EADS TELECOM property Release of this document requires express permission of EADS TELECOM



Documents pareils
Instructions Mozilla Thunderbird Page 1

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Package Contents. System Requirements. Before You Begin

DOCUMENTATION - FRANCAIS... 2

Application Form/ Formulaire de demande

Guide d'installation rapide TFM-560X YO.13

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

APPENDIX 2. Provisions to be included in the contract between the Provider and the. Holder

Les réseaux des EPLEFPA. Guide «PfSense»

Instructions pour mettre à jour un HFFv2 v1.x.yy v2.0.00

WEB page builder and server for SCADA applications usable from a WEB navigator

Devoir Surveillé de Sécurité des Réseaux

Gestion des certificats en Internet Explorer

Principe de TrueCrypt. Créer un volume pour TrueCrypt

DOCUMENTATION MODULE BLOCKCATEGORIESCUSTOM Module crée par Prestacrea - Version : 2.0

TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS

(1) Network Camera

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

TABLE DES MATIERES A OBJET PROCEDURE DE CONNEXION

Installation d'un serveur RADIUS

86 rue Julie, Ormstown, Quebec J0S 1K0

MELTING POTES, LA SECTION INTERNATIONALE DU BELLASSO (Association étudiante de lʼensaparis-belleville) PRESENTE :

RULE 5 - SERVICE OF DOCUMENTS RÈGLE 5 SIGNIFICATION DE DOCUMENTS. Rule 5 / Règle 5

LOGICIEL D'ADMINISTRATION POUR E4000 & G4000 MANAGEMENT SOFTWARE FOR E4000 & G4000

GIGABIT PCI DESKTOP ADAPTER DGE-530T. Quick Installation Guide+ Guide d installation+

Notice Technique / Technical Manual


Compléter le formulaire «Demande de participation» et l envoyer aux bureaux de SGC* à l adresse suivante :

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

How to Login to Career Page

Once the installation is complete, you can delete the temporary Zip files..

Logitech Tablet Keyboard for Windows 8, Windows RT and Android 3.0+ Setup Guide Guide d installation

DOCUMENTATION - FRANCAIS... 2

Paxton. ins Net2 desktop reader USB

France SMS+ MT Premium Description

lundi 3 août 2009 Choose your language What is Document Connection for Mac? Communautés Numériques L informatique à la portée du Grand Public

SunATM 4.0 Release Notes

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Contents Windows

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Les techniques de la télémaintenance

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

CALCUL DE LA CONTRIBUTION - FONDS VERT Budget 2008/2009

Firewall ou Routeur avec IP statique

Installer le patch P-2746 et configurer le Firewall avancé

Q-global Privacy Policy (Version française ci-dessous)

First Nations Assessment Inspection Regulations. Règlement sur l inspection aux fins d évaluation foncière des premières nations CONSOLIDATION

INVESTMENT REGULATIONS R In force October 1, RÈGLEMENT SUR LES INVESTISSEMENTS R En vigueur le 1 er octobre 2001

Règlement sur le télémarketing et les centres d'appel. Call Centres Telemarketing Sales Regulation

English Q&A #1 Braille Services Requirement PPTC Q1. Would you like our proposal to be shipped or do you prefer an electronic submission?

FCM 2015 ANNUAL CONFERENCE AND TRADE SHOW Terms and Conditions for Delegates and Companions Shaw Convention Centre, Edmonton, AB June 5 8, 2015

Acronymes et abréviations. Acronymes / Abbréviations. Signification

Archived Content. Contenu archivé

Supervision et infrastructure - Accès aux applications JAVA. Document FAQ. Page: 1 / 9 Dernière mise à jour: 15/04/12 16:14

Utiliser une WebCam. Micro-ordinateurs, informations, idées, trucs et astuces

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

VTP. LAN Switching and Wireless Chapitre 4

calls.paris-neuroscience.fr Tutoriel pour Candidatures en ligne *** Online Applications Tutorial

I. COORDONNÉES PERSONNELLES / PERSONAL DATA

Nouveautés printemps 2013

Innovation in Home Insurance: What Services are to be Developed and for what Trade Network?

SERVEUR DÉDIÉ DOCUMENTATION

Guide de récupération de Windows Server 2003 R2 pour serveurs Sun x64

Improving the breakdown of the Central Credit Register data by category of enterprises

Tutoriel de formation SurveyMonkey

Monitor LRD. Table des matières

Comment Accéder à des Bases de Données MySQL avec Windows lorqu'elles sont sur un Serveur Linux

Get Instant Access to ebook Cest Maintenant PDF at Our Huge Library CEST MAINTENANT PDF. ==> Download: CEST MAINTENANT PDF

ONTARIO Court File Number. Form 17E: Trial Management Conference Brief. Date of trial management conference. Name of party filing this brief

Installation d'un TSE (Terminal Serveur Edition)

THE LAW SOCIETY OF UPPER CANADA BY-LAW 19 [HANDLING OF MONEY AND OTHER PROPERTY] MOTION TO BE MOVED AT THE MEETING OF CONVOCATION ON JANUARY 24, 2002

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

UNIVERSITE DE YAOUNDE II

F1 Security Requirement Check List (SRCL)

that the child(ren) was/were in need of protection under Part III of the Child and Family Services Act, and the court made an order on

CEST POUR MIEUX PLACER MES PDF

NTP (Network Time Protocol)

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Le passé composé. C'est le passé! Tout ça c'est du passé! That's the past! All that's in the past!

