(V4.7 MR2), nGenius® Performance Manager (V4.7 MR2)
Transcription
(V4.7 MR2), nGenius® Performance Manager (V4.7 MR2)
Rapport de certification Évaluation EAL 3 + du produit NetScout nGenius® InfiniStream® (V4.7 MR2), nGenius® Performance Manager (V4.7 MR2), and nGenius® K2 (V4.7 MR2) Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d’organisme de certification dans le cadre du Schéma canadien d’évaluation et de certification selon les Critères communs © Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2010 Numéro de document : Version : Date : Pagination : 383-4-109-CR 1.0 4 juin 2010 i à iii, 1 à 12 Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 AVERTISSEMENT Le produit TI décrit dans le présent rapport et sur le certificat afférent a été évalué selon la Méthodologie d’évaluation commune des produits de sécurité TI, version 3.1, révision 2, à des fins de conformité aux Critères communs d’évaluation de la sécurité des TI, version 3.1, révision 2, par un centre d’évaluation approuvé, établi dans le cadre du Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC). Ce rapport et le certificat afférent valent uniquement pour la version indiquée du produit, dans la configuration qui a été évaluée. L’évaluation a été effectuée conformément aux dispositions du SCCC, et les conclusions formulées dans le rapport technique d’évaluation correspondent aux éléments présentés en preuve. Le présent rapport et le certificat afférent ne constituent pas une homologation du produit TI par le Centre de la sécurité des télécommunications Canada (CSTC) ou par toute autre organisation qui reconnaît ou entérine ce rapport et le certificat afférent, et ne signifie pas, ni implicitement ni explicitement, que le produit TI est garanti par le CSTC ou par toute autre organisation qui entérine ce rapport et le certificat afférent. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page i de iii - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 AVANT-PROPOS Le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC) offre un service d’évaluation par une tierce partie en vue de déterminer la fiabilité des produits de sécurité des TI. Les évaluations sont réalisées par un centre d’évaluation selon les Critères communs (CECC) sous la direction de l’organisme de certification du SCCC, ce dernier étant géré par le Centre de la sécurité des télécommunications Canada (CSTC). Un CECC est un laboratoire commercial qui a été approuvé par l’organisme de certification du SCCC en vue d’effectuer des évaluations selon les Critères communs. Une des exigences principales, à cette fin, est l’obtention de l’accréditation selon les prescriptions du Guide ISO/IEC 17025:2005, Prescriptions générales concernant la compétence des laboratoires d’étalonnage et d’essais. L’accréditation est obtenue dans le cadre du Programme d’accréditation des laboratoires Canada (PALCAN), régi par le Conseil canadien des normes. Le CECC qui a effectué cette évaluation est DOMUS IT Security Laboratory situé à Ottawa (Canada). En décernant un certificat Critères communs, l’organisme de certification affirme que le produit est conforme aux exigences de sécurité précisées dans la cible de sécurité connexe. Une cible de sécurité est un document qui comporte des spécifications requises, définit les activités d’évaluation et en établit la portée. L’utilisateur d’un produit de TI certifié devrait examiner la cible de sécurité, en plus du rapport de certification, pour comprendre les hypothèses formulées dans le cadre de l’évaluation, l’environnement d’exploitation prévu pour le produit, ses exigences de sécurité et le niveau de fiabilité (qui correspond au niveau d’assurance de l’évaluation) auquel le produit satisfait aux exigences de sécurité. Le présent rapport de certification accompagne le certificat d’évaluation du produit daté du 4 juin 2010, ainsi que la cible de sécurité indiquée à la section 4 du présent rapport. Le rapport de certification, le certificat d’évaluation du produit et la cible de sécurité sont affichés sur la liste des produits certifiés (LPC) selon les Critères communs et sur le portail des Critères communs (site Web officiel du programme des Critères communs). Le présent rapport de certification fait référence aux marques de commerce déposées suivantes : • NetScout, nGenius et InfiniStream sont des marques déposées de NetScout Systems, Inc. Toute reproduction du présent rapport est autorisée pourvu qu’il soit reproduit dans sa totalité. