NETSCREEN INSTANT VIRTUAL EXTRANET PLATE-FORME GUIDE D ADMINISTRATION NetScreen Secure Access NetScreen-SA 1000 NetScreen-SA 3000 NetScreen-SA 5000 NetScreen-SA FIPS NetScreen Secure Meeting NetScreen-SM 3000
NETSCREEN I NSTANT VIRTUAL EXTRANET PLATE-FORME GUIDE D ADMINISTRATION
Copyright 2004 NetScreen Technologies, Inc. Tous droits réservés. NetScreen, NetScreen Technologies, GigaScreen et le logo NetScreen sont des marques déposées de NetScreen Technologies, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC et NetScreen ScreenOS sont des marques commerciales de NetScreen Technologies, Inc. Toutes les autres marques commerciales et marques déposées appartiennent à leurs propriétaires respectifs. Ce document est susceptible d être modifié sans avertissement préalable. La reproduction ou la transmission, en tout ou en partie, sous quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, pour quelque usage que ce soit, est interdite sans l autorisation écrite préalable de : NetScreen Technologies, Inc., Building #3, 805 11th Avenue, Sunnyvale, CA 94089, www.netscreen.com. Attention : Toute modification apportée à ce produit risque d annuler la garantie de l utilisateur et son droit d utiliser cet appareil. Limitation de responsabilité : LA LICENCE DE LOGICIEL ET LA GARANTIE LIMITÉE DU PRODUIT JOINT SONT STIPULÉES DANS LES DOCUMENTS D INFORMATION QUI ACCOMPAGNENT LE PRODUIT ET SONT INTÉGRÉES AU PRÉSENT DOCUMENT PAR CETTE RÉFÉRENCE. SI VOUS NE TROUVEZ PAS LA LICENCE DE LOGICIEL OU LA GARANTIE LIMITÉE, CONTACTEZ VOTRE REPRÉSENTANT NETSCREEN POUR EN OBTENIR UNE COPIE. Copyright 2001 D. J. Bernstein. Copyright 1985-2003 par le Massachusetts Institute of Technology. Tous droits réservés. Copyright 2000 par Zero-Knowledge Systems, Inc. Copyright 2001, Dr Brian Gladman <brg@gladman.uk.net>, Worcester, UK. Tous droits réservés. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright 1989, 1991, 1992 par Carnegie Mellon University. Derivative Work - 1996, 1998-2000. Copyright 1996, 1998-2000 The Regents of the University of California. Tous droits réservés. Copyright 1999-2001 The OpenLDAP Foundation, Redwood City, California, USA. Tous droits réservés. L autorisation de copie et de distribution de copies intégrales du présent document a été accordée. Copyright 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finlande. Tous droits réservés. Copyright 1986 Gary S. Brown. Copyright 1998 CORE SDI S.A., Buenos Aires, Argentine. Copyright 1995, 1996 par David Mazieres <dm@lcs.mit.edu>. Copyright 1998-2002. The OpenSSL Project. Tous droits réservés. Copyright 1989-2001, Larry Wall. Tous droits réservés. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright 1996-2002 Andy Wardley. Tous droits réservés. Copyright 1998-2002. Canon Research Centre Europe Ltd. Copyright 1995-1998. Jean-loup Gailly et Mark Adler. Groupe de produits Secure Access NetScreen Technologies, Inc. 940 Stewart Drive Sunnyvale, CA 94085, États-Unis Téléphone : 408-962-8200 Fax : 408-962-8201 400A020404
iii Table des matières Préface... ix Partie 1. Série IVE... 1 Présentation de l NetScreen Instant Virtual Extranet... 3 Présentation d Access Series...7 Présentation générale d Access Series FIPS... 9 Présentation générale de Secure Meeting...13 Planification, participation et exécution de réunions...14 Accès à l URL de la réunion...17 Environnements pris en charge par Secure Meeting...18 Dépannage de Secure Meeting...20 Présentation de la gestion des accès...22 Stratégies, règles & restrictions et conditions...22 Définition d exigences de sécurité...26 Présentation générale des royaumes d authentification...33 Serveurs d authentification...33 Stratégies d authentification...35 Serveurs d annuaire...35 Règles de correspondance de rôles...36 Présentation des stratégies de ressources...38 Définition des ressources pour une stratégie de ressources...42 Rédaction d une règle détaillée...49 Présentation générale des rôles d utilisateur...52 Partie 2. Fonctionnalités IVE...57 Présentation générale de Cache Cleaner...59 Présentation générale de Central Manager...62
