Rapport de certification: Fortinet FortiWeb 5.6



Canadian Common Criteria Scheme (CCCS)

 

Centre de la sécurité des télécommunications
Rapport de certification
selon les Critères communs

383-4-425

5 décembre 2017

v1.0

© Gouvernement du Canada
Le présent document est la propriété exclusive du gouvernement du Canada. Toute modification, diffusion à un public autre que celui visé, production, reproduction ou publication, en tout ou en partie, est strictement interdite sans l'autorisation expresse du CST.

Avant-propos

Le présent rapport de certification est un document NON CLASSIFIÉ publié avec l’autorisation du chef du Centre de la sécurité des télécommunications (CST). Les propositions de modifications doivent être envoyées au représentant des Services à la clientèle au CST par l’intermédiaire des services de sécurité des communications du ministère.

Le produit de technologies de l’information (TI) décrit dans le présent rapport de certification et sur le certificat afférent a été évalué selon la Common Methodology for Information Technology Security Evaluation, Version 3.1, Revision 4, à des fins de conformité aux Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 4, par un centre d’évaluation approuvé, établi dans le cadre du Schéma canadien lié aux Critères communs (CC). Le présent rapport et le certificat afférent valent uniquement pour la version indiquée du produit, dans la configuration qui a été évaluée. L’évaluation a été effectuée conformément aux dispositions du Schéma canadien lié aux CC, et les conclusions formulées dans le rapport technique d’évaluation correspondent aux éléments présentés en preuve. Le présent rapport et le certificat afférent ne constituent pas une homologation du produit TI par le CST ou par toute autre organisation qui reconnaît ou entérine le présent rapport et le certificat afférent, et ne signifie ni implicitement ni explicitement que le produit TI est garanti par le CST ou par toute autre organisation qui entérine le présent rapport et le certificat afférent.

Les représentants de votre ministère qui jugent que le présent rapport de certification répond à leurs besoins opérationnels et qui souhaitent, par conséquent, obtenir de plus amples renseignements peuvent communiquer avec les Services à la clientèle de la STI du CST :

Services à la clientèle de la STI
Téléphone : 613-991-7654
Courriel : itsclientservices@cse-cst.gc.ca

Aperçu

Le Schéma canadien lié aux Critères communs offre un service d’évaluation par une tierce partie en vue de déterminer la fiabilité des produits de sécurité des TI. Les évaluations sont réalisées par un centre d’évaluation selon les Critères communs (CECC) sous la direction de l’organisme de certification, ce dernier étant géré par le Centre de la sécurité des télécommunications.

Un CECC est une installation commerciale qui a obtenu l’approbation de l’organisme de certification en vue d’effectuer des évaluations selon les Critères communs. L’une des exigences principales, à cette fin, est l’obtention de l’accréditation selon les prescriptions du Guide ISO/IEC 17025:2005, Exigences générales concernant la compétence des laboratoires d’étalonnage et d’essais.

En décernant un certificat Critères communs, l’organisme de certification atteste que le produit est conforme aux exigences de sécurité précisées dans la cible de sécurité afférente. Une cible de sécurité est un document de spécification des exigences qui définit la portée des activités d’évaluation. L’utilisateur d’un produit TI certifié devrait examiner la cible de sécurité, en plus du présent rapport de certification, afin de comprendre les hypothèses formulées dans le cadre de l’évaluation, l’environnement d’exploitation prévu pour le produit, les fonctionnalités de sécurité qui ont été évaluées ainsi que les tests et les analyses qui ont été effectués par le CECC.

Le rapport de certification, le certificat d’évaluation du produit et la cible de sécurité sont affichés sur la liste des produits certifiés (LPC) dans le cadre du Schéma canadien lié aux CC et sur le portail des Critères communs (site Web officiel du projet international des Critères communs).

