Rapport de certification

Transcription

1 Rapport de certification Évaluation EAL 4 du système Check VPN- 1/FireWall-1 Next Generation Feature Pack 1 Préparée par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères communs 2005 Gouvernement du Canada, Centre de la sécurité des télécommunications N du document : Version : 1.1 Date : 12 septembre 2005 Pagination : i à iii, 1 à 13

2 AVERTISSEMENT Le produit TI (technologies de l information) décrit dans le présent rapport et indiqué sur le certificat afférent a été évalué selon la Méthodologie d évaluation commune des produits de sécurité TI, version 2.2 r256, afin d en évaluer la conformité aux Critères communs d évaluation des TI, version 2.2 r256, par un centre d évaluation approuvé, établi dans le cadre du Schéma canadien d évaluation et de certification selon les Critères communs (SCCC). Ce rapport et le certificat afférent valent uniquement pour la version indiquée du produit, dans la configuration qui a été évaluée. L évaluation a été effectuée conformément aux dispositions du SCCC, et les conclusions formulées dans le rapport technique d évaluation correspondent aux éléments présentés en preuve. Le présent rapport et le certificat afférent ne constituent pas une homologation du produit TI par le Centre de la sécurité des télécommunications (CST) ou par toute autre organisation qui reconnaît ou entérine ce rapport et le certificat afférent, et ne signifie pas, ni implicitement ni explicitement, que le produit TI est garanti par le CST ou par toute autre organisation qui reconnaît ou entérine ce rapport et le certificat afférent. -Page i de iii -

3 AVANT-PROPOS Le Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) offre un service d évaluation par une tierce partie en vue de déterminer la fiabilité des produits de sécurité TI. Les évaluations sont réalisées par un centre commercial d évaluation selon les Critères communs (CECC) sous la direction de l organisme de certification du SCCC, ce dernier étant géré par le Centre de la sécurité des télécommunications (CST). Un CECC est un laboratoire commercial qui a été approuvé par l organisme de certification du SCCC en vue d effectuer des évaluations selon les Critères communs. Une des exigences principales, à cette fin, est l obtention de l accréditation selon les prescriptions du Guide ISO 17025, Prescriptions générales concernant la compétence des laboratoires d étalonnage et d essais. L accréditation est obtenue dans le cadre du Programme d accréditation des laboratoires Canada (PALCAN), régi par le Conseil canadien des normes. Le CECC qui a effectué la présente évaluation est Electronic Warfare Associates-Canada, Ltd., situé à Ottawa, Ontario. En décernant un certificat, l organisme de certification affirme que le produit est conforme aux exigences de sécurité précisées dans la cible de sécurité afférente. Une cible de sécurité est un document qui comporte des spécifications requises, définit les activités d évaluation et en établit la portée. L utilisateur d un produit TI certifié devrait examiner la ST, en plus du rapport de certification, pour comprendre les hypothèses formulées dans le cadre de l évaluation, l environnement d utilisation prévu pour le produit, ses exigences de sécurité et le niveau de fiabilité (qui correspond au niveau d assurance de l évaluation) auquel le produit satisfait aux exigences de sécurité. Le présent rapport de certification accompagne le certificat d'évaluation du produit en date du 12 septembre 2005, ainsi que la cible de sécurité indiquée à la section 4 du rapport. Le rapport de certification, le certificat d évaluation du produit et la cible de sécurité sont affichés sur la liste des produits certifiés dans le cadre du SCCC à l adresse suivante : Le présent rapport fait référence aux marques de commerce suivantes : Check Point, FireWall-1, VPN-1 et VPN-1 SecureClient qui sont des marques déposées ou des marques de commerce déposées de Check Point Software Technologies Incorporated. Toute reproduction du présent rapport est autorisée pourvu qu il soit reproduit dans sa totalité. -Page ii de iii -

