(V4.7 MR2), nGenius® Performance Manager (V4.7 MR2)

Transcription

Rapport de certification
Évaluation EAL 3 + du produit
NetScout nGenius® InfiniStream® (V4.7 MR2), nGenius®
Performance Manager (V4.7 MR2), and nGenius® K2
(V4.7 MR2)
Préparé par :
Le Centre de la sécurité des télécommunications Canada
à titre d’organisme de certification dans le cadre du
Schéma canadien d’évaluation et de certification selon les Critères communs
© Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2010
Numéro de document :
Version :
Date :
Pagination :
383-4-109-CR
1.0
4 juin 2010
i à iii, 1 à 12
Rapport de certification du SCCC
NetScout Systems, Inc.
nGenius Service Assurance Solution V4.7 MR2
AVERTISSEMENT
Le produit TI décrit dans le présent rapport et sur le certificat afférent a été évalué selon la
Méthodologie d’évaluation commune des produits de sécurité TI, version 3.1, révision 2, à
des fins de conformité aux Critères communs d’évaluation de la sécurité des TI, version 3.1,
révision 2, par un centre d’évaluation approuvé, établi dans le cadre du Schéma canadien
d’évaluation et de certification selon les Critères communs (SCCC). Ce rapport et le
certificat afférent valent uniquement pour la version indiquée du produit, dans la
configuration qui a été évaluée. L’évaluation a été effectuée conformément aux dispositions
du SCCC, et les conclusions formulées dans le rapport technique d’évaluation correspondent
aux éléments présentés en preuve. Le présent rapport et le certificat afférent ne constituent
pas une homologation du produit TI par le Centre de la sécurité des télécommunications
Canada (CSTC) ou par toute autre organisation qui reconnaît ou entérine ce rapport et le
certificat afférent, et ne signifie pas, ni implicitement ni explicitement, que le produit TI est
garanti par le CSTC ou par toute autre organisation qui entérine ce rapport et le certificat
afférent.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page i de iii -
AVANT-PROPOS
Le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC)
offre un service d’évaluation par une tierce partie en vue de déterminer la fiabilité des
produits de sécurité des TI. Les évaluations sont réalisées par un centre d’évaluation selon les
Critères communs (CECC) sous la direction de l’organisme de certification du SCCC, ce
dernier étant géré par le Centre de la sécurité des télécommunications Canada (CSTC).
Un CECC est un laboratoire commercial qui a été approuvé par l’organisme de certification
du SCCC en vue d’effectuer des évaluations selon les Critères communs. Une des exigences
principales, à cette fin, est l’obtention de l’accréditation selon les prescriptions du
Guide ISO/IEC 17025:2005, Prescriptions générales concernant la compétence des
laboratoires d’étalonnage et d’essais. L’accréditation est obtenue dans le cadre du
Programme d’accréditation des laboratoires Canada (PALCAN), régi par le Conseil canadien
des normes.
Le CECC qui a effectué cette évaluation est DOMUS IT Security Laboratory situé à Ottawa
(Canada).
En décernant un certificat Critères communs, l’organisme de certification affirme que le
produit est conforme aux exigences de sécurité précisées dans la cible de sécurité connexe.
Une cible de sécurité est un document qui comporte des spécifications requises, définit les
activités d’évaluation et en établit la portée. L’utilisateur d’un produit de TI certifié devrait
examiner la cible de sécurité, en plus du rapport de certification, pour comprendre les
hypothèses formulées dans le cadre de l’évaluation, l’environnement d’exploitation prévu
pour le produit, ses exigences de sécurité et le niveau de fiabilité (qui correspond au niveau
d’assurance de l’évaluation) auquel le produit satisfait aux exigences de sécurité.
Le présent rapport de certification accompagne le certificat d’évaluation du produit daté du
4 juin 2010, ainsi que la cible de sécurité indiquée à la section 4 du présent rapport.
Le rapport de certification, le certificat d’évaluation du produit et la cible de sécurité sont
affichés sur la liste des produits certifiés (LPC) selon les Critères communs et sur le portail
des Critères communs (site Web officiel du programme des Critères communs).
