IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Recommandations sur l'environnement d'utilisation
Présentation
L’installation d’un firewall et de ses logiciels d'administration s’inscrivent dans la mise en place d’une politique de sécurité globale. Pour garantir une protection optimale de vos biens, ressources ou informations, il ne s’agit pas uniquement d’installer le firewall entre votre réseau et l’Internet ou d'installer des logiciels d'administration pour vous aider à les configurer correctement. En effet, la plupart du temps, les attaques viennent de l’intérieur (accident, personne mécontente de son travail, personne licenciée ayant gardé un accès interne, etc.).
Cette page liste des recommandations de sécurité pour l’utilisation de la suite d’administration et des firewalls.
Veille sécurité
Consultez régulièrement les bulletins de sécurité des produits Stormshield publiés sur https://advisories.stormshield.eu.
Appliquez systématiquement une mise à jour de vos équipements si elle corrige une faille de sécurité. Ces mises à jour sont disponibles sur https://mystormshield.eu.
Mesures de sécurité physiques
Les firewalls SNS et leurs logiciels d'administration doivent être installés et stockés conformément à l’état de l’art concernant les dispositifs de sécurité sensibles : local à accès protégé, câbles blindés en paire torsadée, étiquetage des câbles, etc.
Mesures de sécurité organisationnelles
Le mot de passe par défaut de l'utilisateur 'admin' (super administrateur) doit être modifié lors de la première utilisation du produit.
Dans l’interface d’administration web des firewalls SNS, ce mot de passe peut être modifié via le module Administrateur (menu Système), onglet Compte Admin.
Dans l'interface d'administration web de Stormshield Management Center (SMC), ce mot de passe peut être modifié via le module Maintenance > Serveur SMC, onglet Administrateurs.
Ce mot de passe doit être défini selon les bonnes pratiques décrites dans la section suivante .
Un rôle administrateur particulier, le super-administrateur, présente les caractéristiques suivantes :
- Il est le seul à être habilité à se connecter via la console locale sur les firewalls SNS, et ce uniquement lors de l’installation du firewall SNS ou pour des opérations de maintenance, en dehors de l’exploitation.
- Il est chargé de la définition des profils des autres administrateurs.
- Tous les accès dans les locaux où sont stockés les firewalls SNS et les machines virtuelles hébergeant les logiciels d'administration se font sous sa surveillance, que l’accès soit motivé par des interventions sur le firewall ou sur d’autres équipements. Toutes les interventions sur les firewalls SNS et ses logiciels d'administration se font sous sa responsabilité.
Les mots de passe des utilisateurs et des administrateurs doivent être choisis de façon à retarder toutes les attaques visant à les casser, via une politique de création et / ou de contrôle de ceux-ci.
EXEMPLE
Mélange alphanumérique, longueur minimum, ajout de caractères spéciaux, pas de mots des dictionnaires usuels, etc.
Les administrateurs sont sensibilisés à ces bonnes pratiques de par leur fonction et il est de leur responsabilité de sensibiliser tous les utilisateurs à ces bonnes pratiques
La politique de contrôle des flux d’informations à mettre en œuvre est définie, pour tous les équipements des réseaux dits "Trusted" à protéger, de manière :
- Complète : les cas d’utilisation standards des équipements ont tous été envisagés lors de la définition des règles et leurs limites autorisées ont été définies.
- Stricte : seuls les cas d’utilisation nécessaires des équipements sont autorisés.
- Correcte : les règles ne présentent pas de contradiction.
- Non-ambigüe : l’énoncé des règles fournit tous les éléments pertinents pour un paramétrage direct de l’Appliance par un administrateur compétent.
Agents humains
Les administrateurs sont des personnes non hostiles et compétentes, disposant des moyens nécessaires à l’accomplissement de leurs tâches. Ils sont formés pour exécuter les opérations dont ils ont la responsabilité. Notamment, leur compétence et leur organisation impliquent que :
- Différents administrateurs avec les mêmes droits ne mènent pas des actions d’administration qui se contredisent.
- L’exploitation des journaux et le traitement des alarmes sont effectués dans les délais appropriés.
EXEMPLE
Modifications incohérentes des politiques de contrôle des flux d’information.
Environnement de sécurité TI (Technologies de l'Information)
Les firewalls SNS et leurs logiciels d'administration doivent être installés conformément à la politique d’interconnexion des réseaux en vigueur.
Les firewalls Stormshield Network Security
Les firewalls SNS sont les seuls points de passage entre les différents réseaux sur lesquels il faut appliquer la politique de contrôle des flux d’information. Ils sont dimensionnés en fonction des capacités des équipements adjacents ou alors ces derniers réalisent des fonctions de limitation du nombre de paquets par seconde, positionnées légèrement en deçà des capacités maximales de traitement de chaque firewall installé dans l'architecture réseau.
A part l’application des fonctions de sécurité, les firewalls SNS ne fournissent pas de service réseau autre que le routage et la translation d’adresse.
EXEMPLE
Pas de DHCP, DNS, PKI, proxies applicatifs, etc.*
Les firewalls SNS ne sont pas configurés pour retransmettre les flux "IPX", "NetBIOS", "Appletalk", "PPPoe" ou "IPv6".
Les firewalls SNS ne dépendent pas de services externes « en ligne » ("DNS", "DHCP", "RADIUS", etc.) pour l’application de la politique de contrôle des flux d’information.
Le logiciel d'administration Stormshield Management Center
Une politique de contrôle des flux d'informations doit être appliquée au logiciel SMC afin de permettre uniquement à ses administrateurs et aux firewalls SNS administrés de s'y connecter.
