSL Le serveur LDAP externe doit tre l coute sur le port TCP 636 port par d faut pour les communications LD AP cr er un compte administrateur sp cifique permettant l IPS Firewall de se connecter sur le serveur LDAP externe en restreignant la lecture criture sur les seuls champs n cessaires l IPS Firewall choisir un algorithme de hachage suivant les r gles et recommandations de REF CRY pour les mots de passe stock s Page 11 sur 15 s cunrr qi Suite logicielle IPS Firewall pour bo tiers appliances NETASQ l Rapport de certification ANSSI 2009 29 version 8 0 1 1 3 3 Reconnaissance du certificat 3 3 1 Reconnaissance europ enne SOG IS Ce certificat est mis da
10. ns les conditions de accord du SOG IS SOG IS L accord de reconnaissance europ en du SOG IS de 1999 permet la reconnaissance par les pays signataires de l accord des certificats ITSEC et Crit res Communs La reconnaissance europ enne s applique jusqu au niveau ITSEC E6 et CC EAL 7 Les certificats reconnus dans le cadre de cet accord sont mis avec la marque suivante II Security Certified 3 3 2 Reconnaissance internationale crit res communs CCRA Ce certificat est mis dans les conditions de l accord du CCRA CC RA L accord Common Criteria Recognition Arrangement permet la reconnaissance par les pays signataires des certificats Crit res Communs La reconnaissance s applique jusqu aux composants d assurance du niveau CC EALA ainsi qu la famille ALC_FLR Les certificats reconnus dans le cadre de cet accord sont mis avec la marque suivante Gi NL Les pays signataires de l accord SOG IS sont l Allemagne l Espagne la Finlande la France la Gr ce l Italie la Norv ge les Pays Bas le Royaume Uni et la Su de Les pays signataires de l accord CCRA sont l Allemagne l Australie l Autriche le Canada le Danemark l Espagne les tats Unis la Finlande la France la Gr ce la Hongrie l Inde Isra l l Italie le Japon la Malaisie la Norv ge la Nouvelle Z lande la R publique de Cor e le Pakistan les Pays Bas la R publique Tch que le Royaum
11. o tiers appliances ne doivent pas fournir de service r seau autre que le routage et la translation d adresse Page 10 sur 15 CER F 07 5 Suite logicielle IPS Firewall pour bo tiers appliances NETASQ version 8 0 1 1 Rapport de certification AN T les algorithmes cryptographiques et les tailles de cl s correspondant aux options sp cifi es dans la cible de s curit ST _ 5 2 5 rappel es ici doivent tre utilis es en prenant en compte la modification suivante pour la signature et l laboration des cl s il est recommand d adopter une cl de 2048 bits au moins pour l algorithme Diffie Hellman Op ration cryptographique Algorithme Taille des cl s Signature et laboration de cl s Diffie Hellman 1536 2048 3072 4096 Chiffrement d chiffrement asym trique RSA 2048 4096 Hachage univoque HMAC SHAI 160 SHA2 256 384 512 Chiffrement d chiffrement sym trique des AES 128 192 256 paquets VPN Triple DES 168 Blowfish 128 256 CAST 128 Chiffrement d chiffrement sym trique des AES 128 sessions d administration Contr le des sessions d administration HMAC SHAI 160 L administrateur du produit certifi devra galement suivre les recommandations suivantes prot ger par chiffrement du carnet d adresses dans le logiciel Manager les informations de login et de mots de passe activer syst matiquement la protection en int grit dans
12. on Page 8 sur 15 CER F 07 5 s cunrr Suite logicielle IPS Firewall pour bo tiers appliances NETASQ e version 8 0 1 1 Rapport de certification ANSSI 2009 29 l 2 L valuation 2 1 R f rentiels d valuation L valuation a t men e conform ment aux Crit res Communs version 3 1 CC et la m thodologie d valuation d finie dans le manuel CEM CEM 2 2 Travaux d valuation Le rapport technique d valuation RTE remis l ANSSI le 24 juillet 2009 d taille les travaux men s par le centre d valuation et atteste que toutes les t ches d valuation sont r ussite 2 3 Analyse de la r sistance des m canismes cryptographiques La r sistance des m canismes