Le présent rapport de certification fait référence aux marques de commerce déposées
suivantes :
• NetScout, nGenius et InfiniStream sont des marques déposées de NetScout Systems, Inc.
Toute reproduction du présent rapport est autorisée pourvu qu’il soit reproduit dans sa
totalité.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page ii de iii -
TABLE DES MATIÈRES
AVERTISSEMENT .................................................................................................................................... i
AVANT-PROPOS ...................................................................................................................................... ii
Sommaire .....................................................................................................................................................1
1
Définition de la cible d’évaluation.....................................................................................................3
2
Description de la TOE ........................................................................................................................3
3
Fonctionnalités de sécurité évaluées..................................................................................................3
4
Cible de sécurité ..................................................................................................................................3
5
Conformité aux Critères communs ...................................................................................................3
6
Politiques de sécurité ..........................................................................................................................4
7
Hypothèses et clarification de la portée ............................................................................................4
7.1
7.2
7.3
HYPOTHÈSES SUR L’UTILISATION SÛRE ................................................................................ 4
HYPOTHÈSES LIÉES À L’ENVIRONNEMENT ............................................................................ 4
ÉCLAIRCISSEMENT DE LA PORTÉE ......................................................................................... 5
8
Information sur l’architecture...........................................................................................................5
9
Configuration évaluée ........................................................................................................................6
10
Documentation ....................................................................................................................................7
11
Activités d’analyse et d’évaluation....................................................................................................8
12
Essais des produits de sécurité des TI ...............................................................................................9
12.1
12.2
12.3
12.4
12.5
ÉVALUATION DES TESTS REALISES PAR LE DEVELOPPEUR ................................................... 9
TESTS FONCTIONNELS INDEPENDANTS ................................................................................. 9
TEST DE PENETRATION INDEPENDANT ................................................................................ 10
EXECUTION DES TESTS ........................................................................................................ 11
RESULTATS DES TESTS ........................................................................................................ 11
13
Résultats de l’évaluation ..................................................................................................................11
14
Commentaires, observations et recommandations de l’évaluateur..............................................11
15
Acronymes, abréviations et sigles....................................................................................................11
16
Références..........................................................................................................................................12
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page iii de iii -
Sommaire
Le produit nGenius® InfiniStream® Version 4.7 MR2, nGenius Performance Manager Version
4.7 MR2, and nGenius K2 Version 4.7 MR2 (désigné ci-après sous le nom de nGenius Service
Assurance Solution V4.7 MR2) de NetScout Systems, Inc. est la cible d’évaluation de la
présente évaluation (EAL) 3 augmentée.
Le produit nGenius Service Assurance Solution V4.7 MR2 est une plateforme de gestion de la
prestation de services unifiée qui offre de l’information détaillée et en temps réel sur le
rendement des services, des applications et des réseaux pour assurer une exploitation réseau
optimisée. Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une visibilité
réseau grâce à un ensemble commun de fonctions d’analyse et de rapports orientés services qui
favorisent également la collaboration avec les flux de travail orientés équipe.
Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une approche unifiée de
gestion de la prestation des services, ce qui permet aux clients d’optimiser la prestation des
services, de protéger la performance des applications réseau et de simplifier les opérations.
DOMUS IT Security Laboratory est le CECC qui a réalisé cette évaluation. L’évaluation s’est
terminée le 28 avril 2010 et elle a été effectuée selon les règles prescrites par le Schéma
canadien d’évaluation et de certification selon les Critères communs (SCCC).
La portée de l’évaluation est définie dans la cible de sécurité, laquelle décrit les hypothèses
formulées dans le cadre de l’évaluation, l’environnement projeté du produit Genius Service
Assurance Solution V4.7 MR2, les exigences de sécurité ainsi que le niveau de confiance
(niveau d’assurance de l’évaluation) auquel le produit est destiné afin de satisfaire aux
exigences de sécurité. On recommande aux utilisateurs du produit de s’assurer que leur
environnement d’exploitation est conforme à celui qui est défini dans la cible de sécurité et de
tenir compte des observations et des recommandations énoncées dans le présent rapport de
certification.