4 TABLE DES MATIÈRES Avertissement... i Avant-propos... ii TABLE DES MATIÈRES...iii Sommaire Définition de la cible d évaluation Description de la cible d évaluation Fonctionnalités de sécurité évaluées Cible de sécurité Conformité aux Critères communs Politiques de sécurité CONTRÔLE DU FLUX DE TRAFIC SUR LE RÉSEAU CONTRÔLE SÉCURISÉ DU FLUX DE COMMUNICATIONS INTERNE RÉSEAU PRIVÉ VIRTUEL Hypothèses et clarification de la portée HYPOTHÈSE SUR L UTILISATION SÛRE HYPOTHÈSES SUR L ENVIRONNEMENT CLARIFICATION DE LA PORTÉE Information sur l architecture Configuration évaluée Documentation Activités d analyse et d évaluation Tests du produit STI ÉVALUATION DES TESTS RÉALISÉS PAR LE DÉVELOPPEUR TESTS FONCTIONNELS INDÉPENDANTS TESTS INDÉPENDANTS DES VULNÉRABILITÉS EXÉCUTION DES TESTS RÉSULTATS DES TESTS Résultats de l évaluation Commentaires, observations et recommandations de l évaluateur Glossaire Références Page iii de iii -

5 Sommaire Le produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1est la cible d évaluation (TOE) de la présente évaluation (EAL) Chris Augi4. Le produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1est doté de fonctions de coupe-feu et de réseau privé virtuel (RPV) pour sécuriser les communications entre réseaux. Il offre aussi la capacité de configurer et d administrer le produit même de façon sûre. La TOE surveille le trafic, transporté par la famille complète de protocoles IP (protocole Internet), qui passe physiquement entre les réseaux connectés à l ordinateur sur lequel se trouve la TOE. La surveillance dépend de l'information contenue dans les en-têtes de protocole et dans l ordinateur l hôte, y compris de l'information d'état dérivée d'un ou plusieurs paquets connexes. La capacité de la TOE d invoquer le RPV au besoin, selon les politiques de sécurité établies, a aussi été évaluée. Toutefois, cette évaluation n a pas porté sur le bon fonctionnement de la fonction de RPV. La société Electronic Warfare Associates-Canada, Ltd. est le CECC qui a réalisé l évaluation. Cette évaluation a pris fin le 29 août 2005, et elle a été effectuée selon les règles prescrites par le Schéma canadien d évaluation et de certification selon les Critères communs (SCCC). La portée de l'évaluation est définie par la cible de sécurité, laquelle décrit les hypothèses formulées dans le cadre de l'évaluation, l'environnement d'utilisation prévu du produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1, les exigences de sécurité, ainsi que le niveau de fiabilité (niveau d assurance de l évaluation) auquel le produit doit répondre pour satisfaire aux exigences de sécurité. On recommande aux utilisateurs du produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1de s'assurer que leur propre environnement d'exploitation est conforme à celui de la cible de sécurité, et de tenir compte des commentaires, observations et recommandations formulées dans le présent rapport de certification. Les résultats documentés dans le rapport technique d évaluation 1 de ce produit indiquent que celui-ci répond aux exigences d'assurance EAL 4 pour les fonctionnalités de sécurité qui ont été évaluées. Cette évaluation a été réalisée selon la Méthodologie d évaluation commune pour la sécurité des technologies de l information, version 2.2 r256 (avec les interprétations finales applicables), afin d'en déterminer la conformité aux Critères communs pour l évaluation de la sécurité des technologies de l information, version 2.2 r256. Le Centre de la sécurité des télécommunications, à titre d'organisme de certification selon le SCCC, affirme que l'évaluation du produit Check VPN- 1/FireWall-1 Next Generation Feature Pack 1satisfait à toutes les conditions de l'arrangement relatif à la reconnaissance des certificats liés aux Critères communs et que le produit figurera sur la Liste des produits certifiés dans le cadre du SCCC. 1 Le rapport technique d évaluation est un document interne du CST qui contient de l'information exclusive au propriétaire et/ou à l'évaluateur, et qui n'est pas rendu public. - Page 1 de 13

