Cible de sécurité CSPN Fnctin de filtrage des bitiers pare-feux PA Series Référence : PAO001-ST-1.02 Date : le 21/05/2013 Cpyright AMOSSYS SAS 2013 Siège : 4 bis allée du Bâtiment 35000 Rennes France www.amssys.fr SIRET : 493 348 890 00036 NAF : 6202 A RCS Rennes B 493 348 890 SAS au capital de 38.000 Eurs
MAITRISE DU DOCUMENT SOCIETE NOM FONCTION DATE SIGNATURE Cntrôle technique AMOSSYS Antine COUTANT Respnsable Technique CESTI 05/03/2013 [ORIGINAL SIGNE] Cntrôle qualité AMOSSYS Julie LEMETEYER Respnsable Qualité CESTI suppléante 05/03/2013 [ORIGINAL SIGNE] Apprbatin AMOSSYS Antine COUTANT Respnsable Technique CESTI 21/05/2013 [ORIGINAL SIGNE] Validatin PALO ALTO NETWORKS Christphe ESTEBANEZ Ingénieur Système 21/05/2013 [ORIGINAL SIGNE] Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 2 sur 20
FICHE D EVOLUTIONS Révisin Date Descriptin Rédacteur 0.10 25/01/2013 Créatin du dcument. Julie LEMETEYER 0.20 12/02/2013 Prise en cmpte des remarques de Pal Alt Netwrks. Julie LEMETEYER 0.30 15/02/2013 Mdificatins mineures. Julie LEMETEYER 1.00 22/02/2013 Mdificatins mineures suite aux remarques de Pal Alt Netwrks. Versin diffusée à l ANSSI. Julie LEMETEYER 1.01 05/03/2013 Prise en cmpte des remarques de l ANSSI. Alexandre LE GOASTER 1.02 21/05/2013 Mise à jur de la versin testée (chapitre 2) Antine COUTANT Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 3 sur 20
SOMMAIRE 1. INTRODUCTION... 5 1.1. Objet du dcument... 5 1.2. Dcuments applicables... 5 1.1. Glssaire... 5 2. IDENTIFICATION DU PRODUIT... 6 3. DESCRIPTION DU PRODUIT... 7 3.1. Descriptin générale... 7 3.2. Descriptin de la manière d utiliser le prduit... 9 3.3. Descriptin de l envirnnement prévu pur sn utilisatin... 10 3.4. Descriptin des hypthèses sur l envirnnement... 12 3.5. Descriptin des dépendances... 13 3.6. Descriptin des utilisateurs typiques cncernés... 13 3.7. Définitin du périmètre de l évaluatin... 13 4. DESCRIPTION DE L ENVIRONNEMENT TECHNIQUE DE FONCTIONNEMENT... 16 4.1. Matériel cmpatible u dédié... 16 4.2. Système d explitatin retenu... 16 5. DESCRIPTION DES BIENS SENSIBLES... 17 6. DESCRIPTION DES MENACES... 18 7. DESCRIPTION DES FONCTIONS DE SECURITE DU PRODUIT... 19 Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 4 sur 20
1. INTRODUCTION 1.1. OBJET DU DOCUMENT Ce dcument est réalisé dans le cadre de l évaluatin du pare-feu de nuvelle génératin à identificatin applicative, dévelppé par la sciété Pal Alt Netwrks, seln le schéma CSPN. Ce dcument est sumis au cntrôle technique et qualité d AMOSSYS ainsi qu à la validatin de Pal Alt Netwrks. Les mises à jur de ce dcument snt effectuées par l équipe prjet d AMOSSYS. 1.2. DOCUMENTS APPLICABLES Ref. [CER-I-01.1] [CER-I-02.1] Livrable Méthdlgie pur l évaluatin en vue d une Certificatin de Sécurité de Premier Niveau. N 1416/ANSSI/SR du 30 mai 2011. Critères pur l évaluatin en vue d une Certificatin de Sécurité de Premier Niveau. N 1417/ANSSI/SR du 30 mai 2011. 1.1. GLOSSAIRE Acrnymes ACC CSPN DS NGFW ST TOE Définitins Applicatin Cmmand Center Certificatin de Sécurité de Premier Niveau Deny f Service Next Generatin FireWall Security Target (Cible de sécurité) Target Of Evaluatin (Cible d évaluatin) Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 5 sur 20
2. IDENTIFICATION DU PRODUIT Editeur Pal Alt Netwrks Lien vers l rganisatin http://www.palaltnetwrks.cm/ Nm cmmercial du prduit Appliance Numér de la versin évaluée Fnctin de filtrage versin 5.0.4 Catégrie du prduit Pare-feu Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 6 sur 20
