Soporte de Criterios Comunes en Fireware

El programa de Soluciones Comerciales para Clasificados (CSfC) de la Agencia de Seguridad Nacional (NSA) de los EE. UU. certifica los productos habilitados con seguridad que se usarán para aplicaciones clasificadas. La NIAP (Asociación de Aseguramiento de Información Nacional) define Perfiles de Protección con requisitos de certificación.

Fireware OS está certificado para estos Perfiles de Protección aprobados por la NIAP:

  • Dispositivo de Red
  • Virtual Private Network
  • Firewall

Modelos de Firebox evaluados bajo el programa CSfC:

  • Firebox T Series: T20, T35, T40, T55, T70, T80
  • Firebox M Series: M270, M370, M470, M570, M670, M4600, M5600

Estos modelos de Firebox cumplen con los requisitos generales para la certificación de Criterios Comunes, cuando se configuran con los ajustes requeridos y se administran con métodos de administración aprobados.

Los modelos de Firebox que no se incluyen aquí, así como las variantes inalámbricas de los modelos indicados, no están certificados como compatibles con los Criterios Comunes.

Para obtener instrucciones de implementación y configuración, consulte la Guía Administrativa, disponible en la página Producto en Cumplimiento con la NIAP.

Acerca del Modo CSfC

Para configurar su Firebox para que cumpla con los requisitos de los Criterios Comunes, debe habilitar el modo CSfC en el Firebox. El modo CSfC es compatible con Fireware v12.6.2 o superior.

Para solicitar Fireware v12.6.2 para un Firebox T35, T55 o T70, envíe un correo electrónico a [email protected].

Cuando habilita el modo CSfC, Fireware tiene algunas diferencias funcionales:

Comprobaciones de Integridad en el Arranque

En el momento del arranque, el Firebox ejecuta las comprobaciones de integridad requeridas. Si una comprobación falla, el Firebox se apaga inmediatamente y todas las interfaces se desactivan.

Actualizar las Comprobaciones de Integridad

Cuando actualiza el Firebox, este verifica una firma en la imagen de actualización contra una clave ya instalada en el Firebox. Si la verificación de firmas falla, Firebox rechaza la actualización.

TLS v1.3 está Deshabilitado

TLS v1.3 está deshabilitado de forma predeterminada. TLS v1.3 aún no tiene certificación federal.

Habilitar el Modo CSfC

Para habilitar el modo CSfC en un Firebox, debe usar la Command Line Interface (CLI) de Fireware. Cuando habilita el modo CSfC, el Firebox se reinicia inmediatamente y ejecuta las comprobaciones de integridad requeridas.

Comandos CLI para CSfC:

  • Para habilitar el modo CSfC, ingrese el comando CLI csfc enable.
  • Para deshabilitar el modo CSfC, ingrese el comando CLI no csfc enable.
  • Para determinar si el modo CSfC está habilitado, ingrese el comando CLI show csfc.

Para obtener más información sobre comandos CLI, consulte la Referencia de la Command Line Interface en https://www.watchguard.com/help/documentation.

Métodos de Administración Aprobados

Para configurar y administrar el Firebox para que cumpla con los requisitos de Criterios Comunes, debe usar solo estas interfaces de administración:

  • Fireware Web UI
  • La Command Line Interface (CLI) de Fireware desde una conexión directa al puerto de administración de serie (ssh no es un método de administración aprobado)

Cuando el usuario utilice un Firebox en modo CSfC, su uso del dispositivo está sujeto a estas limitaciones. Recomendamos considerar cuidadosamente los requisitos antes de decidir operar el Firebox en modo CSfC. Algunos entornos pueden requerir que utilice un dispositivo compatible con CSfC, pero es posible que no tenga que configurar el dispositivo de una manera compatible con CSfC.