6 1 Définition de la cible d évaluation Le produit VPN-1/FireWall-1 Next Generation Feature Pack 1 de Check Point Technologies Incorporated est la cible d évaluation (TOE) de la présente évaluation (EAL) 4. 2 Description de la cible d évaluation Le produit VPN-1/FireWall-1 Next Generation Feature Pack 1 de Check Point Technologies Incorporated est doté de fonctions de coupe-feu et de réseau privé virtuel (RPV) pour sécuriser les communications entre réseaux. Il offre aussi la capacité de configurer et d administrer le produit même de façon sûre. La capacité de la TOE d invoquer le RPV au besoin, selon les politiques de sécurité établies, a aussi été évaluée. Toutefois, cette évaluation n a pas porté sur le bon fonctionnement de la fonction de RPV. La TOE surveille le trafic, transporté par la famille complète de protocoles IP (protocole Internet), qui passe physiquement entre les réseaux connectés à l ordinateur sur lequel se trouve la TOE. La surveillance dépend de l'information contenue dans les en-têtes de protocole et dans l ordinateur l hôte, y compris de l'information d'état dérivée d'un ou plusieurs paquets connexes. La fonction de surveillance assurée par le produit comprend la capacité de chiffrer, d authentifier et de valider les données transmises entre des adresses IP choisies sur les réseaux protégés par le produit Check VPN- 1/FireWall-1 Next Generation Feature Pack 1, de manière à ce que la communication soit uniquement établie avec des entités authentifiées. Ainsi, la confidentialité des données est maintenue, ce qui permet d éviter toute divulgation non autorisée et de maintenir l intégrité des données grâce à un condensé chiffré reflétant le contenu de chaque paquet de données. La TOE est configurée et administrée au moyen d une connexion à distance au serveur de gestion (Management Server) et à l interface graphique du produit Check Point Technologies Incorporated VPN-1/FireWall-1 Next Generation Feature Pack 1. Cette connexion à distance est chiffrée. La capacité de la TOE d invoquer une connexion à distance sécurisée a été évaluée; toutefois, la présente évaluation n a pas porté sur la fonction de chiffrement. La TOE doit être configurée de façon fiable. Pour certaines fonctions de sécurité offertes par la TOE, il est nécessaire d exécuter des instances multiples du produit, distinctes mais communicantes, sur des postes de travail ou serveurs distincts. Dans le cadre d une configuration fiable, le produit : peut tourner sur tout type poste de travail ou serveur sur lequel est installé le système d exploitation SUN Solaris 8.0 ou Windows 2000; peut tourner sur tout système informatique pouvant prendre en charge jusqu à 128 ports de connexion; se compose des éléments suivants : o un serveur de gestion installé sur un réseau local protégé, - Page 2 de 13

7 o une interface graphique installée sur un poste de travail distinct, tournant sous Windows 2000, appartenant au même réseau local que le serveur de gestion, o un module VPN-1 SecureClient installé sur un ordinateur distant, à l extérieur du réseau local protégé mais faisant partie du réseau interne de l entreprise. Le module VPN-1 SecureClient doit être installé sur un ordinateur tournant sous Windows 2000, o différents modules VPN-1/FireWall-1 qui peuvent résider ou non sur le même réseau local protégé que le serveur de gestion, o un serveur de politiques (Policy Server) installé sur un ordinateur doté du produit VPN-1/FireWall-1, qui réside sur le même réseau local protégé que le serveur de gestion; est configuré, contrôlé et surveillé au moyen d une interface graphique qui permet la communication avec le serveur de gestion. Le serveur de gestion configure les modules FireWall-1 et transmet les politiques de poste de travail aux modules SecureClient par le biais du serveur de politiques; a été installé, configuré et lancé en suivant les procédures décrites dans le guide Check Point Next Generation Getting Started. 3 Fonctionnalités de sécurité évaluées La liste complète des fonctionnalités de sécurité évaluées pour le produit Check Point Technologies Incorporated VPN-1/FireWall-1 Next Generation Feature Pack 1 figure à la section 5 de la cible de sécurité. 4 Cible de sécurité La ST associée au présent rapport de certification (RC) est définie comme suit : Titre : Common Criteria EAL 4 Evaluation, Check Point Software Technologies Inc., VPN-1/FireWall-1 Next Generation (Feature Pack 1) Version : Date : 3 juin Conformité aux Critères communs L'évaluation a été réalisée selon la Méthodologie commune pour la sécurité des technologies de l'information, version 2.2 r256, afin d en déterminer la conformité aux Critères communs pour l'évaluation de la sécurité des TI, version 2.2 r Page 3 de 13