Sommaire

Le produit Fortinet FortiWeb 5.6 (désigné ci-après sous l’appellation « cible d’évaluation » ou « TOE pour Target of Evaluation »), de Fortinet Inc., on fait l’objet d’une évaluation selon les Critères communs. Une description de la TOE se trouve à la section 1.2. Les résultats de la présente évaluation indiquent que les fonctionnalités de sécurité évaluées de la TOE satisfont aux exigences de l’annonce de conformité énoncée dans le tableau 1.

EWA-Canada est le CECC qui a réalisé l’évaluation. L’évaluation s’est terminée le 5 décembre 2017 et a été effectuée selon les règles prescrites par le Schéma canadien lié aux Critères communs.

La portée de l’évaluation est définie dans la cible de sécurité, laquelle décrit les hypothèses formulées dans le cadre de l’évaluation, l’environnement prévu de la TOE ainsi que les exigences d’assurance et des fonctions de sécurité. On recommande aux utilisateurs du produit de s’assurer que leur environnement d’exploitation est conforme à celui qui est défini dans la cible de sécurité, et de tenir compte des commentaires, des observations et des recommandations énoncés dans le présent rapport de certification.

À titre d’organisme de certification, le Centre de la sécurité des télécommunications déclare que l’évaluation de la TOE satisfait à toutes les conditions de l’arrangement relatif à la reconnaissance des certificats liés aux Critères communs (Arrangement on the Recognition of Common Criteria Certificates) et que le produit figurera sur la liste des produits canadiens certifiés (LPC) et sur le portail des Critères communs (site Web officiel du projet international des Critères communs).

1 Définition de la cible d'évaluation

La cible d’évaluation (TOE pour Target of Evaluation) est définie comme suit :

Tableau 1 Définition de la TOE

Nom et version de la TOE Fortinet FortiWeb 5.6
Développeur Fortinet Inc.
Annonce de conformité

Collaborative Protection Profile for Network Devices, version 1.0

1.1 Conformité aux critères communs

L’évaluation a été réalisée selon la Common Methodology for Information Technology Security Evaluation, Version 3.1, Revision 4, afin d’en déterminer la conformité aux Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 4.

1.2 Description de la TOE

La TOE est un dispositif réseau qui protège les applications Web et les données accessibles par Internet contre les attaques et les infractions à la sécurité. Elle fait appel à des techniques avancées pour offrir une protection bidirectionnelle contre les sources malveillantes, les attaques par déni de service et les menaces sophistiquées, telles que l’injection SQL, les scripts intersites, le dépassement de mémoire tampon, l’inclusion de fichiers et l’empoisonnement de témoins.

1.3 Architecture de la TOE

Voici un diagramme de l’architecture de la TOE :

Figure 1 Architecture de la TOE

Fortinet FortiWeb 5.6

Architecture de la TOE

Le diagramme affiché est une représentation visuelle de l’architecture de la TOE. L’information se trouve dans la cible de sécurité mentionnée à la section 8.2.

2 Stratégies de sécurité

La TOE applique des stratégies relatives aux classes fonctionnelles de sécurité suivantes :

  • vérification de la sécurité;
  • soutien cryptographique;
  • identification et authentification;
  • gestion de la sécurité;
  • protection des TSF;
  • accès à la TOE;
  • chemins et canaux de confiance.

La cible de sécurité (ST pour Security Target) mentionnée à la section 8.2 contient de plus amples détails sur les exigences fonctionnelles de sécurité (SFR pour Security Functionality Requirement).