Plan Vert de l industrie touristique montréalaise 21 février 2014

FOURTH SESSION : "MRP & CRP"

INDIVIDUALS AND LEGAL ENTITIES: If the dividends have not been paid yet, you may be eligible for the simplified procedure.

Accès réseau Banque-Carrefour par l Internet Version /06/2005

SSH, le shell sécurisé

3615 SELFIE. HOW-TO / GUIDE D'UTILISATION

Dexia Guide d installation de NetWorker Server 25 juin Legato Systems, Inc.

Institut français des sciences et technologies des transports, de l aménagement

de stabilisation financière

APPENDIX 6 BONUS RING FORMAT

Déploiement OOo en environnement Windows Terminal Server

THE SUBJUNCTIVE MOOD. Twenty-nineth lesson Vingt-neuvième leçon

CONFIGURATION DU SERVEUR DE MAILS EXIM. par. G.Haberer, A.Peuch, P.Saade

REMBO Version 2.0. Mathrice 2004 DESCRIPTION MISE EN OEUVRE CONCLUSION.

OUVRIR UN COMPTE CLIENT PRIVÉ

Transcription:

Titre: M>Tunnel 2.5 Contraintes d emploi Version : 1.1 Date d émission: 07 Janvier 2003 Résumé: Ce document présente les recommandations de mise en œuvre du VPN M>Tunnel 2.5 afin de respecter les contraintes d emploi décrites dans le rapport de certification 2002/26 émis par la DCSSI. EADS TELECOM property Release of this document requires express permission of EADS TELECOM EADS TELECOM rue Jean-Pierre Timbaud Montigny le Bretonneux 78063 SAINT QUENTIN YVELINES CEDEX

SOMMAIRE 0. INTRODUCTION... 3 1. PRECAUTION DE MISE EN ŒUVRE D UN TUNNEL SECURISE... 4 page 2 of 6

0. INTRODUCTION L évaluation du logiciel M>Tunnel 2.5 a été réalisée dans un contexte d emploi spécifique correspondant à un fonctionnement sécurisé du produit. Le logiciel M>Tunnel doit alors être configuré et utilisé avec certaines restrictions d usage décrites dans le rapport de certification 2002/26 émis par la DCSSI Ce document rappel ces restrictions d emploi et explicite leur mise en œuvre directement et par renvoi aux guides d installation M>Tunnel. page 3 of 6

1. PRECAUTION DE MISE EN ŒUVRE D UN TUNNEL SECURISE La cible d évaluation doit être configurée et utilisée avec les restrictions suivantes : 1. Les algorithmes de chiffrements utilisés sont Triple-DES ou AES Administrator Guide» pages 113 à 115 pour les politiques de sécurité entre Gateways et pages 122 à 129 pour les politiques de sécurité entre un client et une Gateway. Dans l Option Encrypt (Select the encryption algorithm to be applied. MATRAnet supplies the DES, 3DES and AES algorithms as standard. If you select NULL, the data will not be encrypted) : il ne faut choisir que 3DES ou AES. 2. Le seuil de renégociation des clés est inférieur à 150.000 paquets Administrator Guide» pages 90 à 95. Dans l Option Session key validity for Amount of data, Number of packets and Time (These settings determine the duration of a session key between two tunnel endpoints. Session keys are frequently negotiated between tunnel endpoints, in order to guarantee high security. When any of the three thresholds is reached, a new session key is negotiated. The lower the thresholds, the more frequently the session keys are negotiated, which increases the security of the VPN, but uses more resources on your computer, and may slow down the transfer of encrypted data) : il faut mettre un nombre inférieur à 150000 pour Number of packets. Typiquement, 100 000 convient. 3. Le service de sécurité ESP authentifié est utilisé Administrator Guide» pages 113 à 115 pour les politiques de sécurité entre Gateways et pages 122 à 129 pour les politiques de sécurité entre un client et une Gateway. Dans l Option Authentication associée à Encrypt (Select the authentication algorithm to be applied. If you select NULL, no authentication will be implemented) : il ne faut choisir que SHA-1 ou MD5. 4. Le délai maximum de renégociation des clés est de 30 minutes Administrator Guide» pages 90 à 95. Dans l Option Session key validity for Amount of data, Number of packets and Time (These settings determine the duration of a session key between two tunnel endpoints. Session keys are frequently negotiated between tunnel endpoints, in order to guarantee high security. When any of the three thresholds is reached, a new session key is negotiated. The lower the thresholds, the more frequently the session keys are negotiated, which increases the security of the VPN, but uses more resources on your computer, and may slow down the transfer of encrypted data) : il faut mettre un nombre inférieur à 1800 pour Time. 5. Les modulos des clés publiques RSA, fournies par la PKI, doivent tous être différents page 4 of 6

