Stormshield SN160 Manuel D'utilisation Et De Configuration page 14

Les équipements réseau avec lesquels l'appliance firewall-VPN établit des tunnels VPN sont
soumis à des contraintes de contrôle d'accès physique, de protection et de maîtrise de leur
configuration équivalentes à celles des boîtiers appliances firewall-VPN.
Les postes sur lesquels s'exécutent les clients VPN des utilisateurs autorisés sont soumis à des
contraintes de contrôle d'accès physique, de protection et de maîtrise de leur configuration
équivalentes à celles des postes clients des réseaux de confiance. Ils sont sécurisés et
maintenus à jour de toutes les vulnérabilités connues concernant les systèmes d'exploitation et
les applications hébergées.
* Ces services sont disponibles sur un firewall mais ne font pas partie du cadre d'évaluation des
critères communs.
Configurations et mode d'utilisation soumis à l'évaluation
Le mode d'utilisation soumis à l'évaluation doit présenter les caractéristiques suivantes :
Le mode de distribution des certificats et des CRL est manuel (importation).
l
Le mode d'utilisation soumis à l'évaluation exclut le fait que la TOE s'appuie sur d'autres services
l
tels que PKI, serveur DNS, DHCP, proxies. Les modules que Stormshield Network fournit en
option pour la prise en charge de ces services sont désactivés par défaut et doivent le rester. Il
s'agit précisément :
l
l
l
l
l
l
l
l
l
l
l
l
Bien que supportée, la fonctionnalité IPv6 est désactivée par défaut et doit le rester dans le
l
cadre de l'évaluation.
Les administrateurs et les utilisateurs IPSec sont gérés par l'annuaire LDAP interne. Le mode
l
d'utilisation soumis à l'évaluation exclut le fait que des clients LDAP externes au boîtier
appliance firewall-VPN puissent se connecter à cette base.
Les journaux d'audit sont, selon les modèles, stockés localement ou émis par Syslog.
l
La possibilité offerte par la politique de filtrage d'associer à chaque règle de filtrage une
l
inspection applicative (proxies HTTP, SMTP, POP3, FTP) et une programmation horaire est hors du
cadre de cette évaluation et ne devra pas être utilisé.
L'option proposée par la politique de filtrage d'associer l'action « déchiffrer » (proxy SSL) à une
l
règle de filtrage est hors du cadre de cette évaluation et ne devra pas être employée.
Algorithmes cryptographiques nécessaires pour être conforme au RGS et utilisés pour l'évaluation
Algorithme
Diffie-Hellman
Page 12/464
de l'infrastructure à clés publiques (PKI) interne,
du module d'authentification des utilisateurs,
du module VPN SSL (Portail et Tunnel),
du moteur antivirus (ClamAV ou Kaspersky),
du module Active Update,
du module de routage dynamique (Service de Routage dynamique BIRD),
du cache DNS (Cache DNS/Proxy),
des serveurs SSH, DHCP, MPD et SNMPD (Serveur SSH, Serveur DHCP et Agent SNMP),
du client DHCP (Serveur DHCP),
du démon NTP (Client NTP),
du relai DHCP (Relai DHCP),
du service « Cloud backup ».
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
Taille des clés
2048, 3072, 4096
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
BIENVENUE