3. DESCRIPTION DU PRODUIT 3.1. DESCRIPTION GENERALE Le prduit est un pare-feu d entreprise nuvelle génératin à identificatin applicative cmmercialisé par la sciété Pal Alt Netwrks sus la frme d une appliance et visant les entreprises de tute taille. À l instar des pare-feu traditinnels qui blquent les flux au niveau 2 et 4 de la cuche OSI, la slutin de Pal Alt Netwrks est destinée à sécuriser l utilisatin des applicatins de l entreprise en identifiant les applicatins, les utilisateurs et le cntenu du réseau de l entreprise. Pur cela, le prduit intègre les tris technlgies suivantes : - App-ID, permettant l identificatin des applicatins qui génèrent du trafic sur le réseau (indépendamment du prt, du prtcle, du chiffrement et de la technique évasive) ; - User-ID, permettant l identificatin des utilisateurs de ces applicatins ; - Cntent-ID, permettant d analyser le cntenu de l applicatin pur y détecter d éventuelles menaces, fichiers, schémas de dnnées et activités Web. Les infrmatins statistiques d identificatin et de filtrage permettent à un administrateur de créer des stratégies de sécurité en fnctin du trafic qui traverse le réseau. Les répnses stratégiques peuvent être : - autriser le trafic ; - autriser le trafic et rechercher des menaces, vulnérabilités et virus ; - déchiffrer et inspecter le trafic ; - refuser / blquer le trafic (par exemple, refuser tut trafic en prvenance de pays spécifiques) ; - autriser certaines applicatins u fnctins, par exemple : autriser l utilisatin de MSN et Ggle Task mais blquer l utilisatin de leurs fnctins respectives de transfert de fichiers ; blquer des applicatins indésirables cmme le partage de fichier P2P ; etc. Pur garantir un accès permanent aux fnctinnalités de gestin, les platefrmes d administratin (Cntrl Plane) et de gestin des dnnées (flux réseau, évènements de sécurité et d identificatin, Data Plane) snt physiquement séparées (traitement et mémire dédiés). Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 7 sur 20
La figure ci-après présente l architecture des pare-feux nuvelle génératin de Pal Alt Netwrks. Figure 1 Architecture des pare-feu nuvelle génératin de Pal Alt Netwrks Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 8 sur 20
3.2. DESCRIPTION DE LA MANIERE D UTILISER LE PRODUIT Le prduit est destiné à cntrôler l utilisatin des applicatins accédant au réseau d une entreprise. Il assure ntamment la préventin des intrusins, la prtectin anti-malware et le filtrage SSL. Il se base sur tris technlgies «App-ID», «User-ID» et «Cntent-ID» pur identifier précisément une applicatin, ses utilisateurs et sn impact sur la sécurité. Pur assurer ces fnctinnalités, le prduit intègre : - un lgiciel de filtrage dynamique des flux en fnctin : des stratégies de sécurité spécifiées par l administrateur ; d une liste d URL autrisées 1 ; du cntenu des flux : les administrateurs peuvent mettre en œuvre des stratégies visant à réduire les risques liés à un transfert de fichiers u de dnnées ; - un mdule d analyse chargé d identifier, à partir des flux autrisés qui transitent par le bîtier, les menaces et lgiciels malveillants, au myen : d un système de préventin des intrusins capable de détecter les failles de sécurité (cnnues et incnnues) du réseau, les vulnérabilités de la cuche applicative, les dépassements de tampn, les attaques par refus de service u par analyse de prts ; d un antivirus réseau permettant de blquer les lgiciels espins, y cmpris les virus PDF, les prgrammes malveillants dissimulés dans les fichiers cmpressés, dans le trafic Web (HTTP/HTTP cmpressé) u qui circulent à travers des applicatins chiffrées ; d un envirnnement de test virtuel permettant d exécuter les lgiciels incnnus et de révéler une éventuelle menace. - une interface Web permettant de visualiser l activité des applicatins (ACC) et créer / déplyer des stratégies de sécurité ; - des utils de surveillance et de reprting. Dans le cadre de l évaluatin CSPN, seules les fnctinnalités de filtrage à identificatin applicative (App-ID et User-ID) et d administratin du prduit snt cncernées par l analyse. 1 Les URL snt réparties en catégries (76 catégries dispnibles) dans une base de dnnées de filtrage des URL, permettant aux administrateurs d appliquer des stratégies de navigatin Web extrêmement précises. Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 9 sur 20
