Aux États-Unis, le programme CSfC (Commercial Solutions for Classified) de la NSA (National Security Agency) certifie les produits de sécurité destinés aux applications classifiées. Le NIAP (National Information Assurance Partnership) définit les Profils de Protection comprenant des exigences de certification.
Fireware OS est certifié pour les Profils de Protection suivants approuvés par le NIAP :
- Périphérique Réseau
- Réseau Privé Virtuel
- Pare-feu
Modèles de Firebox évalués dans le cadre du programme CSfC :
- Firebox T Series : T20, T35, T40, T55, T70, T80
- Firebox M Series : M270, M370, M470, M570, M670, M4600, M5600
Les modèles suivants de Firebox répondent aux exigences générales de la certification des Critères Communs lorsqu'ils sont configurés avec les paramètres requis et gérés avec les méthodes d'administration approuvées.
Les modèles de Firebox ne figurant pas ici ainsi que les variantes sans fil des modèles mentionnés ne sont pas certifiés conformes aux Critères Communs.
Pour obtenir les instructions de déploiement et de configuration, consultez le Guide d'Administration disponible sur la page Produit Conforme au NIAP.
À propos du Mode CSfC
Pour configurer votre Firebox de manière à répondre aux exigences des Critères Communs, vous devez activer le mode CSfC sur le Firebox. Le mode CSfC est pris en charge par Fireware v12.6.2 et les versions ultérieures.
Pour obtenir Fireware v12.6.2 sur un Firebox T35, T55 ou T70, envoyez un e-mail à [email protected].
Lorsque vous activez le mode CSfC, Fireware présente des différences de fonctionnement :
Contrôles d'Intégrité au Démarrage
Au démarrage, le Firebox procède aux contrôles d'intégrité requis. Si un contrôle échoue, le Firebox s'arrête immédiatement et toutes ses interfaces sont désactivées.
Contrôles d'Intégrité des Mises à Niveau
Lorsque vous mettez à niveau le Firebox, celui-ci vérifie la signature de l'image de mise à niveau en la comparant à une clé déjà installée sur le Firebox. Si le contrôle de la signature échoue, le Firebox refuse la mise à niveau.
TLS v1.3 est Désactivé
TLS v1.3 est désactivé par défaut. TLS v1.3 n'est pas encore certifié à l'échelle fédérale.
Activer le Mode CSfC
Pour activer le mode CSfC sur un Firebox, vous devez utiliser Command Line Interface (CLI) de Fireware. Lorsque vous activez le mode CSfC, le Firebox redémarre immédiatement et exécute les contrôles d'intégrité requis.
Commandes CLI du CSfC :
- Pour activer le mode CSfC, saisissez la commande CLI csfc enable.
- Pour désactiver le mode CSfC, saisissez la commande CLI no csfc enable.
- Pour déterminer si le mode CSfC est activé, saisissez la commande CLI show csfc.
Pour de plus amples informations concernant les commandes CLI, consultez la section Référence Command Line Interface à l'adresse https://www.watchguard.com/help/documentation.
Méthodes d'Administration Approuvées
Pour configurer et gérer le Firebox de manière à respecter les exigences des Critères Communs, vous devez utiliser uniquement les interfaces de gestion suivantes :
- Fireware Web UI
- Command Line Interface (CLI) de Fireware (CLI) Fireware via une connexion directe au port de gestion série (ssh ne constitue pas une méthode d'administration approuvée)
Lorsque vous utilisez un Firebox en mode CSfC, l'utilisation du périphérique dépend de ces restrictions. Nous vous recommandons de bien réfléchir à vos exigences avant de décider de faire fonctionner votre Firebox en mode CSfC. Certains environnements peuvent requérir que vous utilisiez un périphérique conforme à la certification CSfC, mais il se peut que vous n'ayez pas à configurer le périphérique de manière à ce qu'il soit conforme à cette certification.