Recommandations sur l'environnement d'utilisation

 

DEFINITION

Les critères communs évaluent (sur une échelle "EAL" de 1 à 7) les capacités d’un produit à fournir les fonctions de sécurité pour lesquelles il a été conçu, ainsi que la qualité de son cycle de vie (développement, production, livraison, mise en service, mise à jour).

Présentation

L’installation d’un firewall s’inscrit bien souvent dans la mise en place d’une politique de sécurité globale. Pour garantir une protection optimale de vos biens, ressources ou informations, il ne s’agit pas seulement d’installer le firewall entre votre réseau et l’Internet. Notamment parce que la plupart des attaques viennent de l’intérieur (accident, personne mécontente de son travail, personne licenciée ayant gardé un accès interne…). Mais aussi parce que l’on conviendra qu’il ne sert à rien d’installer une porte blindée si les murs sont en papier.

Sous l’impulsion des critères communs, Stormshield Network vous propose donc de prendre en compte les recommandations d’utilisation de la suite d’administration et du produit firewall énoncées ci-dessous. Ces recommandations vous exposent les exigences d’utilisation à respecter pour garantir le fonctionnement de votre firewall dans le cadre de la certification aux critères communs.

Veille sécurité

Consultez régulièrement les bulletins de sécurité des produits Stormshield publiés sur https://advisories.stormshield.eu.

Appliquez systématiquement une mise à jour de votre équipement si elle corrige une faille de sécurité. Ces mises à jour sont disponibles sur https://mystormshield.eu.

Mesures de sécurité physiques

Les boîtiers appliances firewall-VPN Stormshield Network doivent être installés et stockés conformément à l’état de l’art concernant les dispositifs de sécurité sensibles : local à accès protégé, câbles blindés en paire torsadée, étiquetage des câbles, etc.

Mesures de sécurité organisationnelles

Le mot de passe par défaut de l'utilisateur 'admin' (super administrateur) doit être modifié lors de la première utilisation du produit. Ce changement est proposé via l’Assistant de première installation, dans l’écran Administration de l’équipement. Dans l’interface d’administration web, ce mot de passe peut être modifié via le module Administrateur (menu Système), onglet Compte Admin.

Ce mot de passe doit être défini selon les bonnes pratiques décrites dans la section suivante, partie Gestion des mots de passe de l’utilisateur.

Un rôle administrateur particulier, le super-administrateur, présente les caractéristiques suivantes :

  • Il est le seul à être habilité à se connecter via la console locale sur les boîtiers appliances firewall-VPN, et ce uniquement lors de l’installation de l’ appliance firewall-VPN ou pour des opérations de maintenance, en dehors de l’exploitation.
  • Il est chargé de la définition des profils des autres administrateurs.
  • Tous les accès dans les locaux où sont stockés les boîtiers appliances firewall-VPN se font sous sa surveillance, que l’accès soit motivé par des interventions sur l’Appliance ou sur d’autres équipements. Toutes les interventions sur les boîtiers appliances firewall-VPN se font sous sa responsabilité.

Les mots de passe des utilisateurs et des administrateurs doivent être choisis de façon à retarder toutes les attaques visant à les casser, via une politique de création et/ou de contrôle de ceux-ci.

Exemple

Mélange alphanumérique, longueur minimum, ajout de caractères spéciaux, pas de mots des dictionnaires usuels, etc.

 

Les administrateurs sont sensibilisés à ces bonnes pratiques de part leur fonction et Il est de leur responsabilité de sensibiliser tous les utilisateurs à ces bonnes pratiques (Cf. section suivante : SENSIBILISATION DES UTILISATEURS).

La politique de contrôle des flux d’informations à mettre en œuvre est définie, pour tous les équipements des réseaux dits "Trusted" à protéger, de manière :

  • Complète : les cas d’utilisation standards des équipements ont tous été envisagés lors de la définition des règles et leurs limites autorisées ont été définies.
  • Stricte : seuls les cas d’utilisation nécessaires des équipements sont autorisés.
  • Correcte : les règles ne présentent pas de contradiction.
  • Non-ambigüe : l’énoncé des règles fournit tous les éléments pertinents pour un paramétrage direct de l’Appliance par un administrateur compétent.

Agents humains

Les administrateurs sont des personnes non hostiles et compétentes, disposant des moyens nécessaires à l’accomplissement de leurs tâches. Ils sont formés pour exécuter les opérations dont ils ont la responsabilité. Notamment, leur compétence et leur organisation implique que :

  • Différents administrateurs avec les mêmes droits ne mènent des actions d’administration qui se contredisent.
  • L’exploitation des journaux et le traitement des alarmes sont effectués dans les délais appropriés.

Exemple

Modifications incohérentes de politique de contrôle des flux d’information.

Environnement de sécurité TI (Technologies de l'Information)

Les boîtiers appliances firewall-VPN Stormshield Network doivent être installés conformément à la politique d’interconnexion des réseaux en vigueur et sont les seuls points de passage entre les différents réseaux sur lesquels il faut appliquer la politique de contrôle des flux d’information. Ils sont dimensionnés en fonction des capacités des équipements adjacents ou alors ces derniers réalisent des fonctions de limitation du nombre de paquets par seconde, positionnées légèrement en deçà des capacités maximales de traitement de chaque boîtier appliance firewall-VPN installé dans l'architecture réseau.