Les résultats documentés dans le rapport technique d’évaluation (RTE)1 du produit indiquent
que celui-ci répond aux exigences d’assurance EAL 3 augmentée pour les fonctionnalités de
sécurité qui ont été évaluées. Cette évaluation a été réalisée selon la Méthodologie commune
pour la sécurité des technologies de l’information, version 3.1, révision 2, afin d’en déterminer
la conformité aux Critères communs pour l’évaluation de la sécurité des technologies de
l’information, version 3.1, révision 2. L’augmentation prise en compte lors de l’évaluation est
la suivante : ALC_FLR.1 – Correction d’anomalies élémentaire.
1
Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive au
propriétaire ou à l’évaluateur, et qui n’est pas rendu public.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 1 de 12 -
Le Centre de la sécurité des télécommunications Canada, à titre d’organisme de certification
selon le SCCC, affirme que l’évaluation du produit nGenius Service Assurance Solution V4.7
MR2 satisfait à toutes les conditions de l’Arrangement relatif à la reconnaissance des
certificats liés aux Critères communs et que le produit figurera sur la liste des produits
certifiés (LPC) selon les Critères communs et sur le portail des Critères communs (site Web
officiel du programme des Critères communs).
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 2 de 12 -
1
Définition de la cible d’évaluation
Le produit nGenius® InfiniStream® Version 4.7 MR2, nGenius Performance Manager Version
4.7 MR2, and nGenius K2 Version 4.7 MR2 (désigné ci-après sous le nom de nGenius Service
Assurance Solution V4.7 MR2) de NetScout Systems, Inc. est la cible d’évaluation de la
présente évaluation (EAL) 3 augmentée.
2
Description de la TOE
Le produit nGenius Service Assurance Solution V4.7 MR2 est une plateforme de gestion de la
prestation de services unifiée qui offre de l’information détaillée et en temps réel sur le
rendement des services, des applications et des réseaux pour assurer une exploitation réseau
optimisée. Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une visibilité
réseau grâce à un ensemble commun de fonctions d’analyse et de rapports orientées services
qui favorisent également la collaboration avec les flux de travail orientés équipe.
Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une approche unifiée de
gestion de la prestation des services, ce qui permet aux clients d’optimiser la prestation des
services, de protéger la performance des applications réseau et de simplifier les opérations.
3
Fonctionnalités de sécurité évaluées
La liste complète des fonctionnalités de sécurité évaluées pour le produit nGenius Service
Assurance Solution V4.7 MR2 se trouve à la section 1.5.3 de la cible de sécurité (ST).
4
Cible de sécurité
La ST associée au présent rapport de certification est définie comme suit :
Titre :
NetScout Systems, Inc. nGenius® InfiniStream (V4.7 MR2), nGenius®
Performance Manager (V4.7 MR2), and nGenius® K2 (V4.7 MR2) Security Target
Version : 14.0
Date :
5
6 avril 2010
Conformité aux Critères communs
L’évaluation a été réalisée selon la Méthodologie d’évaluation commune pour la sécurité des
technologies de l’information, version 3.1, révision 2, afin d’assurer la conformité avec les
Critères communs pour l’évaluation de la sécurité des technologies de l’information,
version 3.1, révision 2.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 3 de 12 -
Le produit nGenius Service Assurance Solution V4.7 MR2 est :
a. conforme à la partie 2 des Critères communs, avec les exigences de sécurité fonctionnelles
basées uniquement sur les composants fonctionnels de la partie 2;
b. conforme à la partie 3 des Critères communs, sachant que ses exigences d’assurance en
matière de sécurité ont été tirées uniquement des exigences d’assurance de la partie 3;
c. conforme au niveau EAL 3 augmenté des Critères communs, contenant toutes les exigences
de sécurité d’assurance du niveau EAL 3, ainsi que l’augmentation suivante : ALC_FLR.1 Correction d’anomalies élémentaire.