La machine virtuelle doit être correctement dimensionnée (RAM, CPU, disque) afin de permettre l'administration des firewalls SNS gérés par le logiciel. Le système d'exploitation du logiciel d'administration SMC ne doit en aucun cas être modifié afin de répondre à des besoins en dehors desquels il a été conçu.
La bande passante disponible entre le logiciel SMC et les firewalls SNS doit être suffisante et disponible en permanence afin de réaliser toutes les opérations d'administration. L'administrateur devra configurer voire désactiver certaines fonctionnalités afin de répondre à ce besoin, ou bien devra limiter le nombre de paquets par seconde afin de prioriser les flux d'administration.
La production et la distribution des packages de rattachement, permettant aux firewalls SNS d'être administrés par le logiciel d'administration SMC, doivent être gérées et confiées à des personnes ayant été sensibilisées à la sécurité. Ces packages ne doivent transiter entre le logiciel d'administration SMC et les firewalls SNS que via des moyens sécurisés (e-mails chiffrés, clés USB sécurisées, etc.).
Interconnectivité
Les stations d’administration à distance sont sécurisées et maintenues à jour de toutes les vulnérabilités connues concernant les systèmes d’exploitation et les applications hébergées. Elles sont installées dans des locaux à accès protégé et sont exclusivement dédiées à l’administration des firewalls SNS, des logiciels d'administration de ceux-ci et au stockage des sauvegardes.
Les équipements réseau avec lesquels le firewall SNS établit des tunnels VPN sont soumis à des contraintes de contrôle d’accès physique, de protection et de maîtrise de leur configuration équivalentes à celles des firewalls SNS.
Les postes sur lesquels s’exécutent les clients VPN des utilisateurs autorisés sont soumis à des contraintes de contrôle d’accès physique, de protection et de maîtrise de leur configuration équivalentes à celles des postes clients des réseaux de confiance. Ils sont sécurisés et maintenus à jour de toutes les vulnérabilités connues concernant les systèmes d’exploitation et les applications hébergées.
Configurations et mode d’utilisation des firewalls SNS soumis à l’évaluation
Le mode d’utilisation soumis à l’évaluation doit présenter les caractéristiques suivantes :
- Le mode de distribution des certificats et des CRL est manuel (importation).
- Le mode d’utilisation soumis à l’évaluation exclut le fait que la TOE s’appuie sur d’autres services tels que PKI, serveur DNS, DHCP, proxies. Les modules que Stormshield Network fournit en option pour la prise en charge de ces services sont désactivés par défaut et doivent le rester. Il s’agit précisément :
- de l'infrastructure à clés publiques (PKI) interne,
- du module d'authentification des utilisateurs,
- du module VPN SSL (Portail et Tunnel),
- des moteurs antivirus,
- du module Active Update,
- du module de routage dynamique (Service de Routage dynamique BIRD),
- du cache DNS (Cache DNS / Proxy),
- des serveurs SSH, DHCP, MPD et SNMPD (Serveur SSH, Serveur DHCP et Agent SNMP),
- du client DHCP (Serveur DHCP),
- du démon NTP (Client NTP),
- du relai DHCP (Relai DHCP),
- du service « Cloud backup ».
- Bien que supportée, la fonctionnalité IPv6 est désactivée par défaut et doit le rester dans le cadre de l'évaluation.
- Les administrateurs et les utilisateurs IPsec sont gérés par l'annuaire LDAP interne. Le mode d’utilisation soumis à l’évaluation exclut le fait que des clients LDAP externes au boîtier appliance firewall-VPN puissent se connecter à cette base.
- Les journaux d'audit sont, selon les modèles, stockés localement ou émis par Syslog.
- La possibilité offerte par la politique de filtrage d'associer à chaque règle de filtrage une inspection applicative (proxies HTTP, SMTP, POP3, FTP) et une programmation horaire est hors du cadre de cette évaluation et ne devra pas être utilisé.
- L'option proposée par la politique de filtrage d'associer l'action « déchiffrer » (proxy SSL) à une règle de filtrage est hors du cadre de cette évaluation et ne devra pas être employée.
Algorithmes cryptographiques nécessaires pour être conforme au RGS et utilisés pour l'évaluation
| Algorithme | Taille des clés |
| Diffie-Hellman | 2048, 3072, 4096 |
| Algorithme | Taille des clés |
| RSA | 2048, 4096 |
| Algorithmes | Taille d'empreintes numériques |
| HMAC-SHA1 | 160 |
| HMAC-SHA2 | 256, 384, 512 |
| SHA2 | 256, 384, 512 |
| Algorithmes | Taille des clés |
| AES | 128, 192, 256 |
L'option Perfect Forward Secrecy (PFS) effectue un nouvel échange Diffie-Hellman lors de la seconde phase d'IKE. Cela permet d'assurer que si une clé est cassée, on ne pourra en déduire les clés suivantes ou précédentes, et d’empêcher ainsi de déchiffrer tout l'échange IPsec, mais seulement la partie de la communication protégée par la clef corrompue. Il est fortement recommandé de laisser actif le PFS pour être conforme au RGS, ce qui est le cas retenu pour l'évaluation.
La sécurité de la connexion au portail d’authentification et à l’interface d’administration a été renforcée, conformément aux recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cet accès se fait en imposant certaines versions du protocole SSL/TLS ; la version SSLv3 est désactivée au profit des versions TLS. L’utilisation de suites de chiffrement AES avec Diffie-Hellman est également imposée. Cette configuration n’étant pas supportée par le navigateur Internet Explorer en version 6, 7 et 8, il conseillé d’utiliser une version supérieure de ce navigateur. Il ne faut pas désactiver cette configuration pour rester dans le cadre de l'évaluation.