cryptographiques a t analys e par ANSSI Les r sultats obtenus ont fait l objet d un rapport d analyse ANA CRY Les m canismes analys s atteignent le niveau standard d fini dans le r f rentiel cryptographique de l ANSSI Cf REF CRY Dans le cadre du processus de qualification standard une analyse des m canismes cryptographiques a t r alis e par le CESTI EXP CRY Ces r sultats ont t pris en compte dans l analyse de vuln rabilit ind pendante r alis e par l valuateur et n ont pas permis de mettre en vidence de vuln rabilit exploitable pour le niveau ANA VAN vis Page 9 sur 15 s cunrr i Suite logicielle IPS Firewall pour bo tiers appliances NETASQ l Rappo
13. poth ses sur l environnement et les conditions d emploi pr suppos es afin que l utilisateur puisse juger de l ad quation du produit son besoin en termes d objectifs de s curit La certification ne constitue pas en soi une recommandation du produit par l agence nationale de la s curit des syst mes d information ANSSI et ne garantit pas que le produit certifi soit totalement exempt de vuln rabilit s exploitables Toute correspondance relative ce rapport doit tre adress e au Secr tariat g n ral de la d fense nationale Agence nationale de la s curit des syst mes d information Centre de certification 51 boulevard de la Tour Maubourg 75700 Paris cedex 07 SP certification dcssi sgdn gouv fr La reproduction de ce document sans alt ration n1 coupure est autoris e Page 2 sur 15 CER F 07 5 s cunrr Suite logicielle IPS Firewall pour bo tiers appliances NETASQ version 8 0 1 1 Rapport de certification ANSSI 2009 29 l R f rence du rapport de certification ANSSI 2009 29 Nom du produit Suite logicielle IPS Firewall pour bo tiers appliances NETASQ R f rence version du produit Version 8 0 1 1 Conformit un profil de protection N ant Crit res d valuation et version Crit res Communs version 3 1 Niveau d valuation EAL 3 augment ALC_CMCA4 ALC_CMS 4 ALC_FLR 3 AVA_VAN 3 D veloppeur s NETASQ 3 rue Archim de 59650 Vill
14. rt de certification ANSSI 2009 29 version 8 0 1 1 3 La certification 3 1 Conclusion L valuation a t conduite conform ment aux r gles et normes en vigueur avec la comp tence et l impartialit requises pour un centre d valuation agr L ensemble des travaux d valuation r alis s permet la d livrance d un certificat conform ment au d cret 2002 535 Ce certificat atteste que la Suite logicielle IPS Firewall pour bo tiers appliances NETASQ version 8 0 1 1 soumise l valuation r pond aux caract ristiques de s curit sp cifi es dans sa cible de s curit ST pour le niveau d valuation EAL 3 augment 3 2 Restrictions d usage Ce certificat porte sur le produit sp cifi au chapitre 1 2 du pr sent rapport de certification L utilisateur du produit certifi devra s assurer du respect des objectifs de s curit sur l environnement d exploitation sp cifi s dans la cible de s curit ST et suivre les recommandations se trouvant dans les guides fournis GUIDES notamment les bo tiers appliances doivent tre install s et stock s conform ment l tat de l art concernant les dispositifs de s curit sensibles les bo tiers appliances doivent tre install s de fa on constituer les seuls points de passage entre les diff rents r seaux sur lesquels il faut appliquer la politique de contr le des flux d information les quipements r seaux avec l
15. rton d emballage dans lequel se trouvent le bo tier et le CD ROM contenant le logiciel d administration indique la version logicielle install e sur le firewall En se connectant via l application Firewall Manager fournie dans le CD ROM d installation du bo tier appliance le Manager affiche l cran le mod le le num ro de s rie et la version du bo tier Le num ro de version du logiciel install est indiqu par le logiciel d admuntstrapon en fond d cran ainsi que dans le menu Aide 1 2 2 Services de s curit Les principaux services de s curit fournis par le produit sont le filtrage des flux entre les quipements identification et l authentification des