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page ii de iii - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 TABLE DES MATIÈRES AVERTISSEMENT .................................................................................................................................... i AVANT-PROPOS ...................................................................................................................................... ii Sommaire .....................................................................................................................................................1 1 Définition de la cible d’évaluation.....................................................................................................3 2 Description de la TOE ........................................................................................................................3 3 Fonctionnalités de sécurité évaluées..................................................................................................3 4 Cible de sécurité ..................................................................................................................................3 5 Conformité aux Critères communs ...................................................................................................3 6 Politiques de sécurité ..........................................................................................................................4 7 Hypothèses et clarification de la portée ............................................................................................4 7.1 7.2 7.3 HYPOTHÈSES SUR L’UTILISATION SÛRE ................................................................................ 4 HYPOTHÈSES LIÉES À L’ENVIRONNEMENT ............................................................................ 4 ÉCLAIRCISSEMENT DE LA PORTÉE ......................................................................................... 5 8 Information sur l’architecture...........................................................................................................5 9 Configuration évaluée ........................................................................................................................6 10 Documentation ....................................................................................................................................7 11 Activités d’analyse et d’évaluation....................................................................................................8 12 Essais des produits de sécurité des TI ...............................................................................................9 12.1 12.2 12.3 12.4 12.5 ÉVALUATION DES TESTS REALISES PAR LE DEVELOPPEUR ................................................... 9 TESTS FONCTIONNELS INDEPENDANTS ................................................................................. 9 TEST DE PENETRATION INDEPENDANT ................................................................................ 10 EXECUTION DES TESTS ........................................................................................................ 11 RESULTATS DES TESTS ........................................................................................................ 11 13 Résultats de l’évaluation ..................................................................................................................11 14 Commentaires, observations et recommandations de l’évaluateur..............................................11 15 Acronymes, abréviations et sigles....................................................................................................11 16 Références..........................................................................................................................................12 ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page iii de iii - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Sommaire Le produit nGenius® InfiniStream® Version 4.7 MR2, nGenius Performance Manager Version 4.7 MR2, and nGenius K2 Version 4.7 MR2 (désigné ci-après sous le nom de nGenius Service Assurance Solution V4.7 MR2) de NetScout Systems, Inc. est la cible d’évaluation de la présente évaluation (EAL) 3 augmentée. Le produit nGenius Service Assurance Solution V4.7 MR2 est une plateforme de gestion de la prestation de services unifiée qui offre de l’information détaillée et en temps réel sur le rendement des services, des applications et des réseaux pour assurer une exploitation réseau optimisée. Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une visibilité réseau grâce à un ensemble commun de fonctions d’analyse et de rapports orientés services qui favorisent également la collaboration avec les flux de travail orientés équipe. Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une approche unifiée de gestion de la prestation des services, ce qui permet aux clients d’optimiser la prestation des services, de protéger la performance des applications réseau et de simplifier les opérations. DOMUS IT Security Laboratory est le CECC qui a réalisé cette évaluation. L’évaluation s’est terminée le 28 avril 2010 et elle a été effectuée selon les règles prescrites par le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC). La portée de l’évaluation est définie dans la cible de sécurité, laquelle décrit les hypothèses formulées dans le cadre de l’évaluation, l’environnement projeté du produit Genius Service Assurance Solution V4.7 MR2, les exigences de sécurité ainsi que le niveau de confiance (niveau d’assurance de l’évaluation) auquel le