iv Présentation générale des certificats...63 Certificats de serveur...63 Certificats de client...64 Certificats d applet...65 Présentation générale de la mise en cluster...67 Présentation de la mise en cluster...67 Déploiement d une paire en clusters en mode Actif/Passif...68 Déploiement d une paire en cluster ou d un cluster à plusieurs unités en mode Actif/Actif...70 Synchronisation d état...71 Déploiement d un cluster dans un environnement Access Series FIPS...73 Présentation générale de l administration déléguée...75 Présentation générale du client de courriel...76 Choix d un client de courriel...77 Utilisation d un serveur de courriel normalisé...77 Utilisation du serveur Microsoft Exchange...78 Utilisation de Lotus Notes et d un serveur de courriel Lotus Notes...81 Présentation générale du système Vérificateur d hôte...82 Présentation générale des journaux et de la surveillance...86 Niveaux de gravité des fichiers journaux...87 Filtrage personnalisé des fichiers journaux...88 Présentation générale de Network Connect...89 Présentation générale du proxy intermédiaire...91 Présentation de la fonction de SSO distante...94 Gestionnaire d applications sécurisé présentation générale...96 Présentation de Gestionnaire d applications sécurisé pour Windows (W-SAM)... 96 Présentation de Gestionnaire d applications sécurisé pour Java (J-SAM)... 98 Prise en charge améliorée de MS Exchange...103 Prise en charge améliorée de Lotus Notes...106 Prise en charge améliorée de Citrix NFuse...107 Partie 3. Configuration IVE...109 Configuration de la page État...111 Onglet Vue d ensemble...111
v Onglet Utilisateurs actifs...117 Onglet Planification de réunions...119 Configuration de la page Planification...121 Configuration de la page Configuration...122 Onglet Licence...122 Onglet Sécurité > Options de sécurité...125 Onglet Sécurité > Host Checker...128 Onglet Sécurité > Cache Cleaner...131 Onglet Certificats > Certificat de serveur...132 Onglet Certificats > Certificat de CA...137 Onglet Certificats > Certificat d applet...138 Configuration de la page Réseau...140 Onglet Port interne...140 Onglet Port externe...144 Onglet Trajets statiques...146 Onglet Hôtes...147 Configuration de la page Mise en cluster...149 Onglet Créer...149 Onglet État...151 Onglet Entrer...157 Procédure pour la console série...160 Onglet Propriétés...164 Configuration de la page Surveillance des journaux...167 Onglet Événements, Accès des utilisateurs et Accès des administrateurs... 167 Onglet SNMP...176 Onglet Statistiques...180 Configuration de la page d ouverture de session...182 Onglet Stratégies d ouverture de session...182 Onglet Page d ouverture de session...188 Onglet Serveurs...191 Configuration d une instance de serveur ACE/Server...194 Configuration d une instance Active Directory ou Domaine NT...199 Configuration d une instance de serveur anonyme...201 Configuration d une instance de serveur de certificats...203 Configuration d une instance de serveur LDAP...206 Configuration d une a instance de serveur IVE locale...212