6
Politiques de sécurité
Le produit nGenius Service Assurance Solution V4.7 MR2 applique une politique de contrôle
des accès axée sur les rôles pour l’accès des utilisateurs au système, ainsi qu’une politique de
contrôle de flux d’information pour l’information liée aux réseaux et aux systèmes contrôlés.
Des détails sur ces politiques de sécurité se trouvent à la section 6 de la ST.
De plus, le produit nGenius Service Assurance Solution V4.7 MR2 applique des politiques de
vérification de sécurité, de protection des données des utilisateurs, d’identification et
d’authentification, et de gestion de la sécurité. Davantage de détails sur ces politiques de
sécurité sont donnés à la section 6 de la ST.
7
Hypothèses et clarification de la portée
Les utilisateurs du produit nGenius Service Assurance Solution V4.7 MR2 devraient tenir
compte des hypothèses formulées au sujet de son utilisation et des paramètres
environnementaux requis pour l’installation du produit et son environnement opérationnel. Cela
permettra d’utiliser la TOE de manière adéquate et sûre.
7.1
Hypothèses sur l’utilisation sûre
Les hypothèses sur l’utilisation sûre ci-dessous figurent dans la ST :
•
L’administrateur installera et configurera la TOE en fonction du guide destiné aux
administrateurs et des politiques de sécurité organisationnelles particulières.
•
Les administrateurs ne sont pas hostiles et respectent toutes les instructions formulées à
leur intention. L’administration est adéquate et continuelle.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 4 de 12 -
7.2
Hypothèses liées à l’environnement
Les hypothèses liées à l’environnement ci-dessous figurent dans la ST :
•
La TOE sera située dans un environnement doté de capacités de sécurité physique,
d’alimentation sans interruption et de contrôle de la température nécessaires pour
assurer un fonctionnement fiable.
•
La TOE sera située derrière un coupe-feu, et le routeur contiendra une liste de contrôle
d’accès (LCA) entre la TOE et le reste du réseau aux fins de sécurité du réseau.
•
Un réseau sera en place pour prendre en charge la communication entre les composants
distribués de la TOE. Le réseau fonctionne adéquatement.
7.3
Éclaircissement de la portée
Le produit nGenius® Service Assurance Solution V4.7 MR2 a été conçu pour une utilisation
dans un environnement d’entreprise structuré. Il ne peut empêcher des administrateurs autorisés
de configurer la TOE de façon négligente et, ainsi, de compromettre la sécurité de la TOE.
Le produit nGenius Service Assurance Solution V4.7 MR2 assure un niveau de protection qui
convient à une communauté d’utilisateurs présumée non hostile et bien gérée. Bien qu’il soit
conçu pour protéger cette communauté d’utilisateurs contre les tentatives involontaires ou
occasionnelles de commettre une infraction de sécurité, il n’est pas conçu pour contrer les
tentatives résolues par des attaquants hostiles et bien financés qui emploient des techniques
sophistiquées à l’intérieur de la zone physique.
Bien que les guides d’utilisation offrent des conseils appropriés pour sécuriser l’environnement
opérationnel du produit, les administrateurs du produit doivent s’assurer que les réseaux et les
systèmes sur lesquels sera installé le produit ou auxquels sera connecté le produit sont
suffisamment sécurisés.
8
Information sur l’architecture
La TOE est l’ensemble de composants logiciels pour le produit nGenius Service Assurance
Solution V4.7 MR2. Elle se compose des éléments suivants :
•
nGenius InfiniStream. L’application InfiniStream est une plateforme de saisie
continuelle qui enregistre les détails du trafic d’entreprise au niveau des paquets,
obtenus grâce au contrôle des liaisons réseau. Le composant InfiniStream comprend les
sous-systèmes suivants :
o Le sous-système de configuration et d’administration sert à configurer au départ
l’application InfiniStream afin qu’elle accepte les communications du
composant Performance Manager.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 5 de 12 -
o Le sous-système NS-Probe interagit avec le sous-sytème PM-Core sur le
composant Performance Manager afin de recevoir, maintenir et mettre en
application les paramètres de sécurité sur l’application InfiniStream.
o Le sous-système NS-Network est un pilote réseau personnalisé qui contrôle les
cartes réseau de l’application InfiniStream.