Ce point est à vérifier auprès du fournisseur de la PKI utilisée 6. Sur toutes les Gateway et tous les clients l'option "bloquer le trafic inconnu" doit être activée Administrator Guide» et nécessite la mise en œuvre de 2 options : a. Il faut sélectionner (cf pages 122 à 129) l Option Block unknown traffic (Select this option if you want to block all traffic which matches the policy unless a tunnel is established. This means no other client will be able to connect to the M>Tunnel Gateway from the Internet. This is the configuration by default. If you have M>Wall, or another security firewall or proxy, you may wish to let other users with portable computers which are not M>Tunnel Clients connect to the M>Tunnel Gateway. When M>Wall is installed, these portable computers may be required to authenticate to a proxy before being granted access. To let this traffic through, you need to clear this option. Otherwise, all non-m>tunnel traffic will be blocked). b. Il faut sélectionner (cf pages 90 à 95) l Option Remove policies from kernel when M>Tunnel is stopped (Select to clear M>Tunnel policies from the kernel when M>Tunnel is stopped. In this case, packets with IP addresses which correspond to a policy will be permitted. If the policies are not cleared from the kernel, packets with IP addresses which correspond to an M>Tunnel policy will be denied when M>Tunnel is stopped) 7. Sur tous les clients l'option "permettre la sauvegarder du code PIN de la carte" doit être désactivée Administrator Guide» pages 90 à 95. Il ne faut pas sélectionner l Option Enable users to save their PIN code (Select if you want M>Tunnel to remember a user s PIN code, and not prompttheuserforhispincodeeachtimem>tunnelislaunched). 8. La politique de distribution des certificats doit exclure l'utilisation des tokens soft pour les clients L administrateur ne doit jamais donner, à un utilisateur, un fichier logiciel contenant son certificat et sa clé privée. En conséquence le disque dur ne devra jamais servir de support de la clé privée. 9. Les groupes d'accès associés à chaque politique doivent refléter strictement les utilisateurs ayant le droit de négocier la politique L administrateur doit définir les groupes d accès en tenant compte des droits à connaître des différents utilisateurs. 10. Les procédures de sécurité de l'environnement d'exploitation impliquent que les utilisateurs ayant accès aux données sensibles signalent le plus rapidement possible la perte ou le vol de leur carte et que le certificat que porte celle-ci soit révoqué dans les meilleurs délais au niveau du Master (mise à jour de la CRL) Ce point est à signaler aux utilisateurs lors de la remise du support contenant leur certificat et leur clé privée. page 5 of 6

11. La configuration (paramètres) de M>Tunnel Client doit ne pouvoir être définie qu'au niveau de M>Admin par la fonctionnalité de déploiement associée à l interface d exploitation du Master Le service informatique qui installe les postes de l utilisateur doit faire en sorte que ce dernier ne soit pas administrateur de son poste et ne puisse le devenir. 12. Interdire la modification en local par l'administrateur du poste du flag «userisadmin» Administrator Guide» pages 90 à 95. Il ne faut pas sélectionner l Option Enable user to change settings (Select to authorize any M>Tunnel Client to change the configuration settings as well as the default driver for the authentication token. If you do not select this option, only M>Tunnel Client users (with Windows NT/2000) who have administrator rights on their computerwill be able to change the configuration settings and the default driver). 13. Au cas où des services applicatifs seraient installés sur les Gateways et accessibles sans utiliser IPSec (grâce à une politique de filtrage les autorisant explicitement), les mesures de sécurité appliquées aux logiciels qui fournissent ces services doivent garantir qu'ils ne peuvent servir à obtenir d'accès root sur les Gateways Ce point est à vérifier par l administrateur. La recommandation est de limiter le plus possible les applications installées sur les M>Tunnel Gateway. 14. M>Tunnel Client s'appuyant sur des fonctionnalités de sécurité propres à Windows 2000, une vigilance particulière devra être accordée à la configuration des machines disposant d'un client M>Tunnel, pour qu un utilisateur ne puisse pas obtenir des droits d administration sur son ordinateur. Ce point est à prendre en compte par le service informatique qui a en charge l installation du produit M>Tunnel Client 15. Les services Qpopper et IMAPd sur les Gateways et le Master doivent être désactivés La mise en œuvre de cette exigence nécessite la mise en commentaire, dans les fichiers /etc/inetd.conf de chaque machine où est installé un M>Tunnel Gateway ou un M>Tunnel Master, des lignes correspondant à ces deux protocoles ainsi que le reboot de ces machines. page 6 of 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back