Service de sécurité géré du gouvernement du Canada (SSGGC) Annexe A-1 : Énoncé des travaux Pare-feu

Transcription

1 Service de sécurité géré du gouvernement du Canada (SSGGC) Date : 12 juillet 2012

2 TABLE DES MATIÈRES 1 PARE-FEU SÉCURITÉ NORMES BASCULEMENT PERFORMANCE RAPPORTS MISE EN ŒUVRE GESTION DES CHANGEMENTS...5 RÉFÉRENCE Voir l appendice C : Définitions et acronymes de l annexe A pour obtenir une définition des termes et des acronymes utilisés dans la présente annexe. Page : i

3 1 PARE-FEU (1) Le pare-feu constitue un des services de gestion des menaces du SSGGC. Lorsque le Canada en fait la commande par l émission d une autorisation de tâches, le pare-feu, tel qu il est géré et mis en œuvre par l entrepreneur, doit respecter ou dépasser toutes les exigences mentionnées dans la présente annexe et dans le reste de l Énoncé des travaux, ainsi qu ailleurs dans le contrat, et ce, avant son acceptation par le Canada et tout au long de la durée du contrat. 1.1 Sécurité (2) Le pare-feu doit être certifié ICSA 4.0 par ICSA Labs et avoir obtenu la certification EAL 2 selon les Critères communs. (3) La plateforme de pare-feu doit utiliser un système d exploitation renforcé, conformément à la FIPS (4) L état à sécurité intégrée du pare-feu doit être configurable à la position ouverte ou fermée par le Canada. 1.2 Normes (5) Le pare-feu doit prendre en charge le filtrage des paquets. (6) Le pare-feu doit prendre en charge l inspection de données basée sur un serveur mandataire à l égard de ce qui suit : a) HTTP, y compris : i) L authentification; ii) Le serveur mandataire transparent; iii) Le serveur mandataire non transparent; iv) L application du protocole; v) Le contrôle granulaire sur ce qu englobent les requêtes HTTP; b) HTTPS, y compris : i) Le serveur mandataire transparent; ii) Le serveur mandataire non transparent; iii) L application du protocole. (7) Le pare-feu doit prendre en charge la version 2 du protocole OSPF (Open Shortest Path First) pour IPv4 [RFC 2328]. (8) Le pare-feu doit prendre en charge la version 3 du protocole OSPF (Open Shortest Path First) pour IPv6 [RFC 5340]. (9) Le pare-feu doit prendre en charge le multiprotocole BGP 4 [RFC 4271], y compris les annonces relatives aux itinéraires. (10) Le pare-feu doit fonctionner sous les modes suivants : a) En mode furtif; Page 1

4 b) En mode relais; c) En mode transparent. (11) Le pare-feu doit prendre en charge le mode de configuration standard OSI (interconnexion de systèmes ouverts) de couche 3 avec interfaces IP. (12) Le pare-feu doit fournir la fonctionnalité TAR (traduction d adresses de réseau), y compris : a) La traduction dynamique des adresses de réseau; b) La traduction statique des adresses de réseau; c) La traversée TAR SIP/H.323; d) TAR sur RPV; e) La traduction SND. (13) Le pare-feu doit prendre en charge : a) La détection de l'utm [RFC 1191], [RFC 1981], [RFC 4443]; b) Le réacheminement de port; c) TAP; d) La meilleure pratique courante 38 de l'ietf [RFC 2827]. (14) Le pare-feu doit prendre en charge les méthodes d authentification basées sur ce qui suit : a) LDAP; b) Mots de passe; c) RSA SecurID ; d) Certificats numériques X.509. (15) Le pare-feu doit prendre en charge les serveurs d authentification basés sur les protocoles suivants : a) RADIUS; b) TACACS+. (16) Le pare-feu droit prendre en charge les protocoles VoIP (voix sur IP) suivants, sans s y limiter : a) H.323; b) POS; c) SCCP; d) MGCP. (17) Le pare-feu doit prendre en charge le routage statique. (18) Le pare-feu doit prendre en charge le routage axé sur des politiques. (19) Le pare-feu doit prendre en charge les protocoles de routage RIPv1 et RIPv2. (20) Le pare-feu doit prendre en charge le routage multidiffusion. Page 2