8 Le produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1 est : a. conforme à la partie 2 (augmentée) des Critères communs, avec les exigences de sécurité fonctionnelles basées sur les composants fonctionnels de la partie 2; b. conforme à la partie 3 des Critères communs avec les exigences de sécurité d assurance basées uniquement sur les composantes d assurance de la partie 3; c. conforme au niveau EAL 4 des Critères communs, avec toutes les exigences de sécurité du paquet EAL 4. 6 Politiques de sécurité Les politiques de sécurité du produit Check VPN- 1/FireWall-1 Next Generation Feature Pack 1 figurent dans la ST. Les énoncés suivants sont représentatifs des politiques de sécurité. 6.1 Contrôle du flux de trafic sur le réseau Dans un réseau connecté à la TOE, les sujets peuvent transmettre l information passant par la TOE à un sujet connecté à un autre réseau, seulement si : a. tous les attributs de sécurité de l information sont acceptés sans ambiguïté par les règles de sécurité en matière de contrôle des flux d information, lesdites règles, créées par l administrateur autorisé, pouvant être constituées de n importe quelle combinaison possible de valeurs associées aux attributs de sécurité du flux d information; b. l adresse présumée du destinataire dans l information échangée peut être convertie en une adresse sur un autre réseau connecté. 6.2 Contrôle sécurisé du flux de communications interne Pour utiliser la TOE de façon sûre, il faut un canal de communication interne sécurisé entre les modules de la TOE et le module du serveur de gestion de la TOE. Pour assurer ce canal de communication interne sécurisé dans son environnement TI, la TOE active le protocole TLS (sécurité de la couche transport) standard, tel qu il est défini dans le document RFC Ainsi, l'environnement TI permet le flux d'information entre un module de la TOE et le module du serveur de gestion. Si des certificats X.509 sont installés dans ces modules, une connexion fiable peut être négociée par l'intermédiaire du protocole TLS. 6.3 Réseau privé virtuel La TOE prend en charge les connexions du réseau privé virtuel (RPV) entre la TOE et les clients exploitant le module SecureClient. La TOE exige que son environnement TI applique des fonctions de chiffrement pour prendre en charge la fonction de RPV et active le protocole - Page 4 de 13

9 IPSec standard. L'environnement TI permet le flux d'information entre la TOE et un client exploitant le module SecureClient si une connexion chiffrée peut être établie par l'intermédiaire des protocoles IPSec. 7 Hypothèses et clarification de la portée Les utilisateurs du produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1 devraient tenir compte des hypothèses formulées au sujet de son utilisation et des paramètres d environnement requis pour l'installation du produit et son environnement d'exploitation. Cela permet d utiliser de manière adéquate et sûre le produit en question. 7.1 Hypothèse sur l utilisation sûre On présume que le produit est installé, configuré, exploité et maintenu conformément aux procédures et directives présentées dans le guide Check Point Next Generation Getting Started et les autres documents Check Point indiqués à la section 10 du présent rapport. De plus, on suppose ce qui suit : a. le produit est configuré de sorte que le minimum de fonctionnalités du système d exploitation est installé, et que le minimum de fonctionnalités du système d exploitation est activé pour permettre le fonctionnement du produit; b. les privilèges du système informatique sont assignés au programme conformément à la politique de sécurité du site; c. les contrôles de sécurité physique empêchent l accès non autorisé au produit, au serveur de gestion, aux consoles et aux dispositifs du système; d. le produit est configuré à l aide de comptes utilisateurs réservés aux administrateurs autorisés; e. l utilisation, par les administrateurs, des comptes privilégiés est conforme à la politique de sécurité du site; f. les restrictions imposées par les politiques de sécurité du site concernant le choix des mots de passe du système sont appliquées par la configuration du système informatique; g. les directives conformes à la politique de sécurité du site sont suivies en ce qui touche les droits de propriété et les restrictions de l accès au système d exploitation et aux fichiers et répertoires du produit, ces droits et restrictions étant contrôlés par le système d exploitation; - Page 5 de 13