vi Configuration d une instance de serveur NIS...217 Configuration d une instance de serveur RADIUS...219 Configuration d une instance de serveur Netegrity SiteMinder...222 Affichage et suppression de sessions d utilisateur...237 Configuration de la page Délégation...239 Onglet Général...241 Onglet Système...242 Onglet Admin rôles d utilisateur...244 Configuration d un royaume d authentification...246 Onglet Général...246 Onglet Stratégie d authentification...248 Onglet Correspondance des rôles...249 Configuration de la page Rôles...258 Onglet Général > Vue d ensemble...259 Onglet Général > Restrictions... 260 Onglet Général > Options de session... 261 Onglet Général > Options d UI... 266 Onglet Web > Signets...267 Onglet Web > Options... 269 Onglet Fichiers > Signets Windows...271 Onglet Fichiers > Signets UNIX... 273 Onglet Fichiers > Options... 275 Onglet SAM > Applications...278 Onglet SAM > Options... 286 Onglet Telnet/SSH > Sessions...289 Onglet Telnet/SSH > Options... 290 Onglet Réunions...291 Onglet Network Connect...296 Configuration de la page Nouvel utilisateur...297 Configuration de la page Web...299 Onglet Accès...305 Onglet Mise en cache > Stratégies...306 Onglet Mise en cache > Options...309 Onglet Java > Contrôle d accès...311 Onglet Java > Signature de code...312 Onglet Réécriture > Réécriture sélective...314
vii Onglet Réécriture > Proxy intermédiaire...315 Onglet SSO distante > POST de formulaire...317 Onglet SSO distante > En-têtes/Cookies...319 Onglet Proxy Web > Stratégies...321 Onglet Proxy Web > Paramètres...323 Configuration de la page Fichiers...325 Onglet Windows > Accès...326 Onglet Windows > Données d identification...329 Onglet UNIX/NFS...332 Onglet Codage...335 Configuration de la page SAM...336 Configuration de la page Telnet/SSH...339 Configuration de la page Network Connect...342 Onglet Accès...343 Onglet Pools d adresses IP...345 Configuration de la page Réunions...348 Configuration de la page Client de courriel...351 Configuration de la page Système...355 Onglet Plate-forme...355 Onglet Mise à niveau/annuler une mise à niveau...356 Onglet Options...358 Configuration de la page Importer/Exporter...360 Onglet Configuration...360 Onglet Comptes d utilisateur...363 Onglet Rôles et stratégies...364 Configuration de la page Envoyer config...368 Configuration de la page Archivage...371 Onglet Serveur FTP...371 Onglet Sauvegardes locales...374 Configuration de la page Dépannage...377 Onglet Trace des stratégies...377 Onglet Enregistrement de session...381
viii Onglet Instantané du système...382 Onglet Vidage TCP...383 Onglet Commandes...385 Onglet Débogage à distance...386 Partie 4. Informations complémentaires...389 Annexe A. Diagramme du processus d authentification et autorisation...391 Annexe B. Configuration des options de gestion des accès...395 Restrictions d adresse IP source...396 Restrictions de navigateur...397 Restrictions de certificat...400 Restriction de mot de passe...401 Restrictions Host Checker...402 Restrictions Cache Cleaner...404 Annexe C. Rédaction d expressions personnalisées...407 Variables système et exemples...412 Annexe D. Utilisation de la console série IVE...423 Index...435
ix Préface Le présent guide fournit des informations qui vous permettront de comprendre, configurer et gérer un système NetScreen Instant Virtual Extranet (IVE), à savoir : Présentation des produits Access Series et du système sous-jacent de gestion des accès Présentation des fonctionnalités de base et avancées, ainsi que des options de mise à niveau Instructions de configuration et de gestion d un système ou d un cluster IVE Public visé Le présent guide est destiné aux administrateurs système chargés de la configuration d un produit Access Series : NetScreen-SA 1000 NetScreen-SA 3000 NetScreen-SA 5000 NetScreen-SA FIPS NetScreen-SM 3000 Informations complémentaires Si vous voulez obtenir de l aide en cours d installation, reportez-vous au guide d installation joint au produit. Pour télécharger la version la plus récente du système d exploitation IVE ainsi que le fichier PDF du Guide d administration et les notes de version correspondants, accédez au site http://support.netscreen.com. Pour plus d informations sur la mise à niveau de votre configuration, accédez au site www.netscreen.com ou envoyez un courriel à l adresse sales@neoteris.com.