A part l’application des fonctions de sécurité, les boîtiers appliances firewall-VPN ne fournissent pas de service réseau autre que le routage et la translation d’adresse

Exemple

Pas de DHCP, DNS, PKI, proxies applicatifs, etc.*

 

Les boîtiers Stormshield Network ne sont pas configurés pour retransmettre les flux "IPX", "NetBIOS", "Appletalk", "PPPoe" ou "IPv6".

Les boîtiers appliance firewall-VPN ne dépendent pas de services externes « en ligne » ("DNS", "DHCP", "RADIUS", etc.)* pour l’application de la politique de contrôle des flux d’information.

Les stations d’administration à distance sont sécurisées et maintenues à jour de toutes les vulnérabilités connues concernant les systèmes d’exploitation et les applications hébergées. Elles sont installées dans des locaux à accès protégé et sont exclusivement dédiées à l’administration des appliances firewall-VPN et au stockage des sauvegardes.

Les équipements réseau avec lesquels l’appliance firewall-VPN établit des tunnels VPN sont soumis à des contraintes de contrôle d’accès physique, de protection et de maîtrise de leur configuration équivalentes à celles des boîtiers appliances firewall-VPN.

Les postes sur lesquels s’exécutent les clients VPN des utilisateurs autorisés sont soumis à des contraintes de contrôle d’accès physique, de protection et de maîtrise de leur configuration équivalentes à celles des postes clients des réseaux de confiance. Ils sont sécurisés et maintenus à jour de toutes les vulnérabilités connues concernant les systèmes d’exploitation et les applications hébergées.

* Ces services sont disponibles sur un firewall mais ne font pas partie du cadre d’évaluation des critères communs.

 

Configurations et mode d’utilisation soumis à l’évaluation

Le mode d’utilisation soumis à l’évaluation doit présenter les caractéristiques suivantes :

  • Le mode de distribution des certificats et des CRL est manuel (importation).
  • Le mode d’utilisation soumis à l’évaluation exclut le fait que la TOE s’appuie sur d’autres services tels que PKI, serveur DNS, DHCP, proxies. Les modules que Stormshield Network fournit en option pour la prise en charge de ces services sont désactivés par défaut et doivent le rester. Il s’agit précisément :
  • de l'infrastructure à clés publiques (PKI) interne,
  • du module d'authentification des utilisateurs,
  • du module VPN SSL (Portail et Tunnel),
  • du moteur antivirus (ClamAV ou Kaspersky),
  • du module Active Update,
  • du module de routage dynamique (Service de Routage dynamique BIRD),
  • du cache DNS (Cache DNS/Proxy),
  • des serveurs SSH, DHCP, MPD et SNMPD (Serveur SSH, Serveur DHCP et Agent SNMP),
  • du client DHCP (Serveur DHCP),
  • du démon NTP (Client NTP),
  • du relai DHCP (Relai DHCP),
  • du service « Cloud backup ».
  • Bien que supportée, la fonctionnalité IPv6 est désactivée par défaut et doit le rester dans le cadre de l'évaluation.
  • Les administrateurs et les utilisateurs IPSec sont gérés par l'annuaire LDAP interne. Le mode d’utilisation soumis à l’évaluation exclut le fait que des clients LDAP externes au boîtier appliance firewall-VPN puissent se connecter à cette base.
  • Les journaux d'audit sont, selon les modèles, stockés localement ou émis par Syslog.
  • La possibilité offerte par la politique de filtrage d'associer à chaque règle de filtrage une inspection applicative (proxies HTTP, SMTP, POP3, FTP) et une programmation horaire est hors du cadre de cette évaluation et ne devra pas être utilisé.
  • L'option proposée par la politique de filtrage d'associer l'action « déchiffrer » (proxy SSL) à une règle de filtrage est hors du cadre de cette évaluation et ne devra pas être employée.

 

Algorithmes cryptographiques nécessaires pour être conforme au RGS et utilisés pour l'évaluation

Algorithme Taille des clés

Diffie-Hellman

2048, 3072, 4096

 

Algorithme Taille des clés

RSA

2048, 4096

 

Algorithmes Taille d'empreintes numériques

HMAC-SHA1

160

HMAC-SHA2

256, 384, 512

SHA2

256, 384, 512

 

Algorithmes Taille des clés

AES

128, 192, 256

Triple DES

168

Blowfish

128 à 256

CAST

128

 

L'option Perfect Forward Secrecy (PFS) effectue un nouvel échange Diffie-Hellman lors de la seconde phase d'IKE. Cela permet d'assurer que si une clé est cassée, on ne pourra en déduire les clés suivantes ou précédentes, et d’empêcher ainsi de déchiffrer tout l'échange IPsec, mais seulement la partie de la communication protégée par la clef corrompue. Il est fortement recommandé de laisser actif le PFS pour être conforme au RGS, ce qui est le cas retenu pour l'évaluation.

La sécurité de la connexion au portail d’authentification et à l’interface d’administration a été renforcée, conformément aux recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cet accès se fait en  imposant certaines versions du protocole SSL/TLS ; la version SSLv3 est désactivée au profit des versions TLS. L’utilisation de suites de chiffrement AES avec Diffie-Hellman est également imposée. Cette configuration n’étant pas supportée par le navigateur Internet Explorer en version 6, 7 et 8, il conseillé d’utiliser une version supérieure de ce navigateur. Il ne faut pas désactiver cette configuration pour rester dans le cadre de l'évaluation.