10 h. les procédures de sauvegarde et de reprise du système informatique sont suivies et sont suffisantes pour restaurer le produit dans un état sécurisé, après une défaillance du produit; i. on utilise de manière appropriée les fonctionnalités du serveur de gestion pour examiner les journaux d audit et s assurer que la taille des journaux ne dépasse pas les limites prévues par le système de fichiers; j. la politique de sécurité du coupe-feu est configurée de sorte à refuser toute connexion réseau visant directement l hôte du coupe-feu, exception faite du serveur de gestion; k. les administrateurs connaissent le produit, le système d exploitation installé sur l hôte et la technologie des réseaux. 7.2 Hypothèses sur l environnement On suppose que le système informatique qui héberge les éléments de la TOE et tous les dispositifs connexes fonctionnent correctement. On suppose que le produit est configuré de façon fiable, selon la définition qui en est donnée dans la cible de sécurité. Enfin, on suppose que le produit est protégé adéquatement contre les menaces de nature physique. 7.3 Clarification de la portée Le produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1 ne peut pas empêcher les administrateurs autorisés de mal configurer la TOE, faisant en sorte que la politique de contrôle du flux d'information est compromise. 8 Information sur l architecture La TOE se compose de plusieurs instances du produit, distinctes mais communicantes, qui tournent sur des postes de travail ou serveurs distincts. La TOE comporte plusieurs modules logiciels qui sont décrits plus en détail à la section 9 du présent rapport, Configuration évaluée. 9 Configuration évaluée La configuration suivante a été évaluée pour la cible d évaluation : le module Check Point Management Server tournant sous les plateformes SUN Solaris 8.0 ou Windows 2000 et connecté à un LAN sécurisé; - Page 6 de 13

11 le module Check Point Graphical User Interface tournant sous la plateforme Windows 2000 et connecté au même LAN protégé que le Management Server; le module Check Point VPN-1 SecureClient tournant sous la plateforme Windows 2000 mais non connecté au LAN protégé; un ou plusieurs des modules Check Point VPN-1/FireWall-1 FP1 tournant sous les plateformes SUN Solaris 8.0 ou Windows 2000 et soit connectés au même LAN protégé que le Management Server, soit non connectés au LAN protégé; le module Check Point Policy Server tournant sous un système doté d un module VPN-1/FireWall-1 FP1 connecté au LAN protégé. 10 Documentation a. Check Point Next Generation Getting Started Guide, Part No , juin b. Check Point Next Generation Management Guide, Part No , novembre c. Check Point Next Generation FireWall-1 Guide, Part No , novembre d. Check Point Reference Guide, NG, Part No , novembre e. Check Point User Management, NG, Part No , juin f. Check Point Virtual Private Networks, NG, Part No , novembre g. Check Point Desktop Security, NG, Part No , novembre h. Check Point VPN-1/FireWall-1 NG, FP1, System Generation/Installation Guide for ITSEC E3, version 1.2, 3 mars i. Check Point VPN-1/FireWall-1 Next Generation (NG) Feature Pack 1 (FP1) Release Notes, novembre Activités d analyse et d évaluation Dans certains domaines évalués (notamment la gestion de la configuration, la documentation de conception et le soutien pendant le cycle de vie), les évaluateurs ont tenu compte d'une évaluation précédente de la TOE (voir les références D et E à la section 16) et, le cas échéant, ont réutilisé les preuves ayant servi à l'évaluation précédente. Toutefois, afin d'assurer que la présente évaluation tienne compte de l'information la plus récente sur les vulnérabilités et les résultats des tests, les évaluateurs ont repris au complet les tests et les analyses de vulnérabilité sans réutiliser les résultats de l'évaluation précédente. - Page 7 de 13

12 Les activités d analyse et d évaluation ont consisté en une évaluation structurée du produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1, y compris les tâches suivantes : Gestion de la configuration : Les évaluateurs ont effectué une analyse de l'environnement de développement du produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1 et de la documentation connexe. Ils ont constaté que les éléments de configuration de la TOE sont clairement définis et étiquetés et qu un contrôle est exercé à l égard de toute modification des éléments de configuration. De plus, les évaluateurs ont visité les bureaux de développement de Check Point Software Technologies Incorporated. La visite des installations a confirmé que les procédures de contrôle de la configuration en place à Check Point Software Technologies Incorporated sont évoluées et stables. Livraison sûre et fonctionnement du produit : Les évaluateurs ont examiné la documentation de livraison du produit Check VPN- 1/FireWall-1 Next Generation Feature Pack 1, et ont déterminé qu'elle décrit toutes les procédures nécessaires pour préserver l'intégrité de la TOE quand il est distribué aux utilisateurs. Les évaluateurs ont examiné et testé les procédures d installation, de génération et de démarrage de la TOE et ils ont déterminé qu elles sont complètes et suffisamment détaillées pour assurer une installation sûre. Documentation de conception : Les évaluateurs ont examiné la documentation de conception du produit Check VPN-1/FireWall-1 Next Generation Feature Pack 1, y compris les spécifications fonctionnelles, la conception de haut niveau, la conception de bas niveau, le modèle des politiques de sécurité et le code source. En outre, les évaluateurs ont visité les installations de développement de Check Point Software Technologies Incorporated en Israël. Les évaluateurs ont conclu que les documents de conception décrivent entièrement et exactement toutes les interfaces et les fonctions de sécurité du produit et sont intrinsèquement cohérents. Guides : Les évaluateurs ont examiné les guides du produit Check Point Technologies Incorporated VPN-1/FireWall-1 Next Generation Feature Pack 1 et ils ont déterminé qu'ils décrivent de manière claire et sans ambiguïté comment utiliser et administrer de manière sûre le produit, et que ces documents sont cohérents avec les autres documents fournis pour l'évaluation. Soutien pendant le cycle de vie : Les évaluateurs ont examiné la documentation pour le soutien pendant le cycle de vie de la TOE. Ils ont conclu que les développeurs ont utilisé des outils de développement bien définis, qui donnent des résultats cohérents et prévisibles. Les évaluateurs ont également déterminé que les développeurs ont utilisé un modèle de cycle de vie bien défini et documenté pour la TOE. Ils concluent également que les mesures de sécurité de développement, appliquées par les développeurs, fournissent une assurance suffisante quant à la confidentialité et à l intégrité de la TOE. - Page 8 de 13