2.1 Fonctionnalités cryptographiques

Approuvés par le gouvernement du Canada, les algorithmes cryptographiques suivants ont été évalués par le Programme de validation des algorithmes cryptographiques (CAVP pour Cryptographic Algorithm Validation Program) et sont utilisés par la TOE :

Tableau 2 Algorithmes cryptographiques

Algorithme cryptographique Norme Numéro du certificat
Advanced Encryption Standard (AES) FIPS 197 4461
Rivest Shamir Adleman (RSA) FIPS 186-4 2437
Algorithme de hachage sécurité (SHS pour Secure Hash Algorithm) FIPS 180-3 3673
Keyed-Hash Message Authentication Code (HMAC) FIPS 198 2960
Deterministic Random Bit Generator (DRBG) SP 800-90A 1434
Key Agreement Scheme SP 800-56A 1330
Component Validation List SP 800-56A 1169

3 Hypothèses et clarification de la portée

Les utilisateurs de la TOE devraient tenir compte des hypothèses formulées au sujet de son utilisation et de ses paramètres environnementaux requis pour l’installation du produit et son environnement d’exploitation. De cette façon, la TOE sera utilisée de manière adéquate et sécurisée.

3.1 Hypothèses liées à l'utilisation et à l'environnement

Les hypothèses suivantes ont été formulées au sujet de l’utilisation et du déploiement de la TOE :

  • La TOE n’a aucune capacité de traitement général (p. ex. compilateurs ou applications utilisateur) à l’exception des services nécessaires pour l’exploitation, l’administration et le soutien de la TOE.
  • La sécurité physique, laquelle est proportionnelle à la valeur de la TOE et des données qu’elle contient, est assurée par l’environnement.
  • Les administrateurs de la TOE respectent et appliquent toutes les instructions fournies dans la documentation destinée aux administrateurs.
  • Le dispositif réseau est protégé physiquement dans son environnement d’exploitation et ne fait pas l’objet d’attaques physiques qui compromettent la sécurité ou perturbent ses interconnexions physiques et son bon fonctionnement. Le niveau de protection est suffisant pour protéger le dispositif et les données qu’il renferme.
  • La fonction principale du dispositif consiste à fournir une fonctionnalité de réseautage et de filtrage, et non pas une fonctionnalité ou des services de traitement général.
  • Un dispositif réseau standard/générique n’offre aucune assurance quant à la protection du trafic qui le traverse. Il faut veiller à ce que le dispositif réseau protège les données transmises depuis le dispositif ou à destination de celui-ci de manière à inclure les données administratives et de vérification.
  • Les administrateurs de la sécurité du dispositif réseau sont dignes de confiance et agissent dans l’intérêt de la sécurité de l’organisation. De ce fait, ils ont notamment reçu la formation adéquate et suivent la politique et les guides. Les administrateurs s’assurent que la robustesse et l’entropie des mots de passe ou des justificatifs d’identité sont suffisantes, et ils n’ont aucune intention malveillante lorsqu’ils gèrent le dispositif.
  • L’administrateur effectue régulièrement les mises à jour du micrologiciel et du logiciel du dispositif réseau, qui sont diffusées pour donner suite aux vulnérabilités connues.
  • Les justificatifs d’identité (clé privée) dont se sert l’administrateur pour accéder au dispositif réseau sont protégés par la plateforme hôte qui les héberge.

3.2 Clarification de la portée

  • La TOE intègre une cryptographie validée en vertu du CAVP, mais n’a pas fait l’objet d’une validation en vertu du Programme de validation des modules cryptographiques (PVMC) (FIPS-140).
  • La portée de l’évaluation est limitée à la fonctionnalité de gestion sécurisée de la TOE et ne concerne pas les fonctions de pare-feu des applications Web.
  • Les protocoles SSH, SNMP, Telnet et HTTP ne doivent pas être sélectionnés pour les accès des administrateurs.

4 Configuration évaluée

La configuration évaluée de la TOE comprend :

  • le micrologiciel de la TOE (FortiWeb 5.6 version 6180) fonctionnant en mode « FIPS-CC » sur l’une des plateformes suivantes :
    • FortiWeb 3000E
      • avec jeton d’entropie Fortinet;
    • FortiWeb 4000E
      • avec jeton d’entropie Fortinet;
  • l’environnement d’exploitation doit prendre en charge ce qui suit :
    • serveur LDAP;
    • FortiAnalyzer (en tant que serveur de vérification).