•
nGenius Performance Manager. Le composant Performance Manager est un produit
de gestion de l’interface graphique (GUI) qui sert à contrôler et à surveiller les
opérations d’une ou de plusieurs plateformes InfiniStream ainsi qu’à analyser les
données saisies. Ce composant est accessible par l’intermédiaire d’un poste de travail
distant au moyen du protocole HTTPS et offre les fonctionnalités de gestion des
utilisateurs, de gestion des attributs de sécurité, de protection des données des
utilisateurs et d’audit. Le composant Performance Manager comprend les sous-systèmes
suivants :
o Le sous-système GUI présente l’interface HTML Java aux utilisateurs externes
qui utilisent un navigateur et un applet pour interagir avec la TOE aux fins
d’administration et d’analyse des données.
o Le sous-système PM-core fournit les fonctions de démarrage et d’arrêt de la
TOE ainsi que les capacités d’analyse de base du composant Performance
Manager. Il permet également la communication avec tout autre dispositif
InfiniStream configuré.
o Le sous-système Security framework met en application les fonctions de sécurité
d’identification et d’authentification de la TOE, y compris l’authentification des
mots de passe, l’identification des utilisateurs, l’association des sujets au rôle qui
leur a été attribué et d’autres attributs.
o Le sous-système K2 est une option réglementée que les utilisateurs finaux
peuvent acheter, puis activer. Il fournit des capacités d’analyse de données
spécialisées pour des marchés particuliers et se connecte à l’architecture du
composant Performance Manager.
9
Configuration évaluée
La configuration évaluée comprend les logiciels suivants :
•
nGenius InfiniStream Version 4.70.603;
•
nGenius Performance Manager Version 4.70.352;
•
nGenius K2 Version 4.70.352.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 6 de 12 -
La configuration évaluée pour le produit nGenius Service Assurance Solution V4.7 MR2
comprend les attributs suivants :
•
L’identification et l’authentification sont effectuées localement par la TOE.
•
Le composant Performance Manager / K2 est installé comme un serveur autonome.
•
La fonctionnalité SNMPv3 de l’environnement opérationnel sert de canal entre le
composant Performance Manager / K2 et les instances individuelles de l’application
InfiniStream.
•
Les composants optionnels suivants du produit sont installés : nGenius NewsStand for
Remote Servers, nGenius Command Line Interface (CLI), nGenius Command Line
Administrator (CLA), nGenius Common Data Export (CDE), Command Line Device
Tools, Sniffer Analysis et Standby Server.
•
Le paramètre de configuration serviceManager.userAccountLockup. est configuré
à True afin de forcer le verrouillage des comptes pendant une certaine période de temps
si le nombre configuré d’échecs consécutifs d’authentification est atteint.
•
L’option Change Config Server Address dans l’application InfiniStream est configurée à
l’adresse IP du composant Managing Performance Manager, ce qui exige
l’authentification du composant Performance Manager. D’après la procédure, il est
interdit aux administrateurs d’utiliser la console locale InfiniStream, sauf pour
configurer l’option Change Config Server Address et la liste d’accès.
•
L’option HTTPS/SSL est activée sur la plateforme du composant Performance
Manager / K2, et HTTPS est utilisé pour toutes les connexions des utilisateurs distants
au composant Performance Manager / K2. L’environnement opérationnel fournit
l’option HTTPS/SSL et est hors de la portée de la TOE qui fait l’objet de la présente
évaluation.
•
La fonction Access List Security est configurée sur toutes les instances de l’application
InfiniStream de manière à limiter les systèmes distants qui pourraient accéder aux
instances de l’application.