utilisateurs le chiffrement au niveau VPN tablissement des associations de s curit la journalisation l audit et les alarmes la pr vention des intrusions le contr le d acc s aux op rations d administration de la s curit la sauvegarde et la restauration la protection des sessions d administration Page 6 sur 15 CER F 07 5 s cunrr Suite logicielle IPS Firewall pour bo tiers appliances NETASQ e version 8 0 1 1 Rapport de certification ANSSI 2009 29 l 1 2 3 Architecture La suite logicielle est compos e des parties logicielles suivantes Composant TAG IPS Firewall 8 0 1 1 Suite d administration Manager Reporter Monitor 8 0 1 L IPS Firewall s ex
16. t aux r gles et normes en vigueur avec la comp tence et l impartialit requises article 8 Les proc dures de certification sont disponibles sur le site Internet www ssi gouv fr Page 4 sur 15 CER F 07 5 CURT Suite logicielle IPS Firewall pour bo tiers appliances NETASQ T version 8 0 1 1 Rapport de certification ANSSI 2009 29 l 1 LE PRODUIT eege eege eege eege 6 1 1 PRESENTATION DU PRODUI cermin rege Eege eege 6 1 2 DESCRIPTION DU PRODUIT e ee ee Dee De 6 1 2 1 Identification du produit ss 6 1 2 2 E ET 6 1 2 3 RE 7 1 2 4 CYCLE DOVE en terre ee ee te are ne des ee eee 7 1 2 5 Configuration E VA E oE E TE O IT E 8 2 EVALUATION BEE 9 2 1 REFERENTIELS D EVALUATION ssssssssssseessssesssesesssssscscscscscscccssscscscscscscscscsesssesesessse 9 2 2 TRAVAUX D EVALUATION ieor e OEE E E E OE A E edit 9 2 3 ANALYSE DE LA RESISTANCE DES MECANISMES CRYPTOGRAPHIQUES es 9 3 LA CERTIFICATION EE 10 3 1 CONCLUSION PP PS SR E CT TS a e 10 3 2 RESTRICTIONS D USAGE E 10 3 3 RECONNAISSANCE DU CERTIFICAT sise scssseerrsssscccecenneneses secs ceneeneneseesesesennse 12 3 3 1 Reconnaissance europ enne SOG IS sine 12 3 3 2 Reconnaissance internationale crit res communs CCRA ssssssessssssesssesesseeeesse 12 ANNEXE 1 NIVEAU D EVALUATION DU PRODUIT sesssecssesssessscsssecesecesccesecesecesecesecesosee 13 ANNEXE 2 REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE seen 14 ANNEXE 3 REFERENCES LIEES A
17. tion of Common Criteria certificates in the field of information Technology Security May 2000 SOG IS Mutual Recognition Agreement of Information Technology Security Evaluation Certificates version 2 0 April 1999 Management Committee of Agreement Group REF CRY M canismes cryptographiques R gles et recommandations concernant le choix et le dimensionnement des m canismes cryptographiques version courante voir WWW Sei gouv fr Page 15 sur 15
18. ux guides GUIDES et comme utilisateurs du produit les personnes utilisant des ressources informatiques des r seaux de confiance prot g s par le produit depuis d autres r seaux de confiance ou depuis des r seaux non ma tris s La d finition des profils administrateurs est du ressort d un administrateur sp cial le super administrateur qui intervient exclusivement lors des phases d installation et de maintenance et est le seul habilit se connecter via la console locale sur les bo tiers Il doit tre le seul responsable de l acc s dans les locaux o sont stock s les bo tiers Page 7 sur 15 Sue qi Suite logicielle IPS Firewall pour bo tiers appliances NETASQ l Rapport de certification ANSSI 2009 29 version 8 0 1 1 1 2 5 Configuration valu e La configuration valu e correspond au logiciel IPS Firewall version 8 0 1 1 ex cut sur les mod les de bo tiers appliance firewall VPN F200 et U250 la suite d administration NETASQ version 8 0 1 install e sur un poste de travail sous Windows XP SP3 Les l ments constitutifs de la cible d valuation sont indiqu s sur la figure suivante aux c t s de l ensemble de la plate forme de test mise en uvre par le d veloppeur Serveur externe E bm Serveur distant Re Serveur interne Station d administration A Sonde EM Element de la TOE Figure 1 El ments constitutifs de la cible d valuati

Rapport de certification ANSSI-2009/29 Suite logicielle IPS

Contents

Download Pdf Manuals

Related Search

Related Contents