x
1 Partie 1 Série IVE Cette section décrit la plate-forme NetScreen Instant Virtual Extranet (IVE), les lignes de produits Access Series construites sur cette plate-forme et le système de gestion des accès utilisé par les produits Access Series. Table des matières Présentation de l NetScreen Instant Virtual Extranet... 3 Présentation d Access Series... 7 Présentation générale d Access Series FIPS... 9 Présentation générale de Secure Meeting... 13 Présentation de la gestion des accès... 22 Présentation générale des royaumes d authentification... 33 Présentation des stratégies de ressources... 38 Présentation générale des rôles d utilisateur... 52
2
Plate-forme NetScreen Instant Virtual Extranet 3 Présentation de l NetScreen Instant Virtual Extranet Le système NetScreen Instant Virtual Extranet vous permet d offrir à vos employés, partenaires et clients, où qu ils se trouvent, un accès sécurisé et contrôlé aux serveurs de fichiers de votre entreprise, à ses serveurs Web, à sa messagerie native et à ses clients de courriel, à ses serveurs hébergés, etc., à l aide de n importe quel navigateur Web. Qu est-ce que le système NetScreen Instant Virtual Extranet? Le système NetScreen Instant Virtual Extranet ou IVE est un robuste système réseau qui offre un niveau de sécurité élevé en servant d intermédiaire dans les flux de données échangés entre les utilisateurs externes et les ressources internes, telles que : Serveurs MS Terminal Serveurs MS Exchange Serveurs Lotus Notes Serveurs de courriel Internet Applications basées sur un terminal (IBM 3270, VT100) Documents sur des serveurs de fichiers Applications d entreprise basées sur le Web Pages d intranet Le système IVE rend superflu tout déploiement d outils pour extranet dans une DMZ traditionnelle, ainsi que la fourniture d un VPN d accès distant aux employés. Le système sert d intermédiaire pour le transfert de données entre des connexions externes, qui lui transmettent des demandes sécurisées, et les ressources internes, auxquelles il soumet les demandes de la part d utilisateurs authentifiés.
4 Plate-forme NetScreen Instant Virtual Extranet Figure 1 : Le Système IVE fonctionnant avec un LAN Comment fonctionne le système IVE? Le système IVE fait office de passerelle sécurisée active au niveau des applications et servant d intermédiaire pour toutes les demandes entre le réseau Internet public et les ressources internes de l entreprise. Toutes les demandes qui accèdent au système Instant Virtual Extranet sont déjà chiffrées par le navigateur de l utilisateur final, à l aide d un chiffrement 128 bits ou 168 bits SSL/HTTPS. Les demandes non chiffrées sont rejetées. Chaque demande est soumise à des stratégies de contrôle d accès définies par un administrateur (qui comprennent une authentification à deux facteurs ou des certificats numériques côté client) avant d être transmises à vos ressources internes. Comme le système IVE fournit une couche de sécurité robuste entre le réseau Internet public et les ressources internes, l administrateur ne doit pas passer son temps à gérer les stratégies de sécurité et corriger les défaillances de sécurité pour les multiples applications et serveurs Web déployés dans la DMZ présentée au public. Le système Instant Virtual Extranet sert d intermédiaire pour l accès à de nombreux types d applications et de ressources, à l aide de simples technologies de navigateur Web. L utilisateur peut accéder par authentification aux ressources protégées via une session extranet hébergée par le système. À partir de n importe quel navigateur Web connecté à Internet, l utilisateur peut accéder à des applications d entreprise riches basées sur le Web, à des applications Java, à des partages de fichiers, à des hôtes de terminal et à
Plate-forme NetScreen Instant Virtual Extranet 5 d autres applications client/serveur comme Microsoft Outlook et Lotus Notes, par l intermédiaire d une session Web sécurisée. Comment configurer l IVE? Pour configurer l IVE, vous devez accomplir, via la Console Web de l administrateur, les cinq tâches de base suivantes : 1. Définition des rôles des utilisateurs et des administrateurs Pages de la Console Web : Utilisateur > Rôles et Administrateurs > Délégation Les rôles déterminent les ressources auxquelles les utilisateurs et les administrateurs peuvent accéder. Par exemple, vous pouvez créer un rôle qui permet aux utilisateurs d accéder aux répertoires réseau mais qui leur interdit d accéder au Web. L IVE possède un rôle d utilisateur («Utilisateurs») et deux rôles d administrateur («.Administrateurs» et «.Administrateurs en lecture seule») prédéfinis. 2. Définition de stratégies de ressources Pages de la Console Web : Stratégies de ressources Les stratégies de ressources contrôlent davantage les ressources auxquelles les utilisateurs et les administrateurs peuvent accéder. Par exemple, si vous avez activé l accès aux fichiers au niveau des rôles, vous pouvez créer une stratégie de ressources qui interdit l accès à des répertoires précis du réseau de l entreprise. Lors de la configuration d une stratégie de ressources, vous devez déterminer quels rôles l utilisent. L IVE comprend des stratégies de ressources prédéfinies qui permettent à tous les utilisateurs de naviguer sur le Web et parmi les fichiers. 3. Définition de serveurs d authentification et d autorisation Pages de la Console Web : Système > Ouverture de session > Serveurs Les serveurs d authentification et d autorisation authentifient les données d identification des utilisateurs et déterminent les autorisations des utilisateurs dans le système. Par exemple, vous pouvez employer un serveur de certificats pour authentifier les utilisateurs en fonction de leurs attributs de certificats côté client, puis créer un serveur LDAP pour autoriser les utilisateurs selon les valeurs figurant dans une liste de révocation de certificats (CRL). L IVE est préconfiguré afin d inclure un serveur local pour l authentification des utilisateurs («Système local») et un serveur d authentification local destiné à l authentification des administrateurs («Administrateurs»). Vous devez au moins ajouter les utilisateurs à ces serveurs pour qu ils puissent accéder au système IVE.