10 Documentation
Les principaux documents que NetScout Systems, Inc. fournit à l’utilisateur sont les suivants :
•
Common Criteria Supplement for nGenius® InfiniStream® (v4.7 MR2, Patch Build
603) and nGenius® Performance Manager (v4.7 MR2, Patch Build 352);
•
nGenius InfiniStream Hardware Installation and Administration Guide;
•
nGenius Performance Manager Installation Guide;
•
nGenius Performance Manager Online Help version 4.7 MR2.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 7 de 12 -
11 Activités d’analyse et d’évaluation
Les activités d’analyse et d’évaluation ont consisté en une évaluation structurée du produit
nGenius Service Assurance Solution V4.7 MR2, notamment des éléments suivants :
Développement : Les évaluateurs ont analysé les spécifications fonctionnelles et la
documentation de conception du produit nGenius Service Assurance Solution V4.7 MR2.
Ils ont déterminé que la conception décrit de manière exacte et complète les interfaces des
fonctionnalités de sécurité de la TOE (TSF) et les sous-systèmes TSF, de même que le
processus des TSF lié à la mise en œuvre des exigences fonctionnelles de sécurité (SFR). Ils ont
analysé la description de l’architecture de sécurité et déterminé que le processus d’initialisation
est sécurisé et que les fonctions de sécurité sont protégées contre le trafiquage et les
contournements. De plus, ils ont indépendamment vérifié que les renvois dans les documents de
conception sont corrects.
Guides : Les évaluateurs ont examiné les guides d’utilisation préparatoires et opérationnels du
produit nGenius Service Assurance Solution V4.7 MR2 et ont déterminé qu’ils décrivent
suffisamment en détail et sans ambiguïté la façon de transformer de manière sûre la TOE en
configuration évaluée et la manière d’utiliser et de gérer le produit. Ils ont examiné et testé les
guides d’utilisation préparatoires et opérationnels et ont déterminé qu’ils sont complets et
suffisamment détaillés pour assurer une configuration sûre.
Support au cycle de vie : Les évaluateurs ont analysé le système de gestion de la configuration
du produit nGenius Service Assurance Solution V4.7 MR2 et la documentation connexe. Ils ont
constaté que les éléments de configuration du produit étaient clairement indiqués et que les
mesures de contrôle d’accès, tels qu’ils sont décrits dans la documentation sur la gestion de la
configuration, sont efficaces pour prévenir l’accès non autorisé aux éléments de configuration.
Pendant la visite du site, le système de gestion de la configuration du développeur a également
été observé, et les évaluateurs l’ont jugé évolué et bien développé.
Les évaluateurs ont examiné les procédures de sécurité de développement au cours d’une visite
et ont déterminé que les mesures de sécurité de l’environnement de développement étaient
suffisamment détaillées pour assurer la confidentialité et l’intégrité de la conception et de la
mise en œuvre du produit nGenius Service Assurance Solution V4.7 MR2. Les évaluateurs ont
confirmé que le développeur a utilisé un modèle documenté du cycle de vie de la TOE et que le
modèle de cycle de vie assure le contrôle nécessaire du développement et de la maintenance de
la TOE.
Les évaluateurs ont examiné la documentation de livraison et ont établi qu’elle décrit toutes les
procédures nécessaires pour préserver l’intégrité du produit quand il est distribué aux
utilisateurs.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 8 de 12 -
Les évaluateurs ont examiné les procédures de correction d’anomalies utilisées par NetScout
Systems, Inc. pour le produit nGenius Service Assurance Solution V4.7 MR2. Lors d’une visite
du site, ils ont également examiné la preuve générée par le respect des procédures. Ils ont
conclu que celles-ci étaient adéquates et permettaient de pister et de corriger les anomalies de
sécurité et de communiquer cette information, et les corrections pertinentes, aux utilisateurs du
produit.
Estimation des vulnérabilités : Les évaluateurs ont effectué une analyse de vulnérabilité
indépendante du produit. De plus, les évaluateurs ont effectué un examen des bases de données
des vulnérabilités du domaine public ainsi qu’une recherche de tous les résultats visés de
l’évaluation. Ils ont relevé des vulnérabilités qui pouvaient faire l’objet de tests dans
l’environnement opérationnel du produit nGenius Service Assurance Solution V4.7 MR2.