produit est destiné afin de satisfaire aux exigences de sécurité. On recommande aux utilisateurs du produit de s’assurer que leur environnement d’exploitation est conforme à celui qui est défini dans la cible de sécurité et de tenir compte des observations et des recommandations énoncées dans le présent rapport de certification. Les résultats documentés dans le rapport technique d’évaluation (RTE)1 du produit indiquent que celui-ci répond aux exigences d’assurance EAL 3 augmentée pour les fonctionnalités de sécurité qui ont été évaluées. Cette évaluation a été réalisée selon la Méthodologie commune pour la sécurité des technologies de l’information, version 3.1, révision 2, afin d’en déterminer la conformité aux Critères communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1, révision 2. L’augmentation prise en compte lors de l’évaluation est la suivante : ALC_FLR.1 – Correction d’anomalies élémentaire. 1 Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive au propriétaire ou à l’évaluateur, et qui n’est pas rendu public. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 1 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Le Centre de la sécurité des télécommunications Canada, à titre d’organisme de certification selon le SCCC, affirme que l’évaluation du produit nGenius Service Assurance Solution V4.7 MR2 satisfait à toutes les conditions de l’Arrangement relatif à la reconnaissance des certificats liés aux Critères communs et que le produit figurera sur la liste des produits certifiés (LPC) selon les Critères communs et sur le portail des Critères communs (site Web officiel du programme des Critères communs). ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 2 de 12 - Rapport de certification du SCCC 1 NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Définition de la cible d’évaluation Le produit nGenius® InfiniStream® Version 4.7 MR2, nGenius Performance Manager Version 4.7 MR2, and nGenius K2 Version 4.7 MR2 (désigné ci-après sous le nom de nGenius Service Assurance Solution V4.7 MR2) de NetScout Systems, Inc. est la cible d’évaluation de la présente évaluation (EAL) 3 augmentée. 2 Description de la TOE Le produit nGenius Service Assurance Solution V4.7 MR2 est une plateforme de gestion de la prestation de services unifiée qui offre de l’information détaillée et en temps réel sur le rendement des services, des applications et des réseaux pour assurer une exploitation réseau optimisée. Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une visibilité réseau grâce à un ensemble commun de fonctions d’analyse et de rapports orientées services qui favorisent également la collaboration avec les flux de travail orientés équipe. Le produit nGenius Service Assurance Solution V4.7 MR2 fournit une approche unifiée de gestion de la prestation des services, ce qui permet aux clients d’optimiser la prestation des services, de protéger la performance des applications réseau et de simplifier les opérations. 3 Fonctionnalités de sécurité évaluées La liste complète des fonctionnalités de sécurité évaluées pour le produit nGenius Service Assurance Solution V4.7 MR2 se trouve à la section 1.5.3 de la cible de sécurité (ST). 4 Cible de sécurité La ST associée au présent rapport de certification est définie comme suit : Titre : NetScout Systems, Inc. nGenius® InfiniStream (V4.7 MR2), nGenius® Performance Manager (V4.7 MR2), and nGenius® K2 (V4.7 MR2) Security Target Version : 14.0 Date : 5 6 avril 2010 Conformité aux Critères communs L’évaluation a été réalisée selon la Méthodologie d’évaluation commune pour la sécurité des technologies de l’information, version 3.1, révision 2, afin d’assurer la conformité avec les Critères communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1, révision 2. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 3 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Le produit nGenius Service Assurance Solution V4.7 MR2 est : a. conforme à la partie 2 des Critères communs, avec les exigences de sécurité fonctionnelles basées uniquement sur les composants fonctionnels de la partie 2; b. conforme à la partie 3 des Critères communs, sachant que ses exigences d’assurance en matière de sécurité ont été tirées uniquement des exigences d’assurance de la partie 3; c. conforme au niveau EAL 3 augmenté des Critères communs, contenant toutes les exigences de sécurité d’assurance du niveau EAL 3, ainsi que l’augmentation suivante : ALC_FLR.1 Correction d’anomalies élémentaire. 