13 Évaluation des vulnérabilités : Les évaluateurs ont examiné l'analyse des vulnérabilités faites par les développeurs et ont exécuté une analyse indépendante des vulnérabilités afin de mettre au point les tests de pénétration pour la TOE. Les tests de vulnérabilité sont décrits en détail dans la section suivante du rapport. Toutes ces activités d évaluation ont obtenu la cote RÉUSSITE. 12 Tests du produit STI Les évaluateurs ont examiné les preuves de test présentées par les développeurs, ainsi que les tests indépendants réalisés lors de l évaluation précédente de la TOE. En outre, les évaluateurs ont exécuté des tests indépendants des fonctionnalités et des vulnérabilités de la TOE Évaluation des tests réalisés par le développeur Les évaluateurs ont confirmé que le développeur a satisfait à ses responsabilités en matière de test de la TOE, et à cette fin ils ont examiné les preuves de test du développeur, ainsi que les résultats des tests, et ils ont examiné également les résultats des tests indépendants réalisés à l occasion de l évaluation précédente de la TOE. Les évaluateurs ont examiné l analyse faite par le développeur de la couverture et de la profondeur des tests, et ils ont constaté que ces résultats sont complets et exacts. Il existe une correspondance exacte entre les tests indiqués dans la documentation des tests du développeur d une part, et les spécifications fonctionnelles et la conception de haut niveau d autre part Tests fonctionnels indépendants Pendant l évaluation, les évaluateurs ont élaboré des tests fonctionnels afin d étayer les tests du développeurs portant sur des fonctions de sécurité choisies de la TOE. De plus, comme la configuration évaluée a été modifiée depuis l évaluation initiale, les évaluateurs ont répété un sous-ensemble représentatif des procédures de test des développeurs sur la plateforme Windows Ce sous-ensemble de tests a permis d évaluer toutes les fonctions de sécurité de la TOE. Les résultats réels obtenus pendant les essais fonctionnels indépendants correspondent aux résultats prévus par le développeur et confirment le bon fonctionnement de la TOE sur les plateformes Sun Solaris 8 et Windows Tests indépendants des vulnérabilités Après l examen des preuves de l analyse de vulnérabilité et des tests des développeurs, les évaluateurs ont employé la méthodologie de l hypothèse des vices cachés pour élaborer une liste des vulnérabilités potentielles de la TOE, dans les domaines suivants : - Page 9 de 13