3.3. DESCRIPTION DE L ENVIRONNEMENT PREVU POUR SON UTILISATION Pal Alt Netwrks prpse plusieurs gammes de pare-feu de nuvelle génératin : - des équipements matériels (Séries PA-5000, PA-4000, PA-3000, PA-2000, PA-500 et PA-200 dispsant chacun de mdèles adaptés seln les besins) ; - des platefrmes virtualisées (VM-100, VM-200, VM-300). Les gammes diffèrent principalement en termes de perfrmances (débits pare-feu, IPS, IPSec VPN), de capacité de virtualisatin, de nmbres d interfaces et de plitiques. La TOE et le système d explitatin prpriétaire, PAN-OS, snt embarqués dans ces prduits. Pur l évaluatin, le mdèle est chisi (Figure 2). La TOE est évaluée en tant que lgiciel destiné à sécuriser l utilisatin des applicatins sur le réseau d entreprise. Elle est démarrée au lancement de l appliance et reste active jusqu à sn extinctin. Figure 2 Pare-feu de nuvelle génératin (mdèle ) Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 10 sur 20
Quatre mdes de fnctinnement snt pssibles : CIBLE DE SECURITE CSPN - en écute : la TOE agit cmme une snde (cnnectée à un prt mirrring) ; - psitinnée dans un carrefur stratégique du réseau : la TOE agit cmme une passerelle de sécurité en cupure physique nn intrusive de réseaux afin d analyser tut le trafic entrant et srtant (ptinnellement) d un réseau lcal i.e. entre un réseau externe nn maîtrisé (tel qu Internet) et le réseau interne maîtrisé, de manière transparente et rbuste, i.e. sans perte de paquet (Figure 3) ; - en niveau 2 (cuche liaisn) ; - en niveau 3 (cuche réseau). Figure 3 - Exemple d architecture d intégratin du pare-feu Pal Alt Netwrks Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 11 sur 20
3.4. DESCRIPTION DES HYPOTHESES SUR L ENVIRONNEMENT Les hypthèses sur l envirnnement de la TOE snt les suivantes : - H.COUPURE L appliance est installée cnfrmément à la plitique d intercnnexin des réseaux en vigueur et est le seul pint de passage entre les différents réseaux sur lesquels il faut appliquer la plitique de cntrôle des flux d infrmatin. - H.SECURITE_PHYSIQUE L appliance est lcalisée dans un envirnnement physique sécurisé accessible des seules entités autrisées. - H.OS_SAIN Tutes les dépendances nécessaires au fnctinnement de la TOE divent être intègres. En particulier, le système d explitatin supprt de l appliance dit psséder des mécanismes de prtectin adéquats cmme le cntrôle d accès et être à jur des crrectifs en vigueur au mment de l installatin, sain et exempt de virus, chevaux de Trie, etc. - H.STATION_ADMIN La statin d administratin est sécurisée et maintenue à jur de tutes les vulnérabilités cnnues cncernant les systèmes d explitatin et les applicatins hébergées. Elle est installée dans un lcal à accès prtégé et est exclusivement dédiée à l administratin de la TOE et au stckage des infrmatins d identificatin et de filtrage. - H.ADMIN_CONFIANCE Les administrateurs en charge de la supervisin snt des persnnes nn hstiles et cmpétentes, dispsant des myens nécessaires à l accmplissement de leurs tâches. Ils snt frmés pur exécuter les pératins dnt ils nt la respnsabilité. - H.POLITIQUE La plitique de cntrôle des flux d infrmatins à mettre en œuvre est définie de manière cmplète, stricte et crrecte. Autrement dit, tus les cas d utilisatin standards des équipements du réseau maîtrisé nt été envisagés lrs de la définitin des règles ; seuls les cas d utilisatin nécessaires des équipements snt autrisés ; les règles ne présentent pas de cntradictin. En particulier, la cnfiguratin de la TOE dit évluer dès qu un changement est péré dans le réseau lcal (cnfiguratin, augmentatin/diminutin du nmbre d hôtes u des services, etc.). Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 12 sur 20