6 Politiques de sécurité Le produit nGenius Service Assurance Solution V4.7 MR2 applique une politique de contrôle des accès axée sur les rôles pour l’accès des utilisateurs au système, ainsi qu’une politique de contrôle de flux d’information pour l’information liée aux réseaux et aux systèmes contrôlés. Des détails sur ces politiques de sécurité se trouvent à la section 6 de la ST. De plus, le produit nGenius Service Assurance Solution V4.7 MR2 applique des politiques de vérification de sécurité, de protection des données des utilisateurs, d’identification et d’authentification, et de gestion de la sécurité. Davantage de détails sur ces politiques de sécurité sont donnés à la section 6 de la ST. 7 Hypothèses et clarification de la portée Les utilisateurs du produit nGenius Service Assurance Solution V4.7 MR2 devraient tenir compte des hypothèses formulées au sujet de son utilisation et des paramètres environnementaux requis pour l’installation du produit et son environnement opérationnel. Cela permettra d’utiliser la TOE de manière adéquate et sûre. 7.1 Hypothèses sur l’utilisation sûre Les hypothèses sur l’utilisation sûre ci-dessous figurent dans la ST : • L’administrateur installera et configurera la TOE en fonction du guide destiné aux administrateurs et des politiques de sécurité organisationnelles particulières. • Les administrateurs ne sont pas hostiles et respectent toutes les instructions formulées à leur intention. L’administration est adéquate et continuelle. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 4 de 12 - Rapport de certification du SCCC 7.2 NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Hypothèses liées à l’environnement Les hypothèses liées à l’environnement ci-dessous figurent dans la ST : • La TOE sera située dans un environnement doté de capacités de sécurité physique, d’alimentation sans interruption et de contrôle de la température nécessaires pour assurer un fonctionnement fiable. • La TOE sera située derrière un coupe-feu, et le routeur contiendra une liste de contrôle d’accès (LCA) entre la TOE et le reste du réseau aux fins de sécurité du réseau. • Un réseau sera en place pour prendre en charge la communication entre les composants distribués de la TOE. Le réseau fonctionne adéquatement. 7.3 Éclaircissement de la portée Le produit nGenius® Service Assurance Solution V4.7 MR2 a été conçu pour une utilisation dans un environnement d’entreprise structuré. Il ne peut empêcher des administrateurs autorisés de configurer la TOE de façon négligente et, ainsi, de compromettre la sécurité de la TOE. Le produit nGenius Service Assurance Solution V4.7 MR2 assure un niveau de protection qui convient à une communauté d’utilisateurs présumée non hostile et bien gérée. Bien qu’il soit conçu pour protéger cette communauté d’utilisateurs contre les tentatives involontaires ou occasionnelles de commettre une infraction de sécurité, il n’est pas conçu pour contrer les tentatives résolues par des attaquants hostiles et bien financés qui emploient des techniques sophistiquées à l’intérieur de la zone physique. Bien que les guides d’utilisation offrent des conseils appropriés pour sécuriser l’environnement opérationnel du produit, les administrateurs du produit doivent s’assurer que les réseaux et les systèmes sur lesquels sera installé le produit ou auxquels sera connecté le produit sont suffisamment sécurisés. 8 Information sur l’architecture La TOE est l’ensemble de composants logiciels pour le produit nGenius Service Assurance Solution V4.7 MR2. Elle se compose des éléments suivants : • nGenius InfiniStream. L’application InfiniStream est une plateforme de saisie continuelle qui enregistre les détails du trafic d’entreprise au niveau des paquets, obtenus grâce au contrôle des liaisons réseau. Le composant InfiniStream comprend les sous-systèmes suivants : o Le sous-système de configuration et d’administration sert à configurer au départ l’application InfiniStream afin qu’elle accepte les communications du composant Performance Manager. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 5 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 o Le sous-système NS-Probe interagit avec le sous-sytème PM-Core sur le composant Performance Manager afin de recevoir, maintenir et mettre en application les paramètres de sécurité sur l’application InfiniStream. o Le sous-système NS-Network est un pilote réseau personnalisé qui contrôle les cartes réseau de l’application InfiniStream. • nGenius Performance Manager. Le composant Performance Manager est un produit de gestion de l’interface graphique (GUI) qui sert à contrôler et à surveiller les opérations d’une ou de plusieurs plateformes InfiniStream ainsi qu’à analyser les données saisies. Ce composant est accessible par l’intermédiaire d’un poste de travail distant au moyen du protocole HTTPS et offre les fonctionnalités de gestion des utilisateurs, de gestion des attributs de sécurité, de protection des données des utilisateurs et d’audit. Le composant Performance Manager comprend les sous-systèmes suivants : o Le sous-système GUI présente l’interface HTML Java aux utilisateurs externes qui utilisent un navigateur et un applet pour interagir avec la TOE aux fins d’administration et d’analyse des données. o Le sous-système PM-core fournit les fonctions de démarrage et d’arrêt de la TOE ainsi que les capacités d’analyse de base du composant Performance Manager. Il permet également la communication avec tout autre dispositif InfiniStream configuré. o Le sous-système Security framework met en application les fonctions de sécurité d’identification et d’authentification de la TOE, y compris l’authentification des mots de passe, l’identification des utilisateurs, l’association des sujets au rôle qui leur a été attribué et d’autres attributs. o Le sous-système K2 est une option réglementée que les utilisateurs finaux peuvent acheter, puis activer. Il fournit des capacités d’analyse de données spécialisées pour des marchés particuliers et se connecte à l’architecture du composant Performance Manager. 