4.1 Documentation

Les documents suivants sont fournis aux utilisateurs pour les aider à installer et à configurer la TOE :

  1. FortiWeb Administration Guide, Version 5.6, 9 février 2017
  2. Common Criteria Compliant Operation for FortiWeb 5.6, 9 novembre 2017
  3. FortiWeb CLI Reference, Version 5.6, 23 septembre 2016
  4. Fortiweb Log Reference, Version 5.5.1, 6 avril 2016
  5. FortiWeb 3000E QuickStart Guide, 3e édition, 22 décembre 2016
  6. FortiWeb 4000E QuickStart Guide, 3e édition, 22 décembre 2016

5 Activités d'analyse de l'évaluation

Les activités d’analyse de l’évaluation ont consisté en une évaluation structurée de la TOE. Les documents et processus relatifs au développement, aux guides et au soutien au cycle de vie ont été évalués.

5.1 Développement

Les évaluateurs ont analysé la documentation fournie par le fournisseur. Ils ont déterminé que la conception décrit de manière exacte et complète les interfaces des fonctionnalités de sécurité de la TOE (TSF pour TOE Security Functionality), de même que le processus des TSF lié à la mise en œuvre des SFR. Les évaluateurs ont déterminé que le processus d’initialisation est sécurisé, que les fonctions de sécurité sont protégées contre le trafiquage et les contournements, et que les domaines de sécurité sont maintenus.

5.2 Guides

Les évaluateurs ont examiné les guides d’utilisation préparatoires et opérationnels de la TOE et ont déterminé qu’ils décrivent suffisamment en détail et sans ambiguïté la façon de transformer de manière sûre la TOE en configuration évaluée et la manière d’utiliser et de gérer le produit. Ils ont examiné et testé les guides d’utilisation préparatoires et opérationnels et ont déterminé qu’ils sont complets et suffisamment détaillés pour assurer une configuration sécurisée.

La section 4.1 contient de plus amples détails sur les guides.

5.3 Soutien au cycle de vie

Les évaluateurs ont analysé le système de gestion de la configuration de la TOE et la documentation connexe. Ils ont constaté que les éléments de configuration de la TOE étaient clairement indiqués.

Les évaluateurs ont examiné la documentation de livraison et ont établi qu’elle décrit toutes les procédures nécessaires pour préserver l’intégrité de la TOE quand elle est distribuée aux utilisateurs.

6 Activités de test

Les tests comportent les trois étapes suivantes : évaluation des tests réalisés par le développeur, exécution de tests fonctionnels indépendants et exécution de tests de pénétration.

6.1 Évaluation des tests du développeur

Les évaluateurs ont vérifié que le développeur avait satisfait à ses responsabilités en matière de tests en examinant les preuves connexes ainsi que les résultats consignés dans le rapport technique d’évaluation (RTE). La correspondance entre la spécification fonctionnelle et les tests indiqués dans la documentation des tests du développeur est complète.

6.2 Déroulement des tests

La TOE a fait l’objet d’une série complète de tests fonctionnels et de pénétration indépendants consignés de manière officielle. Les activités détaillées de test, y compris les configurations, les procédures, les cas de test, les résultats prévus et les résultats observés, sont consignées dans un document de résultats de test distinct.

6.3 Tests fonctionnels indépendants

Pendant cette évaluation, l’évaluateur a mis au point des tests fonctionnels indépendants en examinant la documentation de conception et les guides.

Tous les tests ont été planifiés et consignés de manière suffisamment détaillée pour permettre la reproductibilité des procédures de test et des résultats. Les activités de test suivantes ont été réalisées :

  1. Activités d’assurance du profil de protection (PP) : L’évaluateur a effectué les activités d’assurance énoncées dans le PP auquel la conformité est annoncée.
  2. Vérification de la version cryptographique : L’évaluateur a vérifié l’existence d’une version cryptographique approuvée par le CAVP dans la TOE.