14 a. vulnérabilités génériques; b. contournement; c. trafiquage; d. attaques directes; e. utilisation malveillante. Des scénarios de test ont été élaborés, documentés et exécutés afin de tenter d exploiter les vulnérabilités susmentionnées. Pour tenter de compromettre la TOE, on a utilisé abondamment les outils d attaque réseau disponibles dans le domaine public. Une recherche des vulnérabilités connues dans le domaine public a révélé plusieurs vulnérabilités potentielles associées à la TOE. Toutes ces vulnérabilités potentielles avaient été exposées dans le cadre de l'évaluation originale de la TOE. Dans chaque cas, les évaluateurs ont déterminé qu il fallait un potentiel d attaque élevé pour exploiter ces vulnérabilités. Ainsi, bien que la configuration évaluée présente des vulnérabilités résiduelles, ces dernières ne sont pas exploitables dans l environnement projeté. Les tests indépendants de pénétration n ont dévoilé aucune nouvelle vulnérabilité de la TOE Exécution des tests La TOE a été installée et configurée dans les installations d évaluation et d essais des produits de sécurité des TI (EEPSTI) de la société Electronic Warfare Associates-Canada, Ltd, à Ottawa (Ontario). Tous les tests de pénétration et de vulnérabilité ont été réalisés dans cette installation. L organisme de certification du SCCC a été témoin d une partie de ces tests Résultats des tests Tous les tests fonctionnels et indépendants de pénétration et des vulnérabilités ont donné les résultats prévus. Aucune vulnérabilité exploitable additionnelle n a été découverte pendant les tests. - Page 10 de 13

15 13 Résultats de l évaluation Cette évaluation fournit la base d'une assurance de niveau EAL 4. Toutes ces activités d évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves contenues dans le rapport technique d évaluation (RTE) Commentaires, observations et recommandations de l évaluateur L'analyse indépendante des vulnérabilités réalisée au cours de cette évaluation a permis de dévoiler plusieurs vulnérabilités ou vulnérabilités potentielles touchant plusieurs fonctionnalités de la TOE. Toutes ces vulnérabilités avaient été découvertes à l occasion d une évaluation précédente de la TOE. Toutefois on a déterminé que toute exploitation de ces vulnérabilités résiduelles nécessiterait un potentiel d attaque élevé. Pour cette raison, elles ne sont pas jugées exploitables dans l environnement projeté pour la TOE. On trouvera dans le rapport technique d évaluation des informations plus détaillées sur les vulnérabilités résiduelles. 2 Le rapport technique d évaluation est un document interne du CST qui contient de l information exclusive au propriétaire et/ou à l évaluateur, et qui n est pas rendu public. - Page 11 de 13

16 15 Glossaire Cette section donne la signification des acronymes, abréviations et sigles utilisés dans le présent rapport. Acronymes, abréviations et sigles Description CC Critères communs pour l évaluation de la sécurité des technologies de l information CECC Centre d évaluation selon les Critères communs CEM Méthodologie d évaluation commune pour la sécurité des technologies de l information CST Centre de la sécurité des télécommunications EAL Niveau d assurance de l évaluation EEPSTI Évaluation et essais des produits de sécurité des technologies de l information FP Ensemble de caractéristiques (feature pack) IG Interface graphique IP Protocole Internet IPSec Protocole Internet sécurisé ISO Organisation internationale de normalisation LAN Réseau local NG Nouvelle génération (next generation) PALCAN Programme d accréditation des laboratoires Canada PP Profil de protection RC Rapport de certification RPV Réseau privé virtuel RTE Rapport technique d évaluation SCCC Schéma canadien d évaluation et de certification selon les Critères communs SOF Robustesse de la fonction ST Cible de sécurité TI Technologies de l information TLS Sécurité de la couche transport TOE Cible d évaluation - Page 12 de 13

17 16 Références Voici tous les documents de référence utilisés pour la compilation du présent rapport : a) Critères communs pour l évaluation de la sécurité des technologies de l information, CCIMB /002/003, version 2.2 r256, January b) Méthodologie d évaluation commune pour la sécurité des technologies de l information, CCIMB , Partie 2 : Évaluation et méthodologie, version 2.2 r256, January c) SCCC n 4 : Contrôle technique, Schéma canadien d évaluation et de certification selon les Critères communs (SCCC), version 1.0, 3 October d) Rapport de certification n P172 selon les Critères communs, Check Point VPN- 1/FireWall-1 Next Generation (NG) Feature Pack 1 (FP1), tournant sous certaines plateformes, n 2.0, février e) Rapport technique d évaluation Task LFD/T317 (Phase 1), Issue 1.0, Doc Ref: P16759/Eval/R-02/01, mai f) Common Criteria EAL 4 Evaluation, Check Point Software Technologies Inc., VPN- 1/FireWall-1 Next Generation (Feature Pack 1), Security Target Issue 1.9.3, 3 juin g) Evaluation Technical Report (ETR), Check Point VPN-1/FireWall-1, EAL 4 Evaluation, Common Criteria Evaluation Number, , Document No D002, Version 1.2, 29 août Page 13 de 13