9 Configuration évaluée La configuration évaluée comprend les logiciels suivants : • nGenius InfiniStream Version 4.70.603; • nGenius Performance Manager Version 4.70.352; • nGenius K2 Version 4.70.352. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 6 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 La configuration évaluée pour le produit nGenius Service Assurance Solution V4.7 MR2 comprend les attributs suivants : • L’identification et l’authentification sont effectuées localement par la TOE. • Le composant Performance Manager / K2 est installé comme un serveur autonome. • La fonctionnalité SNMPv3 de l’environnement opérationnel sert de canal entre le composant Performance Manager / K2 et les instances individuelles de l’application InfiniStream. • Les composants optionnels suivants du produit sont installés : nGenius NewsStand for Remote Servers, nGenius Command Line Interface (CLI), nGenius Command Line Administrator (CLA), nGenius Common Data Export (CDE), Command Line Device Tools, Sniffer Analysis et Standby Server. • Le paramètre de configuration serviceManager.userAccountLockup. est configuré à True afin de forcer le verrouillage des comptes pendant une certaine période de temps si le nombre configuré d’échecs consécutifs d’authentification est atteint. • L’option Change Config Server Address dans l’application InfiniStream est configurée à l’adresse IP du composant Managing Performance Manager, ce qui exige l’authentification du composant Performance Manager. D’après la procédure, il est interdit aux administrateurs d’utiliser la console locale InfiniStream, sauf pour configurer l’option Change Config Server Address et la liste d’accès. • L’option HTTPS/SSL est activée sur la plateforme du composant Performance Manager / K2, et HTTPS est utilisé pour toutes les connexions des utilisateurs distants au composant Performance Manager / K2. L’environnement opérationnel fournit l’option HTTPS/SSL et est hors de la portée de la TOE qui fait l’objet de la présente évaluation. • La fonction Access List Security est configurée sur toutes les instances de l’application InfiniStream de manière à limiter les systèmes distants qui pourraient accéder aux instances de l’application. 10 Documentation Les principaux documents que NetScout Systems, Inc. fournit à l’utilisateur sont les suivants : • Common Criteria Supplement for nGenius® InfiniStream® (v4.7 MR2, Patch Build 603) and nGenius® Performance Manager (v4.7 MR2, Patch Build 352); • nGenius InfiniStream Hardware Installation and Administration Guide; • nGenius Performance Manager Installation Guide; • nGenius Performance Manager Online Help version 4.7 MR2. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 7 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 11 Activités d’analyse et d’évaluation Les activités d’analyse et d’évaluation ont consisté en une évaluation structurée du produit nGenius Service Assurance Solution V4.7 MR2, notamment des éléments suivants : Développement : Les évaluateurs ont analysé les spécifications fonctionnelles et la documentation de conception du produit nGenius Service Assurance Solution V4.7 MR2. Ils ont déterminé que la conception décrit de manière exacte et complète les interfaces des fonctionnalités de sécurité de la TOE (TSF) et les sous-systèmes TSF, de même que le processus des TSF lié à la mise en œuvre des exigences fonctionnelles de sécurité (SFR). Ils ont analysé la description de l’architecture de sécurité et déterminé que le processus d’initialisation est sécurisé et que les fonctions de sécurité sont protégées contre le trafiquage et les contournements. De plus, ils ont indépendamment vérifié que les renvois dans les documents de conception sont corrects. Guides : Les évaluateurs ont examiné les guides d’utilisation préparatoires et opérationnels du produit nGenius Service Assurance Solution V4.7 MR2 et ont déterminé qu’ils décrivent suffisamment en détail et sans ambiguïté la façon de transformer de manière sûre la TOE en configuration évaluée et la manière d’utiliser et de gérer le produit. Ils ont examiné et testé les guides d’utilisation préparatoires et opérationnels et ont déterminé qu’ils sont complets et suffisamment détaillés pour assurer une configuration sûre. Support au cycle de vie : Les évaluateurs ont analysé le système de gestion de la configuration du produit nGenius Service Assurance Solution V4.7 MR2 et la documentation connexe. Ils ont constaté que les éléments de configuration du produit étaient clairement indiqués et que les mesures de contrôle d’accès, tels qu’ils sont décrits dans la