3.5. DESCRIPTION DES DEPENDANCES La TOE est le lgiciel de filtrage applicatif embarqué dans une appliance dédiée. Il n y a dnc aucune dépendance car celle-ci est livrée précnfigurée avec les éléments nécessaires à sn fnctinnement. 3.6. DESCRIPTION DES UTILISATEURS TYPIQUES CONCERNES Le prduit est ttalement transparent pur les utilisateurs des réseaux à prtéger. Les rôles suivants sernt pris en cnsidératin dans le cadre de l analyse : - Administratr : administrateur de l appliance ayant un cntrôle ttal sur le prduit. Il a, entre autres, en charge la définitin des stratégies de sécurité, la gestin des utilisateurs (rôles et drits d accès) et le dépliement des mises à jur lgicielles de la TOE ; - Mnitr : explitant ayant en charge l analyse des lgs et alertes en srtie de la TOE et un accès en lecture à la cnfiguratin du pare-feu. D autres rôles et autrisatins peuvent être définis pur les utilisateurs prvenant du réseau d administratin mais ils ne sernt pas cnsidérés pur la présente évaluatin. 3.7. DEFINITION DU PERIMETRE DE L EVALUATION Les pare-feu de nuvelle génératin de Pal Alt Netwrks se basent sur un traitement des flux en une seule passe dit «Single Pass Parallel Prcessing (SP3)» cmpsé des tris briques principales «App-ID», «User-ID» et «Cntent-ID». La TOE se limite à l applicatin lgicielle de filtrage à identificatin applicative (blcs range et vert sur la Figure 4). Le mdule «Cntent-ID» est dnc en dehrs du périmètre de la TOE. L évaluatin prtera sur : - le mdule «App-ID» de filtrage applicatif ; - le mdule «User-ID» d identificatin des utilisateurs ; - la fnctin de jurnalisatin ; - la fnctin d administratin. Est cnsidéré hrs TOE, le mdule «Cntent-ID» de détectin des menaces. Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 13 sur 20
Figure 4 - Fnctinnement du pare-feu et périmètre de la TOE Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 14 sur 20
La TOE est embarquée dans la platefrme matérielle installée au pint de raccrdement entre le réseau interne (maîtrisé) et le réseau externe (hstile) cmme l illustre la figure suivante. Figure 5 Platefrme d évaluatin de la TOE L architecture prpsée pur l évaluatin de la TOE cmprend : - la TOE (pare-feu nuvelle génératin embarqué dans l appliance) ; - un pste d administrateur pur la cnfiguratin, l administratin de la TOE et la visualisatin des jurnaux ; - un réseau lcal à prtéger cmprenant : une DMZ cntenant divers serveurs permettant de juer différentes attaques lrs de l évaluatin (attaques depuis l extérieur sur serveur web Apache, serveur FTP, serveur de base de dnnées, ); un serveur d annuaire permettant à la TOE d identifier les utilisateurs (User-ID) ; des pstes clients. Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 15 sur 20
4. DESCRIPTION DE L ENVIRONNEMENT TECHNIQUE DE FONCTIONNEMENT 4.1. MATERIEL COMPATIBLE OU DEDIE La TOE est dispnible sus frme d appliance matérielle de différents types dimensinnée seln le débit (parefeu, IPS, IPSec VON), la capacité de virtualisatin, les nmbres d interfaces et de plitiques. Une versin virtualisée est également dispnible. Pur l évaluatin, le mdèle est chisi. La TOE est incluse dans le bîtier livré par Pal Alt Netwrks. 4.2. SYSTEME D EXPLOITATION RETENU La TOE est livrée avec sn prpre système d explitatin qui est PAN-OS (système prpriétaire rienté sécurité dévelppé par Pal Alt Netwrks). Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 16 sur 20
5. DESCRIPTION DES BIENS SENSIBLES La fnctin première de la TOE est de prtéger le réseau lcal mais qui ne peut être cnsidéré cmme un bien sensible. Les biens sensibles prtégés par la TOE snt : - les dnnées utiles au filtrage : les plitiques de filtrage ; la base de signatures applicatives ; la base d URL ; les infrmatins cncernant les utilisateurs (dans le cas du mdule User-ID) ; - les paramètres de cnfiguratin : les fichiers de cnfiguratin et fichiers système de la TOE ; les paramètres de sécurité prpres à la TOE (en cnfidentialité et intégrité), dnt les dnnées d authentificatin des administratrs et mnitrs ; - les lgs générés par la TOE (i.e. les traces d événements générés à l issue d une identificatin, d un filtrage u d une mdificatin de la plitique du pare-feu). Les biens sensibles prtégés par l envirnnement de la TOE snt : - les dnnées utiles à la détectin de menaces : la base de signatures virales ; la base de vulnérabilités publiques. Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 17 sur 20