6 Plate-forme NetScreen Instant Virtual Extranet 4. Définition de royaumes d authentification Pages de la Console Web : Utilisateurs > Authentification et Administrateurs > Authentification Les royaumes d authentification contiennent des stratégies qui définissent les conditions à remplir par un utilisateur ou un administrateur pour qu il puisse se connecter à l IVE. Par exemple, vous pouvez employer une stratégie d authentification pour déterminer que les utilisateurs peuvent uniquement accéder à l IVE s ils se connectent à partir d une adresse IP précise ou au moyen d un navigateur précis. Lors de la configuration d un royaume d authentification, vous devez créer des règles pour faire correspondre des utilisateurs à des rôles et pour déterminer quel(s) serveur(s) l IVE doit employer pour authentifier et autoriser les membres du royaume. L IVE est préconfiguré de manière à comporter un royaume («Utilisateurs») qui fait correspondre tous les utilisateurs authentifiés via le serveur «Système local» au rôle «Utilisateurs». L IVE est en outre préconfiguré de manière à comporter un royaume («Administrateurs») qui fait correspondre tous les utilisateurs authentifiés via le serveur «Administrateurs» au rôle «.Administrateurs». 5. Définition de stratégies d ouverture de session Page de la Console Web : Système > Ouverture de session > Stratégies d ouverture de session Les stratégies d ouverture de session définissent les URL employées par les utilisateurs et les administrateurs pour se connecter à l IVE. Par exemple, vous pouvez employer des stratégies d ouverture de session pour créer une URL de connexion pour votre service commercial et une autre pour votre service d expédition. Lors de la configuration d une stratégie d ouverture de session, vous devez l associer à un ou plusieurs royaumes. Ensuite, seuls les membres des royaumes choisis pourront se connecter à l IVE à l aide de l URL définie dans la stratégie. L IVE est préconfiguré de manière à comprendre une stratégie d ouverture de session qui autorise les membres du royaume «Utilisateurs admin» à se connecter à l aide de l URL */admin et une stratégie d ouverture de session qui autorise les membres du royaume «Utilisateurs» à se connecter à l aide de l URL */.