documentation sur la gestion de la configuration, sont efficaces pour prévenir l’accès non autorisé aux éléments de configuration. Pendant la visite du site, le système de gestion de la configuration du développeur a également été observé, et les évaluateurs l’ont jugé évolué et bien développé. Les évaluateurs ont examiné les procédures de sécurité de développement au cours d’une visite et ont déterminé que les mesures de sécurité de l’environnement de développement étaient suffisamment détaillées pour assurer la confidentialité et l’intégrité de la conception et de la mise en œuvre du produit nGenius Service Assurance Solution V4.7 MR2. Les évaluateurs ont confirmé que le développeur a utilisé un modèle documenté du cycle de vie de la TOE et que le modèle de cycle de vie assure le contrôle nécessaire du développement et de la maintenance de la TOE. Les évaluateurs ont examiné la documentation de livraison et ont établi qu’elle décrit toutes les procédures nécessaires pour préserver l’intégrité du produit quand il est distribué aux utilisateurs. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 8 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Les évaluateurs ont examiné les procédures de correction d’anomalies utilisées par NetScout Systems, Inc. pour le produit nGenius Service Assurance Solution V4.7 MR2. Lors d’une visite du site, ils ont également examiné la preuve générée par le respect des procédures. Ils ont conclu que celles-ci étaient adéquates et permettaient de pister et de corriger les anomalies de sécurité et de communiquer cette information, et les corrections pertinentes, aux utilisateurs du produit. Estimation des vulnérabilités : Les évaluateurs ont effectué une analyse de vulnérabilité indépendante du produit. De plus, les évaluateurs ont effectué un examen des bases de données des vulnérabilités du domaine public ainsi qu’une recherche de tous les résultats visés de l’évaluation. Ils ont relevé des vulnérabilités qui pouvaient faire l’objet de tests dans l’environnement opérationnel du produit nGenius Service Assurance Solution V4.7 MR2. Toutes ces activités d’évaluation ont obtenu la cote RÉUSSITE. 12 Essais des produits de sécurité des TI Les tests au niveau EAL 3 comportent les étapes suivantes : évaluation des tests faits par le développeur, exécution de tests fonctionnels indépendants et exécution de tests de pénétration. 12.1 Évaluation des tests réalisés par le développeur Les évaluateurs ont vérifié que le développeur avait satisfait à ses responsabilités en matière de tests en examinant les preuves connexes ainsi que les résultats consignés dans le RTE2. Les évaluateurs ont analysé la couverture et la profondeur des tests du développeur et ont conclu qu’elles sont complètes et précises. La correspondance entre les tests décrits dans la documentation sur les tests du développeur et les spécifications fonctionnelles et la conception de haut niveau a été achevée. 12.2 Tests fonctionnels indépendants Pendant l’évaluation, les évaluateurs ont élaboré des tests fonctionnels afin d’étayer les tests du développeur en examinant la documentation de conception et les guides, en examinant la documentation des tests du développeur, en répétant un sous-ensemble des procédures de test du développeur et en créant des scénarios de test allant au-delà des tests réalisés par le développeur. 2 Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive au propriétaire ou à l’évaluateur, et qui n’est pas rendu public. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 9 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Tous les tests ont été planifiés et documentés de manière suffisamment détaillée pour permettre la reproductibilité des procédures d’essai et des résultats. Cette approche de couverture des tests a permis d’obtenir la liste ci-dessous des objectifs de test de DOMIS IT Security Laboratory : a. Réexécution des tests de développeur : Cet objectif de test vise à répéter les tests de développeur. L’évaluateur a exécuté un tiers des tests du développeur afin d’obtenir l’assurance à l’égard des tests réalisés par le développeur. L’évaluateur a choisi un sousensemble de tests qui ont permis de mettre à l’essai toutes les interfaces de sécurité de la TOE. b. Gestion de la sécurité : Cet objectif de test vise à confirmer que les paramètres de sécurité peuvent être gérés de manière sécurisée en répétant un sous-ensemble des tests réalisés par le développeur ainsi que certains tests indépendants qui mettent à l’essai les interfaces de gestion de sécurité. c. Protection des données des utilisateurs : Cet objectif de test vise à confirmer la capacité de la TOE de protéger les données des utilisateurs en menant des tests sur les fonctions d’application Role Based Access Control et de Slice Size. d. Vérification : Cet objectif de test vise à s’assurer que les besoins en journalisation des événements liés à l’accès utilisateur sont satisfaits, en vérifiant les journaux saisis et les détails des événements de la manière spécifiée dans la ST. e. Identification et authentification : L’évaluateur a vérifié le fonctionnement de la fonction d’identification et d’authentification, notamment en effectuant des tests pour vérifier le fonctionnement approprié de la fonction configurable de verrouillage, de la période configurable de temporisation et de l’application de la complexité des mots de passe. 