6.3.1 Résultats des tests fonctionnels

Les tests réalisés par le développeur et les tests fonctionnels indépendants ont produit les résultats prévus, ce qui donne l’assurance que la TOE se comporte de la manière précisée dans la ST et dans la spécification fonctionnelle.

6.4 Tests de pénétration indépendants

Après l’examen indépendant des bases de données sur les vulnérabilités du domaine public et de tous les résultats de l’évaluation, les évaluateurs ont effectué des tests indépendants et limités de pénétration. Les tests de pénétration concernaient principalement ce qui suit :

  1. Utilisation d’outils automatisés de balayage des vulnérabilités en vue de découvrir des vulnérabilités possibles des couches réseau, plateforme et application, telles que Heartbleed, Shellshock, FREAK, POODLE et GHOST;
  2. Tests à données aléatoires : L’évaluateur a effectué des tests à données aléatoires, à partir des interfaces de la TOE, en utilisant des entrées inattendues et des paquets inadéquatement constitués.

6.4.1 Résultats des tests de pénétration

Les tests de pénétration indépendants n’ont permis de découvrir aucune vulnérabilité exploitable dans l’environnement d’exploitation prévu.

7 Résultats de l'évaluation

Cette évaluation a constitué la base de l’annonce de conformité énoncée dans le Tableau 1. Toutes les activités d’évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves contenues dans le RTE.

Le produit TI décrit dans le présent rapport a été évalué selon la Common Methodology for IT Security Evaluation, Version 3.1, Revision 4, à des fins de conformité aux Common Criteria for IT Security Evaluation, Version 3.1, Revision 4, par un centre d’évaluation approuvé, établi dans le cadre du Schéma canadien selon les Critères communs. Ces résultats d’évaluation s’appliquent uniquement à la version indiquée du produit, dans la configuration qui a été évaluée, et en conjonction avec le rapport de certification complet.

L’évaluation a été effectuée conformément aux dispositions du Schéma canadien lié aux Critères communs, et les conclusions formulées dans le rapport technique d’évaluation correspondent aux éléments présentés en preuve. La présente ne constitue pas une homologation du produit TI par le CST ou par toute autre organisation qui reconnaît ou entérine ce certificat, et ne signifie pas, ni implicitement ni explicitement, que le produit TI est garanti par le CST ou par toute autre organisation qui reconnaît ou entérine ce certificat.

7.1 Recommandations ou commentaires

L’évaluateur recommande aux utilisateurs de suivre les guides énoncés à la section 4.1 pour configurer la TOE dans la configuration évaluée.

8 Contenu complémentaire

8.1 Liste d'abréviations, d'acronymes et de sigles

CAVP
Programme de validation des algorithmes cryptographiques (Cryptographic Algorithm Validation Program)
CECC
Centre d’évaluation selon les Critères communs
CST
Centre de la sécurité des télécommunications
EAL
Niveau d’assurance de l’évaluation (Evaluation Assurance Level)
GC
Governement du Canada
PP
Profil de protection
PVMC
Programme de validation des modules cryptographiques
RTE
Rapport technique d’évaluation
SFR
Exigence fonctionnelle de sécurité (Security Functional Requirement)
ST
Cible de sécurité (Security Target)
STI
Sécurité des technologies de l’information
TI
Technologies de l’information
TOE
Cible d’évaluation (Target of Evaluation)
TSF
Fonctionnalité de sécurité de la TOE (TOE Security Functionality)

8.2 Références

Référence
Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 4, septembre 2012.
Common Methodology for Information Technology Security Evaluation, Version 3.1, Revision 4, septembre 2012.
Security Target for Fortinet Fortiweb 5.6, v1.10, 28 novembre 2017.
Evaluation Technical Report for Fortinet FortiWeb 5.6, v0.4, 5 décembre 2017.
Assurance Activity Report for Fortinet Fortiweb 5.6, v1.2, 5 décembre 2017.