6. DESCRIPTION DES MENACES Les différents agents menaçants snt : - attaquants internes : entités appartenant au réseau de cnfiance telles qu un utilisateur ayant btenu un accès illégitime à la TOE ; - attaquants externes : entités n'appartenant pas au réseau de cnfiance telles que : une entité nn autrisée qui ne dispse pas d accès légitime à la TOE ; un lgiciel tiers ne faisant pas partie de la TOE et qui cherche à intrduire des attaques (virus u dénis de service par exemple). Les administrateurs ne snt pas cnsidérés cmme des attaquants. Les menaces qui prtent sur les biens sensibles de la TOE snt les suivantes : - M.CONTOURNEMENT Une entité appartenant u nn au réseau de cnfiance parvient à cnturner la plitique de cntrôle des flux d infrmatins. - M.EVENEMENT_NON_DETECTE Une entité appartenant u nn au réseau de cnfiance parvient à masquer ses actins et cmprmettre les ressurces sans être détectée (en prvquant la perte d enregistrements d audit u en épuisant la capacité de stckage pur empêcher de futurs enregistrements). - M.ADMIN_ILLICITE Une entité appartenant u nn au réseau de cnfiance parvient à effectuer des pératins d administratin illicites en mettant en défaut les dnnées d'authentificatin ainsi que les paramètres de cnfiguratin de la TOE, u en usurpant l identité d un administrateur suite à des tentatives aléatires répétées, u par le biais d analyses de séquences d authentificatin interceptées. Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 18 sur 20
7. DESCRIPTION DES FONCTIONS DE SECURITE DU PRODUIT Le prduit ne permet pas directement d assurer un besin de sécurité en cnfidentialité u intégrité sur un bien du SI à prtéger. Il assure un besin de dispnibilité. En effet, la nndétectin de menaces peut prvquer de graves cnséquences sur la sécurité du réseau. Par cnséquent, le pare-feu cntribue indirectement à la sécurité d un système en sécurisant l utilisatin des applicatins. Les fnctins suivantes ne snt dnc pas des fnctins de sécurité du pint de vue de la TOE mais des fnctins de sécurité du pint de vue du SI prtégé par le pare-feu de Pal Alt Netwrks. - F1.FILTRAGE La TOE applique un filtrage des flux d infrmatins transitant par le bîtier, en fnctin des règles spécifiées dans la plitique définie par l administrateur. - F2.ANALYSE_FLUX La TOE est capable d identifier les paquets assciés aux flux applicatifs transitant par le bîtier ainsi que les dnnées incluses dans ces flux afin d appliquer la plitique de filtrage. - F3.IDENTIFICATION_UTILISATEUR La TOE est capable d identifier les utilisateurs d applicatins. Pur cela, le prduit maintient une table des utilisateurs en cnsultant de manière incrémentale et practive les infrmatins issues de différentes surces (lgs de cnnexins des cntrôleurs de dmaine par exemple). - F4.JOURNALISATION La TOE génère : des évènements de sécurité relatifs au trafic IP transitant par le pare-feu et à la détectin de menaces ; des jurnaux relatifs aux mdificatins de la plitique de sécurité du pare-feu. Ces traces snt jurnalisées lcalement u envyées vers un util tiers distant (SIEM, archivage) de manière sécurisée. - F5.MISE_A_JOUR La TOE dispse d un mécanisme de mise à jur de la base des signatures applicatives lui permettant d identifier les applicatins à l rigine des flux. - F6.CONTROLE_ACCES La TOE permet de cntrôler l accès aux fnctins qui relèvent de l administratin (gestin des stratégies, cnsultatin des lgs, accès aux dnnées de cnfiguratin de la TOE, etc.) au myen de rôles allués aux utilisateurs autrisés. Les mts de passe des administrateurs snt hachés suivant le mécanisme MD5 et psitinnés dans un fichier de cnfiguratin type xml, accessible uniquement par le Cntrl Plane. Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 19 sur 20
Fin du dcument Réf : PAO001-ST-1.02 Cpyright AMOSSYS 2013 Page 20 sur 20