Plate-forme NetScreen Instant Virtual Extranet 7 Présentation d Access Series La famille de produits NetScreen Access Series fournit toute une gamme de fonctionnalités de modularité, de disponibilité élevée et de sécurité pour les entreprises. Ces fonctionnalités permettent d accroître l accès sécurisé aux ressources réseau. Quelques heures suffisent pour configurer le système Access Series Instant Virtual Extranet (IVE) afin d offrir aux utilisateurs un accès sécurisé : aux sites Web internes et aux applications Web de l entreprise, y compris des applets Java côté client, à l aide d ordinateurs portables ou de bureau, ou encore d appareils sans fil de type Pocket PC (standard) ; aux serveurs de fichiers internes de l entreprise (NFS et CIFS) ainsi qu aux fonctions de transfert de fichiers vers et depuis n importe quel répertoire (standard) ; aux clients de messagerie natifs, comme Microsoft Outlook et IBM/Lotus Notes, à partir de n importe quel PC (option de mise à niveau Client courriel sécurisé) ; aux clients de courriel reposant sur des normes, comme Microsoft Outlook Express, Netscape Communicator et Eudora (Qualcomm), à partir de n importe quel PC (option de mise à niveau Gestionnaire d applications sécurisé) ; aux applications client/serveur, comme Citrix ICA Client, pcanywhere et les services MS Terminal Server, à partir de n importe quel PC (option de mise à niveau Gestionnaire d applications sécurisé) ; aux serveurs hébergés via Telnet et SSH, à partir de n importe quel PC (option de mise à niveau Accès par terminal sécurisé) ; à des fonctions de collaboration sécurisées, y compris la planification de réunions, la présentation de réunions à distance, le contrôle distant du bureau du présentateur et les discussions par échange de messages texte (option Secure Meeting). Vos employés, partenaires et clients n ont besoin que d un navigateur Web standard pour PC (IE/Netscape/AOL/Pocket IE) et d une connexion à Internet pour accéder à la page d accueil intuitive du système Access Series IVE. Cette page fournit la fenêtre à partir de laquelle vos utilisateurs peuvent, en toute sécurité, naviguer sur le Web ou sur des serveurs de fichiers, employer des applications d entreprises compatibles HTML, démarrer le proxy d applications client/serveur ou lancer une session de terminal 1. 1. Les fonctionnalités disponibles dépendent du produit NetScreen Access Series et des options de mise à niveau que vous avez acquises.
8 Plate-forme NetScreen Instant Virtual Extranet L installation, la configuration et l administration de l IVE sont des tâches particulièrement aisées. Le système IVE est un équipement réseau robuste qui s installe en armoire en quelques minutes à peine. Une fois la connexion au réseau effectuée, il suffit d entrer quelques paramètres système et réseau initiaux, à l aide de la console série, pour pouvoir accéder à la Console Web. La Console Web est une interface Web qui vous permet de configurer et d administrer le système IVE en fonction des besoins de votre entreprise. Les caractéristiques suivantes font de l installation un vrai jeu d enfant et permettent une administration efficace de votre système : Intégration de serveur aisée : l IVE se branche aux serveurs d authentification existants de l entreprise (LDAP, RADIUS, NIS, Domaine Windows NT, Active Directory et RSA ACE/Server). Il n est pas nécessaire d apporter des modifications aux serveurs Web et de fichiers ou aux réseaux internes. Authentification par certificats : protection des applications sans modification des ressources internes. Il suffit de choisir les certificats numériques comme composant du plan d authentification du système Access Series IVE (option de mise à niveau Certificats numériques côté client). Degré élevé de disponibilité et de redondance : aucun temps d indisponibilité pour les utilisateurs dans les rares cas de défaillance, et échange de trafic dynamique qui synchronise les paramètres des utilisateurs, ceux du système et les données des sessions utilisateur (avec mise en cluster). Stratégie de pare-feu simple : seul un accès SSL au Système IVE est requis depuis l extérieur. Contrôle de l accès aux ressources jusqu au niveau des fichiers et des URL à l aide du système de gestion d accès IVE 4.0 (royaumes d authentification, rôles d utilisateurs et stratégies de ressources). Journalisation centralisée, au niveau des applications, qui consigne les actions des administrateurs et des utilisateurs, les demandes de connexion, de fichiers et Web ainsi que les erreurs système. Mises à jour des logiciels système via Internet. Prise en charge de SNMP et de DMZ.