Toutes ces activités d’évaluation ont obtenu la cote RÉUSSITE.
12 Essais des produits de sécurité des TI
Les tests au niveau EAL 3 comportent les étapes suivantes : évaluation des tests faits par le
développeur, exécution de tests fonctionnels indépendants et exécution de tests de pénétration.
12.1 Évaluation des tests réalisés par le développeur
Les évaluateurs ont vérifié que le développeur avait satisfait à ses responsabilités en matière de
tests en examinant les preuves connexes ainsi que les résultats consignés dans le RTE2.
Les évaluateurs ont analysé la couverture et la profondeur des tests du développeur et ont
conclu qu’elles sont complètes et précises. La correspondance entre les tests décrits dans la
documentation sur les tests du développeur et les spécifications fonctionnelles et la conception
de haut niveau a été achevée.
12.2 Tests fonctionnels indépendants
Pendant l’évaluation, les évaluateurs ont élaboré des tests fonctionnels afin d’étayer les tests du
développeur en examinant la documentation de conception et les guides, en examinant la
documentation des tests du développeur, en répétant un sous-ensemble des procédures de test
du développeur et en créant des scénarios de test allant au-delà des tests réalisés par le
développeur.
2
Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive au
propriétaire ou à l’évaluateur, et qui n’est pas rendu public.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 9 de 12 -
Tous les tests ont été planifiés et documentés de manière suffisamment détaillée pour permettre
la reproductibilité des procédures d’essai et des résultats. Cette approche de couverture des tests
a permis d’obtenir la liste ci-dessous des objectifs de test de DOMIS IT Security Laboratory :
a. Réexécution des tests de développeur : Cet objectif de test vise à répéter les tests de
développeur. L’évaluateur a exécuté un tiers des tests du développeur afin d’obtenir
l’assurance à l’égard des tests réalisés par le développeur. L’évaluateur a choisi un sousensemble de tests qui ont permis de mettre à l’essai toutes les interfaces de sécurité de la
TOE.
b. Gestion de la sécurité : Cet objectif de test vise à confirmer que les paramètres de sécurité
peuvent être gérés de manière sécurisée en répétant un sous-ensemble des tests réalisés par
le développeur ainsi que certains tests indépendants qui mettent à l’essai les interfaces de
gestion de sécurité.
c. Protection des données des utilisateurs : Cet objectif de test vise à confirmer la capacité de
la TOE de protéger les données des utilisateurs en menant des tests sur les fonctions
d’application Role Based Access Control et de Slice Size.
d. Vérification : Cet objectif de test vise à s’assurer que les besoins en journalisation des
événements liés à l’accès utilisateur sont satisfaits, en vérifiant les journaux saisis et les
détails des événements de la manière spécifiée dans la ST.
e. Identification et authentification : L’évaluateur a vérifié le fonctionnement de la fonction
d’identification et d’authentification, notamment en effectuant des tests pour vérifier le
fonctionnement approprié de la fonction configurable de verrouillage, de la période
configurable de temporisation et de l’application de la complexité des mots de passe.
12.3 Test de pénétration indépendant
Après l’examen indépendant des bases de données sur les vulnérabilités du domaine public et
de tous les résultats de l’évaluation, les évaluateurs ont effectué des tests indépendants et
limités de pénétration. Les tests de pénétration concernaient principalement ce qui suit :
•
des tests de reconnaissance et d’exploration afin d’observer le comportement de
l’application, y compris l’inspection des scripts côté client et des paquets HTTP;
•
l’utilisation d’outils automatisés de balayage des vulnérabilités en vue de découvrir des
vulnérabilités possibles des couches réseau, plateforme et application;
•
l’utilisation d’outils d’injection SQL automatisée afin de tester les formulaires
d’ouverture de session;
•
la saisie et l’analyse des clés de session afin de déterminer le degré de susceptibilité à la
prédiction;
•
les tentatives de pénétration liées à la manutention des variables côté client.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 10 de 12 -
Les tests de pénétration indépendants n’ont permis de découvrir aucune vulnérabilité
exploitable dans l’environnement d’exploitation prévu.