12.3 Test de pénétration indépendant Après l’examen indépendant des bases de données sur les vulnérabilités du domaine public et de tous les résultats de l’évaluation, les évaluateurs ont effectué des tests indépendants et limités de pénétration. Les tests de pénétration concernaient principalement ce qui suit : • des tests de reconnaissance et d’exploration afin d’observer le comportement de l’application, y compris l’inspection des scripts côté client et des paquets HTTP; • l’utilisation d’outils automatisés de balayage des vulnérabilités en vue de découvrir des vulnérabilités possibles des couches réseau, plateforme et application; • l’utilisation d’outils d’injection SQL automatisée afin de tester les formulaires d’ouverture de session; • la saisie et l’analyse des clés de session afin de déterminer le degré de susceptibilité à la prédiction; • les tentatives de pénétration liées à la manutention des variables côté client. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 10 de 12 - Rapport de certification du SCCC NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Les tests de pénétration indépendants n’ont permis de découvrir aucune vulnérabilité exploitable dans l’environnement d’exploitation prévu. Exécution des tests Le produit nGenius Service Assurance Solution V4.7 MR2 a fait l’objet d’une série complète de tests fonctionnels et de pénétration indépendants, formellement documentés. Les tests ont eu lieu dans les installations EEPSTI (Évaluation et essais des produits de sécurité des technologies de l’information) à DOMUS IT Security Laboratory. L’organisme de certification du SCCC a assisté à une partie des tests indépendants. Les activités détaillées de test, y compris les configurations, les procédures, les scénarios de test, les résultats prévus et les résultats observés, sont documentés dans un document de résultats de test distinct. 12.4 Résultats des tests Les tests réalisés par le développeur et les tests fonctionnels indépendants ont produit les résultats prévus, ce qui donne l’assurance que le produit nGenius Service Assurance Solution V4.7 MR2 se comporte de la manière spécifiée dans la ST, les spécifications fonctionnelles et la conception de la TOE. 13 Résultats de l’évaluation Cette évaluation a constitué la base du niveau d’assurance EAL 3 +. Toutes les activités d’évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves contenues dans le RTE. 14 Commentaires, observations et recommandations de l’évaluateur Le produit nGenius Service Assurance Solution V4.7 MR2 offre une solution robuste d’assurance des services réseau appuyée par des fonctionnalités de sécurité avantageuses. On recommande aux utilisateurs qui veulent déployer la configuration évaluée suivent les guides fournis dans le document Common Criteria Supplement. 15 Acronymes, abréviations et sigles Acronymes, abréviations et sigles Description CDE CECC CLA CLI EAL EEPSTI Common Data Export Centre d’évaluation selon les Critères communs Command Line Administrator Command Line Interface Niveau d’assurance de l’évaluation Évaluation et essais de produits de sécurité des ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 11 de 12 - Rapport de certification du SCCC Acronymes, abréviations et sigles GUI HTML HTTPS LCA LPC MR PALCAN RTE SCCC SFR SNMP SSL ST TI TOE TSF NetScout Systems, Inc. nGenius Service Assurance Solution V4.7 MR2 Description technologies de l’information Interface graphique Langage de balisage hypertexte Secure Hyper Text Transfer Protocol Liste de contrôle d’accès Liste des produits certifiés Version de maintenance Programme d’accréditation des laboratoires Canada Rapport technique d’évaluation Schéma canadien d’évaluation et de certification selon les Critères communs Exigence fonctionnelle de sécurité Simple Network Management Protocol Secure Sockets Layer Cible de sécurité Technologie de l’information Cible d’évaluation Fonctionnalité de sécurité de la TOE 16 Références Voici tous les documents de référence utilisés pour la compilation du présent rapport : a. SCCC, Publication n° 4, Contrôle technique, version 1.1, août 2005. b. Critères communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1, révision 2, septembre 2007. c. Méthodologie d’évaluation commune pour la sécurité des technologies de l’information, version 3.1, révision 2, septembre 2007. d. NetScout Systems, Inc. nGenius® InfiniStream® (V4.7 MR2), nGenius® Performance Manager (V4.7 MR2), and nGenius® K2 (V4.7 MR2) Security Target, v14.0, 6 avril 2010. e. NetScout Systems, Inc. Evaluation Technical Report, v1.0, 28 avril 2010. ___________________________________________________________________________ Version 1.0 4 juin 2010 - Page 12 de 11 -