Plate-forme NetScreen Instant Virtual Extranet 9 Présentation générale d Access Series FIPS Les FIPS ou Federal Information Processing Standards sont des normes du National Institute of Standards and Technology relatives au déchiffrement de clé et au chiffrement de données. NetScreen Access Series FIPS est un système NetScreen Instant Virtual Extranet standard A5000 ou A3000 équipé d un module de cryptographie certifié FIPS. Le module de protection par le matériel inviolable installé sur un système Access Series FIPS est certifié conforme à la norme de sécurité FIPS 140-2 de niveau 3. Ce module exécute la gestion de clé de chiffrement privée et les négociations SSL, tout en assurant la conformité aux normes FIPS et en assurant, à la place du système, les tâches d infrastructure à clé publique (PKI Public Key Infrastructure), gourmandes en ressources système. La procédure de configuration pour les administrateurs du système Access Series FIPS est presque identique pour les administrateurs non FIPS IVE, ne nécessitant que des changements mineurs de configuration au cours des processus d initialisation, de mise en grappe et de génération de certificats. Dans les rares cas où les tâches d administration sont différentes, ce guide inclut les instructions appropriées à la fois pour les administrateurs d Access Series et ceux du système Access Series FIPS. Pour les utilisateurs finals, le système Access Series FIPS est exactement identique à un système IVE standard. Comment fonctionne le système NetScreen Access Series FIPS? Lorsque vous installez un système Access Series FIPS, la console série IVE vous accompagne dans la procédure pour créer un environnement sécurisé par la console série. Un environnement sécurisé est un système de gestion de clé utilisé par le système Access Series FIPS et comprenant les éléments suivants : Module de cryptographie : le module de cryptographie (parfois aussi appelé module de protection par le matériel ou HSM-Hardware security module) fourni avec Access Series FIPS inclut du matériel et un micrologiciel directement installés sur le système. Un environnement sécurisé peut contenir un module de cryptographie unique (environnement standard) ou plusieurs modules (environnement en grappe). Toutefois, un système Access Series FIPS unique est toujours équipé d un module de cryptographie unique. Clé d environnement sécurisé : une clé d environnement sécurisé est une clé chiffrée Triple DES unique qui protège toutes les autres clés d application au sein d un environnement sécurisé. Comme l exigent les Federal Information Processing Standards, vous ne pouvez pas importer cette clé dans un environnement sécurisé : vous devez directement l y créer à partir d un module de cryptographie. Dans un environnement en cluster, tous les modules au sein de l environnement sécurisé partagent la même clé d environnement sécurisé.
10 Plate-forme NetScreen Instant Virtual Extranet Pour plus d informations, reportez-vous à la section «Déploiement d un cluster dans un environnement Access Series FIPS», page 73. Cartes à puce : Une carte à puce est un dispositif de clé démontable identique à une carte de crédit. Une carte à puce authentifie les utilisateurs, leur permettant l accès à des données et processus variés, contrôlés par le module de matériel de cryptographie. Au cours de la procédure d initialisation, vous devez relier le lecteur de cartes à puce que nous fournissons au module de cryptographie puis insérer une de vos cartes à puce dans le lecteur. Au cours de la procédure d initialisation, la carte à puce est transformée en carte administrateur qui permet au titulaire de carte d accéder à l environnement sécurisé. Pour plus d informations, reportez-vous à la section «Créer des cartes administrateur supplémentaires (Access Series FIPS uniquement)», page 430. Données chiffrées : les données chiffrées hôtes dans un environnement Access Series FIPS contiennent les clés et autres données nécessaires pour partager des informations de manière sécurisée. Ces éléments se verrouillent réciproquement pour créer un environnement sécurisé complet. Quand vous ouvrez le système, celui-ci confirme que l environnement sécurisé est valide et que le module de cryptographie est en mode de fonctionnement, avant de commencer les opérations normales. Vous pouvez définir le module de cryptographie en mode de fonctionnement à l aide d un commutateur de matériel situé à l extérieur du module. Les paramètres du commutateur incluent : I : Mode d initialisation. Utilisez ce paramètre lors de l initialisation du module de cryptographie avec un nouvel environnement sécurisé ou lors de l ajout d un module à un environnement sécurisé existant dans une grappe du système IVE. O : Mode de fonctionnement. Utilisez ce paramètre pour mettre le module de cryptographie en mode de fonctionnement après initialisation. Remarque : vous devez mettre le commutateur sur O avant que le module ne soit mis sous tension afin de prévenir l unité que vous voulez commencer un traitement courant. Autrement, le module vous invite par la console série à rejoindre l environnement sécurisé existant ou en initialise un nouveau. M : Mode de maintenance. Dans des mises à jour ultérieures, ce paramètre servira à actualiser le micrologiciel dans le module de cryptographie. (pas encore pris en charge.) Pour plus d information sur l initialisation du module et la création d un nouvel environnement sécurisé, reportez-vous au manuel «NetScreen Access Series FIPS Quick Start Guide» fourni avec le produit.