Exécution des tests
Le produit nGenius Service Assurance Solution V4.7 MR2 a fait l’objet d’une série complète
de tests fonctionnels et de pénétration indépendants, formellement documentés. Les tests ont eu
lieu dans les installations EEPSTI (Évaluation et essais des produits de sécurité des
technologies de l’information) à DOMUS IT Security Laboratory. L’organisme de certification
du SCCC a assisté à une partie des tests indépendants. Les activités détaillées de test, y compris
les configurations, les procédures, les scénarios de test, les résultats prévus et les résultats
observés, sont documentés dans un document de résultats de test distinct.
12.4 Résultats des tests
Les tests réalisés par le développeur et les tests fonctionnels indépendants ont produit les
résultats prévus, ce qui donne l’assurance que le produit nGenius Service Assurance Solution
V4.7 MR2 se comporte de la manière spécifiée dans la ST, les spécifications fonctionnelles et
la conception de la TOE.
13 Résultats de l’évaluation
Cette évaluation a constitué la base du niveau d’assurance EAL 3 +. Toutes les activités
d’évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves
contenues dans le RTE.
14 Commentaires, observations et recommandations de l’évaluateur
Le produit nGenius Service Assurance Solution V4.7 MR2 offre une solution robuste
d’assurance des services réseau appuyée par des fonctionnalités de sécurité avantageuses. On
recommande aux utilisateurs qui veulent déployer la configuration évaluée suivent les guides
fournis dans le document Common Criteria Supplement.
15 Acronymes, abréviations et sigles
Acronymes, abréviations et
sigles
Description
CDE
CECC
CLA
CLI
EAL
EEPSTI
Common Data Export
Centre d’évaluation selon les Critères communs
Command Line Administrator
Command Line Interface
Niveau d’assurance de l’évaluation
Évaluation et essais de produits de sécurité des
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 11 de 12 -
Acronymes, abréviations et
sigles
GUI
HTML
HTTPS
LCA
LPC
MR
PALCAN
RTE
SCCC
SFR
SNMP
SSL
ST
TI
TOE
TSF
Description
technologies de l’information
Interface graphique
Langage de balisage hypertexte
Secure Hyper Text Transfer Protocol
Liste de contrôle d’accès
Liste des produits certifiés
Version de maintenance
Programme d’accréditation des laboratoires Canada
Rapport technique d’évaluation
Schéma canadien d’évaluation et de certification selon
les Critères communs
Exigence fonctionnelle de sécurité
Simple Network Management Protocol
Secure Sockets Layer
Cible de sécurité
Technologie de l’information
Cible d’évaluation
Fonctionnalité de sécurité de la TOE
16 Références
Voici tous les documents de référence utilisés pour la compilation du présent rapport :
a.
SCCC, Publication n° 4, Contrôle technique, version 1.1, août 2005.
b.
Critères communs pour l’évaluation de la sécurité des technologies de l’information,
version 3.1, révision 2, septembre 2007.
c.
Méthodologie d’évaluation commune pour la sécurité des technologies de l’information,
version 3.1, révision 2, septembre 2007.
d.
NetScout Systems, Inc. nGenius® InfiniStream® (V4.7 MR2), nGenius® Performance
Manager (V4.7 MR2), and nGenius® K2 (V4.7 MR2) Security Target, v14.0, 6 avril
2010.
e.
NetScout Systems, Inc. Evaluation Technical Report, v1.0, 28 avril 2010.
___________________________________________________________________________
Version 1.0
4 juin 2010
- Page 12 de 11 -

(V4.7 MR2), nGenius® Performance Manager (V4.7 MR2)

Transcription

Documents pareils

Bon de commande - Club MR2 France

L`ASSOCIATION AGRICULTURE ET TOURISME EN LOT

Notices techniques

production fermière - Chambre d`Agriculture des Deux

toyota mr / mr2

solivia 30 tl

master langues etrangeres appliquees au commerce international

Q-Cells PRO G4 265

EXEMPLE DE PANNEAUX SOLAIRES