5 1.3 Basculement (21) Le pare-feu doit prendre en charge les modes de basculement actif/actif et actif/passif. (22) Le pare-feu doit prendre en charge le basculement automatique ainsi que l équilibrage de charge pour le trafic sortant mettant en cause au moins deux interfaces réseau. 1.4 Performance (23) Le pare-feu doit prendre en charge au moins RLV en mode TAR/routage. (24) Le pare-feu doit prendre en charge, sans restrictions, les débits correspondant à la capacité de gestion des menaces sous laquelle il fonctionne. 1.5 Rapports Rapports mensuels (25) L entrepreneur doit fournir au Canada un rapport mensuel concernant le pare-feu, sous forme de tableau ou de graphique; les données sont ventilées par organisation cliente et portent sur ce qui suit : a) Le PPS; b) La plateforme de service; c) Un résumé des connexions (entrantes et sortantes) permises sous forme de graphique à colonnes, où : i) Le jour du mois figure sur l axe x; ii) Le nombre de connexions permises figure sur l axe y; d) Un résumé de connexions (entrantes et sortantes) abandonnées sous forme de graphique à colonnes, où : i) Le jour du mois figure sur l axe x; ii) Le nombre de connexions abandonnées figure sur l axe y; e) Un résumé, sous forme de graphique à colonnes, des connexions acceptées pour les dix principaux noms d hôte ou principales adresses IP source, où : i) Le nom d hôte ou l adresse IP source figure sur l axe x; ii) Le nombre total de connexions acceptées pour le nom d hôte ou l adresse IP source figure sur l axe y; f) Un résumé, sous forme de graphique à colonnes, des connexions abandonnées pour les dix principaux noms d hôte ou principales adresses IP source, où : i) Le nom d hôte ou l adresse IP source figure sur l axe x; ii) Le nombre total de connexions abandonnées pour le nom d hôte ou l adresse IP source figure sur l axe y; g) Un résumé, sous forme de graphique à colonnes, des connexions acceptées pour les dix principaux noms d hôte ou principales adresses IP de destination, où : i) Le nom d hôte ou l adresse IP de destination figure sur l axe x; Page 3

6 ii) Le nombre total de connexions acceptées pour le nom d hôte ou l adresse IP de destination figure sur l axe y; h) Un résumé, sous forme de graphique à colonnes, des connexions abandonnées pour les dix principaux noms d hôte ou principales adresses IP de destination, où : i) Le nom d hôte ou l adresse IP de destination figure sur l axe x; ii) Le nombre total de connexions abandonnées pour le nom d hôte ou l adresse IP de destination figure sur l axe y; i) Un résumé, sous forme de graphique à colonnes, des connexions acceptées pour les dix principaux ports ou services, où : i) Le port ou le service figure sur l axe x; ii) Le nombre total de connexions acceptées pour le port ou le service figure sur l axe y; j) Un résumé, sous forme de graphique à colonnes, des connexions abandonnées pour les dix principaux ports ou services, où : i) Le port ou le service figure sur l axe x; ii) Le nombre total de connexions abandonnées pour le port ou le service figure sur l axe y. (26) L entrepreneur doit fournir au Canada un rapport mensuel concernant les règles actives de pare-feu, sous forme de tableau ou de graphique; les données sont ventilées par organisation cliente et portent sur ce qui suit : a) Le PPS; b) La plateforme de service; c) L ID de règle; d) Le nombre de fois que la règle a été sollicitée. (27) L entrepreneur doit fournir au Canada un rapport mensuel concernant les règles inactives de pare-feu, sous forme de tableau ou de graphique; les données sont ventilées par organisation cliente et portent sur ce qui suit : a) Le PPS; b) La plateforme de service; c) L ID de règle; d) Le nombre de jours depuis que la règle a été sollicitée. 1.6 Mise en œuvre (28) L entrepreneur doit inventorier, examiner, optimiser et mettre en œuvre, dans le SSGGC, les règles, politiques et toute autre configuration existantes de la solution de pare-feu existante de l organisation cliente. (29) L entrepreneur doit documenter, examiner, optimiser et mettre en œuvre, dans le SSGGC, les exigences de l organisation cliente relatives à la configuration du pare-feu. Page 4

7 1.7 Gestion des changements (30) L entrepreneur doit configurer les règles, politiques et fonctions relatives au pare-feu, selon ce que demande le Canada, en fonction des niveaux de priorisation qu il précise. Page 5